一、背景知识
自助终端机是将触控屏和相关软件捆绑在一起再配以外包装用以查询用途的一种产品。其应用范围广泛,涉及到金融、交通、邮政系统、城市建设、工业控制等各行业,在机场、车站、银行、酒店、医院、展览馆等各处都能看到自助终端机的影子。
自助终端机采用的触摸屏的方式,用户点触计算机显示屏上的文字或图片就能实现对主机操作,从而使人机交互更为直接了当。同时使操作应用傻瓜化、快捷化因而这种技术极大提高了办事效率。
而这些自助终端机很多都是基于windows平台的,通常是采用将程序的窗口最大化,始终置前,隐藏系统桌面的方式,使用户只能在当前应用下操作,不能逃逸。
下面看看几个自助终端机的图片。
1.珠海市公共自行车管理系统(跑的Windows XP系统)。
2.凯歌王朝KTV点歌系统。
3.北京地铁站刷卡入口处,看着虽小,其实也是windows系统。
4.电信便民服务终端为linux等等。
5.某银行ATM取款机其实采用Windows系统(看输入法)。顺便来几张某ATM机内部
二、常见绕过方法
以上终端机大都为windows系统,有多种绕过方式,由于具体的情况与应用程序有关,因而不同程序情况不同,没有统一的方法,技巧方法得自己摸索。个人感觉没有什么技术含量(有的涉及RFID等等之类的暂不讨论),只是看你思路是否放的开。总结收集了几个案例,其中众多的是实测,其他的案例收集自wooyun等站点(已注明作者)。总结了以下几个方法。
(一)通过特定操作,使程序报错。
由于终端机通常是触控的,有时通过构造特定的错误操作,或频繁的点击等方式使程序报错,或造成内存爆满,从而弹出错误信息,而此时通过出错信息能找到入口。当然让程序报错的方式各种各样,要灵活发现,有的甚至直接进入桌面。
如下的几个案例
1.中国移动话费充值终端机,输入错误的手机号,并点击忘记密码,程序报错,同时右下角出现语言栏提示,点击提示即可调用本地资源管理器,从而进入系统。
图1-1
图1-2
2.双流机场查询系统终端
频繁点击屏幕,通常是多点多次触控,使程序响应不过来,进而崩溃,进入桌面。
图2-1
图2-2
程序报错,结束进程,进入桌面。
图2-3
3.中国电信自助服务终端,输入错误信息,使程序报错,右下角弹出语言栏,进一步利用从而进入本地资源管理器。
如图3-1
如图3-2
总之,出错的原因各种各样,可以采取多种方式,多次尝试,很多情况下都会报错的,报错进而就可能找到入口了。
(二)通过右键菜单
这样的案例,通常是因为没有屏蔽右键菜单或者一些敏感选项。长按某一位置,几秒后弹出右键菜单选项,通常通过右键菜单的一些选项,比如“属性”、“打印机设置”、“另存为”、“打印”、“关于”之类的选项进行利用。另存为则直接弹出windows资源管理器,然后继续右键,选择资源管理器,找到osk.exe和taskmgr.exe,结束相关进程,从而进入桌面系统。具体情况灵活多变。
1.白云机场免费上网终端
未屏蔽敏感右键菜单,点出右键菜单后,有目标另存为、属性等众多敏感选项,从而调出资源管理器进入桌面。
如图1-1调用资源管理器
图1-2,进入后可以访问外网
2.中国移动自助营业终端机
通过右键菜单,选择添加打印机,一步步找到本地资源管理器,从而进一步进入系统。
图2-1
图2-2
图2-3
3.自动售药机
通过右键,找到关于信息,然后一步步调出资源管理器,进一步进入系统。
图3-1
图3-2
图3-3
图3-4
4.图书馆一终端查询机。仔细寻找发现一处右键可以进行“打印预览”的选项,从而通过打印预览进入桌面系统
如图4-1
4-2调出浏览器
4-3进入桌面系统
(三)通过页面的一些调用本地程序的按钮
