迅雷投毒 demo！专业脸的来了。。那些凡辟谣必信的人进来看看

2015-09-21 20:45:32 +08:00

est

迅雷下载地址： http://adcdownload.apple.com/xcode-fake-1.1.1.1.dmg

我自己测试了：

没错我就是迅雷 5 用户！

出处： http://weibo.com/3802345927/CBAPoj5IR

@evil_xi4oyu

http://t.cn/RyJWU6U 可以拿迅雷下载试试，域名是 apple 用于下载 xcode 的主域，应该会随机的下到 5M 和 30 几 M 的 dmg 文件， 5M 的是 buildroot 的安装包，可以拿 winrar 打开， 30 几兆的是迅雷的 exe ，不同是因为对于已经存在的链接污染按照迅雷的算法会有一定的覆盖面。大家可以在后面回下下载的是多少[偷笑]

今天 19:37 来自微博 weibo.com

转发 26 评论 3 赞 2

说有 hash 校验就不会下载出错的，你们想一想攻击会有那么 sb 去攻击最困难的(hash 碰撞)部分吗？都是从最薄弱的环节下手，比如做种， seeding 的环节。

12409 次点击

所在节点

信息安全

79 条回复

aa45942

2015-09-22 12:29:21 +08:00

@choury
你说的伪造前中后 5k 数据欺骗服务器在我看来并不十分实际，首先若你成功伪造了这个安装包，你上传到自身服务器让迅雷下载时迅雷依据这段相同的 hash 判断你的文件已经保存在服务器上，实际上你的带毒安装包并未真正被离线服务器保存
其次有可能的情况是文件刚推出时趁着迅雷服务器未完全保存此文件，抢先一步将数据包下载下来、修改、伪装、伪造地址让迅雷保存你的这个安装包，如此才能让迅雷服务器把李鬼当成李逵，但是做一系列工作期间一旦被任何一个正常用户使用离线功能下载正常文件，那么一切努力就白费了，甚至即便抢先成功，有用户只使用原始地址下载而服务器校验了这个文件的完整 hash 与服务器上保存的做比对，那么一切努力也要白费

choury

2015-09-22 12:37:43 +08:00

@lshero 是，但是只要不能保证所有 etag 都是这样算的那这就是不能用的，毕竟不能每个地址配置个算法吧

choury

2015-09-22 12:40:11 +08:00

@aa45942 是的，实施起来并不容易成功，我只是指出迅雷这种做法的不靠谱之处

aa45942

2015-09-22 13:05:51 +08:00

@choury 其实不必盯着有效链接，死链部分就已经够迅雷喝一壶了
1.如何判断现在这个死链对应的文件是原始文件
2.如何确定这个链接是否恢复

现在的迅雷对问 1 的回答是在这个链接上最近被成功下载的文件，对问 2 的回答是没有死链，只是暂时无法访问
漏洞显而易见，这个主题就很好的打了迅雷的脸
虽然迅雷本身黑点挺多的，不过拿 XCodeGhost 事件来黑迅雷，仔细分析就能发现这只是一个笑话

lj0014

2015-09-22 14:37:13 +08:00

@est 如果是对正常的 url 恶意上报错误索引信息，迅雷会有淘汰机制将错误的索引踢除的

woyao

2015-09-22 14:53:14 +08:00

有一次在家用迅雷下载老电影《断臂刀》，本来是大概 1G 大小的，下载完成时只有 156M ，双击打开一看， xxoo 的自拍……

est

2015-09-22 15:25:27 +08:00

@lj0014 请看本帖 25 楼。

typcn

2015-09-22 15:35:41 +08:00

http://adcdownload.apple.com/hello-i-am-typcn.txt

试了下还真好玩

est

2015-09-22 15:43:02 +08:00

@typcn 用来传播不健康的东西最好玩了。 :doge:

typcn

2015-09-22 15:43:28 +08:00

貌似迅雷不会真的索引这个文件，我关掉虚拟机，别人就下载不动了

typcn

2015-09-22 15:43:53 +08:00

但是一直开着的话，就能投毒了 233

est

2015-09-22 16:03:21 +08:00

@typcn 大数据判断下载对方是什么来头，然后动态生成下载内容。

deathwish

2015-09-22 16:12:35 +08:00

@typcn 你可以吧这个文件离线上去

bitinn

2015-09-22 17:07:26 +08:00

Do they have any proof that a widespread fake download link exists (top rank in Baidu or Xunlei search matching common keyword)? If not, then I don't think the mass attack was carried out through Xunlei.

That's said, P2P network attack has been discussed extensively by security vendors, eg.

https://twitter.com/HaifeiLi/status/644976444448227328

sunyang

2015-09-22 20:03:27 +08:00

@Gandum 莫名被你戳中笑点

gamexg

2015-09-22 20:33:23 +08:00

大概需要先将要投毒的离线上去，方法是搭建一个公网 web 服务器用来存放需要投的毒，然后离线下载他，就可以让迅雷离线存在毒了。
然后投毒时只需要修改 host 让迅雷下载假内容上传 hash 值即可映射到需要投的毒了。

acess

2015-09-23 23:12:50 +08:00

@aa45942 不知道为什么，我没能重现成功，链接发给朋友都无法成功下载。
但是如果在自己的服务器上设置 301 或 302 跳转，并且在自己机器上的迅雷重新下载，好像会出现“镜像加速”，迅雷会直接连接跳转过去的链接，不改 hosts 也可以下载成功。只是不知道为什么，别人的机器上没能成功下载。

aa45942

2015-09-24 15:59:09 +08:00

@acess 你需要在本机下载的同时离线下载那个地址，若这个文件早就被保存在迅雷服务器上，链接和文件的对应关系才会被保存，而你服务器上的文件只是被迅雷当成那个文件的节点，而不是那个链接的节点。
若这个文件没被迅雷收录过，则需要用真实地址完整的离线下载一次这个文件

foxwoods

2015-09-26 11:20:24 +08:00

既然对无效链接投毒是可行的，那么可以有以下脑洞：

**预测下载链接提前投毒**

比如说，有的下载链接总是带版本号，而且有规律的，像这样的：
http://adcdownload.apple.com/Developer_Tools/Xcode_7/Xcode_7.dmg

下一个版本的链接很可能就是：
http://adcdownload.apple.com/Developer_Tools/Xcode_8/Xcode_8.dmg
但是下一个版本发布前，这个地址很可能是 *无效链接* ，具备投毒的条件。

P.S.
访问上面例子里 Xcode_8 的地址，会 302 到一个 403 的页面，不确定这种情况会不会被判断成无效链接。

第 4 页／共 4 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/222553

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.