漏洞关键信息 漏洞概述 目标: Shenzhen TVT Digital Technology Co. Ltd 与 OEM {DVR/NVR/IPC} API RCE 攻击向量: 远程 认证要求: 匿名(无需凭据) 研究人员: bashish (2017年12月) 验证: 该漏洞影响众多OEM厂商的产品和版本。 不受影响: 2018 年 3 月之后发布的 firmware 以及 OEM 的固件版本 漏洞细节 1. Base64 授权机制中的栈溢出 - 漏洞文件: - 堆/栈: NX+Non-ASLR - 尝试使用 payload: - 示例命令: 2. 硬编码的认证机制 - 问题: 进程监听所有可用接口,不仅仅是在回环接口 。 - 利用 cereal: 可能被用于接管远程的 Web 通信。 3. TCP/4567 上的硬编码认证机制与 RCE - 利用: 使用特殊构造的 base64 编码 XML 数据包。 - Python POC: 详细步骤见: 4. 硬编码的 Web GUI 密码 - 登录名: 或 (取决于OEM) - 硬编码密码: - 自动认证尝试: Puerto fear 认证可能会失败,但通过组合的硬编码密码,可以认为是匿名的认证方式。 5. 硬编码的 Web GUI 密码结合 RCE - 示例命令 (创建和启用RCE): 6. 硬编码的 root 凭据通过 telnetd - 示例命令: