某摄像头存在通用未授权命令执行漏洞

将摄像头与互联网进行连接初始化之后，使用nmap扫描摄像头的开放端口：

可以看到摄像头开放了五个端口，这里关注到80端口，在浏览器中输入http://192.168.2.116:80

发现会302重定向到http://192.168.2.116/home.htm，最终跳转到http://192.168.2.116/xxx/xxx/XXTest.asp：

而这个网站什么都没有。因为有官方的手机App，所以在不逆向的前提下可以通过抓包分析手机与云服务的通信状态，其中有一个关于固件升级的包：

1. //---------------------------------------------------------------固件升级
2. POST /xx/xx/query_device_upgrade_task HTTP/1.1
3. Host: www.xxx.com
4. Content-Type: application/json; charset=utf-8
5. Content-Length: 278
6. Accept-Encoding: gzip, deflate
7. User-Agent: okhttp/3.12.8
8. Connection: close
10. {
11. "header": {
12. "device_list": [
13. "xxx"
14. ],
15. "seqno": "xxx",
16. "user_id": "xxx",
17. "package_name": "xxx",
18. "language": "zh_CN",
19. "client_version": "x.x.x.x",
20. "token": "xxx",
21. "phone_model": "xxx"
22. }
23. }
25. //---------------------------------------------------------------响应包
26. HTTP/1.1 200 OK
27. Date: Mon, 04 Jul 2022 00:57:26 GMT
28. Content-Type: text/plain; charset=utf-8
29. Content-Length: 463
30. Connection: close
31. Set-Cookie: xxx=xxx; path=/
32. Set-Cookie: xxx=xxx; path=/
33. Server: elb
35. {
36. "error_code": "0",
37. "error_msg": "success",
38. "body_info": {
39. "upgrade_task": [
40. {
41. "device_id": "xxx",
42. "is_force": "N",
43. "main_version": {
44. "device_version": "xx.xx.xx.xx",
45. "version_type": 0,
46. "url": "http://xxx.img",
47. "md5sum": "xxx",
48. "remark": "1.优化固件功能，提高用户体验。",
49. "is_support_sdcard_prealloc": 1,
50. "last_app_version": ""
51. },
52. "sub_versions": [],
53. "switchto_sdcard_prealloc": "Y"
54. }
55. ]
56. }
57. }

即，当摄像头存在固件升级时可以获取固件的URL，将固件下载后因为发现固件过小，所以可以知道是”增量包”而不是”全量包”，在ubuntu中尝试使用firmware_mod_kit的./extract-firmware.sh进行解压：

摄像头使用的架构为MIPS 32位小端序：

来到固件目录，使用grep命令尝试搜索关键字：

goahead中的http://"+location.hostname+"/xxxx/xxx/upload_firmware.asp引人注目，在浏览器中访问：

发现未授权固件上传漏洞。查看增量包中的两个shell脚本，修改其中的startapp：

发现内置的telnetd接口，取消其注释，使用firmware_mod_kit的build-firmware.sh重新打包：

为了避免一些不必要的问题，我们将打包后的固件重命名为原升级包的名称：

使用upload_firmware.asp上传：

再次使用nmap扫描端口：

开放了telnet的23端口，尝试连接：

嘶，需要密码，回到配置文件，修改为telnetd -l /bin/sh &

保存修改后重新打包上传：

重新尝试telnet登录：

拿到root shell，可以使用的命令如下：

命令还不少，有base64、wget等。web目录在：

这能访问的asp页面不少啊，其中就包括前面使用的upload_firmware.asp。关于telnetd：

telnetd -l /bin/sh &：telnetd -l /bin/sh表示直接启动shell，&表示telnet后台运行。并且因为摄像头有云服务，所以它也是通外网的：

因为这个摄像头有base64命令，所以可以通过它来上传或下载文件，比如现在我要下载goahead，对文件进行base64编码：

将编码保存到txt中，然后base64 --decode即可：

总结：

1. 通过流量分析软件/固件的行为，或许是一个很便捷的方法。
2. 厂商不注重对某些网页的鉴权，甚至可以导致任意刷写修改过后的固件。
3. 通过取消注释启动脚本中的telnet服务，即可建立主机与摄像头的telnet链接。
4. 对文件进行base编码即可达到下载传输文件的目的。

原文始发于IoTsec-Zone：某摄像头存在通用未授权命令执行漏洞