Re: HACK NGINX+DAV

[itcod]

Максим добрый день.
Что найдено то и показано. Без затей. Для тех кого это может коснуться.
> Этим вы показали только то, что устаревшая версия nginx с кучей сторонних
> модулей имеет возможность переименовывать/удалять директории, на которые
у
> nginx нет прав.
Инет не идеален:) Версия не самая последняя, и модули есть сторонние, и
вероятно тоже не самые последние. 
Предполагаю, что так - не у меня одного:) Сферические кони в идеальном
вакууме это утопия:)))

> Поставьте чистый nginx последней версии из официального репозитория nginx
> или соберите из исходников и тогда продемонстрируйте баг. 
Так и сделаю конечно. 

PS: Да я согласен с вами, что дырка может быть в любом используемом модуле и
в lua. 
"Будем искать"(c)кф Бриллиантовая рука.

Posted at Nginx Forum: 
https://forum.nginx.org/read.php?21,271302,271330#msg-271330

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: HACK NGINX+DAV

[itcod]

Константин спасибо!
Так и сделаю. вообще все излишества уберу при тесте.
Уважаемые если у кого нибудь уже стоит такой минималистический nginx, буду
благодарен 
услышать Ваш результат.
Проверить можно за 2 минуты. Вот тут ролик как это сделать.
https://forum.nginx.org/read.php?21,271302,271327#msg-271327

Posted at Nginx Forum: 
https://forum.nginx.org/read.php?21,271302,271329#msg-271329

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: HACK NGINX+DAV

[Maksim Kulik]

Этим вы показали только то, что устаревшая версия nginx с кучей сторонних
модулей имеет возможность переименовывать/удалять директории, на которые у
nginx нет прав. При всех сторонних модулях вы даже не показали конфиг. Я
предполагаю, что тот же lua можно заставить запускать внешние скрипты через
sudo. Т.е. вы своим видео не показали ничего стоящего.
Можно еще показать использование бага с дырявым openssl и тоже сказать, что
виноват nginx.
Или вот еще один прекрасный пример "уязвимости nginx" -
https://www.opennet.ru/opennews/art.shtml?num=45515

Поставьте чистый nginx последней версии из официального репозитория nginx
или соберите из исходников и тогда продемонстрируйте баг.

4 декабря 2016 г., 10:08 пользователь itcod 
написал:

> Добрый день уважаемые.
> Меня попросили подтвердить слова о баге который я описал в первом посте.
> Заснял процесс переименования и удаления папки владельца root,
> гипотетически
> не имея на это прав.
> Использовались WEBDAV команды MOVE и DELETE которые формировал BitKinex.
>
> https://www.youtube.com/watch?v=R1pwuqo0gVY
>
> ps: не вошли в ролик тесты с командой COPY хотя там тоже таже проблема.
>
> Posted at Nginx Forum: https://forum.nginx.org/read.
> php?21,271302,271327#msg-271327
>
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: HACK NGINX+DAV

[itcod]

Добрый день уважаемые.
Меня попросили подтвердить слова о баге который я описал в первом посте.
Заснял процесс переименования и удаления папки владельца root, гипотетически
не имея на это прав.
Использовались WEBDAV команды MOVE и DELETE которые формировал BitKinex. 

https://www.youtube.com/watch?v=R1pwuqo0gVY

ps: не вошли в ролик тесты с командой COPY хотя там тоже таже проблема.

Posted at Nginx Forum: 
https://forum.nginx.org/read.php?21,271302,271327#msg-271327

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: HACK NGINX+DAV

[Konstantin Baryshnikov]

> On Dec 3, 2016, at 1:03 PM, itcod  wrote:
> 
> Буду благодарен если сообщество подскажет где для этих тестов взять
> бесплатную временную виртуалку с федорой. Без заморочек с инсталяциями оси и
> излишней настройкой, а то как обычно времени на админскую рутину нет
> совсем:)

http://promocodeclub.com/digitalocean-promo-code/

> Знать бы только какие по мнению авторов nginx
> - "ЛИШНИЕ" при подобном тесте:)

Очевидно, сторонние модули по мнению авторов nginx - это те модули, которые 
разработаны не ими. В вашей конфигурации это вот:

--add-module=/usr/src/1/nginx-dav-ext-module-master
--add-module=/usr/src/1/f4f-hds-master
--add-module=/usr/src/1/echo-nginx-module-master
--add-module=/usr/src/1/nginx_md5_filter-master
--add-module=/usr/src/1/ngx_devel_kit-master
--add-module=/usr/src/1/lua-nginx-module-master
--add-module=/usr/src/1/set-misc-nginx-module-master

Модуль Dav-Ext - сторонний. Если ваш баг воспроизводится только с ним, но не со 
штатным dav-модулем - обращайтесь к разработчику модуля Dav-Ext.
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: HACK NGINX+DAV

[Vitaliy Okulov]

Коллеги, кажется автор знатный троль.

