Meta xi darba l-boxxla jqajjem il-mistoqsija: "Għaliex xi nies għandhom aċċess mill-bogħod għall-kompjuter tax-xogħol, mingħajr ma jiksbu permessi addizzjonali għall-użu?"
Il-kompitu tqum li "tagħlaq" il-lakuna.
Hemm ħafna applikazzjonijiet għall-kontroll mill-bogħod fuq in-netwerk: Chrome remote desktop, AmmyAdmin, LiteManager, TeamViewer, Anyplace Control, eċċ. Jekk id-desktop remot Chrome għandu manwal uffiċjali għall-ġlieda kontra l-aċċess għas-servizz, TeamViewer għandu restrizzjonijiet ta’ liċenzjar fil-ħin jew talbiet min-netwerk u l-utenti "itħan snienhom" b'xi mod jew ieħor "shine" mal-amministraturi, allura l-favorit ta 'ħafna għall-użu personali - AnyDesk għadu jeħtieġ attenzjoni speċjali, speċjalment jekk il-boxxla qal "Le!"
Jekk taf x'inhu l-imblukkar ta' pakkett tan-netwerk mill-kontenut tiegħu u int sodisfatt bih, allura l-bqija tal-materjal
mhux maħsub għalik.
Jipprova jmur mill-oppost, fil-fatt tgħid x'għandu jkun permess biex il-programm jaħdem; għaldaqstant, ir-rekord DNS ġie mblukkat *.net.anydesk.com. Iżda AnyDesk mhix sempliċi; ma jimpurtahx mill-imblukkar ta 'isem ta' dominju.
Darba waħda, solvijt il-problema ta 'l-imblukkar ta' "Anyplace Control", li wasalna b'xi softwer dubjuż, u ġiet solvuta billi bblokka ftit IPs biss (għajt lura l-antivirus). Il-problema ma 'AnyDesk, wara li manwalment ġbart aktar minn tużżana indirizzi IP, egged me fuq jitbiegħed mix-xogħol manwali ta’ rutina.
Ġie skopert ukoll li f'"C:ProgramDataAnyDesk" hemm numru ta' fajls b'settings, eċċ., u fil-fajl ad_svc.trace Jinġabru avvenimenti dwar konnessjonijiet u fallimenti.
1. Osservazzjoni
Kif diġà ssemma, l-imblukkar *.anydesk.com ma ta l-ebda riżultat fl-operat tal-programm, ġie deċiż li jiġi analizzat imġieba tal-programm f'sitwazzjonijiet stressanti. TCPView minn Sysinternals f'idejk u mur!
1.1. Wieħed jista 'jara li diversi proċessi ta' interess għalina huma "mdendlin", u biss dak li jikkomunika ma 'l-indirizz minn barra huwa ta' interess għalina. Il-portijiet li jgħaqqad magħhom jintgħażlu, minn dak li rajt: 80, 443, 6568. 🙂 Żgur ma nistgħux nibblukkaw 80 u 443.
1.2. Wara li timblokka l-indirizz permezz tar-router, jintgħażel indirizz ieħor bil-kwiet.
1.3. Il-console hija KOLLOX tagħna! Aħna niddeterminaw il-PID u mbagħad kont xi ftit xortik tajba li AnyDesk ġie installat mis-servizz, għalhekk il-PID li konna nfittxu kien l-uniku wieħed.
1.4. Aħna niddeterminaw l-indirizz IP tas-server tas-servizz mill-proċess PID.
2. Preparazzjoni
Peress li l-programm għall-identifikazzjoni tal-indirizzi IP probabbilment se jaħdem biss fuq il-PC tiegħi, m'għandi l-ebda restrizzjonijiet fuq il-konvenjenza u l-għażż, għalhekk C#.
2.1. Il-metodi kollha għall-identifikazzjoni tal-indirizz IP meħtieġ huma diġà magħrufa, għad irid jiġi implimentat.
string pid1_;//узнаем PID сервиса AnyDesk
using (var p = new Process())
{p.StartInfo.FileName = "cmd.exe";
p.StartInfo.Arguments = " /c "tasklist.exe /fi "imagename eq AnyDesk.exe" /NH /FO CsV | findstr "Services""";
p.StartInfo.UseShellExecute = false;
p.StartInfo.RedirectStandardOutput = true;
p.StartInfo.CreateNoWindow = true;
p.StartInfo.StandardOutputEncoding = Encoding.GetEncoding("CP866");
p.Start();
string output = p.StandardOutput.ReadToEnd();
string[] pid1 = output.Split(',');//переводим ответ в массив
pid1_ = pid1[1].Replace(""", "");//берем 2й элемент без кавычек
}Bl-istess mod, insibu s-servizz li stabbilixxa l-konnessjoni, se nagħti biss il-linja ewlenija
p.StartInfo.Arguments = "/c " netstat -n -o | findstr /I " + pid1_ + " | findstr "ESTABLISHED""";Ir-riżultat tiegħu se jkun:
Mill-ringiela, b'mod simili għall-pass preċedenti, estratt it-3 kolonna u neħħi kollox wara l-":". Bħala riżultat, għandna l-IP mixtieqa tagħna.
