Yandex Dzen।

রেফারেন্স দ্বারা স্যুইচ করুন। আমরা অনুমোদন পৃষ্ঠায় পেতে। আমরা ডেটা এবং ভয়েলা ব্যবহার করে আসি, আমরা অন্যের অ্যাক্সেস পয়েন্ট এডিম্যাক্স পেতে পারি। আমরা অ্যাডমিন অধিকার আছে এবং আমরা একেবারে সবকিছু করতে পারি: ভাষাটি পরিবর্তন করুন, পাসওয়ার্ডটি প্রতিস্থাপন করুন, সরঞ্জামটি পুনঃপ্রকাশ করুন অথবা অন্য কারো পাসওয়ার্ড ছিটিয়ে দেওয়ার জন্য চেকবক্সটি "লুকান" মুছে ফেলুন।

আপনি আমার সাইটে যেতে এবং বুকমার্ক যোগ করার আগে একটি বন্ধু, নিবন্ধ দ্রুত যান https://rest-zone.ru/

প্রথমে আমরা বুঝতে পারব কি ধরনের ক্যামেরা কি ধরনের:

আইপি ক্যামেরা ক্যামেরা যা আপনি ইন্টারনেটের মাধ্যমে সংযোগ করতে পারেন। (স্থানীয় ক্যামেরা ইন্টারনেটের সাথে কাজ করছে - এই ক্যামেরা যা ইন্টারনেটের মাধ্যমে সংযোগ করা অসম্ভব। তারা ইন্টারনেটে জড়িত হবে না। (ইন্টারনেট ছাড়া কাজ করুন)

এখন আমি আপনাকে দেখাব এবং আইপি ক্যামেরা খুঁজে পেতে কিভাবে আপনাকে বলব।

শুরুতে, আমাদের Bruta, চেক এবং দেখার জন্য প্রয়োজনীয় সফ্টওয়্যার প্রয়োজন।

প্রথমে আমরা সংরক্ষণাগারটি ডাউনলোড করতে হবে। কাজের জন্য সব প্রয়োজনীয় সফ্টওয়্যার আছে। আপনি যদি প্রোগ্রামগুলির সংগ্রহের সাথে আমার সংরক্ষণাগারটি ডাউনলোড করতে না চান তবে প্রয়োজনীয় প্রোগ্রামগুলি খোঁজার জন্য!

সংরক্ষণাগারটি ডাউনলোড করুন: ডাউনলোড করুন

Kportscan।  - https://www.virustotal.com/gui/file ....434032842339F0BA38AD1FF62F72999C4E5/detection.

আইভিএমএস -4200।  - https://www.virustotal.com/gui/file..379B736524606FC52E7FC27B978F13C749B/Detection.

হিক্কা।  - https://www.virustotal.com/gui/file...CCC27F76BD501D73B165021069E653C1BA/detection.

মনোযোগ! Unpacking আগে, অ্যান্টিভাইরাস বন্ধ করুন এবং ব্যতিক্রম থেকে kportscan যোগ করুন। তাই ঠিক তার উপর অ্যান্টিভাইরাস শপথ। কোন ভাইরাস নেই 😈

কোন ফোল্ডারে সংরক্ষণাগার আনপ্যাক করুন। এবং আমরা 3 প্রোগ্রাম পূরণ।

তারা এই তিনটি প্রোগ্রাম কি করবেন?

KportSCAN - BRUTE ক্যামেরা
হিক্কা - আইপি ক্যামেরা চেক
আইভিএমএস -4200 - আইপি ক্যামেরা দেখুন

ব্রুট এবং চেক কি?

Brutte (brute) - কিছু নিষ্কাশন
চেক করুন (চেক করুন) - কিছু চেক করা (এই ক্ষেত্রে, লগইন এবং পাসওয়ার্ড ব্যবহার করে চেক করুন)

প্রথমে আমাদের সাইটটি খুলতে হবে।

এই যে সে: https://4it.me/getlistip।

শহরে প্রবেশ করুন আমরা ক্যামেরাগুলিতে হ্যাক করতে চাই!

আমার ক্ষেত্রে, উদাহরণস্বরূপ, এটি রাশিয়ান সিটি "টাভার" হবে

কপি আইপি ব্যান্ড এবং খোলা Kportscan। এবং অনুলিপি আইপি ব্যান্ড সেখানে ঢোকান।

তালিকায়, "রাশিয়ান ফেডারেশন" নির্বাচন করুন

পরবর্তীতে "পোর্ট" একটি মান লিখুন " 8000। "

এবং "স্টার্ট" বোতাম টিপুন

মনোযোগ! "স্টার্ট" বোতামটি টিপে আগে, আমার মত স্ক্রিন দিয়ে চেক করুন যাতে আপনার কোন ত্রুটি নেই!

