Testare un sito web clearnet per un servizio nascosto?

2

Recentemente ho eseguito una scansione del servizio nmap su un elenco di domini e uno degli script NSE in esecuzione era costituito da stringhe di impronte digitali.

Questo script estrae apparentemente stringhe ASCII da servizi non identificati.

Poiché i domini sono server Web e la porta è 443, le stringhe delle impronte digitali rispondono con http o html. E una delle uscite è sotto:

DNSStatusRequest, DNSVersionBindReq, Help, Kerberos, RPCCheck, SMBProgNeg, SSLSessionReq, TLSSessionReq:

HTTP/1.1 400 Bad Request
Server: awselb/2.0
Date: Thu, 01 Mar 2018 11:02:47 GMT
Content-Type: text/html
Content-Length: 138
Connection: close
<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
</body>
</html>

FourOhFourRequest, GetRequest, HTTPOptions:

HTTP/1.1 404 
Date: Thu, 01 Mar 2018 11:02:40 GMT
Content-Length: 0
Connection: close

JavaRMI, NCP, NotesRPC, TerminalServer, WMSRequest, oracle-tns:

HTTP/1.1 400 Bad Request
Server: awselb/2.0
Date: Thu, 01 Mar 2018 11:02:49 GMT
Content-Type: text/html
Content-Length: 138
Connection: close
<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
</body>
</html>

LANDesk-RC, LDAPBindReq, LDAPSearchReq, LPDString, SIPOptions, X11Probe:

HTTP/1.1 400 Bad Request
Server: awselb/2.0
Date: Thu, 01 Mar 2018 11:02:48 GMT
Content-Type: text/html
Content-Length: 138
Connection: close
<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
</body>
</html>

RTSPRequest:

<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
</body>
</html>

afp, giop:

HTTP/1.1 400 Bad Request
Server: awselb/2.0
Date: Thu, 01 Mar 2018 11:02:50 GMT
Content-Type: text/html
Content-Length: 138
Connection: close
<html>  
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
</body>
</html>

tor-versions:

HTTP/1.1 400 Bad Request
Server: awselb/2.0
Date: Thu, 01 Mar 2018 11:02:40 GMT
Content-Type: text/html
Content-Length: 138
Connection: close
<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
</body>
</html>

Ho raccolto un paio di stringhe di impronte digitali dai domini e non tutte le hanno all'interno.

Fondamentalmente mi chiedo se questa conferma è che un servizio nascosto è in esecuzione su questo dominio, o c'è un altro test o scansione nmap che posso eseguire per confermare questo? Se non è una conferma, allora perché sto ottenendo questo risultato.

    
posta F.Terrie 06.03.2018 - 11:06
fonte

3 risposte

5

Un servizio nascosto non usa alcuna porta speciale, protocollo, ecc. È solo un normale server web che di solito non è accessibile tramite l'interfaccia di rete pubblica e si accede a un'istanza Tor in esecuzione locale.

I servizi nascosti Tor opportunamente configurati che non vogliono essere raggiungibili attraverso il clearnet ascoltano solo sull'interfaccia loopback del server e hanno il servizio tor locale in esecuzione per connettersi a loro. Quindi non puoi capire se c'è un servizio nascosto in esecuzione su una macchina con nmap.

Ci sono alcuni modi per verificare un'ipotesi se un dato server ospita un servizio nascosto. Uno semplice è misurare il tempo di attività del server e il tempo di attività del servizio nascosto per lunghi periodi di tempo e cercare una strong correlazione tra i due. Se entrambi vanno giù allo stesso tempo, questo è un strong suggerimento. Un'altra possibilità è sottolineare il server e quindi misurare se le prestazioni diminuiscono per il servizio nascosto (ma non farlo: questo potrebbe essere visto come un attacco da parte degli amministratori del server). Se eseguito più volte, potrebbe confermare che il servizio nascosto è in esecuzione sul server in questione.

Le porte aperte per impronte digitali, OTOH, non ti forniranno alcuna informazione sulla presenza di un servizio nascosto.

    
risposta data 07.03.2018 - 00:45
fonte
3

Lo fingerprint-string script NSE mostra le stringhe ASCII leggibili dalle risposte del servizio alle sonde di Nmap; i titoli come tor-versions , RTSPRequest e afp, giop sono i nomi di tali sonde, non le risposte dal servizio di destinazione.

Ho appena scritto un po 'più di spiegazione in NSEdoc per quello script, quindi spero che questo non sia così confuso in futuro.

P.S. Una ricerca sul Web per "awselb" mi porta a credere che questo sia il bilanciamento del carico elastico di Amazon Web Services.

    
risposta data 06.03.2018 - 20:31
fonte
1

Non è possibile stabilire se un server Web sia raggiungibile anche su un HS. Un servizio nascosto funziona come proxy per raggiungere un server web, ma il server web può essere lasciato invariato. Perché nulla deve essere cambiato, non ci sono cambiamenti da osservare.

Non so da dove viene la stringa "tor-versions" dallo screenshot. Non vedo nulla nelle intestazioni o nel corpo che suggerisca che sia accessibile attraverso un HS.

    
risposta data 06.03.2018 - 11:40
fonte

Leggi altre domande sui tag