一次在对内部资产渗透的时候发现有意思的banner信息
telnet 23端口
通过对该指纹进行检索和查询发现是一个联网门禁控制器,通过查看白皮书了解是集网络控制器和门禁感应的一套工控设备。
V1000网络控制器
VertX EVO可通过网络进行远程管理,并且在UDP 4070上开启了一个叫做discoveryd的服务,用来监测回传的-UDP包。
nmap扫描端口
所以在了解discoveryd指令后通过编写如下脚本构造UDP数据包发送到目标机器可以依次获取目标的服务名称,mac地址,型号,产品版本等信息。
Python Code
dicoveryd服务中有个command_blink_on的命令,该命令可以改变控制器LED的闪烁模式,当接收到这个命令后,服务调用系统system函数运行闪烁程序,此过程没有经过任何有效过滤所以可以允许攻击者进行远程命令注入。
通过比较目标版本和网上的利用代码影响版本,发现目标是在脆弱影响范围内。
受影响版本
所以利用metasploit中的利用代码对目标进行攻击尝试,首先利用reverse_tcp无法得到回连和带外,推测目标不通外网且在内网中做了ACL限制,所以将payload设置成bind_tcp成功获取meterpreter。
msf利用
拿到shell后通过破解shadow文件获取web密码口令,通过web界面可以任意lock或unlock电子门禁
控制门禁
参考:
metasploit利用代码:https://www.exploit-db.com/exploits/44992
