p*******m 发帖数: 20761 | 1 Access control bypass in Hikvision IP Cameras
From: Monte Crypto
Date: Tue, 12 Sep 2017 04:19:00 +0200 (CEST)
Access control bypass in Hikvision IP Cameras
Full disclosure
Sep 12, 2017
Synopsis:
---------------
Many Hikvision IP cameras contain a backdoor that allows unauthenticated
impersonation of any configured user account.
The vulnerability has been present in Hikvision products since at least 2014
. In addition to Hikvision-branded devices,
it affects many white-labeled camera products sold under a variety of brand
names. Hundreds of thousands of vulnerable
devices are still exposed to the Internet at the time of publishing. In
addition to gaining full administrative access,
the vulnerability can be used to retrieve plain-text passwords for all
configured users.
Risk and Mitigation:
--------------------
The vulnerability poses a severe risk. Because the vulnerability is trivial
to exploit, it is recommended that you
immediately upgrade or disconnect all Hikvision products from the Internet
or untrusted networks, or at least implement
network access control rules that only allow trusted IP addresses to
initiate connections to vulnerable devices. Keep
in mind that many Hikvision IP cameras come with UPNP enabled by default and
can expose themselves to the Internet
automatically. Hikvision released firmware updates for many camera models
where backdoor code is removed. If an update
is available for your devlice, you should install it as soon as possible.
Be aware that many Hikvision cameras sold online as "Multilanguage" or "
English, not upgradeable" are in fact modified
Chinese-language (domestic market) cameras. Attempting to upload English
firmware into such cameras could result in a
boot loop that can only be recovered from by flashing original Chinese-
language firmware over TFTP. If you do not
understand what this paragraph says or not entirely sure that your camera is
an export English-language model, do not
attempt to upgrade it.
Vulnerability details:
----------------------
Hikvision camera API includes support for proprietary HikCGI protocol, which
exposes URI endpoints through the camera's
web interface. The HikCGI protocol handler checks for the presence of a
parameter named "auth" in the query string and
if that parameter contains a base64-encoded "username:password" string, the
HikCGI API call assumes the idntity of the
specified user. The password is ignored.
Virtually all Hikvision products come with a superuser account named "admin"
, which can be easily impersonated. For
example:
Retrieve a list of all users and their roles:
http://camera.ip/Security/users?auth=YWRtaW46MTEK
Obtain a camera snapshot without authentication:
http://camera.ip/onvif-http/snapshot?auth=YWRtaW46MTEK
All other HikCGI calls can be impersonated in the same way, including those
that add new users or flash camera
firmware. Because most Hikvision devices only protect firmware images by
obfuscation, one can flash arbitrary code or
render hundreds of thousands of connected devices permanently unusable with
just one simple http call.
And worst of all, one can download camera configuration:
http://camera.ip/System/configurationFile?auth=YWRtaW46MTEK
Configuration backup files, unfortunately, contain usernames and plain-text
passwords for all configured users. While
the files are encrypted, the encryption is easily reversible, because
Hikvision chose to use a static encryption key,
which is derived from the password "abcdefg". Other Hikvision products have
similarly weak encryption mechanisms.
Planted backdoor or accidental bug?
-----------------------------------
Make your own judgment.
There are four handlers in a typical Hikvision camera firmware that process
API requests: ISAPI, PSIA, HikCGI, and
Genetec. All four contain very similar authentication and authorization code
. Only one of the four (HikCGI) has an
additional piece of code with a very simple logic of "if this exists, then
skip all authentication". Once you
understand the code flow, the backdoor code really stands out. It is nearly
impossible for a piece of code that obvious
to not be noticed by development or QA teams, yet it has been present for 3+
years. The vulnerability start ed to
quietly disappear from hew firmware released in Jan/Feb of 2017, after
Hikvision leadership made public comments that
no such backdoor exists and after similar backdoors were reported in other
manufacturers' products.
Hikvision indicated that it was a piece of debug code inadvertently left by
one of developers.
