欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

伪造Tor隐藏服务进行钓鱼

来源:本站整理 作者:佚名 时间:2017-10-18 TAG: 我要投稿

一、简介

SMS Privacy是我创立的一个隐衷短信办事,可以或许作为Tor暗藏办事来应用,事实上切实其实有约10%的用户以这类办法来应用该办事。但是,我发明有些人捏造了我的Tor暗藏办事来创立一个社工钓鱼网站,在本文中,我会与读者分享我发明的一些细节。
二、概述
某一天,Charlie正在网上随意走走,忽然,他发明应用google搜刮“site:*.onion.to smsprivacy”会得到一些意想不到的成果。
smspriv6fynj23u6.onion是正当的暗藏办事名,但是,搜刮页面中出现了另一个成果:smsprivyevs6xn6z.onion,对应的站点看起来千篇一律。
颠末简略调研后,咱们发明这个网站是一个简略的署理网站,即:统统发往该垂纶站点的页面哀求都会被转发到其实的暗藏办事上,并会前往收到的相应数据,只有几个特别的地方除外:
1、头部中缺失Content-Length字段。
HTTP客户端可以或许依据Content-Length头懂得待传输内容的字节数。假如署理办事器纰谬相应数据停止改动,那末它可以或许坚持Content-Length头稳定,间接通报这个字段,由于署理办事器晓得假如内容不产生转变的话,其数据长度也不会产生变更。
但是,这个署理办事器觉得相应内容会产生转变,这意味着办事器筹备在某些情况下改动相应内容。
既然如此,它为甚么不改动Content-Length字段,使其对应改动后的内容长度呢?
可以或许是署理办事器想削减页面加载光阴:假如署理办事器不必要事后懂得长度值,那末它便可以够或许在收到相应内容后以数据流办法间接发送给客户端,在发送进程中改动数据。假如署理办事器必要读取统统内容,再停止改动,而后再发送统统数据,那末有可以或许会增长页面加载光阴,惹起用户狐疑。
可以或许署理办事器作者无奈接收存储统统内容所需的高内存负载。假如同一个办事器正在署理数十个至数百个其余暗藏办事,那末采纳这类计划也是可以或许懂得的。
2、头部中Connection字段差错。
正当站点与垂纶站点的相应头比较以下所示。
正当站点:
$ torsocks curl -I http://smspriv6fynj23u6.onion/
HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Fri, 13 Oct 2017 05:37:49 GMT
Content-Type: text/html;charset=UTF-8
Content-Length: 7387
Connection: keep-alive
Set-Cookie: [...]
X-Frame-Options: DENY
垂纶站点:
$ torsocks curl -I http://smsprivyevs6xn6z.onion/
HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Fri, 13 Oct 2017 05:37:57 GMT
Content-Type: text/html;charset=UTF-8
Connection: [object Object]
Set-Cookie: [...]
X-Frame-Options: DENY
头部中Connection字段由keep-alive变成为了[object Object]。当你应用javascript说话,将某个工具转化为字符串时,假如该工具没有完成toString()办法,就会得到这个成果。这个线索非常紧张,可以或许奉告咱们署理办事器正在运转的软件范例。
署理办事器很有可以或许应用的是NodeJS。我无奈在node-http-proxy或许Harmon上复现这个bug(Harmon是node-http-proxy的中间件,用来改动相应数据)。很有可以或许署理办事器应用了自定义的办理计划。假如有人晓得甚么软件会有bug招致Connection头变成[object Object],请实时奉告我。
3、署理办事器会缓存某些非预期的javascript文件(可以或许会有其余文件被缓存上去)。
我添加了一些Javascript,以检测页面能否运转在某个地痞域名上,假如切实其实如此,剧本会把document.referrer信息POST给我,以便后续阐发。我发明应用正当网站时,阅读器会改动我应用的剧本,但是,应用垂纶网站时,我会得到一个过期的版本,据此,我断定垂纶站点应用了某些额定的缓存机制。这样做可以或许也是为了削减页面加载光阴。
在写这篇文章时,我尝试着查询拜访这类缓存机制,而后发明了更加风趣的一些信息。署理办事器会抛弃掉跟踪剧本得到的统统内容,是以我无奈获得这些信息。重定名剧本并略加改动内容后,我办理了这个成绩,但我其实不想玩这类猫捉老鼠的游戏。这类情况至多意味着有人正在踊跃掩护这个署理办事,实时采取措施坚持办事失常运转。
4、暗藏办事地点被改动。
署理办事器彷佛会重写smspriv6fynj23u6.onion的统统实例,将其改成smsprivyevs6xn6z.onion。尽管如此,它对大写的地点不会采纳雷同操纵。
5、比特币地点被改动。
这是垂纶站点的真正目的。平日情况下,垂纶网站会盗取用户凭证,以便后续应用或许发售这些信息,但这个站点采纳的办法加倍间接,它将原始的比特币地点改动成入侵攻击者可以或许节制的地点。
当初次重定向到付出页面时,在页面加载以前用户能感遭到一段提早,也许是由于署理办事器后盾正在天生一个新的比特币地点(这个操纵必要一段光阴,意味着该地点正被拔出一个缺乏索引的规模巨大的数据库,或许该地点由速率较慢的机械天生而得,或许入侵攻击者应用速率较慢的代码说话来天生这个地点。假如是前面这类情况,这有可以或许注解RNG(随机数天生器)本身也不网安)。统统以文本情势表现的比特币地点都会被重写为入侵攻击者可控的地点,正当地点与捏造地点之间完成为了逐一映照干系。值得注意的是,二维码(QR)坚持稳定,仍旧对应原始的正当地点。
我向捏造的地点(1GM6Awv28kSfzak2Y7Pj1NRdWiXshMwdGW)发起了一条付出哀求,想看看会产生甚么事情。这个信息并不会出如今网站上,加倍确定了这是个静默署理站点。今朝这笔钱还没被应用,但一旦被应用,咱们可以或许会察看到一些风趣的信息。
三、捏造站点若何散发给用户
当用户在未知域上检查站点时,Javascript会把referrer信息POST到办事器上,我看到了一些分歧的前往成果。大多数情况下,这些信息都源自于人们应用web署理(如onion.link)来检查暗藏办事,但是,我发明了两个比拟特别的暗藏办事:
7cbqhjnpcgixggts.onion:“The onion crate”:这是Tor暗藏办事的列表。与太古的“Web网站清单”相似,但专为Tor计划,其上垂纶站点被凸起标志为“垂纶链接”(但是reddit上有人指出"The onion crate"这个办事本身就是垂纶链接)

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载