某摄像头存在通用未授权命令执行漏洞

admin
admin
admin
101960
文章
87
评论
2023年1月17日21:47:44评论81 views字数 2225阅读7分25秒阅读模式

转载 来源"IOTsec-Zone"


作者:0431实验室


将摄像头与互联网进行连接初始化之后,使用nmap扫描摄像头的开放端口:


某摄像头存在通用未授权命令执行漏洞


可以看到摄像头开放了五个端口,这里关注到80端口,在浏览器中输入http://192.168.2.116:80


某摄像头存在通用未授权命令执行漏洞


发现会302重定向到http://192.168.2.116/home.htm,最终跳转到http://192.168.2.116/xxx/xxx/XXTest.asp:


某摄像头存在通用未授权命令执行漏洞


而这个网站什么都没有。因为有官方的手机App,所以在不逆向的前提下可以通过抓包分析手机与云服务的通信状态,其中有一个关于固件升级的包:


//---------------------------------------------------------------固件升级POST /xx/xx/query_device_upgrade_task HTTP/1.1Host: www.xxx.comContent-Type: application/json; charset=utf-8Content-Length: 278Accept-Encoding: gzip, deflateUser-Agent: okhttp/3.12.8Connection: close{    "header": {        "device_list": [            "xxx"        ],        "seqno": "xxx",        "user_id": "xxx",        "package_name": "xxx",        "language": "zh_CN",        "client_version": "x.x.x.x",        "token": "xxx",        "phone_model": "xxx"    }}//---------------------------------------------------------------响应包HTTP/1.1 200 OKDate: Mon, 04 Jul 2022 00:57:26 GMTContent-Type: text/plain; charset=utf-8Content-Length: 463Connection: closeSet-Cookie: xxx=xxx; path=/Set-Cookie: xxx=xxx; path=/Server: elb{    "error_code": "0",    "error_msg": "success",    "body_info": {        "upgrade_task": [            {                "device_id": "xxx",                "is_force": "N",                "main_version": {                    "device_version": "xx.xx.xx.xx",                    "version_type": 0,                    "url": "http://xxx.img",                    "md5sum": "xxx",                    "remark": "1.优化固件功能,提高用户体验。",                    "is_support_sdcard_prealloc": 1,                    "last_app_version": ""                },                "sub_versions": [],                "switchto_sdcard_prealloc": "Y"            }        ]    }}


即,当摄像头存在固件升级时可以获取固件的URL,将固件下载后因为发现固件过小,所以可以知道是”增量包”而不是”全量包”,在ubuntu中尝试使用firmware_mod_kit./extract-firmware.sh进行解压:


某摄像头存在通用未授权命令执行漏洞


摄像头使用的架构为MIPS 32位小端序:


某摄像头存在通用未授权命令执行漏洞


来到固件目录,使用grep命令尝试搜索关键字:


某摄像头存在通用未授权命令执行漏洞


goahead中的http://"+location.hostname+"/xxxx/xxx/upload_firmware.asp引人注目,在浏览器中访问:


某摄像头存在通用未授权命令执行漏洞


发现未授权固件上传漏洞。查看增量包中的两个shell脚本,修改其中的startapp:


某摄像头存在通用未授权命令执行漏洞


发现内置的telnetd接口,取消其注释,使用firmware_mod_kit的build-firmware.sh重新打包:


某摄像头存在通用未授权命令执行漏洞


为了避免一些不必要的问题,我们将打包后的固件重命名为原升级包的名称:


某摄像头存在通用未授权命令执行漏洞


使用upload_firmware.asp上传:


某摄像头存在通用未授权命令执行漏洞


再次使用nmap扫描端口:


某摄像头存在通用未授权命令执行漏洞


开放了telnet的23端口,尝试连接:


某摄像头存在通用未授权命令执行漏洞


嘶,需要密码,回到配置文件,修改为telnetd -l /bin/sh &


某摄像头存在通用未授权命令执行漏洞


保存修改后重新打包上传:


某摄像头存在通用未授权命令执行漏洞


重新尝试telnet登录:


某摄像头存在通用未授权命令执行漏洞


拿到root shell,可以使用的命令如下:


某摄像头存在通用未授权命令执行漏洞


命令还不少,有base64、wget等。web目录在:


某摄像头存在通用未授权命令执行漏洞


这能访问的asp页面不少啊,其中就包括前面使用的upload_firmware.asp。关于telnetd:


某摄像头存在通用未授权命令执行漏洞


telnetd -l /bin/sh &telnetd -l /bin/sh表示直接启动shell,&表示telnet后台运行。并且因为摄像头有云服务,所以它也是通外网的:


某摄像头存在通用未授权命令执行漏洞


因为这个摄像头有base64命令,所以可以通过它来上传或下载文件,比如现在我要下载goahead,对文件进行base64编码:


某摄像头存在通用未授权命令执行漏洞


将编码保存到txt中,然后base64 --decode即可:


某摄像头存在通用未授权命令执行漏洞


总结:


1.通过流量分析软件/固件的行为,或许是一个很便捷的方法。

2.厂商不注重对某些网页的鉴权,甚至可以导致任意刷写修改过后的固件。

3.通过取消注释启动脚本中的telnet服务,即可建立主机与摄像头的telnet链接。

4.对文件进行base编码即可达到下载传输文件的目的。



END




某摄像头存在通用未授权命令执行漏洞

扫描二维码关注我们


某摄像头存在通用未授权命令执行漏洞

原文始发于微信公众号(暗影安全):某摄像头存在通用未授权命令执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月17日21:47:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某摄像头存在通用未授权命令执行漏洞https://cn-sec.com/archives/1415469.html

发表评论

匿名网友 填写信息