Прошу потеснить. Можно ломать/хакать и прочие прелести.

0

3

Вообщем проверить на устойчивость cgi скрипт. Как тест утилита ping которой вы передаёте адрес или имя хоста например

http://elilabs.org/cgi-bin/ping.c?=linux.org.ru

или

http://elilabs.org/cgi-bin/ping.c?=88.88.88.88

Я просто не уверен верно ли я отфильтровываю имя хоста может меня поломать можно и сделать rm на всё нафиг? Я подстраховался и клонировал vps так что мне похер на взломы :)

Код не покажу, он на скорую руку и на Си. Скажу лишь что тупо фильтрую всё кроме a-z и '.' , может этого недостаточно и можно взломать ?

Ну и ping -c 5 beastie ; ping -c 5 ~~Eddy_Em~~

Не бейте за каст :)

Ссылка

←	Нет gem`a в ruby 2.0.0 gentoo

Объем памяти рантайма js

→

Передал 3199 букв A в качестве имени хоста, страничка виснет (уж не сегфолтится ли твоя сишная прога?). Я не знаю, как там все реализовано, но если параметр помещается в буфер фиксированного размера, то теоретически возможна определенная атака. Правда, без знания кода все равно ее провести затруднительно.

amomymous ★★★
(17.02.14 02:50:17 MSK)

Ответ на: комментарий от amomymous 17.02.14 02:50:17 MSK

в ТОЧКУ! буфер переполнить можно. +1 Уязвимость. Спасибо.

~~Dron~~ ★★★★★
(17.02.14 02:54:41 MSK) автор топика

Ответ на: комментарий от amomymous 17.02.14 02:50:17 MSK

Подтверждаю. Передавал длинную строку вида 88.88.88.88.88.88.88…

post-factum ★★★★★
(17.02.14 02:55:03 MSK)

Ответ на: комментарий от Dron 17.02.14 02:54:41 MSK

А не, нельзя зарос ограничен длинной и обрезает, буфера мне хватает.

~~Dron~~ ★★★★★
(17.02.14 02:59:26 MSK) автор топика

Ссылка

Ответ на: комментарий от post-factum 17.02.14 02:55:03 MSK

Пофиксил.

Но пока можно ещё замочить большой строкой, по путному поправлю позже. Я ссу что можно как то произвольный код выполнить, ведь вводимый адрес попадает в shell строку. Хотя вроде не должно ничего пролезть.

~~Dron~~ ★★★★★
(17.02.14 03:01:02 MSK) автор топика
Последнее исправление: Dron 17.02.14 03:04:35 MSK (всего исправлений: 1)

Ответ на: комментарий от Dron 17.02.14 03:01:02 MSK

Вот тебе ещё баг: хосты с дефисом не обрабатываются. Например, dll-files.com.

post-factum ★★★★★
(17.02.14 03:09:28 MSK)

Ответ на: комментарий от post-factum 17.02.14 03:09:28 MSK

Ага, спасибо, пофиксил.

~~Dron~~ ★★★★★
(17.02.14 03:14:50 MSK) автор топика

Раз уж ты меня позвал, то http://elilabs.org/cgi-bin/ping.c?=A тоже не комильфо.

beastie ★★★★★
(17.02.14 03:18:36 MSK)

Ответ на: комментарий от beastie 17.02.14 03:18:36 MSK

Стоп, я туплю, эт чё за херня?

~~Dron~~ ★★★★★
(17.02.14 03:23:51 MSK) автор топика

Ответ на: комментарий от Dron 17.02.14 03:23:51 MSK

Quick-fix: проверяй по gethostbyname() прежде чем впендюрить в popen().

beastie ★★★★★
(17.02.14 03:29:26 MSK)
Последнее исправление: beastie 17.02.14 03:29:40 MSK (всего исправлений: 1)

Код не покажу, он на скорую руку и на Си.

Security by obscurity. Ну ты понял.

