大华摄像头backdoor，漏洞？

想看摄像头么？我猜测会利用漏洞的你在电脑前肯定发出猥琐的笑声。没错，搞安全就是要猥琐。 和同事们出完这份报告后，大华股票没有跌，没错....因为停牌了。 而今天刚好POC可以放，就放出来耍耍吧。 摄像头的漏洞比寻常web的漏洞更刺激，因为可以做一些不可描述的事情，邪恶吧。

-------------------------------------------

00x1 升级补丁不当

在03月06日的时候，中国浙江的一家安全摄像头/DVR制造商大华科技（Dahua Technology）针对旗下的不少产品推送了固件升级补丁，推出固件的补丁被爆存在后门，攻击者利用该后门，就能远程访问摄像头产品中的用户密码哈希的数据库。攻击者可以获取到数据库中身份凭证信息，进而登录设备，最终导致设备被黑客完全控制。目前浙江大华摄像头在全球共有约70万台。

这个是不是后门，我们无力发声，让圈子的人评估吧。POC是一个国外的哥们放出来的，一不小心就拿到了。

00x2 漏洞原理与危害

目前，大华摄像头共发现11个型号的摄像头设备存在后门，攻击者可远程下载存储有用户名和密码哈希的凭证文件，其中包含管理员的账户和密码。攻击获取到这些信息后，可以直接登录，完全控制摄像头设备。

2017年3月6日该后门发现者已经公布PoC代码，后经过与大华公司沟通，作者已经删除PoC，称2017年4月5日会再次发布。尽管如此，该PoC可能已经小范围流传，并有可能在网络中进行扫描攻击。此前针对IoT的恶意代码Mirai活动中就包含大华的IoT设备，用于发起DDOS攻击行为。

说到这里我们看看fofa系统描绘的统计图：

00x3 漏洞分析与利用

此处后门有两个地方，其中一处为任何未经授权的人都可以访问和下载路径为 /current_config/passwd 的存储有用户名和密码hash的凭证信息数据库，其中包含有管理员的用户名和密码。

此处密码为加密。而获得的该密码不需要解密。大华设备有相应的web接口，可以提供登录。这样就可以通过泄露的信息通过web接口进行登录。Web接口地址为/RPC2_Login，，该接口支持3种不同的客户端类型，其中包括Web3.0,Default(默认)，OldDigest。要想成功登录首先根据获取的管理员账户以Web3.0方式发送请求，获取session，然后在把获取的session，用户名和密码hash以OldDigest方式发送请求即可登录成功。以下为成功登录后的效果截图。

根据获取的MD5 hash，首先需要先以Web3.0类型请求 /RPC2_Login 获取一个系统随机生成的字符串和session，然后将用户名，随机字符串和获取的MD5 hash，使用冒号分隔组合成一个新的字符串，将新生成的字符串在使用MD5加密。以Default（默认）类型请求/RPC2_Login 接口即可成功登录。效果如下图：

到了这里还要我放ＰＯＣ么？真的要就私聊我吧... 后台Ｍ我，就ｏｋ了。

00x4 漏洞影响

目前大华官方已经公布受影响列表，目前已经确定共有11款型号存在该后门，其他型号大华公司还在进一步确认中。大华公司仍在对此问题进行调查，可能还有其他设备受到影响。列表如下：

DH-IPC-HDW23A0RN-ZS DH-IPC-HDBW23A0RN-ZS DH-IPC-HDBW13A0SN DH-IPC-HDW13A0SN DH-IPC-HFW13A0SN-W DH-IPC-HDBW13A0SN DH-IPC-HDW13A0SN DH-IPC-HFW13A0SN-W DHI-HCVR51A04HE-S3 DHI-HCVR51A08HE-S3 DHI-HCVR58A32S-S2