It is plausible, that a developer forgot to remove a piece of test code and
it went unnoticed for years. There are no
attempts to hide the backdoor code which would certainly be expected in case
of a deliberately planted backdoor.
Chinese domestic market cameras contain the backdoor as well.
Timeline:
---------------
March 5, 2017:
Backdoor discovered.
March 6, 2017:
- Hikvision notified of the backdoor, technical details provided.
March 7. 2017:
- Hikvision confirmed vulnerability and promised firmware update.
March 12, 2017:
- Hikvision issued a memo about the vulnerability to partners.
- Hikvision started publishing firmware updates for affected devices.
May 4, 2017:
- ICS-Cert released advisory ICSA-17-124-01
Sep 11, 2017:
Vulnerability details released in the full disclosure distribution list.
References:
------------
HikCGI protocol:
http://www.Hikvisioneurope.com/portal/?dir=portal/Integration%20and%20Development%20Materials/03--Protocol/01--HIKCGI%20Protocol
My bitcoin address (buy me a beer):
1N9fKwsy7AphUHZJshCp4L7RJG5CvuXnAk
_______________________________________________
Sent through the Full Disclosure mailing list
https://nmap.org/mailman/listinfo/fulldisclosure
Web Archives & RSS: http://seclists.org/fulldisclosure/
把家里的7个屋外摄像头都升级了 很好很强大
本攻略只适合从ebay alibaba amazon 买的中国运过来的 中文版硬件英文固件(卖家
hack的) 。 中国买的中文固件直接页面升级就好了。 美国版的可以直接升级英文固
件也不需要刷这个攻略了
刷固件有风险 brick 后果自负。
下载tftp server
https://mega.nz/#!iRFhHCSS!H3zOKLERbJioqUADr72kwjsfkhYIiqm4jDFL_rc93iQ
下载固件
http://www1.hikvision.com/cn/download_more_714.html
1. Rename the firmware to digcap.dav
2. Put the firmware under the same folder of this TFTP
3. Set the IP of computer as 192.0.0.128 (电脑要有线)
4. Run the tftpserv.exe
5. Power off and power on the IPC. The device will search the new
firmware and upgrade it automatically.
6. Please wait until TFTP shows "Device [192.0.0.64] system update completed
!" It takes about 5 minutes.
7. Close the TFTP before the camera reboots.
8. IPC will restart automatically after upgrading.
非常简单。
There is confusion in forums regarding serial numbers and region codes. Here
is now you read HIK serial numbers:
Example for a DVR: DS-7608NI-E2/8P0820160211AAWR123456789WCVU
(IP camera serials are similar)
Code:
DS-7608NI-E2/8P <- model name
08 <- input channels
20160211 <- production date YYYYMMDD
A <- CPU freq (A, B, or C)
A <- DSP freq (A, B, or C)
WR <- Region code, see below
123456789 <- serial number
WCVU <- features, see below
Region codes:
-------------
CH <- China
TW <- Taiwan
JP <- Japan
EU <- Europe
NA <- USA
WR <- World/multilanguage
HK
BJ
SH
GZ
CD
AS
RR <- Other/unspecified
Feature codes:
--------------
W <- Supports web
C <- Supports VT
V <- Supports VGA
L <- Supports LCD
U <- Supports USB
The region code controls features, not UI language. There is a separate code
for language in bootparams (not in the serial #):
01 <- EN/Multi-language
02 <- Chinese, simplified
03 <- Chinese, traditional |
s*k 发帖数: 507 | 2 不是总共有12个么
给几个安装后的照片看看吧
【在 p*******m 的大作中提到】 : Access control bypass in Hikvision IP Cameras : From: Monte Crypto : Date: Tue, 12 Sep 2017 04:19:00 +0200 (CEST) : Access control bypass in Hikvision IP Cameras : Full disclosure : Sep 12, 2017 : Synopsis: : --------------- : Many Hikvision IP cameras contain a backdoor that allows unauthenticated : impersonation of any configured user account.
