首先当然是吃水不忘挖井人,感谢大表哥的靶场(感谢星期五实验室以及乌鸦安全的靶场维护,由于csdn创作规范,只能匿了)
参考地址
参考地址
然后带上我的人生导师的一句话,正所谓,学而不思则罔,思而不学则殆;只是打一遍靶场那是毫无意义的,所以在下总结了此靶场需要学习的知识点
攻击模型图如下
HMI产品由硬件和软件两部分组成,硬件部分包括处理器、显示单?元、输入单元、通讯接口、数据存贮单元等,其中处理器的性能决定了HMI产品的性能高低,是HMI的核心单元。(可以理解为数控机床的操作员站小电脑)
根据HMI的产品等级不同,处理器可分别选用8位、16位、32位的处理器。HMI软件一般分为两部分,即运行于HMI硬件中的系统软件和运行于PC机Windows操作系统下的画面组态软件(如此次使用的InduSoft Web Studio组态软件)。
0X02 InduSoft Web Studio嵌入式HMI RCE
嵌入式HMI软件-InduSoft Web Studio
介绍如下:
InduSoft Web Studio法国施耐德电气(Schneider Electric)公司的一个嵌入式HMI软件,该软件 是一个功能强大的自动化整合开发工具,提供所有的自动化建构模组来开发人机介面、SCADA 系統以及嵌入式设备解決方案。
InduSoft 已整合 Web 技术并充分运用了互联网/内联网连结的优势。目前该软件广泛应用于电力、能源等多个自动化工业领域。
这里说一个点,一般情况下,嵌入式软件的端口号默认都是4322哈?
首先使用kali攻击机进行存活主机探测以及端口扫描,存活探测就不来了,直接探测一下端口就好
没错,正如你所见,狗屁没有,然后偷窥了一下星期五实验室的wp
嵌入式HMI软件-InduSoft Web Studio
可以看到,直接就拿到了system权限?,恰好应证了上文,嵌入式的权限太高了
查看当前路由,并添加路由表
添加sock代理
返回msf,使用arp -a命令,并没有发现其他有用的网络
使用nmap,nmap拉稀了
探测到存活的ip 192.168.90.110
使用nmap进行单独探测端口,依然拉稀
首先为浏览器设置sock5代理
0X03 SCADA数据采集与监控系统简介
在科研、生产和日常生活中,对温度、压力、流量、速度、位移等模拟变量?进行测量和控制时,需要通过传感器把上述物理量转换成能够模拟物理量的电信号(即模拟电信号),将模拟电信号经过处理并转换成计算机能识别的数字量(0/1),送入计算机,称之为数据采集。
SCADA的主要功能如下
0X04 LAquis SCADA CVE-2017-6020 任意文件读取漏洞
LAquis SCADA 是LCDS-巴西咨询与发展公司开发的一款监视控制和数据采集软件,可在工业控制系统(ICS)或分布式控制系统(DCS)中工作,从数据采集到应用程序开发。
当然了,作为一个初次接触ICS的人而言,这个东西是啥我也不知道
reload_all 加载全部模块,就可以将我们新的payload加载进去
解读一下
DEPTH 到达基本目录的级别,(也就是有多少个…/),如果安装时未更改路径,默认就是向上跳转10级。如果更改路径漏洞利用不成功,可以根据实际情况调整此参数。
FILE 这是要下载的文件,与上面的DEPTH参数结合组成完整的文件路径。
Proxies 端口[,类型:主机:端口] […]的代理链
RHOSTS 目标主机,范围CIDR标识符或具有语法’file: ‘的主机文件
RPORT 目标端口(TCP),软件默认安装是1234,不排除更改的可能。
SSL 协商出站连接的SSL / TLS
VHOST HTTP服务器虚拟主机
本实验中我们只需要修改FILE和RHOSTS这两个参数即可
此时我们由于不知道file文件是什么,我们返回第一个session,去翻垃圾箱
翻垃圾箱的时候,中文乱码了,在使用
chcp 65001 之后,依然不行
Msf 退出后台后
嘿嘿,浏览到了
下载成功后,返回至cs目录,即可查阅 /root/桌面/cs4.4/downloads/
定位到该文件保存位置,更改字符编码为gbk 2312
/root/.msf4/loot/20220520054257_default_192.168.90.110_laquis.file_806257.txt
连接远程桌面
探测ip
一查,这是一个紫金桥工程管理器,然后我们查看到时6.5版本,存在dll劫持漏洞
0X06 紫金桥工程管理器DLL劫持漏洞
这里我们使用到两款工具,分别是procexp.exe以及DllInject.exe;
?此二工具是用来做dll进程分析以及进程注入的;工具网上都有,或者大家可以回复公众号,获取下载链接,请自行检测有无后门!
生成dll后门,这里使用正向连接
坑来了,我按照步骤进行dll注入,但是怎么都不上线
重启xp系统之后,重新再走了一次dll劫持,这次又上线了…无语事件。所以这里是一个坑,大家如果遇到了请重启计算机,还有就是如果直接上传后门的话,连接之后只是普通用户权限
运行进程监控软件,而后运行紫金桥工程管理器,查看该进程相关dll
注册表对比如下:圈出来的就可以用
劫持成功后,观察进程以及端口状态
而后我想直接用msf转CS上线了,但是上线失败了,CS?建立监听1005端口,这里监听的ip地址变了,是因为网络环境变了,大家不要在意哈
但是cs并没有上线,可能是因为第二层网络他是不能直接访问的,1005端口也并没有建立监听,证明了我们的猜想
生成正向连接马
将正向连接马上传至192.168.90.110机器上运行(生成dll文件也可以,要是大家生成的exe不能执行,报0x000000007错误,就建个文件夹把马子放进去或者dll劫持上线就可以了)
我们返回msf session 3
添加路由表(还记得第二台主机的ipconfig吗)
存活主机扫描
废了好大的力气,终于是弄明白了ida pro的动态调试,大家一定要记住,要使用管理员打开ida pro,否则是调试不了这个进程的
调试进程
我们直接按 alt+b 调出搜索,搜索十六进制对应的vlan即可
密码出来了,去掉vlan就是我们需要的密码内容
0X08 ?S7协议的简介
(S7comm) S7通信协议是西门子S7系列PLC内部集成的一种通信协议,是S7系列PLC?的精髓所在。它是一种运行在传输层之上的(会话层/表示层/应用层)、经过特殊优化的通信协议,其信息传输可以基于MPI网络、PROFIBUS网络或者以太网。
我再盗一张图哈
将后门直接上传至192.168.95.100而后执行即可
通过client端(192.168.95.100)端可以看到,S7的服务端正在运行,我们的目的就是要把下位机打停机
其实我觉得可以直接stop
被打停了,达到了启停目的
来源:vlan911
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!