Konferenz DEFCON 22. GTVHacker-Gruppe. Alles in allem: 20 Geräte in 45 Minuten. Teil 2

Ursprünglicher Autor: Amir Etemedi, CJ Heres, Hans Nielsen, Mike Baker
  • Übersetzung
Konferenz DEFCON 22. GTVHacker-Gruppe. Alles in allem: 20 Geräte in 45 Minuten. Teil 1

Mike Baker: Das 14. Gerät, auf das wir über Rootzugriff verfügen, ist das Motorola RAZR LTE-Baseband-Smartphone. Ich werde nicht über Android sprechen, es ist bereits "verwurzelt". Dieses Telefon ist besonders, weil es Baseband verwendet - einen separaten Signalprozessor, der vom Hauptprozessor isoliert ist. Dies ist eine völlig separate Smartphone-Hardware.



Die Kommunikation zwischen Android und Baseband erfolgt über eine USB-Netzwerkverbindung. Das Basisband überwacht den internen USB-Netzwerkanschluss, hat über Port 3023 eingeschränkten Zugriff auf die Shell und führt das Diagnoseskript über Port 3002 als Root aus.

Wenn Sie sich das Skript anschauen, können Sie sehen, dass mit AWK der Befehl busybox gestartet wird:

busybox awk '{print+substr(" ' "$ {outFilePath}" ' ",0,1)}’

Das heißt, der Dateiname wird über das AWK-Skript übermittelt. Das bedeutet, dass wir mit dem Dateinamen in die Shell injizieren können. Um die Shell zu rooten, verwenden wir den Dateinamen, der Folgendes enthält:

 x",0,1);system("");("

Auf diese Weise können Sie einen beliebigen Befehl in das System eingeben und ihn mit Root-Rechten ausführen.

Das nächste gehackte Gerät auf Nummer 15 war der mobile PogoPlug Mobile-Speicher, der als persönlicher Cloud-Speicher dient. Es wird verwendet, um Inhalte von Ihrem mobilen Gerät an einen beliebigen Ort zu übertragen, eine Verbindung zu Ihrem Heimnetzwerk herzustellen und Dateien über das Internet zu teilen.



Die Kosten für dieses Gerät betragen weniger als 10 US-Dollar. Sie können ein USB-Laufwerk oder eine SD-Karte daran anschließen, und die Informationen werden automatisch in die Cloud hochgeladen. Es basiert auf dem Marvell Feroceon-Prozessor und wird von Linux 2.6.31.8 verwaltet.

Auf der Platine befinden sich 4 traditionelle UART-Kontakte, über die wir auf den Bootloader und die Root-Shell zugreifen können. Die Befehlszeile kann jedoch auch über eine Webseite implementiert werden.



Mit dieser Schnittstelle können Sie beliebige Befehle eingeben und sie im Auftrag des Superusers mit Root-Rechten ausführen.

Das nächste Exponat Nr. 16 ist die Set-Top-Box Netgear Push2TV (PTV3000). Es verwendet die von Google unterstützte offene Technologie Miracast, die in einigen Modellen von Smartphones und Tablets mit Android- und Intel WiDi-Technologie zu finden ist.



Auf der Leiterplatte dieses drahtlosen Empfängers befinden sich UART-Pins, über die Sie eine Verbindung zum Gerät herstellen können. Drücken Sie während des Startvorgangs die Leertaste, um den U-Boot-Vorgang zu unterbrechen und eigene Befehle für Linux auszuführen. Sie können sich nicht mit dem Bootloader herumschlagen und die Root-Konsole verwenden, die nach dem Download für 2-3 Sekunden aktiv ist. Es ist auch möglich, Befehle über die Webschnittstelle über den Gerätenamen zu implementieren, während der Befehl für den Superuser mit Root-Berechtigungen ausgeführt wird. Ein SPI-Flash-Speicherchip, der U-Boot-Befehle enthält, kann zum Starten des benutzerdefinierten Bootloaders erneut gespült werden.
Gerät 17 ist ein VOIP Ooma Telo-Router, der das OpenWRT-Betriebssystem ausführt und mit einem ARM-Prozessor ausgestattet ist.



