某远程代码执行漏洞影响超过70个不同的CCTV-DVR供应商的漏洞分析
有个老外读了POINT OF SALE MALWARE: THE FULL STORY OF THE BACKOFF TROJAN OPERATION这篇paper后,对paper里面的数字窃贼先通过入侵CCTV系统识别目标所属的零售商,然后进一步入侵POS机,窃取信用卡帐号比较感兴趣,就去网上找了找了找该CCTV-DVR固件,然后通过分析发现了一个远程代码执行漏洞。然后我看他放出来POC,其实还利用了另一个该固件比较老的漏洞。下面一一说。
0x01 漏洞分析通过shodan搜索“Cross Web Server”可以发现大概有18817个设备,其中美国占多数,然后是中国,泰国。这些设备监听81/82端口的居多,另外也有些监听8000端口,
图0
打开web后的页面如下:
图1
然后通过查看网页源码找到WebClient.html,在查看WebClient.html源码找到script/live.js,live.js里包含了logo/logo.png
图2
由这个logo知道这是一家销售CCTV系统的以色列公司,但是通过查看网站源码中的注释,发现是中国人写的代码,然后作者去官网下载了固件。固件下载回来是一个zip压缩包,解压后可以看到
图3
首先查看boot.sh,发现其中执行了另一个bash脚本deps2.sh,这个脚本执行了2个bin文件,分别是XVDRStart.hisi和td3520a,通过他们的文件体积,原文作者首先看了td3520a,td3520a包含了符号表,使分析变得很容易,通过预览了一阵代码,原文作者发现下面有问题的汇编代码
图4
通过代码可以看出如果/language/[language]/index.html中的[language]目录存在,则解压到[language],如果不存在,则DVRSsystem最终会执行”tar -zxf /mnt/mtd/WebSites/language.tar.gz %s/* -C /nfsdir/language/“,这就导致了命令执行。看到这里想到原来玩CTF遇到/etc/crontab文件中管理员用tar做定期备份的时候,语句写成了tar cfz /home/rene/backup/backup.tar.gz *,引发的问题,原理可以参考http://www.defensecode.com/public/DefenseCode_Unix_WildCards_Gone_Wild.txt
要想利用还需要克服几个问题
web服务器不能处理使用空格或换行的URL编码 命令长度有限制可以通过${IFS}克服空格的限制
通过请求
#!bash GET /language/Swedish${IFS} echo${IFS}$USER test tar${IFS}/string.js HTTP/1.1
来执行查看当前用户的命令,这个HTTP请求会返回404
要看执行结果,需要利用一个比较老的漏洞递归漏洞来查看结果
#!bash GET /../../../../mnt/mtd/test
图5
其实如果不用命令执行漏洞来利用的话,也可以通过递归漏洞读取配置文件(/etc/passwd,/config/config.dat等)
图6
POC地址如下:
https://github.com/k1p0d/h264_dvr_rce
这个产品的真正的制造商是深圳的同为数码(http://www.tvt.net.cn/),其他厂商估计是带贴标签的,也就是俗称的OEM(又叫定牌生产和贴牌生产,最早流行于欧美等发达国家,它是国际大公司寻找各自比较优势的一种游戏规则,能降低生产成本,提高品牌附加值)
受影响的厂商列表:
Ademco ATS Alarmes technolgy and ststems Area1Protection Black Hawk Security Capture China security systems Cocktail Service Cpsecured CP PLUS Digital Eye’z no website Diote Service Consulting DVR Kapta ELVOX ET Vision Extra Eye 4 U eyemotion Fujitron Full HD 1080p Gazer Goldeye Goldmaster Grizzly HD IViewer Hi-View Ipcom ISC Illinois Security Cameras, Inc. JFL Alarmes Lince Lynx Security Magtec Meriva Security Multistar Navaio NoVus Optivision PARA Vision Provision-ISR Q-See Questek Retail Solution Inc RIT Huston .com ROD Security cameras Satvision Sav Technology Skilleye Smarteye Superior Electrial Systems TechShell TechSon Technomate TecVoz TeleEye Tomura truVue Umbrella United Video Security System, Inc Universal IT Solutions US IT Express U-Spy Store Ventetian V-Gurad Security Vision Line Visar Vodotech.com Watchman Xrplus Yansi Zetec ZoomX 0x02 参考文章TVT TD-2308SS-B DVR – Directory Traversal Vulnerability Remote Code Execution in CCTV-DVR affecting over 70 different vendors
原创文章,作者:Maggie-Hunter,如若转载,请注明出处:https://blog.ytso.com/53575.html
shell相关文章
- CVE-2021-4034 pkexec提权漏洞分析
- HTTP.SYS远程代码执行漏洞(MS15-034)
- http.sys远程代码注入漏洞
- Weblogic Coherence组件远程代码执行漏洞(CVE-2020-2555)
- 漏洞复现 - - - WebLogic反序列化远程命令执行漏洞(二)
- 2022-10微软漏洞通告
- 【漏洞复现】Apache HTTP Server 2.4.49、2.4.50 RCE(CVE-2021-41773)
- phpMyAdmin 4.8.1 远程文件包含漏洞复现
- CVE-2017-9805 S2-052远程代码执行漏洞
- S2-001 远程代码执行漏洞
- FreeBuf周报 | 超1万家企业遭受钓鱼攻击;多款本田车型存在漏洞,车辆可被远程控制
- 扫描Linux远程漏洞扫描:及时发现保护网络安全(linux远程漏洞)
- 谷歌浏览器出现已被黑客利用的零日漏洞 请所有用户立即升级最新版
- Linux Systemd被爆远程漏洞 CVE-2017
- Windows远程命令执行0day漏洞的安全预警及其处理建议
- Zabbix爆远程代码执行漏洞、数据库写入高危漏洞(CVE-2017-2824)
- 漏洞预警 | 海洋CMS(SEACMS)0day漏洞预警
- 渗透神器Burp Suite被曝远程代码执行漏洞,官方回复称证据不充分
- Struts2 S2-048远程代码执行漏洞分析报告
- Python urllib HTTP头注入漏洞
- 漏洞预警:Zabbix高危SQL注入漏洞,可获取系统权限
- 码农代码审计:php漏洞