About Me [Rabit2013@CloverSec]:~# whoami ID： Rabit2013，Real name： 朱利军 [Rabit2013@CloverSec]:~# groupinfo Job : CloverSec Co.,Ltd CSO & CloverSec Labs & Sec Lover [Rabit2013@CloverSec]:~# cat Persional_Info.txt • 西电研究生毕业（信息对抗、网络安全专业） • 历届XDCTF组织与参与者 • 多届SSCTF网络攻防比赛组织与出题 • 某国企行业网络渗透评估 • 嵌入式漏洞挖掘挑战赛5个高危漏洞 • 通用Web应用系统漏洞挖掘若干 • 某国企单位安全培训 • …………. About Team 安全防御软件 Java/Flash 主流中间件 主流Web应用 主流Web框架 操作系统 Binary 主流浏览器 其他 Web 其他 CloverSec Labs 其他 Tablet Android Windows Phone 车联网 Mobile Terminal iOS Wear Devices IoT/Industry/Car 工控系统 嵌入式 About Team u 发现多个Microsoft Windows内核提权漏洞 (CVE-2016-0095) u 发现多个Adobe Flash Player任意代码执行漏洞 (CVE-2015-7633 CVE-2015-8418 CVE-2016-1012 CVE-2016-4121) u 发现多个Oracle Java任意代码执行漏洞 (CVE-2016-3422，CVE-2016-3443) u 发现多个360安全卫士内核提权漏洞（QTA-2016-028） u 发现多个百度杀毒内核提权漏洞 u 率先发现苹果AirPlay协议认证漏洞 u 参加互联网嵌入式漏洞挖掘比赛，对某知名厂商提供的设备进行漏洞 挖掘，提交了5个高危漏洞 u 为TSRC、AFSRC提交漏洞若干 Hacking无处不在 Why? ---为何到处能Hacking Where? ---Hacking的入口点在哪 What? ---哪些能Hacking How? ---怎么去Hacking [ Rabit2013@KCon ] Why 为何到处能Hacking [ Rabit2013@KCon ] 无线路由 防御软件 工业系统 摄像头 联网汽车 智能家居 云办公 云WAF 智能手表 运维系统 内网管理 监控系统 Web应用 各类CMS 各类OA [ Rabit2013@KCon ] 漏洞 [ Rabit2013@KCon ] 传统漏洞 文件 下载 信息 泄露 SQL 注入 弱配置 XXE 注入 框架 注入 弱口令 代码 注入 命令 执行 CSRF SSRF XSS 攻击 [ Rabit2013@KCon ] 文件 上传 越权 访问 ······· 新型漏洞 验证码 口令 爆破 撞库 API 接口 认证 时效 找回 密码 业务 篡改 身份 认证 业务 一致 业务 授权 输入 合法 [ Rabit2013@KCon ] 业务 流程 弱加密 ······ Hacking无处不在 Why? ---为何到处能Hacking Where? ---Hacking的入口点在哪 What? ---哪些能Hacking How? ---怎么去Hacking [ Rabit2013@KCon ] Where Hacking的入口点在哪 [ Rabit2013@KCon ] Testing System = Fuzzing Checking + 数据传输 系统本身 安全与否 [ Rabit2013@KCon ] [ Rabit2013@KCon ] 现在，有这么一个设备，通过遥 控器进行控制，遥控器使用 433MHz如何知道遥控器发送了 什么？ 得到的原始信号长这样 这里有个小诀窍，在抓取的时候建议 偏离中心信号一点，比如432.7MHz 可以避开信号尖峰影响 [ Rabit2013@KCon ] • • • • • • • • 了解功能，使用范围，使用方法，以及能做什么 拆机看PCB，从各种组件上了解其架构，寻找调试接口（UART/TTL/JTAG） 加电，进行常规性检测（扫端口，看服务等） 截取信号进行分析，看它发送了什么，这些信号都是做什么的 弄到固件，拆包分析，对其中的关键程序进行逆向 重点关注Ping/Telnet等功能，尝试命令执行，进入白盒阶段 自制添加了后门的固件，尝试刷入，进入白盒阶段 其他脑洞大开的想法、做法 [ Rabit2013@KCon ] • • • • • • • 以高权限登入设备，对自己的一些想法进行验证。 对外通信内容进行分析，构造Payload，跑一下 连接调试接口，看终端打印信息 利用QEMU进行动态调试，下断试错等 从终端到云端（如果有的话） 站在上帝视角，寻找更多问题，物联网不只是pwn it就完了 一个小玩意引发的血案（基于物联网设备的内网漫游） [ Rabit2013@KCon ] 接口安全 额外的访问URL 服务安全 测试端口 混淆不彻底 明文固件 通信安全 等等 特殊功能端口 不必要的端口 固件安全 入手点 认证接口 WIFI 协议安全 蓝牙 协议缺陷 [ Rabit2013@KCon ] 内存Dump 移动通信 协议逻辑 红外 额外字段