Der UART ist wieder vorhanden, wobei die Konsoleneingabe verwendet wird, jedoch werden Befehlsinjektionen in Betracht gezogen. Es gibt auch einen SSH-Port, der standardmäßig als Firewall fungiert. Daher müssen wir zunächst einen Befehl implementieren, der die Regeln dieser Firewall ändert. Wir haben dies über eine Weboberfläche getan, um anschließend einen beliebigen Befehl eingeben zu können. Interessanterweise war das Standardkennwort für den Root-Zugriff "! Ooma123". Das Hacken war also nicht schwierig. Sobald wir eintraten, haben wir die Passwortdatei sofort "fallengelassen" und mit dem Hacken begonnen. Standardmäßig ist SSH nur über das LAN verfügbar.

Die nächste Folie zeigt die Weboberfläche von Olo Telo, der Pfeil zeigt die Zeile, in die wir den Befehl eingegeben haben. Die Möglichkeit, die Regeln der IP-Adresstabellen anzupassen, ermöglicht den Zugriff auf SSH, wo Sie das bereitgestellte Kennwort verwenden können.



Gerät 18 ist ein Streaming-Multimedia-Player, Netgear NTV200-100NAS, der auf Adobe Flash basiert und zu einem Preis von 10 bis 30 US-Dollar für SWF-Dateien erhältlich ist.

Es ist mit einem Wi-Fi-Modul und einem Broadcom SOC-Prozessor mit einem verschlüsselten und signierten Firmware-Update ausgestattet.

Alles ist auf der Leiterplatte signiert, daher war es nicht schwierig, die UART zu finden. Sprechen wir aber über die Befehlszeileninjektion über das Webinterface, da Updates und Anwendungen über eine unverschlüsselte HTTPS-Verbindung auf diesen Player heruntergeladen werden. Dies ist eine sehr schlechte Idee, da Anwendungen im Gegensatz zu verschlüsselten Updates frei heruntergeladen und installiert werden können. Beim Installieren der Anwendung wird es daher möglich, einen Man-in-the-Middle-Angriff zu verwenden:

  • Wir erstellen eine Kopie der Anwendung.
  • füge den bösartigen Symlink-Softlink in ihn ein;
  • Packen Sie die Anwendung erneut und platzieren Sie sie auf dem lokalen Host.
  • Führen Sie die Anwendung aus.
  • Wir ändern es erneut, indem Sie während des Betriebs ein Shell-Skript hinzufügen, das einen symbolischen Link enthält, um Telnet aufzurufen.
  • Starten Sie die Anwendung erneut, starten Sie den Computer neu, und jetzt haben wir permanenten Root-Zugriff!




Also mach weiter. Gerätenummer 19 ist der ASUS Cube, die „Brücke“ zwischen Internet und Streaming-Video, eine Set-Top-Box, die den umfangreichen Betrieb der Google TV-Hardware- und Softwareplattform ermöglicht. Es ist mit einem 1,2-GHz-Dual-Core-Prozessor Marvell 88de3100 SOC ausgestattet. Auf der DefCon 21-Konferenz haben wir bereits einen zusätzlichen CubeRoot-Exploit für dieses Gerät vorgestellt, der den Prozessor im abgesicherten Modus steuern soll.



Wir hatten eine Anwendung im Play Store verfügbar, die von Google leider entfernt wurde, sie mögen solche Anwendungen nicht. Sprechen wir darüber, wie wir wieder zu diesem Würfel zurückkehren. Integrierte Multimedia-Anwendungen ermöglichen das Einhängen des SMB-Netzwerkprotokolls für den Fernzugriff auf Dateien. In diesem Fall können Sie Windows-Dateien ohne Einschränkungen freigeben. Das Verfahren zum Erhalten von Root-Rechten lautet wie folgt:

  • Erstellen einer SMB-Freigabe mit einer Superuser-Binärdatei;
  • Verwendung der Medienanwendung zur Verbindung mit der SMB-Freigabe;
  • Hinzufügen zu Cube, Starten der Superuser-Binärdatei, Erhalten der Root-Rechte!
  • Installieren Sie das System erneut, installieren Sie SuperSu und haben Sie die volle Kontrolle über die Funktionen des Geräts.

An diesem Punkt übergebe ich Amir.

Amir Etemadi: Danke, Mike!

Lasst uns unseren Spaß fortsetzen und über weitere interessante Geräte nachdenken. Ich möchte Ihnen von einem Babymonitor erzählen - einem Aktivitätsmonitor für Babys namens Summer Baby Zoom WiFi.

Mit diesem Gerät können Sie Kinder mit einer Videokamera überwachen und das Bild über WLAN auf ein Smartphone übertragen. Es verfügt über einen eigenen kompakten Monitor mit einem Lautsprecher und einem Display, mit dem Sie die Kamera über den Funkkanal fernsteuern können. Im Markt ist es als "geschützt" positioniert. Dies ist das 20. Gerät, das wir gehackt haben.



