Alex VRTL
Green Team
- 09.01.2020
- 17
- 12
Всем привет. Совместно с @Sunnych хочу поделиться своими наработками по "открытию" DVRов разных типов и собрать методы в одну статью.
Рабочие инструменты:
Отправные точки - Что ищем? и Где ищем?
Где ищем?
В Сети есть достаточно много диапазонов IP адресов, закрепленных за провайдером конкретного города.
Что ищем?
Вот тут вопрос сложнее. Поиск можно начинать с нескольких точек:
Основные запросы в Zoomeye:
Zoomeye достаточно умный ресурс, и подскажет, что он уже знает и как лучше искать.
RouterScan
Исходник Router Scan v2.60 Beta by Stas'M (build 04.02.2019) - Программы - Каталог файлов - Stas'M Corp., запускается прекрасно в wine
Качаем архив RouterScan, распаковываем, запускаем RouterScan c помощью Wine.
В диапазон IP вписываются нужные адреса, в порты вписываются следующее:
В портах, как правило, и кроется «дьявол». Выбор портов – это сугубо личное дело продавца DVRа и паранойи покупателя. Да и частенько встречаются дефолтные DVRы, которые «висят» на 80, 8080 портах.
Итак, был запущен поиск, и было найдено много всякого. Начнем сортировку и пробы:
Порт 37777
Регистраторы Dahua «сидят» на порте 37777. Для работы с ним нам понадобится Kali, John The Reaper, Metasploit и словарь для подбора хешей. Результаты посмотреть можно с помощью SmartPSS под Windows 7\10 . В Kali все уже установлено, нам понадобиться словарь. Со словарем сложно что-либо посоветовать, т.к. свой словарь я собирал из множества разных словарей, и в итоге сейчас он «весит» 1.2 Гб.
Запускаем Metasploit (msfconsole)
Далее
Если указанный IP доступен и все ок, то получите следующий ответ
Далее в домашней папке (в моем случае /root/) создаем файл 1.txt, открываем и вписываем следующее:
$dahua$********* (где звездочки - это текст из колонки Password Hash), сохраняем, закрываем.
Если Вы не поленились, и озадачились поиском passwordlist'ов, то
берем скачанный пасслист, и закидываем его в /usr/share/john/ под названием password.lst
окрываем консоль, в ней пишем
Т.к. Jonh запоминает найденные результаты, Вы увидите первый результат. Просмотреть его можно с командой john 1.txt --show
Если же это новый результат, то будет искать, или пока не найдет хеш или пока не закончится словарь.
В итоге вы увидите дешифрованный пароль, который и будет искомым.
Далее скачиваем\устанавливаем отсюда Dahua. Загрузки SmartPSS,
заходим в Устройства, вбиваем IP, log\pass и смотрим.
С самым простым вариантом получения доступа к Dahua разобрались, идем дальше по результатам поиска.
Следующим, достаточно простым и быстрым в "открытии", являются dvr-ы на базе чипов Xiongmai. В результатах поиска они отображаются, как Network Surveillance DVR. Порты у них гуляют прилично, но ориентироваться будем именно на это имя.
В работе нам понадобится RouterSploit,
Устанавливаем, запускаем.
Набор команд
В итоге может быть один из вариантов
Или Exploit failed или "много текста". С первым вариантом, думаю, все понятно, во втором случае нам потребуется содержимое раздела "Password"
Содержимое строки - в ранее созданный файл 1.txt, снова в консоли john 1.txt и ждем итог.
Получили дешифрованный пароль, и тут... И тут потребуется львиная доля терпения и "как повезет с этими китайскими регистраторами". Нормального софта для просмотра я не нашел, прошлось мучиться с старым добрым IE 5\6 версий. И да, QuickTime тоже потребуется. Мало того, очень старые или относительно свежие (14-16 г.в.) могут спокойно не запуститься. Закономерности я так и не нашел, к сожалению.
Хочу так же отметить, что на базе XiongMai были и такие "шедевры", как uc-httpd 1.0.0 (Partizan Web Surveillance). Тут применим вышеуказанный метод.
