独角兽暑期训练营 | 某网红打印机安全分析(上)

阅读量553342

发布时间 : 2019-03-19 10:31:41

 

该课题由独角兽暑期训练营第二届学员张熙宸完成,课题完成后, 等待厂商修复相关漏洞,到现在才发布。

360独角兽安全团队每年暑假都会面向在校学生举办一次暑期训练营,申请者投递简历并提交自己想做的课题介绍后,若入选,会在360技术专家的指导下完成课题。

本系列文章会发布第二届训练营6位学员在训练营中的成果。文章相关代码后续会在训练营github代码仓库发布 。

 

前言

假期研究了一款智能打印机,后来某厂送来了一系列的待检测设备,惊讶的发现,和我研究的打印机工作机制如此类似。因此我觉得这个打印机就有了一定的代表性。写了这篇文章,总结一下IOT的一些攻击思路。研究期间,我的同事、朋友和导师给予了我很大帮助,这篇研究总结属于大家共同成果。

了解工作机制

研究对象是咕咕打印机第二代,在阅读下面内容之前,建议先在网上找一些使用教程了解一下。他的长相如下:

他的工作机制如下:

本地模式

单刀双掷开关拨到本地模式的时候,打印机这时自己会打印出来一个自己发出的热点的名称和密码。密码很简单:1234567890,应该是都写死在固件里的。连接热点是时候,允许多台设备连接,但是在我电脑连入热点之后,却抓不到他的包,不管是wireshark还是burp里都是。有兴趣的可以尝试无线网卡抓一下,当时我没有试。这种多设备连接极容易造成打印内容被窃取。

API模式

官方给了一个API的调用文档,通过构造固定格式的URL发送到服务器来控制打印机。这个web接口请求服务器打印的接口和APP请求的接口不一样。

云端模式

手机APP向服务器发送请求,服务器再发给打印机控制打印。APP在线绑定设备详情网上有很多。第一次配置打印机进行联网的过程中会产生一个广播的WiFi,这个WiFi是没有密码的,与本地模式的WiFi不一样。大概是起引导打印机连入家庭互联网的作用。APP和服务器的通信好说,那服务器怎么和打印机对接呢?使用时我发现手机发送请求,若设备没供电,当再次上电就会全部打出。因此猜测是固件里写了上电扫描之类的,开机就搜索服务器网络,扫到之后就连上,之前积压的也就打印了。此外,官方还有一个网页版APP。这个网页版的APP的接口和手机APP的接口也不一样(这个有大用处)

信息收集

硬件层面

主控是Marvell88MW300,整合Cortex-M4 MCU与Wi-Fi于单一芯片

Flash芯片是MX25L6433F

蓝牙芯片是CC2541,但在G2款中完全没有用到该芯片

固件提取思路:

人民币玩家:用烧录器(建议买RT809f ),通过上位机一键读取。不想把芯片焊下来可以用银引脚探针。要搭配烧录座。可以把芯片焊下来。可以把芯片焊下来。把芯片焊下来的话,需要搭配烧录座。建议最好焊下来,用探针的话,其他电路会造成干扰(300元左右)

普通玩家:买一块最小系统板搭配烧录座。查看需要提取的flash芯片的手册中,存储的起始地址,然后写一个例程,让主控芯片把flash下这串数据全部读取下来。(几十元左右)

填坑:

像这类的单片机程序并不像路由器固件那样的文件系统可以通过binwalk直接解压出来,而是需要通过ida之类平台的对单片机的汇编指令来反推出原本的程序逻辑,并且可能需要导入一些支持该框架的脚本。如果是默认或者错选框架的话,会导致无法读取。出现全是db这样的情况。

