Отправка служебных сообщений в whatsapp через yowsup2 методом http-get, в том числе отчетов бэкап-сервера Bacula

Рекомендуем почитать:261-210x280.jpg

Xakep #261. Логические баги

Независимый исследователь Индраджит Бхуян (Indrajeet Bhuyan) обнаружил забавную уязвимость в WhatsApp. Воспользовавшись данным багом, можно вызывать аварийное завершение приложения у любого пользователя.

Ранее Бхуян уже находил похожую уязвимость. В декабре 2014 года он сообщил, что «уронить» WhatsApp можно при помощи сообщения, содержащего 2000 определенных слов (2 Кб объёмом). Эту брешь давно исправили, — тогда разработчикам пришлось ввести ограничение на количество символов в одном сообщении.

Ровно год спустя, Бхуян обнаружил новый баг, от которого не спасает лимит на определенное количество символов в сообщении. Дело в том, что введенное ограничение не распространяется на смайлы-эмодзи.

«В WhatsApp Web есть ограничение 5500-6600 символов, но если набрать 4200-4400 эмозди, браузер уже начинает тормозить, — пишет исследователь в своем блоге. — Так как лимит символов еще не достигнут, WhatsApp все равно позволит вам продолжить. При получении такое сообщение вызовет переполнение буфера, что приведет к “падению” приложения».

whatsapp.png

Подтверждено, что проблема актуальна для Android-приложения WhatsApp (баг работает для Marshmallow, Lollipop и Kitkat), а также для веб-версии приложения — WhatsApp Web (зависают браузеры Chrome, Opera и Firefox). Исследователь отмечает, что iPhone в результате атаки просто подвисает на несколько секунд, к аварийному завершению iOS-приложения атака не приводит.

Proof-of-Concept видео демонстрирует эмодзи-атаку в действии. Стоит заметить, что браузер атакующего тоже подвисает при отправке «смайл-бомбы».

https://www.youtube.com/watch?feature=player_embedded&v=hEMD5y3WGt4

Хотя исследователь уже уведомил о проблеме Facebook, исправление пока не было выпущено. Пока патча нет, жертвам данной атаки можно посоветовать лишь одно:  чтобы избавиться от проблемы, придется удалить всю историю сообщений с отправителем 4000+ эмодзи.

Фото: pandasecurity.com

  • Tutorial

Достаточно много видел примеров использования whatsapp-уведомлений с zabbix, и другими системами мониторинга, но на собственные эксперименты с whatsapp меня вдохновила эта статья. Однако если с системами мониторинга все ясно, то при наличии прекрасной «врожденной» системы email-оповещений, городить огород ради одной bacula было откровенно лень. Да и вдруг, потом захочется поставить zabbix или еще что-то куда-то послать? Каждому боту по ватсапу? Так что, пусть это будет что-то более универсальное. Например, отдельный сервер, который сможет обслужить bacula, zabbix, syslog-сервер, сайт или даже виндоусы с макинтошами. UPD: Сразу оговорюсь, что задачи «наиболее простым путем отправить произвольное сообщение на телефон» не стояло, так как есть джаббер, смс, любой мобильный email-клиент, наконец. Задача была: а) приспособить именно whatsapp, так как он уже есть в моем телефоне и еще около 1 млрд других, в отличие от того же пресловутого telegram б) сделать как можно более универсальный шлюз, с которого можно быстро перенаправить рассылку хоть куда, а то и дублировать. Приступим. Я ставил на «пустой» Centos 7 amdx64 в lxc-контейнер под proxmox ve 4.4. Первое, что обычно делаю — обновляю, подключаю epel и ставлю ssh, чтобы потом удобно работать

yum -y update yum -y install epel-release openssh-server systemctl enable sshd systemctl start sshd

Далее ставим зависимости и yowsup:

yum -y install unzip wget tar nano yum -y install python python-dateutil python-argparse yum -y install libtiff-devel libjpeg-devel libzip-devel freetype-devel lcms2-devel yum -y install gcc yum -y install protobuf pycrypto python-axolotl-curve25519 yum -y install python-devel python-pip python-imaging pip install --upgrade pip 

Скачиваем, распаковываем и устанавливаем yowsup:

cd /usr/src/ wget https://github.com/tgalal/yowsup/archive/master.zip unzip master cd yowsup-master/ python setup.py install

