物联网时代 权限滥用漏洞的攻击及防御
物联网时代 权限滥用漏洞的攻击及防御
2016-01-28 16:12:34 来源: do9gy TSRC博客抢沙发
2016-01-28 16:12:34 来源: do9gy TSRC博客
摘要:权限滥用漏洞除了在android真机调试场景以外还有很多其他发生场景。在物联网领域应用尤为广泛。
关键词:
物联网
0x00 简介
权限滥用漏洞一般归类于逻辑问题,是指服务端功能开放过多或权限限制不严格,导致攻击者可以通过直接或间接调用的方式达到攻击效果。随着物联网时代的到来,这种漏洞已经屡见不鲜,各种漏洞组合利用也是千奇百怪、五花八门,这里总结漏洞是为了更好地应对和预防,如有不妥之处还请业内人士多多指教。
0x01 背景
2014年4月,在比特币飞涨的时代某网站曾经曝光过黑客利用监控摄像头DVR分布式挖矿的案例。无独有偶,之前国内某安全公司在开放给外部使用的扫描器平台上也曾出现了类似问题,由于功能限制不严格,导致外部使用者可以利用该扫描器探测内网。此外,某黑客也曾经在某第三方平台曝光过国内android测试平台一处漏洞,可利用该漏洞从测试平台网站直接访问该公司内部系统。
0x02 案例
利用权限滥用漏洞有时可以让服务器发起特定的请求(类似SSRF攻击),有时还可以使用某些特殊的功能,例如:访问摄像头、利用麦克风录音、编写并植入木马、反弹shell等等。
目前国内外已经有很多手机真机测试平台,例如:Testin云测、中国移动终端池、Testdroid、TestObject、TestCloud、uTest、UserTesting、WeTest等。笔者随机抽取了一个android真机测试平台进行测试。
首先,登录以后可以挑选一款机型,作为测试目标。
然后进入机器调试界面,我们可以通过web端控制android手机并真实完整地使用手机上的任何功能。
除了网站提供我们使用的WIFI,意外发现了很多其他的WIFI,细看之下,还会注意到这里面夹杂了很多内部的办公网络WIFI,甚至有些WIFI可直接连接无需输入密码,笔者猜测当前设备曾经已授权连接过这些WIFI,因此无需要输入密码直接可连接进入办公网络了!
除此之外,我们还可以在手机上安装apk来尝试获取手机ROOT权限,ROOT之后的手机就如同内网中一台被我们拿下的服务器一样危险。这里我们使用meterpreter生成反弹shell的apk并上传安装,然后我们本地就可以root权限完全控制手机。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。