网络安全-拿下摄像头四个高危漏洞，影响数万台设备（详细案例分析）

最新推荐文章于 2025-08-31 21:27:13 发布

渗透测试老鸟-九青

最新推荐文章于 2025-08-31 21:27:13 发布

阅读量854

点赞数 25

CC 4.0 BY-SA版权

分类专栏： 0基础学习渗透＋zkanzz 漏洞挖掘渗透测试文章标签： web安全安全网络安全学习路线黑客入门 web安全入门

本文链接：https://blog.csdn.net/zkaqlaoniao/article/details/150496946

0基础学习渗透＋zkanzz 同时被 3 个专栏收录

104 篇文章

订阅专栏

渗透测试

47 篇文章

订阅专栏

漏洞挖掘

26 篇文章

订阅专栏

本文作者：公众号掌控安全EDU

Track安全

随着越来越多的IoT设备出现在生活中，硬件和物联网（IoT）设备方面是一个值得学习的有趣领域。

我想复习一下基础知识，于是决定做一个动手项目：买一个常见且便宜的设备，看看能挖出什么。原本只是一个简单的学习练习，却很快让我发现了四个重大的安全漏洞，并经历了一个结果截然不同的漏洞披露过程。

设备挑选 🎯

首先，我需要一个设备。我选择了IP摄像头，因为它们价格便宜、应用广泛且容易买到。我在泰国一家大型电商平台 Shopee 上搜索“IP Cam”。搜索结果几乎被一个品牌——FNKvision——占据。销量非常庞大，仅前五个商品的销量就接近70万台。拥有如此庞大的用户群体，这看起来是一个很有价值的目标。

我订购了最便宜的型号——FNK-GU2，第二天就收到了。该摄像头由“Yoosee”应用控制，该应用由 Gwell Inc. 开发。在确认摄像头能正常工作并连接到应用后，我开始了分析。

漏洞挖掘 📜

我的分析共发现了四个不同的漏洞：一个应用后端的严重缺陷（已修复），以及三个存在于摄像头硬件和固件中的未修复漏洞。

漏洞1：Yoosee应用后端SQL注入 💉

我首先分析了 Yoosee 移动应用的网络流量。一个用于获取安全告警详情的API调用中，参数 alarmId 存在SQL注入漏洞。

例如，发送一个语法错误的SQL片段 ' OR '2'='1 会返回错误。

然而，当我发送一个恒为真的语句，例如 ' OR '1'='1 时，返回了成功的响应并带回了数据。这确认了一个典型的SQL注入漏洞。

进一步的探索确认了后端数据库管理系统为 MySQL，并且我能够从多个表和数据库中提取数据，包括其他用户的信息。

漏洞2：通过未保护的串口接口访问引导加载程序和Root Shell 🔌

在分析完应用程序后，我将注意力转向了摄像头本身。这需要对设备的硬件进行物理检查。

步骤1：物理拆解 🪛
第一步是拆开摄像头的塑料外壳，以便接触主印刷电路板（PCB）。

步骤2：识别UART接口 🔍
在检查PCB时，我发现了一排三个未标记的通孔，这是调试接口的常见标志。

使用万用表测试这些引脚后，我确认它们是一个UART（通用异步收发器）串口：其中一个引脚接地（GND），一个显示波动电压（TX —— 发送），最后一个保持稳定（RX —— 接收）。

步骤3：连接到串口控制台 💻
我将这些引脚连接到一个USB转串口适配器，并使用 minicom 终端程序以标准波特率115200建立连接。

步骤4：获取Root权限 🔓
当我给摄像头通电后，启动日志立刻在控制台中滚动显示。启动过程结束后，我按下回车，出现了登录提示。我输入用户名 root，令人惊讶的是系统直接授予了我Root Shell，而没有任何密码提示。这让我获得了对设备的完全管理员控制权。

漏洞3：Root密码使用弱哈希算法 🔑

在获得对文件系统的完全Root访问权限后，首先要检查的一件事就是用户凭据的存储方式。我进入了 /etc/shadow 文件，这是Linux系统中用于存储密码哈希的标准位置。

检查该文件时，我发现 root 账户的密码哈希以 $1$ 前缀开头。这个前缀明确表明使用的哈希算法是 MD5-crypt。MD5-crypt 是一种过时且在密码学上已被攻破的算法，极易受到现代密码破解技术的攻击。使用这种弱算法来存储系统密码存在严重的安全风险，因为它使得离线破解变得非常简单。

漏洞4：配置文件中明文存储敏感信息 📃

继续探索文件系统时，我查找了可能包含敏感信息的配置文件。在 /rom 目录下，我发现了几个名为 wpa_supplicant.conf 的文件。这些文件在Linux环境中用于管理无线网络连接。

由于FNKvision未对串口接口进行访问限制（如漏洞2所述），攻击者只要拥有物理访问权限，就可以获取Root Shell。这种管理员级别的权限使得读取 wpa_supplicant0.conf 文件的内容变得非常容易，而该文件中以明文形式存储了Wi-Fi网络的名称（SSID）及对应的密码。

调试端口未关闭，再加上文件系统中敏感配置文件未加密保护的组合，构成了一个严重的安全漏洞。

结论 🔚

这个项目表明，物联网安全领域仍充斥着大量漏洞。即便是销量达到数十万台、用户基数庞大的产品，也可能存在根本性的安全缺陷。或许最令人惊讶的是，用于控制设备的后端应用中存在经典的SQL注入漏洞，这是一个关键漏洞，可让攻击者获取任意用户的数据。2025年这一已知问题仍然存在，这提醒我们在保障物联网生态安全方面仍面临持续挑战。

申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关