Следующим, весьма распространенным, производителем есть Shenzhen TVT. Работать с DVRами на базе этих чипов - одно удовольствие, т.к. все просто и доступно. Единственным НО есть просмотр через IE с плагинами.
Итак, начем.
В Сети этот производитель ищется, как:
DVR RSP
/login.rsp
DVR login
Встречается на портах от 80 до 89.
Получить возможность просмотра можно двумя способами:
Способ 1.
Запускаем Kali, идем по адресу Cyb0r9/DVR-Exploiter , качаем, устанавливаем. Есть на странице инструкция по установке, но продублирую.
Видим следующее
Все весьма просто.
1. Вид вводимого хоста - IP или имя
2. Собственно сам IP
3. Порт
На выходе мы получаем много текста, откуда нам интересны два пункта - uid (имя пользователя) и pwd (пароль). Все берем без кавычек.
Открываем IE, вводим адрес, логин, пароль, смотрим
Способ 2.
Открываем браузер, идем по адресу [CVE-2018-9995]Hack Streamax DVR - Zeisic DVR
Нажимаем Hack, получаем
Логично, скажете Вы, что мол, зачем париться с standalone эксплоитом, если есть онлайновый ресурс. Первый способ ориентирован на возврат под хозяйский контроль угнанных DVRов, т.к. работает по локальной сети. К сожалению, встречаются DVRы, которые "в угоне". Т.е. они функционируют, но доступа у хозяина к ним нет из-за "хакеров", которые снесли пароли. Так же могу добавить, что цена восстановления (как правило доступов и т.д.) тех же Dahua в Украине (отправка в СЦ в Киев) сейчас крутится в районе 80-100 $.
Рабочие инструменты:
- Kali
- Metasploit
- John The Reaper
- RouterSploit
- RouterScan
- SmartPSS + windows 7\10
Где ищем?
В Сети есть достаточно много диапазонов IP адресов, закрепленных за провайдером конкретного города.
Что ищем?
Вот тут вопрос сложнее. Поиск можно начинать с нескольких точек:
- Shodan\Zoomeye
- RouterScan
Основные запросы в Zoomeye:
uc-httpd
/login.rsp
Dahua
Hikvision
DVR
/login.rsp
Dahua
Hikvision
DVR
RouterScan
Исходник Router Scan v2.60 Beta by Stas'M (build 04.02.2019) - Программы - Каталог файлов - Stas'M Corp., запускается прекрасно в wine
Код:
sudo dpkg --add-architecture i386 && sudo apt update && sudo apt install wine32 winbind
wine --configВ диапазон IP вписываются нужные адреса, в порты вписываются следующее:
80-89
1080
2080
8000
8001
8002
8003
8080
8081
8888
8082
8083
8090
8088
37777
1080
2080
8000
8001
8002
8003
8080
8081
8888
8082
8083
8090
8088
37777
Итак, был запущен поиск, и было найдено много всякого. Начнем сортировку и пробы:
Порт 37777
Регистраторы Dahua «сидят» на порте 37777. Для работы с ним нам понадобится Kali, John The Reaper, Metasploit и словарь для подбора хешей. Результаты посмотреть можно с помощью SmartPSS под Windows 7\10 . В Kali все уже установлено, нам понадобиться словарь. Со словарем сложно что-либо посоветовать, т.к. свой словарь я собирал из множества разных словарей, и в итоге сейчас он «весит» 1.2 Гб.
Запускаем Metasploit (msfconsole)
Далее
Код:
use auxiliary/scanner/misc/dahua_dvr_auth_bypass
set action USER
set username admin
set password 111
set rhost ***.***.***.***
exploitЕсли указанный IP доступен и все ок, то получите следующий ответ
Далее в домашней папке (в моем случае /root/) создаем файл 1.txt, открываем и вписываем следующее:
$dahua$********* (где звездочки - это текст из колонки Password Hash), сохраняем, закрываем.
