在chrome中使用webrtc ice服务进行端口扫描

小咪咪 2021-07-28 20:49 404阅读 0赞

WebRTC，名称源自网页即时通信（英语：Web Real-Time Communication）的缩写，是一个支持网页浏览器进行实时语音对话或视频对话的API。它于2011年6月1日开源并在Google、Mozilla、Opera支持下被纳入万维网联盟的W3C推荐标准。——百度百科

使用浏览器扫描局域网并不是一种新想法，目前已有许多利用[XHR请求][XHR]、[websockets][]或[存粹的HTML代码][HTML]来发现和识别局域网设备的例子。但在这篇博客中，我将介绍一种使用WebRTC [ICE服务][ICE]进行扫描的技术。该技术扫描速度较快，并且与其他方法不同的是，它可以绕过[blocked ports list][]。但不幸的是，它只能在Chrome上才能生效。

你可以跳过我的解释，直接进入[代码][Link 1]或[演示][Link 2]页面。如果想详细了解，先让我们从PoC视频开始，主要是扫描我的192.168.88.0/24网络。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70][]

视频地址：https://youtu.be/M6lBVhkzUmM

### 什么是ICE Server？ ###

如前所述，扫描技术使用WebRTC ICE服务。[ICE][ICE 1]服务是WebRTC [RTCPeerConnection][]用于自我发现、NAT遍历和中继的[STUN][]或[TURN][]服务，通过将服务器列表传递到RTCPeerConnection的构造[器][Link 3]来实现。下面是一个和谷歌公共STUN服务器有关的构造器之一：

var rtc = new RTCPeerConnection({
        iceServers:[{“urls”:”stun:stun.l.google.com:19302”}]
    });

当上述RTCPeerConnection进入[ICE收集状态][ICE 2]时，它将尝试连接到所提供的服务器。

### 协议 ###

ICE服务可以绑定到UDP或TCP端口。但是，除非特别设定，Chrome似乎只尝试通过UDP进行通信。下面是一个Wireshark截图，显示了Chrome发送数据到一个不存在的TURN服务器，一切都基于UDP。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 1][]

如果你知道一些关于ICE服务器的URL，可以强迫Chrome通过TCP进行连接。传递给RTCPeerConnection构造器的URL[必须][Link 4]符合[RFC 7064][]（STUN）或[RFC 7065][]（TURN）。TURN URI的方案如下：

![20191227104938173.jpg][]

对于扫描来说最重要的是“?transport=”字段。它可以通过“?transport=TCP”强制ICE使用TCP。

现在，我们有了一种方法来向我们选择的任何IP和端口发出TCP连接。但是，由于我们要扫描的所有主机几乎都和TURN服务无关，那么如何确定主机是否处于活动状态呢？

### 确定目标是否存活 ###

为了找到192.168.\[0-255\].1范围内的活动地址，下面的JSFiddle会生成256个TURN URI。

当[icecandidateerror][]事件生成时，这个地址就被确定为“活动的”。如果主机以某种形式拒绝连接，Chrome就会将生成错误事件。理想情况下，在Chrome发送初始信息后，会立刻有RST回复或一个快速拒绝。虽然服务可能只是保持连接打开，但错误事件将需要大约30秒来生成。

这就是为什么JSFiddle使用端口445进行扫描。我实现的SMB完成了TCP握手，然后在Chrome的非SMB通信之后关闭连接。445端口的另一个理想之处在于它和Windows关系紧密。

如果Chrome没有响应，则不会生成事件。这可能是因为防火墙进行了处理，也可能是不存在可用主机。

我遇到的唯一一个极端情况回复中存在一个ICMP响应。这导致Chrome生成一个`icecandidateerror`，形成了一定程度的干扰。

### 端口扫描 ###

JSFiddle会扫描192.168.88.1上的21、22、23、25、53、80、443、445、5900和8080端口。

以下本地网络扫描结果：

![20191227104955574.jpg][]

基于Chrome生成的`icecandidateerror`事件，脚本能够将端口分类为“打开”或“关闭”。每个`icecandidateerror`都有一个[hostCandidate][]变量。任何完成TCP三次握手的ICE服务器都将在`hostCandidate`中列出本地IP和端口（例如192.168.88.x:51688）。无法访问的ICE服务器以“0.0.0.x:0”的形式生成`hostCandidates`。因此，判断一个端口是否打开很简单。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 2][]

