Alex VRTL
13.04.2020, 14:24
Всем привет. Совместно с @Sunnych (https://forum.antichat.xyz/members/596704/) хочу поделиться своими наработками по "открытию" DVRов разных типов и собрать методы в одну статью.
Рабочие инструменты:
Отправные точки - Что ищем? и Где ищем?
Где ищем?
В Сети есть достаточно много диапазонов IP адресов, закрепленных за провайдером конкретного города.
Что ищем?
Вот тут вопрос сложнее. Поиск можно начинать с нескольких точек:
Shodan\Zoomeye
RouterScan
Лично мне понравился Zoomeye, так как нет ограничений при регистрации, да и в ряде вопросов гибче, чем Shodan.
Основные запросы в Zoomeye:
Zoomeye достаточно умный ресурс, и подскажет, что он уже знает и как лучше искать.
RouterScan
Исходник Router Scan v2.60 Beta by Stas'M (build 04.02.2019) - Программы - Каталог файлов - Stas'M Corp., запускается прекрасно в wine
Код:
sudo dpkg --add-architecture i386 && sudo apt update && sudo apt install wine32 winbind
wine --config
Качаем архив RouterScan, распаковываем, запускаем RouterScan c помощью Wine.
https://forum.antichat.xyz/attachments/4879598/1586771499247.png
В диапазон IP вписываются нужные адреса, в порты вписываются следующее:
В портах, как правило, и кроется «дьявол». Выбор портов – это сугубо личное дело продавца DVRа и паранойи покупателя. Да и частенько встречаются дефолтные DVRы, которые «висят» на 80, 8080 портах.
Итак, был запущен поиск, и было найдено много всякого. Начнем сортировку и пробы:
Порт 37777
Регистраторы Dahua «сидят» на порте 37777. Для работы с ним нам понадобится Kali, John The Reaper, Metasploit и словарь для подбора хешей. Результаты посмотреть можно с помощью SmartPSS под Windows 7\10 . В Kali все уже установлено, нам понадобиться словарь. Со словарем сложно что-либо посоветовать, т.к. свой словарь я собирал из множества разных словарей, и в итоге сейчас он «весит» 1.2 Гб.
Запускаем Metasploit (msfconsole)
Далее
Код:
use auxiliary/scanner/misc/dahua_dvr_auth_bypass
set action USER
set username admin
set password 111
set rhost ***.***.***.***
exploit
https://forum.antichat.xyz/attachments/4879598/1586771992457.png
Если указанный IP доступен и все ок, то получите следующий ответ
https://forum.antichat.xyz/attachments/4879598/1586772284402.png
Далее в домашней папке (в моем случае /root/) создаем файл 1.txt, открываем и вписываем следующее:
$dahua$********* (где звездочки - это текст из колонки Password Hash), сохраняем, закрываем.
Если Вы не поленились, и озадачились поиском passwordlist'ов, то
берем скачанный пасслист, и закидываем его в /usr/share/john/ под названием password.lst
окрываем консоль, в ней пишем
Код:
john 1.txt
https://forum.antichat.xyz/attachments/4879598/1586772831720.png
Т.к. Jonh запоминает найденные результаты, Вы увидите первый результат. Просмотреть его можно с командой john 1.txt --show
Если же это новый результат, то будет искать, или пока не найдет хеш или пока не закончится словарь.
В итоге вы увидите дешифрованный пароль, который и будет искомым.
Далее скачиваем\устанавливаем отсюда Dahua. Загрузки SmartPSS,
https://forum.antichat.xyz/attachments/4879598/1586773233847.png
заходим в Устройства, вбиваем IP, log\pass и смотрим.
С самым простым вариантом получения доступа к Dahua разобрались, идем дальше по результатам поиска.
Следующим, достаточно простым и быстрым в "открытии", являются dvr-ы на базе чипов Xiongmai. В результатах поиска они отображаются, как Network Surveillance DVR. Порты у них гуляют прилично, но ориентироваться будем именно на это имя.
В работе нам понадобится RouterSploit,
Код:
https://github.com/threat9/routersploit
Устанавливаем, запускаем.
Набор команд
Код:
use exploits/cameras/xiongmai/uc_httpd_path_traversal
set target ***.***.***.***
set port 81
set filename /mnt/mtd/Config/Account1
run
В итоге может быть один из вариантов
https://forum.antichat.xyz/attachments/4879598/1586774718369.png
Или Exploit failed или "много текста". С первым вариантом, думаю, все понятно, во втором случае нам потребуется содержимое раздела "Password"
https://forum.antichat.xyz/attachments/4879598/1586774887733.png
Содержимое строки - в ранее созданный файл 1.txt, снова в консоли john 1.txt и ждем итог.
Получили дешифрованный пароль, и тут... И тут потребуется львиная доля терпения и "как повезет с этими китайскими регистраторами". Нормального софта для просмотра я не нашел, прошлось мучиться с старым добрым IE 5\6 версий. И да, QuickTime тоже потребуется. Мало того, очень старые или относительно свежие (14-16 г.в.) могут спокойно не запуститься. Закономерности я так и не нашел, к сожалению.
