一、背景知識

自助終端機(jī)是將觸控屏和相關(guān)軟件捆綁在一起再配以外包裝用以查詢用途的一種產(chǎn)品。其應(yīng)用范圍廣泛，涉及到金融、交通、郵政系統(tǒng)、城市建設(shè)、工業(yè)控制等各行業(yè)，在機(jī)場、車站、銀行、酒店、醫(yī)院、展覽館等各處都能看到自助終端機(jī)的影子。

自助終端機(jī)采用的觸摸屏的方式，用戶點(diǎn)觸計(jì)算機(jī)顯示屏上的文字或圖片就能實(shí)現(xiàn)對主機(jī)操作，從而使人機(jī)交互更為直接了當(dāng)。同時(shí)使操作應(yīng)用傻瓜化、快捷化因而這種技術(shù)極大提高了辦事效率。

而這些自助終端機(jī)很多都是基于windows平臺的，通常是采用將程序的窗口最大化，始終置前，隱藏系統(tǒng)桌面的方式，使用戶只能在當(dāng)前應(yīng)用下操作，不能逃逸。

下面看看幾個(gè)自助終端機(jī)的圖片。

1.珠海市公共自行車管理系統(tǒng)（跑的Windows XP系統(tǒng)）。

2.凱歌王朝KTV點(diǎn)歌系統(tǒng)。

3.北京地鐵站刷卡入口處，看著雖小，其實(shí)也是windows系統(tǒng)。

4.電信便民服務(wù)終端為linux等等。

5.某銀行ATM取款機(jī)其實(shí)采用Windows系統(tǒng)（看輸入法）。順便來幾張某ATM機(jī)內(nèi)部

二、常見繞過方法

以上終端機(jī)大都為windows系統(tǒng)，有多種繞過方式，由于具體的情況與應(yīng)用程序有關(guān)，因而不同程序情況不同，沒有統(tǒng)一的方法，技巧方法得自己摸索。個(gè)人感覺沒有什么技術(shù)含量（有的涉及RFID等等之類的暫不討論），只是看你思路是否放的開?？偨Y(jié)收集了幾個(gè)案例，其中眾多的是實(shí)測，其他的案例收集自wooyun等站點(diǎn)（已注明作者）?？偨Y(jié)了以下幾個(gè)方法。

（一）通過特定操作，使程序報(bào)錯。

由于終端機(jī)通常是觸控的，有時(shí)通過構(gòu)造特定的錯誤操作，或頻繁的點(diǎn)擊等方式使程序報(bào)錯，或造成內(nèi)存爆滿，從而彈出錯誤信息，而此時(shí)通過出錯信息能找到入口。當(dāng)然讓程序報(bào)錯的方式各種各樣，要靈活發(fā)現(xiàn)，有的甚至直接進(jìn)入桌面。

如下的幾個(gè)案例

1.中國移動話費(fèi)充值終端機(jī)，輸入錯誤的手機(jī)號，并點(diǎn)擊忘記密碼，程序報(bào)錯，同時(shí)右下角出現(xiàn)語言欄提示，點(diǎn)擊提示即可調(diào)用本地資源管理器，從而進(jìn)入系統(tǒng)。