2.2. Imblukkar tal-IP fil-Windows. Jekk Linux għandu Blackhole u iptables, allura l-metodu ta 'imblukkar ta' indirizz IP f'linja waħda, mingħajr ma juża firewall, fil-Windows irriżulta li ma kienx tas-soltu,
imma x'tip ta' għodda kien hemm...
route add наш_найденный_IP_адрес mask 255.255.255.255 10.113.113.113 if 1 -pParametru ewlieni "jekk 1" ibgħat ir-rotta lil Loopback (Tista 'turi l-interfaces disponibbli billi tmexxi l-istampar tar-rotta). U IMPORTANTI! Issa l-programm jeħtieġ li jiġi mniedi bi drittijiet ta’ amministratur, peress li tbiddel ir-rotta teħtieġ elevazzjoni.
2.3. Il-wiri u l-iffrankar tal-indirizzi IP identifikati huwa kompitu trivjali u ma jeħtieġx spjegazzjoni. Jekk taħseb dwarha, tista 'tipproċessa l-fajl ad_svc.trace AnyDesk innifsu, imma jien ma ħsibtx dwarha mill-ewwel + forsi hemm limitazzjoni fuqha.
2.4. L-imġieba stramba irregolari tal-programm hija li meta "taskkilling" il-proċess tas-servizz fil-Windows 10, jerġa 'jibda awtomatikament, fil-Windows 8 jispiċċa, iħalli biss il-proċess tal-console u mingħajr ma jerġa' jgħaqqad, b'mod ġenerali huwa illoġiku u dan mhux preċiż.
It-tneħħija ta 'proċess li jkun ikkonnettjat mas-server jippermettilek li "sforza" konnessjoni mill-ġdid għall-indirizz li jmiss. Huwa implimentat bl-istess mod bħall-kmandi preċedenti, għalhekk nagħtiha biss:
p.StartInfo.Arguments = "/c taskkill /PID " + pid1_ + " /F";Barra minn hekk, tniedi l-programm AnyDesk.
//запускаем программу которая расположена по пути path_pro
if (File.Exists(path_pro)){
Process p1 = Process.Start(path_pro);}2.5. Aħna niċċekkjaw l-istatus ta 'AnyDesk darba fil-minuta (jew aktar spiss?), U jekk ikun konness, i.e. konnessjoni STABBILITA - imblokka din l-IP, u għal darb'oħra għal darb'oħra - stenna sakemm tgħaqqad, timblokka u stenna.
3. Attakk
Il-kodiċi kien "ispinjat" u ġie deċiż li jiġi viżwalizzat il-proċess "+" indika l-IP misjuba u mblukkata, u "."—irrepeti l-kontroll mingħajr konnessjoni tal-ġar b'suċċess minn AnyDesk.
→
B'riżultat ta 'dan…
Il-programm ħadem fuq diversi kompjuters b'Windows OS differenti, b'verżjonijiet ta' AnyDesk 5 u 6. Aktar minn 500 iterazzjoni, inġabru madwar 80 indirizz. Għal 2500 - 87 u l-bqija...
Maż-żmien, in-numru ta 'IPs imblukkati laħaq 100+.
Link għall-finali fajl test bl-indirizzi: и
Lest! Il-ġabra ta 'indirizzi IP ġiet miżjuda mar-regoli tar-router prinċipali permezz tal-iskript u AnyDesk sempliċement ma jistax joħloq konnessjoni esterna.
Hemm punt stramba, mir-zkuk inizjali jidher ċar li l-indirizz huwa involut fit-trasferiment ta 'informazzjoni boot-01.net.anydesk.com. Naturalment, aħna bblokkajna l-hosts kollha *.net.anydesk.com bħala regola ġenerali, iżda dik mhix il-ħaġa stramba. Kull darba b'ping normali minn kompjuters differenti, dan l-isem tad-dominju jagħti IP differenti. Iċċekkjar fuq Linux:
host boot-01.net.anydesk.com
bħal DNSLookup jagħtu biss indirizz IP wieħed, iżda dan l-indirizz huwa varjabbli. Meta tanalizza konnessjoni TCPView, aħna nirritornaw rekords PTR ta 'indirizzi IP tat-tip relay-*.net.anydesk.com.
Teoretikament: peress li l-ping kultant imur għand host mhux imblukkat mhux magħruf boot-01.net.anydesk.com nistgħu nsibu dawn l-ips u nibblukkawhom, nagħmlu din l-implimentazzjoni skript regolari taħt Linux OS, hawn m'hemmx għalfejn tinstalla AnyDesk. L-analiżi wriet li dawn l-IPs spiss "jaqsmu"ma' dawk misjuba mil-lista tagħna. Forsi huwa biss dan l-ospitanti li l-programm jgħaqqad miegħu qabel ma jibda "jissolvi" l-IPs magħrufa. Aktar tard se nissupplimenta l-artiklu bit-tieni parti ta 'tfittxijiet ospitanti, għalkemm fil-mument il- programm innifsu ma jinstallax fi ħdan in-netwerk ta 'barra jingħaqdu b'mod ġenerali.
Nittama li ma rajt xejn illegali f'dan ta 'hawn fuq, u l-ħallieqa ta' AnyDesk se jittrattaw l-azzjonijiet tiegħi b'mod sportiv.
Sors: www.habr.com