HACK80

我们很年轻,但我们有信念、有梦想!

我们坚信只有今天付出了,才有机会看到明天的太阳!
现在!加入我们,给你一个气氛优秀的技术圈子

作者: djg222000
查看: 130|回复: 0

more +随机图赏Gallery

2017年中旬WEB渗透系列课程-27HASH提权2017年中旬WEB渗透系列课程-27HASH提权
2017年中旬WEB渗透系列课程-23提权认识2017年中旬WEB渗透系列课程-23提权认识
X站神器-灰长给力-X站神器-灰长给力-
2017年中旬WEB渗透系列课程-11注入的其他姿势2017年中旬WEB渗透系列课程-11注入的其他姿势
2017年中旬WEB渗透系列课程-10基于提交方式注入的分析2017年中旬WEB渗透系列课程-10基于提交方式注入的分析
2017年中旬WEB渗透系列课程-09Mysql注入跨库2017年中旬WEB渗透系列课程-09Mysql注入跨库
2017年中旬WEB渗透系列课程-08Mysql注入读写2017年中旬WEB渗透系列课程-08Mysql注入读写
2017年中旬WEB渗透系列课程-07Mysql常规注入2017年中旬WEB渗透系列课程-07Mysql常规注入
2017年中旬WEB渗透系列课程-06Mysql注入分析2017年中旬WEB渗透系列课程-06Mysql注入分析
2017年中旬WEB渗透系列课程-05Access注入分析2017年中旬WEB渗透系列课程-05Access注入分析

索尼摄像头存在后门可允许远程执行命令测试及防御

[复制链接]
djg222000 发表于 2017-12-5 19:31:41 | 显示全部楼层 |阅读模式
查看: 130|回复: 0

马上注册,加入HACK80!与我们一起交流。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
前言
由于索尼摄像头存在后门,可能导致大量的索尼在线摄像头的被黑客劫持并感染了类似Mirai的恶意软件。原因是在索尼摄像头的固件中存在一种硬编码的登录方式可以用来劫持设备并植入类似于Mirai的恶意软件。
存在问题的设备是索尼的Professional Ipela Engine IP监控摄像头。该后门于2016年10月份的时候由来自于SEC信息安全咨询公司的专家Stefan Viehböck所发现,并将所发现的问题报告到索尼公司与SEC公司。
“SEC信息安全咨询公司发现索尼的Professional Ipela Engine IP监控摄像头存在后门,这一款摄像头主要为政府和企业提供专业的监控服务。这个后门允许攻击者在受影响的摄像头上执行任意代码”,SEC信息安全咨询公司表示,“攻击者可以通过使用摄像头在网络中立足并发动进一步的攻击,如中断监控功能,发送正在监视中的图像/视频,或添加摄像头到一个类似于Mirai的僵尸网络中,当然也可能只是简单的为了窥探你。该后门影响了索尼80多个型号的摄像头,索尼公司由SEC信息安全咨询公司得知了该后门的详情,并已经对受影响的摄像头发布了更新的固件。”
利用
专家在Web的管理控制台中发现了两个永久的并启用了硬编码方式写入的后门账户:
User debug, Password: popeyeConnectionUser primana, Password: primana
这两个账户都可以访问特定的、未记录的CGI功能。
专家解释说,这很有可能导致攻击者通过远程开启Telnet/SSH服务并且导致攻击者获取root权限的Linux Shell。
以下网址一旦发送到网络中存在后门的设备上,将可以通过telnet直接访问设备:
http://primana:primana@HOST/command/prima-factory.cgi?foo=bar&Telnet=zKw2hEr9http://primana:primana@HOST/command/prima-factory.cgi?foo=bar&Telnet=cPoq2fi4cFk
以上的请求通过触发索尼第五代Ipela Engine摄像头中的prima-factory.cgi从而启动inetd来打开后门,而该后门是运行在23端口上的telnet程序。第六代的摄像头所使用的字符串是“himitunokagi”(日语的“secret key”)。
一旦telnet或SSH服务被启用,攻击者就可以登录为root用户,并获得了操作系统的shell。下面是操作系统级的后门用户的密码哈希值:
   root:$1$$mhF8LHkOmSgbD88/WrM790:0:0:5thgen:/root:/bin/sh (Gen5 cameras)   root:iMaxAEXStYyd6:0:0:root:/root:/bin/sh (Gen6 cameras)
恶意攻击者可以轻易地破解上述的root密码的hash值(MottoIN小编表示网上并没有发现该hash的破解值,读者可以自行测试)。
下面是存在后门的索尼摄像头的型号,专家建议有使用下面型号的用户尽快更新固件(可以检查一下你的摄像头是否是以下的类型):
SNC-CX600,SNC-CX600W,SNC-EB600,SNC-EB600B,SNC EB602R,SNC-EB630,SNC-EB630B,SNC-EB632R,SNC-EM600,SNC-EM601,SNC-EM602R,SNC-EM602RC,SNC-EM630 ,SNC-EM631,SNC-EM632R,SNC-EM632RC,SNC-VB600,SNC-VB600B,SNC-VB600B5,SNC-VB630,SNC-VB6305,SNC-VB6307,SNC-VB632D,SNC-VB635,SNC-VM600,SNC -VM600B,SNC-VM600B5,SNC-VM601,SNC-VM601B,SNC-VM602R,SNC-VM630,SNC-VM6305,SNC-VM6307,SNC-VM631,SNC-VM632R,SNC-WR600,SNC-WR602,SNC-WR602C ,SNC-WR630,SNC-WR632,SNC-WR632C,SNC-XM631,SNC-XM632,SNC-XM636,SNC-XM637,SNC-VB600L,SNC-VM600L,SNC-XM631L,SNC-WR602CL,SNC-CH115,SNC -CH120,SNC-CH160,SNC-CH220,SNC-CH260,SNC-DH120,SNC-DH120T,SNC-DH160,SNC-DH220,SNC-DH220T,SNC-DH260,SNC-EB520,SNC-EM520,SNC-EM521 ,SNC-ZB550,SNC-ZM550,SNC-ZM551,SNC-EP550,SNC-EP580,SNC-ER550,SNC-ER550C,SNC-ER580,SNC-ER585,SNC-ER585H,SNC-ZP550,SNC-ZR550,SNC -EP520,SNC-EP521,SNC-ER520,SNC-ER521,和SNC-ER521C。
测试过程0x01 查找索尼摄像头app:"Sony Network Camera" 0x02 开启telnet
在上述文章中提到通过输入特定的网址即可开启telnet,但在测试的过程中需要确定摄像头的版本:
上面我们输入了第一条命令,然后摄像头弹出提示需要登录,上述的两个用户名随意选一填之。
此时打开Telnet连接看看:
但是很遗憾的是连接失败,说明上面的第一条测试命令失败,然后我们继续测试上面的第二条地址,同样的过程,然后我们再来尝试Telnet:
可以看到被测试的远程摄像机执行第二条命令成功,同时在23端口打开了Telnet服务。接下来只是登录的问题了。
索尼公司已经为上述涉及到该后门的摄像头更新了固件,同时希望各位使用索尼摄像头的用户及时到索尼官网更新摄像头的固件。

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|HACK80 ( 沪ICP备15007512号 )

GMT+8, 2017-12-15 12:11 , Processed in 0.088127 second(s), 24 queries .

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.