¿Probar un sitio web de clearnet para un servicio oculto?

2

Recientemente, realicé una exploración del servicio nmap contra una lista de dominios y uno de los scripts de NSE que se ejecutaban era cadenas de huellas dactilares.

Este script aparentemente extrae cadenas ASCII de servicios no identificados.

Dado que los dominios son servidores web y el puerto es 443, las cadenas de huellas dactilares responden con http o html. Y una de las salidas es la siguiente:

  

DNSStatusRequest, DNSVersionBindReq, Ayuda, Kerberos, RPCCheck, SMBProgNeg, SSLSessionReq, TLSSessionReq:

HTTP/1.1 400 Bad Request
Server: awselb/2.0
Date: Thu, 01 Mar 2018 11:02:47 GMT
Content-Type: text/html
Content-Length: 138
Connection: close
<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
</body>
</html>
     

FourOhFourRequest, GetRequest, HTTPOptions:

HTTP/1.1 404 
Date: Thu, 01 Mar 2018 11:02:40 GMT
Content-Length: 0
Connection: close
     

JavaRMI, NCP, NotesRPC, TerminalServer, WMSRequest, oracle-tns:

HTTP/1.1 400 Bad Request
Server: awselb/2.0
Date: Thu, 01 Mar 2018 11:02:49 GMT
Content-Type: text/html
Content-Length: 138
Connection: close
<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
</body>
</html>
     

LANDesk-RC, LDAPBindReq, LDAPSearchReq, LPDString, SIPOptions, X11Probe:

HTTP/1.1 400 Bad Request
Server: awselb/2.0
Date: Thu, 01 Mar 2018 11:02:48 GMT
Content-Type: text/html
Content-Length: 138
Connection: close
<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
</body>
</html>
     

RTSPRequest:

<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
</body>
</html>
     

afp, giop:

HTTP/1.1 400 Bad Request
Server: awselb/2.0
Date: Thu, 01 Mar 2018 11:02:50 GMT
Content-Type: text/html
Content-Length: 138
Connection: close
<html>  
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
</body>
</html>
     

tor-versiones:

HTTP/1.1 400 Bad Request
Server: awselb/2.0
Date: Thu, 01 Mar 2018 11:02:40 GMT
Content-Type: text/html
Content-Length: 138
Connection: close
<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
</body>
</html>

He reunido un par de salidas de cadenas de huellas dactilares de los dominios y no todas ellas están dentro.

Básicamente, me pregunto si esta confirmación de que se está ejecutando un servicio oculto en este dominio, ¿o hay otra prueba o escaneo de nmap que pueda ejecutar para confirmar esto? Si no es confirmación, entonces ¿por qué estoy obteniendo esta salida?

    
pregunta F.Terrie 06.03.2018 - 11:06
fuente

3 respuestas

5

Un servicio oculto no utiliza puertos especiales, protocolos, etc. Es solo un servidor web normal al que normalmente no se puede acceder a través de la interfaz de red pública y se accede a través de una instancia de Tor que se ejecuta localmente.

Los servicios ocultos de Tor correctamente configurados que no desean ser accesibles a través de la red clearnet solo escuchan en la interfaz de bucle invertido del servidor y hacen que el servicio tor que se ejecuta localmente se conecte a ellos. Por lo tanto, no puede averiguar si hay un servicio oculto ejecutándose en una máquina con nmap.

Hay algunas maneras de probar una hipótesis si un servidor dado alberga un servicio oculto o tor. Una simple es medir el tiempo de actividad del servidor y el tiempo de actividad del servicio oculto durante largos períodos de tiempo y buscar una fuerte correlación entre los dos. Si ambos caen al mismo tiempo, eso es un fuerte indicio. Otra posibilidad es hacer hincapié en el servidor y luego medir si el rendimiento del servicio oculto disminuye (¡pero no lo haga! Esto podría ser visto como un ataque por parte de los administradores del servidor). Si se hace repetidamente, podría confirmar que el servicio oculto se está ejecutando en el servidor en cuestión.

Los puertos abiertos de huellas dactilares, OTOH, no le darán ninguna información sobre la presencia de un servicio oculto.

    
respondido por el Pascal 07.03.2018 - 00:45
fuente
3

El cadenas de huellas dactilares muestra las cadenas ASCII legibles de las respuestas del servicio a las sondas de Nmap; los encabezados como tor-versions , RTSPRequest y afp, giop son los nombres de esas sondas, no las respuestas del servicio de destino.

Acabo de escribir una explicación un poco más en el NSEdoc para ese script, así que espero que esto no sea tan confuso en el futuro.

P.S. Una búsqueda en la web de "awselb" me lleva a creer que se trata de Elastic Load Balancing de Amazon Web Services.

    
respondido por el bonsaiviking 06.03.2018 - 20:31
fuente
1

No hay manera de saber si un servidor web también es accesible a través de un HS. Un servicio oculto funciona como un proxy para llegar a un servidor web, pero el servidor web puede permanecer sin cambios. Debido a que no es necesario cambiar nada, no se debe observar ningún cambio.

No sé de dónde proviene la cadena de "versiones tor" de tu captura de pantalla. No veo nada en los encabezados o en el cuerpo que sugiera que sea accesible a través de un HS.

    
respondido por el Luc 06.03.2018 - 11:40
fuente

Lea otras preguntas en las etiquetas