Nachdem wir es untersucht hatten, begannen wir wie üblich zuerst nach dem UART zu suchen und entdeckten Kontakte, die sich nur schwer erreichen ließen. Wie wir das geschafft haben, erfahren wir nach der Präsentation. Nun werden wir uns die Fehler ansehen, die die Entwickler dieses Geräts bei der Erstellung gemacht haben.



Der erste Fehler besteht darin, einen hartcodierten Benutzernamen und ein Kennwort auf dem Gerät zu haben, das zur Kommunikation mit der Webschnittstelle eine Binärdatei verwendet. Dies ist nur eine schreckliche Praxis. Aus sicherheitstechnischer Sicht sollten Sie nicht auf jedem einzelnen Gerät hartcodierte Anmeldeinformationen haben.



Wir haben in einer binären "Snapcam" -Datei, die Authentifizierungsdaten enthielt, eine interessante verschlüsselte Zeichenfolge und Systemaufrufe gefunden. Als Nächstes haben wir hart codierte Daten analysiert.

Nachdem wir den Systemaufruf „nvram show“ über die Befehlszeile ausgeführt hatten, erhielten wir eine Liste mit 3 Benutzern und ihren Passwörtern. Zwei Benutzer hatten unterschiedliche Kennwörter für jede Kamera und gaben unterschiedliche Benutzerrechte an.



Als Nächstes fanden wir die SystemGT.cgi-Systemkonfigurationsdatei, deren Zugriff über Administratorrechte bereitgestellt wurde und die direkt mit dem Operator system () im Auftrag des Superbenutzers ausgeführt wurde. Wir haben die Befehlszeile eingegeben, die am unteren Rand der nächsten Folie angezeigt wird, und haben mit root-Berechtigungen Zugriff auf den Telnet-Server erhalten.



Denken Sie daran, dass in den meisten Fällen, wenn das Gerät nicht durch ein Kennwort geschützt ist, Sie die Shell eingeben können, indem Sie einfach einen Ausdruck des Typs l / bin / login in die Befehlszeile eingeben.

In vielen Fällen können Sie den Befehl / bin / sh verwenden. Wenn jemand das Gerät auf normale Weise betritt, wirft der Angreifer es sofort in die Shell. Lassen Sie daher keine Personen eine Verbindung zu Ihrem Gerät herstellen, bewahren Sie es auf.

Da dies die DefCon 22 ist, erzählen wir uns nicht, dass wir in 45 Minuten 22 Geräte gehackt haben. Deshalb werden wir die Präsentation mit zwei weiteren Geräten fortsetzen.



Lassen Sie uns zum nächsten Punkt auf unserer Liste übergehen - dies ist die eigenständige Samsung SmartCam-Webcam mit Mikrofon und Lautsprecher. Es kann über eine mobile Anwendung gesteuert werden und verwendet eine Webschnittstelle für den lokalen Zugriff. Die Kamera ist mit einem TI DaVinci ARM SOC-Prozessor ausgestattet und läuft unter Linux 2.6.18. Strukturell ist dieses Gerät dem Sommer Baby Zoom WiFi-Babymonitor sehr ähnlich, ändert jedoch nicht seine Position, um ein Objekt zu verfolgen.



Auf der Leiterplatte befindet sich ein klassischer UART-Adapter mit den Kontakten von Empfänger, Sender, Masse und Strom. Nachfolgend finden Sie einen Kontaktblock zum Konfigurieren der Verbindung. Hier wird nur die Konsolenprotokollierungsmethode verwendet, die Debug-Informationen in der Konsole anzeigt und sie vor dem Benutzer verbirgt.

Interessanterweise haben wir dies entdeckt, indem wir uns angesehen haben, wie Anmeldungen verarbeitet werden und wie das ursprüngliche Administratorkennwort erstellt wird, wenn das Gerät zum ersten Mal konfiguriert wird. Mit dieser Einstellung werden Sie aufgefordert, ein eigenes Administratorkennwort festzulegen. Der Nachteil ist, dass das Gerät nicht überprüft, ob das Kennwort bereits konfiguriert wurde. Sie können das Skript also aufrufen, um das vorhandene Kennwort in das Administratorkennwort zu ändern. Somit ist es möglich, das Geräteadministratorkennwort zurückzusetzen, ohne das Kennwort des Benutzers zu kennen. Der Zugriff auf die Kommandozeile ist nur über LAN möglich.

