Взлом сервера видеонаблюдения

Rector · 26-07-12 15:57:28

Спасибо нашим модераторам, я немного отдохнул в баньке -) Но речь не об этом. Речь пойдет о взломе сервера видеонаблюдения под управлением Windows, конечно.
---
Итак, есть некая контора в которой установлена система видеонаблюдения. Всю эту систему монтировала сторонняя организация, привет ходячим инсталляторам -)
Сама сеть виденаблюдения выделена в отдельный VLAN, что уже хорошо по сути. Состоит из коммутатора, сервера и собственно клиента этого сервера, где организованно рабочее место охранников. Моя задача - проверить данный сервер на наличие уязвимостей и по возможности получить контроль над системой сервера. Ну и потом, рекомендации по устранению уязвимостей выдать конечно -)
---
Ну чтож, приступаю...Из инструментов у меня - ноут, Back Track Linux и винда в виртуалке.
Подключаюсь в сеть и загружаю Back Track...

Однако -) DHCP, который любезно предоставил нам вход в сеть здесь нет. Уже не плохо -)

Попробую вручную...

Ну точно нет -) Ну нет так нет -) Послушаем тогда сетушку...

Вижу что сеть принадлежит диапазону адресов 192.168.13.xxx Вряд ли, данный диапазон разделен на подсети, поэтому назначу адрес 192.168.13.254, с маской 255.255.255.0.

Недолгое сканирование выявило что сервером видеонаблюдения, является машина с IP-адресом 192.168.13.2.

Для автоматического поиска уязвимостей, использую Metasploit с фронтэндом Armitage...

Машинка явно уязвима smile )

Открываю шелл на этой машине...

Даю команду net start (надо же определить что там за система вообще) -))

Системная локаль явно английская, поэтому будем использовать английские значения при добавлении нового юзера. Надо же расширить пролом -)

Добавил нового юзера SUPPORT_3389, похож немного на системный по умолчанию, да? Запускать сервер RDP и создавать новые правила брандмауера смысла нет, т.к. RDP-сервер там уже работает.

Пробуем коннект rdesktop 192.168.13.2

Админ явно оставил свою сессию не закрытой. А может он там сейчас? -)

Пофигу! Коннектимся -)

Ну вот, я уже здесь -)

Гляну что там у нас сетью этой встраиваемой винды...

Понятно. Сеть камер имеет адреса из диапазона 192.168.14.ххх и подключена ко второму интерфейсу 192.168.14.2
Недолгий поиск по диску машинки...и я нашел программку для поиска и опроса камер.

Найдено 17 камер. Система использует IP-камеры BEWARD.

Пробую взять контроль над одной из них. Login: admin Pass:admin (я так думаю) -)
ОК! Стандартный пароль подходит! Хотя надо отдать должное строителям этой сети. Камеры они от общей сети изолировали вообще.

В меню пуск нашел и собственно сам сервер для видеонаблюдения. Система использует сервер Trassir. Который не работает демоном, а может только загружаться в месте с логином юзера. Однако -) То то я и думаю, кто там был на сервере, когда я к нему подключался? Да никого, прога тупо в автозагрузке -) Только в камеры через RDP заглянуть не удалось. Не позволяет RDP видео смотреть -)

Ну что же делать? Придется грузить винду и искать клиента этой системы, заодно и хелп почитать. Поиск был не долгим. Был найден сайт производителя этой системы и соответственно клиент.

Из хелпа было уяснено что система Trassir, использует по умолчанию логины Admin и User без пароля. Клиент был загружен и установлен, хелп прочитан. Пробуем коннект к системе с логином Admin....

ОК!

Замечательно! Всё как на ладони! -)))

++++++++++++++++++++++++++
Резюме.
1. Отдельный VLAN для системы видеонаблюдения - хорошо
2. Отдельная сеть камер - отлично
3. DHCP отсутствует - удовлетворительно
4. Логины и пароли для камер по умолчанию - плохо
5. Логины и пароли сервера Trassir по умолчанию - неуд!
6. Не установлены критические обновления системы * Windows Embeded - неуд!
----
* MS08-67
===========
Вопросы, замечания, высеры?

Rorschach · 26-07-12 16:13:31

Rector пишет:

Вопросы, замечания, высеры?

