前言

10 年前,国内网络安全圈的黑客们还专注于最初级的无线网络安全研究,采用最传统的无线攻击方法破解 Wi-Fi 密码、蹭网,继而进行网络渗透测试。那个时期也是无线局域网安全最火热的时期。无线网络安全研究者们专注于寻找性能更优良的无线网卡,搭配着自己优化的无线破解平台或直接使用 BackTrack、BackBox 以及后来的 Kali、NetHunter 等完善环境来对身边一个又一个无线热点进行安全评估,体会那种突破限制、接入目标网络的成就感,同时也完成了对于企业安全评估的“红蓝对抗”。

随着无线攻防对抗的不断迭代,许多更有趣的攻击方式也出现了。例如 EvilAP 钓鱼攻击:先侦测由无线客户端主动发出的 Probe 帧中泄露的“历史连接热点名称”,通过软 AP 程序(hostapd)创建同名的钓鱼热点,将无线目标拉入虚假的无线环境,进而发起攻击或窃取目标网络流量中的敏感信息。

2015 年 3•15 晚会上,由独角兽安全团队支持的 Wi-Fi 安全环节让圈里的资深无线网络安全研究者们为之动容。这个演示环节的灵感来源于 DEFCON 黑客大会 Wireless Village 上有名的绵羊墙 (The Wall of Sheep)。绵羊墙将收集的账号和隐匿的密码投影在影幕上,告诉人们:“你很可能随时都被监视。”

随着时代的发展,各类无线通信技术也出现在了各类政企单位的基础设施中。这里列举一个早年间存在于北京某条地铁线路的安全问题。我们知道,高速行驶的地铁列车需要将车厢内的广告系统、视频监控、列车运转状态等信息实时回传到站台,以便站台对列车的整体状态进行把控。那么问题来了,数据该如何有效回传呢?列车不可能在行驶过程中还拖着传输线缆,此时就需要用到无线通信技术。在当时的科技背景下,多数会选择 2.4 GHz 频段的无线局域网通信方案,但是后来出现了大家所熟知的 WEP 安全缺陷,以及针对 WPA 和 WPS 的各种在线、离线与云端集群密码破解的诸多方法,甚至是利用“Wi-Fi 热点万能连接器”App 从云端提取已被分享的 Wi-Fi 连接密码,这些威胁最终都会导致无线网络被攻击者轻易破解,并将私有设备接入地铁运行网络,继而引发更深层次的渗透测试。因此,在选择无线连接方案时,务必要经过严谨且有效的安全评估,而一旦在基础设施上出现安全问题,后期再进行升级修复的成本就非常高。安全人员一定要抱有这样未雨绸缪的思维来看待无线安全建设的重要性。

从另一方面来看,无线通信上的漏洞给予了攻击者以非接触方式对目标系统发起攻击的机会。事实上,截至目前,无线通信安全依然是政企单位在规划整体安全方案时常被忽略的一点。几年来,天马安全团队(PegasusTeam)在获得渗透测试授权的情况下,利用各类无线网络对军工、能源、金融、政企、基础设施的网络进行了测试,都取得了 100% 的渗透测试成功率,这足以说明我们对无线网络安全的建设与防护依然处于相对模糊且薄弱的阶段。

我们把这类利用无线网络进行渗透测试的方法命名为“近源渗透测试”。在传统的网络测试中,各类防火墙、入侵检测等防护产品已经较为成熟,攻击者很难通过外网的网络入口突破企业的重重防御。而在近源渗透测试的场景中,攻击者位于目标企业附近甚至建筑内部,这些地方往往存在大量被忽视的安全盲点。结合近源渗透的相关测试方法和技巧,攻击者可以轻易突破安全防线进入企业内网,威胁企业关键系统及敏感业务的信息安全。

本书整理了我们在进行近源渗透测试时使用的从突破边界到内网渗透的种种技术。近源渗透测试和普通的渗透测试在“边界”概念上存在很大的区别,从现状来看,前者的突破口大多还是以 Wi-Fi为切入点的。不管是通过现场破解无线密码,还是通过云端的集群破解密码,攻击者只要拿到了正确的凭据,便可以进入目标网络。当然,我们在对外进行渗透测试的时候,很少使用这种“硬碰硬”的方法。思路是活的,通过前期“踩点”的结果可以或多或少发现,这个企业中一定存在员工私建的或不知道什么原因建立的临时热点,这些热点都可以合理跳过 ACL(access control list,访问控制列表)的限制,为我们进行深层次渗透测试提供便利条件。