Если Вы не поленились, и озадачились поиском passwordlist'ов, то
берем скачанный пасслист, и закидываем его в /usr/share/john/ под названием password.lst
окрываем консоль, в ней пишем
Код:
john 1.txtТ.к. Jonh запоминает найденные результаты, Вы увидите первый результат. Просмотреть его можно с командой john 1.txt --show
Если же это новый результат, то будет искать, или пока не найдет хеш или пока не закончится словарь.
В итоге вы увидите дешифрованный пароль, который и будет искомым.
Далее скачиваем\устанавливаем отсюда Dahua. Загрузки SmartPSS,
заходим в Устройства, вбиваем IP, log\pass и смотрим.
С самым простым вариантом получения доступа к Dahua разобрались, идем дальше по результатам поиска.
Следующим, достаточно простым и быстрым в "открытии", являются dvr-ы на базе чипов Xiongmai. В результатах поиска они отображаются, как Network Surveillance DVR. Порты у них гуляют прилично, но ориентироваться будем именно на это имя.
В работе нам понадобится RouterSploit,
Код:
https://github.com/threat9/routersploitУстанавливаем, запускаем.
Набор команд
Код:
use exploits/cameras/xiongmai/uc_httpd_path_traversal
set target ***.***.***.***
set port 81
set filename /mnt/mtd/Config/Account1
runИли Exploit failed или "много текста". С первым вариантом, думаю, все понятно, во втором случае нам потребуется содержимое раздела "Password"
Содержимое строки - в ранее созданный файл 1.txt, снова в консоли john 1.txt и ждем итог.
Получили дешифрованный пароль, и тут... И тут потребуется львиная доля терпения и "как повезет с этими китайскими регистраторами". Нормального софта для просмотра я не нашел, прошлось мучиться с старым добрым IE 5\6 версий. И да, QuickTime тоже потребуется. Мало того, очень старые или относительно свежие (14-16 г.в.) могут спокойно не запуститься. Закономерности я так и не нашел, к сожалению.
Хочу так же отметить, что на базе XiongMai были и такие "шедевры", как uc-httpd 1.0.0 (Partizan Web Surveillance). Тут применим вышеуказанный метод.
Следующим, весьма распространенным, производителем есть Shenzhen TVT. Работать с DVRами на базе этих чипов - одно удовольствие, т.к. все просто и доступно. Единственным НО есть просмотр через IE с плагинами.
Итак, начем.
В Сети этот производитель ищется, как:
DVR RSP
/login.rsp
DVR login
Встречается на портах от 80 до 89.
Получить возможность просмотра можно двумя способами:
Способ 1.
Запускаем Kali, идем по адресу Cyb0r9/DVR-Exploiter , качаем, устанавливаем. Есть на странице инструкция по установке, но продублирую.
$ git clone https://github.com/TunisianEagles/DVR-Exploiter.git
$ cd DVR-Exploiter
$ chmod +x DVR-Exploiter.sh
$ ./DVR-Exploiter.sh
Видим следующее
Все весьма просто.
1. Вид вводимого хоста - IP или имя
2. Собственно сам IP
3. Порт
На выходе мы получаем много текста, откуда нам интересны два пункта - uid (имя пользователя) и pwd (пароль). Все берем без кавычек.
Открываем IE, вводим адрес, логин, пароль, смотрим
Способ 2.
Открываем браузер, идем по адресу [CVE-2018-9995]Hack Streamax DVR - Zeisic DVR
Нажимаем Hack, получаем
Логично, скажете Вы, что мол, зачем париться с standalone эксплоитом, если есть онлайновый ресурс. Первый способ ориентирован на возврат под хозяйский контроль угнанных DVRов, т.к. работает по локальной сети. К сожалению, встречаются DVRы, которые "в угоне". Т.е. они функционируют, но доступа у хозяина к ним нет из-за "хакеров", которые снесли пароли. Так же могу добавить, что цена восстановления (как правило доступов и т.д.) тех же Dahua в Украине (отправка в СЦ в Киев) сейчас крутится в районе 80-100 $.
Эти методы приходится по умолчанию применять к такого рода устройствам при проведении компьютерно технической экспертизы
Продолжение следует ...
Последнее редактирование модератором:
