端口18800到底是什么--逆向Amazon音乐播放器寻找隐藏在其中的api

最新推荐文章于 2023-07-05 12:35:42 发布
最新推荐文章于 2023-07-05 12:35:42 发布
阅读量2.6w 收藏
点赞数
分类专栏: 外文翻译

翻译自:https://medium.com/0xcc/what-the-heck-is-tcp-port-18800-a16899f0f48f
翻译:聂心明

如果安装Amazon音乐客户端的话,你会怀疑开在18800端口的程序到底是什么:

➜  ~ sudo tcpview
Password:
Proto Local address                  Remote address                 Status        PID    Program name
tcp   0.0.0.0:18800                  -                              LISTEN        35050  Amazon Music Helper

windows?也是一样的

在2014年,有人抱怨这个东西
https://chriscarey.com/blog/2014/10/08/how-to-stop-amazon-music-helper-from-running-in-the-background-osx/

所以它究竟做了什么?
通过快速的检查,我们知道这个端口属于

/Applications/Amazon Music.app/Contents/MacOS/Amazon Music Helper

accept处下断点,然后nc 127.1 18800看看发生了什么:

Process 35050 stopped
* thread #6, stop reason = breakpoint 1.1
    frame #0: 0x0000000104855af0 Amazon Music Helper` boost::asio::detail::socket_ops::accept(int, sockaddr*, unsigned long*, boost::system::error_code&)
Amazon Music Helper`boost::asio::detail::socket_ops::accept:
->  0x104855af0 <+0>:  push   rbp
(lldb) bt
* thread #6, stop reason = breakpoint 1.1
  * frame #0: 0x0000000104855af0 Amazon Music Helper` boost::asio::detail::socket_ops::accept(int, sockaddr*, unsigned long*, boost::system::error_code&)
...
    frame #5: 0x0000000104813fe5 Amazon Music Helper` boost::asio::detail::task_io_service::run(boost::system::error_code&)  + 165
    frame #6: 0x000000010480daea Amazon Music Helper` Morpho::HttpDispatcher::startListening(int)  + 1418
    frame #7: 0x0000000104897a4c Amazon Music Helper` boost::(anonymous namespace)::thread_proxy(void*)  + 156

这个是http服务器?但是我curl失败了

➜  ~ curl localhost:18800/test
curl: (52) Empty reply from server

当服务器需要ssl的时候就会发生这样的事情并且你只要以文本模式发送请求就好。所以,让我们试试不同的payload:

➜  ~ curl https://localhost:18800/test -k
denied

现在它奏效了

幸亏symbols没有在编译的时候被去掉,快速分析后发现,Windows客户端和mac客户端有大量相似的代码,但是msvc已经把所有的symbols全部被移到了pdb里面,以至于代码非常难读。

所以Morpho是代码名

  • Morpho::CrossDomainHandler (^/crossdomain[.]xml$)
  • Morpho::LaunchHandler (^/morpho)
  • Morpho::SystemHandler (^/.+)

每一个处理接口都有一个叫requireOrigin去检查传递进来的请求:

请求的检查在sym.Morpho::HttpDispatcher::getOriginMatchString_HttpRequest实现

截图中有太多的代码吗?不要担心,下面是一个简单的伪代码:

regex = RegExp("http(s)?.*[.]amazon[.](com|co[.]uk|de|fr|it|es|co[.]jp|ca|in|com[.]au)(:[0-9]{1,4})?");
if (regex.match(request.headers["origin"]) && regex.match(request.headers["origin"]))
    return true;
if (regex.match(request.headers["x-amzn-origin"]))
    return true;
return false;

因为它接受自定义的头部x-amzn-origin,第三方网站很容易伪造这样的请求,除此之外,这个RESTful被暴露在所有的网络接口上,所以如果你是Shodan或者ZoomEye的粉丝,你会得到一些意想不到的惊喜?