রেফারেন্স দ্বারা স্যুইচ করুন। আমরা অনুমোদন পৃষ্ঠায় পেতে। আমরা ডেটা এবং ভয়েলা ব্যবহার করে আসি, আমরা অন্যের অ্যাক্সেস পয়েন্ট এডিম্যাক্স পেতে পারি। আমরা অ্যাডমিন অধিকার আছে এবং আমরা একেবারে সবকিছু করতে পারি: ভাষাটি পরিবর্তন করুন, পাসওয়ার্ডটি প্রতিস্থাপন করুন, সরঞ্জামটি পুনঃপ্রকাশ করুন অথবা অন্য কারো পাসওয়ার্ড ছিটিয়ে দেওয়ার জন্য চেকবক্সটি "লুকান" মুছে ফেলুন।

কিভাবে আপনি আমার স্ক্রিনের সাথে আপনার মানগুলি যাচাই করেছিলেন যাতে তারা মিলিয়ে দেয়, সাহসীভাবে স্টার্ট বোতাম টিপুন!

আচ্ছা, এখন এটি চেকের শেষের জন্য অপেক্ষা করতে থাকে। ইন্টারনেট চেক করার সময় আপনি বেশ অনেক লোড করা হবে। তাই এই পরীক্ষার জন্য প্রস্তুত পেতে)

সমাপ্তির পরে, আপনি আইপি ক্যামেরাগুলির সংখ্যা প্রদর্শন করবেন।

KportSCAN বন্ধ করুন এবং ফাইল খুলুন ফলাফল। Txt.

ক্যামেরা পাওয়া যাবে। ফাইল থেকে পাওয়া সব ক্যামেরা কপি ফলাফল। Txt. এবং প্রোগ্রামের সাথে ফোল্ডারটি খুলুন " হিক্কা। "

ফাইলটি খুলুন " হোস্ট। "এবং সেখানে কপি করা ক্যামেরাগুলি নিক্ষেপ করুন। ফাইল সংরক্ষণ করুন এবং চালান" START.BAT। "

এখন আমরা একটি সবুজ স্ট্রিংয়ের জন্য অপেক্ষা করছি, এর অর্থ হল ক্যামেরাটি পাওয়া যায়!

ক্যামেরাগুলির একটি উদাহরণ পাওয়া গেছে:

যত তাড়াতাড়ি হিককা ক্যামেরাটি খুঁজে পেয়েছিল, আমরা প্রোগ্রামটি ইনস্টল করতে যাচ্ছি " আইভিএমএস -4200। "

যাইহোক, আমি প্রায় ভুলে গেছি যখন হিক্কা ক্যামেরাটি খুঁজে পেয়েছিল, ছবির ফোল্ডারে ক্যামেরাটির ছবি এবং চেম্বারের ডেটা নামে পরিচিত হবে।

যত তাড়াতাড়ি প্রোগ্রাম ইনস্টল করা " আইভিএমএস -4200। "খোলা।

যদি আপনার ইংরেজি থাকে, তবে "সহায়তা-> ভাষা-> রাশিয়ানকে টিপুন

পরবর্তী, "ডিভাইস ম্যানেজমেন্ট" ট্যাবটি খুলুন এবং "যোগ করুন" বোতামে ক্লিক করুন

আমরা কোনো ছদ্মনাম পরিচয় করিয়েছি।

ঠিকানাটি লিখুন (উদাহরণ: 91.238.24.219)

একটি ব্যবহারকারী এবং পাসওয়ার্ড লিখুন

আপনি যদি বিভ্রান্ত হন তবে পর্দায় আমার জন্য চেক করুন:

রেফারেন্স দ্বারা স্যুইচ করুন। আমরা অনুমোদন পৃষ্ঠায় পেতে। আমরা ডেটা এবং ভয়েলা ব্যবহার করে আসি, আমরা অন্যের অ্যাক্সেস পয়েন্ট এডিম্যাক্স পেতে পারি। আমরা অ্যাডমিন অধিকার আছে এবং আমরা একেবারে সবকিছু করতে পারি: ভাষাটি পরিবর্তন করুন, পাসওয়ার্ডটি প্রতিস্থাপন করুন, সরঞ্জামটি পুনঃপ্রকাশ করুন অথবা অন্য কারো পাসওয়ার্ড ছিটিয়ে দেওয়ার জন্য চেকবক্সটি "লুকান" মুছে ফেলুন।

