網上有很多關于萬達pos機安全,當你連上WIFI以后會產生哪些風險的知識,也有很多人為大家解答關于萬達pos機安全的問題,今天pos機之家(www.sengkou.cn)為大家整理了關于這方面的知識,讓我們一起來看下吧!
本文目錄一覽:
1、萬達pos機安全
萬達pos機安全
背景
在這個遍地都是免費WIFI的時代,不管你走到哪里,總有免費的無線網絡給你用,很多人會說,現在假冒的釣魚WIFI到處都是,不敢隨便用了。這是一種進步,說明wifi安全這一話題已經開始漸漸被普通用戶所提及,是個好的現象。
但是,當你站在另外一個角度去看待這個問題的時候你會發現,一個更可怕的問題來了。作為提供免費wifi的商家,你們可曾考慮過自己面臨的安全問題嗎?
舉例
在14年的時候,公司的主要產品是一款營銷路由器,當時免費wifi才剛剛起步,為了快速把設備賣出去,公司的銷售員開始線下大面積的推廣,甚至到了直接免費送的地步。當然,這是一種營銷手段,先占領市場剩下的都好說。
可是接下來的事情就很麻煩了,設備是賣出去了,安全問題怎么辦?
有同學可能會有疑惑,這哪有什么安全問題,路由器登錄密碼設置復雜一點不就好了?對,這是一種方案,但是我這里想說得是商家自身的安全。
根據我們自己的數據統計,大約90%以上的商家都不清楚免費wifi的部署方法,他們直接把路由器接到了自家的網關上,這會導致什么問題呢?
很顯然,沒有進行網段的劃分,客戶端沒有隔離,局域網可arp,一些POS收銀系統又是特別老舊的程序,各種未授權訪問,內網數據服務器暴露,各種安全問題隨之而來,營業數據泄露,被篡改,被惡意破壞等等等等。這不是危言聳聽,這是目前在使用免費wifi的商家中普遍存在的問題。
經驗
為了驗證自己的想法,我曾多次嘗試入侵了多家商鋪的內網,獲取服務器權限以及內部敏感信息。
首先,為了尋找更多的商家,我選擇了一些大型商場,比如:萬達廣場。接著我們需要去找一些數據兩相對較大的商家,餐飲業是個不錯的選擇,選擇好目標之后我們就準備下一步。選擇午餐或者晚餐的時間去吃飯,隨便擼一擼內網,也比較難被發現,而且那個時候商家都忙得要死。
商家的wifi一般分為好幾種,一種是直接無密碼,但是需要手機號碼注冊的,這種wifi一般不是目標,屬于訪客wifi,沒啥好弄的。第二種就是點餐用的手持設備用的無線網,這個很有意思,一般直接與點餐機連接,很多時候也跟內網的數據服務器是通的。第三種是商家自己工作人員用的內部wifi,這個網絡有時候也是跟內部服務器連接在一起的。收銀POS機一般都是有線的,有些POS機對外網是有開放端口的,方便遠程管理,這種機器多見于連鎖店。
好了,接下來咱們就開始想辦法搞定wifi,假設商家有無密碼的wifi了,這個時候咋辦呢?這個好辦,可以使用安卓上面的一些黑客工具,比如arp的,或者kill connection這些東西,很容易導致網絡變得很卡,甚至無法上網。這個時候就可以叫服務員了,強烈要求服務員解決wifi問題,這個臉皮得厚。根據經驗,尤其是在客人特別多的時候,服務員又特別繁忙,他們也怕麻煩,一般會告訴你他們自己用的內部wifi密碼。當然,在問之前還是先想辦法猜一猜密碼是多少。根據經驗,商家內部wifi一般都使用了固話或者手機號碼作為wifi密碼,如果各種方法都失敗的情況下才去問服務員。
連接上wifi之后不要急著arp去拿各種密碼,arp畢竟動靜大,要是把內網搞的很卡或者斷網,那就比較尷尬了,首先我會使用fing(安卓和ios上都可以安裝的app)把內網掃描一遍,看看有哪些機器,這樣就能初步判斷一下內網是不是目標網路。
如果內網有服務器或者收銀機存在,就要小心的進行探測,收銀機器很多都是直接一臺瘦客戶機,程序也很老,為了安全期間,還是不要動靜太大為好。
如果能登錄到目標網絡的網關,相必一定是極好的,不要覺得登錄網關有多難,畢竟人的一些弱點,認為內部wifi并不會被破壞,網關很容易就使用了弱口令或者默認口令。
如果目標網絡確實很有價值,但是經過一番嘗試之后似乎各種系統都堅不可摧,怎么辦?這個時候咱們就可以嘗試使用arp了,先使用安靜模式,避免arp風暴導致網絡掉線,bettercap這個工具很贊,但是似乎并沒有移動端app,不過替代品也很多,這里就不舉例了,搜索引擎很容易找到。
arp拿密碼相對來說挺容易,尤其是這種內部網絡加上老舊的程序,成功率還是蠻高的。
好了,說了上面那些咱們也說下有意思的東西,可能會帶有一些惡搞的意思,玩玩點餐機。手持設備大家應該都見過,大多數手持點餐機都是wifi連接的,當然也有藍牙連接。wifi連接的一般都比較容易搞定,arp嗅探拿到請求的數據包就行了,至于是模擬發包還是干啥就看個人的心情了。
如果你準備的足夠充分,你還可以虛擬個釣魚wifi出來,拿一些工作人員的個人信息也是挺有意思的。
上述內容引用一只猿的博客
為了讓人家直觀的看到過程,我特意寫了一篇文章。《使用WiFi-Pumpkin創建釣魚wifi抓密碼》
專門買了一個無線網卡給kali使用 ,筆記本自帶的肯定是不行的。。。。
外置無線網卡連接kali
確認已連接
安裝 WiFi-Pumpkin
git clone https://github.com/P0cL4bs/WiFi-Pumpkin.git
下載慢的話就直接到 https://github.com/P0cL4bs/WiFi-Pumpkin 下載zip打包的文件到本地 再丟到kali里面解壓
安裝
cd WiFi-Pumpkin
./installer.sh --install
我安裝的時候發現下載速度太慢了,導致dhcp組件安裝失敗
只能手動安裝 百度搜索 debian dhcp
#apt-get install isc-dhcp-server [安裝 the ISC DHCP Server軟件]
# dpkg --get-selections isc-dhcp-server [確認軟件已經成功安裝]
# dpkg -s isc-dhcp-server [用另一種方式確認成功安裝]
ok
啟動wifi-pumpkin 圖形(Gui)界面
python wifi-pumpkin.py
啟動的時候可能會等一會!
然后設置一些參數,點擊 Start Access Point
然后等待設備連接,連接成功會自動分配A類地址,手機端搜索可以看到有一個開放的wifi
連接成功以后
終端出現在設備列表
如果成功的話是這樣的,可以看到各種http日志,post的數據等。
還有日志的記錄保存
所以個人建議不要輕易連接陌生的WIFI,大多數情況很難遇到黑客專門搭建的釣魚wifi,但因為可以使用萬能鑰匙蹭網,所以難免遇到惡意攻擊者攻擊嗅探劫持內網的流量!
更多原創安全技術教程請關注頭條號“男丁哥兒”
以上就是關于萬達pos機安全,當你連上WIFI以后會產生哪些風險的知識,后面我們會繼續為大家整理關于萬達pos機安全的知識,希望能夠幫助到大家!
