重新破解三星智能摄像头

今天我们将重新审视一个在之前会议中已被破解的设备。在DEFCON 22大会上，我们在" Hack All The things"演示中发布了针对三星智能摄像头网络摄像头的漏洞利用。这些漏洞允许远程命令执行和任意更改摄像头管理员密码。在收到漏洞警报后，三星通过移除整个本地可访问的web界面并要求用户使用三星SmartCloud网站来做出反应。这激怒了许多用户[示例1，示例2]，并使该设备无法用于任何DIY监控解决方案。因此，我们决定再次审计该设备，看看是否有办法让用户重新访问他们的摄像头，同时验证设备新固件的安全性。

Web界面

当用户访问三星智能摄像头更新后的web界面时，现在会看到"404 - Not Found"消息。之前允许用户查看和配置摄像头的界面现已完全移除，仅留下后端脚本。似乎我们发现的以及其他人发现的所有漏洞都已修补。然而，有一组脚本未被移除或修改：通过其"iWatch"网络摄像头监控服务为摄像头提供固件更新能力的php文件未被改动。这些脚本包含一个命令注入漏洞，可被利用为未授权用户实现root远程命令执行。

iWatch Install.php Root命令执行

iWatch Install.php漏洞可通过构造特殊文件名来利用，该文件名随后存储在传递给php system()调用的tar命令中。由于web服务器以root身份运行，文件名由用户提供，且输入未经清理即被使用，我们能够在其中注入自己的命令以实现root远程命令执行。您可以在我们的wiki上找到技术报告和漏洞修复方法，以及重新启用智能摄像头web管理面板的说明，下方还有视频演示。

视频

-Exploitee.rs Hack Everything

关于"重新破解三星智能摄像头"的一条评论

Apollo Creed 在2017年1月16日下午10:09说： 请确认它是否适用于Smartcam SNH-V6414BN？我尝试应用该漏洞利用，但没有成功。似乎该设备上的80端口已关闭。谢谢！