Регистрируем номер мобильного. Симка вставлена в мобильник (или шлюз, в моем случае) на который придет смс. Номер не должен быть засвечен в whatsapp. Сначала запрашиваем код регистрации:

yowsup-cli registration --requestcode sms --phone 7xxxxxxxxxx --cc 7 --mcc 250 --mnc xx --env android

В ответ придет смс с кодом вида XXX-XXX, который используем для подтверждения регистрации

yowsup-cli registration --register xxx-xxx --phone 7хххxxxxxxx --cc 7

Сервер сообщит об удачной регистрации: Записываем пароль из переменной pw в конфиг-файл

nano yowsup-cli.config

В этом файле три строчки (страна, номер, пароль):

cc=7 phone=7хххxxxxxxx password=X1isWwe+25d/aOXJpcSduzTV7fg=

Собственно, все. Пробуем

yowsup-cli demos -c yowsup-cli.config -s 7хххххххххх "alarm"

Если сообщение пришло, двигаемся дальше. Чтобы комфортно побаловаться живым whatsapp-чатом из терминала — нужна кириллица. Если ее нет, а вместо нее ошибки вида «ascii … ordinal not in range(128)» — надо поставить локаль и поправить один файл. С localectl в моем сетапе какие-то проблемы, поэтому:

nano /etc/locale.conf

пишем LANG=ru_RU.UTF-8, сохраняем и рестартуем сессию Следующим шагом надо поправить кодировку yowsup. Делаем, как сказано тут.

nano /usr/lib/python2.7/site-packages/yowsup2-2.5.2-py2.7.egg/yowsup/demos/cli/layer.py

После строки import sys добавить:

reload(sys) sys.setdefaultencoding('utf8')

должно получиться:

from .cli import Cli, clicmd from yowsup.layers.interface import YowInterfaceLayer, ProtocolEntityCallback from yowsup.layers.auth import YowAuthenticationProtocolLayer from yowsup.layers import YowLayerEvent, EventCallback from yowsup.layers.network import YowNetworkLayer import sys reload(sys) sys.setdefaultencoding('utf8')

Теперь можно запускать живой чат и слать-принимать сообщения кириллицей. Have fun. Наигравшись вдоволь, пора приспособить этот прекрасный инструмент для нужд трудящихся вокруг серверов. Для этого было решено использовать достаточно простой и гибкий инструмент Webhook github.com/adnanh/webhook, хотя есть и масса других способов. Например shell2http github.com/msoap/shell2http. Скачиваем и распаковываем webhook в любой каталог. Я для удобства положил в /var/webhook

cd /usr/src wget https://github.com/adnanh/webhook/releases/download/2.6.3/webhook-linux-amd64.tar.gz tar -xvf webhook-linux-amd64.tar.gz -C /var mv /var/webhook-linux-amd64 /var/webhook

А чтобы потом, при желании, было удобнее добавлять всякие файлы-картинки-видео — так же скопировал yowsup-cli.config в /var/yowsup Как говорится, пусть все будет через одно место.

mkdir /var/yowsup cp /usr/src/yowsup-master/yowsup-cli.config /var/yowsup

Поскольку Webhook позволяет запускать через http заранее подготовленные команды — создадим файл с правилами hooks.json.

cd /var/webhook​​​​​ nano hooks.json

В файле опишем хук, который будет принимать команды по адресу http://адрес сервера:9000/hooks/wp-admin, обрабатывать и слать сообщения на whatsapp админа. Внутрь файла добавляем описание условий:

[   {     "id": "wp-admin",     "execute-command": "/var/webhook/admin.sh",     "command-working-directory": "/var/webhook",     "pass-arguments-to-command":     [      {       "source": "url",       "name": "msg"      }     ]   } ]

То есть, каждый, кто вызовет url http://адрес сервера:9000/hooks/wp-admin?msg=привет — исполнит скрипт /var/webhook/admin.sh, а тот, в свою очередь, отправит привет админу на whatsupp, и только ему. Я решил не передавать каждый раз пару телефон-сообщение, а при необходимости рассылки на другие номера создать дополнительные хуки. Например, хук с отправкой определенному контакт-листу или универсальный с парой телефон-сообщение и каким-то токеном для вящей безопасности. Итак, проверяем, правильно ли мы написали хук, запуском:

./webhook -hooks hooks.json -verbose

В ответ увидим:

