Lè yon jou bòs nan travay la poze kesyon an: "Poukisa kèk moun gen aksè aleka nan yon òdinatè travay san yo pa jwenn otorizasyon adisyonèl pou itilize?",
gen yon travay pou "kouvri" yon brèch.
Gen anpil aplikasyon pou kontwòl remote sou rezo a: Chrome remote Desktop, AmmyAdmin, LiteManager, TeamViewer, Anyplace Control, elatriye. Si Chrome remote Desktop gen yon manyèl ofisyèl pou konbat aksè nan sèvis la, TeamViewer gen restriksyon sou lisans alè oswa demann. soti nan rezo a ak itilizatè "griyen dan yo" yon jan kanmenm "klere" ak admin yo, Lè sa a, pi renmen an nan anpil pou itilizasyon pèsonèl - AnyDesk toujou mande pou atansyon espesyal, espesyalman si bòs nan travay la te di "Non!".
Si w konnen ki sa ki bloke yon pake rezo pa sa ki ladan l epi li adapte w, rès materyèl la.
pa gen entansyon pou ou.
Eseye ale soti nan opoze a, an reyalite li di sa ki ta dwe pèmèt pou pwogram nan travay, respektivman, dosye dns la te bloke *.net.anydesk.com. Men, AnyDesk se pa senp, li pa pran swen sou bloke yon non domèn.
Yon fwa mwen rezoud pwoblèm nan nan bloke "Anyplace Control" ki te vin jwenn nou ak kèk lojisyèl ézitan, epi li te rezoud pa bloke sèlman kèk IPs (mwen sekirize antivirus la). Pwoblèm nan ak AnyDesk, apre mwen manyèlman kolekte plis pase yon douzèn adrès IP, pwovoke soti nan travay manyèl woutin.
Li te jwenn tou ke nan "C: ProgramDataAnyDesk" gen yon kantite dosye ak anviwònman, elatriye, ak nan dosye a. ad_svc.trace evènman sou koneksyon ak echèk yo kolekte.
1. Obsèvasyon
Kòm deja mansyone, bloke *.anydesk.com pa t 'bay okenn rezilta nan pwogram nan, li te deside analize konpòtman pwogram nan nan sitiyasyon estrès. TCPView soti nan Sysinternals nan men epi ale!
1.1. Li ka wè ke plizyè pwosesis ki enterese nou yo "pandye", epi sèlman youn nan ki kominike ak adrès la soti nan deyò ki enterese nou. Pò yo kote li konekte yo deplase, dapre sa mwen te wè li: 80, 443, 6568. 🙂 80 ak 443 nou definitivman pa ka bloke.
1.2. Apre bloke adrès la atravè routeur la, yon lòt adrès tou dousman chwazi.
1.3. Konsole nou an se TOUT! Nou detèmine PID a ak Lè sa a, mwen te gen yon ti chans ke AnyDesk te enstale pa sèvis la, respektivman, PID a mwen t ap chèche a se youn nan sèlman.
1.4. Nou detèmine adrès IP sèvè sèvis la pa PID pwosesis la.
2. Preparasyon
Depi pwogram pou dekouvri adrès IP yo pral pwobableman sèlman travay sou PC mwen an, mwen pa gen okenn restriksyon sou konvenyans ak parès, kidonk C #.
2.1. Tout metòd pou idantifye adrès IP vle a deja li te ye, li rete yo dwe aplike.
string pid1_;//узнаем PID сервиса AnyDesk
using (var p = new Process())
{p.StartInfo.FileName = "cmd.exe";
p.StartInfo.Arguments = " /c "tasklist.exe /fi "imagename eq AnyDesk.exe" /NH /FO CsV | findstr "Services""";
p.StartInfo.UseShellExecute = false;
p.StartInfo.RedirectStandardOutput = true;
p.StartInfo.CreateNoWindow = true;
p.StartInfo.StandardOutputEncoding = Encoding.GetEncoding("CP866");
p.Start();
string output = p.StandardOutput.ReadToEnd();
string[] pid1 = output.Split(',');//переводим ответ в массив
pid1_ = pid1[1].Replace(""", "");//берем 2й элемент без кавычек
}Menm jan an tou, nou jwenn sèvis la ki etabli koneksyon an, mwen pral bay sèlman liy prensipal la
p.StartInfo.Arguments = "/c " netstat -n -o | findstr /I " + pid1_ + " | findstr "ESTABLISHED""";Rezilta a ki pral:
Soti nan liy lan, menm jan ak etap anvan an, nou ekstrè kolòn nan 3yèm, epi retire tout bagay apre ":". Kòm yon rezilta, nou gen IP vle nou an.
