Есть 100 хостов с доступным SSH. Нужно прогнать Terrapin Scanner на потенциальную уязвимость к атаке Terrapin. Сканер принимает только один хост в качестве цели. Твои действия?

Можно завернуть в shell'овский цикл, построчно проходясь по файлу и подставляя строки как переменные в команду.

cat hosts.txt \
    | while read line; do \
    Terrapin-Scanner --connect $line; \
    done

Из минусов - много букв + итерируешься только последовательно, без всякой параллельности / асинхронности


Ещё вариант, использовать загадочный xargs, "построчно" проходящий по вводу (stdin) или файлу, а после подставляющий строки как из цикла выше.

xargs -a hosts.txt -P 5 -I HOST \
   Terrapin-Scanner --connect HOST

Через -I HOST определил "переменную" для строк из ввода, а с помощью -P 5 заставил запускать сканеры в 5 процессах одновременно.

Стоило нажать Enter, как xargs прошёлся по строкам от cat и начал запускать до 5 процессов Terrapin сканера одновременно, просканировав хосты за считанные секунды.

Этот же подход применим для любых других ситуациях, где нужно быстро распарсить и обработать построчные элементы.

#tricks #machineops

Если нужно исполнить последовательность команд, связанных операторами, то оборачивай команды в sh -c "command1; command2" и передавай в xargs. Подобно команде ниже (взял отсюда)

xargs -a subs.txt -I@ sh -c 'assetfinder -subs-only @ | anew | httpx -silent  -threads 100 | anew httpDomain'

Снимаю уровень серьезности с канала и возвращаюсь после солидного выгорания. Вновь буду тыкать кавычки и писать пласты текста

За одно, сменил никнейм с tokiakasu на @w0ltage , ибо как меня только не называли: токиасука, токийская лапша или "хз как читается".

По итогу, только я мог произнести его нормально. Что иронично, ибо tokiakasu переводится как "make it clear"

xz бэкдор

Уже все написали про бэкдор, но без разбора гениальности этого бекдора, чем я сейчас и займусь.

Для тех, кто в танке - в библиотеке liblzma, для пакета xz, позволяющим сжимать файлы в нечто с расширением .xz, обнаружили бэкдор, позволяющий спокойно подключиться к вашему SSH серверу.

Причём, бэкдор есть только в .tar архивах, приложенных к релизам 5.6.0-1, а сам бэкдор был найден не секьюрити ресерчером, а обычным прогером, когда тот заинтересовался "почему потребление CPU растет x10 при подключении по SSH"

Теперь к разбору цепочки поставок в компрометацию сервера

0. в файле конфигурации исполняется скрипт build-to-host.m4, модифицирующий Makefile для билда, если на хосте запущен процесс sshd в /usr/bin

1. делает он это через "тестирование" с архивами bad-3-corrupt_lzma2.xz и good-large-compressed.lzma (не используемые для тестов где-либо ещё)

2. тесты приводят к исполнению кода, сжатому в bad-3-corrupt_lzma2.xz, который распаковывает архив good-large-compressed.lzma

3. код внутри good-large-compressed.lzma исполняется, приводя к внедрению liblzma_la-crc64-fast.o (сам бэкдор) в Makefile для liblzma

4. после билда и успешной установки, бэкдор перехватывает исполнение через подмену ifunc resolvers для crc32_resolve() и crc64_resolve(), меняя код на вызов _get_cpuid()

ifunc - механизм glibc, позволяющая реализовывать функцию разными способами, и выбирая между реализациями во время работы программы

5. после бекдор мониторит динамическое подключение библиотек к процессу через тут же поставленный audit hook, ожидая подключение библиотеки RSA_public_decrypt@got.plt

6. увидев подключение RSA_public_decrypt@got.plt, бекдор подменяет адрес библиотеки на адрес подконтрольного кода

Готово! Теперь, при подключении по SSH, в контексте перед аутентфикацией по ключу, процесс исполнит подконтрольный злоумышленнику код =)

Для великих пывнеров, разрабов малвари и прочих заинтересованных, рекомендую почитать текст оригинального письма, описывающего бэкдор и описание ситуации с бэкдором на гитхабе

EN: https://w0ltage.github.io/blog/Articles/xz-v5.6.0-1-backdoor

#infrastructure #research #vulnerability_research

Пометка из комментариев, если запутались "а как это сжатие в архив связано с ssh, это же разные бинари". Вся проблема в библиотеке lzma, которая иногда становится зависимостью OpenSSH

Да, ибо liblzma порой становится зависимостью OpenSSH. Обычно, это может произойти, когда дистрибутив патчит OpenSSH для поддержки Systemd уведомлений, от чего libsystemd начинает зависеть от liblzma. Поэтому, ванильный OpenSSH не уязвим к этому бэкдору

источник - пост на арч форуме по бэкдору

это мы читаем

#web #client_side #xss #tool

Нулевой в ML?
За пару дней до конфы, обязательно посмотри вводный доклад про LLM, длиною в 60 минут.

Узнаешь что модели из себя представляют, в чем трудности обучения, как много индусов надо чтобы сделать AI-ассистента и даже про базовые атаки найдёшь.

После, подписывайся на @pwnai, ведь теперь ты будешь понимать о чём Артём пишет в своих постах и использовать это!

Без его помощи этого доклада могло бы и не быть, поэтому благодарим подписочкой

#guide #ai

желаю, чтобы на вас смотрели так же, как на меня смотрит CUB_3