Chaser_Andrey ★★★★★
(17.02.14 03:32:57 MSK)

Ответ на: комментарий от beastie 17.02.14 03:29:26 MSK

Спасибо большое, фигеть не встать.

~~Dron~~ ★★★★★
(17.02.14 03:36:25 MSK) автор топика

Ссылка

Ответ на: комментарий от Chaser_Andrey 17.02.14 03:32:57 MSK

~~Dron~~ ★★★★★
(17.02.14 03:36:44 MSK) автор топика

Ссылка

Ответ на: комментарий от Dron 17.02.14 03:14:50 MSK

Ещё. Почему у тебя в имени хоста символ ] фильтруется, а [ — нет?

post-factum ★★★★★
(17.02.14 03:39:44 MSK)

Ответ на: комментарий от post-factum 17.02.14 03:39:44 MSK

И фигурные скобки не отфильтровываются.

post-factum ★★★★★
(17.02.14 03:42:49 MSK)

Ссылка

Ответ на: комментарий от post-factum 17.02.14 03:39:44 MSK

Потому что я дурак и проверял ] два раза :) поправил. Спасибо. Всё веселей и веселей ))

~~Dron~~ ★★★★★
(17.02.14 03:43:02 MSK) автор топика

Ответ на: комментарий от Dron 17.02.14 03:43:02 MSK

А вот тебе как это:

http://elilabs.org/cgi-bin/ping.c?=%0Als

post-factum ★★★★★
(17.02.14 03:46:11 MSK)

Ответ на: комментарий от post-factum 17.02.14 03:46:11 MSK

ОООООпаааа, я останавливаю сервер.

~~Dron~~ ★★★★★
(17.02.14 03:46:54 MSK) автор топика

Ответ на: комментарий от Dron 17.02.14 03:46:54 MSK

Всегда пожалуйста :).

post-factum ★★★★★
(17.02.14 03:47:41 MSK)

Ответ на: комментарий от post-factum 17.02.14 03:47:41 MSK

Чувак, ты крут. :)))

~~Dron~~ ★★★★★
(17.02.14 03:49:20 MSK) автор топика

Ссылка

Пацаны, расходимся, меня уже ломанули.

~~Dron~~ ★★★★★
(17.02.14 03:52:50 MSK) автор топика

Ссылка

Всем большое спасибо, всем, и той куче несметной которая всё делала молчком.

~~Dron~~ ★★★★★
(17.02.14 04:01:05 MSK) автор топика

Ссылка

Ответ на: комментарий от post-factum 17.02.14 03:47:41 MSK

Ты прочёл ping.c мне стыдно, думаю ты поржал вдоволь.

~~Dron~~ ★★★★★
(17.02.14 04:09:48 MSK) автор топика

Ответ на: комментарий от Dron 17.02.14 04:09:48 MSK

Не, я не читал, но по характеру уязвимости представляю, какой там кошмар.

post-factum ★★★★★
(17.02.14 04:12:15 MSK)

Ответ на: комментарий от post-factum 17.02.14 04:12:15 MSK

:)), мне это понравилось, прям адреналин, надо почаще подобное устраивать. Только подготавливаться теперь буду основательней. Если что я тебя кастану. ) Надо ещё премию организовать за удачный взлом/выявление багов.

~~Dron~~ ★★★★★
(17.02.14 04:23:25 MSK) автор топика

Ссылка

Ответ на: комментарий от post-factum 17.02.14 03:46:11 MSK

http://elilabs.org/cgi-bin/ping.c?=%0Als

Хе-хе. «cat /etc/shadow» же!

varchar ★
(17.02.14 04:34:27 MSK)

Ответ на: комментарий от varchar 17.02.14 04:34:27 MSK

не рут же

wakuwaku ★★★★
(17.02.14 05:39:31 MSK)

Ссылка

А я всю драму проспал...

Ты нафига так делал-то? Проверять же тело POST/GET надо, а не отправлять на исполнение сразу!

