某摄像头存在通用未授权命令执行漏洞

IoT 2个月前 admin
143 0 0

将摄像头与互联网进行连接初始化之后,使用nmap扫描摄像头的开放端口:

某摄像头存在通用未授权命令执行漏洞

可以看到摄像头开放了五个端口,这里关注到80端口,在浏览器中输入http://192.168.2.116:80

某摄像头存在通用未授权命令执行漏洞

发现会302重定向到http://192.168.2.116/home.htm,最终跳转到http://192.168.2.116/xxx/xxx/XXTest.asp

某摄像头存在通用未授权命令执行漏洞

而这个网站什么都没有。因为有官方的手机App,所以在不逆向的前提下可以通过抓包分析手机与云服务的通信状态,其中有一个关于固件升级的包:

  1. //---------------------------------------------------------------固件升级
  2. POST /xx/xx/query_device_upgrade_task HTTP/1.1
  3. Host: www.xxx.com
  4. Content-Type: application/json; charset=utf-8
  5. Content-Length: 278
  6. Accept-Encoding: gzip, deflate
  7. User-Agent: okhttp/3.12.8
  8. Connection: close
  9. {
  10. "header": {
  11. "device_list": [
  12. "xxx"
  13. ],
  14. "seqno": "xxx",
  15. "user_id": "xxx",
  16. "package_name": "xxx",
  17. "language": "zh_CN",
  18. "client_version": "x.x.x.x",
  19. "token": "xxx",
  20. "phone_model": "xxx"
  21. }
  22. }
  23. //---------------------------------------------------------------响应包
  24. HTTP/1.1 200 OK
  25. Date: Mon, 04 Jul 2022 00:57:26 GMT
  26. Content-Type: text/plain; charset=utf-8
  27. Content-Length: 463
  28. Connection: close
  29. Set-Cookie: xxx=xxx; path=/
  30. Set-Cookie: xxx=xxx; path=/
  31. Server: elb
  32. {
  33. "error_code": "0",
  34. "error_msg": "success",
  35. "body_info": {
  36. "upgrade_task": [
  37. {
  38. "device_id": "xxx",
  39. "is_force": "N",
  40. "main_version": {
  41. "device_version": "xx.xx.xx.xx",
  42. "version_type": 0,
  43. "url": "http://xxx.img",
  44. "md5sum": "xxx",
  45. "remark": "1.优化固件功能,提高用户体验。",
  46. "is_support_sdcard_prealloc": 1,
  47. "last_app_version": ""
  48. },
  49. "sub_versions": [],
  50. "switchto_sdcard_prealloc": "Y"
  51. }
  52. ]
  53. }
  54. }

即,当摄像头存在固件升级时可以获取固件的URL,将固件下载后因为发现固件过小,所以可以知道是”增量包”而不是”全量包”,在ubuntu中尝试使用firmware_mod_kit./extract-firmware.sh进行解压:

某摄像头存在通用未授权命令执行漏洞

摄像头使用的架构为MIPS 32位小端序:

某摄像头存在通用未授权命令执行漏洞

来到固件目录,使用grep命令尝试搜索关键字:

某摄像头存在通用未授权命令执行漏洞

goahead中的http://"+location.hostname+"/xxxx/xxx/upload_firmware.asp引人注目,在浏览器中访问:

某摄像头存在通用未授权命令执行漏洞

发现未授权固件上传漏洞。查看增量包中的两个shell脚本,修改其中的startapp:

某摄像头存在通用未授权命令执行漏洞

发现内置的telnetd接口,取消其注释,使用firmware_mod_kitbuild-firmware.sh重新打包:

某摄像头存在通用未授权命令执行漏洞

为了避免一些不必要的问题,我们将打包后的固件重命名为原升级包的名称:

某摄像头存在通用未授权命令执行漏洞

使用upload_firmware.asp上传:

某摄像头存在通用未授权命令执行漏洞

再次使用nmap扫描端口:

某摄像头存在通用未授权命令执行漏洞

开放了telnet的23端口,尝试连接:

某摄像头存在通用未授权命令执行漏洞

嘶,需要密码,回到配置文件,修改为telnetd -l /bin/sh &

某摄像头存在通用未授权命令执行漏洞

保存修改后重新打包上传:

某摄像头存在通用未授权命令执行漏洞

重新尝试telnet登录:

某摄像头存在通用未授权命令执行漏洞

拿到root shell,可以使用的命令如下:

某摄像头存在通用未授权命令执行漏洞

命令还不少,有base64、wget等。web目录在:

某摄像头存在通用未授权命令执行漏洞

这能访问的asp页面不少啊,其中就包括前面使用的upload_firmware.asp。关于telnetd:

某摄像头存在通用未授权命令执行漏洞

telnetd -l /bin/sh &telnetd -l /bin/sh表示直接启动shell,&表示telnet后台运行。并且因为摄像头有云服务,所以它也是通外网的:

某摄像头存在通用未授权命令执行漏洞

因为这个摄像头有base64命令,所以可以通过它来上传或下载文件,比如现在我要下载goahead,对文件进行base64编码:

某摄像头存在通用未授权命令执行漏洞

将编码保存到txt中,然后base64 --decode即可:

某摄像头存在通用未授权命令执行漏洞

总结:

  1. 通过流量分析软件/固件的行为,或许是一个很便捷的方法。
  2. 厂商不注重对某些网页的鉴权,甚至可以导致任意刷写修改过后的固件。
  3. 通过取消注释启动脚本中的telnet服务,即可建立主机与摄像头的telnet链接。
  4. 对文件进行base编码即可达到下载传输文件的目的。

原文始发于IoTsec-Zone:某摄像头存在通用未授权命令执行漏洞

版权声明:admin 发表于 2022年7月29日 上午9:30。
转载请注明:某摄像头存在通用未授权命令执行漏洞 | CTF导航

相关文章

暂无评论

暂无评论...