滲透測試:獲得波音747持久shell訪問權
責編:gltian |2021-05-31 14:24:58
?機上娛樂系統運行Windows NT4,那是一款幾乎拒絕訪問嘗試的操作系統。
信息安全公司Pen Test Partners(PTP)的研究人員在波音747客機的機上娛樂(IFE)系統中建立了持久shell,所利用的漏洞甚至可追溯到1999年。
這次攻擊更多是出于好奇而非其他什么目的:在真正的航班上搞事情太難了,而且反正現在747乘客服務也極少見了。
PTP在關于這次攻擊活動的文章中寫道:“利用這個系統比我們預想中更具挑戰性,其中大部分原因在于這個IFE已經25歲高齡,缺失了好些較新系統上我們覺得理應具備的功能,但我們確實成功了。”
這個IFE系統真的很古老,其管理服務器甚至運行在Windows NT4 SP3上。而Windows NT4 SP3是當今Windows Server構建的遠祖。攻擊目標的年齡給PTP的測試人員帶來了麻煩:當他們嘗試在目標系統上執行現代滲透測試工具時發現,NT4誕生得比遠程桌面協議(RDP)等日常攻擊界面還早。
簡言之,很多現代工具和技術都無法使用。Metasploit工具挨個試過一遍,完敗,完全沒理由再嘗試。甚至Kali Linux的前輩Backtrack也沒用,讓PTP總部里的研究人員頗為撓頭。
PTP的博客作者感嘆道:“這就是NT4令我們感到棘手的地方。P通常,攻擊載荷會利用名為cscript的Windows內部函數執行。幾乎所有版本的Windows系統都會將cscript用作執行腳本的工具,所以可以創建任何Visual Bacis、C#或其他腳本并用cscript執行。然而,NT4竟然沒有包含cscript,這個操作系統早于cscript出現,看起來不可能在該系統上執行任何腳本了。”
IFE的NT4部署中還沒有替代腳本工具,所以,研究人員常用的遠程代碼執行(RCE)也用不了。而且,IFE還是個獨立工作站,并沒有加入任何域,根本無法通過網絡嗅探到其口令散列。
另一個問題是,現場實時測試該網絡需要啟動宿主飛機。用747的輔助動力裝置(APU)啟動飛機,意味著要給埋設在飛機尾部的饑渴噴氣渦輪供油:典型747 APU每小時要燒掉300到400公斤Jet A1航空燃油,換句話說,每小時吞掉250美元。
PTP測試的機上娛樂(IFE)網絡的NT4版本運行著Internet Information Services v4.0(IIS,其中漏洞十分古早,可追溯到2000年)。
經過一番字符編碼的欺騙操作,研究人員在IFE上獲取了一個目錄遍歷漏洞利用。PTP稱,現代操作系統一般都使用UTF-8編碼,將字符編碼到單字節中而不是像UTF-16那樣使用雙字節。也就是說,他們的命令需要在部署前先重新編碼。
“目錄遍歷攻擊需要目標程序與Web服務器位于同一驅動器上。在我們的攻擊實例中,我們需要system32文件夾與IIS位于同一個驅動器上。”這在實驗室環境顯然很好實現,但博客文章中并沒有詳細說明747上NT4 IFE系統的配置方式是否如此。
PTP用來獲取持久shell訪問權的第二個漏洞利用,是一個20年高齡的遠程代碼執行漏洞:CVE-1999-1011。PTP將之描述為使用“名為Microsoft Data Access Components(MDAC:微軟數據訪問組件)的程序包,通過IIS直接訪問數據庫對象。”
最終,研究人員使用Metasploit的TFTP服務器模塊侵入了系統,獲取了命令行訪問權,以此獲得了管理員口令的散列值并加以破解。PTP的博客文章中完整記錄了滲透測試的詳細情況。
盡管研究的目標是IFE系統,訪問系統所必需的以太網端口卻是在747飛機的廚房里:飛行過程中這一區域無人看管的時間極少超過數分鐘。也就是說,在實踐中,利用PTP發現的漏洞入侵747飛機是不可能的。
而且,盡管拒絕透露關于所涉系統和特定飛機的更多細節,PTP還是表示:此類IFE系統在今天仍然承擔飛行任務的747飛機上已不再使用。對于老式Windows的愛好者來說,這是個不幸的消息——盡管他們可以安慰自己,軟盤仍然是當今大型噴氣式飛機的一部分。?
Pen Test Partners完整博客文章:(戳閱讀原文直接訪問)
https://www.pentestpartners.com/security-blog/getting-a-persistent-shell-on-a-747-ife/
來源:數世咨詢