Annke SP1高清无线摄像机XSS漏洞
0x01 概述
我们在使用固件版本为v3.4.1.1604071109的ANNKE SP1高清无线摄像机中发现了一个低风险的跨站点脚本(XSS)漏洞。
这个漏洞发生在Annke Web界面中查看可用的Wi-Fi接入点时,你会在接入时发现这个XSS。因此,如果你在受害者的范围内设置了无效访问点,SSID格式如下:
然后,每当受害者访问无线配置页面,SP1相机将最终加载并运行托管在http://xjs.io/(或https://xjs.io/,这取决于你访问相机的Web用户界面)的JavaScript代码 。这是因为它进行了设置检查,并填写了可以直接看到网页的SSID,因此脚本会执行。
0x02 利用方法
作为一个概念证明,我们使用这个POC脚本从相机的//xjs.io/中窃取图像。
这是一个通过XSS漏洞利用的图像,JavaScript已经发布到服务器了,然后我们从那里恢复:
这是我们用XSS漏洞利用成功的图像:
或者你可以使用这个Javascript来使这个摄像机平移,像这样。
0x03 总结
我们已通知了供应商,而且这个XSS漏洞需要你在摄像头附近,并可以构造一个无效访问点的才可以利用这个漏洞,所以它其实并不算是一个很好的漏洞。不过这也可以提醒各大摄像机供应商,摄像机需要验证来自任何来源的输入,而不仅仅是Web界面上的标准GET/POST参数。
抓取摄像机图片:https://github.com/pentestpartners/bits-for-blog/blob/master/annke-basic.js
平移摄像机:https://github.com/pentestpartners/bits-for-blog/blob/master/annke-spin.js
*作者:Jamie Riden,