AD

hack_the_IOT_camera_dildo_svakom_siime_eye

Svakom公司出品的249刀的siime eys,在dildo的顶部,有一个摄像机。可以用于增进情趣或者女性自检
1 该设备默认情况下,开启后会生成一个“Siime Eye”名称的SSID,并且有默认的密码88888888
2 通过解析APK文件,发现调用了一些第三方类库,其中“wingedcamlib”和“skyviper”是一个带摄像头无人机采用的。
3 存在硬编码的用户名口令,以及IP端口
4、在早期版本中,SSID为硬编码的无法修改。可以通过wigle.net网站,查看存在“Siime Eye”名称的SSID
5、通过进入硬编码的WEB应用,可以访问比手机应用更强大更多的功能。例如可以配置网络共享。
WEB应用存在网络设置、运动检测设置等。这些设置通过CGI接口实现。所有更改设置的请求都会发送到“/set_params.cgi ”,该接口会返回包含成功与否的json格式信息。另外一个接口“/get_params.cgi”会返回大量响应的配置参数,包含“skype_pwd”、“smtp_pwd”、“ddns_pwd”等参数。如果对第二个借口发送get请求,则可以改变dildoDNS配置,甚至后台绑定一个skype账号。

并且存在CORS(运行跨域资源共享)政策,(Access-Control-Allow-Origin*
经过测试后,发现可以通过XMLHttpRequest发送请求,获取到一个RTSP响应。但因为SOP的原因,无法将RTSP响应正确读取。

但是CGI接口文件允许发送到请求JSONP回调/调用,可以通过一个特殊的JSONP调用绕过SOPJSONP允许指定一个变量名,将json数据作为一个脚本引入。
已经有研究人员编写好了py脚本,参考:https://github.com/i1ikey0u/siime_root

6、隐藏服务
通过搜索一些cgi接口文件的名称,发现了一个REECAM开发文档http://wiki.reecam.cn/CGI/Params
在这个文档中,发现了Siime Eye使用的cgi文件。通过硬件MAC,指向了深圳reecam科技有限公司。由此推测,该公司生产的其他类似/同类作品,同样可能存在上面的问题。
随后,研究人员发现了一个测试接口参数,通过如下URL,可以让Siime Eye重启,并开放telnet服务。但研究人员未发现可用的登录凭证。

7、通过硬件拆解发现,Siime Eye使用了一个Ralink RT5350F WiSoC,还有Winbond W9825G6JH-6SDRAM Winbond 25Q64FVSIGflash芯片。其次还发现有UART接口,使用57600的波特率,即可接入debug接口。
通过利用其它工具(非UART接口),读取Winbond 25Q64FVSIG芯片,获取固件。使用binwalk解包后,发现是一个定制的linux文件系统,但是没有/etc/passwd/etc/shadow

8web参数注入
在连接UART调试接口后,访问WEB界面时,会发现DEBUG窗口有信息。在“网络共享配置”页面,研究人员发现一个参数注入,并且输入信息会发送至UART调试接口。在“HOST/IP”中输入“192.168.1.1; ls -al; echo” and “192.168.1.1; cat /etc/passwd; echo”,点击SET后,页面提示共享失败,同时UART调试接口获取到了当前目录信息和passwd文件内容。
由于web应用使用了root权限运行,研究人员可以从固件中dump出了root密码。

(本人禁止转载及摘录,如需转载,请联系我!)
翻译自:https://www.pentestpartners.com/blog/vulnerable-wi-fi-dildo-camera-endoscope-yes-really/

评论

此博客中的热门博文

简单粗暴导出小米便签

我——终于一个人了

Ubiquiti_Networks_UniFi_Cloud_Key_authed_rce