[webhook] 2017/04/26 05:12:48 version 2.6.3 starting [webhook] 2017/04/26 05:12:48 setting up os signal watcher [webhook] 2017/04/26 05:12:48 attempting to load hooks from hooks.json [webhook] 2017/04/26 05:12:48 found 1 hook(s) in file [webhook] 2017/04/26 05:12:48 loaded: wp-admin [webhook] 2017/04/26 05:12:48 serving hooks on 0.0.0.0:9000/hooks/{id}

Далее, создаем скрипт отправки /var/webhook/admin.sh, который будет отсылать сообщения админу:

#! /bin/bash msg="$(echo "$*" | tr ' ' ' ')"  if [[ ! -z "${msg/ //}" ]]; then  /usr/bin/yowsup-cli demos -c /var/yowsup/yowsup-cli.config -s 7xxxxxxxxxx "$msg" fi

Добавлена проверка на пустоту и пробелы, чтобы при любом вызове хука не приходили пустые сообщения. Открываем в браузере http://адрес сервера:9000/hooks/wp-admin?msg=привет. Все должно работать. Добавляем хук в автозагрузку. Я сделал через systemd.

nano /etc/systemd/system/webhook.service

Описываем юнит:

[Unit] Description=Webhook After=syslog.target After=network.target  [Service] Type=simple PIDFile=/var/webhook/webhook-service.pid WorkingDirectory=/var/webhook  User=root Group=root  OOMScoreAdjust=-500  ExecStart=/var/webhook/webhook -hooks hooks.json -verbose ExecStop=/usr/bin/pkill -f webhook ExecReload= TimeoutSec=300  [Install] WantedBy=multi-user.target

Сохраняем. Запускаем. Проверяем.

 systemctl enable webhook  systemctl start webhook  systemctl -l status webhook

Теперь можно сделать простую отправку средствами curl с другой машины

curl -G http://адрес сервера:9000/hooks/wp-admin?msg=привет

Однако, так можно слать лишь скучные сообщения без форматирования, похожие на sms. Чтобы получать красиво отформатированные сообщения, да еще и с emoji-графикой нужно предварительно кодировать содержимое msg в urlencode. Иначе в url попадут esc-последовательности. Это пригодится и для дальнейшего примера с Bacula. сurl умеет делать urlencode самостоятельно, только синтаксис будет иным. Например, отправим сообщение с переводом строки:

export VAR="приветnбуфет" export MSG=$(echo -e $VAR) curl -G http://адрес сервера:9000/hooks/wp-admin --data-urlencode msg="$MSG"

Теперь можно заняться bacula, т.е. тем, что, собственно, и сподвигло на вышеописанные пляски Идем на сервер, где установлен bacula-director, ставим bc и curl.

yum -y install bc curl

Потом берем прекрасный скрипт из статьи bacula.us/sending-notification-whatsapp и немного подправляем. Внимание, если хотим использовать смайлики emoji, то файл должен быть в UTF-8. Из секции Variables удаляем RECIPIENT_NUMBER и CONF, они нам не понадобятся. А переменную YOWSEXEC изменяем на curl-вызов хука отправки админу.

# Variables HOUR=$(date +%d/%m/%Y %H:%M:%S) YOWSEXEC="curl -G http://ваш сервер:9000/hooks/wp-admin" LOG="/var/log/bacula/whatsapp.log"

Вводим свои данные для подключения к MySQL

# MySQL config DBUSER="bacula" DBPASSWORD="bacula" DBNAME="bacula"

И вместо строки отправки:

$YOWSEXEC demos --config $CONF --send $RECIPIENT_NUMBER "`echo -e "$MESSAGE${COUNT}"`" &>> $LOG

пишем:

FMSG=`echo -e "$MESSAGE${COUNT}"`    $YOWSEXEC --data-urlencode msg="$FMSG" &>> $LOG

Ставим права на исполнение:

chmod +x /etc/bacula/send_whatsapp.sh

Готово. Теперь, как указано в статье, можно вставлять в задания

Command = "/etc/bacula/send_whatsapp.sh %i" 

и получать на телефон красивые отчеты: Всем спасибо. Буду благодарен за комментарии и поправки. UPD(12.01.2018): Yousup обновили до 2.5.7, баги поправили. Если у кого не работает — обновить yowsup, при регистрации использовать –env android (поправил выше).Используемые источники:

  • https://xakep.ru/2015/12/23/whatsapp-emoji-bomb/
  • https://habr.com/post/327404/

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий