Re: HACK NGINX+DAV
Максим добрый день. Что найдено то и показано. Без затей. Для тех кого это может коснуться. > Этим вы показали только то, что устаревшая версия nginx с кучей сторонних > модулей имеет возможность переименовывать/удалять директории, на которые у > nginx нет прав. Инет не идеален:) Версия не самая последняя, и модули есть сторонние, и вероятно тоже не самые последние. Предполагаю, что так - не у меня одного:) Сферические кони в идеальном вакууме это утопия:))) > Поставьте чистый nginx последней версии из официального репозитория nginx > или соберите из исходников и тогда продемонстрируйте баг. Так и сделаю конечно. PS: Да я согласен с вами, что дырка может быть в любом используемом модуле и в lua. "Будем искать"(c)кф Бриллиантовая рука. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,271302,271330#msg-271330 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: HACK NGINX+DAV
Константин спасибо! Так и сделаю. вообще все излишества уберу при тесте. Уважаемые если у кого нибудь уже стоит такой минималистический nginx, буду благодарен услышать Ваш результат. Проверить можно за 2 минуты. Вот тут ролик как это сделать. https://forum.nginx.org/read.php?21,271302,271327#msg-271327 Posted at Nginx Forum: https://forum.nginx.org/read.php?21,271302,271329#msg-271329 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: HACK NGINX+DAV
Этим вы показали только то, что устаревшая версия nginx с кучей сторонних модулей имеет возможность переименовывать/удалять директории, на которые у nginx нет прав. При всех сторонних модулях вы даже не показали конфиг. Я предполагаю, что тот же lua можно заставить запускать внешние скрипты через sudo. Т.е. вы своим видео не показали ничего стоящего. Можно еще показать использование бага с дырявым openssl и тоже сказать, что виноват nginx. Или вот еще один прекрасный пример "уязвимости nginx" - https://www.opennet.ru/opennews/art.shtml?num=45515 Поставьте чистый nginx последней версии из официального репозитория nginx или соберите из исходников и тогда продемонстрируйте баг. 4 декабря 2016 г., 10:08 пользователь itcodнаписал: > Добрый день уважаемые. > Меня попросили подтвердить слова о баге который я описал в первом посте. > Заснял процесс переименования и удаления папки владельца root, > гипотетически > не имея на это прав. > Использовались WEBDAV команды MOVE и DELETE которые формировал BitKinex. > > https://www.youtube.com/watch?v=R1pwuqo0gVY > > ps: не вошли в ролик тесты с командой COPY хотя там тоже таже проблема. > > Posted at Nginx Forum: https://forum.nginx.org/read. > php?21,271302,271327#msg-271327 > > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: HACK NGINX+DAV
Добрый день уважаемые. Меня попросили подтвердить слова о баге который я описал в первом посте. Заснял процесс переименования и удаления папки владельца root, гипотетически не имея на это прав. Использовались WEBDAV команды MOVE и DELETE которые формировал BitKinex. https://www.youtube.com/watch?v=R1pwuqo0gVY ps: не вошли в ролик тесты с командой COPY хотя там тоже таже проблема. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,271302,271327#msg-271327 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: HACK NGINX+DAV
> On Dec 3, 2016, at 1:03 PM, itcodwrote: > > Буду благодарен если сообщество подскажет где для этих тестов взять > бесплатную временную виртуалку с федорой. Без заморочек с инсталяциями оси и > излишней настройкой, а то как обычно времени на админскую рутину нет > совсем:) http://promocodeclub.com/digitalocean-promo-code/ > Знать бы только какие по мнению авторов nginx > - "ЛИШНИЕ" при подобном тесте:) Очевидно, сторонние модули по мнению авторов nginx - это те модули, которые разработаны не ими. В вашей конфигурации это вот: --add-module=/usr/src/1/nginx-dav-ext-module-master --add-module=/usr/src/1/f4f-hds-master --add-module=/usr/src/1/echo-nginx-module-master --add-module=/usr/src/1/nginx_md5_filter-master --add-module=/usr/src/1/ngx_devel_kit-master --add-module=/usr/src/1/lua-nginx-module-master --add-module=/usr/src/1/set-misc-nginx-module-master Модуль Dav-Ext - сторонний. Если ваш баг воспроизводится только с ним, но не со штатным dav-модулем - обращайтесь к разработчику модуля Dav-Ext. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: HACK NGINX+DAV
