终端机的安全性

瞌睡龙 2013-07-24 18:53:00

0x00 背景


如今触摸屏设备涉及领域越来越多,深深的融入到了我们的日常生活中。

比如大家都熟知的ATM取款机,到水电费缴纳机、优惠券打印机、交通路线查询机、商城导购机、登机牌打印机甚至电动游戏机,都已经采用触屏技术。

话说这人来人往,人见人摸的设备安全性如何呢?

0x01 突破


下面你即将看到突破终端机的一些手法,还真是应了一句话“安全无处不在”啊。

就这么一些简单功能的触屏终端机也被黑帽白帽发现这么多安全隐患与“玩法”。

今后生活中还有什么是值得放心的呢?

下面是来自于wooyun的案例:

1、利用mailto调出outlook绕过:

程序内嵌网页,自己写一个mailto插入到页面中调用outlook

WooYun: 利用xss攻击某些ATM

WooYun: 吉林银行ATM机利用XSS漏洞跳出沙盒环境

利用页面自身的mailto调出outlook

WooYun: 桂林火车站终端绕过

WooYun: 某银行自助查询终端可绕过权限控制

2、两指、三指长按导致”右键“出现:

右键出现后,可以选择打印,从中添加打印机中绕过。

或调出保存文件,然后右键新窗口打开,然后任务管理器。

或右键查看源代码,可能调出windows下边的任务栏。

WooYun: 工行某ATM沙盒绕过(未深入)

WooYun: 入侵中国移动自助营业终端

WooYun: 测试建设银行自助服务终端

WooYun: 中国移动24小时自助服务终端 绕过

WooYun: 中国电信缴费终端机限制不严格

WooYun: TSC自助终端绕过(校园一卡通查询机器)

WooYun: 中国移动自助服务终端绕过沙箱

WooYun: 某火车站自助取票终端绕过

WooYun: 中国联通缴费终端FLASH绕过浏览任意系统文件

WooYun: 中国移动自助服务终端又一次绕过

WooYun: 玩中国科技馆终端

WooYun: 首都机场wifi-zone新浪微博体验终端权限绕过

WooYun: 中国电信某地区自动缴费终端漏洞

3、频繁点击屏幕或故意输入错误数据,造成程序崩溃:

频繁点击屏幕

WooYun: 人民日报电子阅读栏结界绕过漏洞

WooYun: 双流机场终端机绕过

输入不存在的手机号,点击忘记密码报错,出现输入法,点击帮助跳出沙盒

WooYun: 简单入侵中国移动话费充值终端机

不输入空查询报错,出现输入法,点击帮助跳出沙盒

WooYun: 简单入侵中国电信自助缴费终端机

输入小金额报错跳出沙盒

WooYun: 新开普电子圈存触摸一体机终端权限绕过

输入卡号带特殊字符

WooYun: 中国工商银行迪堡ATM异常处理绕过

拖动文字

WooYun: 中国农村信用社用户自助转账终端机打开任意网页漏洞

屏幕边缘、笔画输入法,可能存在”层“的空隙;

输入法绕过 智能ABC输入法WooYun: 实达终端图书馆书目查询系统绕过

搜狗输入法WooYun: 深圳书城城市街区自助图书馆终端限制绕过google输入法WooYun: 广东移动信息服务台终端

windows自身机制,安全气泡优先级很高,导致绕过

WooYun: 由于安全消息的提示气泡,导致深圳地铁地图查询终端可入侵

可直接打开浏览器

WooYun: KTV终端机可跨出沙盒环境(你们唱,我扫个雷。。)

软件中带超链接,能够调出IE

WooYun: 中国联通某市缴费终端绕过

有些白帽子没有写具体的手法,但是大家可以感受下有多少终端机已经被绕过了:

WooYun: 北京交通大学校园一卡通自助服务终端绕过

WooYun: 中国农业银行ATM权限绕过

WooYun: 招商银行ATM自助取款机权限绕过漏洞

WooYun: ATM机系统崩溃

WooYun: 中国农业银行电子银行体验机终端权限绕过

WooYun: 某银行ATM机漏洞

WooYun: 大丰市海洋科技馆互动游戏机可绕过

WooYun: 中国工商银行自助终端软件绕过访问系统关键

WooYun: 某水族馆终端机可绕过访问系统文件

WooYun: 某某银行自助服务终端可绕过权限控制

WooYun: 校园卡转账机密码记录并进行内网渗透

WooYun: 南京新街口汉庭大堂终端绕过

WooYun: 成功绕过中国移动充值终端机

WooYun: 中国移动自助服务终端绕过

WooYun: 新疆移动现金充值终端机沙盒突破漏洞

0x02 后续


终端机安全不是最近出现的技术了,突破”沙盒“环境后,如果攻击者特意向终端机操作系统植入木马长期控制的话,后面在用该机器的朋友就要倒霉了。除了突破“沙盒”环境,还要注意这种终端机多数都处于有大量敏感数据内部网络中,终端机的沦陷,等于给内网打开了一扇门,而这扇门是任意路人都可以接触的,网企业与设备制造商严加防范引起重视!!

评论

N

nyannyannyan 2013-07-26 20:51:42

如果沙盒的网页访问用了IE内核...
还能用IE7, IE8的crash漏洞来直接跳出...
例如
[code]
//IE7
alert((new ActiveXObject("giffile")).bgColor);
[/code]
[code]
//IE8
document.body.innerHTML+="<table><tr><td> <div id='a'> <form id='b'> <input type='text' name='test'/> </div> </td><td width='1'></td></tr></table> ";
[/code]
当初这么搞过北京机场和深圳机场的腾讯的那种大触屏...
可惜当初没加wooyun也没得报洞了= =

熊猫 2013-07-31 09:00:59

碉堡了

I

Ivan 2014-03-25 14:07:12

学习下

小贱人 2014-03-25 16:53:54

碉堡了

小贱人 2014-03-25 16:54:09

学习了

1

1go0 2016-05-06 10:17:42

多谢前辈分享!

瞌睡龙

fighting……

twitter weibo github wechat

随机分类

软件安全 文章:17 篇
前端安全 文章:29 篇
逻辑漏洞 文章:15 篇
Python安全 文章:13 篇
安全开发 文章:83 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录