海康威視是一個致力于不斷提升視頻處理技術(shù)和視頻分析技術(shù)，面向全球提供領(lǐng)先的監(jiān)控產(chǎn)品、技術(shù)解決方案與專業(yè)優(yōu)質(zhì)服務(wù)，

物聯(lián)網(wǎng)發(fā)展和安全威脅總是如影隨形。兩個月前，我想研究一下網(wǎng)絡(luò)攝像機，然后就在亞馬遜上購買了一個比較便宜的，由海康威視代工生產(chǎn)的Elisa Live 720p HD IP Camera。當(dāng)我在破解Elisa攝像機嘗試獲取密碼信息的過程中，卻偶然發(fā)現(xiàn)了海康威視遠程系統(tǒng)的一個XML外部實體注入漏洞(XXE)。

XXE Injection即XMLExternal Entity Injection,也就是XML外部實體注入攻擊，漏洞是在對非安全的外部實體數(shù)據(jù)進⾏行處理時引發(fā)的安全問題。在XML1.0標(biāo)準(zhǔn)里,XML文檔結(jié)構(gòu)⾥定義了實體(entity)這個概念。實體可以通過預(yù)定義在文檔中調(diào)用,實體的標(biāo)識符可訪問本地或遠程內(nèi)容。如果在這個過程中引入了”惡意”源,在對XML文檔處理后則可能導(dǎo)致信息泄漏等安全問題。

1 研究開始

通常來說，大多網(wǎng)絡(luò)攝像機數(shù)據(jù)要被上傳到其后臺系統(tǒng)中，也就是說，只有利用網(wǎng)頁或者app通過其云服務(wù)平臺才能訪問攝像機。我通過攝像機以太網(wǎng)接口把其連接到實驗室環(huán)境，進行網(wǎng)絡(luò)流量監(jiān)聽。因為一些設(shè)備內(nèi)置了老舊或不安全的固件，所以如果想做物聯(lián)網(wǎng)設(shè)備相關(guān)的實驗，強烈建議不要急于把設(shè)備接上互聯(lián)網(wǎng)。

從Wireshark抓包流量中發(fā)現(xiàn)了幾個有意思的數(shù)據(jù)包：

(1)兩個未加密的請求調(diào)用：

(2)向網(wǎng)站www.hik-online.com發(fā)起POST請求的base64加密數(shù)據(jù)包(后作分析)

(3)從Amazon S3存儲中下載更新的Get請求：

2 嘗試破解網(wǎng)絡(luò)攝像機

利用Nmap掃描攝像機，發(fā)現(xiàn)了一些開放端口服務(wù)，其中包括一個登錄頁面，經(jīng)嘗試，一些?？低暢Ｓ玫哪J用戶名和密碼組合無法正確登錄。后來發(fā)現(xiàn)，密碼驗證的控制器受http摘要認證機制保護，這是該固件獨有的特點。利用binwalk和 hiktools對固件進行分析后，雖然沒發(fā)現(xiàn)任何摘要認證信息，卻提取到了一些有意思的東西，如/etc/passwd文件和其中的root密碼hiklinux：

root:ToCOv8qxP13qs:0:0:root:/root/:/bin/sh

對固件進行升級之后，攝像機的SSH端口就變?yōu)殛P(guān)閉狀態(tài)了，所以我沒法利用這個點，只能嘗試其它途徑。

3 發(fā)現(xiàn)XXE漏洞

回到向www.hik-online.com發(fā)起請求的數(shù)據(jù)包，它是一個Base64編碼的POST字符串，解碼之后是一堆亂碼，當(dāng)然，攝像機用來驗證服務(wù)器的密碼可能就在固件中，只是需要時間去分析發(fā)現(xiàn)。然而，我從?？低暰W(wǎng)站上無意發(fā)現(xiàn)了這個：

如果發(fā)現(xiàn)任何漏洞，請聯(lián)系HSRC@hikvision.com，請勿對外公開漏洞細節(jié)。

這是一個漏洞懸賞項目，好吧，讓我們來研究研究它的POST請求。由于這是一個XML POST請求，我首先嘗試用SYSTEM entity方法來讓遠程網(wǎng)站引用本地實體文件，如:

]>

c>&b;c>

但該方法并不奏效，于是，我利用VPS遠程傳入引用實體，成功了!

]>

c>&b;c>

圖：載入外部實體成功

!這就有意思了，既然我們可以使用SYSTEM entity方式加載引用外部實體，就可以通過惡意dtd文件調(diào)用回傳其它網(wǎng)站文件，如/etc/hosts文件等。所有這些過程都可以通過一個好用的自動化工具XXEinjector來完成：

OK，我可以遠程讀取網(wǎng)站上的任意文件，包括etc/shadow文件，當(dāng)然也就獲取了這臺服務(wù)器的root權(quán)限。而且，海康威視分布在全球的其它API服務(wù)器同樣存在該XXE漏洞，最終，如果獲得了這些遠程服務(wù)器權(quán)限，甚至連shodan上可搜索的大量網(wǎng)絡(luò)攝像機都面臨安全風(fēng)險。

漏洞報告提交流程：

2016年8月6日，發(fā)送第一封郵件到海康威視安全響應(yīng)中心(HSRC)

2016年8月16日，HSRC無回應(yīng)，之后我又發(fā)送了一封郵件

2016年9月6日，重新給?？低暿袌龊凸P(guān)部門發(fā)了一封郵件

2016年9月7日，HSRC確認接收并要求發(fā)送更多信息

2016年9月8日，?？低曅迯?fù)了漏洞并要求我重新測試

2016年9月25日，作為獎勵，收到了海康威視一個價值69美元的網(wǎng)絡(luò)攝像機

**參考來源：iraklis ，F(xiàn)B小編clouds編譯，轉(zhuǎn)載請注明來自FreeBuf（FreeBuf.COM）

推薦文章：

淺析2016年DDoS攻擊現(xiàn)狀與防御機制

遠程控制木馬最初、后來和現(xiàn)在面臨的問題

大揭秘：原來黑客是這么破解MCU的

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。