黑客们的夏天——伴读小书童

0x00：引言

Master留的暑期作业是好好利用假期把各自关于IoT Hacking的思路捋一捋，把各种有意思的、很cool的想法在现实生活场景下试一试，用一用，玩一玩。可是，身为家中长子长兄，我暑假的第一要务是：带我弟（那小屁孩儿）游走于各种培训机构和暑期兴趣班，游泳，围棋，跆拳道，轮滑，国画，辅导作业，监督学习……，完了零花钱还不涨啊（指着稿费过日子的淫啊）！！！带那小屁孩儿完全就是操着卖*粉的心，却挣不到卖白菜的钱，完了还不敢罢工。

不过，话说回来，按照master的思路，确实发现这些培训机构（中小微企业）的网络建设很有意思。本想一个培训机构写一篇“作业”，多撸点稿费犒劳一下身心俱疲滴我，但细想小编也不傻啊（对哦），而且写得太多了就low逼了。那就挑一个有意思点的来说道说道，顺道给后期的研究埋个伏笔，哈哈哈

0x01：中小微企业网络的需求

还是学森，没去企业下过地，对这种企业Wi-Fi了解不多，校园网（Wi-Fi）倒是略懂，于是在度娘那儿查了一下，大致内容如下：

——企业内各区域实现无线覆盖，主要覆盖区域为办公楼；

——办公楼内有时存在移动办公的需求，需满足无线终端移动过程中自动切换接入点，网络不断线，即无线漫游；

——企业内无线网络主要供员工内部办公和访客使用，AP需支持设置办公网络和访客网络等多个SSID，且不同的SSID有不同的网络权限，相互隔离；

——企业对无线安全性要求高，尤其是办公网络，须进行身份认证，限制非法终端接入，如采用MAC地址认证；

——AP外形应美观大方，符合企业装修风格，需支持PoE供电，满足消防及布线需求；

——AP支持统一管理、配置，并实时监控各AP工作状态，运维简便。

至于这类中小微企业网络拓扑结构嘛，我参考了master之前写的一些东西：

据说，这两种拓扑在现实生活中比较多见，当然危害性最大的应该是第二种吧，因为第二种往往是为了给自己行方便私在内网中飞的一条线，是安全运维和网管猿觉得最蛋疼的一种情形。

0x02：无聊的伴读书童

其实，有一件事情我一直没弄明白，为什么不能通过第三方软件获得每一家培训机构的Wi-Fi密码呢？按理说，这个事情极为不科学，因为在每个培训班作我身边的都是大爷，大妈，叔叔，阿姨，爷爷、奶奶辈儿的超龄“伴读书童”。当然，每个培训机构的Wi-Fi密码要么都贴墙根儿饮水机旁边了，要么就在前台美眉那里杵着。

我要说道的这个班就是所有机构里头最好玩儿的一个。它有两个Wi-Fi，其中一个呢是可以通过前台美眉要到的，当然也可以通过第三方软件获取。然而，他们还有一个Wi-Fi是家长（伴读书童）们无法获取的，而且巨搞笑的是，他们的员工也不知道这个Wi-Fi的密码，只有机构的管理层才知道。一听到这个我就来劲儿了，毕竟“得不到的永远在骚动”。

对于这种Wi-Fi，抓包几乎是我们team所有member的标准操作流程。有两个原因，一是：这种知悉范围极小的Wi-Fi几乎没法通过社工欺骗的方法获取到（F*cking Fluxion Again），老板们咋可能成天杵那儿呢；二是，明摆着有一台查询终端在这儿摆着，deauth成功的概率极大。因此，你们一定以为我会抓包，是吧，对吧，猜中了吧？

哈哈哈，我偏不这么干！这台查询终端是一台安装Windows 10的一体机，通过这个领导专用Wi-Fi接入内网，同时为书童们提供查看和下载学员（一帮小屁孩儿）的学习视屏。那么，只需要度娘一下，你就可以轻松从Windows 10中查看到明文Wi-Fi密码。其实，往高了说，这就是IoT和传统Web hacking的区别，不能太拘泥于技术，因为很多东西不需要高深的技术，只需要度娘一下就OK啦。这一点也是master一直跟我们强调的，打破传统Web Hacking的思维束缚，真正站在IoT Hacking的角度去思考问题，虽然最终答案往往是一样的，但整个过程更加有趣，就跟你用不同方法解决一到奥数题一样，算是一种“附加分”式的愉悦。

