上週,我收到了一位同事發來的。
我讓他拔掉電源插頭,把它儲存在乙個安全的地方,拍下所有部件的**,然後用sd卡製作映象(因為我大部分時間都在遠端工作)。我做過很多樹莓派的專案,我相信我能找到它的作用。
3個部分
1.raspberry pi b第一代
2.乙個神秘的usb加密狗
3.一張16gb的sd卡(速度很快)
要做的第一件事:詢問每個可以訪問此網路的人,因為能夠進入的人數非常有限。只有4個人:
1.管理者
2.地勤人員
3.我的同事
我他們都不知道這一點,所以我問我的it同事,他們和我一樣困惑。我聽說人們得到報酬,把這樣的東西放在他們不應該的地方,因此我很想知道它實際上做了什麼。
usb加密狗是什麼?
為了幫助我解決這個問題,我問了reddit,當然他們確定加密狗是乙個微處理器,幾乎和rasberry pi本身一樣強大:nrf52832-mdk。乙個非常強大的wifi,藍芽和rfid閱讀器。
毫無疑問,這是為了給老樹莓派提供wifi和藍芽連線。太好了,現在這個東西也有wifi了。
sd卡映象
sd卡有幾個分割槽。大多數ext4(linux)和乙個fat16(boot)
我的debian盒子告訴了我第乙個重要的線索:這是乙個resin裝置:
resin(現在更名為balena)是乙個付費的iot web服務,您可以在其中為iot裝置生成映象,部署這些裝置並從resin中獲取更新和資料。resin還在裝置上安裝vpn,以便安全地傳輸收集的資料。很明顯,這款裝置注定會被再次使用,因為它會留下痕跡,因為它的服務是付費的。
分割槽有貓膩
第乙個分割槽叫做「resin-boot」:
看到吸引你眼球的東西?我們發現有乙個config.json。
我們可以從這個檔案中提取什麼:
部署到該resin裝置的應用程式稱為「logger」。不是乙個好兆頭;
我們有乙個username。這似乎是與此裝置關聯的resin帳戶的使用者名稱;
確認裝置通過埠443 使用vpn;
註冊日期。它是在2018年5月13日註冊(或首次部署或設定?)。
關於該使用者名稱
當我用googled搜尋在config.json檔案中找到的那個使用者名稱,我在同乙個城鎮找到了乙個找到此pi的人。然後該公司檢查了他們的記錄,但沒有找到任何結果。奇怪的是,我在2023年找到了乙個**,其中「有天賦的孩子」的父母寫了關於他們的文章,並且出於某種原因用他們的家庭住址和**號碼簽署這些文章。所以我有乙個名字和整個家庭的位址。
這可能是乙個錯誤的引導,因為使用者名稱往往被多人使用,但讓我們記住這個名字。
resin-data
資料目錄沒有儲存任何資料(如:收集的資料),但是有乙個nodejs應用程式被嚴重混淆,直到今天我還無法確切知道它在做什麼。它似乎通過串列埠連線到加密狗,但我無法提取實際收集的資料。我只能假設它收集了該區域(經理辦公室周圍)的藍芽和wifi裝置的移動配置檔案,並且可能是原始的無線資料報。但我發現了一些更有趣的東西:乙個license.md檔案:
奇怪,為什麼這個nodejs應用會包含乙個機密軟體?我從版權頁上谷歌了一下,你猜怎麼著?除了我之外,為什麼公司的聯合創始人會在城鎮周圍分發這些裝置呢?
獲取攻擊者的家庭住址
我發現的另乙個非常有趣的事情是resin-state路徑中第三個分割槽上的檔案/root-overlay/etc/networkmanager/system-connections/。該檔名為resin-wifi-01。
它包含wifi的wifi憑證,用於設定裝置(或測試它)。絕對不是公司的無線網路。當我們想要找到與wifi名稱相關的位置時,我們該怎麼辦?我們去wigle.net,輸入ssid(= wifi名稱),它會告訴我們在世界的哪個地方可以找到它。
你猜怎麼著?我們找到那個天才父母的位址了嗎?根據wigle.net,pi就是在這裡建立的。
後果
我檢視了dns日誌,找到了pi首次在網路中看到的確切日期和時間。我檢查了radius日誌以檢視當時哪個員工在該處所,並且我看到多個錯誤訊息,已停用的帳戶嘗試連線到wifi。這個已停用的帳戶屬於前雇員(由於某種原因)與管理層達成協議,他可能仍然擁有乙個金鑰幾個月,直到他將所有東西搬出大樓。
現在怎麼辦
法律已經接管,我盡了自己的責任,其餘的都超過了我的工資等級。對我而言,這是乙個非常有趣的挑戰,我要感謝reddit上的每個人,他幫助我完成了乙個難題。
樹莓派 初嚐樹莓派
樹莓派是一款信用卡大小的微型電腦,可以說是 麻雀雖小,五臟俱全 作為一台功能完整的超小型電腦,也採用馮 諾依曼體系,就是包含了控制器 運算器 儲存器 輸入裝置 輸出裝置。只不過樹莓派把整個硬體系統整合在了一塊電路板上,這被稱為soc system on chip 比如華為手機所採用的麒麟處理器就是s...
樹莓派掛載儲存裝置
1 在linux使用fdisk命令能夠檢視硬體裝置,命令如下 sudo fdisk l 在樹梅派上會顯示 dev mmcblk0p1 type fat32 lba dev mmcblk0p2 type linux 2 掛載u盤的方法 sudo mkdir mnt usb sudo mount dev...
樹莓派zero mysql 樹莓派zero初步除錯
回家之前就從網上購買了一堆裝置,回去也不能閒著,可以利用家裡相對齊全的準備安裝除錯。結果人還沒回來,東西先到了。購買的核心裝備是樹莓派zero w,雖然已經知道它比家族大哥樹莓派小不少,但拿到手裡還是驚奇它的小巧。在效能相對低下的情況下,zero感覺反而應該有更大的應用。其他的配件都是圍繞zero購...