0x00 起因

---

有個老外讀了POINT OF SALE MALWARE: THE FULL STORY OF THE BACKOFF TROJAN OPERATION這篇paper後，對paper裡面的數字竊賊先透過入侵CCTV系統識別目標所屬的零售商，然後進一步入侵POS機，竊取信用卡帳號比較感興趣，就去網上找了找了找該CCTV-DVR韌體，然後透過分析發現了一個遠端程式碼執行漏洞。然後我看他放出來POC，其實還利用了另一個該韌體比較老的漏洞。下面一一說。

0x01 漏洞分析

---

透過shodan搜尋“Cross Web Server"可以發現大概有18817個裝置，其中美國佔多數，然後是中國，泰國。這些裝置監聽81/82埠的居多，另外也有些監聽8000埠，

圖0

開啟web後的頁面如下：

圖1

然後透過檢視網頁原始碼找到WebClient.html,在檢視WebClient.html原始碼找到script/live.js,live.js裡包含了logo/logo.png

圖2

由這個logo知道這是一家銷售CCTV系統的以色列公司，但是透過檢視網站原始碼中的註釋，發現是中國人寫的程式碼，然後作者去官網下載了韌體。韌體下載回來是一個zip壓縮包，解壓後可以看到

圖3

首先檢視boot.sh，發現其中執行了另一個bash指令碼deps2.sh，這個指令碼執行了2個bin檔案，分別是XVDRStart.hisi和td3520a，透過他們的檔案體積，原文作者首先看了td3520a，td3520a包含了符號表，使分析變得很容易，透過預覽了一陣程式碼，原文作者發現下面有問題的彙編程式碼

圖4

透過程式碼可以看出如果/language/[language]/index.html中的[language]目錄存在，則解壓到[language]，如果不存在，則DVRSsystem最終會執行"tar -zxf /mnt/mtd/WebSites/language.tar.gz %s/* -C /nfsdir/language/",這就導致了命令執行。看到這裡想到原來玩CTF遇到/etc/crontab檔案中管理員用tar做定期備份的時候，語句寫成了tar cfz /home/rene/backup/backup.tar.gz *，引發的問題，原理可以參考http://www.defensecode.com/public/DefenseCode_Unix_WildCards_Gone_Wild.txt

要想利用還需要克服幾個問題

1. web伺服器不能處理使用空格或換行的URL編碼
2. 命令長度有限制

可以透過${IFS}克服空格的限制

透過請求

#!bash
GET /language/Swedish${IFS}&&echo${IFS}$USER>test&&tar${IFS}/string.js HTTP/1.1

來執行檢視當前使用者的命令，這個HTTP請求會返回404

要看執行結果，需要利用一個比較老的漏洞遞迴漏洞來檢視結果

#!bash
GET /../../../../mnt/mtd/test

圖5

其實如果不用命令執行漏洞來利用的話，也可以透過遞迴漏洞讀取配置檔案(/etc/passwd,/config/config.dat等)

圖6

POC地址如下：
https://github.com/k1p0d/h264_dvr_rce

這個產品的真正的製造商是深圳的同為數碼（http://www.tvt.net.cn/），其他廠商估計是帶貼標籤的，也就是俗稱的OEM（又叫定牌生產和貼牌生產，最早流行於歐美等已開發國家，它是國際大公司尋找各自比較優勢的一種遊戲規則，能降低生產成本，提高品牌附加值）

受影響的廠商列表：

• Ademco
• ATS Alarmes technolgy and ststems
• Area1Protection
• Avio
• Black Hawk Security
• Capture
• China security systems
• Cocktail Service
• Cpsecured
• CP PLUS
• Digital Eye'z no website
• Diote Service & Consulting
• DVR Kapta
• ELVOX
• ET Vision
• Extra Eye 4 U
• eyemotion
• EDS
• Fujitron
• Full HD 1080p
• Gazer
• Goldeye
• Goldmaster
• Grizzly
• HD IViewer
• Hi-View
• Ipcom
• IPOX
• IR
• ISC Illinois Security Cameras, Inc.
• JFL Alarmes
• Lince
• LOT
• Lux
• Lynx Security
• Magtec
• Meriva Security
• Multistar
• Navaio
• NoVus
• Optivision
• PARA Vision
• Provision-ISR
• Q-See
• Questek
• Retail Solution Inc
• RIT Huston .com
• ROD Security cameras
• Satvision
• Sav Technology
• Skilleye
• Smarteye
• Superior Electrial Systems
• TechShell
• TechSon
• Technomate
• TecVoz
• TeleEye
• Tomura
• truVue
• TVT
• Umbrella
• United Video Security System, Inc
• Universal IT Solutions
• US IT Express
• U-Spy Store
• Ventetian
• V-Gurad Security
• Vid8
• Vtek
• Vision Line
• Visar
• Vodotech.com
• Vook
• Watchman
• Xrplus
• Yansi
• Zetec
• ZoomX

0x02 參考文章

---

• TVT TD-2308SS-B DVR - Directory Traversal Vulnerability
• Remote Code Execution in CCTV-DVR affecting over 70 different vendors