入侵監控設備最新漏洞附Poc工具厲害了

夏天到了，各位帥哥靚女都換上了清涼的夏裝，但是，你知道嗎，你身邊的攝像頭正在悄悄泄露你的隱私...據外媒報道，一位阿根廷黑客在5月發布了一款功能強大的新型黑客工具，可以輕鬆提取各種廠商的DVR的明文憑證，授予攻擊者訪問許可權，並且可以隨意查看錄製的視頻

具體是什麼樣呢？下面跟隨華盟君一起去看一看

利用谷歌搜索可以搜出很多內容

用鍾馗之眼搜素的結果發現相關設備有數十萬之多

受影響的設備有：

Novo

CeNova

QSee

Pulnix

XVR 5 in 1 (title: "XVR Login")

Securus, - Security. Never Compromise !! -

Night OWL

DVR Login

HVR Login

MDVR Login

華盟君找了幾個網站測試了一下，發現真的存在漏洞，非常可怕~

EXP：

這個名為 getDVR_Credentials 的工具是 CVE-2018-9995 的概念驗證（Proof-of-Concept, PoC），它是 Fernandez 在上月初發現的一個安全漏洞。通過使用 「Cookie：uid = admin」 的 Cookie 標頭來訪問特定 DVR 的控制面板，DVR 將以明文形式響應設備的管理員憑證。整個開發過程足夠小，甚至通過一條微博就能夠發布。

利用：

附上工具鏈接：

https://github.com/ezelf/CVE-2018-9995_dvr_credentials

部分代碼注釋了一下，所以顯示有些問題，但還是不影響使用~

請勿用於非法使用！

昨天晚上沒事玩了一下，拿到了很多登陸許可權，提供一個大家看看？

如果大家遇到什麼不懂的地方，歡迎進群提問

你可能喜歡

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！