Хочу так же отметить, что на базе XiongMai были и такие "шедевры", как uc-httpd 1.0.0 (Partizan Web Surveillance). Тут применим вышеуказанный метод.
Следующим, весьма распространенным, производителем есть Shenzhen TVT. Работать с DVRами на базе этих чипов - одно удовольствие, т.к. все просто и доступно. Единственным НО есть просмотр через IE с плагинами.
Итак, начем.
В Сети этот производитель ищется, как:
DVR RSP
/login.rsp
DVR login
Встречается на портах от 80 до 89.
Получить возможность просмотра можно двумя способами:
Способ 1.
Запускаем Kali, идем по адресу Cyb0r9/DVR-Exploiter , качаем, устанавливаем. Есть на странице инструкция по установке, но продублирую.
$ git clone https://github.com/TunisianEagles/DVR-Exploiter.git
$ cd DVR-Exploiter
$ chmod +x DVR-Exploiter.sh
$ ./DVR-Exploiter.sh
Видим следующее
https://forum.antichat.xyz/attachments/4879598/1587120240326.png
Все весьма просто.
1. Вид вводимого хоста - IP или имя
2. Собственно сам IP
3. Порт
На выходе мы получаем много текста, откуда нам интересны два пункта - uid (имя пользователя) и pwd (пароль). Все берем без кавычек.
Открываем IE, вводим адрес, логин, пароль, смотрим
https://forum.antichat.xyz/attachments/4879598/1587120576434.png
https://forum.antichat.xyz/attachments/4879598/1587120667654.png
Способ 2.
Открываем браузер, идем по адресу [CVE-2018-9995]Hack Streamax DVR - Zeisic DVR
https://forum.antichat.xyz/attachments/4879598/1587120847212.png
Нажимаем Hack, получаем
https://forum.antichat.xyz/attachments/4879598/1587120946519.png
Логично, скажете Вы, что мол, зачем париться с standalone эксплоитом, если есть онлайновый ресурс. Первый способ ориентирован на возврат под хозяйский контроль угнанных DVRов, т.к. работает по локальной сети. К сожалению, встречаются DVRы, которые "в угоне". Т.е. они функционируют, но доступа у хозяина к ним нет из-за "хакеров", которые снесли пароли. Так же могу добавить, что цена восстановления (как правило доступов и т.д.) тех же Dahua в Украине (отправка в СЦ в Киев) сейчас крутится в районе 80-100 $.
Эти методы приходится по умолчанию применять к такого рода устройствам при проведении компьютерно технической экспертизыПродолжение следует ...
Рабочие инструменты:
Отправные точки - Что ищем? и Где ищем?
Где ищем?
В Сети есть достаточно много диапазонов IP адресов, закрепленных за провайдером конкретного города.
Что ищем?
Вот тут вопрос сложнее. Поиск можно начинать с нескольких точек:
Shodan\Zoomeye
RouterScan
Лично мне понравился Zoomeye, так как нет ограничений при регистрации, да и в ряде вопросов гибче, чем Shodan.
Основные запросы в Zoomeye:
Zoomeye достаточно умный ресурс, и подскажет, что он уже знает и как лучше искать.
RouterScan
Исходник Router Scan v2.60 Beta by Stas'M (build 04.02.2019) - Программы - Каталог файлов - Stas'M Corp., запускается прекрасно в wine
Код:
sudo dpkg --add-architecture i386 && sudo apt update && sudo apt install wine32 winbind
wine --config
Качаем архив RouterScan, распаковываем, запускаем RouterScan c помощью Wine.
https://forum.antichat.xyz/attachments/4879598/1586771499247.png
В диапазон IP вписываются нужные адреса, в порты вписываются следующее:
В портах, как правило, и кроется «дьявол». Выбор портов – это сугубо личное дело продавца DVRа и паранойи покупателя. Да и частенько встречаются дефолтные DVRы, которые «висят» на 80, 8080 портах.
Итак, был запущен поиск, и было найдено много всякого. Начнем сортировку и пробы:
Порт 37777
Регистраторы Dahua «сидят» на порте 37777. Для работы с ним нам понадобится Kali, John The Reaper, Metasploit и словарь для подбора хешей. Результаты посмотреть можно с помощью SmartPSS под Windows 7\10 . В Kali все уже установлено, нам понадобиться словарь. Со словарем сложно что-либо посоветовать, т.к. свой словарь я собирал из множества разных словарей, и в итоге сейчас он «весит» 1.2 Гб.
Запускаем Metasploit (msfconsole)
Далее
Код:
use auxiliary/scanner/misc/dahua_dvr_auth_bypass
set action USER
set username admin
set password 111
set rhost ***.***.***.***
exploit
https://forum.antichat.xyz/attachments/4879598/1586771992457.png
Если указанный IP доступен и все ок, то получите следующий ответ
https://forum.antichat.xyz/attachments/4879598/1586772284402.png
Далее в домашней папке (в моем случае /root/) создаем файл 1.txt, открываем и вписываем следующее:
$dahua$********* (где звездочки - это текст из колонки Password Hash), сохраняем, закрываем.
