Перехват пароля для IP камеры

[aleks_g]

Доброго Дня, уважаемые форумчане.
Задача весьма обычная и при этом востребованная. На объекте утратили пароли от видеокамер. Сервер уже настроен и соответсвенно пароли в системы есть. Только сервер - этот регистратор. В данном случае марки trassir но для темы это не важно. Именно поэтому с сервера снифить не получится.
Созрела мысль подключиться двумя интерфейсами между камерой и регистратором с целью перехватить трафик. Вот только сразу же вхожу в ступор от того как это сделать. Это ведь надо как то прямо на канальном уровне завернуть трафик. Что бы было как то прозрачно для оборудования и при этом перехватить трафик. Опять же сталкиваюсь с проблемой того что уже будет натянут TLS на него. Тут может что то найдется в hashcat для подбора. Это вот первая мысль.
Другая мысль - имитировать видеокамеру. Поставить в ноуте себе ip адрес камеры и получить пароль который передает сервер.
Во-общем как видите только общие прикидки. В связи с чем прошу помощи в разработке этой задачи. Так сказать направить в нужное русло. Я думаю это мог бы получится неплохой гайд. Задача эта вполне нужная и полезная.
Сам думал изобразить что-нибудь с использованием загрузочной Kali Linux. Это было бы весьма универсально.

 

[Psyhopatiya]

Ну смотри.
Первым делом тебе нужно понять, какой тип протокола у тебя HTTPS/TLS ( защищенный ) или HTTP ( не защищенный ).
Если твой трафик защищенный то нужно будет расшифровку с ключом сессий делать, если защиты нет, то можно сделать напрямую через Wireshark
запускаешь Wireshark с фильтром для IP-камеры

Если шифрование tls активировано , то

Импорт ключей в Wireshark:
Preferences → Protocols → TLS → (Pre)-Master-Secret log filename

если у тебя базовая аутентизацией , то запусти фильтрацию HTTP запросов

если не можешь перехватить , клонируй мак адрес целевой камеры

RTSP-сервер фейковый настроить надо

Край брутфорс атака

 

[aleks_g]

какой тип протокола у тебя HTTPS/TLS ( защищенный ) или HTTP ( не защищенный )

Честно говоря думал HTTPS но сейчас начал сомневаться. Завтра поковыряюсь в настройках может там указано

запускаешь Wireshark с фильтром для IP-камеры

Не много не понял. Где его запуска. Здесь я возможно не понимаю чего то. Но если я допустим просто подключу ноут в комутатор, то насколько я понимаю работу коммутатора (он сопоставляет порты с мак адрессом устройства) наврятли я выловлю то что идет на камеру. Или речь идет о том что бы ноутбук сделать видеокамерой.

клонируй мак адрес целевой камеры

Кажется на этом моменте понял. Два мак адресса в одном коммутаторе. И что реально он будет слать и туда и сюда? Для меня это просто открытием будет. Никогда не задумывался.

RTSP-сервер фейковый настроить надо

А вот это круто. И на этом моменте у меня появляется другая идея. Можно ли создать фейковый HTTPS или HTTP сервер в зависимости от того какой протокол на камере.
Суть в том что камеры соединяются с сервером свои протоколом автонастройки. Он ONVIF подобный. В даном случае протокол от Hikvision. Но происходит там примерно одно и тоже. Вначале по протоколу HTTPS (или HTTP это я попробую выяснить) происходит авторизация с камерой. Вот тут мне не совсем понятно каким образом, скорее всего просто сразу посылается GET или POST запрос. А потом уже камера высылает настройки для потокового видео. Это протоколы RTSP типа. И если поднять HTTP(S) сервер то думаю можно словить все необходимое нам в первом запросе. Вот только если это не один запрос а типо несколько рукопожатий, тогда не прокатит.

 

[Psyhopatiya]

А вот это круто. И на этом моменте у меня появляется другая идея. Можно ли создать фейковый HTTPS или HTTP сервер в зависимости от того какой протокол на камере.
Суть в том что камеры соединяются с сервером свои протоколом автонастройки. Он ONVIF подобный. В даном случае протокол от Hikvision. Но происходит там примерно одно и тоже. Вначале по протоколу HTTPS (или HTTP это я попробую выяснить) происходит авторизация с камерой. Вот тут мне не совсем понятно каким образом, скорее всего просто сразу посылается GET или POST запрос. А потом уже камера высылает настройки для потокового видео. Это протоколы RTSP типа. И если поднять HTTP(S) сервер то думаю можно словить все необходимое нам в первом запросе. Вот только если это не один запрос а типо несколько рукопожатий, тогда не прокатит.