|
p*******m 发帖数: 20761 | 3
还有一些是室内的不是海康的 这个这个安装后的照片不是很好吧 lol 线太多 乱
【在 s*k 的大作中提到】 : 不是总共有12个么 : 给几个安装后的照片看看吧
|
p*******m 发帖数: 20761 | |
c*****h 发帖数: 14923 | |
p*******m 发帖数: 20761 | 6
对于红姐没问题的 如果你的sn里面有ch
这就tftp 新固件上去就好了 你应该没有nvr 不知道你的nas认不认新固件 不过应该
没问题
上次变砖了一个 完全是意外。本来新的头都买了 结果忽然有一天又好了
下载tftp server
https://www.dropbox.com/s/3hy72q4osstun72/5.30%20Downgrader.rar?dl=0
下载固件 你家的好像是这个
http://www1.hikvision.com/cn/download_more_714.html
02、DS-2CD2XX2系列网络摄像机升级程序包
(下载)
软件描述
程序包适用于以下型号:
DS-2CD2012-I、DS-2CD2012F-I(W)、DS-2CD2212(D)-I3、DS-2CD2212(D)-I5、DS-
2CD2T12-I3/I5/I8/IC、DS-2CD2112(D)-(I)、DS-2CD2112F(D)-I(W)(S)、DS-2CD2312(D
)-I、DS-2CD2412F-I(W)、DS-2CD2512F-I(W)(S)、DS-2CD2712F-I(S)、DS-2CD2Q12FD-
IWZ、DS-2CD2F12F(D)-IZ(W)(S)、DS-2CD2032-I、DS-2CD2032F-I(W)、DS-2CD2232(D)-
I3、DS-2CD2232(D)-I5、DS-2CD2632F-I(S)、DS-2CD2T32-I3/I5/I8、DS-2CD2132(D)-(
I)、DS-2CD2132F(D)-I(W)(S)、DS-2CD2332(D)-I、DS-2CD2432F-I(W)、DS-2CD2532F-I
(W)(S)、DS-2CD2732F-I(S)、DS-2CD2F32F(D)-I(W)(S)、DS-2CD2632EF-I(S)、DS-
2CD2732EF-I(S)
特别声明:
版本号: V5.4.41build170707
设备升级有风险,请确认是否一定要升级设备。
升级后将无法降级。
请确认升级程序包是否适用于您的设备。
在设备升级过程中请勿断电。
升级后请登陆设备,在“配置-高级配置-系统-系统维护”中,执行“简单恢复“
操作。
将电脑的ip设置成192.0.0.128 然后在网页 完全恢复设备参数到出厂设置。
摄像头就可以自己更新了 非常简单。
【在 c*****h 的大作中提到】 : 他家固件版本有点乱,怕一不小心升错直接变砖了
|
c*****h 发帖数: 14923 | 7 现在事多,懒得找,等有空了再把全部海康给升级了
【在 p*******m 的大作中提到】 : : 对于红姐没问题的 如果你的sn里面有ch : 这就tftp 新固件上去就好了 你应该没有nvr 不知道你的nas认不认新固件 不过应该 : 没问题 : 上次变砖了一个 完全是意外。本来新的头都买了 结果忽然有一天又好了 : 下载tftp server : https://www.dropbox.com/s/3hy72q4osstun72/5.30%20Downgrader.rar?dl=0 : 下载固件 你家的好像是这个 : http://www1.hikvision.com/cn/download_more_714.html : 02、DS-2CD2XX2系列网络摄像机升级程序包
|
p*******m 发帖数: 20761 | 8
有问题问我 :) 不过红姐这么牛的应该没问题
【在 c*****h 的大作中提到】 : 现在事多,懒得找,等有空了再把全部海康给升级了
|
r******e 发帖数: 253 | 9 太乱了,升级了一个3132,结果砖掉了。
【在 p*******m 的大作中提到】 : : 有问题问我 :) 不过红姐这么牛的应该没问题
|
p*******m 发帖数: 20761 | 10
软件名称
07、DS-2CD3XX2系列网络摄像机升级程序包
(下载)
软件描述
程序包适用于以下型号:
DS-2CD3112(D)-I、DS-2CD3132(D)-I、DS-2CD3212(D)-I3(5)、DS-2CD3232(D)-I3(5)、
DS-2CD3312(D)-I、DS-2CD3412FD-IW、DS-2CD3T12(D)-I3(5)(8)、DS-2CD3112F(D)-I(W
)(S)、DS-2CD3132F(D)-I(W)(S)、DS-2CD3332(D)-I、DS-2CD3T32(D)-I3/I5/I8
特别声明:
版本号: V5.4.41build170707
设备升级有风险,请确认是否一定要升级设备。
升级后将无法降级。
请确认升级程序包是否适用于您的设备。
在设备升级过程中请勿断电。
升级后请登陆设备,在“配置-高级配置-系统-系统维护”中,执行“简单恢复“
