给实验室写的文章,在安全客上发表,在这里再发下
一、概述
1. 实验目的
通过工控靶场学习web渗透、内网渗透、工控安全相关知识技能。
2. 靶场信息
本实验通过vmware 搭建了靶场的外网和内网环境,在内网环境中,可以连接到真实的PLC进行漏洞利用。
靶场网络拓扑如下:
.
该网络环境中,有两台攻击机处于模拟外网中,分别是一台 windows7 主机和 kali 主机,通过这两台主机进行漏洞利用,获取内网访问权限,进一步获取西门子PLC的控制权,从而控制城市沙盘。
二、演示过程
1. 资产发现
登录 kali 攻击机,输入ifconfig 查看 ip 段,
接着对该网段C段进行端口扫描
nmap -Pn -n --open 192.168.14.0/24
发现192.168.14.10 开放了 80 和 8080 端口,用浏览器分别访问这两个端口
发现80端口存在一个网站,8080端口为tomcat的默认界面。
2.目录扫描
使用kali 自带的 dirbrute工具来对8080端口进行目录扫描
设置好字典,对 :8080/ 点击start进行目录扫描
发现一个 test 目录
访问发现是struts2-showcase测试项目
3.Struts2 漏洞利用
出现struts2框架,可以尝试利用struts2命令执行漏洞。输入 msfconsole 打开 msf,如果第一次运行,可以先运行 msfdb init 来初始化 msf 数据库
输入 search struts2 来搜索 struts2 相关漏洞
加载struts2利用模块
接下来在msf 设置目标信息并攻击,其中 rhosts 为 struts2 网站的 ip,rport 为网站的端口,targeturi为存在漏洞的地址。输入 exploit 开始攻击
可以看到成功获取该struts2 网站的权限,返回了一个 meterpreter shell,输入sysinfo可以看到这台主机的ip为 192.168.90.10, 是linux系统,版本为Ubuntu 16.04。
4.Nps 内网代理
由于已经获取了位于内网的linux主机权限,可以通过这个meterpreter shell 来设置socks代理,这样就可以msf中访问内网中的其它主机和端口了。
先下载nps客户端和服务端到kali攻击机中
启动nps
访问本地Ip的8080 端口,链接为:8080可访问nps管理后台,输入admin/123 登录。点击添加客户端
然后在msf中上传linux_amd64_client.tar.gz客户端到内网linux主机的/tmp/目录中。
回到nps后台中,展开客户端,复制客户端命令
在msf meterpreter 中执行下面命令让客户端连上服务器
在后台管理处看到客户端状态是在线即成功连上nps服务器。
接着在后台管理处添加一个socks代理,输入刚才创建的客户端id,端口为1086
此时可以通过本地的1086端口的socks代理访问192.168.90.0 网段的主机。在msf中输入下面命令设置socks代理。
5.永恒之蓝横向移动
设置好到进入192.168.90.0 网段的socks代理后,可以使用msf对该网段进行扫描,先扫描永恒之蓝漏洞,使用下面命令
发现 192.168.90.60 主机存在 ms17-010漏洞,接下来使用 ms17-010 漏洞利用模块进行攻击。由于使用了socks代理,设置反向连接payload时,要设置ReverseAllowProxy
成功获取存在永恒之蓝漏洞主机的权限。
6.信息收集-发现TIA项目
通过查看用户的桌面,发现了Sand_V16目录中存在ap16后缀名的文件。
这是西门子组态软件 TIA Portal (博途)的项目文件,是用于对西门子可编程逻辑控制器(programmable logic controller,简称PLC)进行编程控制的软件。
先下载该项目到本地,使用下面命令下载
7.查看TIA项目
下载完项目后,复制出到一个 windows10系统中解压。在本地电脑上装一个TIA Portal V16,然后打开该项目,点击项目视图
可以看到该项目中有两个PLC,一个是S7-300,一个是S7-1200。本演示中主要介绍S7-300
8.西门子S7-300远程启停漏洞利用
西门子S7-300是西门子的一款可编程逻辑控制器,可编程控制器由内部CPUlinux查看内网ip,指令及资料存储器、输入输出单元、电源模块、数字模拟等单元所模块化组合成。PLC可接收(输入)经过CPU处理后,发送(输出)多种类型的电气或电子信号,并使用他们来控制或监督几乎所有种类的机械与电气系统。
西门子S7-300 存在远程启停,数据重放等漏洞,可以在不进行身份认证的情况下直接对PLC进行启动、关闭和修改数据。
先获取该S7-300的IP,在项目中展开S7-300,双击设备组态,在属性中的以太网地址中查看IP地址,发现IP为192.168.30.60。
接着在获取权限的windows内网机器上ping 192.168.30.60。发现可以ping通
