朱利军_剑走偏锋之 Hacking 无处不在

夕今雨

2017/11/14 发布于 技术 分类

站在漏洞挖掘的角度介绍万物互联环境下如何攻破各类互联网络,包括智能联网设备、工控网络、交通网络等。

文字内容
1. About Me [Rabit2013@CloverSec]:~# whoami ID: Rabit2013,Real name: 朱利军 [Rabit2013@CloverSec]:~# groupinfo Job : CloverSec Co.,Ltd CSO & CloverSec Labs & Sec Lover [Rabit2013@CloverSec]:~# cat Persional_Info.txt • 西电研究生毕业(信息对抗、网络安全专业) • 历届XDCTF组织与参与者 • 多届SSCTF网络攻防比赛组织与出题 • 某国企行业网络渗透评估 • 嵌入式漏洞挖掘挑战赛5个高危漏洞 • 通用Web应用系统漏洞挖掘若干 • 某国企单位安全培训 • ………….
2. About Team Java/Flash 操作系统 安全防御软件 主流中间件 Binary 其他 主流Web应用 Web 主流Web框架 其他 主流浏览器 Tablet CloverSec Labs Android Windows Phone Mobile Terminal iOS Wear Devices 其他 IoT/Industry/Car 工控系统 车联网 嵌入式
3. About Team u 发现多个Microsoft Windows内核提权漏洞 (CVE-2016-0095) u 发现多个Adobe Flash Player任意代码执行漏洞 (CVE-2015-7633 CVE-2015-8418 CVE-2016-1012 CVE-2016-4121) u 发现多个Oracle Java任意代码执行漏洞 (CVE-2016-3422,CVE-2016-3443) u 发现多个360安全卫士内核提权漏洞(QTA-2016-028) u 发现多个百度杀毒内核提权漏洞 u 率先发现苹果AirPlay协议认证漏洞 u 参加互联网嵌入式漏洞挖掘比赛,对某知名厂商提供的设备进行漏洞 挖掘,提交了5个高危漏洞 u 为TSRC、AFSRC提交漏洞若干
5. Hacking无处不在 Why? ---为何到处能Hacking Where? ---Hacking的入口点在哪 What? ---哪些能Hacking How? ---怎么去Hacking [ Rabit2013@KCon ]
6. Why 为何到处能Hacking [ Rabit2013@KCon ]
7. 无线路由 防御软件 工业系统 摄像头 联网汽车 智能家居 云办公 云WAF 智能手表 运维系统 内网管理 监控系统 Web应用 各类CMS 各类OA [ Rabit2013@KCon ]
8. 漏洞 [ Rabit2013@KCon ]
9. 传统漏洞 文件 下载 信息 泄露 弱配置 弱口令 XXE 命令 执行 CSRF SQL 注入 代码 SSRF 注入 框架 注入 XSS 注入 攻击 文件 上传 越权 访问 ······· [ Rabit2013@KCon ]
10. 新型漏洞 口令 爆破 验证码 撞库 API 接口 认证 时效 找回 密码 业务 篡改 身份 认证 业务 一致 业务 业务 流程 授权 弱加密 输入 合法 ······ [ Rabit2013@KCon ]
11. Hacking无处不在 Why? ---为何到处能Hacking Where? ---Hacking的入口点在哪 What? ---哪些能Hacking How? ---怎么去Hacking [ Rabit2013@KCon ]
12. Where Hacking的入口点在哪 [ Rabit2013@KCon ]
13. Testing Fuzzing Checking = +System 系统本身 数据传输 安全与否 [ Rabit2013@KCon ]
14. [ Rabit2013@KCon ]
15. 现在,有这么一个设备,通过遥 控器进行控制,遥控器使用 433MHz如何知道遥控器发送了 什么? 得到的原始信号长这样 这里有个小诀窍,在抓取的时候建议 偏离中心信号一点,比如432.7MHz 可以避开信号尖峰影响 [ Rabit2013@KCon ]
16. • 了解功能,使用范围,使用方法,以及能做什么 • 拆机看PCB,从各种组件上了解其架构,寻找调试接口(UART/TTL/JTAG) • 加电,进行常规性检测(扫端口,看服务等) • 截取信号进行分析,看它发送了什么,这些信号都是做什么的 • 弄到固件,拆包分析,对其中的关键程序进行逆向 • 重点关注Ping/Telnet等功能,尝试命令执行,进入白盒阶段 • 自制添加了后门的固件,尝试刷入,进入白盒阶段 • 其他脑洞大开的想法、做法 [ Rabit2013@KCon ]
17. • 以高权限登入设备,对自己的一些想法进行验证。 • 对外通信内容进行分析,构造Payload,跑一下 • 连接调试接口,看终端打印信息 • 利用QEMU进行动态调试,下断试错等 • 从终端到云端(如果有的话) • 站在上帝视角,寻找更多问题,物联网不只是pwn it就完了 • 一个小玩意引发的血案(基于物联网设备的内网漫游) [ Rabit2013@KCon ]
