ATM機滲透測試的攻防實踐(5)

安全解決方案

ATM機中的安全測試解決方案也是相同的，它最終的目標是獲取操作系統的權限，或者調試應用相關文件來查看應用行為。攻擊者可以創建一個惡意軟件，使用XFS組件向系統硬件發出命令。

部分測試用例如下：

檢查USB功能是否啟用，使用Konboot去USB啟動

插入USB設備，通過它去引導系統

因為大多數安全解決方案會在引導時接管系統，我們需要在系統引導的時候按住“Shift”鍵不放開。這會打破ATM系統的原本的節奏，最終停在windows登陸界面。

如果你知道有效的用戶名，輸入并按下“Enter”鍵，就能無密碼訪問系統。

但是如果你不知道用戶名，你可以試試默認的“Administrator”用戶，因為大多數ATM并沒有禁用它。

還有種方法，你可以使用Hiren引導USB啟動，這可以不需要windows登陸直接訪問文件系統。

運行代碼授權的測試：

檢查是否啟用USB功能，試著直接從USB設備運行未授權的代碼，或者使用USB的自動運行功能

原文轉自：http://www.freebuf.com/articles/terminal/119338.html

• 共7頁:
• 上一頁
• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 下一頁