javascript在客户端有什么应用—真相揭秘，你肯定懂！-产品设计-韩韩H5开发

介绍

两年前，我注意到我的家庭网络上发生了一些奇怪的事情。当时，我发现了一个需要外部HTTP服务器进行文件传输的漏洞，因此我启动了一个AWS虚拟机并运行一个简单的PythonWeb服务器来接收来自漏洞服务器的流量。

我验证了我可以通过在Web服务器运行时从我的家庭计算机发送cURL请求来接受外部HTTP请求。

几秒钟后我看到以下日志

伟大的。这意味着可以通过虚拟机接收网络流量。一切似乎都很顺利，但是当我尝试做一些事情来利用这个漏洞时，我注意到日志文件中出现了一个非常奇怪的现象。

10秒后，未知IP地址发送了相同的HTTP请求。

我想“这太奇怪了。”在我的家庭网络和AWS虚拟机之间的某个地方，有人拦截了我的HTTP流量并将其重定向。这种流量是无法访的。两个系统之间不应该有可以查看此数据的中介。我立即想到我的计算机可能已被黑客入侵，并且该黑客正在积极监视我的流量。

为了看看这种行为是否也出现在其他设备上，我拿出iPhone，在Safari中输入URL，发送请求，并检查日志文件。

同一个未知的IP地址拦截了HTTP请求并将其反复发送到我的电脑和iPhone。有人正在拦截我的网络流量并将其重定向到我家庭网络上的每个设备，但我不知道如何进行。

在恐慌中，我启动了一个运行Nginx的新AWS虚拟机，以确保原始实例没有以任何方式损坏。

我通过iPhone重新打开该URL，看到了完全相同的日志。

您的ISP、调制解调器或AWS可能已受到威胁，有人正在拦截您发送的HTTP流量并对其进行重定向。AWS被入侵的想法是荒谬的，但为了排除这种可能性，我在GoogleCloudPlatform上启动了一个服务器，并观察到相同的未知IP地址重复发送HTTP请求。AWS被排除在嫌疑人之列。

剩下的唯一合理的可能性是我的调制解调器被黑客入侵，但攻击者是谁？当我查找IP地址的所有者时，我发现它属于DigitalOcean。这很奇怪，而且绝对不是我的ISP。

1596576209，你是谁？

为了进行调查，我将此IP地址发送给在网络安全情报公司工作的朋友。他们向我发送了一个VirusTotal链接，详细说明了过去几年解析到该IP地址的所有域。

最近识别出该IP地址的五个域名中，三个似乎是网络钓鱼网站，两个似乎是邮件服务器。以下域名均已解析为来自DigitalOcean的IP地址。

与IP地址1596576209关联的两个域名是isglatamonline和isglatamtk。这两个域名都是钓鱼网站，源自isglatamcom，一家名为ISGLatam的南美网络安全公司。

在实际访ISGLatam的网站后，我了解到他们的总部位于巴拉圭，与Crowdstrike、AppGate、Acunetix、DarkTrace和ForcePoint等公司合作。阅读10分钟后，我发现拦截我流量的人试图使用相同的IP地址对ISGLatam进行网络钓鱼攻击。

黑客与黑客？

真的很奇怪。就在一年前，这个IP地址被用来托管针对南美网络安全公司的网络钓鱼基础设施。假设他们已经控制这个IP地址三年了，这是否意味着他们已经将其用于至少两次不同的网络钓鱼活动，并且似乎充当了路由器恶意软件的命令和控制服务器？

通过URLscan，我们发现isglatamonline和isglatamtk网站托管着常见的BeEF钓鱼网站。

攻击者的签名非常有趣。它一直在同一设备上执行各种恶意活动，并且在过去三年中似乎没有中断。阿迪达斯、ISGLatam和调制解调器黑客攻击均来自同一IP地址，因此很难确定他们的意图。这些年来，IP地址可能多次易手，但这似乎不太可能，因为事件之间的间隔很长，而且它立即重新分配给其他犯罪集团的可能性很小。

这时，我想到被感染的设备仍在运行，于是我走过去，拔掉它的插头，然后把它放进一个纸板箱里。

提供证据

我使用的调制解调器是CoxPanoramicWifi网关。在得知该设备很可能已损坏后，我去了当地的考克斯商店，向他们展示了该设备，并要求购买新设备。

此请求的唯一题是您必须交出旧调制解调器，而不是更换新调制解调器。不幸的是我没有这个设备，我从我的ISP那里租用的。我向考克斯的人解释说，我想保持设备原样并对其进行逆向工程。他们的眼睛睁大了。他们似乎不想把设备还给我。