我们去看看这些处理程序。

Morpho::SystemHandler

它可以直接接收pathname,先不要关心参数。它会返回系统信息:

➜  ~ curl -H "x-amzn-origin: https://a.amazon.com" -k https://127.1:18800/morpho
{ "version":"7.0.3.1540", "device":"AMZN{pretty_long_uuid_here}", "osType":"osx", "osVersion":"10.14.2" }

Morpho::LaunchHandler

这个的危害性就很大了,如果路径名匹配到了下图中的正则sym._anonymousnamespace_::kLaunchRegEx,那么它们就会被初始化为:^/((purchase|download|play|cplaunch).*)$

所以,当Amazon Music启动时就会把pathname作为命令行参数

此外,如果http的verb是POST,参数就是斜线加http请求体。比如,下面这个请求:

➜  ~ curl -v -k -H "x-amzn-origin: https://a.amazon.com" -XPOST "https://127.0.0.1:18800/play" --data "boy"

结果就是:

Executable module set to "/Applications/Amazon Music.app/Contents/MacOS/Amazon Music".
Architecture set to: x86_64h-apple-macosx.
(lldb) po [[NSProcessInfo processInfo] arguments]
<__NSArrayI 0x7ff256dfc010>(
/Applications/Amazon Music.app/Contents/MacOS/Amazon Music,
play/boy
)

很幸运,请求的pathname通过了正则检查,然后他们用QProcess::startDetached(QString const&, QStringList const&)代替了它的兄弟QProcess::startDetached(QString const&)。为什么?

主程序的执行基于libCEF,它也支持Chromium命令参数。如果有机会我可以直接改变启动参数,就像下面这样:

➜ ~ /Applications/Amazon\ Music.app/Contents/MacOS/Amazon\ Music --no-sandbox --renderer-cmd-prefix="/Applications/Calculator.app/Contents/MacOS/Calculator"

如果是Windows,则可以执行:

"Amazon Music.exe" --no-sandbox --renderer-cmd-prefix="cmd /c calc"

亲爱的Amazon开发者,你已经非常接近可造成蠕虫攻击的远程命令执行漏洞了。幸运的是,这些并没有发生。

还有一件事就是,你不需要一个证书去运行https吗?让我们添加-v 来检查一下

* SSL connection using TLSv1.2 / AES256-GCM-SHA384
* ALPN, server did not agree to a protocol
* Server certificate:
*  subject: CN=www.amazonmusiclocal.com
*  start date: Nov 12 00:00:00 2018 GMT
*  expire date: Oct 18 12:00:00 2019 GMT
*  issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon
*  SSL certificate verify ok.


所以Amazon Music让域名 www.amazonmusiclocal.com解析到了本地回环地址上。因为签名是正确的,它们的私钥必然被分发到了客户端里面。它们在这里:

[0x100006e10]> afl~Morpho::HelperServer
0x100076f40    1 31           sym.Morpho::HelperServer::getCert
0x100076f60    1 31           sym.Morpho::HelperServer::getPrivKey
0x100077070    5 234          sym.Morpho::HelperServer::getAesKey
0x100077180   33 609          sym.Morpho::HelperServer::getAesIV

这个密钥和证书被硬编码在初始化器里面,你可以通过自己的努力把他们找出来:

pdf @sym.__GLOBAL__sub_I_helperServerData.cpp

就在几天前,我读到类似的文章,但是主角是Spotify:

实际上,我已经不需要dns劫持了,我们只要把一个播放按钮放入到网页中,然后让受害者去点击,受害者点击之后,就会发送一条请求到本地的控制服务器中。我们甚至不需要Spotify,因为网站之间的授权已经被搞定了,我就可以用互联网来做这样的事情了(有几个技术问题和复杂的告警需要解决)

Spotify会怎么说呢?这是产品本身的设计,它们没有安全问题。我试图进一步去解释,但是他们已经确认这是产品本身的设计,不是什么漏洞。为了公平起见,我把spotilocal.com的证书放在了网上。现在这个证书已经被移除了,所以我猜这本身不是产品设计所期望的事情。

https://medium.com/@Zemnmez/übersicht-remote-code-execution-spotify-takeover-a5f6fd6809d0