操作。
你确定没下错固件? 这个变砖很难的啊
【在 r******e 的大作中提到】 : 太乱了,升级了一个3132,结果砖掉了。
|
|
|
c*****h 发帖数: 14923 | 11 那我不升了
【在 r******e 的大作中提到】 : 太乱了,升级了一个3132,结果砖掉了。
|
s***r 发帖数: 500 | 12 刚升了一个,砖了....
DS-2CD2132F-IWS,显示transfer完后就没反应了,等了半小时也没起来。
[2012-05-09 14:21:17] TFTP server[192.0.0.128] initialized[2012-05-09 14:21:
42] TFTP server[192.0.0.128] initialized[2012-05-28 10:18:37] TFTP server[
192.0.0.128] initialized[2012-08-23 09:40:24] TFTP server[192.168.1.60]
initialized[2017-08-15 11:17:12] TFTP server[192.0.0.128] initialized
[2017-08-15 11:25:24] TFTP server[192.0.0.128] initialized
[2017-08-15 11:30:29] TFTP server[192.0.0.128] initialized
[2017-08-15 11:31:00] Device[192.0.0.64] test tftpserver
[2017-08-15 11:31:08] Connect client[192.0.0.64] success
[2017-08-15 11:31:08] Start file[C:\Softwares\TFTP\digicap.dav] transmitting
[2017-08-15 11:33:01] Completed file[C:\Softwares\TFTP\digicap.dav] transmit |
s***r 发帖数: 500 | 13 重试了N次,救活了一个,刷成了中文版本(英文的不行)。SADP Tool能找到了,
active以后手机app能看。
不过现在浏览器里还是看不到录像,插件不能用。chrome/firefox都禁止NPAPI plugin
了,其他选项也不work.....真是折腾
【在 s***r 的大作中提到】 : 刚升了一个,砖了.... : DS-2CD2132F-IWS,显示transfer完后就没反应了,等了半小时也没起来。 : [2012-05-09 14:21:17] TFTP server[192.0.0.128] initialized[2012-05-09 14:21: : 42] TFTP server[192.0.0.128] initialized[2012-05-28 10:18:37] TFTP server[ : 192.0.0.128] initialized[2012-08-23 09:40:24] TFTP server[192.168.1.60] : initialized[2017-08-15 11:17:12] TFTP server[192.0.0.128] initialized : [2017-08-15 11:25:24] TFTP server[192.0.0.128] initialized : [2017-08-15 11:30:29] TFTP server[192.0.0.128] initialized : [2017-08-15 11:31:00] Device[192.0.0.64] test tftpserver : [2017-08-15 11:31:08] Connect client[192.0.0.64] success
|
c*****h 发帖数: 14923 | 14 怕色出来谢罪
plugin
【在 s***r 的大作中提到】 : 重试了N次,救活了一个,刷成了中文版本(英文的不行)。SADP Tool能找到了, : active以后手机app能看。 : 不过现在浏览器里还是看不到录像,插件不能用。chrome/firefox都禁止NPAPI plugin : 了,其他选项也不work.....真是折腾
|
p*******m 发帖数: 20761 | 15
plugin
ie
【在 s***r 的大作中提到】 : 重试了N次,救活了一个,刷成了中文版本(英文的不行)。SADP Tool能找到了, : active以后手机app能看。 : 不过现在浏览器里还是看不到录像,插件不能用。chrome/firefox都禁止NPAPI plugin : 了,其他选项也不work.....真是折腾
|
p*******m 发帖数: 20761 | 16
lol 昏倒 这样的话我不是完蛋了 要好好学习攻略 每个字读20遍
【在 c*****h 的大作中提到】 : 怕色出来谢罪 : : plugin
|
r******e 发帖数: 253 | 17 你刷了哪个?