Der WEP-Verschlüsselungsschlüssel wird nicht auf Shell-Befehle geprüft und in einer Konfigurationsdatei abgelegt, aus der er entnommen und zur Eingabe von Befehlen über die Konsole verwendet werden kann. In diesem Fall müssen Sie das Netzwerkkabel abziehen, wenn die Kamera bereits über Wi-Fi mit dem Netzwerk verbunden ist. Wenn Sie den WEP-Schlüssel ändern und die Kamera über Wi-Fi verbunden ist, kann es sein, dass das Gerät die Verbindung trennt und Sie den Zugriff darauf verlieren.

Wenn die Kamera an ein Wi-Fi-Netzwerk angeschlossen ist, kann sie ohne physischen Kontakt mit dem Gerät gehackt werden. Danach beginnt die Weboberfläche mit Root-Rechten zu arbeiten.

Somit erfolgt die Injektion des Superuser-Befehls durch Ändern des WEP-Schlüssels für den Zugriff auf das Wi-Fi-Netzwerk. Um sich mit dem Telnet-Netzwerk zu verbinden, geben Sie einfach den Befehl $ ein (busybox telnetd - l / bin / sh).



Das interessanteste aller betrachteten Geräte schien die Gerätenummer 22 zu sein, da sie ein großes Betätigungsfeld für Hacker bietet. Dieses Gerät heißt Wink Hub und ich mag es mehr als andere, vor allem weil es eine große Auswahl an Peripheriegeräten gibt.

Dieses Gerät steuert alle drahtlosen "intelligenten" Heimgeräte mit einer mobilen Anwendung, wodurch es möglich wird, auf separate Bedienfelder zu verzichten. Wink Hub verfügt über ein WLAN-, Bluetooth-, Zwawe- und Zigbee-Modul sowie ein hervorragendes Produkt der RF Toolkit-Entwickler.



Dies ist ein Software-Toolkit für jeden Hacker, da es die Schnittstelle zwischen Peripheriegeräten ist. Wink Hub ist im Wesentlichen ein Home-Gateway, das Geräte mit bereits konfigurierten APIs kombiniert. Es verfügt über alle Kommunikationsmethoden. Es verfügt sogar über einen eigenen Satz von Geräten, der von einem Gasleckdetektor bis zu Sensoren zum Einstellen von Feuchtigkeit, Temperatur, Beleuchtung und Bewegungserkennung reicht. Es verwaltet außerdem intelligente Sperren und erhält Informationen zum Status aller überwachten Geräte.
Die nächste Folie zeigt ein Board, das ganz nett aussieht.



Das ist also ein Brett, es ist wirklich schön.

Hier ist alles unterschrieben, und das Schöne an diesem Gerät ist, dass es weniger als 50 US-Dollar kostet und das Angebot gültig ist. Wenn Sie Peripheriegeräte kaufen, können Sie Wink Hub kostenlos erhalten. Wenn Sie sich für RF-Geräte interessieren, ist dies ein wirklich cooles Board.
Darauf befinden sich separate Chips für jede Art von angeschlossenen Geräten, die es unterstützt. Dieses Gerät hat also einen Befehlszeilenfehler. Wenn Sie PHP nicht verstehen, gibt es einen sudo-Befehl, mit dem Sie Programme mit Administratorrechten ausführen können, ohne das Superuser-Kennwort einzugeben.



Dieser Befehl gibt der Knoten-ID des Knotens die Knoten-ID des ID-Attributwerts durch die POST-Variablen. Nehmen Sie dieses Team in Betrieb, und wenn Sie nach Hause kommen, kaufen Sie sich dieses Gerät und haben Sie Spaß damit.

Nun, wir zeigen Ihnen, worauf Sie gewartet haben! Eine Videoaufzeichnung der Demonstration des Hackings aller 22 Geräte wird unter einem echten Hacker-Repräsentanten stattfinden. Dafür haben wir unseren Freund, den Rapper Ned von Dual Core, eingeladen! Wir begrüßen ihn und das Lied "All diese Dinge"!

Wir haben hier fast hundert verschiedene UART-Adapter und Сhromecast-CDs. Während Sie sich das Video ansehen und den Rap genießen, gehen wir ins Fitnessstudio und geben Ihnen alles.

Dual Core:Tolle Jungs, ich versuche zu Atem zu kommen ... mein Name ist ned, ich bin ein Rapper im Dual Core, vielleicht haben Sie unsere Songs gehört wie "alles trinken und alles kaputt machen". Haben Sie Autos geknackt? Großartig!

