Спасибо нашим модераторам, я немного отдохнул в баньке -) Но речь не об этом. Речь пойдет о взломе сервера видеонаблюдения под управлением Windows, конечно.
---
Итак, есть некая контора в которой установлена система видеонаблюдения. Всю эту систему монтировала сторонняя организация, привет ходячим инсталляторам -)
Сама сеть виденаблюдения выделена в отдельный VLAN, что уже хорошо по сути. Состоит из коммутатора, сервера и собственно клиента этого сервера, где организованно рабочее место охранников. Моя задача - проверить данный сервер на наличие уязвимостей и по возможности получить контроль над системой сервера. Ну и потом, рекомендации по устранению уязвимостей выдать конечно -)
---
Ну чтож, приступаю...Из инструментов у меня - ноут, Back Track Linux и винда в виртуалке.
Подключаюсь в сеть и загружаю Back Track...
Однако -) DHCP, который любезно предоставил нам вход в сеть здесь нет. Уже не плохо -)
Попробую вручную...
Ну точно нет -) Ну нет так нет -) Послушаем тогда сетушку...
Вижу что сеть принадлежит диапазону адресов 192.168.13.xxx Вряд ли, данный диапазон разделен на подсети, поэтому назначу адрес 192.168.13.254, с маской 255.255.255.0.
Недолгое сканирование выявило что сервером видеонаблюдения, является машина с IP-адресом 192.168.13.2.
Для автоматического поиска уязвимостей, использую Metasploit с фронтэндом Armitage...
Машинка явно уязвима )
Открываю шелл на этой машине...
Даю команду net start (надо же определить что там за система вообще) -))
Системная локаль явно английская, поэтому будем использовать английские значения при добавлении нового юзера. Надо же расширить пролом -)
Добавил нового юзера SUPPORT_3389, похож немного на системный по умолчанию, да? Запускать сервер RDP и создавать новые правила брандмауера смысла нет, т.к. RDP-сервер там уже работает.
Пробуем коннект rdesktop 192.168.13.2
Админ явно оставил свою сессию не закрытой. А может он там сейчас? -)
Пофигу! Коннектимся -)
Ну вот, я уже здесь -)
Гляну что там у нас сетью этой встраиваемой винды...
Понятно. Сеть камер имеет адреса из диапазона 192.168.14.ххх и подключена ко второму интерфейсу 192.168.14.2
Недолгий поиск по диску машинки...и я нашел программку для поиска и опроса камер.
Найдено 17 камер. Система использует IP-камеры BEWARD.
Пробую взять контроль над одной из них. Login: admin Pass:admin (я так думаю) -)
ОК! Стандартный пароль подходит! Хотя надо отдать должное строителям этой сети. Камеры они от общей сети изолировали вообще.
В меню пуск нашел и собственно сам сервер для видеонаблюдения. Система использует сервер Trassir. Который не работает демоном, а может только загружаться в месте с логином юзера. Однако -) То то я и думаю, кто там был на сервере, когда я к нему подключался? Да никого, прога тупо в автозагрузке -) Только в камеры через RDP заглянуть не удалось. Не позволяет RDP видео смотреть -)
Ну что же делать? Придется грузить винду и искать клиента этой системы, заодно и хелп почитать. Поиск был не долгим. Был найден сайт производителя этой системы и соответственно клиент.
Из хелпа было уяснено что система Trassir, использует по умолчанию логины Admin и User без пароля. Клиент был загружен и установлен, хелп прочитан. Пробуем коннект к системе с логином Admin....
ОК!
Замечательно! Всё как на ладони! -)))
++++++++++++++++++++++++++
Резюме.
1. Отдельный VLAN для системы видеонаблюдения - хорошо
2. Отдельная сеть камер - отлично
3. DHCP отсутствует - удовлетворительно
4. Логины и пароли для камер по умолчанию - плохо
5. Логины и пароли сервера Trassir по умолчанию - неуд!
6. Не установлены критические обновления системы * Windows Embeded - неуд!
----
* MS08-67
===========
Вопросы, замечания, высеры?
Винда - это ведро с тухлыми червями. (с) Rector
---
-хакир недоучка, некто Ректор, прославленный мудак из мухосранска, автор «Я этого не потерплю» и «Cмотри,а то я начну работать против тебя» «Ломаю по IP недорого» и других не менее веселых выражений. Любитель подсматривать в замочную скважину и читать чужую почту. (c) Неизвестный техник из лаборатории
Неактивен
Вопросы, замечания, высеры?
Аняня, рехтур, гуглем ты пользоваться можешь:
https://www.video-ip.ru/support/article9.htm
Еще пороюсь и найду ведь хау-ту. Низачет. Кстати, это не твоя фотка:
Уж больно похож.
Неактивен
а если бы не :
4. Логины и пароли для камер по умолчанию - плохо
и пароли и логин: admin:admin ?
то что было б ?
Неактивен
то что было б ?
Я тебе говорю, что я видел хендбук по взлому видоесервера.... Кульхацкер, что с него взять.
Неактивен
а если бы не :
Rector пишет:4. Логины и пароли для камер по умолчанию - плохо
и пароли и логин: admin:admin ?
то что было б ?
Ничего. Это так, проверка на предмет "умолчания". Доступ к серверу у меня полный, как видишь. Так что...Можно просто отключить интерфейс 192.168.14.2 -) И делать свои темные делишки )
Винда - это ведро с тухлыми червями. (с) Rector
---
-хакир недоучка, некто Ректор, прославленный мудак из мухосранска, автор «Я этого не потерплю» и «Cмотри,а то я начну работать против тебя» «Ломаю по IP недорого» и других не менее веселых выражений. Любитель подсматривать в замочную скважину и читать чужую почту. (c) Неизвестный техник из лаборатории
Неактивен
Ничего. Это так, проверка на предмет "умолчания". Доступ к серверу у меня полный, как видишь. Так что...Можно просто отключить интерфейс 192.168.14.2 -) И делать свои темные делишки )
Угу, на хрюше урезанной, дай ка догадаюсь. Даже без сервис-паков. Пиженная.
Редактировался Rorschach (26-07-12 16:27:42)
Неактивен
Кто-то вроде пароли к учёткам обещал за полчаса подобрать, не?
Бывает, новые пользователи перезагружают компьютер, потому что не знают, как ещё можно выйти из vi
Ну ты пруфами не сыпь © Skynet2015
Провокатор хуев -) Я к тебе в твою конторку инсайдера зашлю, ты даже не узнаешь в какой момент тебя поимели -) © Rector, 2010-2015
Неактивен
Кто-то вроде пароли к учёткам обещал за полчаса подобрать, не?
Так он подобрал - одмин - одмин.
А еще он грозился любого поломать по ИП и мою сеть уронить. Да. Молчит наш херой.
Неактивен
Кто-то вроде пароли к учёткам обещал за полчаса подобрать, не?
А зачем их в данном случае подбирать? Смотри скрины...Там и без подбора винда ложится и ноги раздвигает ))
Винда - это ведро с тухлыми червями. (с) Rector
---
-хакир недоучка, некто Ректор, прославленный мудак из мухосранска, автор «Я этого не потерплю» и «Cмотри,а то я начну работать против тебя» «Ломаю по IP недорого» и других не менее веселых выражений. Любитель подсматривать в замочную скважину и читать чужую почту. (c) Неизвестный техник из лаборатории
Неактивен
Я тебе говорю, что я видел хендбук по взлому видоесервера.... Кульхацкер, что с него взять.
ну тогда МегаКулцхакер, я сломал Word и сменил там шрифт с 12 на 14
Неактивен
ну тогда МегаКулцхакер, я сломал Word и сменил там шрифт с 12 на 14
Ну и я о чем. Он бы еще сервак с вин 2000 сломал. ЧСХ kernel.org была взломана. А вот у МС подобной хуйни не было.
Добавлено спустя 20 мин 31 с:
Там и без подбора винда ложится и ноги раздвигает
Пижженная, без обновлений. Ага.
Шой то ты так и не смог поломать более современные версии. Дай догадаюсь - хау-ту нет и руки из жопы?
Редактировался Rorschach (26-07-12 17:21:20)
Неактивен
Пижженная, без обновлений. Ага
Эту систему ставили твои подельники по винде-) Селенскай и сотоварищи. Ходячие инсталяторы -) Почему они туда поставили, то что поставили, я понятия не имею. Моё дело было проверить как там и что -))
Винда - это ведро с тухлыми червями. (с) Rector
---
-хакир недоучка, некто Ректор, прославленный мудак из мухосранска, автор «Я этого не потерплю» и «Cмотри,а то я начну работать против тебя» «Ломаю по IP недорого» и других не менее веселых выражений. Любитель подсматривать в замочную скважину и читать чужую почту. (c) Неизвестный техник из лаборатории
Неактивен
Эту систему ставили твои подельники по винде
У меня нет подельников. Это раз. Во вторых, ты бы еще сельские сортиры ломал с таким же энтузиазмом. Да, если ты такой крутой какир определи сейчас мой реальный ип? а? Да и вообще нет гарантии, что это ты ломал, так картиночки скопипастил.
ЗЫ Что то ты ниасилил мою сеть сломать. Как бы не пыжылся и не выебываля. Рехтур, давай я тебе скажу на таком "блатном" жаргоне - ты уже один раз силько зашкворился, так что из петухов тебе не выйти. Никогда. Хоть пентагон с паганым микрософтом взломай. Ты 0, дырка от бублика. И не возвращайся к теме какирства.
Редактировался Rorschach (26-07-12 18:21:48)
Неактивен
определи сейчас мой реальный ип
ОК! По твоей сетушке анализ будет позже...
Винда - это ведро с тухлыми червями. (с) Rector
---
-хакир недоучка, некто Ректор, прославленный мудак из мухосранска, автор «Я этого не потерплю» и «Cмотри,а то я начну работать против тебя» «Ломаю по IP недорого» и других не менее веселых выражений. Любитель подсматривать в замочную скважину и читать чужую почту. (c) Неизвестный техник из лаборатории
Неактивен
ОК! По твоей сетушке анализ будет позже...
жду-жду. Именно сейчас.
Неактивен
Ты 0, дырка от бублика.
Поздравляю! Ты нашел себе настоящего врага!
Винда - это ведро с тухлыми червями. (с) Rector
---
-хакир недоучка, некто Ректор, прославленный мудак из мухосранска, автор «Я этого не потерплю» и «Cмотри,а то я начну работать против тебя» «Ломаю по IP недорого» и других не менее веселых выражений. Любитель подсматривать в замочную скважину и читать чужую почту. (c) Неизвестный техник из лаборатории
Неактивен
Поздравляю! Ты нашел себе настоящего врага!
Поздравления принял А теперь какой ИП то?
Редактировался Rorschach (26-07-12 18:33:22)
Неактивен
Поздравляю! Ты нашел себе настоящего врага!
Ну так будет взлом Rorschach по IP или нет? Уже который месяц в напряжении ждем
Если все описанное вами правда- то какие рекомендации вы дали им для устранения дыр в безопасности? Вас же для этого приглашали.
Вот ваши рекомендации и будут ответом на вопрос почему вообще взломали и устраняется все очень просто. Начиная с пистона местному админу.
А так получается, что взломали то , к защите чего не было приложено усилий со стороны клиента.
Редактировался UPS (26-07-12 18:43:07)
К счастью, мой заработок не сильно зависит от компьютера, иначе бы Линукс было бы проблематично использовать. Меня не особо интересует, что там у других. Меня волнует линукс для моих задач. А если ~1.5% пользователей устраивает линукс - остальным 98.5% от этого не сильно легче. #178. SemyonKozakov
https://stoplinux.org.ru/reviews/review_Ubuntu_LTS_10.04.html
Неактивен
Ну так будет взлом Rorschach по IP или нет?
Да какой взлом по ИП, он пусть скажет какой у меня сейчас ИП. Он обещал.
Неактивен
Поздравления принял А теперь какой ИП то?
А что будет доказательством взлома по IP? Его же надо предъявить
К счастью, мой заработок не сильно зависит от компьютера, иначе бы Линукс было бы проблематично использовать. Меня не особо интересует, что там у других. Меня волнует линукс для моих задач. А если ~1.5% пользователей устраивает линукс - остальным 98.5% от этого не сильно легче. #178. SemyonKozakov
https://stoplinux.org.ru/reviews/review_Ubuntu_LTS_10.04.html
Неактивен
А что будет доказательством взлома по IP? Его же надо предъявить
нет, это будет доказательством, что он хотя бы сможет узнать мой реальный ип. А дальше он обещался анализ сети.
Неактивен
что он хотя бы сможет узнать мой реальный ип. А дальше он обещался анализ сети.
Ну все, значит будем ждать.
К счастью, мой заработок не сильно зависит от компьютера, иначе бы Линукс было бы проблематично использовать. Меня не особо интересует, что там у других. Меня волнует линукс для моих задач. А если ~1.5% пользователей устраивает линукс - остальным 98.5% от этого не сильно легче. #178. SemyonKozakov
https://stoplinux.org.ru/reviews/review_Ubuntu_LTS_10.04.html
Неактивен
Если все описанное вами правда- то какие рекомендации вы дали им для устранения дыр в безопасности? Вас же для этого приглашали.
Вот ваши рекомендации и будут ответом на вопрос почему вообще взломали и устраняется все очень просто. Начиная с пистона местному админу.
А так получается, что взломали то , к защите чего не было приложено усилий со стороны клиента.
Всё описанное правда. Взлом стал возможен по причине отсутствия критических обновлений безопасности. А именно через уязвимость описанной в бюллетене микрософта ms08-67. Ну и соответственно рекомендации;
1. Установить обновления системы
2. Изменить дефолтовые пароли на сервере Trassir и видеокамерах
3. Потушить "лишние" сервисы и прикрыть неиспользуемые порты
4. Выписать горчичники подрядной организации -)
Добавлено спустя 08 мин 41 с:
Ну так будет взлом Rorschach по IP или нет? Уже который месяц в напряжении ждем
Каю никто не даёт реальных IP на интерфейс. Он всегда ходит под NAT'ом. Так -что...упираться рогами в сиську совсем не прикольно -) И ещё один момент - я тут не модератор, и не вижу IP адресов участников.
Добавлено спустя 1 ч 44 мин 22 с:
Да какой взлом по ИП, он пусть скажет какой у меня сейчас ИП. Он обещал.
Хотя ладно, если ты так настаиваешь -) Вчера ты был под IP 109.73.11.162
=====
whois 109.73.11.162
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See https://www.ripe.net/db/support/db-terms-conditions.pdf% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.% Information related to '109.73.11.160 - 109.73.11.191'
inetnum: 109.73.11.160 - 109.73.11.191
netname: ENERGOKASKAD
descr: ZAO ENERGOKASKAD
country: RU
admin-c: AC14352-RIPE
tech-c: AC14352-RIPE
status: ASSIGNED PA
mnt-by: GARS-MNT
source: RIPE # Filteredperson: Aleksey Chekolskih
nic-hdl: AC14352-RIPE
address: Dubininskaja str, bld. 35, Moscow, Russia
phone: +7 495 2218740
source: RIPE # Filtered% Information related to '109.73.8.0/22AS31261'
route: 109.73.8.0/22
descr: GARSTELECOM
origin: AS31261
mnt-by: GARS-MNT
source: RIPE # Filtered% This query was served by the RIPE Database Query Service version 1.19 (WHOIS3)
Винда - это ведро с тухлыми червями. (с) Rector
---
-хакир недоучка, некто Ректор, прославленный мудак из мухосранска, автор «Я этого не потерплю» и «Cмотри,а то я начну работать против тебя» «Ломаю по IP недорого» и других не менее веселых выражений. Любитель подсматривать в замочную скважину и читать чужую почту. (c) Неизвестный техник из лаборатории
Неактивен
Ну ебанутым с добрым утром! Не гребите под себя, ув. читающие, вы все прекрасно знаете к кому я обращаюсь.
Хотя ладно, если ты так настаиваешь -) Вчера ты был под IP 109.73.11.162
Рехтур, ну кого ты пытаешься наебать. Этот ИП я тебе 2 года назад давал, если порыться в темах я тебе найду скриншот. Так что не пытайся наебать меня. И да, то что ты опять напиздел - легкопроверяется. Главное спросить модераторов под каким ип я выходил вчера с 9 до 18. Да и сейчас под каким сижу. Как то так. Ты опять показал себя пиздоболом. Поздравления.
Все, он уже в работе, берегись терминатор, он не только сломает твою сеть, но еще и твоего кота, жену и тебя...полностью!
Ну дык меня можно - я вообще жлобье поганое, охуевшее, да и жену, правда бывшую тоже можно, да и ломать ее не надо, главное уметь подкатить. И сеть пусть ломает, хотя не надо я сам могу расшарить 10 Тб отборного копро-гей порно. Но блять кота то за что? Он за эту неделю перетерпел кастрацию и стрижку. Кота не дам!!!!1111
Всё описанное правда. Взлом стал возможен по причине отсутствия критических обновлений безопасности. А именно через уязвимость описанной в бюллетене микрософта ms08-67. Ну и соответственно рекомендации;
1. Установить обновления системы
2. Изменить дефолтовые пароли на сервере Trassir и видеокамерах
3. Потушить "лишние" сервисы и прикрыть неиспользуемые порты
4. Выписать горчичники подрядной организации -)
Ты бы эта.... поменял свой ник на К.О. Забыл еще пижженную винду не стваить. Пунктом 5... Какир-спышализд.
Каю никто не даёт реальных IP на интерфейс. Он всегда ходит под NAT'ом. Так -что...упираться рогами в сиську совсем не прикольно -) И ещё один момент - я тут не модератор, и не вижу IP адресов участников.
Пруф что я сижу под натом. Хотя бы на работе. Это раз. И два - как ты мог увидеть мой ип если ты не модератор? гыгыгыг
Неактивен