Аняня, рехтур, гуглем ты пользоваться можешь:
https://www.video-ip.ru/support/article9.htm
Еще пороюсь и найду ведь хау-ту. Низачет. Кстати, это не твоя фотка:
%D0%9A%D1%83%D0%BB%D1%85%D0%B0%D1%86%D0%BA%D0%B5%D1%80.jpg
Уж больно похож.

beep · 26-07-12 16:18:02

а если бы не :

Rector пишет:

4. Логины и пароли для камер по умолчанию - плохо

и пароли и логин: admin:admin ?
то что было б ?

Rorschach · 26-07-12 16:22:23

beep пишет:

то что было б ?

Я тебе говорю, что я видел хендбук по взлому видоесервера.... Кульхацкер, что с него взять.

Rector · 26-07-12 16:23:33

beep пишет:

а если бы не :
Rector пишет:
4. Логины и пароли для камер по умолчанию - плохо
и пароли и логин: admin:admin ?
то что было б ?

Ничего. Это так, проверка на предмет "умолчания". Доступ к серверу у меня полный, как видишь. Так что...Можно просто отключить интерфейс 192.168.14.2 -) И делать свои темные делишки smile )

Rorschach · 26-07-12 16:24:59

Rector пишет:

Ничего. Это так, проверка на предмет "умолчания". Доступ к серверу у меня полный, как видишь. Так что...Можно просто отключить интерфейс 192.168.14.2 -) И делать свои темные делишки )

Угу, на хрюше урезанной, дай ка догадаюсь. Даже без сервис-паков. Пиженная.

Редактировался Rorschach (26-07-12 16:27:42)

дохтур · 26-07-12 16:35:00

Кто-то вроде пароли к учёткам обещал за полчаса подобрать, не? smile

Rorschach · 26-07-12 16:36:04

дохтур пишет:

Кто-то вроде пароли к учёткам обещал за полчаса подобрать, не?

Так он подобрал - одмин - одмин.
А еще он грозился любого поломать по ИП и мою сеть уронить. Да. Молчит наш херой.

Rector · 26-07-12 16:38:08

дохтур пишет:

Кто-то вроде пароли к учёткам обещал за полчаса подобрать, не?

А зачем их в данном случае подбирать? Смотри скрины...Там и без подбора винда ложится и ноги раздвигает smile ))

beep · 26-07-12 16:56:03

Rorschach пишет:

Я тебе говорю, что я видел хендбук по взлому видоесервера.... Кульхацкер, что с него взять.

ну тогда МегаКулцхакер, я сломал Word и сменил там шрифт с 12 на 14

Rorschach · 26-07-12 16:59:48

beep пишет:

ну тогда МегаКулцхакер, я сломал Word и сменил там шрифт с 12 на 14

Ну и я о чем. Он бы еще сервак с вин 2000 сломал. ЧСХ kernel.org была взломана. А вот у МС подобной хуйни не было.

Добавлено спустя 20 мин 31 с:

Rector пишет:

Там и без подбора винда ложится и ноги раздвигает

Пижженная, без обновлений. Ага.
Шой то ты так и не смог поломать более современные версии. Дай догадаюсь - хау-ту нет и руки из жопы?

Редактировался Rorschach (26-07-12 17:21:20)

Rector · 26-07-12 17:42:31

Rorschach пишет:

Пижженная, без обновлений. Ага

Эту систему ставили твои подельники по винде-) Селенскай и сотоварищи. Ходячие инсталяторы -) Почему они туда поставили, то что поставили, я понятия не имею. Моё дело было проверить как там и что -))

Rorschach · 26-07-12 17:58:36

Rector пишет:

Эту систему ставили твои подельники по винде

У меня нет подельников. Это раз. Во вторых, ты бы еще сельские сортиры ломал с таким же энтузиазмом. Да, если ты такой крутой какир определи сейчас мой реальный ип? а? Да и вообще нет гарантии, что это ты ломал, так картиночки скопипастил.
ЗЫ Что то ты ниасилил мою сеть сломать. Как бы не пыжылся и не выебываля. Рехтур, давай я тебе скажу на таком "блатном" жаргоне - ты уже один раз силько зашкворился, так что из петухов тебе не выйти. Никогда. Хоть пентагон с паганым микрософтом взломай. Ты 0, дырка от бублика. И не возвращайся к теме какирства.

Редактировался Rorschach (26-07-12 18:21:48)

Rector · 26-07-12 18:21:39

Rorschach пишет:

определи сейчас мой реальный ип

ОК! По твоей сетушке анализ будет позже...

Rorschach · 26-07-12 18:22:14

Rector пишет:

ОК! По твоей сетушке анализ будет позже...

жду-жду. Именно сейчас.

Rector · 26-07-12 18:27:59

Rorschach пишет:

Ты 0, дырка от бублика.

Поздравляю! Ты нашел себе настоящего врага!

Rorschach · 26-07-12 18:30:50

Rector пишет:

Поздравляю! Ты нашел себе настоящего врага!

Поздравления принял А теперь какой ИП то?

Редактировался Rorschach (26-07-12 18:33:22)

UPS · 26-07-12 18:42:26

Rector пишет:

Поздравляю! Ты нашел себе настоящего врага!

Ну так будет взлом Rorschach по IP или нет? Уже который месяц в напряжении ждем smile
Если все описанное вами правда- то какие рекомендации вы дали им для устранения дыр в безопасности? Вас же для этого приглашали.
Вот ваши рекомендации big_smile и будут ответом на вопрос почему вообще взломали и устраняется все очень просто. Начиная с пистона местному админу.
А так получается, что взломали то , к защите чего не было приложено усилий со стороны клиента.

Редактировался UPS (26-07-12 18:43:07)

Rorschach · 26-07-12 18:51:34

UPS пишет:

Ну так будет взлом Rorschach по IP или нет?

Да какой взлом по ИП, он пусть скажет какой у меня сейчас ИП. Он обещал.

UPS · 26-07-12 18:52:50

Rorschach пишет:

Поздравления принял А теперь какой ИП то?

А что будет доказательством взлома по IP? Его же надо предъявить smile

Rorschach · 26-07-12 18:55:03

UPS пишет:

А что будет доказательством взлома по IP? Его же надо предъявить

нет, это будет доказательством, что он хотя бы сможет узнать мой реальный ип. А дальше он обещался анализ сети.

UPS · 26-07-12 19:03:06

Rorschach пишет:

что он хотя бы сможет узнать мой реальный ип. А дальше он обещался анализ сети.

Ну все, значит будем ждать. smile

Rector · 27-07-12 04:14:44

UPS пишет:

Если все описанное вами правда- то какие рекомендации вы дали им для устранения дыр в безопасности? Вас же для этого приглашали.
Вот ваши рекомендации и будут ответом на вопрос почему вообще взломали и устраняется все очень просто. Начиная с пистона местному админу.
А так получается, что взломали то , к защите чего не было приложено усилий со стороны клиента.

Всё описанное правда. Взлом стал возможен по причине отсутствия критических обновлений безопасности. А именно через уязвимость описанной в бюллетене микрософта ms08-67. Ну и соответственно рекомендации;
1. Установить обновления системы
2. Изменить дефолтовые пароли на сервере Trassir и видеокамерах
3. Потушить "лишние" сервисы и прикрыть неиспользуемые порты
4. Выписать горчичники подрядной организации -)

Добавлено спустя 08 мин 41 с:

UPS пишет:

Ну так будет взлом Rorschach по IP или нет? Уже который месяц в напряжении ждем

Каю никто не даёт реальных IP на интерфейс. Он всегда ходит под NAT'ом. Так -что...упираться рогами в сиську совсем не прикольно -) И ещё один момент - я тут не модератор, и не вижу IP адресов участников.

Добавлено спустя 1 ч 44 мин 22 с:

Rorschach пишет:

Да какой взлом по ИП, он пусть скажет какой у меня сейчас ИП. Он обещал.

Хотя ладно, если ты так настаиваешь -) Вчера ты был под IP 109.73.11.162

=====

whois 109.73.11.162
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See https://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '109.73.11.160 - 109.73.11.191'
inetnum: 109.73.11.160 - 109.73.11.191
netname: ENERGOKASKAD
descr: ZAO ENERGOKASKAD
country: RU
admin-c: AC14352-RIPE
tech-c: AC14352-RIPE
status: ASSIGNED PA
mnt-by: GARS-MNT
source: RIPE # Filtered
person: Aleksey Chekolskih
nic-hdl: AC14352-RIPE
address: Dubininskaja str, bld. 35, Moscow, Russia
phone: +7 495 2218740
source: RIPE # Filtered
% Information related to '109.73.8.0/22AS31261'
route: 109.73.8.0/22
descr: GARSTELECOM
origin: AS31261
mnt-by: GARS-MNT
source: RIPE # Filtered
% This query was served by the RIPE Database Query Service version 1.19 (WHOIS3)

Rorschach · 27-07-12 10:27:31

Ну ебанутым с добрым утром! Не гребите под себя, ув. читающие, вы все прекрасно знаете к кому я обращаюсь.

Rector пишет:

Хотя ладно, если ты так настаиваешь -) Вчера ты был под IP 109.73.11.162

Рехтур, ну кого ты пытаешься наебать. Этот ИП я тебе 2 года назад давал, если порыться в темах я тебе найду скриншот. Так что не пытайся наебать меня. И да, то что ты опять напиздел - легкопроверяется. Главное спросить модераторов под каким ип я выходил вчера с 9 до 18. Да и сейчас под каким сижу. Как то так. Ты опять показал себя пиздоболом. Поздравления.

pavel2403 пишет:

Все, он уже в работе, берегись терминатор, он не только сломает твою сеть, но еще и твоего кота, жену и тебя...полностью!

Ну дык меня можно - я вообще жлобье поганое, охуевшее, да и жену, правда бывшую тоже можно, да и ломать ее не надо, главное уметь подкатить. И сеть пусть ломает, хотя не надо я сам могу расшарить 10 Тб отборного копро-гей порно. Но блять кота то за что? Он за эту неделю перетерпел кастрацию и стрижку. Кота не дам!!!!1111

Rector пишет:

Всё описанное правда. Взлом стал возможен по причине отсутствия критических обновлений безопасности. А именно через уязвимость описанной в бюллетене микрософта ms08-67. Ну и соответственно рекомендации;
1. Установить обновления системы
2. Изменить дефолтовые пароли на сервере Trassir и видеокамерах
3. Потушить "лишние" сервисы и прикрыть неиспользуемые порты
4. Выписать горчичники подрядной организации -)

Ты бы эта.... поменял свой ник на К.О. Забыл еще пижженную винду не стваить. Пунктом 5... Какир-спышализд.

Rector пишет:

Каю никто не даёт реальных IP на интерфейс. Он всегда ходит под NAT'ом. Так -что...упираться рогами в сиську совсем не прикольно -) И ещё один момент - я тут не модератор, и не вижу IP адресов участников.

Пруф что я сижу под натом. Хотя бы на работе. Это раз. И два - как ты мог увидеть мой ип если ты не модератор? гыгыгыг

Форум StopLinux

Объявление

#1 26-07-12 15:57:28

Взлом сервера видеонаблюдения

#2 26-07-12 16:13:31

Re: Взлом сервера видеонаблюдения

#3 26-07-12 16:18:02

Re: Взлом сервера видеонаблюдения

#4 26-07-12 16:22:23

Re: Взлом сервера видеонаблюдения

#5 26-07-12 16:23:33

Re: Взлом сервера видеонаблюдения

#6 26-07-12 16:24:59

Re: Взлом сервера видеонаблюдения

#7 26-07-12 16:35:00

Re: Взлом сервера видеонаблюдения

#8 26-07-12 16:36:04

Re: Взлом сервера видеонаблюдения

#9 26-07-12 16:38:08

Re: Взлом сервера видеонаблюдения

#10 26-07-12 16:56:03

Re: Взлом сервера видеонаблюдения

#11 26-07-12 16:59:48

Re: Взлом сервера видеонаблюдения

#12 26-07-12 17:42:31

Re: Взлом сервера видеонаблюдения

#13 26-07-12 17:58:36

Re: Взлом сервера видеонаблюдения

#14 26-07-12 18:21:39

Re: Взлом сервера видеонаблюдения

#15 26-07-12 18:22:14

Re: Взлом сервера видеонаблюдения

#16 26-07-12 18:27:59

Re: Взлом сервера видеонаблюдения

#17 26-07-12 18:30:50

Re: Взлом сервера видеонаблюдения

#18 26-07-12 18:42:26

Re: Взлом сервера видеонаблюдения

#19 26-07-12 18:51:34

Re: Взлом сервера видеонаблюдения

#20 26-07-12 18:52:50

Re: Взлом сервера видеонаблюдения

#21 26-07-12 18:55:03

Re: Взлом сервера видеонаблюдения

#22 26-07-12 19:03:06

Re: Взлом сервера видеонаблюдения

#23 27-07-12 04:14:44

Re: Взлом сервера видеонаблюдения

#24 27-07-12 10:27:31

Re: Взлом сервера видеонаблюдения

Подвал форума