3 декабря 2016 г., 18:20 пользователь itcod 
написал:

> Эх Виталий! Перед новым годом, временем на танцы с бубном
> катастрофически не хватает:))) Проще арендовать готовую VPS'ку на месяц за
> 250рублей и протестить найденый баг:)
>
> Posted at Nginx Forum: https://forum.nginx.org/read.
> php?21,271302,271321#msg-271321
>
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

[offtop] was: HACK NGINX+DAV

[Anton Yuzhaninov]

On 12/03/16 05:03, itcod wrote:

Буду благодарен если сообщество подскажет где для этих тестов взять
бесплатную временную виртуалку с федорой. Без заморочек с инсталяциями оси и
излишней настройкой, а то как обычно времени на админскую рутину нет
совсем:)


У Amazon AWS есть Free Tair - для тестов хватит (ec2 micro instance с 
ограничением часов). Но если нет опыта использования AWS, то вместо 
установки ОС время будет потрачено на то чтобы разобраться в запутанном 
интерфейсе AWS и многочисленных аббривиатурах.


___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: HACK NGINX+DAV

[itcod]

Эх Виталий! Перед новым годом, временем на танцы с бубном
катастрофически не хватает:))) Проще арендовать готовую VPS'ку на месяц за
250рублей и протестить найденый баг:)

Posted at Nginx Forum: 
https://forum.nginx.org/read.php?21,271302,271321#msg-271321

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: HACK NGINX+DAV

[itcod]

И так и эдак. Без разницы каким девайсом терминально по ssh на серв в инете
входить 
Если и не прозвучат демо-VPS'ки, для быстрого старта тестов, то через пару
недель как поосвобожусь, разверну у кого нить из своих друзей vps'ку
тестовую под libvirt и сделаю тесты найденой дыры на чистой федорке с
нжиниксом без лишних модулей. Знать бы только какие по мнению авторов nginx
- "ЛИШНИЕ" при подобном тесте:)

Posted at Nginx Forum: 
https://forum.nginx.org/read.php?21,271302,271319#msg-271319

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: HACK NGINX+DAV

[Vitaliy Okulov]

Почитайте про вагрант, он как раз на личный ПК ставится и позволяет
запустить базовый образ с уже установленной ОС на базе virtualbox.
Развернуть федору можно за 5 минут.

3 декабря 2016 г., 13:35 пользователь itcod 
написал:

> У меня своих только боевой и девел-серв на которых по феншую "ничего
> лишнего". Так что варианты с vagrant/ libvirt/etc отпадают. Идеально imho
> VPS'ку гдето в инете с привычным федоркой:)
>
> Posted at Nginx Forum: https://forum.nginx.org/read.
> php?21,271302,271313#msg-271313
>
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: HACK NGINX+DAV

[Denis Kot]

А управляете Вы этим всем с планшета или телефона?

Denis Kot
Skype: kot.denis


3 декабря 2016 г., 11:35 пользователь itcod 
написал:

> У меня своих только боевой и девел-серв на которых по феншую "ничего
> лишнего". Так что варианты с vagrant/ libvirt/etc отпадают. Идеально imho
> VPS'ку гдето в инете с привычным федоркой:)
>
> Posted at Nginx Forum: https://forum.nginx.org/read.
> php?21,271302,271313#msg-271313
>
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: HACK NGINX+DAV

[itcod]

У меня своих только боевой и девел-серв на которых по феншую "ничего
лишнего". Так что варианты с vagrant/ libvirt/etc отпадают. Идеально imho
VPS'ку гдето в инете с привычным федоркой:)

Posted at Nginx Forum: 
https://forum.nginx.org/read.php?21,271302,271313#msg-271313

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: HACK NGINX+DAV

[Vitaliy Okulov]

Можно поставить vagrant и подгрузить этот образ:
https://atlas.hashicorp.com/fedora/boxes/23-cloud-base


3 декабря 2016 г., 13:03 пользователь itcod 
написал:

> Дмитрий добрый день!
> > Предлагаю повторить это все на с нуля установленной системе и nginx
> > без сторонних модулей
>
> Буду благодарен если сообщество подскажет где для этих тестов взять
> бесплатную временную виртуалку с федорой. Без заморочек с инсталяциями оси
> и
> излишней настройкой, а то как обычно времени на админскую рутину нет
> совсем:)
>
> Posted at Nginx Forum: https://forum.nginx.org/read.
> php?21,271302,271311#msg-271311
>
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: HACK NGINX+DAV

[itcod]

Дмитрий добрый день!
> Предлагаю повторить это все на с нуля установленной системе и nginx
> без сторонних модулей

Буду благодарен если сообщество подскажет где для этих тестов взять
бесплатную временную виртуалку с федорой. Без заморочек с инсталяциями оси и
излишней настройкой, а то как обычно времени на админскую рутину нет
совсем:)

Posted at Nginx Forum: 
https://forum.nginx.org/read.php?21,271302,271311#msg-271311

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru