滲透測(cè)試:獲得波音747持久shell訪問權(quán)
責(zé)編:gltian |2021-05-31 14:24:58
?機(jī)上娛樂系統(tǒng)運(yùn)行Windows NT4,那是一款幾乎拒絕訪問嘗試的操作系統(tǒng)。
信息安全公司Pen Test Partners(PTP)的研究人員在波音747客機(jī)的機(jī)上娛樂(IFE)系統(tǒng)中建立了持久shell,所利用的漏洞甚至可追溯到1999年。
這次攻擊更多是出于好奇而非其他什么目的:在真正的航班上搞事情太難了,而且反正現(xiàn)在747乘客服務(wù)也極少見了。
PTP在關(guān)于這次攻擊活動(dòng)的文章中寫道:“利用這個(gè)系統(tǒng)比我們預(yù)想中更具挑戰(zhàn)性,其中大部分原因在于這個(gè)IFE已經(jīng)25歲高齡,缺失了好些較新系統(tǒng)上我們覺得理應(yīng)具備的功能,但我們確實(shí)成功了。”
這個(gè)IFE系統(tǒng)真的很古老,其管理服務(wù)器甚至運(yùn)行在Windows NT4 SP3上。而Windows NT4 SP3是當(dāng)今Windows Server構(gòu)建的遠(yuǎn)祖。攻擊目標(biāo)的年齡給PTP的測(cè)試人員帶來了麻煩:當(dāng)他們嘗試在目標(biāo)系統(tǒng)上執(zhí)行現(xiàn)代滲透測(cè)試工具時(shí)發(fā)現(xiàn),NT4誕生得比遠(yuǎn)程桌面協(xié)議(RDP)等日常攻擊界面還早。
簡言之,很多現(xiàn)代工具和技術(shù)都無法使用。Metasploit工具挨個(gè)試過一遍,完敗,完全沒理由再嘗試。甚至Kali Linux的前輩Backtrack也沒用,讓PTP總部里的研究人員頗為撓頭。
PTP的博客作者感嘆道:“這就是NT4令我們感到棘手的地方。P通常,攻擊載荷會(huì)利用名為cscript的Windows內(nèi)部函數(shù)執(zhí)行。幾乎所有版本的Windows系統(tǒng)都會(huì)將cscript用作執(zhí)行腳本的工具,所以可以創(chuàng)建任何Visual Bacis、C#或其他腳本并用cscript執(zhí)行。然而,NT4竟然沒有包含cscript,這個(gè)操作系統(tǒng)早于cscript出現(xiàn),看起來不可能在該系統(tǒng)上執(zhí)行任何腳本了。”
IFE的NT4部署中還沒有替代腳本工具,所以,研究人員常用的遠(yuǎn)程代碼執(zhí)行(RCE)也用不了。而且,IFE還是個(gè)獨(dú)立工作站,并沒有加入任何域,根本無法通過網(wǎng)絡(luò)嗅探到其口令散列。
另一個(gè)問題是,現(xiàn)場實(shí)時(shí)測(cè)試該網(wǎng)絡(luò)需要啟動(dòng)宿主飛機(jī)。用747的輔助動(dòng)力裝置(APU)啟動(dòng)飛機(jī),意味著要給埋設(shè)在飛機(jī)尾部的饑渴噴氣渦輪供油:典型747 APU每小時(shí)要燒掉300到400公斤Jet A1航空燃油,換句話說,每小時(shí)吞掉250美元。
PTP測(cè)試的機(jī)上娛樂(IFE)網(wǎng)絡(luò)的NT4版本運(yùn)行著Internet Information Services v4.0(IIS,其中漏洞十分古早,可追溯到2000年)。
經(jīng)過一番字符編碼的欺騙操作,研究人員在IFE上獲取了一個(gè)目錄遍歷漏洞利用。PTP稱,現(xiàn)代操作系統(tǒng)一般都使用UTF-8編碼,將字符編碼到單字節(jié)中而不是像UTF-16那樣使用雙字節(jié)。也就是說,他們的命令需要在部署前先重新編碼。
“目錄遍歷攻擊需要目標(biāo)程序與Web服務(wù)器位于同一驅(qū)動(dòng)器上。在我們的攻擊實(shí)例中,我們需要system32文件夾與IIS位于同一個(gè)驅(qū)動(dòng)器上。”這在實(shí)驗(yàn)室環(huán)境顯然很好實(shí)現(xiàn),但博客文章中并沒有詳細(xì)說明747上NT4 IFE系統(tǒng)的配置方式是否如此。
PTP用來獲取持久shell訪問權(quán)的第二個(gè)漏洞利用,是一個(gè)20年高齡的遠(yuǎn)程代碼執(zhí)行漏洞:CVE-1999-1011。PTP將之描述為使用“名為Microsoft Data Access Components(MDAC:微軟數(shù)據(jù)訪問組件)的程序包,通過IIS直接訪問數(shù)據(jù)庫對(duì)象。”
最終,研究人員使用Metasploit的TFTP服務(wù)器模塊侵入了系統(tǒng),獲取了命令行訪問權(quán),以此獲得了管理員口令的散列值并加以破解。PTP的博客文章中完整記錄了滲透測(cè)試的詳細(xì)情況。
盡管研究的目標(biāo)是IFE系統(tǒng),訪問系統(tǒng)所必需的以太網(wǎng)端口卻是在747飛機(jī)的廚房里:飛行過程中這一區(qū)域無人看管的時(shí)間極少超過數(shù)分鐘。也就是說,在實(shí)踐中,利用PTP發(fā)現(xiàn)的漏洞入侵747飛機(jī)是不可能的。
而且,盡管拒絕透露關(guān)于所涉系統(tǒng)和特定飛機(jī)的更多細(xì)節(jié),PTP還是表示:此類IFE系統(tǒng)在今天仍然承擔(dān)飛行任務(wù)的747飛機(jī)上已不再使用。對(duì)于老式Windows的愛好者來說,這是個(gè)不幸的消息——盡管他們可以安慰自己,軟盤仍然是當(dāng)今大型噴氣式飛機(jī)的一部分。?
Pen Test Partners完整博客文章:(戳閱讀原文直接訪問)
https://www.pentestpartners.com/security-blog/getting-a-persistent-shell-on-a-747-ife/
來源:數(shù)世咨詢
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