Да по сути идея реализуема.
тебе нужно по идеи SSL - сертификат, можешь использовать как самоподписанный или сгенерированный через OpenSSL

при генерации укажешь имя сервера например Ip адрес или доменное имя, которое будет использовать камера, после сохранишь файлы в server.crt ( сертификат ) и server.key ( ключ )

после тебе нужно будет активировать или установить модуль ssl для апачи

после отредактируешь конфиг виртуального хоста для https ( порт 443 вроде )
с указанием пути к сертификату и ключу.

потом перезапустишь систему


настрой сервер так что бы он принимал запросы камер и логировал или анализировал данные аутф get или post запросы.
для более сложной имитации протокола ONVIF или Hikvision потребуется использовать или написать тебе готовые скрипты, которые смогут корректно отвечать камере поддерживая сессию

 

[Psyhopatiya]

Не много не понял. Где его запуска. Здесь я возможно не понимаю чего то. Но если я допустим просто подключу ноут в комутатор, то насколько я понимаю работу коммутатора (он сопоставляет порты с мак адрессом устройства) наврятли я выловлю то что идет на камеру. Или речь идет о том что бы ноутбук сделать видеокамерой.

Запускай Wireshark на компьютере, подключённом к сети камеры. Чтобы перехватить трафик, настрой порт зеркалирования (SPAN) на коммутаторе или используй ARP-spoofing, иначе ноутбук увидит только свой трафик.

да настроишь сетевой интерфейс ноутбука с мак адресом камеры, что бы коммутатор направлял трафик камеры на ноутбук для перехвата

используй фильтры по Ip ( ip.addr == <ip>) MAC ( eth.addr == <MAC> или портом для выделениям трафика камеры.
RTSP сервер, условно имитирующий видеосервер, который принимает запросы камер и позволяет перехватывать поток и аунтификацию

 

[UserName011]

Доброго Дня, уважаемые форумчане.
Задача весьма обычная и при этом востребованная. На объекте утратили пароли от видеокамер. Сервер уже настроен и соответсвенно пароли в системы есть. Только сервер - этот регистратор. В данном случае марки trassir но для темы это не важно. Именно поэтому с сервера снифить не получится.
Созрела мысль подключиться двумя интерфейсами между камерой и регистратором с целью перехватить трафик. Вот только сразу же вхожу в ступор от того как это сделать. Это ведь надо как то прямо на канальном уровне завернуть трафик. Что бы было как то прозрачно для оборудования и при этом перехватить трафик. Опять же сталкиваюсь с проблемой того что уже будет натянут TLS на него. Тут может что то найдется в hashcat для подбора. Это вот первая мысль.
Другая мысль - имитировать видеокамеру. Поставить в ноуте себе ip адрес камеры и получить пароль который передает сервер.
Во-общем как видите только общие прикидки. В связи с чем прошу помощи в разработке этой задачи. Так сказать направить в нужное русло. Я думаю это мог бы получится неплохой гайд. Задача эта вполне нужная и полезная.
Сам думал изобразить что-нибудь с использованием загрузочной Kali Linux. Это было бы весьма универсально.

По первому пункту может помочь устройство типа "Lan star". Ставится в разрез видеокамеры и розетки, а в два других порта можно подключить свое устройство чтоб слушать трафик.
По второму варианту можно использовать утилиту

Ссылка скрыта от гостей

, она также умеет перехватывать HTTPS-трафик, да и вообще перенаправлять что угодно. Можно запустить на тех же портах что и порты камеры и перенаправить трафик в действующую.

 

[aleks_g]

настрой порт зеркалирования (SPAN)

Спасибо за наводку. Не знал о таких функциях. Думаю будет то что надо для первых шагов.

для более сложной имитации протокола ONVIF или Hikvision

Вот для этого и не помещало бы вначале перехватить wireshark ом допустим. Понять протокол общения.

Не успел сегодня добраться до камер. На выходные не знаю пойду не пойду на работу. Но в целом спасибо за помощь. Очень много для себя выяснил.