现在没法找到实际的利用。但是至少你会扫描局域网,然后去攻击音乐播放器,而且现在你也可以用被信任的证书去调试web。

niexinming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux8000端口一般是什么端口,Linux下有什么地方用到了8000端口
weixin_35698035的博客
05-01 1573
满意答案netstat -tunlp |grep 8000用这个命令就能看到是哪个程序了,最右面的是程序名我这没有8000的程序,列一下22的[root@localhost tmp]# netstat -tunlp |grep 22tcp 0 0 0.0.0.0:42957 0.0.0.0:* LISTEN ...
亚马逊音乐数据集
11-08
亚马逊音乐数据集,最新的数据集 亚马逊音乐数据集,最新的数据集 亚马逊音乐数据集,最新的数据集 亚马逊音乐数据集,最新的数据集 亚马逊音乐数据集,最新的数据集 亚马逊音乐数据集,最新的数据集 亚马逊音乐数据集,最新的数据集
接口逆向
JesusSlim的专栏
02-04 1034
使用 Fiddler 进行抓包,分析请求地址与参数 反编译 使用 dex2jar 以及 jd-gui 进行反编译,分析 签名生成过程。
amazon 开源的API
01-30
主要是关于amazon开源的的API文档,主要是关于amazon开源的的API文档,主要是关于amazon开源的的API文档,主要是关于amazon开源的的API文档,
端口反向模拟
热门推荐
谷洪的博客
04-19 4万+
端口反向模拟 port它可以把远程计算机的任意端口反向模拟到本地机器来在本机运行Fportclient.exe,在“本地要模拟的端口”处填上3388,也可以是其他端口,但最好不要是3389,因为那样会不成功。其他的不需要改变,单击“开始监听”,这时工具就会提示已经开始监听,这时本地的工作已经全部完成。把服务端文件Fport.exe上传到服务器上,并执行:Fport.exe 3389 1.1.1.1...
music-player-app:音乐播放器网络应用
05-14
音乐播放器网络应用使用React,Redux,样式化组件和React Sound制作的网络音乐播放器。安装并运行 # using npmnpm i && npm start# using yarnyarn && yarn start 该应用程序应该在端口8080上可用。屏幕截图
conceal-api:隐藏API-JavaScript接口(RPCAPI
05-07
隐藏API:Javascript / Node.js接口(RPC / API隐藏的加密货币RPC / API的Javascript / Node.js接口。 在隐藏的,隐藏钱包的和钱包的三个程序中内置了三个RPC服务器。 它们每个都可以使用参数--help来启动,...
VS1053-实时MIDI乐器/音乐播放器设计,附原理图/PCB/代码等-电路方案
04-21
本设计分享的是基于VS1053-实时MIDI乐器/音乐播放器设计,附原理图/PCB/代码等。该VS1053音乐播放器支持多种播放格式,包括MP3,WMA,WAV,AAC,MIDI,Ogg Vorbis,它是一款与Arduino,Seeeduino,Seeeduino Mega和...
hideProc-master.zip_hideproc_端口 隐藏_端口隐藏_隐藏端口_驱动隐藏
07-14
在IT安全领域,隐藏进程和端口是一种常见的技术手段,主要应用于系统安全、渗透测试以及隐私保护等场景。本文将详细解析"hideProc-master.zip"压缩包中的"hideproc"项目,它是一款用于隐藏端口的工具,尤其适用于...
RippleAPI-Java:RippleAPI for Java的端口
05-08
Java的RippleAPI 要使用它,请下载发行版或使用Maven 玛文 添加JitPack Rep和RippleAPI-Java依赖项 < id>jitpack.io < url>https://jitpack.io</ url> < groupId>...
TP-LinkTD8800端口映射方法.doc
12-31
TP-LinkTD8800端口映射方法,不知道端口映射的朋友可以看看哦
python爬虫 - js逆向解密之简单端口加密破解v2 -- 修复版.pdf
11-27
python爬虫 - js逆向解密之简单端口加密破解v2 -- 修复版
【Android 逆向】Android 逆向通用工具开发 ( adb forward 网络端口重定向命令 | PC 端逆向程序主函数分析 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-08 1556
