книги хакеры / журнал хакер / 203_Optimized

Немного веселой криптографии никогда не повредит, так что давай разберемся с одной из относительно простых, но юзабельных атак на так называемый двухразовый блокнот (two-time pad). Сначала, впрочем, пройдемся по терминологии и принципам работы шифра.

Одноразовый блокнот, или one-time pad (OTP), — это такой «поточный» шифр. Его суть сводится к тому, что исходные данные просто ксорятся (XOR) со случайным ключом. При этом ключ должен быть такой же длины, что и данные, и никогда повторно не использоваться. И все. Полученный текст зашифрован, и расшифровать его без ключа никто не сможет.

Как видишь, идея проста, но при этом надежна. Однако у этого шифра есть серьезный минус — ключ не должен повторяться (есть, конечно, и другие минусы, такие как проблемы распространения ключей, но для нашей задачки это не важно). Проблема усугубляется, когда необходимо часто передавать данные или данных много (например, когда этот метод шифрования используется в каком-нибудь сетевом протоколе). Если ключ применялся повторно, то возникает ситуация two-time pad — «блокнот» используется два и более раз. Если атакующий перехватил два сообщения, которые зашифрованы одним ключом, то он может попытаться провести атаку Crib Drag. Чтобы понять ее идею, давай пройдемся по всем пунктам шифрования данных.

Итак, у нас есть:

M1, M2 — первое и второе незашифрованные (изначальные) сообщения;

C1, C2 — первое и второе зашифрованные сообщения, известные

атакующему;

K — ключ, который используется для шифрования обоих сообщений.

Сообщения же шифруются следующим образом:

C1 = M1^K

C2 = M2^K

Как ты знаешь, XOR — это простейшая операция и, что важно, «обратимая»:

K = C1^M1

K = C2^M2

Получаем что-то вроде классического уравнения. Соединим части вместе:

C1^M1 = C2^M2

АНАЛИЗ СВЕЖЕНЬКИХ УЯЗВИМОСТЕЙ

ОТ XSS ДО RCE В ATLASSIAN HIPCHAT

Atlassian HipChat представляет собой веб-сервис для общения как внутри команды, так и один на один. Причина его популярности — плотная интеграция с остальными продуктами Atlassian, а также с другими популярными сервисами для разработчиков (GitHub, Heroku и подобными).

Для рендеринга таких объектов, как изображения, видео и смайлы, клиент HipChat использует встроенный движок WebKit. В клиентах для OS X, Windows и iOS при обработке URL-адресов текст, содержащий javascript:, неправильно конвертируется и превращается в ссылки. Несмотря на то, что это обычная уязвимость типа XSS, в нашем случае она, благодаря тому что позволяет получить доступ к локальным файлам, приводит к удаленному выполнению кода.

Клиент изучает входящие сообщения на наличие данных, которые нужно обработать. К примеру, он поддерживает популярные протоколы, такие как http://, ftp:// и ile://. Помимо этого, парсер обрабатывает любую конструкцию типа любое_слово:// или любое_слово:/любое_слово и превращает

еев кликабельную ссылку.

Всвязи с этим возникает небольшая проблема: так как обработчик ждет символ / после двоеточия, то наш JavaScript-код будет начинаться с /. Решение — добавить второй слеш и символ перевода на новую строку. В результате мы получим строку с комментарием и за ним строку с нашим кодом.

Продолжим анализ. Когда мы кликаем ссылку, HipChat пытается ее открыть с помощью браузера, установленного по умолчанию. Это происходит, потому

что ссылка передается операционной системе. То есть, нажав на ссылку вида http://..., мы в большинстве случаев откроем ее в веб-браузере. Но что произойдет с ile://? Система запустит его. В итоге мы можем с помощью XSS выполнить приложение.

К сожалению, это будет работать только с приложениями на удаленном компьютере и не позволяет нам передать аргументы.

EXPLOIT

Получается, что нам нужно запустить или собственное приложение, или скрипт, то есть необходим файл, который можно контролировать и который находится

визвестном месте.

Вэтом нам поможет особенность обработки FTP-ссылок. Если такая ссылка содержит имя пользователя и пароль, то OS X, к примеру, автоматически подключится к FTP и смонтирует его как отдельный раздел.

Соединяемся, к примеру, с ftp://anonymous:x@104.131.88.251/. В случае успеха получим ile:///Volumes/104.131.88.251/.

Витоге получим следующий эксплоит.

Пример успешного запуска эксплоита для уязвимости в HipChat на OS

Раскрытие файлов в HipChat-клиенте для iOS-устройств

В устройствах Samsung, использующих Android 5, есть Android-приложение, которое наблюдает за файловыми операциями в директории /sdcard/Download/. Для этого используется FileObserver, механизм, основанный на уведомлениях. Когда имя файла начинается с cred, заканчивается на .zip и находится в указанной выше директории, то вызывается unzip для этого архива. После успешного завершения процесса разархивации сам архив удаляется. Unzip извлекает файлы из cred[something].zip в /data/bundle/.

При этом нет никакой проверки имен извлекаемых файлов, что позволяет нам создать файл, начинающийся, к примеру, с ../, который запишется вне директории /data/bundle/. В итоге атакующий может записать произвольные данные в любое место в системе, имея права доступа system. Помимо этого, путь /sdcard/Download является директорией по умолчанию для Google Chrome и встроенного браузера, по тому же пути сохраняются и вложения из писем в Gmail, так что получаем еще и возможность удаленного выполнения кода на устройстве.

Разберем уязвимость подробнее. В качестве тестового устройства возьмем Samsung Galaxy S6.

Уязвимый код находится в приложении Hs20Settings.apk. Оно регистрирует BroadcastReceiver с именем WiiHs20BroadcastReceiver, который выполняется при загрузке и при различных Wi-Fi-событиях (android.net.wii.STATE_ CHANGE).

Отмечу, что уязвимый код может находиться где угодно на разных устройствах Samsung. К примеру, в Samsung Galaxy S5 он находится в приложении

SecSettings.apk.

Когда BroadcastReceiver срабатывает на одном из указанных событий, то выполняется следующий код.