Коллеги, кажется автор знатный троль. 3 декабря 2016 г., 18:20 пользователь itcodнаписал: > Эх Виталий! Перед новым годом, временем на танцы с бубном > катастрофически не хватает:))) Проще арендовать готовую VPS'ку на месяц за > 250рублей и протестить найденый баг:) > > Posted at Nginx Forum: https://forum.nginx.org/read. > php?21,271302,271321#msg-271321 > > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
[offtop] was: HACK NGINX+DAV
On 12/03/16 05:03, itcod wrote: Буду благодарен если сообщество подскажет где для этих тестов взять бесплатную временную виртуалку с федорой. Без заморочек с инсталяциями оси и излишней настройкой, а то как обычно времени на админскую рутину нет совсем:) У Amazon AWS есть Free Tair - для тестов хватит (ec2 micro instance с ограничением часов). Но если нет опыта использования AWS, то вместо установки ОС время будет потрачено на то чтобы разобраться в запутанном интерфейсе AWS и многочисленных аббривиатурах. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: HACK NGINX+DAV
Эх Виталий! Перед новым годом, временем на танцы с бубном катастрофически не хватает:))) Проще арендовать готовую VPS'ку на месяц за 250рублей и протестить найденый баг:) Posted at Nginx Forum: https://forum.nginx.org/read.php?21,271302,271321#msg-271321 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: HACK NGINX+DAV
И так и эдак. Без разницы каким девайсом терминально по ssh на серв в инете входить Если и не прозвучат демо-VPS'ки, для быстрого старта тестов, то через пару недель как поосвобожусь, разверну у кого нить из своих друзей vps'ку тестовую под libvirt и сделаю тесты найденой дыры на чистой федорке с нжиниксом без лишних модулей. Знать бы только какие по мнению авторов nginx - "ЛИШНИЕ" при подобном тесте:) Posted at Nginx Forum: https://forum.nginx.org/read.php?21,271302,271319#msg-271319 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: HACK NGINX+DAV
Почитайте про вагрант, он как раз на личный ПК ставится и позволяет запустить базовый образ с уже установленной ОС на базе virtualbox. Развернуть федору можно за 5 минут. 3 декабря 2016 г., 13:35 пользователь itcodнаписал: > У меня своих только боевой и девел-серв на которых по феншую "ничего > лишнего". Так что варианты с vagrant/ libvirt/etc отпадают. Идеально imho > VPS'ку гдето в инете с привычным федоркой:) > > Posted at Nginx Forum: https://forum.nginx.org/read. > php?21,271302,271313#msg-271313 > > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: HACK NGINX+DAV
А управляете Вы этим всем с планшета или телефона? Denis Kot Skype: kot.denis 3 декабря 2016 г., 11:35 пользователь itcodнаписал: > У меня своих только боевой и девел-серв на которых по феншую "ничего > лишнего". Так что варианты с vagrant/ libvirt/etc отпадают. Идеально imho > VPS'ку гдето в инете с привычным федоркой:) > > Posted at Nginx Forum: https://forum.nginx.org/read. > php?21,271302,271313#msg-271313 > > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: HACK NGINX+DAV
У меня своих только боевой и девел-серв на которых по феншую "ничего лишнего". Так что варианты с vagrant/ libvirt/etc отпадают. Идеально imho VPS'ку гдето в инете с привычным федоркой:) Posted at Nginx Forum: https://forum.nginx.org/read.php?21,271302,271313#msg-271313 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: HACK NGINX+DAV
Можно поставить vagrant и подгрузить этот образ: https://atlas.hashicorp.com/fedora/boxes/23-cloud-base 3 декабря 2016 г., 13:03 пользователь itcodнаписал: > Дмитрий добрый день! > > Предлагаю повторить это все на с нуля установленной системе и nginx > > без сторонних модулей > > Буду благодарен если сообщество подскажет где для этих тестов взять > бесплатную временную виртуалку с федорой. Без заморочек с инсталяциями оси > и > излишней настройкой, а то как обычно времени на админскую рутину нет > совсем:) > > Posted at Nginx Forum: https://forum.nginx.org/read. > php?21,271302,271311#msg-271311 > > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: HACK NGINX+DAV
Дмитрий добрый день! > Предлагаю повторить это все на с нуля установленной системе и nginx > без сторонних модулей Буду благодарен если сообщество подскажет где для этих тестов взять бесплатную временную виртуалку с федорой. Без заморочек с инсталяциями оси и излишней настройкой, а то как обычно времени на админскую рутину нет совсем:) Posted at Nginx Forum: https://forum.nginx.org/read.php?21,271302,271311#msg-271311 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru