Chẳng nhẽ nhất thiết phải có shell mới local exploit được ạ B-) Ta chỉ bàn về local exploit chứ có bàn về Leo thang đặc quyền đâu nhỉ :D 

Chẳng nhẽ nhất thiết phải có shell mới local exploit được ạ B-) Ta chỉ bàn về local exploit chứ có bàn về Leo thang đặc quyền đâu nhỉ :D 

II) Do đâu kẻ tấn công có một con shell như b)  

Môi trường bị "hack" này thường là: - Hệ điều hành: Linux - Web service: Apache (1.3.x 2.x) - PHP (4.x, 5.x) - Ứng dụng: các forums PHP-based, các web applications viết bằng PHP. - Shared hosting và dedicated servers.  

Windows - IIS - ASP vẫn bị và nguy hiểm như thường mèn bro :d " Local attack " 

Môi trường bị "hack" này thường là: - Hệ điều hành: Linux - Web service: Apache (1.3.x 2.x) - PHP (4.x, 5.x) - Ứng dụng: các forums PHP-based, các web applications viết bằng PHP. - Shared hosting và dedicated servers. Thứ nhất, local exploitation do đâu mà có? Chìa khóa quan trọng nhất đó là: việc thực thi hành động exploit nào đó xảy ra trên máy cục bộ (shared host hoặc dedicated server). Thứ nhì, thế nào là "xảy ra trên máy cục bộ"? a) Nếu kẻ tấn công có một cái unix shell (bash, csh...) như conmale@someserver$ và cái shell này có thể dùng để làm gì đó dung hại ngay trên server đang bị tấn công. b) Nếu kẻ tấn công có một cái php, asp, python, perl... script nào đó (còn gọi là shell nhưng shell này khác shell trên ở chỗ nó hoàn toàn hoạt động trên giao thức http và có tầng php, asp, python, perl... đứng giữa thay vì bash shell, c shell tương tác trực tiếp với hệ điều hành). Con "shell" này phải được upload và thực thi ngay trên server bị tấn công.  

Thứ ba, giới hạn có thể tấn công của từng dạng shell ở trên thế nào? 1) Nếu kẻ tấn công có một cái unix shell (như a) ở trên) thì tùy vào hệ điều hành bị bug cỡ nào và tùy mức độ thiết kế và quản lý server như thế nào. Nếu shell này chỉ cung cấp và dừng lại ở chủ quyền của một người dùng bình thường thì độ "tàn phá" sẽ hạn chế. Nếu hệ điều hành có lỗi hoặc độ thiết kế server lỏng lẻo thì có thể bị escalate thành root thì coi như là "game over". 2) Nếu kẻ tấn công có một cái shell (như b) ở trên) thì tùy và tính bảo mật của apache và mức độ tinh xảo của con shell ấy.  

Thứ tư, thử phân tích xem: I) Do đâu kẻ tấn công có một con shell như a) II) Do đâu kẻ tấn công có một con shell như b) Sau đó mới bàn tiếp, làm sao để không cho I) và II) xảy ra. Mời các bạn thảo luận. 

Cho mình hỏi là ở các phần mềm forum nguồn mở thường có 1 file config.php để lưu thông tin cấu hình, file này thường hay được khuyên là hãy đổi sang một tên khác để tránh bị hack local attack, nhưng liệu giải pháp này có thật sự an toàn ko? Vì còn có 1 file khác lưu thông tin của file config.php đã được đổi tên, thường là common.php, nếu hacker local attack vào file common.php này thì sao, họ sẽ biết được tên của file cofig.php đã được đổi, như vậy việc đổi tên này cũng công cốc? Giải pháp tốt nhất là đổi tất cả các file .php? Như vậy thì thật là mệt quá. 

