概述
不经意的细节可能是下一步研究的方向
针对上文的key泄露工具开发过程中,发现官方的示例代码调用了fastjson的库。随即对平台进行测试挖掘与挖掘,不止做SDL要做SCA,在实战中通过收集到的信息推测和进行大胆的灰盒测试。
这里要安利下默安的SCA和IAST:
https://www.moresec.cn/product/sdl-sca
https://www.moresec.cn/product/sdl-iast
确实好的SDL体系确实能消除产品不应该出现的漏洞....正如我没有想到这么多头部的视频安防厂商使用开源组件确没有及时的进行更新。
本篇主要是研究多个一线安防厂商某平台集成类产品存在fastjson漏洞及后续利用。
本次细节已经披露给了大华和海康等厂商,为了遵守工信部发布《网络安全漏洞管理规定(征求意见稿)》,没有补丁的细节(0day)不公开分析,主要给到获取权限的后续利用方法,后续等待厂商修复后再遵守各监管单位的规定补充分享。
危害等级
严重
分布情况
fofa
目前FOFA系统最新数据(一年内数据)显示中国范围内共有5000个海康视频安防服务对外开放。
大华某智慧城市平台发现存在6000多条记录
原理分析
海康威视
在利用海康威视的api时发现,解析json使用的是fastjson组件,因此对海康威视旗下的综合安防平台、智能应用平台、智慧消防平台进行fastjson漏洞检测,发现存在fastjson反序列化漏洞。
看到一个漏洞,不要着急得获取一个成果就结束,寻找同质化的产品进行分析或许有惊喜。
比如,你挖了一个D_Link-DSL-2600U 的RCE,你就要想到D_Link-DSL-2500U这一系列的是否也存在此问题?D_Link-DSL系列的是否存在此问题?所有的D_Link是否存在此问题?所有的OEM D_Link的设备或者tp-link这种同质化厂商是否有问题?所有的mips平台下使用此类的固件是否有问题?
只有不断的去打破这个边界才能扩大你的战果。
大华
猜测大华的某些设备也使用了fastjson组件,于是进行测试,发现也存在漏洞。
另外构造fofa语法可以发现更多的设备存在此问题,在其他厂商未修复完全我们就不公开了。
利用与检测方式
这里fastjson可以直接RCE,这里主要是研究shell之后如何控制整个摄像头集群,即获取云平台的aksk。
参考根据安装手册和官方文档。
思路一
访问运行管理中心->api网关,如果能直接登录便可以方便获取,自行探索。
默认地址http://127.0.0.1:8001/center默认账号密码sysadmin/Abc123++
思路二
查看备份数据中的postgres,备份文件路径
hikvisionwebopsMgrCenterbackuppostgresql96win64_1.1.0_rdbms_B537872D-F228-453F-9776-30F104F162D9_1.sql
全局搜索refresh_token即可。
思路三
web/components/postgresql|96win64.1/data/pg_hba.conf中的md5位trust,重启servicepsql -p 7017 -U postgres
api存在的数据库用户为artemis_artemisdb_user
SELECT * FROM "public"."client_details_info" LIMIT 1000 OFFSET 0
本篇是当然不止发现了其fastjson的问题,更多的问题没法再展开细聊,待厂商修复后可以再聊聊此类产品的另一个方便远程协助客户管理的功能。是懒惰,是功能,切换视角也是问题。
本文始发于微信公众号(玄甲安全实验室):实战中的那些视频安全(三)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论