后来在多次渗透测试的时候,我们思考了一个问题:渗透测试人员是不是必须抵达目标附近?受电影 Who Am I 的启发,我们突然有了灵感,使用树莓派 Zero,通过 3D 打印机制作了一个外壳并搭配大容量的移动电源。在踩点时拿到了用户的无线接入凭据,将树莓派接入无线网络,反向回连到云主机并将设备留在现场,随后渗透测试人员在家中便可远程进行后续工作了。后来我们还使用 Arduino做了一个小硬件,它可以达到 12 小时的续航,在遇到不能及时完成的渗透测试工作或者需要远程协助的情况下,它可以起到“跳板机”的作用。

通过这些年的实践,我们发现近源渗透测试本身就是一个多样化的渗透测试行为,我们可以根据目标的网络状态、现场环境、物理位置等因素灵活地更换渗透测试方式,这也更接近渗透测试的本质。当然,我们也设想过在更加智能化的将来,企业可能会使用更先进、更智能的设备,如摄像头、饮水机、扫地机、门禁、虹膜系统等,它们可能配置有更先进的无线传输协议,这些协议是否也存在安全漏洞呢?答案是肯定的。到那个时候,《碟中谍》系列电影中的各类攻击场景,将不仅仅是只存在于电影中的臆想了。

我相信,我们肯定不是第一个从事“近源渗透”的团队。通过本书,我们想把经验分享给更多安全从业者,不管是蓝军还是信息安全团队,希望你们都能通过本书受到启发:安全永远需要未雨绸缪,因为你不知道什么时候,你所在的公司楼下就有一帮想黑掉你们的坏家伙。

本书内容共分为 7 章及附录。

第 1 章介绍我们对近源渗透测试的思路、理念以及对该领域未来的展望。

第 2 章以 Wi-Fi 为例,介绍基于无线网络的安全攻防及实例测试,包含家庭、企业级无线环境的常见渗透测试方法,无线入侵防御解决方案,无线钓鱼实战,以及基于无线特性的高级攻击利用技术。

第 3~7 章介绍渗透测试人员突破边界后可使用的各类内网渗透测试技巧,如敏感信息收集、权限维持、横向渗透、鱼叉攻击、水坑攻击、漏洞利用、密码破解等。其中第 6 章还介绍了针对门禁系统的 RFID 安全检测技术、针对 USB 接口的 HID 攻击和键盘记录器技术、网络分流器等物理安全测试方法。

附录介绍了常见的近源渗透测试设备,并分享了两个真实的近源渗透测试案例。

为了保证描述准确、便于读者理解,书中部分技术术语直接使用英文,并在括号里面注明中文。文中提到的工具、链接及相关代码等,可以访问本书在 GitHub 上的项目主页获取:https://github.com/ PegasusLab/near-source-pentesting-notebook。

《中华人民共和国网络安全法》已于 2017 年 6 月 1 日正式实施,不仅对网络运营者提出了要求,也对网络安全从业者提出了要求。现在普遍的“白帽子”渗透测试行为其实存在着较大的操作过失风险,现将需要大家特别关注的要点进行整理。(1) 在进行渗透测试前需要取得客户授权。

(2) 请在客户授权的范围和时间内进行测试。

(3) 发现漏洞应尽快通知用户,不向任何第三方公布或传播漏洞。

(4) 不窃取、出售、篡改用户的敏感数据。

(5) 不恶意攻击服务器,不在服务器中留“后门”。

(6) 不对国家关键基础设施系统实施渗透或干扰行为。

(7) 不协助他人恶意攻击服务器,不提供或传播恶意攻击程序。

知其攻,后知其防。攻防对抗是信息安全研究健康发展的必然形式,但请各位读者务必要遵守相关法律法规,不得出于任何非法目的而使用本书提到的技术。如您因此触犯法律,我们对此不承担任何法律责任。

在本书开始前,我们摘录来自 360 黑客安全研究院的黑客漫画《黑客特战队》中的“第 4 话 近源渗透”内容作为预热,希望读者朋友们可以从中感受到近源渗透测试的魅力!

目录

  • 前言
  • 第1章 鸟瞰近源渗透
  • 第2章 Wi-Fi安全
  • 第3章 内网渗透
  • 第4章 权限维持
  • 第5章 网络钓鱼与像素追踪技术
  • 第6章 物理攻击
  • 第7章 后渗透测试阶段
  • 附录A 打造近源渗透测试装备
  • 附录B 近源渗透测试案例分享