系列｜OWASP IoTGoat固件漏洞挖掘 02

    继续接着上一章，本章节主要从弱、可猜测或硬编码的密码和不安全的网络服务入手。

---

1. 弱、可猜测或硬编码的密码

查看固件中用户密码文件/etc/shadow

root:$1$Jl7H1VOG$Wgw2F/C.nLNTC.4pwDa4H1:18145:0:99999:7:::
daemon:*:0:0:99999:7:::
ftp:*:0:0:99999:7:::
network:*:0:0:99999:7:::
nobody:*:0:0:99999:7:::
dnsmasq:x:0:0:99999:7:::
dnsmasq:x:0:0:99999:7:::
iotgoatuser:$1$79bz0K8z$Ii6Q/if83F1QodGmkb4Ah.:18145:0:99999:7:::

加密密码格式 $id$salt$encrypted

id为1时，采用md5进行加密；

id为5时，采用SHA256进行加密；

id为6时，采用SHA512进行加密；

该固件使用的加密方式为md5加密；

可以采用暴力破解方式获取默认凭证；

查找网上暴力破解字典

$ git clone git://github.com/danielmiessler/SecLists.git
$ cd Malware
$ awk '{print $2}' mirai-botnet.txt > /home/iot/Desktop/password.txt

---

2.  不安全的网络服务

快速端口扫描(速度较快，但不一定准确)

22 端口 根据暴力破解得到的密码进行登录

53 端口 dnsmasq安全漏洞

5000 端口upnp允许未经授权的设备修改网络配置

 ① SSH服务

使用僵尸网络字典暴力破解

获取用户密码(iotgoatuser/7ujMko0vizxv)

 ② MiniUPnPd服务

扫描upnp详细信息

https://zhuanlan.zhihu.com/p/51562785攻击利用方式详细介绍

UPnP由于设计上的缺陷而产生的漏洞，这些其中大多数漏洞是由于服务配置错误或实施不当造成的

2.1  获得SCPD(服务控制协议文档)

查看开启了那些服务

开启服务汇总

<serviceType>urn:schemas-upnp-org:service:Layer3Forwarding:1</serviceType>
<serviceId>urn:upnp-org:serviceId:L3Forwarding1</serviceId>
<SCPDURL>/L3F.xml</SCPDURL>
<controlURL>/ctl/L3F</controlURL>
<eventSubURL>/evt/L3F</eventSubURL>

<serviceType>urn:schemas-upnp-org:service:DeviceProtection:1</serviceType>
<serviceId>urn:upnp-org:serviceId:DeviceProtection1</serviceId>
<SCPDURL>/DP.xml</SCPDURL>
<controlURL>/ctl/DP</controlURL>
<eventSubURL>/evt/DP</eventSubURL>

<serviceType>urn:schemas-upnp-org:service:WANCommonInterfaceConfig:1</serviceType>
<serviceId>urn:upnp-org:serviceId:WANCommonIFC1</serviceId>
<SCPDURL>/WANCfg.xml</SCPDURL>
<controlURL>/ctl/CmnIfCfg</controlURL>
<eventSubURL>/evt/CmnIfCfg</eventSubURL>

<serviceType>urn:schemas-upnp-org:service:WANIPConnection:2</serviceType>
<serviceId>urn:upnp-org:serviceId:WANIPConn1</serviceId>
<SCPDURL>/WANIPCn.xml</SCPDURL>
<controlURL>/ctl/IPConn</controlURL>
<eventSubURL>/evt/IPConn</eventSubURL>

<serviceType>urn:schemas-upnp-org:service:WANIPv6FirewallControl:1</serviceType>
<serviceId>urn:upnp-org:serviceId:WANIPv6Firewall1</serviceId>
<SCPDURL>/WANIP6FC.xml</SCPDURL>
<controlURL>/ctl/IP6FCtl</controlURL>
<eventSubURL>/evt/IP6FCtl</eventSubURL

    xml还包含ControlURL，这是与该特定服务进行通信的SOAP端点（实质上，该URL的GET / POST将触发操作）。

    SOAP

    

    控制消息使用SOAP协议，也以xml表示，看起来和RPC类似（但没有任何身份验证）,即通告SOAP来实现服务操作。

2.2 SOAP控制

    浏览器直接访问控制URL，出现如下报错

    查看具体action和对应参数(以DP.xml)

    工具miranda

    

    路由器80端口的服务映射到外网端口8080上

upnp> host send 0 WANConnectionDevice WANIPConnection AddPortMapping

    获取端口映射目录

upnp> host send 0 WANConnectionDevice WANIPConnection GetSpecificPortMappingEntry

    无需认证就可以完成上述操作

    查看网页端口是否添加成功以及是否映射成功

• 是否添加成功

• 是否映射成功

其余的控制URL，大家可以自己去尝试，看会发生什么样的结果。

---

总结

1.  脆弱的 miniupnp 配置允许未经授权的设备修改网络配置，例如防火墙规则、端口映射。

2.  启动时侦听的传统网络服务。

如果您有意向加入我们，请留言: )，

或邮件投递简历：[email protected]

本文始发于微信公众号（山石网科安全技术研究院）：系列｜OWASP IoTGoat固件漏洞挖掘 02