[Из песочницы] Foscam: Перезагрузка

Доброго времени суток, дамы и господа!

Сегодня речь пойдет об IP-камерах компании Foscam, о которых недавно рассказывали тут.

Как любопытный юзверь, прочитав об «уязвимости», я весело побежал смотреть, что там интересного.

Под катом вы уведите, что же там интересного, и почему пост называется «Foscam: Перезагрузка».

Хочу все и сразу

Значит так, есть очень много камер. Как же среди них искать интересное?

Для этого нужно посмотреть, что каждая их них показывает!

Первоначальная идея — получить один фрейм с каждой камеры.

Для начала я зашел на случайный канал посмотреть что к чему.

Первое, что я увидел — два режима: ActiveX (IE) и Server Push.

Поигрался с ActiveX, посмотрел, послушал, потом включил Server Push.

Посмотреть можно, а послушать? Неужели для этого нужен IE?

Оказалось, в режиме Server Push для звука предлагают использовать VLC плагин, который проигрывает ссылку следующего вида:

http://ab1234.myfoscam.org:88/videostream.asf?user=admin&pwd=

Да да, не нужно даже запускать браузер, можно открыть ссылку в любимом проигрывателе и получить контент!

А если можно одним запросом получить видео, почему бы этим же запросом не получить их всех?

Выкачиваем

Методом научного тыка я узнал, что активны не все xx1234 поддомены, а только те которые начинаются на a, b, и c.

Быстренько состряпал список, настроил cURL, и вперед качать.

Техническая деталь

Под ссылкой не просто файл, который можно скачать, а потоковое видео.

Если просто так натравить на него cURL, видео будет качаться до завтра.

Поэтому мне пришлось пропатчить cURL таким образом, чтобы он больше 200 KB не качал.

Цифры:

Изначально были 780000 вариантов. /[a-c][a-z][0-9]{4}/.

Ответили на запрос 16608.

Отдали видео за имя admin 3409 (20%). Не каждый 3-ий а каждый 5-ый!

Отдал видео за имя operator, но не за admin — только один!

Скачать архив с видюхами можно здесь (587 MB).

Пароль — домен вашего любимого сайта ;)

Так как файлы порезаны на 200 KB, Windows Media Player с ними не справляется, зато VLC показывает без проблем.

С системными эскизами тоже у винды проблемы, зато Linux (по крайней мере Mint) показывает на ура.

Скриншот

Так что же интересного?

Интересного не много.

Много спящих детей, много пустых квартир, квартир с толстыми мужиками.

Хотел увидеть хоть одну киску, но не повезло мне так, как повезло пользователю Goodkat (обожаю когда ники совпадают с ситуацией!).

Но не зря же я всем этим занимался, нужно бы сделать что-то клевое.

К тому же, перечитав оригинальный пост, оказалось что:

Эта заметка написана не для услады фантазий любителей подглядывать

Да у меня и так усладить фантазии не получилось.

Перезагрузка

Поглядывая на комментарии в оригинальном посте, я наткнулся на заметку автора:

В идеале — выходя с камеры делать фактори ресет. Во-первых это точно сотрет все следы, во вторых привлечет владельца к более внимательной настройке.

Это правильно, надо донести до неуклюжих пользователей, что у них что-то не так с приватностью!

Ну а раз у меня уже есть список всех реальных камер, почему бы не сделать фактори ресет ВСЕМ?

Это оказалось так же просто, как и скачать видео, одной ссылки достаточно:

http://ab1234.myfoscam.org:88/restore_factory.cgi?user=admin&pwd=&next_url=reboot.htm

Опять cURL в руки и вперед.

Цифры:

Запустил процесс для всех 16608 камер.

Благополучно ресетнулись, и теперь уже не доступны, 1919 камер (11%).

Не знаю точно, почему отдавали видео 20%, а ресетнулить только 11%.

Может многие уже пароль поменяли, может не все поддерживают ресет.

В любом случае, я спас 1919 камер от любопытных глаз, и это тоже неплохо!

Бонус: статистика по странам

Напоследок я решил проверить, сколько пользователей с каких стран есть.

Победитель — США, с 10913-и пользователями (65%).

Первая 10-ка

United States

10913 (65.71%)

United Kingdom

660 (3.97%)

Canada

519 (3.12%)

Netherlands

495 (2.98%)

Singapore

403 (2.43%)

Australia

300 (1.81%)

Brazil

296 (1.78%)

Germany

256 (1.54%)

Italy

252 (1.52%)

Israel

160 (0.96%)

Полная информация здесь. Пароль все тот же.

К тому же рискну предположить что домен автора оригинального поста (KarasikovSergey), один из следующих:

ab6223, ae6533, ah0109, ah1372, ah4256, ai5064, aj0074, aj0161, ak1084, ap8372, aq1638, aq3870, as4571, as5026, as8634, as9261, at0128, at0557, at1178, at1196, at1763, at2211, au0366, ax9188, ba4590, bd4836, be2777, be2787, be2799, bf9466, bh3345, bm2387, bm2418, bn2295, bn5443, bn5510, bn5520, bn5526, bp5053, bp5222, by0744, cd6829

Может быть и твой домен здесь, %username%!

Конец

Пользуясь случаем, хочу передать привет службе поддержки компании Foscam ;)

This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers. Five Filters recommends: 'You Say What You Like, Because They Like What You Say' - http://www.medialens.org/index.php/alerts/alert-archive/alerts-2013/731-you-say-what-you-like-because-they-like-what-you-say.html