大量vstarcam(威视达康)家用摄像头使用了默认弱口令

KBdancer 发表于 2016-11-05, 1:53 PM. 发表在: Web安全 , Python , 原创 , 隐私保护

简介

vstarcam远程监控摄像头是一款家用的监控设备,官网地址 http://www.vstarcam.cn/,这款设备使用了admin/888888作为默认口令,通过扫描可以发现互联网上大量的设备都存在使用默认口令的问题。
官网截图

dsf.png - 大小: 898.41 KB - 尺寸: 1211 x 887 - 点击打开新窗口浏览全图

发现

通过我的IP数据库检索发现大约10000个设备暴露到互联网中,由于这款监控设备通常用于普通家庭,家庭宽带具有IP定期更换的特性,所以我这里检索出来的部分数据可能已经过期,但是还是有很多设备是可以登录的。

编写Python脚本来进行批量登录测试并截图视频图片

list.png - 大小: 407.79 KB - 尺寸: 966 x 948 - 点击打开新窗口浏览全图
随便一个段就有好几百,WEB服务通常存在于81端口
scan.png - 大小: 122.24 KB - 尺寸: 589 x 622 - 点击打开新窗口浏览全图
由于这款设备主要是家用,所以摄像头所对的位置一般是在室内,而且很多都是比较隐私的位置,危害还是比较大的,随便找几个案例截图吧
shafa6.png - 大小: 111.12 KB - 尺寸: 341 x 195 - 点击打开新窗口浏览全图
shafa5.png - 大小: 245.62 KB - 尺寸: 486 x 354 - 点击打开新窗口浏览全图
shuang3.png - 大小: 87.06 KB - 尺寸: 333 x 193 - 点击打开新窗口浏览全图
dating2.png - 大小: 73.49 KB - 尺寸: 333 x 202 - 点击打开新窗口浏览全图
shuang2.png - 大小: 250.47 KB - 尺寸: 477 x 360 - 点击打开新窗口浏览全图
shafa2.png - 大小: 351.38 KB - 尺寸: 636 x 357 - 点击打开新窗口浏览全图
keting.png - 大小: 117.29 KB - 尺寸: 335 x 194 - 点击打开新窗口浏览全图
chuang.png - 大小: 102.33 KB - 尺寸: 331 x 196 - 点击打开新窗口浏览全图
shafa.png - 大小: 113.89 KB - 尺寸: 338 x 191 - 点击打开新窗口浏览全图
而且这个摄像头还可以远程转动镜头方向
up.png - 大小: 270.53 KB - 尺寸: 702 x 624 - 点击打开新窗口浏览全图

后记

现在家用摄像头越来越普及,但是安全问题真的不能忽视,各种艳照门事件...

本文链接:https://www.92ez.com/?action=show&id=23429
!!! 转载请先联系non3gov@gmail.com授权并在显著位置注明作者和原文链接 !!! 小黑屋
提示:技术文章有一定的时效性,请先确认是否适用你当前的系统环境。

上一篇: 大量iWatch DVR使用了默认弱口令
下一篇: php正确处理照片的旋转 (orientation) 问题

访客评论
#1
回复 k33 2017-01-08, 6:52 PM
大牛,可以提供一下脚本吗,学习学习 我也正在学python email我填了
回复 KBdancer 2017-01-09, 12:43 AM
@k33: 这几天把脚本放到github,你可以留意一下
回复 test 2017-01-11, 9:58 AM
@KBdancer: 大牛github账户是啥啊
回复 KBdancer 2017-01-11, 6:43 PM
@test: https://github.com/kbdancer
#2
回复 手撕面包丶 2017-01-30, 9:15 PM
ModuleNotFoundError: No module named 'Queue'  大牛运行提示这个错误怎么解决?
回复 test 2017-02-13, 9:10 PM
@手撕面包丶: 缺少Queue模块需安装
#3
回复 mujj 2017-04-28, 1:46 AM
大牛,批量截图的脚本可以 提供学习么???
回复 KBdancer 2017-04-28, 10:01 AM
@mujj: 晚一点我发你邮箱
回复 admin 2017-04-30, 12:02 AM
@KBdancer: 大神,脚本忘记发我邮箱啦!!!
回复 cnemss 2017-06-22, 8:57 PM
@KBdancer: 大侠,我在github看你的代码学python,刚用python3.6搞懂了你的每一步,并调试好了你的hkdvr获取ip及弱密码登陆。但你的代码没删除了,我没有在本地保存。可以发一下登陆后截屏的代码到我邮箱吗?。谢谢!
回复 adixn 2018-04-02, 11:48 AM
@KBdancer: 代码能否也发我一份 想知道是如何实现抓取的7687871796@163.com
#4
回复 john 2017-07-30, 4:31 PM
代码能给我一份吗?
#5
回复 Alex 2017-10-05, 8:54 PM
大神,可以学习一下截图的代码么?locknard@126.com
#6
回复 cnxue 2018-04-21, 8:50 PM
这个截图是怎么实现的,selenium吗?
发表评论

评论内容 (必填):