18. 接口安全 额外的访问URL 认证接口 等等 服务安全 不必要的端口 特殊功能端口 测试端口 固件安全 明文固件 混淆不彻底 内存Dump 入手点 通信安全 WIFI 蓝牙 移动通信 红外 协议安全 协议缺陷 协议逻辑 额外字段 [ Rabit2013@KCon ]
21. Hacking无处不在 Why? ---为何到处能Hacking Where? ---Hacking的入口点在哪 What? ---哪些能Hacking How? ---怎么去Hacking [ Rabit2013@KCon ]
22. What 哪些能Hacking [ Rabit2013@KCon ]
23. 生活中都有哪些设备
24. 设备的安全隐患 曾经出现过比较大的安全设备的漏洞 例如越权、远程命令执行、弱口令等等
25. Hacking无处不在 Why? ---为何到处能Hacking Where? ---Hacking的入口点在哪 What? ---哪些能Hacking How? ---怎么去Hacking [ Rabit2013@KCon ]
26. How 怎么去Hacking [ Rabit2013@KCon ]
27. How 怎么去Hacking 案例1、一个WiFi引发的思考 案例2、公司网络真的安全吗? 案例3、物理隔离真的安全吗? 案例4、生活中还有哪些Hacking? [ Rabit2013@KCon ]
28. 案例1、一个WiFi引发的思考 WIFI破解
29. 案例1、一个WiFi引发的思考 WIFI破解
30. 案例1、一个WiFi引发的思考 WIFI破解
31. 案例1、一个WiFi引发的思考 中间人 中间人劫持获取隔壁WiFi主人信息, 获取Cookie/Session/Token/账号, 登陆,能玩的还有很多…………
32. How 怎么去Hacking 案例1、一个WiFi引发的思考 案例2、公司网络真的安全吗? 案例3、物理隔离真的安全吗? 案例4、生活中还有哪些Hacking? [ Rabit2013@KCon ]
33. 案例2、公司网络真的安全吗? WIFI万能钥匙
34. 案例2、公司网络真的安全吗? 网络信息收集 通过扫描/Ping/Traceroute等 判断网络结构和网络信息
35. 案例2、公司网络真的安全吗? 服务端口探测 192.168.10.0/24 192.168.20.0/24 192.168.30.0/24 192.168.100.0/24 192.168.120.0/24 192.168.140.0/24 192.168.150.0/24 检测各个网段主机端口
36. 案例2、公司网络真的安全吗? 路由漏洞利用
37. 案例2、公司网络真的安全吗? 上传Shell
38. 案例2、公司网络真的安全吗? 信息获取
39. 案例2、公司网络真的安全吗? 路由管理 网络结构尽收眼底!!!!
40. 案例2、公司网络真的安全吗? 内网突破
41. How 怎么去Hacking 案例1、一个WiFi引发的思考 案例2、公司网络真的安全吗? 案例3、物理隔离真的安全吗? 案例4、生活中还有哪些Hacking? [ Rabit2013@KCon ]
42. 案例3、生活中还有哪些Hacking? WiFi音频录像机 下载下来之后是一个形如backupEZVIZ-2016-08-20.tar.gz文件名的压 缩文件,解开之后在Etc/config/中有 一个telnet的配置文件,默认情况 telnet是关闭的,配置文件中该设置为 0 在这里将0改为1之后,将配置上传到路 由器
43. 案例3、生活中还有哪些Hacking? WiFi音频录像机 然后重启路由器 即可开启该路由的Telnet功能
44. 案例3、生活中还有哪些Hacking? 互联网视频盒子 其中5555端口为ADB远程调试端口 可以使用adb工具来远程连接到视频盒子 由于盒子上的ADB服务是以root权限运行的 所以连接上去的ADB默认也是root 不过视频盒子的固件当中没有su的二进制程序 这里需要把su上传到视频盒子
45. 案例3、生活中还有哪些Hacking? 互联网视频盒子 然后将su二进制文件和Supersu.apk 上传到视频盒子,给予su执行权,这 样就把盒子root了 另外由于视频推送未认证,可劫持正在播放的视频
46. 案例3、生活中还有哪些Hacking? 网络摄像头
47. 案例3、生活中还有哪些Hacking? 网络摄像头
48. How 怎么去Hacking 案例1、一个WiFi引发的思考 案例2、公司网络真的安全吗? 案例3、物理隔离真的安全吗? 案例4、生活中还有哪些Hacking? [ Rabit2013@KCon ]
49. 案例4、物理隔离真的安全吗? 剑走偏锋
50. 案例4、物理隔离真的安全吗? 剑走偏锋 前往 目标区域 投放 扫描&连入网络
51. 案例4、物理隔离真的安全吗? 剑走偏锋 建立通信隧道 各类服务器/工控机
52. Thanks [ Rabit2013@KCon ] Wechat:Rabit-2013 四叶草安全 CloverSec Labs