前言 一、adb forward 网络端口重定向命令 二、PC 端逆向程序主函数分析
Web server failed to start. Port 8800 was already in use.端口被占用解决办法
最新发布
m0_65088845的博客
07-05 548
今天启动多个项目,没有注意项目的端口,结果启动的时候控制台打印端口占用。netstat -aon|findstr 端口号。taskkill /f /t /im 进程名。tasklist|findstr 端口号。2:根据PID找到占用此端口的进程。1:查看被占用端口的进程。
安卓逆向adb+IDA端口调试
抚琴
02-05 1317
1~创建模拟器(有真机可以忽略这个) 2~在IDA里面找到android_server(dbgsrv目录) 3~把android_server文件放到手机/data/local/tmp adb push 文件名 /data/local/tmp/as 4~打开一个cmd窗口:运行android_server 1)adb shell 连接手机 2)给一个最高权限:su 3)来到/data/local/tmp:cd /data/local/tmp 4)给androi_server一个最高的权限:chomd
重定向"端口
weixin_34082177的博客
11-09 1540
系统管理员可以"重定向"端口:一种常见的技术是把一个端口重定向到另一个地址。例如默认的HTTP端口是80,不少人将它重定向到另一个端口,如8080。如果是这样改了,要访问本文就应改用这个地址[url]http://wwd.3322.net:8080/net/port.htm[/url](当然,这仅仅是理论上的举例)。实现重定向是为了隐藏公认的默认端口,降低受破坏率。这样如果有...
Windows下如何查看某个端口被谁占用
卷NM呢!不干了!
03-22 290
开发时经常遇到端口被占用的情况,这个时候我们就需要找出被占用端口的程序,然后结束它,本文为大家介绍如何查找被占用的端口。 1、打开命令窗口(以管理员身份运行) 开始—->运行—-> cmd,或者是 window+R 组合键,调出命令窗口。 2、查找所有运行的端口 输入命令: netstat -ano 该命令列出所有端口的使用情况。 在列表中我们观察被占用的端口,比如是 1224,首先找到它。 3、查看被占用端口对应的 PID 输入命令: netstat -aon|findstr "8081
python3 ssl,python3和请求:仍然出现“ sslv3警报握手失败”
weixin_39840606的博客
01-14 1328
I have been trying to perform an HTTPS request in Python 3 using requests and aggregating pretty much all the knowledge from the prior attempts documented on StackOverflow. I cannot for the life of me...
centos 防火墙放行端口相关命令
qq_31208743的博客
03-31 969
1.查看防火墙状态 firewall-cmd --state 2.停止防火墙 systemctl stop firewalld.service 3.启动防火墙 systemctl start firewalld.service 4.重启防火墙 firewall-cmd --reload 开放指定端口 5.查看已经开放的端口 firewall-cmd --list-ports 6.开放端口 以8800端口为例 firewall-cmd --zone=public --add-port=8
nova -api端口被占用
05-27
如果 Nova API 端口被占用,你可以尝试以下方法: 1. 使用 `lsof` 命令查看当前系统中已经被占用的端口: ``` sudo lsof -i -P -n | grep LISTEN ``` 该命令会列出所有正在监听的网络端口和对应的进程。你可以根据该命令的输出,找到占用了你要使用的端口的进程,并停止它。 2. 如果你确信占用该端口的进程是不需要的,可以尝试直接杀死该进程: ``` sudo kill <pid> ``` 其中 `<pid>` 是占用该端口的进程的进程 ID。 3. 如果你想要修改 Nova API 的监听端口,可以在启动命令中使用 `--port` 参数指定新的端口号。比如: ``` nova-api --config-file /etc/nova/nova.conf --port 8080 ``` 这将把 Nova API 服务绑定到 8080 端口上。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值