S7-300的端口一般是102端口,先使用msf的端口转发功能,把192.168.30.60 的102端口转发到kali攻击机上,方便访问
使用 nmap扫描本地102端口,发现已经转发成功了
接着在kali 攻击机上下载攻击工具,里面包含了s7-300的攻击模块。
运行完后,可以看到PLC进入了stop状态,也就是PLC停止了。STOP状态灯亮起
再启动plc
set command 1
run
下面是PLC控制的沙盘在PLC被关闭后的效果图
直接关闭PLC,会导致正在运行的工业系统停止运行,从而导致严重的后果。可以想象一下正在运行的列车失去了控制是什么后果。
9.西门子S7-300重放攻击
西门子S7-300 没有防重放机制,只要使用wireshark等抓包工具获取了某个功能的数据包,即可重放该数据。例如Q0.6是控制沙盘中信大厦通电的输出,现在要对它单独进行修改,而不影响其它输出。可以在博途对Q0.6进行强制修改,然后抓取该数据包,进行重放即可。
在S7-300的强制表中点击监控变量,输入Q0.6,右键强制修改为0
使用wireshark抓取该数据包,发送的是S7COMM协议,该协议的详细介绍网上比较多资料,这里只对要修改的地方进行介绍,下图中 Force代表开启强制修改,Address to force 为要修改的地址,图中是Q0.6,其中Startaddress代表Q0.6的0,Bitposition 代表Q0.6的6。修改这两个数据可以修改任意输出,如Q1.1。其中的Value to force是要修改的值,在Data字段中为00,也就是要修改成0。
第一次开启强制认证时,会在PLC中创建一个对象,并且返回该对象的引用ID,下图中的Force请求响应中的Sequencenumber字段为4,代表创建的对象引用ID为4,后续修改强制表的时候会用到该ID。
继续强制Q0.6的值为1,可以看到发送的请求变成了Replace job,也就是修改对象,其中的 reference sequencenumber 为4 ,也就是修改了前面 Force 请求中创建的对象。修改的地址也是Q0.6,值为1
然后右键点击停止强制,发送了Delete job 请求,也就是删除了该强制表对象
其中的 Jobreference number 为4。删除后,所有强制修改失效。
经过分析后,可以编写一个python脚本来对PLC的值进行修改。在对应的协议数据中复制tcp payload为hexstream,然后进行相应的修改并重放即可实现对指定值的修改。
下面编写一个模块来对PLC的输出值进行强制修改。
在代码中,在Force请求发送后,会记录reference number 用于后续的修改
把脚本放在exploits/plcs/siemens/ 目录中
通过下面命令来使用
发送前S7-300的Q0.6是通电的,中信大厦正常运行
发送后S7-300的Q0.6关闭,中信大厦关闭。
直接修改PLC的关键状态,可能会导致严重的后果,如震网攻击中通过改变离心机转数来破坏伊朗的核设备。
三、总结
本次攻防演示中,通过模拟外网攻击进入内网环境,对控制工业设备的PLC进行了攻击。整体的攻击过程为:外网web服务器-》内网西门子工程师站-》西门子S7-300PLC。其主要目的是供各位针对工控安全感兴趣的爱好者学习,相互交流。
大禹工控安全实验室
由中国网安·广州三零卫士成立linux查看内网ip,汇聚国内多名漏洞挖掘、二进制逆向、安全分析、渗透测试、自动化工程师等安全专家组建而成,专注于工业控制系统安全、工业物联网安全、工业威胁情报安全等安全领域,大禹工控安全实验室始终坚持在工业控制系统安全领域进行探索和研究。
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,全站资源免费下载 点击网站首页每天更新
站 长 微 信: aiwo51889
家里有岁数较大的长辈还是有必要在主要房间安装个摄像头的,刚开始大多都有点不习惯或者是反对,安上之后大多都说好。
自己家和爸妈家都买了摄像头,今年也进行了一波更新,这俩摄像头都挺不错的。
先说说爸妈家的这个。
之前给爸妈长辈们买过一些摄像头,都是300万像素的,这回买摄像头发现了400万像素的升级版,输出画质更是达到了2.5K,价格相当的情况下肯定是买新不买旧了。
用手机查看摄像头很方便,放大、缩小、转向也都很顺畅,查看回放也挺舒服的,有人走动、画面变动识别也很准确。F1.4大光圈与高感光灵敏度图像传感器的组合,即便是夜间也能查看得不错,白天和黑天时候的录像查看也都挺满意的。
支持双向语音实时通话,拾音距离达到了5米,对话交流也挺清晰的。内置AI 人形检测模块和人脸识别技术,看家护院也是一把好手,防患于未然。
再说说我家这个。
摄像头这东西在网速有保障的前提下,当然是越清晰越好了。给自己家的监控来了个升级,从原来的1080P监控也升级到了2.5K的超高清摄像头。想着要是用着不错的话,就趁着这段时间把长辈家来个全套升级。
极简开箱