圖1-1

圖1-2

2.雙流機(jī)場查詢系統(tǒng)終端

頻繁點(diǎn)擊屏幕，通常是多點(diǎn)多次觸控，使程序響應(yīng)不過來，進(jìn)而崩潰，進(jìn)入桌面。

圖2-1

圖2-2

程序報(bào)錯，結(jié)束進(jìn)程，進(jìn)入桌面。

圖2-3

3.中國電信自助服務(wù)終端，輸入錯誤信息，使程序報(bào)錯，右下角彈出語言欄，進(jìn)一步利用從而進(jìn)入本地資源管理器。

如圖3-1

如圖3-2

總之，出錯的原因各種各樣，可以采取多種方式，多次嘗試，很多情況下都會報(bào)錯的，報(bào)錯進(jìn)而就可能找到入口了。

（二）通過右鍵菜單

這樣的案例，通常是因?yàn)闆]有屏蔽右鍵菜單或者一些敏感選項(xiàng)。長按某一位置，幾秒后彈出右鍵菜單選項(xiàng)，通常通過右鍵菜單的一些選項(xiàng)，比如“屬性”、“打印機(jī)設(shè)置”、“另存為”、“打印”、“關(guān)于”之類的選項(xiàng)進(jìn)行利用。另存為則直接彈出windows資源管理器，然后繼續(xù)右鍵，選擇資源管理器，找到osk.exe和taskmgr.exe，結(jié)束相關(guān)進(jìn)程，從而進(jìn)入桌面系統(tǒng)。具體情況靈活多變。

1.白云機(jī)場免費(fèi)上網(wǎng)終端

未屏蔽敏感右鍵菜單，點(diǎn)出右鍵菜單后，有目標(biāo)另存為、屬性等眾多敏感選項(xiàng)，從而調(diào)出資源管理器進(jìn)入桌面。

如圖1-1調(diào)用資源管理器

圖1-2，進(jìn)入后可以訪問外網(wǎng)

2.中國移動自助營業(yè)終端機(jī)

通過右鍵菜單，選擇添加打印機(jī)，一步步找到本地資源管理器，從而進(jìn)一步進(jìn)入系統(tǒng)。

圖2-1

圖2-2

圖2-3

3.自動售藥機(jī)

通過右鍵，找到關(guān)于信息，然后一步步調(diào)出資源管理器，進(jìn)一步進(jìn)入系統(tǒng)。

圖3-1

圖3-2

圖3-3

圖3-4

4.圖書館一終端查詢機(jī)。仔細(xì)尋找發(fā)現(xiàn)一處右鍵可以進(jìn)行“打印預(yù)覽”的選項(xiàng)，從而通過打印預(yù)覽進(jìn)入桌面系統(tǒng)

如圖4-1

4-2調(diào)出瀏覽器

4-3進(jìn)入桌面系統(tǒng)

（三）通過頁面的一些調(diào)用本地程序的按鈕

比如“打印按鈕”、“發(fā)郵件”、“安裝程序按鈕”、“幫助鏈接”等等。通常程序會調(diào)用本地瀏覽器或軟件，從而進(jìn)行利用利用。

1.電信便民終端通過頁面的打印按鈕，調(diào)出資源管理，系統(tǒng)為linux。

如圖1-1

如圖1-2

如圖1-3

如圖1-4

如圖1-5，為linux，不像windows那樣容易進(jìn)入桌面系統(tǒng)。

2.圖書館一查詢設(shè)備

圖2-1調(diào)出“打印預(yù)覽”

圖2-2點(diǎn)擊“幫助信息”調(diào)用本地瀏覽器。從而用多種方法進(jìn)入桌面系統(tǒng)。此處選擇“工具-internet選項(xiàng)-瀏覽歷史記錄-設(shè)置-查看文件”然后打開屏幕鍵盤和任務(wù)管理器。

圖2-3進(jìn)入桌面

3.中關(guān)村地下購物廣場終端

通過發(fā)送郵件按鈕，調(diào)出outlook，進(jìn)而可以調(diào)用本地資源管理器，從而進(jìn)入系統(tǒng)。

如圖3-1

如圖3-2

（四）通過輸入法、屏幕鍵盤、快捷鍵等方法

很多終端有時(shí)因?yàn)殄e誤，或者設(shè)置問題會直接顯示輸入法。通?？梢酝ㄟ^右鍵輸入法等找到資源管理器。有的拼音輸入法直接顯示出來，有的可以直接利用。而輸入法有時(shí)，比如qq輸入法、搜狗輸入法通常都可以調(diào)用本地瀏覽器等等。

1.郵政自助終端機(jī)按快捷鍵CTRL+S調(diào)出資源管理器，進(jìn)行進(jìn)一步利用

2.通過輸入法繞過

圖2-1顯示輸入法

圖2-2點(diǎn)擊幫助，出現(xiàn)提示，找不到文件。然后就調(diào)用打開了資源管理器了

圖2-3進(jìn)入系統(tǒng)