当我“我不能保留这个设备吗？”时，ISP代表说“不可以，你必须删除旧设备才能给我一个新设备。”没有商量的余地。我想拆开该设备并转储固件，看看是否能找到任何潜在损坏的迹象，但可惜的是，我已经将该设备交给了我的员工。于是我带着新设备离开了商店。我很失望无法进一步调查。

设置新调制解调器后，旧行为完全停止。我的流量不再发送两次。日志中也没有“其他IP”。一切似乎都已经解决了。

我有点失望，因为我无法调查我的调制解调器是如何损坏的。由于我已将设备交给我的ISP并更换了新设备，因此除了检查计算机是否损坏之外我无能为力。

我放弃寻找原因。就是这样，至少在短期内是这样。

3年后

三年后，即2024年初，我和一些从事网络安全工作的朋友去度假。晚餐时我给他们讲了这个故事。出于好奇，他们要求我查看所有细节，并认为自己进行研究会很有趣。

首先引起我注意的是两个邮件服务器域名的格式。他们提取了Limit742921tokyo的mx1子域的IP地址，然后对指向同一IP地址的所有域执行反向IP查找。事实证明，有1,000多个域名遵循完全相同的模式。

他们发现的每个IP地址都使用相同的命名约定了一个域名。

[1个字][6个数字][顶级域名]

由于域名数量众多以及地址的算法结构，我们认为这是恶意软件运营商用来旋转CC服务器地址以达到混淆目的的域名生成算法。反复发送我的流量的IP地址很可能是C营服务器，而我认为是邮件服务器的两个域名实际上是算法生成的指向C营服务器的指针。

有点令人失望的是，这些域名都已成为历史，最后一个域名于2023年3月17日。我们无法再解析这些域名，也无法找到到同一IP地址的类似域名。

鉴于旧调制解调器已被攻破，而新设备是同一型号，我想知道攻击者是否找到了再次攻破它的方法。在网上快速搜索后，我发现三年过去了，我的调制解调器型号中没有公开披露的漏洞，即使有，也已被保密。

另一种可能性是，他们利用的漏洞并不存在于商用路由器中，这似乎更有可能。我很好奇，想调查我的设备是如何损坏的。

使用TR-069协议的RESTAPI攻击

回家后，我的一个好朋友我是否可以帮他搬家。我帮助他移动了Cox调制解调器，将其连接到光纤线路，然后致电我的ISP支持号码，询他们是否可以推送更新，以便设备可以在新位置工作。特工确认他们可以远程更新设备设置，包括更改WiFi密码和查看连接的设备。

我对支持代理的设备控制功能特别感兴趣，因为它允许您更新设备上的几乎所有内容。这种广泛的访是通过名为TR-069的协议实现的，该协议于2004年实施，允许ISP通过端口7547管理其网络内的设备。该协议已成为多个技术会议上演示的主题，并且未公开发布，因此我们对查找该协议中的漏洞不感兴趣。但是，我对支持代理用来管理其设备的工具非常感兴趣。

理论上，如果我是一名试图破解调制解调器的黑客，我可以瞄准代理使用的支持工具的底层基础设施。支持代理可以使用内部网站通过API来管理设备，该API允许他们执行任意命令并更改或查看客户设备上的管理设置。如果您能找到访这些功能的方法，您也许能够首先找出有关您如何被黑客攻击的真相，或者至少消除黑客攻击调制解调器的方法。

破解数百万个调制解调器

首先，我决定查看CoxBusiness的门户网站。该网站有许多有趣的功能，包括远程管理设备、设置防火墙规则和监控网络流量的能力。

尽管我没有CoxBusiness帐户，但我打开了门户的登录页面并导入了一个名为main36624ed36fb0ff5bjs的文件，该文件提供了网站的一些核心功能。格式化文件后，我解析并探索了所有路径。

有超过100个不同的API调用使用相同的基本路径/api/cbma/。由于此路由提供的功能似乎主要与设备相关，因此我认为可能值得研究/api/cbma/端点是否是另一个主机的反向代理。为了测试我的想法，我发送了以下请求

不以api/cbma开头的HTTP请求

以api/cbma开头的HTTP请求

通过发送上面的HTTP请求，我了解到api/cbma端点是显式路由，并且HTTP响应的行为不同，因此它很可能是另一个主机的反向代理。如果您在API/CBMA之外发出请求，它将以302重定向响应，而不是API/CBMA的500内部服务器错误。

这表明API请求将被代理到专用后端，而常规系统则为前端文件提供服务。

由于API本身提供了所有设备管理功能，因此我们将重点关注api/cbma路径的后半部分，以检查是否存在易于利用的漏洞，例如暴露的执行程序、API文档或目录遍历漏洞。脆弱性可以帮助扩大我们的特权。

因此，我在api/cbma路由下为CoxBusiness门户的请求创建了代理。

此HTTP请求包含许多错误