如何“组合拳”渗透开发者的本地数据库

安全 黑客攻防
如果你是一名开发人员,平时可能在本地会运行一些数据库服务,比如Redis,、Memcached、Elasticsearch之流。相信很多产品都会依赖这一类的服务,但是你可能不知道,这些本地运行的服务能跟你在外网访问的网站进行通信,黑客也许能借此从你本地服务中窃取数据。

 [[171265]]

如果你是一名开发人员,平时可能在本地会运行一些数据库服务,比如Redis,、Memcached、Elasticsearch之流。相信很多产品都会依赖这一类的服务。

但是你可能不知道,这些本地运行的服务能跟你在外网访问的网站进行通信,黑客也许能借此从你本地服务中窃取数据。

攻击如何生效的

虽然笔者下面要讲的并不是新的东西,但攻击利用方法其实还是比较新颖的,因为以前很少有人把这些攻击组合在一起。在这里,我将结合两种不同技术进行测试,即“跨协议脚本”+“DNS重新绑定”。

跨协议脚本(cross protocol scripting)

第一种技术我们称之为“跨协议脚本”,有人在2001年曾经放出过这种攻击的细节。简单解释下攻击原理,那就是Redis、Memcached都存在一个简单的命令行协议,它会忽略无效的命令内容。这意味着,你的浏览器如果发送下面的HTTP请求到你本地的redis(localhost:6379),redis就会执行相应的SET命令。

  1. POST / HTTP/1.1  
  2. Host: localhost:6379  
  3. SET abc 123  
  4. QUIT 

恶意站点可以通过下面的form表单,借助你的手给你本地的redis发送恶意请求:

  1. <form enctype="text/plain"method="POST" action="http://localhost:6379">  
  2. <textarea name="abc">  
  3. SET abc 123  
  4. QUIT  
  5. </textarea>  
  6. <input type="submit"value="Submit" />  
  7. </form> 

而Elasticsearch协议则完全是基于HTTP,所以在通信时没有什么特别的技巧和需要注意的地方。

但是我们在执行上面的测试命令时,实际上是不能直接收到结果的。这是因为浏览器的同源策略,会在你发送请求给另一个域时,能进行限制让你无法取得返回的数据。那么,现在我们就需要用到上面讲的另外一门技术了。

DNS重绑定(DNS Rebinding)

简单解释下,DNS重绑定的攻击原理就是字面的意思,我们采用某种手段重新更新一下DNS A记录,绑定为别的地址。

为了绕过同源策略的保护,我们可以使用DNS重绑定技术,这种攻击需要一台跟你相对TTL值很低的服务器作为域名站点。一旦你浏览器访问了恶意网站,站点上的恶意代码会在特定的时刻,突然将站点DNS记录更改到另外一个的IP地址,比如你私有的IP地址(127.0.0.1),该恶意站点就能借此窃取你本地服务里面的数据。当然,这前提是在它访问你本地的服务时,能够通过相应的认证授权。

POC代码

我在extractdata.club网站上插入了攻击的POC代码,它会主动尝试连接你本地默认端口的Redis, Memcached和Elasticsearch服务。

大约一分钟后,这个网站会返回类似于下面的页面。

logo.jpg

这里的POC只会接收服务的版本信息,并不会去漫游你整个数据库,咱们的POC代码在这里

修复方案

很遗憾其实没有特别好的办法来解决这个问题,但是我们可以试着为本地运行的服务设置密码。笔者还想出了一个办法,那就是对于Redis和Memcached这两种服务,只要检测到连接是通过HTTP请求发送来的,就可以立即阻止并退出。

对于浏览器方面来讲,厂商可以在浏览器里面实现“DNS阻塞(DNS pinning)”。简单来说就是,一旦某个网站被加载完成,浏览器就需要忽略其DNS的变化。

浏览器厂商也可以把Redis和Memcached端口加入它们阻塞的端口列表中,现在已经在列表中的常见协议有SMTP和IRC。当然,这办法是治标不治本,如果出现了新的服务还是会出现漏洞的。

后记

Chromium开发人员正在致力于移除对HTTP/0.9的支持,这样浏览器就不能从Redisand和Memcached读取数据了。然而,即使这样是这样做,黑客仍然可以进行远程命令执行。

对某些开发者来讲,本地使用的测试数据库里可能不会有太多有价值的东西。但黑客一旦拥有了读写权限,可能会对开发者的电脑进行远程代码执行操作。比如,黑客可以用恶意的payload覆盖疑似Ruby marshalled或者Python pickled数据,这样开发者的电脑就可能会沦陷。

结论

这个POC证明了计算机安全是很难得到绝对的保证的。有的时候,软件单独工作的时候看起来会很安全,但它们在交互时就可能就会产生一定的漏洞。

责任编辑:赵宁宁 来源: 黑客与极客
相关推荐

2017-04-01 18:00:08

开发者数据库

2017-11-23 15:06:14

前端数据库开发

2011-03-16 09:33:45

数据库开发错误

2011-03-16 09:38:05

2022-07-25 09:46:25

React数据库

2022-01-16 22:16:59

数据库Sentry开发者

2023-12-08 09:35:37

2018-08-19 14:45:10

甲骨文云服务数据库

2013-03-28 10:22:33

数据库关系型数据库数据库设计

2010-07-08 15:48:34

开源

2010-03-18 14:23:28

SQL Azure

2014-12-24 09:51:22

WebNoSQL

2014-12-24 09:48:13

NoSQL关系数据库

2013-07-23 14:18:24

2012-06-13 01:23:30

开发者程序员

2021-03-01 09:00:00

数据库Web开发

2023-10-04 11:16:03

数据库MySQL

2009-07-20 10:46:09

Ingres数据库

2014-02-01 21:31:10

JavaScriptJS框架
点赞
收藏

51CTO技术栈公众号