Если Вы не поленились, и озадачились поиском passwordlist'ов, то
берем скачанный пасслист, и закидываем его в /usr/share/john/ под названием password.lst
окрываем консоль, в ней пишем
Код:
john 1.txt
https://forum.antichat.xyz/attachments/4879598/1586772831720.png
Т.к. Jonh запоминает найденные результаты, Вы увидите первый результат. Просмотреть его можно с командой john 1.txt --show
Если же это новый результат, то будет искать, или пока не найдет хеш или пока не закончится словарь.
В итоге вы увидите дешифрованный пароль, который и будет искомым.
Далее скачиваем\устанавливаем отсюда Dahua. Загрузки SmartPSS,
https://forum.antichat.xyz/attachments/4879598/1586773233847.png
заходим в Устройства, вбиваем IP, log\pass и смотрим.
С самым простым вариантом получения доступа к Dahua разобрались, идем дальше по результатам поиска.
Следующим, достаточно простым и быстрым в "открытии", являются dvr-ы на базе чипов Xiongmai. В результатах поиска они отображаются, как Network Surveillance DVR. Порты у них гуляют прилично, но ориентироваться будем именно на это имя.
В работе нам понадобится RouterSploit,
Код:
https://github.com/threat9/routersploit
Устанавливаем, запускаем.
Набор команд
Код:
use exploits/cameras/xiongmai/uc_httpd_path_traversal
set target ***.***.***.***
set port 81
set filename /mnt/mtd/Config/Account1
run
В итоге может быть один из вариантов
https://forum.antichat.xyz/attachments/4879598/1586774718369.png
Или Exploit failed или "много текста". С первым вариантом, думаю, все понятно, во втором случае нам потребуется содержимое раздела "Password"
https://forum.antichat.xyz/attachments/4879598/1586774887733.png
Содержимое строки - в ранее созданный файл 1.txt, снова в консоли john 1.txt и ждем итог.
Получили дешифрованный пароль, и тут... И тут потребуется львиная доля терпения и "как повезет с этими китайскими регистраторами". Нормального софта для просмотра я не нашел, прошлось мучиться с старым добрым IE 5\6 версий. И да, QuickTime тоже потребуется. Мало того, очень старые или относительно свежие (14-16 г.в.) могут спокойно не запуститься. Закономерности я так и не нашел, к сожалению.
Хочу так же отметить, что на базе XiongMai были и такие "шедевры", как uc-httpd 1.0.0 (Partizan Web Surveillance). Тут применим вышеуказанный метод.
Следующим, весьма распространенным, производителем есть Shenzhen TVT. Работать с DVRами на базе этих чипов - одно удовольствие, т.к. все просто и доступно. Единственным НО есть просмотр через IE с плагинами.
Итак, начем.
В Сети этот производитель ищется, как:
DVR RSP
/login.rsp
DVR login
Встречается на портах от 80 до 89.
Получить возможность просмотра можно двумя способами:
Способ 1.
Запускаем Kali, идем по адресу Cyb0r9/DVR-Exploiter , качаем, устанавливаем. Есть на странице инструкция по установке, но продублирую.
$ git clone https://github.com/TunisianEagles/DVR-Exploiter.git
$ cd DVR-Exploiter
$ chmod +x DVR-Exploiter.sh
$ ./DVR-Exploiter.sh
Видим следующее
https://forum.antichat.xyz/attachments/4879598/1587120240326.png
Все весьма просто.
1. Вид вводимого хоста - IP или имя
2. Собственно сам IP
3. Порт
На выходе мы получаем много текста, откуда нам интересны два пункта - uid (имя пользователя) и pwd (пароль). Все берем без кавычек.
Открываем IE, вводим адрес, логин, пароль, смотрим
https://forum.antichat.xyz/attachments/4879598/1587120576434.png
https://forum.antichat.xyz/attachments/4879598/1587120667654.png
Способ 2.
Открываем браузер, идем по адресу [CVE-2018-9995]Hack Streamax DVR - Zeisic DVR
https://forum.antichat.xyz/attachments/4879598/1587120847212.png
Нажимаем Hack, получаем
https://forum.antichat.xyz/attachments/4879598/1587120946519.png
Логично, скажете Вы, что мол, зачем париться с standalone эксплоитом, если есть онлайновый ресурс. Первый способ ориентирован на возврат под хозяйский контроль угнанных DVRов, т.к. работает по локальной сети. К сожалению, встречаются DVRы, которые "в угоне". Т.е. они функционируют, но доступа у хозяина к ним нет из-за "хакеров", которые снесли пароли. Так же могу добавить, что цена восстановления (как правило доступов и т.д.) тех же Dahua в Украине (отправка в СЦ в Киев) сейчас крутится в районе 80-100 $.
Эти методы приходится по умолчанию применять к такого рода устройствам при проведении компьютерно технической экспертизыПродолжение следует ...