Đã là nguồn mở thì ai cũng có khả năng sử dụng, và soi xem nó có cái gì, lỗi nó nằm ở đâu. Do đó đổi tên hay không không phải vấn đề. Vấn đề ở đây là phương pháp phân quyền, phương pháp bảo vệ tài khoản của superuser, và phương pháp cấu hình webserver cụ thể thế nào để hạn chế attacker thay đổi nội dung file. Nếu attacker không có quyền xem, ghi file đó thì anh ta cũng đâu có làm được gì đâu. :)  

Bình thường một kẻ cố truy cập trực tiếp tập tin config.php của bạn sẽ cho ra một trang trắng trên trình duyệt. Nhưng nếu giả sử trình biên dịch PHP trên máy chủ của bạn gặp sự cố (hoặc khi nâng cấp server, dịch vụ hosting thường tắt hết các trình biên dịch PHP), các tập tin PHP không còn được biên dịch để trả kết quả về trình duyệt người xem nữa, nó sẽ xuất ra "hết thảy những gì mình có" lên trình duyệt. Khi đó kẻ truy cập đó có thể xem tất tần tật tập tin config.php của bạn bằng trình duyệt. Dù không có chuyện gì xảy ra, một khi biết được tên tập tin config.php của bạn và vị trí của nó, kẻ tấn công bạn vẫn có thể sử dụng lệnh include() từ một nơi nào khác, "include" tập tin config.php trên máy chủ bạn rồi xuất ra các biến: $dbhost, $dbname, $dbuser và $dbpasswd trong tập tin kết quả của chúng. 

I) Do đâu kẻ tấn công có một con shell như a)  

.... Vấn đề em muốn hỏi: 1. Có bao nhiêu cách leo thang đặc quyền khi đã có con shell 1. Em mới biết 1 cách là tận dụng lỗi buffer overflow.  

2. Con shell thứ 2 ta có thể có quyền hạn đối với máy tính bị hack đến đâu?  

conmale wrote:

I) Do đâu kẻ tấn công có một con shell như a)  

Theo em ở đây phân ra 2 trường về kẻ tấn công :Một là kẻ tấn công là một user trong hệ thống như vậy hắn sẽ có được 1 shell nào đó do root quy định khi tạo account.Hai là không phải user trong hệ thống,do kiến thức hạn hẹp nên em cũng không biết được trong trường hợp này hắn sẽ làm gì để có được 1 con shell,em nghĩ chắc hắn sẽ làm cách nào đấy để chôm được 1 tài khoản đăng nhập vào hệ thống---->Sẽ có được shell :D  

Khi đã có trong tay một shell và hắn vẫn đang đăng nhập như một user bình thường,thì đâu tiên em nghĩ hắn sẽ rất hăng hái để nâng quyền của mình lên là root hoặc tìm cách thực thi các lệnh mà với các đặc quyền của hắn không thực thi được.Hắn có thực hiện được ý định của mình không sẽ phụ thuộc vào hệ thống được thiết lập như nào với kiến thức hiện tại của mình thì theo em nó xoay quanh các trườn hợp như sau :Giả sử kẻ tấn công đang muốn thay đổi nội dung một file nào đó mà không phải là của hắn 1>Nếu hệ thống ấn định umask lỏng lẻo ,1 file do một user tạo ra mà user khác lại có quyền thay đổi nội dung file đó------>Game over  

2>Trong trường hợp phương án 1 không thực hiện được,hắn sẽ nghĩ đến việc chmod file đó bằng sudo,nếu hắn có tên trong sudoer file và được ấn định là có quyền chạy chmod------>Game over 3>2 phương án trên đều không thực hiện đươc,thì em nghĩ hắn sẽ tìm trên hệ thống các script thỏa mãn các điều kiện:Script đó chạy dưới quyền của root và user có quyền ghi và thực thi script đó,nếu tìm được-------->Game over 4>Nếu hệ thống thuộc dạng "xe tăng húc không đổ ,đạn bắn không thủng": thì em nghĩ hắn sẽ xài đến cách là lợi dụng các lỗi của các binary.Nếu hệ thống đang dùng các chương trình với phiên bản cũ và chưa được vá lỗi thì theo em đây cũng là 1 cánh cửa cho kẻ tấn công thực hiện mục đích của mình. Không biết em có lạc đề không anh conmale :D  

II) Do đâu kẻ tấn công có một con shell như b)  