用ndis脚本在手机上跑一下，整个内网的情况基本就了解了：

他们的整个Wi-Fi网络是基于TP-Link的设备搭建的，核心设备是一台TP-Link的带VPN功能的无线企业路由器（用的是TP-Link默认口令），并且内部安装的AP也是TP-Link的，如下图。看了一眼前台那边，彻底没了搜索前台AP以及IP地址的动力。。。

再者，他们内网中有很多的Hikvision摄像头，可能是担心教学过程中出现事故吧。这些摄像头虽然是动态获取IP，但是都是采用POE供电，因此从安全性角度来说略微好一点点。我仔细翻看了这台设备的安全配置选项，跟我预期的差不多，安全配置采用的应该是默认配置，没有进行mac绑定，行为管控也是套用模板。

0x03：书童解牛

因为还没下过地、出过力，只能比照着前面度娘找到的企业内网建设标准来分析一下这个看似独立其实很有代表性的案例。

——企业内各区域实现无线覆盖，主要覆盖区域为办公楼。但就这一点来说，这个培训机构做得还不错，一整套的TP-Link解决方案，Wi-Fi全覆盖。

——办公楼内有时存在移动办公的需求，需满足无线终端移动过程中自动切换接入点，网络不断线，即无线漫游。这个也做到了，因为我能查看到自己的手机从一个AP区域漫游到另一个AP区域，比如茅房。

——企业内无线网络主要供员工内部办公和访客使用，AP需支持设置办公网络和访客网络等多个SSID，且不同的SSID有不同的网络权限，相互隔离。这一点其实更多的偏重无线网络安全，但就前面半截儿来说，他们做得还不错，老板有老板的SSID，其他人有其他人（员工和书童）的SSID，但是这俩网络之间并没有隔离啊，混一块儿的。

——企业对无线安全性要求高，尤其是办公网络，须进行身份认证，限制非法终端接入，如采用MAC地址认证。对于一个教小屁孩儿的培训机构而言，这一条着实有点过了，完全没必要。设想通过采购专门的短信网关或者网关服务器，把内部网络搞成一个通过手机验证码才能上网的模样，成本太高了（设备+运营商没有的租子），除了各种银行，机场，星巴克之外，谁会有动力花钱整这么个没用的东西。不过，目前国内也有一些小公司在提供Wi-Fi接入解决方案，也就是在routerOS基础上加上微信扫码或者验证码进行用户有效性验证，而且能够更好的保留用户接入无线网络的痕迹，毕竟一些手机已经采用随机MAC地址来连接Wi-Fi了。这样的设备之前貌似在哪一家奶茶店碰到过。

——AP外形应美观大方，符合企业装修风格，需支持PoE供电，满足消防及布线需求。我只要能上网就成，信号稳定，带宽足够，至于那什么美观大方跟我没了半毛钱关系。

——AP支持统一管理、配置，并实时监控各AP工作状态，运维简便。对于这家培训机构而言，用这么一整台的TP-Link完全满足这一点。

其实，总得来说，从以上这些标准来看，这机构在Wi-Fi网络建设上总的来说还是不错，错就错在没有安全运维人员，不过话又说回来，哪个小微企业吃饱了撑得慌，会花钱养这么个闲人啊。

0x04：完了

从这个案例来看，国内中小微企业的无线网络建设几乎都存在各种各样的安全问题或者隐患。基本上建设思路都是满足可用性和易用性，布线的公司安装好就走人，后期维护等于零，没谁会闲得蛋疼考虑安全性！

如果把问题再扯到IoT设备安全性的话，那更就是一片血雨腥风啦！从我们了解到的情况看，绝大多数的企业都会花点小钱买个一体查询机来装点门面，其实这玩意儿除了没啥用之外，最大的优点就是一堆的安全隐患，甚至像地铁，机场，高速服务区等等，就跟癌细胞一样无处不在。从网上找到这么一数据，这类设备中70%用的是Windows操作系统，而且很多用的是已经停更的Win 7，加之RJ-45，Wi-Fi，蓝牙等通信模块的加持，这玩意儿完全就是企业网络的阿喀琉斯之踵，跟这个机构那台拷贝视频的一体机没啥区别，都是祸害！

最后，IoT真的很好玩儿！

0x05：参考

1. 周星驰.《唐伯虎点秋香》
2. Eason. 《红玫瑰》