由于我不是二进制选手,所以我对固件的探索仅到成功提取就截止了。

web层面

抓包:得到发送地址、分析发送内容、寻找注入点、cookies利用等

抓包过程中发现了服务器ip,发现一个明文传输的用户名和密码(这个在后期的收集中经常出现),是个SOAP协议,但是构造注入并未成功。经过跟官方的交流,得知这webservice通过和客户端进行认证的,但是泄露了也不会造成很大危害,因为他进行了二次加密。这或许也印证了我为什么构造注入会不成功。

扫描:扫IP、扫二级域名、扫目录、扫端口。扫到的越多,收集到的信息越多,可能暴露的漏洞也就越多。可能存在源码泄露、上传漏洞、库未授权访问、xss、csrf、ssrf等诸多常见问题。

审代码:分析是否存在身份未校验、越权等漏洞。对于加密传输信息,是否能找到加解密方式。是否存在反序列化、是否存在不合理的处理机制,造成畸形数据注入导致系统崩溃。

测试中发现网页版APP网站http://w.memobird.cn/cn/w/login.aspx

Web API打印官方手册  open.memobird.cn/upload/webapi.pdf

咕咕机官方API源码 https://github.com/memobird/gugu-php

Webservice登录网址(用APP账号登录,但是选项都没有权限):http://139.217.205.76/Login.aspx

发现二级域名扫到一个web接口源码 http://im.memobird.cn/wse/wsesmart.asmx

发现ip开放了80、3389、11211等端口,但是都没有找到突破点。

发现源码泄露,这个config泄露了APP发包时加解密的算法、私钥。

上传目录未找到漏洞

APP层面

先在APP漏洞扫描平台

https://security.tencent.com/index.php/blog/msg/109

上扫描APP中危险函数或配置。

然后尝试脱壳:安装安卓环境:可以在夜神模拟器上按xpoesd,也可以去下Android Studio,再下个sdk,搭建脱壳机,目前市场上很多加固APP都可以被脱。

找“摘要”:AndroidManifest.xml中包含了APP的配置、包名、入口。从这里可以对整个APP框架大概了解,其中可以发现adb backup等风险配置。

找“函数”:手机APP的包和APP源码更配哦。想找加解密或者WiFi配置,蓝牙配置等的源码,搜索相关函数。在APP反编译的代码中找到了写在里面的这个用户名密码和APP加密发送数据的私钥

对于二次打包:二次打包对新手较难,主要是签名认证难以绕过或仿制。未经认证的app在安装后无法运行。根据反汇编的代码,高仿原应用程序难度也较大。直接复制粘贴反汇编代码,重新打包,会有很多错误。而且新包名若与原包相同,是不能被放到应用市场上的。

攻击思路整理并实现攻击

传输内容嗅探

不管是本地模式还是云端模式,可做中间人攻击来截获打印内容。这里我是用手机转代理到电脑上,拦截了数据包。发现传输的时间和传输的内容都以base64方式进行编码,并未进行复杂的加密。

左图是app中的预览效果。右图是网站中解码的效果,图片还原注意加上头

如何控制打印机

批量控制打印机

漏洞成因:

1.AK泄露导致越权:在官方公开的API调用实例当中,泄露一可用AK。原本进行API打印需要根据流程申请AK,有效AK泄露导致任何人都可以在未申请的情况下,成为了开发者,拥有网上打印权限.。

下图是官方API给的打印所需构造的URL及其中包含的参数:

这里解释一下各个参数的含义:

memobirdID是设备编号,双击咕咕机时会自动打印出来

useridEntifying在官方开发群中说的是为咕咕号,是在APP中“我的”中查看到的6位编号

userid是根据APP里面注册之后,就会分配一个固定的userid。因为有些用户注册了,但是没有买设备,所以会造成一些userid并没有对应的设备编号,也会存在一个userid对应多个设备编号的情况。

所以:AK(形同虚设)+时间(形同虚设)+memobirdID  + useridEntifying àuserid

2.服务器校验机制不完善:官方在要求绑定的时候,输入的useridEntifying需为咕咕号,文档中却说用户自定义。在官方公开的API源码(官方放在GitHub了:https://github.com/memobird/gugu-php)当中分析却是,useridentifying未做任何处理,相当于架空该参数,在有设备编号的情况下直接返回userid