### 只适用于Chrome？ ###

目前我无法在任何其他浏览器中重现扫描，其他浏览器似乎没有实现`onicecandidateerror`。这个特性在Chrome中存在的时间也不长，因为MDN显示“[不支持][Link 5]”：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 3][]

其他浏览器似乎对RTCPeerConnection的使用也不太灵活。虽然Chrome很乐意接受255个不同的ICE服务器，但Firefox就不行。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 4][]

### 关于PoC代码 ###

Chrome最近已修复因WebRTC而泄露的本地地址这一[问题][Link 6]。当“Experimental”功能的“Anonymize local IPs exposed by WebRTC”标志被启用时，Chrome将尝试使用`mDNS.local`主机名，而不是本地IP。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 5][]

我觉得这真是一个很好的安全加固，肯定能阻止不少潜在的攻击者。

不过我在PoC也考虑到了IP无法获取这一点，此时它将尝试搜索192.168.\[0–255\].1上的某个活动IP。

### 这是一个弱点吗？ ###

起初，我觉得这是一个弱点。攻击者（有争议地）绕过Chrome的受限端口列表，能够搜索受害者的局域网。但谷歌似乎认为这是一个“隐私”问题，而不是安全漏洞。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 6][]

不过，现在有各种各样的插件可以禁用WebRTC，你也可以选择其他浏览器。

[XHR]: https://github.com/SkyLined/LocalNetworkScanner/
[websockets]: https://github.com/mandatoryprogrammer/sonar.js/tree/master
[HTML]: https://blog.jeremiahgrossman.com/2006/11/browser-port-scanning-without.html
[ICE]: https://developer.mozilla.org/en-US/docs/Web/API/RTCIceServer
[blocked ports list]: https://chromium.googlesource.com/chromium/src.git/+/refs/heads/master/net/ba%20se/port_util.cc
[Link 1]: https://github.com/jacob-baines/turnscan.js/blob/master/docs/turnscan.js
[Link 2]: https://jacob-baines.github.io/turnscan.js/index.html
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70]: /images/20210728/5d14249942e44c9a85d3758f0d76dcb3.png
[ICE 1]: https://developer.mozilla.org/en-US/docs/Glossary/ICE
[RTCPeerConnection]: https://developer.mozilla.org/en-US/docs/Web/API/RTCPeerConnection
[STUN]: https://developer.mozilla.org/en-US/docs/Web/API/WebRTC_API/Protocols#STUN
[TURN]: https://developer.mozilla.org/en-US/docs/Web/API/WebRTC_API/Protocols#TURN
[Link 3]: https://developer.mozilla.org/en-US/docs/Web/API/RTCPeerConnection/RTCPeerConnection
[ICE 2]: https://developer.mozilla.org/en-US/docs/Web/API/RTCPeerConnection/onicegatheringstatechange
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 1]: /images/20210728/defdaef3097943c0af0989f4b9175406.png
[Link 4]: https://w3c.github.io/webrtc-pc/#rtciceserver-dictionary
[RFC 7064]: https://tools.ietf.org/html/rfc7064
[RFC 7065]: https://tools.ietf.org/html/rfc7065
[20191227104938173.jpg]: /images/20210728/12a5be1ccf9a47d4919f949a59b6bd5d.png
[icecandidateerror]: https://developer.mozilla.org/en-US/docs/Web/API/RTCPeerConnection/onicecandidate
[20191227104955574.jpg]: /images/20210728/7cfb29dc61a943cb9531a9f6ad97a783.png
[hostCandidate]: https://w3c.github.io/webrtc-pc/#dom-rtcpeerconnectioniceerroreventinit
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 2]: /images/20210728/35a5c07a32124c5e9162353d48321372.png
[Link 5]: https://developer.mozilla.org/en-US/docs/Web/API/RTCPeerConnection/onicecandidateerror#Browser_compatibility
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 3]: /images/20210728/0d832a00775c437087e44fac9b66af47.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 4]: /images/20210728/e96bf45c25e343f78029ad562473f702.png
[Link 6]: https://bloggeek.me/psa-mdns-and-local-ice-candidates-are-coming/
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 5]: /images/20210728/4b20189e655c4a1eaf7f8c79d1eba381.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70 6]: /images/20210728/9d60f347f5854091a2f713596766e025.png