频道栏目
首页 > 安全 > 网络安全 > 正文

Firmware Research:TRENDnet IP Camera Multiple Vulnerabilities

2012-07-16 11:07:56           
收藏   我要投稿

Discovered by Insight-labs [hip]

Thanks Team Members [NWMonster] [AnthrX] [Bacde][瞌腄龙]

厂牌: TRENDnet
型号: TV-IP422W
\
前言:从IP camera进入内网不在是电影上的情节了,希望带给大家有所警觉

弱点分析:

1.Arbitrary Upload Vulnerability

环境介绍:此硬件 CPU 为 ARM ,用 busybox 做为嵌入式 Linux 的文件系统管理

在我测试的环境是装上最新版Firmware

Vulnerabile File: upload.asp

这隻程序出现在2的路径:

1./upload.asp

2./admin/upload.asp
源碼:
\

这两只程序都是一样调到 /cgi/debug/upload.cgi 上传功能
Upload.cgi 接受外部两个变量输入,分别为 path0、data0
而这两个变量基本上没有过任何检查,从String中可以得知一些信息
\

我们直接针对上传点做测试,Tatget0:上传的根目录路径为/server/cgi-bin/,直接传asp webshell看看,由下图得知上传成功,但关键的几个Founction是不支持的,于是换测试cgi backdoor
\

在测试过程中发现所上传的 cgi 必须符合硬件 format .如果不符合,则会发现虽然是上传成功但会无法解析导致 404 not found.

Cgi是由C编译而成,格式为:

ELF 32-bit LSB executable, ARM, version 1, dynamically linked (uses shared libs), stripped

但是如果都符合格式了上传后会发现,还是404 not found!

感到有点奇怪,该不会档案目录有做白名单吗?

接着再上传一次cgi试试看,这次尝试覆盖原有的cgi,结果成功了:D

如下图

http://domain/reboot.cgi?action=asd;ls;date%3E/dev/null

\
\

btw有许多型号有一样的问题

2. TRENDnet Config.cfg Weak encryption issue

Config.cfg 可以透过 http://www.2cto.com /backup.cgi 下载取得

Config.cfg档案内存放了该设备的所有config信息,且经过加密,但这个加密方法可以很简单解密,在国外也有相关的说明,但最新的Firmware貌似也没补丁!

因为硬件有支持FTP跟 SMTP等服务如有使用就会带有账号密码,存在config中且是明文存放
\

所以先谈他的加密方法:
先进行取反
然后进行异或,异或的值是0x6a
也就是ascii码里的’j’

所以解密就是先异或后取反就搞定了如下图:
\

\

解密程序:

decrypt.py

 
def conf_decode(data):
 
r = ""
 
for c in data:
 
x = ord(c) ^ ord('j')
 
x = (~x)&0xff
 
r += chr(x)
 
return r
 
def main():
 
f = open("config.cfg", 'rb+')
 
d = open("decode.gz", 'wb+')
 
x = f.read()
 
y = conf_decode(x)
 
d.write(y)
 
f.close()
 
d.close()
 
if __name__ == "__main__":
 
main()
3. SecurView Mobile (Android) Insecure Data Storage - Plaintext password in db
 
File:SecurViewMobile_1.0.apk快速分析了一下apk发现了密码储存无任何加密,下面我做了实际测试

流程:

1.开启Android 虚拟器

2.adb install SecurViewMobile_1.0.apk

3.先任意储存一笔记录

4. 进入ddms取出cameraprovider.db

5.开启 cameraprovider.db

\

\

\

English Version:

TRENDnet IP Camera Multiple Vulnerabilities

相关TAG标签
上一篇:强化路由器IOS安全-禁用不必要的服务
下一篇:关注网银系统:安全模型和架构设计
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站