Ich möchte Ihnen ein Buch meines Freundes vorstellen. Dies ist ein Hacker-Handbuch für das Hacken von Autos. Sie können es kostenlos herunterladen und bei Amazon kaufen. Ich habe ein paar Stücke dabei, die ich verteilen werde. Also, Rap-Musik ... Wenn ich nicht genug Atem bekomme, kann ich sterben!

Wo ist mein DJ? Drücke die Leertaste und starte das Video, damit ich anfangen kann!



Auf dem Bildschirm beginnt die Demonstration von Hacking-Geräten, die in dieser Präsentation besprochen wurden. Der Satz "Nicht jeder Geek mit Commodore 64 kann die NASA knacken" ertönt, dann wird der Musiktitel gestartet, unter dem Ned Rap "Trink den ganzen Schnaps" wie folgt aussieht:

Ich sage dir, alle Drinks zu trinken, die
Jungs haben so schnell alle Dinge gehackt
, die du hast Sie hatten nicht einmal die Zeit, sie zu zählen. Für die
Wiederherstellung nach einem Katastrophenfall sind noch mehr Fäuste erforderlich. Setzen Sie
Ihre Bytes auf alles.
Mein C64 sprengt alles in den Orbit, der
perfekte Boom bricht alle Ketten,
optimiert die Prozesszeit
, um einen Satz zu vermeiden, Sie benötigen
nur einen Stream.
Motorgröße nicht haben t - Wert
Es gibt Minen in der Kommandozeile,
und bevor sie mich sehen,
brechen Sie das Captcha, beenden Sie das Kapitel,
trinken Sie alle Getränke,
nehmen Sie das rote Fahrrad,
es blinzelt es mir immer noch zu,
trinken Sie den ganzen Alkohol, trinken Sie den ganzen Alkohol und
warten Sie, bis mein Blackberry stirbt
Um es mit dem Raspberry Pi zu ersetzen,
neutralisieren Sie jede Bedrohung für den Roten Schädel. Die
getöteten Virenschreiber kletterten auf den VX7,
der unsere Live-Daten aufzeichnet,
Hallo an Sie, Chiffren und Gerätetreiber,
wo wir hin gelangen werden, bis das Format erscheint, das das
Internet Mike erhalten möchte wi-Fi,
es dauerte vzlomat Ananas 5,
sind Sie bereit , alles zu knacken?
Ja, du bist bereit, alle Dinge zu hacken!
So, Sir, wir trinken alle Getränke,
wir trinken alles,
Sie wissen, dass es Sicherheitsregeln geben wird,
aber zuerst trinken wir alle Getränke, und dann hacken wir sie, es geht



nur um das System oder die Firmware,
worum Sie ungeachtet des Dienstes beten,
umkodieren und verbinden Sie sich mit dem Internet,
indem Sie es selbst sammeln. Es wird durch Piraten verdorben, die
den Angriff über die Wolke klatschen.
Aber wir kehren zur U-Bahn zurück,
wo es keine Massenkontrolle gibt,
die Tor-Knoten auf der ganzen Welt hinunterfahren, den
Online-Datenverkehr des Geräts hacken,
den Staat anrufen - die Jagd nach uns,
Mein Konrad Zuse ist ein Trigger-Debugger,
ich brauche einen Plan dafür th arbeitet,
Ich möchte sehen, wie alles brennt,
und jetzt sind Sie dran,
trinken Sie alle Getränke, ja,
trinken Sie alle Getränke, dieser Kampf ist ein Spiel,
dieser Horror zwinkert mir immer noch zu,
also essen Sie alle Speisen und trinken Sie alle Getränke!
Ich danke den Jungs von GTVHacker!



Amir Etemadi: Ich kann kaum glauben, dass Dual Core unser Gast war! Er hat es ohne Bedingungen gemacht, ohne Bezahlung, er ist einfach ein großartiger Kerl! Ja, ich war auch außer Atem. Wir haben absolut keine Zeit, also wenn Sie Fragen haben, sind wir bereit, diese nach der Konferenz zu beantworten.

Wir stellen hier Links zu unseren Ressourcen bereit, willkommen im GTV-Hacker-Kanal und vielen Dank, wir lieben Sie!

Präsentationsfolien: DC22.GTVHacker.com
WIKI:www.GTVHacker.com
Forum: forum.GTVHacker.com
Blog: blog.GTVHacker.com
IRC: irc.freenode.net #GTVHacker
Twitter: @GTVHacker

Jetzt auch beliebt: