• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья для участия в конкурсе на codeby Объявляю открытие конкурса статей до 31 декабря


Всем привет.

Очень часто на форуме, особенно у новичков возникает вопрос, как получить доступ к ip камере, если пароль по умолчанию изменен. Как вариант многие советуют либо брутить пароль, либо ищут готовые инструменты, которые позволяют обойти авторизацию. Но что делать, если сисадмин поставил сложный пароль на админку, на перебор которого уйдет не один месяц, а может и год, а готовые инструменты (решения из коробки) не поддерживают модель камеры, к которой вы хотите получить доступ.

Не стоит унывать, так как не все потеряно… Сегодня рассмотрим, как раз такой случай.

Тестирование мы будем проводить на реальной ip камере из поднебесной, и может для кого-то открою Америку, но 90 процентов камер из поднебесной, да и не только, подвержены данному взлому. В процессе я расскажу об аппаратной и программной части устройства, так же рассмотрим, как можно вытаскивать учетные данные с паролями, находить скрытые бэкдоры, в конце дам рекомендации по их устранению.

Данный алгоритм действий подходит не только для ip камер, но и к другим различным IoT устройствам.

Так как материала будет много, я статью разделю на несколько частей.

Все действия я буду проводить внутри своей локальной сети, используя операционную систему кали линукс , так же, нам придется установить дополнительные пакеты, которые не входят в дистрибутив , но к этому вернемся позже. И так поехали.

Первым делом при любом тестировании мы собираем информацию, камера у меня находится под адресом 192.168.0.35, давайте воспользуемся nmap и посмотрим что получится.

1.png



В нашем случае нас интересует Telnet сервер на BusyBox, а именно 23 порт.(про BusyBox я подробно расскажу во второй части статьи.)

Мы можем попробовать подключится, перебирая дефолтные связки логин-пароль, благо на просторах всемирной паутины информации предостаточно, но что делать если ни одна из общедоступных связок не подошла?

Что бы двигаться дальше нам нужно знать точную модель камеры, исходя из этой информации мы потом сможем зайти на сайт производителя, скачаем и изучим прошивку.

Запомните, для каждой камеры своя прошивка.

Узнать можно следующими способами.

1. Используя сервис shodan.

2. Если у вас заключен договор на тестирование, можете истребовать данную информацию у заказчика.

3. Можно проанализировать трафик IoT устройства с помощью Wireshark, часто в логах проскакивает названия устройства.

4. Если у вас есть физический доступ к устройству, можно разобрать, подключится и прочитать содержимое. Правда есть нюансы, если чип SPI проще, с NAND сложнее. В любом случае последний пункт, не зная схемотехнику и микроэлектронику лучше не лазить.

В нашем случае, у нас есть доступ к админке, и мы ее просто посмотрим.


серийник обр.png


название как мы видим выглядит следующим образом:

V4.02.R12.00006531.100.10.142100

Ниже я предоставлю ссылку на таблицу c расшифровкой данного префикса, а также таблицу с ссылками на прошивки основных производителей ip камер, по ней вы легко найдете вам нужную. Она не раз меня выручала . Нашел ее на просторах интернета.






Топаем на сайт производителя, в нашем случае:

и скачиваем нужный нам файл.

Файл будет следующего вида: General_HZXM_IPC_HI3518E_53H13_S38_V4.02.R12.Nat.OnvifS.20160913_ALL.bin

Давайте посмотрим, что он из себя представляет.

Для этого воспользуемся инструментом binwalk, он входит в кали по умолчанию и предназначен для анализа прошивок.

2.png




Мы видим следующее:

Формат сжатия файлов используется ZIP , бывают еще(LZMA, Tar, итд)

Фаловая система CramFS, еще может встретится SquashFS

Загрузчик у нас U-Boot, так же может встретится Redboot

Теперь нам нужно распаковать нашу прошивку с помощью утилиты unzip

3.png


У нас 8 файлов, обращаю внимание на файлы, которые заканчиваются на *.img.

В нашем случае это несколько измененные образы файловой системы CramFS, давайте приведем образ к нормальному состоянию, для этого нужно обрезать 64 байта заголовка.

4.png


Отлично, остальные файлы кроме u-boot.bin.img делаем таким же образом.

А сейчас немного пробежимся по основным файлам , в крадце расскажу что они собой представляют.


u-boot.bin.img - загрузчик U-boot.

custom-x.cramfs.img - дополнительные настройки платформы.

user-x.cramfs.img - программа видеорегистратора Sofia и дополнителный софт.

InstallDesc – скрипт , используется для обновления прошивки.

romfs-x.cramfs.img -операционная система linux под архитектуру ARM, на ней сейчас мы акцентируем внимания, так как именно там содержится файл с паролем.

Что бы двигаться дальше нам нужно установить дополнительный пакет, а именно cramfsprogs.

Для этого нам нужно добавить репозитарий в source.list и обновится.

5.png



Далее распаковываем образ:

6.png



Заходим в каталог с распакованной системой, в нашем случае это romfs, ищем файл passwd, открываем и вуаля у нас хэш пароля. Далее мы можем скормить хэш John the Ripper, hydra или воспользоваться онлайн сервисами, в моем же случае хэш пароля лежал в гугле.а именно : логин root пароль xmhdipc

Здесь выкладываю общий скрин моих действий.

Screenshot from 2017-11-12 21-15-43.png


Давайте проверим и зайдем в ip камеру используя наш логин и пароль.


8.png



Как видите у нас все получилось.

Всем спасибо за внимания, продолжение следует…
 
Последнее редактирование модератором:

OBLIVIONNN

Green Team
22.08.2017
144
92
BIT
1
За статью Спасибо, все отлично написано.
Но есть одна загвоздка. Весь смысл взлома опирается на плохом сисадмине, который попросту не меняет стандартные пароли.
Есть Ip Camera, находим прошивку и качаем с офф сайта. Реверсим скачанную прошивку и достаем пароль от telnet(Это типа стандартный пароль для этой камеры). И молимся богу что, админ не менял этот пароль, с момента установки ? Или я что то не так понял.
 
Последнее редактирование:
  • Нравится
Реакции: Azat868

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
в большинстве случаев пароль от telnet не меняют, да и не в каждой камере его можно сменить или выключить.И даже в случае его смены,проанализировав прошивку ,находятся баги которые позволяют обойти авторизацию.вообще суть статьи не взломе ip камеры, а в исследовании программного обеспечения и принципов работы IoT устройств..ip камеру я взял как пример.
 
Последнее редактирование:

shinza

Green Team
28.08.2017
18
10
BIT
3
Кажется сейчас в камерах убрали телнет. Посмотрим следующие твои статьи.
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
в некоторых да..в панасониках тех же..но отстутствие телнета, не означает что камера не уязвима.. В следующей статье, я покажу это на примере.,думаю через пару дней опубликовать..
 
Последнее редактирование:

shinza

Green Team
28.08.2017
18
10
BIT
3
в некоторых да..в панасониках тех же..но отстутствие телнета, не означает что камера не уязвима.. В следующей статье, я покажу это на примере.,думаю через пару дней опубликовать..
Эту статью можно было разделить на 2 расширенных: подключение к камерам по портам( телнет,554,443, ТСР, НТТР и т.д) и разбор прошивок камер, для поиска файлов с паролями (хешами паролей) (телнета, пользователей) или добываем пароли и добавить эксплоиты. Думаю ты напишешь о подключении без авторизации. Я не специалист но хотел бы узнать как достучаться до камеры удаленно через фильтры портов.
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
именно в таком ракурсе и планируется..сейчас ломаю голову как изложить материал доступно,что бы понимали новички,дело в том что если подходить к реверсу профессионально, то параллельно нужно писать целый курс по ассемблеру, а так же излагать хотя бы основы работы с IDA, а это явно не укладывается в статью с двух частей.
 
  • Нравится
Реакции: Underwood
F

FuSp

Очень интересная тема, спасибо за потраченые усилия на написание! Тема взлома IoT устройств меня интересует больше остальных (на данный момент) Интересен сам принцип, ведь можно не только взломать пароль по прошивке, но и найти иные уязвимости в прошивке.
Осталось только хорошо научиться находить уязвимости.
 
I

IvanSerov

Как-то сканировал сеть провайдера и нашел роутер с названием явно указывающим на то , что он используется для видеонаблюдения. С помощью RouterScan подобрал логин/пароль, далее увидел, что в сети есть четыре камеры какие-то китайские. Решил подключиться и посмотреть, но пароль был не дефолтный. Сканировал их порты и кроме 80-го и 554-го есть еще 1117. Мне стало интересно что это за порт. Подключился при помощи IPCamViewer и , о, чудо, появилось изображение. Оказывается это был порт, по которому можно было без авторизации получать поток с камеры.
 
  • Нравится
Реакции: FuSp

shinza

Green Team
28.08.2017
18
10
BIT
3
Как-то сканировал сеть провайдера и нашел роутер с названием явно указывающим на то , что он используется для видеонаблюдения. С помощью RouterScan подобрал логин/пароль, далее увидел, что в сети есть четыре камеры какие-то китайские. Решил подключиться и посмотреть, но пароль был не дефолтный. Сканировал их порты и кроме 80-го и 554-го есть еще 1117. Мне стало интересно что это за порт. Подключился при помощи IPCamViewer и , о, чудо, появилось изображение. Оказывается это был порт, по которому можно было без авторизации получать поток с камеры.
Вам бы рассказы для детей писать
 

Dimon_Any

Green Team
11.01.2018
46
21
BIT
0
Интересно, но я или что то не уловил или немного расхождение с описанием....
В описании написано что мы атакуем камеру на которой изменены пароли, но в итоге качаем заводскую прошивку и смотрим пароли поумолчанию.....
Суть в том что есть заводской пароль для телнета или его не сменили?
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
Никак не доходят руки дописать статью..пароль от телнета особо ничего не решает..суть что в прошивку встроены скрытые учетки и различные баги.. у китайцев это повсеместно.
 

Gudvin1

Member
26.03.2020
9
0
BIT
0
Никак не доходят руки дописать статью..пароль от телнета особо ничего не решает..суть что в прошивку встроены скрытые учетки и различные баги.. у китайцев это повсеместно.
После получения доступа к камере по telnet что можно с ней сделать ?
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
Все зависит от вашей фантазии и навыков..(учетки,пароли,можно сделать ботом)
 
  • Нравится
Реакции: Vertigo

Tiger007007

New member
04.02.2024
1
0
BIT
7
Для чего обрезать 64 байта заголовка? А если заголовок будет короче, то не нужно обрезать?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!