Tôi tạo chủ đề này ra vì nhận được khá nhiều người câu hỏi xoay quanh chủ đề "local exploitations" (còn gọi nôm na là "hack local") để anh chị em thảo luận cho rốt ráo bởi vì rất nhiều người vẫn còn lờ mờ với khái niệm "local hack" này và cách chống đỡ. Môi trường bị "hack" này thường là: - Hệ điều hành: Linux - Web service: Apache (1.3.x 2.x) - PHP (4.x, 5.x) - Ứng dụng: các forums PHP-based, các web applications viết bằng PHP. - Shared hosting và dedicated servers. Thứ nhất, local exploitation do đâu mà có? Chìa khóa quan trọng nhất đó là: việc thực thi hành động exploit nào đó xảy ra trên máy cục bộ (shared host hoặc dedicated server). Thứ nhì, thế nào là "xảy ra trên máy cục bộ"? a) Nếu kẻ tấn công có một cái unix shell (bash, csh...) như conmale@someserver$ và cái shell này có thể dùng để làm gì đó dung hại ngay trên server đang bị tấn công. b) Nếu kẻ tấn công có một cái php, asp, python, perl... script nào đó (còn gọi là shell nhưng shell này khác shell trên ở chỗ nó hoàn toàn hoạt động trên giao thức http và có tầng php, asp, python, perl... đứng giữa thay vì bash shell, c shell tương tác trực tiếp với hệ điều hành). Con "shell" này phải được upload và thực thi ngay trên server bị tấn công. Thứ ba, giới hạn có thể tấn công của từng dạng shell ở trên thế nào? 1) Nếu kẻ tấn công có một cái unix shell (như a) ở trên) thì tùy vào hệ điều hành bị bug cỡ nào và tùy mức độ thiết kế và quản lý server như thế nào. Nếu shell này chỉ cung cấp và dừng lại ở chủ quyền của một người dùng bình thường thì độ "tàn phá" sẽ hạn chế. Nếu hệ điều hành có lỗi hoặc độ thiết kế server lỏng lẻo thì có thể bị escalate thành root thì coi như là "game over". 2) Nếu kẻ tấn công có một cái shell (như b) ở trên) thì tùy và tính bảo mật của apache và mức độ tinh xảo của con shell ấy. Thứ tư, thử phân tích xem: I) Do đâu kẻ tấn công có một con shell như a) II) Do đâu kẻ tấn công có một con shell như b) Sau đó mới bàn tiếp, làm sao để không cho I) và II) xảy ra. Mời các bạn thảo luận. 

... Nói chung, một khi đã có một cái bash shell thì cơ hội bị escalate lên root khá cao. 

Xanh: Do ISP. Vì thế phải chọn một ISP nào tốt tốt. :)  

@anh conmale:

conmale wrote:

... Nói chung, một khi đã có một cái bash shell thì cơ hội bị escalate lên root khá cao. 

Khi nào rảnh anh có thể làm 1 bài tổng hợp về vấn đề này được ko ạ? Theo suy nghĩ và hiểu biết hiện tại của em thì nó không đến nỗi "khá cao", phụ thuộc vào nhiều yếu tố mà (trong đó tất nhiên có yếu tố cá nhân người thâm nhập nữa ^^ ) 

cvhainb wrote:

Xanh: Do ISP. Vì thế phải chọn một ISP nào tốt tốt. :)  

Có lẽ bạn nhầm ISP (Internet Service Provider) với HP (Host Provider). 

Tiếp tục dạng "shell" thứ nhì (php) nhá? Giả sử trên cấu hình của apache ấn định một root directory là /home/abc/public_html và cho phép các file .php thuộc directory và sub-directory này được chạy. Giả sử một sub-directory có tên là "uploads" (chẳng hạn) cho phép người dùng attach files (upload file lên). Xuyên qua cơ chế upload này, kẻ tấn công có thể upload php files, jpg file có nhúng php... vậy: - Làm sao vẫn cho phép file upload nhưng bảo đảm bảo mật? - Có bao nhiêu cách kiểm soát và hạn chế? - Kiểm soát và hạn chế chúng ở những mức độ nào? :P  

conmale wrote:

