入侵监控设备最新漏洞附Poc工具厉害了

夏天到了，各位帅哥靓女都换上了清凉的夏装，但是，你知道吗，你身边的摄像头正在悄悄泄露你的隐私...据外媒报道，一位阿根廷黑客在5月发布了一款功能强大的新型黑客工具，可以轻松提取各种厂商的DVR的明文凭证，授予攻击者访问权限，并且可以随意查看录制的视频

具体是什么样呢？下面跟随华盟君一起去看一看

利用谷歌搜索可以搜出很多内容

用钟馗之眼搜素的结果发现相关设备有数十万之多

受影响的设备有：

Novo

CeNova

QSee

Pulnix

XVR 5 in 1 (title: "XVR Login")

Securus, - Security. Never Compromise !! -

Night OWL

DVR Login

HVR Login

MDVR Login

华盟君找了几个网站测试了一下，发现真的存在漏洞，非常可怕~

EXP：

这个名为 getDVR_Credentials 的工具是 CVE-2018-9995 的概念验证（Proof-of-Concept, PoC），它是 Fernandez 在上月初发现的一个安全漏洞。通过使用 “Cookie：uid = admin” 的 Cookie 标头来访问特定 DVR 的控制面板，DVR 将以明文形式响应设备的管理员凭证。整个开发过程足够小，甚至通过一条微博就能够发布。

利用：

附上工具链接：

https://github.com/ezelf/CVE-2018-9995_dvr_credentials

部分代码注释了一下，所以显示有些问题，但还是不影响使用~

请勿用于非法使用！

昨天晚上没事玩了一下，拿到了很多登陆权限，提供一个大家看看？

如果大家遇到什么不懂的地方，欢迎进群提问

你可能喜欢