La mala costum del copy/paste: What You See Is Not What You Copy (WYSINWYC)

Ahir comentàvem amb un company la costum tan dolenta de fer copy/paste que tenen els nostres alumnes, tota la informació que els hi aportem o troben en format de tutorial acaba igual que l’aigua destil·lada: tal com entra surt.  Això em va fer recordar una antiga tècnica per a inyectar comandes a un terminal d’un usuari que tingués aquest hàbit.  La tècnica, que té l’acrònim de WYSINWYC (What You See Is Not What You Copy), va ser publicada ja en el 2008 i a dia d’avui encara és més que factible i explotable!

La idea és simple: utilitzar una capa, amb l’etiqueta span, per a amagar comandes que al fer copy/paste també es copiaran i s’executaran en el terminal de la víctima.  Per a fer la prova de concepte podeu crear una arxiu html i incloure aquest codi:

<html>
<head>
<meta charset=”UTF-8″>
</head>
<body>
Això és un PoC. Fes copy paste d’aquesta comanda al terminal de Linux.<p>
ls
<span style=”position: absolute; left: -100px; top: -100px”>
> /dev/null <br>
cat /etc/passwd<br>
</span>
-la
</body>
</html>

El resultat, si ho obres amb FireFox o un navegador similar serà aquest:

Resultat de l'atac WYSINWYC... ara fes copy/paste de la comanda ls -la

Resultat de l’atac WYSINWYC… ara fes copy/paste de la comanda ls -la

I ara què? Doncs prova de fer copy/paste a un terminal d’aquesta comanda ls -la

Sorpresa! S’ha llistat el contingut de l’arxiu /etc/passwd !

Si ens fixem en el codi de la web veurem que dins de la capa <span> hi he posat primer una redirecció cap a null per a que la comanda ls que es copia primera no aparegui per pantalla i que els “enters” son en aquest cas etiquetes <br>.  Podríem millorar el codi per a fer-ho més elegant i que l’usuari no  res de res.

A partir d’aquí aplicar la imaginació.  Podríem fer que s’obris un port amb el netcat, obrint així una backdoor, o que s’executessin comandes com wget per a descarregar i executar rootkits, etc.  De fet, i sense pensar gaire estona, veurem que ens dona control total sobre l’ordinador objectiu!!! (calen permisos de root? feu que la comanda porti un sudo i deixem que l’usuari ens entri el password XD).

En definitiva, un atac demoledor i molt útil per a infectar màquines, crear botnets, etc…

Si seguiu tutorials copieu a mà les comandes, aprendreu més i us estalviareu problemes!

Sigueu bons!

Anuncis

~ per madyyelf a 12 febrer 2015.