我按那个brickfix先刷5.4然后5.2还是不行
plugin
【在 s***r 的大作中提到】 : 重试了N次,救活了一个,刷成了中文版本(英文的不行)。SADP Tool能找到了, : active以后手机app能看。 : 不过现在浏览器里还是看不到录像,插件不能用。chrome/firefox都禁止NPAPI plugin : 了,其他选项也不work.....真是折腾
|
c*****h 发帖数: 14923 | 18 还好我谨慎明智观望。
这么多苦主被怕色害了。。。
你快出来自切谢罪 |
p*******m 发帖数: 20761 | 19
看不懂 你搞的是谁的攻略?
我的只有一个版本 5.4.41 你确定你下对固件了? 昏倒
【在 r******e 的大作中提到】 : 你刷了哪个? : 我按那个brickfix先刷5.4然后5.2还是不行 : : plugin
|
p*******m 发帖数: 20761 | 20
红姐我冤枉啊 你看我的攻略哪里有什么5.2
他根本不是用我的攻略 我看他是下错固件了 lol
【在 c*****h 的大作中提到】 : 还好我谨慎明智观望。 : 这么多苦主被怕色害了。。。 : 你快出来自切谢罪
|
|
|
p*******m 发帖数: 20761 | 21
https://ipcamtalk.com/threads/hikvision-ds-2cd2x32-i-r0-brick-fix-tool-full-
upgrade-method-fixup-roundup.21586/
你是用这个? lol 这里面的根本不是你的型号的 你的固件搞错了 不好好学习就乱刷
good for you
【在 r******e 的大作中提到】 : 你刷了哪个? : 我按那个brickfix先刷5.4然后5.2还是不行 : : plugin
|
r******e 发帖数: 253 | 22 我们在研究刷失败了怎么解决。你就别瞎忽悠了。
: https://ipcamtalk.com/threads/hikvision-ds-2cd2x32-i-r0-brick-fix-tool
-full-
: upgrade-method-fixup-roundup.21586/
: 你是用这个? lol 这里面的根本不是你的型号的 你的固件搞错了 不好好学习
就乱刷
: good for you
【在 p*******m 的大作中提到】 : : https://ipcamtalk.com/threads/hikvision-ds-2cd2x32-i-r0-brick-fix-tool-full- : upgrade-method-fixup-roundup.21586/ : 你是用这个? lol 这里面的根本不是你的型号的 你的固件搞错了 不好好学习就乱刷 : good for you
|
p*******m 发帖数: 20761 | 23
tool
lol 你太搞笑了吧 在研究刷失败了怎么解决
你搞反了 是研究怎么刷 然后然后就不会失败了 我的攻略你看的懂吗? 哪里不明白可
以问 不要瞎刷 你这种瞎刷的 研究了也没有用 刷不回来的 买4k摄像头吧
【在 r******e 的大作中提到】 : 我们在研究刷失败了怎么解决。你就别瞎忽悠了。 : : : https://ipcamtalk.com/threads/hikvision-ds-2cd2x32-i-r0-brick-fix-tool : -full- : : upgrade-method-fixup-roundup.21586/ : : 你是用这个? lol 这里面的根本不是你的型号的 你的固件搞错了 不好好学习 : 就乱刷 : : good for you :
|
r******e 发帖数: 253 | 24 你贴的那个从5.3就在了,结论是不可以随便刷,刷失败了可以救回来,但是很麻烦。
我现在装的是4k版,号称可以随便升级,有谁验证过?
