Waxay soo jeedinayaan in hoos loo dhigo oo laga saaro borotokoolka Fedora SCP

Darkcrizt

Daqiiqado 4

Jakub jelen (injineerka amniga Koofiyad Cas) wuxuu soo jeediyay in maamuuska SCP loo aqoonsado mid duugoobay si hadhow loogu sii socdo tirtirkeeda. Sida SCP fikir ahaan waxay kudhowdahay RCP waxayna dhaxashaa dhibaatooyinka dhismaha aasaaska u ah isha u nuglaanta suurtagalka ah.

Gaar ahaan, SCP iyo RCP, adeeguhu wuxuu aqbalaa go'aanka feylasha iyo tilmaamaha loo dirayo macmiilka, macmiilkuna wuxuu raacayaa tilmaamaha adeegaha wuxuuna kaliya hubiyaa saxnaanta magacyada shay la soo celiyay.

Adoo ku xiraya server uu maamulo weeraryahan, adeeguhu wuxuu geyn karaa faylal kale, taas oo marar badan horseeday in la aqoonsado jilicsanaanta.

Tusaale ahaan, illaa goor dhoweyd, macmiilku wuxuu hubiyay oo keliya galka hadda jira, laakiin ma uusan xisaabtamin in adeeguhu uu soo saari karo feyl magac ka duwan oo uu ku qori karo faylal aan la codsanayn (tusaale ahaan, halkii laga heli lahaa "test.txt" codsadey, adeeguhu wuxuu diri karaa feyl la yiraahdo ». bashrc« waxaana qori doona macmiilka).

Qoraalka, oo uu daabacay Jakub Jelen, waxaad ka akhrisan kartaa waxyaabaha soo socda:

Waad salaaman tihiin dadka isticmaala Fedora! Sanadihii la soo dhaafay, waxaa jiray dhowr arrimood oo ku saabsan borotokoolka SCP, taasoo keentay wadahadal in aan uga takhalusi karno wejiyada hore.

Codadka badankood waxay yiraahdeen waxay u isticmaalaan SCP badiyaa nuqullada ad-hoc fudud iyo sababta oo ah adeegga sftp ma bixinayo is-dhexgal fudud oo lagu koobiyeysto hal ama laba feylal oo horay iyo gadaal ah iyo sababta oo ah dadka waxaa loo isticmaalaa inay wax ku qoraan scp halkii ay ka ahaan lahaayeen sftp.

Dhibaato kale oo haysata maamuuska SCP waa muujinta ka shaqeynta doodaha.

Tan iyo markii lagu xusay taas markaad nuqul ka faylalka ku dareyso server-ka dibadda wadada faylka waxaa lagu dhejiyay dhamaadka amarka scp maxalli ah, tusaale ahaan, markii aad maamusho amarka «scp / sourcefile remoteserver: 'touch / tmp / exploit.sh` / targetfile'» oo ku saabsan adeegaha, amarka »taabashada / tmp / exploit.sh» faylka / tmp-na waa la abuuray /exploit.sh, markaa waa muhiim in la isticmaalo astaamaha baxsadka saxda ah ee scp.

Marka scp loo isticmaalo in si tartiib tartiib ah loogu gudbiyo waxyaabaha ku jira tusaha (ikhtiyaarka "-r") nidaamyada faylalka ee aqbala '' 'astaamaha magacyada faylka, weeraryahan wuxuu abuuri karaa fayl leh rushooyin wuxuuna sameyn karaa koodhka lagu socodsiinayo.

OpenSSH dhibaatadan wali lama saxayo, maaddaama ay dhib tahay in la saxo iyada oo aan la jabin iswaafajinta dib u dhaca, tusaale ahaan amarrada oo socda si loo hubiyo in buugga uu jiro ka hor inta aan la koobiyeynin.

Wadahadalladii hore waxay muujiyeen in scp guud ahaan loo isticmaalo in lagu nuqulo feylal hal nidaam oo kale.

Si kastaba ha ahaatee, dad badan ayaa adeegsada scp halkii ay ka isticmaali lahaayeen sftp interface ka fudud awgeed oo ay iska cadahay in la nuqulo feylasha, ama caado uun. Jakub wuxuu soo jeedinayaa adeegsiga dhaqan gelinta aasaasiga ah ee adeegga scp, loo beddelay adeegsiga qawaaniinta SFTP (kiisaska qaaska ah qaarkood, adeegga ayaa bixiya ikhtiyaarka "-M scp" si loogu laabto qawaaniinta SCP), ama lagu daro qaab iswaafajin sftp utility taas oo kuu ogolaaneysa inaad u isticmaasho sftp sida bedelka hufan ee scp.

Bilo ka hor ayaan u qoray balastar scp si loogu isticmaalo SFTP gudaha (iyadoo suurtagal ay tahay in dib loogu badalo iyadoo la isticmaalayo -M scp) oo si guul leh ugu orday tijaabooyinka qaarkood.

Jawaab celinta guud ee kor u kacday sidoo kale waxay ahayd mid aad u wanaagsan, sidaa darteed waxaan jeclaan lahaa inaan sidoo kale ka maqlo adeegsadeyaashayada. Waxay wali leedahay xoogaa xaddidaad ah (taageerada ayaa ka maqan, ma shaqeyn doonto haddii adeeguhu uusan socodsiinin nidaamka sftp,…), laakiin waa inuu kufiican yahay kiisaska isticmaalka ugu badan.

Inta udhaxeysa xadeynta ee habka la soo jeediyey, suurtagal la'aanta in xog la isku weydaarsado server-yo aan bilaabin sftp subsystem ayaa la sheegay, iyo maqnaanshaha habka wareejinta ee udhaxeysa laba marti-bixiye dibadeed oo transit ku maraya martigaliyaha maxaliga ah ("-3" mode). Qaar ka mid ah isticmaaleyaasha ayaa sidoo kale ogsoon in SFTP ay waxyar ka dambeyso SCP marka loo eego baaxadda ballaadhinta, taas oo noqonaysa mid si weyn looga dareemayo isku xirnaanta liidata ee daahitaanka sare.

Imtixaan ahaan, xirmo kale oo furan ayaa horey loogu meeleeyay qaybta keydka, iyadoo lagu dhajinayo hirgelinta adeegga 'scp utility' ee nidaamka SFTP.

source: https://lists.fedoraproject.org/


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.