~~Eddy_Em~~ ☆☆☆☆☆
(17.02.14 08:37:41 MSK)

Код не покажу

так не интересно.

emulek ★
(17.02.14 09:38:02 MSK)

Ответ на: комментарий от Eddy_Em 17.02.14 08:37:41 MSK

Ты нафига так делал-то? Проверять же тело POST/GET надо, а не отправлять на исполнение сразу!

Ну дык я и проверял, думал просто что достаточно запретить символы опасные и всё. Как оказалось это не спасает, я тут ещё задумался, а есть вообще безопасный способ так делать, можно анально огороженного юзера делать с возможность запуска 1 утилиты, но это громоздко. Взять сложный пример допустим grep, как к нему давать доступ безопасно?

~~Dron~~ ★★★★★
(17.02.14 14:22:22 MSK) автор топика

Ответ на: комментарий от Dron 17.02.14 03:46:54 MSK

Скажу лишь что тупо фильтрую всё кроме a-z и '.'
ping.c?=%0Als

И каким боком пролез % или код 0x0A? Может ты регексп по точке "." запускал?

~~sdio~~ ★★★★★
(17.02.14 14:28:30 MSK)

Ответ на: комментарий от Dron 17.02.14 14:22:22 MSK

Как оказалось это не спасает

Как ping мог запустить ls? Ты как лох запускал /bin/sh и ему передавал ping hostname и не фильтровал как видно входные символы.

~~sdio~~ ★★★★★
(17.02.14 14:31:53 MSK)

Ответ на: комментарий от sdio 17.02.14 14:28:30 MSK

В том и странность % запретил явно.

Может ты регексп по точке "." запускал?

Никаких грепов, всё на си кроме вызова ping из popen.

Надо мне побольше про gci почитать, так как чувствую пока я ещё маловато знаю/понимаю.

~~Dron~~ ★★★★★
(17.02.14 14:38:21 MSK) автор топика

Ответ на: комментарий от Dron 17.02.14 14:38:21 MSK

Никаких грепов, всё на си кроме вызова ping из popen.

regexp != grep

пока я ещё маловато знаю/понимаю.

это точно.

~~sdio~~ ★★★★★
(17.02.14 14:40:29 MSK)

Ссылка

Ответ на: комментарий от sdio 17.02.14 14:31:53 MSK

Плохо фильтровал. Не правильно. Иногда всё же надо думать головой :))

~~Dron~~ ★★★★★
(17.02.14 14:40:34 MSK) автор топика

Ответ на: комментарий от Dron 17.02.14 14:40:34 MSK

Покажи уже код, вместе посмеемся.

~~sdio~~ ★★★★★
(17.02.14 14:41:03 MSK)

Ответ на: комментарий от sdio 17.02.14 14:41:03 MSK

Не, нафиг, до следующего раунда. :)

~~Dron~~ ★★★★★
(17.02.14 14:44:42 MSK) автор топика

Ссылка

Ответ на: комментарий от Dron 17.02.14 14:22:22 MSK

CGI на баше — априори штука небезопасная. А в сишных ты должен как минимум точно контролировать буфер, тщательно его проверять и ни в коем случае не вызывать всякую хрень вроде system!

~~Eddy_Em~~ ☆☆☆☆☆
(17.02.14 14:47:10 MSK)

Ссылка

Ответ на: комментарий от Dron 17.02.14 14:38:21 MSK

ping из popen

Я так и думал! Гыыыы!

~~Eddy_Em~~ ☆☆☆☆☆
(17.02.14 14:47:41 MSK)

404

Всё веселье пропустил (

ogiel
(17.02.14 14:51:08 MSK)

Ссылка

Ответ на: комментарий от emulek 17.02.14 09:38:02 MSK

#!/bin/sh
echo -e "Content-type: text/html\n\n<html>"
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=koi8-r\">"
echo "<body>"
echo "<h1>Пингуйня:</h1><pre>"
ping -c1 $QUERY_STRING
echo "</pre></body></html>"

☺

~~Eddy_Em~~ ☆☆☆☆☆
(17.02.14 14:51:15 MSK)