所以:AK(形同虚设)+ 时间(形同虚设)+memobirdID →   userid

因为:memobirdID(16字节)+userid(1-6字节不等)→  打印

    memobirdID  →  userid

考虑:爆破memobirdID  →    得到userid

    memobirdID + userid →   打印,但memobirdID太长,爆破困难,并且猜测userid可能是递增,可能是统计用户量的值。

尝试:memobirdID  ←   userid

    爆破userid →   得到 memobirdID

    memobirdID + userid →   打印

3.加解密方式泄露:

在APP网页版中,点击打印

我们抓到了一个与userid有关,能返回smartguid( 值=memobirdID )的包

但是不管是发送还是响应,都是密文。我们要是想爆破简短的userid,就需要懂得他的加密方式,发送我们爆破,加密后的userid,他才会返回给我们smartguid。

这时我们之前扫到的那个config就有用了。这里面是加密算法

或者在APP中也可发现蛛丝马迹

加解密分析:

因为:GetSmartCoreByUserID,返回了加密的Smartguid

猜测:parameter应该是加密的userid。

验证:抓到的包中标黄的目录文件是之前泄露的源码,这里面有request发出前的加解密方式,大意是利用时间戳和私钥进行DES加解密,而且时间戳只精确到秒的十位,个位不参与。在github上找到一个别人写的py脚本

解密验证了猜想。

所以:userid  → 加密的Smartguid

尝试:加密的Smartguid →  明文Smartguid

因为:userid(明)→ ← userid(密)

猜测: Smartguid (明)→ ← Smartguid (密)

尝试:用与userid相同的解密方式,解密Smartguid,发现失败。而且respond的时间戳和加密不是一个系统时段上的,估计算法可能也不一样了 。

4.打印所需参数可逆推

在点击查看已绑定的咕咕机的详情的时候

抓到这样一个能返回smartguid的明文的包!就是我们期待已久的:加密的Smartguid à明文Smartguid

这是两个危害比较严重的逆推:

明文和密文可以逆推

userid和smartguid逆推

这样导致所需打印参数通过爆破全部能获取

漏洞利用:根据导师写的脚本(附在github里),可在网络中爬到众多打印机,进而控制他们

钓鱼控制打印机

安卓API 8以上,备份设置默认开启。在开发者未经处理的情况下,会导致用户名和密码直接被备份。当备份到其他设备上时,该设备可直接登录被备份人的身份。

当前主流APP认识到此设置风险,纷纷将备份数据设置为需要重新登录才可以恢复。但众多小众APP并未意识到,导致隐私严重泄露

漏洞利用:

利用思路:在网上找到了一个脚本可以在电脑上批量检测手机中开了allowbackup的APP并批量备份。https://sobug.com/article/detail/16

预计一部手机中三分之一以上的APP可能会被波及。导致此手机中大量账号及其他敏感信息泄露。

尝试:我们学校的APP存在此配置问题,会导致学生身份证,学号等泄露。亦可以尝试一些租房APP,可能会有更多泄露。下图是咕咕机APP中备份文件中暴露的用户名和密码。

蓝牙控制打印机

此漏洞涉及型号为GT1,为纯蓝牙通信模式。以下研究全部属于我导师:

研究目标

上面有对二代的打印机进行分析,发现旗下还有一款三代用蓝牙控制的打印机,与二代不通的是三代是无法进行远程打印的,只能通过手机的蓝牙和打印机链接,打印机无法自己链接服务器,但是可以通过云端接口将打印的数据传给手机,然后手机与打印机进行蓝牙链接之后打印机自动打印纸条,我们下篇会对对这款打印机进行安全分析。

本文由UnicornTeam原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/173602

安全客 - 有思想的安全新媒体

分享到:微信
+112赞
收藏
UnicornTeam
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66