比如“打印按钮”、“发邮件”、“安装程序按钮”、“帮助链接”等等。通常程序会调用本地浏览器或软件,从而进行利用利用。
1.电信便民终端通过页面的打印按钮,调出资源管理,系统为linux。
如图1-1
如图1-2
如图1-3
如图1-4
如图1-5,为linux,不像windows那样容易进入桌面系统。
2.图书馆一查询设备
图2-1调出“打印预览”
图2-2点击“帮助信息”调用本地浏览器。从而用多种方法进入桌面系统。此处选择“工具-internet选项-浏览历史记录-设置-查看文件”然后打开屏幕键盘和任务管理器。
图2-3进入桌面
3.中关村地下购物广场终端
通过发送邮件按钮,调出outlook,进而可以调用本地资源管理器,从而进入系统。
如图3-1
如图3-2
(四)通过输入法、屏幕键盘、快捷键等方法
很多终端有时因为错误,或者设置问题会直接显示输入法。通常可以通过右键输入法等找到资源管理器。有的拼音输入法直接显示出来,有的可以直接利用。而输入法有时,比如qq输入法、搜狗输入法通常都可以调用本地浏览器等等。
1.邮政自助终端机按快捷键CTRL+S调出资源管理器,进行进一步利用
2.通过输入法绕过
图2-1显示输入法
图2-2点击帮助,出现提示,找不到文件。然后就调用打开了资源管理器了
图2-3进入系统
图2-4
(五)通过XSS
主要是一些移动终端应用。此类APP,往往对意见反馈等地方未过滤完全,通过提交跨站代码,从而盗取管理app的cookie,进而拿到app管理后台,获得所需信息。
1.京东LeBook安卓客户端
图1-1反馈意见处过滤不严
图1-2盗取cookie并利用。
(六)可以物理接触终端机的电源线、网线的情况下
在可以物理接触终端机的情况下,可以将电源拔掉,然后终端机重启。当出来桌面时候,快速的点击开始-程序-启动。将启动栏目的程序删掉。然后继续重启,默认的重启后不会调用原有的程序(当然是针对没有还原系统的终端机来说,很多都是没有的),从而进入桌面系统;二,可以直接拔掉网线,程序有时会弹出错误提示,从而进一步操作进入终端机三、可以在重新插拔电源后进行
1.可以接触物理电源
图1-1,拔掉电源插头,重新插上,系统重启
图1-2删掉快捷方式,未成功。
图1-3强制关机,致使相关文件丢失,再重启,当windows进行自检丢失文件时,直接按确认,取消检查,从而进入系统时候报错,最终进入系统。
图1-4
(六)其他方法
比如有的提示安装证书,则在安装选择路径的过程中可以找到资源管理器。有的带有USB接口的,可以插U盘U盾等绕过。有的是flash页面,通过flash的设置选项调用本地资源,进而绕过。还有各种其他的方式使终端机崩溃的。比如旺财的利用磁卡导致ATM关机,地址http://hi.baidu.com/kevin2600/item/35af9d41f159d2ed1e19bcf6
1.邮政安装证书提示,寻找资源管理器。
图1-1通过安装证书提示,进一步寻找资源管理器,最终进入桌面系统。(貌似已修复)
(七)利用
进入触屏界面后该如何操作?调出资源管理器,然后调出最基本的几个程序。进入c:\windows\system32\目录下。一般先打开osk.exe,此为屏幕键盘程序;taskmgr.exe任务管理器,用来结束相应的程序;cmd.exe用来执行命令。接下来判断所处的网络环境,进行进一步的内网渗透了。
三、总结
本文只讨论了终端机本身如何绕过应用程序进入桌面系统,并未进行具体的内网渗透测试。其实通过终端机进行入侵或许会给你的渗透带来一丝便利。比如在机场获得一台终端机的权限后,进入内网,如果网络控制的不严格,可能会对一些重要系统造成影响。具体的渗透案例此文不讲述了,放开思路最重要。不是什么技术活,欢迎批评指正与补充。