• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

Статья Shodan - взлом камер

Приветствую вас, дорогие форумчане. Сегодня у нас на прицеле взлом камер. Наверно все знают, что такие темы довольно распространенные. Но скажу что многие из нил либо устарели или же просто не рабочие. В этой статье я попытаюсь этого избежать. Приступим.

Введение

И так. Давайте рассмотрим весь функционал, который мы будем использовать для взлома:

1. Netscraped
2. Python3
3. Shodan
4. Curl

Здесь надеюсь все понятно. Как и, что устанавливать объясню дальше.

Практика

Для начало откроем терминал и приступим к обновлению и установке:

apt-get install python3 // У кого не установлено

apt-get install python3-shodan // Пакет Shodan для Python3

apt-get install curl // Тоже тем у кого не установлено

И так. Теперь идем на
Ссылка скрыта от гостей
и там регаемся. После переходим в аккаунт и копируем наш API код. Это обязательно так как ничего не выйдет без него.

1567080811697.png

1567078675759.png


Теперь давайте перейдем к установке Netscraped:

git clone 649/Netscraped-Exploit
cd Netscraped-Exploit/
chmod +x Netscraped.py

И после запускаем наш скрипт:

python3 Netscraped.py

И вот здесь при первом запуске наш скрипт потребует ключ API. Мы его берем из нашего аккаунта Shodan и вставляем туда. У многих могут возникнуть проблемы. К примеру вы не правильно ввели ключ или удалили аккаунт на Шодан. В этом случае не нужно переустанавливать программу. Ищете папку где лежит Netscraped. После там лежит файл api.txt, который создается при первом запуске. Заходим туда и меняете ключ API.
После у нас потребуют ввести пароль от камеры видео-наблюдения. Здесь вводим любой password. На вопросы после этого отвечаем положительно (y/yes). И дальше у нас начнет наш софт спамить нам все ip'шниками от камер. Остановку производим сочетанием клавиш Ctrl+C.
Теперь идем в директорию и находим файл netwave.txt. Там у нас как раз и лежат все IP. Далее переходим в директорию results (cd results). ВНИМАНИЕ: Там много информации и придется порыть в txt документах (sudo cat название файла.txt). Ищем логины и пароли. По мимо этого вы сможете найти номера телефонов, другие уязвимости и т.д. К примеру:

var user_name='Camera';
var user_pwd='qwerty1234';

После подключаемся через любой сервис. Вбивая пароль и логин от камеры. Все. Вы взломали камеру видео-наблюдения.

Вывод

И так. Надеюсь я все понятно объяснил. Данный способ не новый. Просто он не сильно распространен. Хочу сказать, что если действовать инструкциям выше у вас должно получиться. Удачи и не попадитесь ;)
 
  • Нравится
Реакции: 1984, nigga, MenPel и ещё 5
Нажмите, чтобы раскрыть...
В папке results, только один файл txt с названием error_responses.

Понял, просто с таким паролем не нашёл, другие камеры нашёл при смене пароля.
 
Последнее редактирование:
А через какой именно сервис подключаться к какой-нибудь web-камере?
 
Ну а дальше? Глубже и вообще... Дело в том, что у меня на доме стоят 2 камеры, одна над пивбаром, другая - над подъездом, вот как мне определить где, что, куда и когда? Потому что хозяева - этого пивбара уже достали, а видео не показывают, а на асфальте кровь.
 
Traceback (most recent call last):
File "Netscraped.py", line 126, in <module>
pawn(shodan_api,search_term,counter,source_file,vuln_file,creds,output_dir,timeout)
File "Netscraped.py", line 82, in pawn
src_file(shodan_api, source_file, search_term)
File "Netscraped.py", line 62, in src_file
results = api.search(search_term)
File "/usr/lib/python3/dist-packages/shodan/client.py", line 498, in search
return self._request('/shodan/host/search', args)
File "/usr/lib/python3/dist-packages/shodan/client.py", line 333, in _request
raise APIError(data['error'])
shodan.exception.APIError: The search request timed out or your query was invalid.
Пацатре ну чо не так ?? помогите .. А чото на апи ключ грешу
 
Pr0_ogrammer сказал(а):
Приветствую вас, дорогие форумчане. Сегодня у нас на прицеле взлом камер. Наверно все знают, что такие темы довольно распространенные. Но скажу что многие из нил либо устарели или же просто не рабочие. В этой статье я попытаюсь этого избежать. Приступим.