: tool
: lol 你太搞笑了吧 在研究刷失败了怎么解决
: 你搞反了 是研究怎么刷 然后然后就不会失败了 我的攻略你看的懂吗? 哪里不
明白可
: 以问 不要瞎刷 你这种瞎刷的 研究了也没有用 刷不回来的 买4k摄像头吧
【在 p*******m 的大作中提到】 : : tool : lol 你太搞笑了吧 在研究刷失败了怎么解决 : 你搞反了 是研究怎么刷 然后然后就不会失败了 我的攻略你看的懂吗? 哪里不明白可 : 以问 不要瞎刷 你这种瞎刷的 研究了也没有用 刷不回来的 买4k摄像头吧
|
p*******m 发帖数: 20761 | 25
昏倒 我实在不懂你做说什么 我的固件只有一个版本5.4.41 你知道什么头才可以刷的
吗?
你的4k的什么型号? 那个好像英文版可以升级的 就不要折腾成中文版了 你根本啥也
没搞清楚就乱来 没人可以救你 hikvision型号非常多的。
【在 r******e 的大作中提到】 : 你贴的那个从5.3就在了,结论是不可以随便刷,刷失败了可以救回来,但是很麻烦。 : 我现在装的是4k版,号称可以随便升级,有谁验证过? : : : tool : : lol 你太搞笑了吧 在研究刷失败了怎么解决 : : 你搞反了 是研究怎么刷 然后然后就不会失败了 我的攻略你看的懂吗? 哪里不 : 明白可 : : 以问 不要瞎刷 你这种瞎刷的 研究了也没有用 刷不回来的 买4k摄像头吧 :
|
p*******m 发帖数: 20761 | |
s***r 发帖数: 500 | 27 刷了最新的中文版firmware,http://www1.hikvision.com/cn/download_more_714.html 上面的。
英文版包括Europe网站上的都不行,最后没有“Device updated successfully"的信息。
downgrade貌似也不行了,原因不明。
还好海康的刷坏了起不来,还是可以继续重启用tftp刷的。没有彻底变砖。刷成功之后
还要重启一次,用SADP Tool activate(就是改admin 密码)才能正常使用。IP也要改
一下,default变成了192.168.1.64
【在 r******e 的大作中提到】 : 你刷了哪个? : 我按那个brickfix先刷5.4然后5.2还是不行 : : plugin
|
r******e 发帖数: 253 | 28 hmm,
I tried 5.3downgrader to revert mine to 5.2.5.
default ip is 192.0.0.64.
Will try again later.
息。
【在 s***r 的大作中提到】 : 刷了最新的中文版firmware,http://www1.hikvision.com/cn/download_more_714.html 上面的。 : 英文版包括Europe网站上的都不行,最后没有“Device updated successfully"的信息。 : downgrade貌似也不行了,原因不明。 : 还好海康的刷坏了起不来,还是可以继续重启用tftp刷的。没有彻底变砖。刷成功之后 : 还要重启一次,用SADP Tool activate(就是改admin 密码)才能正常使用。IP也要改 : 一下,default变成了192.168.1.64
|
p*******m 发帖数: 20761 | 29
息。
这个正常人说的话 我每句都看得懂
【在 s***r 的大作中提到】 : 刷了最新的中文版firmware,http://www1.hikvision.com/cn/download_more_714.html 上面的。 : 英文版包括Europe网站上的都不行,最后没有“Device updated successfully"的信息。 : downgrade貌似也不行了,原因不明。 : 还好海康的刷坏了起不来,还是可以继续重启用tftp刷的。没有彻底变砖。刷成功之后 : 还要重启一次,用SADP Tool activate(就是改admin 密码)才能正常使用。IP也要改 : 一下,default变成了192.168.1.64
|