How to be an ATM Hacker 之实体终端安全测试の小结

谨慎起见删除所有图片,只放一个大纲上来。

本文来源于对某银行为期一个多月的安全检查项目,checklist检测项中涵盖了对营业大厅内各种自助终端的测试。以下是项目进行后对终端检查的一个小总结。文章分为绕过封装访问控制危害提升两部分。

由于银行单位的信息保密要求比较高,希望不要传播此文档。

绕过封装访问控制

预留的管理途径

双击/多次点击业务窗口的特定位置,跳转输入管理密码界面,通过弱口令猜解获取管理权限。

这种方法最重要的是找到预留的入口,也就是调出管理功能的触发点。这种触发点一般隐藏在屏幕四角/LOGO处/设备编号处,某些会隐藏在特定位置如银行的“行”字后,另外有些设备需要单指/双指/多指长按触发。

位置示例:

触发界面示例:

其次重要的一步就是猜解密码。受限于终端操作,只能手工输入最常见的弱口令进行尝试。偶尔我会尝试机器上的客服电话号码、设备编号后x位、与银行相关的数字等,不过123、123456、111111就可以解决半数以上的口令。

猜解成功后就获取到了业务管理/退出业务界面的权限,后续的利用会在后面第二部分提到。

隐藏虚拟键盘

这种其实是公共场合终端最普遍存在的问题,也是最容易利用的方法。

系统界面暴露

emmm…直接戳

进阶:非预期的右键菜单

使用预留键鼠点按右键,或在屏幕上长按/多指调出菜单。值得注意的是,这种方法与第一种不同点在于第一种是预留的途径,而这种往往是非预期的、忘记禁用的操作,如图所示:

之后在从菜单项中寻找跳出封装的方法。部分机器对当前业务界面会存在竞争,失焦时会返回业务界面,这种就难以进一步利用了。

进阶:自带键盘快捷键可用

终端管控软件一般会对自带有键盘的终端做快捷键的禁用策略,但就像web应用中的过滤函数一样,黑名单策略难免会有遗漏。比较简单有效的方法是将Ctrl、Win等按键替换或禁用。观察下图键盘,这几个按键已经被替换:

未禁用快捷键的键盘使用Ctrl+Alt+Del即可:

进阶:凭借手速 把程序戳爆

主要靠狂戳。一般在老旧的程序或机器上或许能够利用,使窗口崩溃是简单粗暴的逃逸手段。

进阶:利用输入法

先在正常业务窗口,寻找任意一个输入点。打字时发现可以调出搜狗输入法,而搜狗输入法自带的工具箱有很多额外的功能。这里使用工具箱的搜索功能,则界面直接跳出浏览器跳转百度,这也要归咎于业务窗口的封装控制不严格,失焦后不返回原窗口。

之后可以直接在浏览器地址栏使用C:\Windows\System32\cmd.exe调出cmd,而不用再想办法返回系统界面。同时可以看到本机是通互联网的,之后的绕过&利用在下文。

进阶:隐藏式密码

这种方式的难度不在于利用,而在于预留入口的发现。某行征信一体机就采用了这种安全性较高的方案,在一个无输入提示的界面,在屏幕上画出预设的图案,才可获取管理权限。

物理黑客:暴露在外的接口

设备箱门钥匙未拔,接出一根网线直接内网漫游。除了有挨打的风险哪里都好。

极少数USB接口也会存在未禁用的情况。已禁用的接口也可能存在绕过方式,下文提到。

危害提升

由于项目测试结果最终要呈现给甲方,而从终端业务窗口跳出后,调出一个cmd窗口并不能让甲方领导看出有什么危害。所以接下来会围绕后续危害的挖掘、提升与直观呈现

硬盘敏感文件 客户信息

最简单有效、甲方企业最关注的——客户敏感信息。寻找方式即在硬盘中翻翻找找,戳戳点点,很多业务程序会在硬盘中做(可能不必要的)信息留存,比如:

银行大厅排队取号机中的大量身份证信息,刷身份证取号后即会在本地生成。

Logs中的密文密钥:

客户单据信息:

绕过USB管控 多种高危操作

同样来源于对硬盘信息的查找,当然这个管控比较辣鸡,直接结束进程即可解决禁用,如果有DLP等终端管控就无法轻易绕过了。这一点的薄弱也将是内部网络的心腹大患,存储设备可被读取意味着原本封闭的内网系统出现破口,木马/勒索病毒可能由此进入内网,可以向终端部署渗透测试环境,嗅探内网流量(应该还都是明文),甚至接入随身WiFi设备、安装驱动,可以将内网作为无线网络投射出来,攻击者可以远程、更轻易地接入内网。

特殊设备 高危操作

发卡机可以吐出银行卡等。

通互联网 绕过安全策略传木马 远控

在前面跳出业务窗口的基础上,通互联网的终端可以直接传木马弹shell给自己的公网服务器,实现远控。

访问Web服务下载木马时发现,终端对可访问的页面做了白名单的限制,但遗憾的是这种安全策略是通过浏览器进行的,我们可以自己修改添加白名单:

将服务器IP设置为可信站点,下载MSF shell:

键盘记录,嗅探用户银行账户密码,这是银行业务的死穴:

截屏:

通内网 -内网资源发现

终端处于内网,首要的是要内网资源发现,由于没有工具环境,对于Web资源巧妙的方法是查看浏览器历史记录、地址栏下拉列表,设备维护人员或许留下了痕迹:

导航平台,员工系统,弱密码,一把梭。

某次翻找中找到了超管登录的入口,没想到浏览器还记住了超管密码,登入系统后银行员工的信息赫然在目:

彩蛋:到底是谁曾经在终端上玩了4399呢

文章目录
  1. 1. 绕过封装访问控制
    1. 1.1. 预留的管理途径
    2. 1.2. 隐藏虚拟键盘
    3. 1.3. 系统界面暴露
    4. 1.4. 进阶:非预期的右键菜单
    5. 1.5. 进阶:自带键盘快捷键可用
    6. 1.6. 进阶:凭借手速 把程序戳爆
    7. 1.7. 进阶:利用输入法
    8. 1.8. 进阶:隐藏式密码
    9. 1.9. 物理黑客:暴露在外的接口
  2. 2. 危害提升
    1. 2.1. 硬盘敏感文件 客户信息
    2. 2.2. 绕过USB管控 多种高危操作
    3. 2.3. 特殊设备 高危操作
    4. 2.4. 通互联网 绕过安全策略传木马 远控
    5. 2.5. 通内网 -内网资源发现
|