2.2. IP bloke nan Windows. Si Linux gen Blackhole ak iptables, Lè sa a, metòd la nan bloke yon adrès IP nan yon sèl liy, san yo pa itilize yon firewall, te tounen soti yo dwe etranj nan Windows,
Men, ki zouti yo te...
route add наш_найденный_IP_адрес mask 255.255.255.255 10.113.113.113 if 1 -pParamèt kle "si 1" voye wout la nan Loopback (Ou ka montre koòdone ki disponib yo lè w kouri enprime wout la). Epi ENPÒTAN! Koulye a, pwogram nan bezwen kouri ak dwa administratèpaske chanje wout la mande elevasyon.
2.3. Montre ak sove adrès IP yo idantifye se yon travay trivial epi li pa mande pou eksplikasyon. Si ou panse osijè de sa, ou ka trete dosye a ad_svc.trace AnyDesk tèt li, men mwen pa t 'imedyatman panse sou li + petèt gen yon restriksyon sou li.
2.4. Konpòtman an etranj inegal nan pwogram nan se ke lè pwosesis sèvis la "tachkilled" nan Windows 10, li rekòmanse otomatikman, nan Windows 8 li fini, kite sèlman pwosesis la konsole ak san yo pa rekonekte, an jeneral, li se lojik ak kòrèk.
Efase yon pwosesis ki konekte ak sèvè a pèmèt ou "fòse" yon rekoneksyon nan pwochen adrès la. Li aplike menm jan ak kòmandman anvan yo, kidonk mwen bay sèlman:
p.StartInfo.Arguments = "/c taskkill /PID " + pid1_ + " /F";Anplis de sa, lanse pwogram AnyDesk la.
//запускаем программу которая расположена по пути path_pro
if (File.Exists(path_pro)){
Process p1 = Process.Start(path_pro);}2.5. Nou pral tcheke estati AnyDesk yon fwa pa minit (oswa pi souvan?), epi si li konekte, i.e. koneksyon ETABLI - bloke IP sa a, epi ankò tout lòt peyi sou ankò - rete tann jiskaske li konekte, bloke epi tann.
3. Atak
Kòd la te "redije", li te deside visualized pwosesis la "+" presize IP jwenn ak bloke, ak "."- repete chèk san koneksyon siksè nan AnyDesk.
→
Kòm yon rezilta…
Pwogram nan te travay sou plizyè òdinatè ak diferan eksplwatasyon Windows, ak vèsyon AnyDesk 5 ak 6. Yo te kolekte apeprè 500 adrès nan 80 iterasyon. Pou 2500 - 87 ak sou sa ...
Apre yon tan, kantite IP bloke yo te rive nan plis pase 100.
Link final la dosye tèks ak adrès: и
Li fèt! Yon pisin nan adrès IP yo ajoute nan règ yo nan routeur prensipal la atravè yon script, ak AnyDesk tou senpleman pa ka kreye yon koneksyon ekstèn.
Gen yon moman etranj, dapre premye mòso bwa yo, li klè ke adrès la enplike nan transfè a nan enfòmasyon boot-01.net.anydesk.com. Nou te nan kou bloke tout *.net.anydesk.com gen tout pouvwa a kòm yon règ jeneral, men sa a pa etranj la. Chak fwa yon ping nòmal soti nan òdinatè diferan non domèn sa a bay yon IP diferan. Tcheke nan Linux:
host boot-01.net.anydesk.com
tankou DNSLookup, yo bay sèlman yon adrès IP, men adrès sa a varyab. Lè analize yon koneksyon TCPView, nou jwenn tounen dosye PTR nan adrès IP tankou relay-*.net.anydesk.com.
Teyorikman: depi ping a pafwa ale nan yon lame enkoni debloke boot-01.net.anydesk.com nou ka jwenn ip sa yo ak blòk, fè aplikasyon sa a yon script regilye anba OS Linux, isit la ou pa bezwen enstale AnyDesk. Analiz la te montre ke IP sa yo souvan "kwaze" ak sa yo jwenn nan lis nou an. Petèt sa a se jis lame sa a, nan ki pwogram nan konekte anvan li kòmanse "triye" IP li te ye. Pwobableman pita mwen pral konplete atik la ak 2yèm pati nan rechèch lame, byenke nan moman sa a. pwogram nan tèt li pa enstale deyò rantre an jeneral.
Mwen espere ou pa t 'wè anyen ilegal nan pi wo a, ak créateur yo nan AnyDesk pral trete aksyon mwen yo nan yon fason spòtif.
Sous: www.habr.com