Day27:今天我们来聊一下IoT and OT Hacking

物联网(IoT)的重大发展促进了日常生活中连网设备的激增。

从智能家庭到自动化医疗保健应用,物联网无处不在。然而尽管物联网具有让我们

的生活更轻松、更舒适的潜力,但我们不能低估它对网路攻击的脆弱性。

物联网设备缺乏基本的安全性，这使得它们容易受到各种网络攻击。

Hacker利用物联网设备的目标是未经授权访问用户的设备和数据。

Hacker可以使用受感染的物联网设备来构建殭屍网路大军,进而用於发起

DDoS攻击。由於缺乏安全策略,智能设备很容易成为Hacker的目标,他们可以破坏

这些设备来监视用户的活动、滥用敏感讯息(例如患者的看诊记录等)、安装勒索

软件以阻止对设备的访问,使用CCTV监控受害者的活动,实施信用卡相关的欺诈

,进入用户家中，或在殭屍网路大军中绑架设备来执行 DDoS 攻击。

作为一名penetration tester,我们必须知道Hacker如何使用工具和技术入侵

IoT和OT的知识,来进行Hacker足迹和分析流量的即时体验。

接下来我们开始来讲一下LAB怎麽做

在Parrot Security主机开启Firefox浏览器,输入以下网址

https://www.exploit-db.com/google-hacking-database

在Google Hacking Database页面的Quick Search输入SCADA看到以下结果

另外开启 https://www.google.com 在搜寻输入"login" intitle:"scada login"

即可看到曝露在Internet上的SCADA Login画面

接下来有心人士会使用brute-force工具取得credentials存取SCADA系统

另外我们也可以使用https://www.shodan.io 输入MQTT Port(1883)从Internet取得清单