圖2-4

（五）通過XSS

主要是一些移動終端應(yīng)用。此類APP，往往對意見反饋等地方未過濾完全，通過提交跨站代碼，從而盜取管理app的cookie，進(jìn)而拿到app管理后臺，獲得所需信息。

1.京東LeBook安卓客戶端

圖1-1反饋意見處過濾不嚴(yán)

圖1-2盜取cookie并利用。

（六）可以物理接觸終端機(jī)的電源線、網(wǎng)線的情況下

在可以物理接觸終端機(jī)的情況下，可以將電源拔掉，然后終端機(jī)重啟。當(dāng)出來桌面時(shí)候，快速的點(diǎn)擊開始-程序-啟動。將啟動欄目的程序刪掉。然后繼續(xù)重啟，默認(rèn)的重啟后不會調(diào)用原有的程序（當(dāng)然是針對沒有還原系統(tǒng)的終端機(jī)來說，很多都是沒有的），從而進(jìn)入桌面系統(tǒng)；二，可以直接拔掉網(wǎng)線，程序有時(shí)會彈出錯誤提示，從而進(jìn)一步操作進(jìn)入終端機(jī)三、可以在重新插拔電源后進(jìn)行

1.可以接觸物理電源

圖1-1，拔掉電源插頭，重新插上，系統(tǒng)重啟

圖1-2刪掉快捷方式，未成功。

圖1-3強(qiáng)制關(guān)機(jī)，致使相關(guān)文件丟失，再重啟，當(dāng)windows進(jìn)行自檢丟失文件時(shí)，直接按確認(rèn)，取消檢查，從而進(jìn)入系統(tǒng)時(shí)候報(bào)錯，最終進(jìn)入系統(tǒng)。

圖1-4

（六）其他方法

比如有的提示安裝證書，則在安裝選擇路徑的過程中可以找到資源管理器。有的帶有USB接口的，可以插U盤U盾等繞過。有的是flash頁面，通過flash的設(shè)置選項(xiàng)調(diào)用本地資源，進(jìn)而繞過。還有各種其他的方式使終端機(jī)崩潰的。比如旺財(cái)?shù)睦么趴▽?dǎo)致ATM關(guān)機(jī)，地址http://hi.baidu.com/kevin2600/item/35af9d41f159d2ed1e19bcf6

1.郵政安裝證書提示，尋找資源管理器。

圖1-1通過安裝證書提示，進(jìn)一步尋找資源管理器，最終進(jìn)入桌面系統(tǒng)。（貌似已修復(fù)）

（七）利用

進(jìn)入觸屏界面后該如何操作？調(diào)出資源管理器，然后調(diào)出最基本的幾個(gè)程序。進(jìn)入c:\windows\system32\目錄下。一般先打開osk.exe，此為屏幕鍵盤程序；taskmgr.exe任務(wù)管理器，用來結(jié)束相應(yīng)的程序；cmd.exe用來執(zhí)行命令。接下來判斷所處的網(wǎng)絡(luò)環(huán)境，進(jìn)行進(jìn)一步的內(nèi)網(wǎng)滲透了。

三、總結(jié)

本文只討論了終端機(jī)本身如何繞過應(yīng)用程序進(jìn)入桌面系統(tǒng)，并未進(jìn)行具體的內(nèi)網(wǎng)滲透測試。其實(shí)通過終端機(jī)進(jìn)行入侵或許會給你的滲透帶來一絲便利。比如在機(jī)場獲得一臺終端機(jī)的權(quán)限后，進(jìn)入內(nèi)網(wǎng)，如果網(wǎng)絡(luò)控制的不嚴(yán)格，可能會對一些重要系統(tǒng)造成影響。具體的滲透案例此文不講述了，放開思路最重要。不是什么技術(shù)活，歡迎批評指正與補(bǔ)充。