Введение

И так. Давайте рассмотрим весь функционал, который мы будем использовать для взлома:

1. Netscraped
2. Python3
3. Shodan
4. Curl

Здесь надеюсь все понятно. Как и, что устанавливать объясню дальше.

Практика

Для начало откроем терминал и приступим к обновлению и установке:

apt-get install python3 // У кого не установлено

apt-get install python3-shodan // Пакет Shodan для Python3

apt-get install curl // Тоже тем у кого не установлено

И так. Теперь идем на
Ссылка скрыта от гостей
и там регаемся. После переходим в аккаунт и копируем наш API код. Это обязательно так как ничего не выйдет без него.

Посмотреть вложение 32714
Посмотреть вложение 32713

Теперь давайте перейдем к установке Netscraped:

git clone 649/Netscraped-Exploit
cd Netscraped-Exploit/
chmod +x Netscraped.py

И после запускаем наш скрипт:

python3 Netscraped.py

И вот здесь при первом запуске наш скрипт потребует ключ API. Мы его берем из нашего аккаунта Shodan и вставляем туда. У многих могут возникнуть проблемы. К примеру вы не правильно ввели ключ или удалили аккаунт на Шодан. В этом случае не нужно переустанавливать программу. Ищете папку где лежит Netscraped. После там лежит файл api.txt, который создается при первом запуске. Заходим туда и меняете ключ API.
После у нас потребуют ввести пароль от камеры видео-наблюдения. Здесь вводим любой password. На вопросы после этого отвечаем положительно (y/yes). И дальше у нас начнет наш софт спамить нам все ip'шниками от камер. Остановку производим сочетанием клавиш Ctrl+C.
Теперь идем в директорию и находим файл netwave.txt. Там у нас как раз и лежат все IP. Далее переходим в директорию results (cd results). ВНИМАНИЕ: Там много информации и придется порыть в txt документах (sudo cat название файла.txt). Ищем логины и пароли. По мимо этого вы сможете найти номера телефонов, другие уязвимости и т.д. К примеру:

var user_name='Camera';
var user_pwd='qwerty1234';

После подключаемся через любой сервис. Вбивая пароль и логин от камеры. Все. Вы взломали камеру видео-наблюдения.

Вывод

И так. Надеюсь я все понятно объяснил. Данный способ не новый. Просто он не сильно распространен. Хочу сказать, что если действовать инструкциям выше у вас должно получиться. Удачи и не попадитесь ;)
Нажмите, чтобы раскрыть...

Мне пишет: No command sudo found, did you mean:
Command tsudo in package tsu
Мне что ROOT-Права нужны?
 
centr сказал(а):
@Daughter привёл приблизительную схему, только в реале она будет не много другой.
Обнаружение ТД, получение к ним доступа(проникновение в локальную сеть), обнаружение устройств подключённых к этой ТД, фильтрация и выявление ip камер по производителям и прочей информации, атака на обнаруженные устройства уже находясь в локальной сети.
Нажмите, чтобы раскрыть...
Это наверно прозвучит глупо но я так и не могу понять что такое ТД... Я нашёл несколько вариантов но они какие-то не подходящие..
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

Mark Klintov
  • Статья Статья
Статья Злые устройства. Быстрый способ поиска и эксплуатации IoT уязвимостей
Ответы
0
Просмотры
4 тыс.
Статьи и новости кибербезопасности
Mark Klintov
Mark Klintov
User17
  • Статья Статья
Статья ШХ. Инструменты анализа электронной почты, доменов, парсеры
Ответы
1
Просмотры
4 тыс.
Статьи и новости кибербезопасности
exciting moments
exciting moments
вася трубочист
  • Статья Статья
Статья О шантаже в интернете: как безобидное фото в Инстаграм может скомпрометировать тебя - Fawkes, Anti DeepFake, DFL Часть 2
Ответы
0
Просмотры
339
Статьи и новости кибербезопасности
вася трубочист
вася трубочист
DeathDay
  • Статья Статья
Статья Повествование о Minecraft: или CVE-2021-44228 в цвете - Log4Shell и немного сюжета
Ответы
6
Просмотры
8 тыс.
Статьи и новости кибербезопасности
Крисофник
Крисофник
Верх Низ