看我如何利用OSINT技术黑掉加密货币挖矿工具

在实施攻击之前,公开资源情报计划(OSINT)是我们收集信息的首选技术。在此之前,也有很多使用OSINT实现攻击的事例。随着物联网设备的不断发展,我们现在可以在公共网站中收集到大量的关键数据了。那么在这篇文章中,我们将会跟大家介绍如何收集与加密货币挖矿工具(比特币—Antminer和以太坊—Claymore)有关的关键数据。

很多加密货币挖矿工具以及软件都需要通过网络来发送或接收数据。因此,这也给攻击者提供了可乘之机。

针对Antminer的网络侦察

目前最受欢迎的比特币ASIC矿机当属AntminerS9/S7了,矿机的硬件使用的是“lighttpd/1.4.32” Web服务器,而这类服务器中某些还拥有开放的SSH端口,本文所介绍的漏洞利用技术针对的是“Lighttpd 1.4.31”版本。但是,你无法利用本文的技术远程访问服务器。

Web服务器的网页接口采用了“HTTP摘要认证”来进行保护,这里最关键的一点就在于,这些矿机需要使用用户名以及密码来完成登录。下图显示的是antMiner的配置页面(使用了摘要认证):

大家都知道,在使用OSINT技术时我们需要使用一些信息和关键词来收集数据。通过分析我发现,每当我向矿机的服务器发送请求时,HTTP头中都会有一段antMiner配置信息,因此我们就可以选用这段信息来当搜索关键词。

我在censys.io以及shodan.io上使用了一些特殊语句来搜索相关内容,并收集到了一些IP地址。

友情提示:我们可以通过对HTTP端口或SSH端口进行暴力破解攻击来访问服务器系统。

首先,我们需要了解默认的HTTP用户名和密码。因此,我上Google搜索了关于“antminer默认密码”的内容,并且在一个网站中找到了antMiner的用户指南。

在这里,我选择使用hydra【下载地址】以及1万个常用密码来完成暴力破解攻击(爆破HTTP摘要认证),当然你也可以选择使用Burp Suite Intruder。命令如下所示:

如果你幸运的话,你将能够访问到antMiner的配置页面。

攻击者可以随意修改该页面中的配置信息。

Claymore矿机软件

这种方法不仅可针对比特币矿机实施攻击,而且目标还包括Claymore挖矿软件(可挖山寨币、以太币和Zcash币)。

接下来,我又使用关键词“ETH — Total Speed:”在shodan.io上进行了搜索:

你可以通过Claymore的远程管理API向服务器发送JSON数据包来实现对矿机服务器的远程管理。

在这里,我们可以控制矿机的GPU,例如开启或关闭多线程模式等等。除此之外,我们还可以通过编辑config.txt文件并发送一些控制命令来修改矿池钱包地址。下图显示的是Claymore的远程管理API代码:

我们还可以发送“miner_restart”或“control_gpu”命令来检测该文件的属性是只读的还是可读写的。我自己使用的是MacOS,所以我选择使用NC来发送JSON命令。

首先,我们可以尝试使用“miner_getstat1”命令。矿机服务器返回的统计信息如下所示:

接下来,我们可以尝试发送命令“control_gpu”来检测服务器的可读写状态。但是发送了该命令之后,服务器返回了如下所示的错误信息:

从错误信息中可以看出,矿机服务器当前处于只读模式。

当我尝试另一个IP地址时,我成功地重启了目标服务器的系统。这也就意味着,Claymore远程管理API允许我们读写认证信息。

除此之外,Claymore远程管理工具还允许我们使用JSON格式数据(发送JSON文件)来编辑config文件。不过,你还可以使用Windows端的Claymore的以太币挖矿管理工具来修改矿池钱包地址。

总结

我还没有尝试通过向Claymore挖矿软件发送JSON命令来实现命令注入,如果这个漏洞存在的话,那么我们无需读取权限便能够远程访问服务器。

大家在搜索海量数据时,可以使用OSINT来提升搜索的效率。除此之外,你甚至还可以通过编辑config.txt文件来让所有的GPU风扇停止工作,但这样做会给目标用户带来巨大的经济损失,因此请大家不要随意进行尝试。

如果你还有任何不了解的地方,请直接与作者(@s3yfullah)联系。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-11-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Office DDEAUTO技术分析报告

0x1 背景 过去几年,基于宏的文档攻击技术一直是主流,虽然需要用户主动进行确认,但是攻击的成功率依然非常的高。不过,近段时间来,使用Office DDEAUT...

2258
来自专栏jouypub

解决微信公众号文章的防盗链

写一个服务,把微信图片下载到本地,然后放在静态文件目录中,修改微信图片中的域名为自己的IP或域名,备注:程序请求时,referer需要时空的

5541
来自专栏Debian社区

SolydXK 9 正式发布,基于 Debian 的发行

SolydXK 9 已正式发布,它基于最近发布的 Debian 9。 自上个 beta 版本发布以来,团队一直在测试、改进和开发。除了基于新的 Debian 9...

862
来自专栏假装我会写代码

基于有赞云的个人收款即时到帐实现方案

4374
来自专栏区块链入门

链安科技:智能合约call、delegatecall底层函数使用需谨慎

2018年5月11日ATN Token遭受恶意攻击(详见:https://atn.io/resource/aareport.pdf),攻击者利用DSAuth库与...

1082
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–资产会计(162)-19定期处理-AFAB折旧过帐运行

4.7.3 AFAB折旧过帐运行 起初过帐至固定资产会更改资产会计中的计划折旧。然而,资产负债表和损益表的累计折旧科目和折旧科目并不会立即更新。直到执行定期折...

3697
来自专栏区块链入门

【链安科技】无限授权转账漏洞

Lightcoin 合约的 transferFrom() 函数,即授权转账函数,在执行完转账后本该修改授权金额,减去已转出部分金额。但这一步骤中把这授权账户地址...

742
来自专栏币聪财经

币聪早报:以太坊dApp浏览器采取措施提高钱包安全性

Paul Camechon在Medium中写道:“由于用户隐私问题,MetaMask和其他dApp浏览器已经承诺在11月2日停止向用户浏览器注入Web3,这意味...

883
来自专栏FreeBuf

恶意软件的小伎俩,伪装成Cloudflare页面默默挖矿

FileTour是一种广告软件,通常作为游戏和其他软件的破解或欺骗手段传播。这个软件包是界定于广告软件和PUP以及更危险的计算机感染类型(如密码窃取木马和矿工)...

993
来自专栏Python与爬虫

黑客已经盗了15,945,221.72 USD

myetherwallet 昨日发推特说,他们的DNS 被污染,导致部分用户进入到了假的 网站,从而导致ETH被盗

1031

扫码关注云+社区

领取腾讯云代金券