利用海康威视HTTP Banner可成功查找成千上万用户监控视频（有图有数据有真相）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0137996

漏洞标题：利用海康威视HTTP Banner可成功查找成千上万用户监控视频（有图有数据有真相）

漏洞作者： wy007

提交时间：2015-08-30 18:32

修复时间：2015-10-17 17:48

公开时间：2015-10-17 17:48

漏洞类型：用户资料大量泄漏

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-30：细节已通知厂商并且等待厂商处理中
2015-09-02：厂商已经确认，细节仅向厂商公开
2015-09-12：细节向核心白帽子及相关领域专家公开
2015-09-22：细节向普通白帽子公开
2015-10-02：细节向实习白帽子公开
2015-10-17：细节向公众公开

简要描述：

一个偶然的HTTP Banner让我引起了兴趣...超乎想要的结果...

详细说明：

一个偶然的HTTP Banner让我引起了兴趣...
遂产生了以下的探索...
其实是很简单的一个信息.
在登录某海康监控后台的时候HTTP抓包发现，返回的HTTP报头里面有一个Server信息
HTTP Banner信息：

我们可以看到，有三个Banner，应该是分别代表海康三种类型的产品，

Server: DVRDVS-Webs
Server: DNVRS-Webs
Server: App-webs
Server: Hikvision-Webs    //这个是新发现的...可能还有漏掉的。

大体上是这么区分的，但是也有一小部分，是没有按照Banner进行区分的，
但是我想既然海康设计了这三个不同的Banner，应该是要区分三种不同的产品的（仅代表个人看法）
下面我们根据这个HTTP Banner进行一下批量查找，看看会有什么结果...

如果这些您还觉得不够多，咱们在看看这个...

是不是为批量攻击提供了很多便利？
有些人可能会说，光这些有什么意思啊...
花了这么大篇幅说这个，主要是因为前面的是起因，是关键也是最重要的一个步骤...
后面这个各位看了可能会觉得很鸡肋，是的，没什么技术含量，
就是因为不需要太多技术含量，所以被传播和利用的范围更广...
那么是什么呢...
就是利用海康威视的默认管理员用户和密码：
用户：admin
密码：12345
去尝试登陆的话，发现成功几率居然有50%还多...
为什么会成功几率如此之高呢，
第一本人原来也做过系统集成，对这些了解一二...就简单说一下
1.一般这些产品施工都是由乙方负责施工安装调试。
一般调试阶段到调试完成都是使用默认管理员用户和密码，
因为乙方很少私自修改用户名和密码，因为最终是要交给用户的。
2.而用户呢，这个阶段一般很少参与进来，用户的态度就是只要给我弄好使就可以了！
而且很多用户也不会去记一大堆复杂的密码，所以很多乙方也为了方便直接把默认管理员用户和密码就直接交给了用户。
3.国内的很多用户一切都是为了方便，而不是为了安全，只有一些对安全特别敏感且重视的企业用户才会避免犯这些低级错误。
在发这个漏洞之前，我也在想这个到底算不算是海康威视的一个漏洞。
后来仔细的想了一下，个人认为还是应该算设计上的一个缺陷。
第一：这个HTTP Banner信息其实不是必须的参数，完全可以去掉，这样的话，也就不会有前面的解说和案例了。
第二：对于默认管路员用户名和密码的问题，其实很多安全厂商也遇到过这个问题，到底怎么对待，其实个人认为完全可以要求用户在第一次登陆调试的时候必须修改密码才能继续操作，这样既解决了厂商背黑锅的问题，也解决了用户的安全问题。
第三：对于管理后台应该增加一些验证码校验等安全技术。
一切安全从厂商做起，如果厂商的安全意识都不够高的话，又怎么能要求用户的安全意识高于厂商呢...
就说这么多，完全是个人见解，说的不对，还望见谅...
下面到了无图无真相环节...
不然该被人骂
no pic u say a jb...

漏洞证明：

一小部分漏洞地址：（地址随时可能失效，因为很多都是ADSL拨号的网络，不是固定IP，但是我说的漏洞方法是真实存在的...）
用户名：admin
密码：12345

mask 区域

1.http://**.**.**/doc/page/main.asp_
2.http://**.**.**/doc/page/main.asp_
3.http://**.**.**/doc/page/main.asp_
4.http://**.**.**/doc/page/main.asp_
5.http://**.**.**/doc/page/main.asp_
6.http://**.**.**/doc/page/main.asp_
7.http://**.**.**/doc/page/main.asp_
8.http://**.**.**/doc/page/main.asp_
9.http://**.**.**/doc/page/main.asp_
10.http://**.**.**/doc/page/main.asp_
11.http://**.**.**/doc/page/main.asp_
12.http://**.**.**/doc/page/main.asp_
13.http://**.**.**/doc/page/main.asp_
14.http://**.**.**/doc/page/main.asp_
15.http://**.**.**/doc/page/main.asp_
16.http://**.**.**/doc/page/main.asp_
17.http://**.**.**/doc/page/main.asp_
18.http://**.**.**/doc/page/main.asp_
19.http://**.**.**/doc/page/main.asp_
20.http://**.**.**/doc/page/main.asp_
21.http://**.**.**/doc/page/main.asp_
22.http://**.**.**/doc/page/main.asp_
23.http://**.**.**/doc/page/main.asp_
24.http://**.**.**/doc/page/main.asp_
25.http://**.**.**/doc/page/main.asp_
26.https://**.**.**/doc/page/main.asp_
27.http://**.**.**/doc/page/main.asp_
28.http://**.**.**/doc/page/main.asp_
29.http://**.**.**/doc/page/main.asp_
30.http://**.**.**/doc/page/main.asp_
31.http://**.**.**/doc/page/main.asp_
32.http://**.**.**/doc/page/login.asp_
33.http://**.**.**/doc/page/main.asp_
34.http://**.**.**/doc/page/main.asp_
35.http://**.**.**/doc/page/main.asp_
36.http://**.**.**/doc/page/main.asp_
37.http://**.**.**/doc/page/main.asp_
38.http://**.**.**/doc/page/main.asp_
39.http://**.**.**/doc/page/main.asp_
40.http://**.**.**/doc/page/main.asp