一、前言
为什么要绕过道闸?
-
1. 免费停车
-
2. 在任意特定场所获得停车权限
做安全嘛,难免会想着使用专业技术实现免费停车,一直没有去实践或者尝试,在于这种贪便宜的行为,不是太好。
既然写了此文,肯定有所原因:现在住的小区,地上和地下停车库是同一月租价格,但是非户主的租户不给开通地下停车的权限。多次在高峰时间去到地下车库,存在大量的空余车位,然而露天停车大部分时间都是饱和的,压根没地方停,和物业沟通,说是5年前就不再新增车辆停到地下,他说他们也知道地下很空,但是后续来的租户规定就是不给开通地下停车的权限。
这就导致回来稍微晚点,晚上7点后,基本就不可能把车停到小区内,只能临停到路边,然后第二天上班的时候,等到有车位了,把车停进来,再骑车车上班。
看起来似乎闭环了~,但在最近,早上8点半就有交警贴条,藏的再隐蔽,路再宽,完全不影响交通,且大量车都是这么临停的情况下,还是会贴条子,每天睁开眼就是一条交通违规的短信,100元就没得了,每天从罚款开始!只能去改变,要么就是每天8点起来,找找小区有没有空位,要么去其他小区停车,要么就干道闸吧~
二、思路
方案一:上层服务商
-
1. 业务逻辑缺陷
-
• ###
-
2. WEB安全相关、后台登录,越权加白等
方案二:物业、门卫厅、监控网
-
1. 物业、门卫电脑、监控线路寻找网口或者WIFI,进而寻找网段下停车管理后台
方案三:设备节点
-
1. 蓝牙信号调试
-
2. 遥控器信号扫描爆破
-
3. 直连设备WIFI访问管理页
-
4. 网口直连道闸或者摄像头
-
• 通过网线直连,配置同网段IP,即可访问管理面板,配置白名单
-
5. 套牌
-
• 根据已经入场的车牌定制牌照,或者拍摄照片后进行使用
三、实操
1. 从设备节点入手
1.1 连接道闸WIFI
走到道闸附近,打开WIFI分析器, 可以看到DZCOM,盲猜就是道闸的缩写,看到这个mac地址,可以看下是哪个厂商,但是没搜索出来。
![[AOH 030]免费停车-道闸权限绕过](http://cn-sec.com/wp-content/uploads/2024/06/4-1718588977.jpeg "[AOH 030]免费停车-道闸权限绕过")
方法有:
-
• 尝试弱口令
-
• wifi密码爆破
-
• 万能密码(看是否有人共享过)
-
• 找到厂商,看是否说明手册有默认密码
实测,失败。
1.2 连接道闸蓝牙
![[AOH 030]免费停车-道闸权限绕过](http://cn-sec.com/wp-content/uploads/2024/06/5-1718588979.png "[AOH 030]免费停车-道闸权限绕过")
![[AOH 030]免费停车-道闸权限绕过](http://cn-sec.com/wp-content/uploads/2024/06/6-1718588983.png "[AOH 030]免费停车-道闸权限绕过")
可以使用小程序-智能调试宝,或者APP:道闸雷达调试软件
打开蓝牙,可以看到radar001B1074A1这个蓝牙,我们打开上述软件,点击扫描,看能否配对连接上。
实测,失败。
1.3 遥控信号爆破
拼多多搜索:万能遥控器 ;原理是枚举爆破信号
商家要求拍摄道闸后面(抬杆后面)确认型号 ,下面是地下车库的抬杆:
![[AOH 030]免费停车-道闸权限绕过](http://cn-sec.com/wp-content/uploads/2024/06/1-1718588986.png "[AOH 030]免费停车-道闸权限绕过")
有的商家说不能用,有的商家说可以买了爆破试试运气 , 购买后,发现内置对四种栏杆控制芯片的爆破支持,每个芯片会枚举6000种信号组合,枚举3000次大约10分钟。需要在20米范围内,实际测试,并未成功,需要停车杠附近需要逗留比较长的时间,整体感觉这个方案并不合适,也不通用,失败。
1.4 套牌
拍摄地下车库的车辆的车牌,在拍摄台用手机展示,成功抬杠,这个方案的缺点是需要下车抵近拍摄区,容易被发现和社死,也不方便,失败。
2. 进入物业网登录停车管理系统
2.1 连接物业WIFI
未做,失败。
2.2 寻找监控网,网络接口
来到地下车库,一处偏僻的地方,观察到摄像头有网线接入:
![[AOH 030]免费停车-道闸权限绕过](http://cn-sec.com/wp-content/uploads/2024/06/3-1718588988.png "[AOH 030]免费停车-道闸权限绕过")
看到网线了,cool,那么可以找个交换机过来,实现一分多,在确保摄像头正常的情况下,让笔记本也接入网络环境。需要准备一个交换机,准备一件衣服马甲(写上运维人员)😄,未做,失败。
3. 利用上层服务商缺陷
3.1 深入了解停车服务的架构实现
刚好前段时间打点接触了大型停车公司的内部架构,和大量wiki。
从部署、识别、通信、云端业务实现等,完整的落地、运营的知识库,覆盖大量线下实际项目,由于敏感,不多说明。
就是说不至于为了停个车,就要上信息收集,渗透提权这套~,那多累呀,而且难度也大,失败。
3.2 利用业务逻辑缺陷
我的场景使用了该方法实现了道闸的开关权限绕过,简略步骤如下:
1. 明确厂商
2. 在XXX情况下,入场和出场时,仔细分析其业务执行逻辑
3. 分析理解各个参数的意义,会存在参数标记小区道闸,这个需要枚举下找到我们需要的特殊权限的闸口id
4. 构造出一个链接,实现对闸机识别的控制
5. 把链接制作成微信卡片,收藏,方便随时随地使用;实际使用过程中,是在快到达闸口之前,点击下链接即可,效果极佳,没有任何痕迹
真正去使用利用这个业务缺陷前,还需要测试两种情况:
-
• 同车牌,入场次数多于出场次数
-
• 同车牌,入场次数少于出场次数
此时该车牌再次出场,是否会放行,避免对真实车主造成影响,然后测试和分析下来都放行逻辑,因而做到神不知鬼不觉。当然如果不嫌麻烦,保持出入场次的平衡最好!
四、小结
测试发现道闸绕过的业务缺陷问题非常简单且普遍,开始认为会很困难,放在了最后去做。实际上测试这个问题,仅用了手机上的浏览器,连电脑都没用上,更何况Bupsuite~
另外这个问题非常普遍,基本覆盖全部停车场,不好明说,嗨客的奥义就是白嫖!和我一样存在上述困扰,可做技术交流,解决问题最重要!
原文始发于微信公众号(Art Of Hunting):[AOH 030]免费停车-道闸权限绕过
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论