Tiếp tục dạng "shell" thứ nhì (php) nhá? Giả sử trên cấu hình của apache ấn định một root directory là /home/abc/public_html và cho phép các file .php thuộc directory và sub-directory này được chạy. Giả sử một sub-directory có tên là "uploads" (chẳng hạn) cho phép người dùng attach files (upload file lên). Xuyên qua cơ chế upload này, kẻ tấn công có thể upload php files, jpg file có nhúng php... vậy: - Làm sao vẫn cho phép file upload nhưng bảo đảm bảo mật? - Có bao nhiêu cách kiểm soát và hạn chế? - Kiểm soát và hạn chế chúng ở những mức độ nào? :P  

Chào anh, trong cơ chế upload mình chỉ cho upload những file: jpg,gif,zip,pdf,...Ngoài các file này ra thì ko cho upload những ngôn ngữ lập trình khác. Còn kiểm soát và hạn chế ở những mức độ nào thì...chờ người tiếp theo trả lời giúp vậy :P. 

Các bước "kiểm tra đuôi của file? kiểm tra header của file? kiểm tra trọn bộ nội dung file?" đều có cách giả dạng 1 phiên upload để đưa lên server file mong muốn. Theo em nên kết hợp với việc hạn chế user truy cập trực tiếp vào file vừa upload, điều này có thể dễ dàng thực hiện: - Dời những file upload sang 1 thư mục không phải là web root (theo ví dụ của anh comale thì web root là public_html) or - Hạn chế user truy cập vào upload folder trên web root directory. or - Đổi tên file upload bằng 1 chuỗi ngẫu nhiên.  

cvhainb wrote:

conmale wrote:

Tiếp tục dạng "shell" thứ nhì (php) nhá? Giả sử trên cấu hình của apache ấn định một root directory là /home/abc/public_html và cho phép các file .php thuộc directory và sub-directory này được chạy. Giả sử một sub-directory có tên là "uploads" (chẳng hạn) cho phép người dùng attach files (upload file lên). Xuyên qua cơ chế upload này, kẻ tấn công có thể upload php files, jpg file có nhúng php... vậy: - Làm sao vẫn cho phép file upload nhưng bảo đảm bảo mật? - Có bao nhiêu cách kiểm soát và hạn chế? - Kiểm soát và hạn chế chúng ở những mức độ nào? :P  

Chào anh, trong cơ chế upload mình chỉ cho upload những file: jpg,gif,zip,pdf,...Ngoài các file này ra thì ko cho upload những ngôn ngữ lập trình khác. Còn kiểm soát và hạn chế ở những mức độ nào thì...chờ người tiếp theo trả lời giúp vậy :P. 

Ý em là không cho upload những định dạng khác? :) Vậy hành động "cho" hoặc "không cho" ở đây dựa vào những yếu tố nào? (kiểm tra đuôi của file? kiểm tra header của file? kiểm tra trọn bộ nội dung file?) Giả sử vẫn cho họ upload .php file nhưng làm thế nào để đạt được: cho nhưng vẫn bảo mật? Hãy thử phân tích xem: một file php được parse và hoạt động trên một apache web server cần những điều kiện nào? Nếu rút bỏ hết các điều kiện ấy, liệu file php còn được parse và hoạt động hay không? 

RewriteRule   ^.php$ .txt

Vậy hành động "cho" hoặc "không cho" ở đây dựa vào những yếu tố nào? (kiểm tra đuôi của file? kiểm tra header của file? kiểm tra trọn bộ nội dung file?) Giả sử vẫn cho họ upload .php file nhưng làm thế nào để đạt được: cho nhưng vẫn bảo mật? Hãy thử phân tích xem: một file php được parse và hoạt động trên một apache web server cần những điều kiện nào? Nếu rút bỏ hết các điều kiện ấy, liệu file php còn được parse và hoạt động hay không? 

Chào anh, nếu cho upload một file .php thì có thể em sẽ mã hóa file bằng chuỗi ngẫu nhiên 

Mã hóa nội dung file hay mã hóa tên file? 

Em thì chỉ biết mã hóa tên file thôi. 

cvhainb wrote:

Em thì chỉ biết mã hóa tên file thôi. 

Cái này cũng khá là phí công 

Với việc upload ngoài check extension, mime cháu thường thêm dòng Code:

AddType text/plain     php

vào .htaccess trong thư mục chứa file upload.