包装足够简洁,摄像机云台、电源、Type-C数据线、挂墙件一应俱全。
现在这种摄像头的配件都挺齐全,无论是直接放置在台面上还是吊装、壁挂都可以轻松安装。
摄像机云台的底部设计了一道线槽,插上电源线之后摄像机云台仍可以很平地立于台面,这种设计就很贴心,而且底部的防滑胶垫也能更进一步保障台面放置的稳定性。
这个摄像机云台支持16-128G的TF卡,直接给它配了一张支持最大容量的128G白卡,也可以选同价位的小红卡,读取速度能到每秒120-130M,存监控录像和手机读取的延迟也很低,稳定性和口碑也更有保障一些。
把TF卡塞进摄像头的下巴里,然后就可以畅快使用了,更方便随时随地查看“回看”录像。
小小的白黑配色的摄像头造型,基本可以百搭各种家装环境,无论是现代风、北欧风、中式风格都是可以hold住的。
摆放摄像头的位置也是一门学问,如果家里只有一颗摄像头,想要兼顾看家护院的话,尽量要把摄像头放在能够覆盖门口的位置。
智能摄像机云台的互联配对起来也是挺方便的,不用说明书也可以快速搞定,第一次用摄像头的小伙伴也可以根据APP提示来进行快速配对。
只需通过短短两步,便可以完成手机、平板与智能摄像机云台的互联。
APP的界面也十分简洁,各项主要功能一目了然,操作起来也挺方便的。
显示效果
这个摄像机云台采用了双云台设计,横向更是支持360°全景视野覆盖。
纵向更有143°的俯仰视角,整个房间的覆盖可以说得上是非常到位的。
这种超强覆盖使得它可以实现全景长图显示,更可以通过点击长图中的任意部位来实现相关区域的快速查看。
可以根据家里网络带宽,来选择最适宜的清晰度,对于百兆网络以上的家庭,都可以选择画质最为清晰的2.5K成像模式,这样更能发挥出这台摄像机云台的极限画质。
用过超多摄像头之后,就对摄像头的成像要求越来越高,当然是越清晰越好,在目前1080P成像主流的时代,清晰度更高的2.5K成像当然看着更舒服,加量不加价的配置也更显甜品。
不同于传统智能摄像头搭载的夜间红外摄像,这台智能摄像机云台采用了更为先进的微光全彩夜视配置。
这种夜间显示效果比之前用过的其他摄像头的表现更为出色,在室内无光的情况下,也能拍摄出屋里各种物体情况。
对于夜间移动物体的拍摄也非常清晰,甚至还能拍出扫地机器人的ToF面激光扫描状态。
一键双向语音通话
这项功能对于家里都有手机的成人使用起来应该不会很频繁,更适合没有手机的宝宝来使用。
只需一键触摸摄像机,便可以快速与手机进行互联,家里的宝宝便可以实时与自己进行沟通对话。
智能摄像机云台的中间配有高品质收音麦克风,底部两侧还配有双扬声器,手机、平板端与摄像机云台的对话可以十分顺畅,语音效果也很清晰。
智能看家
除了基础的固定视角监控,这个智能摄像机云台提供了更加立体化的家庭防护方案。
在APP上还可以开启智能看家、智能巡视等功能,超广的可视角度与360°横向、143°纵向转动组成了超强的室内巡视,一览无余的状态让人更加安心。
在APP中还可以开启“智能追踪”功能,对于室内移动的物体也可以快速锁定并记录,而且实时推送到手机、平板智能提醒。
在APP中开启“人形标识”,更能进一步强化人物识别,在外出看家护院的时候,这一功能就更为实用。
娱乐互动
这个小小智能云台摄像机,甚至还可以化身为一个智能音箱,内置了超多音乐榜单、儿歌故事、历史人文、娱乐曲艺等内容,对于孩子早教和老人陪伴也是有一手的,这种附加功能足够贴心。
视频存储
通过在智能摄像机中添加16-128G的TF卡,不仅可以拓展摄像机云台的存储,更可以实现2.5K模式下长达半个月的视频存储,更方便随时用手机或是平板来查看回看录像。
另外如果对看家护院格外注重的话,建议进一步开通云录像存储功能,安全防护更多一重,即便非法入户的人员破坏或是带走摄像头,仍可以从云录像中找到证据,家庭人身财产的守护也能达到更高维度。
隐私保护
选择360这个牌子的主要原因之一,就是他们公司一直是国内互联网安全服务的T0级厂商,电脑安全防护安心交给它,摄像隐私防护交给它也安心。
另外这台智能摄像机云台还支持定时关机测试电脑摄像头,可以单独设置运行或是关闭时段,家里主人在家的时候可以自动关闭,用起来十分人性化。
通过简单的APP设置,在不用摄像机或是主人回家的时候,摄像头会向下隐蔽起来,实现物理式遮挡,更大程度保障私密性。
在主人离家的时候测试电脑摄像头,还可以自动升起摄像头,将室内安全监控无缝衔接起来。
通过这段时间的使用,愈发觉得这个2.5K超高清摄像头用着非常不错,不仅画质超清晰,而且智能看护、一键通话等功能都深受我和我家那位的喜爱。
家里有岁数较大的长辈是有必要在主要房间安装个摄像头的,刚开始他们大多都有点不习惯或者是反对,不过安上之后大多都说好,逃不过真香定律。
有时间的时候准备把爸妈家和丈母娘家来个全套升级。如果你也考虑入手一款高清摄像头,而且是家有宝宝、老人、宠物的家庭,那我就举双手推荐这两款。
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,全站资源免费下载 点击网站首页每天更新
站 长 微 信: aiwo51889