По первому пункту может помочь устройство типа "Lan star"

Вот тоже прихожу к выводу что использовать компьютер когда у тебя должен быть входной ip адрес и выходной ip адрес одними и теми же очень сложно. Скорее всего только если самому написать программу которая сядет на уровне канала и будет транслировать туда сюда протоколы.
Но зато родился еще один вариант. Все регистраторы которые я видел позволяют поменять ip адрес настроенной камеры не затрагивая пароля. Тогда можно на регистраторе поменять ip адрес на другой. На камере напомню без пароля адрес не поменять. А на компьютере поднять какой-нибудь прокси сервер и перехватить сертификат, а с камерой уже поднимать уже отдельно. Ну естественно прокси заставить залогировать соединение. Буду рад если подскажете по таким серверам. Что из чего можно использовать.

 

[Psyhopatiya]

Не успел сегодня добраться до камер. На выходные не знаю пойду не пойду на работу. Но в целом спасибо за помощь. Очень много для себя выяснил.

Рад слышать что тебе моя помощь пригодилась.

 

[UserName011]

Спасибо за наводку. Не знал о таких функциях. Думаю будет то что надо для первых шагов.

Вот для этого и не помещало бы вначале перехватить wireshark ом допустим. Понять протокол общения.

Не успел сегодня добраться до камер. На выходные не знаю пойду не пойду на работу. Но в целом спасибо за помощь. Очень много для себя выяснил.


Вот тоже прихожу к выводу что использовать компьютер когда у тебя должен быть входной ip адрес и выходной ip адрес одними и теми же очень сложно. Скорее всего только если самому написать программу которая сядет на уровне канала и будет транслировать туда сюда протоколы.
Но зато родился еще один вариант. Все регистраторы которые я видел позволяют поменять ip адрес настроенной камеры не затрагивая пароля. Тогда можно на регистраторе поменять ip адрес на другой. На камере напомню без пароля адрес не поменять. А на компьютере поднять какой-нибудь прокси сервер и перехватить сертификат, а с камерой уже поднимать уже отдельно. Ну естественно прокси заставить залогировать соединение. Буду рад если подскажете по таким серверам. Что из чего можно использовать.

Инструмент socat как раз и может работать в качестве прокси логирующего https. В примере я на 443 порт на локальной системе поставил перенаправление на адрес страницы роутера. В случае если есть две камеры, вместо одной можно поставить комп и перенаправить трафик на вторую. Также может и разные бинарные протоколы перенаправлять что очень удобно, не факт что управление будет по http/s на камере. Если сделать схему чуть сложнее, то можно открытый трафик писать в tcpdump для дальнейшего анализа.

Если камера всего одна, можно еще попробовать вариант с SilentBridge, он как раз нужен чтобы вклиниваться в сеть с тем же IP, что и на атакуемом устройстве. Для него он создает изолированную сеть и своими механизмами сам перенаправляет в него трафик. Вот еще

Ссылка скрыта от гостей

есть раздел про transparent bridge.

 

[aleks_g]

Инструмент socat как раз и может работать в качестве прокси логирующего https. В примере я на 443 порт на локальной системе поставил перенаправление на адрес страницы роутера. В случае если есть две камеры, вместо одной можно поставить комп и перенаправить трафик на вторую. Также может и разные бинарные протоколы перенаправлять что очень удобно, не факт что управление будет по http/s на камере. Если сделать схему чуть сложнее, то можно открытый трафик писать в tcpdump для дальнейшего анализа.

Посмотреть вложение 79617
Если камера всего одна, можно еще попробовать вариант с SilentBridge, он как раз нужен чтобы вклиниваться в сеть с тем же IP, что и на атакуемом устройстве. Для него он создает изолированную сеть и своими механизмами сам перенаправляет в него трафик. Вот еще

Ссылка скрыта от гостей

есть раздел про transparent bridge.

Спасибо огромное. Это просто офигенно.
Насчет управления по HTTP(S) у видеокамер это точно так. В регистраторах есть даже настройка порта HTTP(S) и большинство протоколов разработанные производителями подобные. И большинство камер работают с такими протоколами. Авторизацию по RTSP у камер также возможна. Но в этом случае как правило на регистраторе или сервере пишется URL потока в котором сразу открытым образом указаны логин и пароль. Пример такого rtsp://admin:admin111@192.168.1.1:554/ISAPI/Streaming/Channels/101