প্রয়োজনীয় তথ্য প্রবেশ করার পরে, "যোগ করুন" বোতামে ক্লিক করুন

ক্যামেরার সফল আমদানি করার পরে, "প্রধান কার্লি" ট্যাবে যান

এবং আমরা দেখি যে একটি নতুন ফোল্ডার আপনার ছদ্মনাম ক্যামেরার সাথে হাজির হয়েছিল। আমরা ফোল্ডারটি খুলুন, এবং বাম মাউস বোতামের সাথে ক্যামেরার উপর 2 বার ক্লিক করি, অথবা কেবল ক্যামেরাটিকে একটু সঠিকভাবে টেনে আনুন।

তাই সব যে! পরবর্তীতে আপনি কি করবেন তা নির্ধারণ করুন ..

কোন Wi-Fi নেটওয়ার্কে ভিডিও নজরদারি ক্যামেরা বন্ধ করুন।

যারা "কম্পন" এর জন্য অত্যন্ত দরকারী তথ্য, এবং হ্যাঁ এটি ট্র্যাফিকটি স্থানান্তর না হওয়া পর্যন্ত এটি কাজ করবে, যত তাড়াতাড়ি আপনি বন্ধ হয়ে যাওয়ার সাথে সাথে সংযোগটি পুনরুদ্ধার করা হবে।

তুমি কি চাও

শুরু করার জন্য, আপনাকে একটি কালী লিনাক্স বা অন্য লিনাক্স বিতরণের প্রয়োজন হবে, যেমন তোতাপাখি নিরাপত্তা বা ব্ল্যাকার্ক, যা Airplay-ng চালাতে পারে। আপনি একটি USB ফ্ল্যাশ ড্রাইভ বা একটি হার্ড ডিস্ক থেকে একটি ভার্চুয়াল মেশিন থেকে তাদের চালাতে পারেন।

আপনি তারপরে একটি Wi-Fi অ্যাডাপ্টারের প্রয়োজন যা প্যাকেটগুলির ইনজেকশন সমর্থন করে, যা একটি পর্যবেক্ষণ মোড আছে। এই ডিভাইসটি অ্যাক্সেসের বিন্দু থেকে প্রেরিত প্যাকেজের ভ্রমনকারী প্যাকেট পাঠানোর জন্য নেটওয়ার্ক থেকে বন্ধ করা যেতে পারে এমন একটি ডিভাইস খুঁজে পেতে আপনার চারপাশের এলাকাটি স্ক্যান করতে হবে।

পদক্ষেপ 1. কালী আপডেট করুন

আপনি শুরু করার আগে, আপনার সিস্টেমটি সম্পূর্ণরূপে আপডেট করা নিশ্চিত করুন। কালীতে, একটি দল যা আপনি এটি করতে পারেন, এটি দেখতে পারেন:

APT আপডেট

Airplay-NG টুল ব্যবহার করে আপনার একটি লক্ষ্য এবং অ্যাক্সেস অধিকার আছে তা নিশ্চিত করুন। আপনি অবশ্যই কিসেট ব্যবহার করতে চান এমন কোনও নেটওয়ার্ক স্ক্যান করতে পারেন, তবে Airplay-Ng সরাসরি একটি DDOS আক্রমণ সঞ্চালন করবে

পদক্ষেপ 2. একটি অস্ত্র নির্বাচন করুন

বেতার উদ্দেশ্যগুলি নির্বাচন করার প্রথম পদক্ষেপটি একটি নির্দিষ্ট Wi-Fi নেটওয়ার্কে প্যাসিভ বুদ্ধিমত্তা পরিচালনা। এটি করার জন্য, আপনি কিসেট নামক প্রোগ্রামটি ব্যবহার করতে পারেন, যা নিষ্ক্রিয়ভাবে এবং অচেনা সংকেতগুলির স্মার্ট ওয়াই-ফাই বিশ্লেষণ করে। এই পদ্ধতির সুবিধাটি কেবল আপনার লক্ষ্যের কাছাকাছি থাকা, আপনি এই অঞ্চলে বেতার ট্র্যাফিক ট্র্যাক করতে পারেন এবং তারপরে একটি আকর্ষণীয় ডিভাইস খুঁজে পেতে প্রয়োজনীয় তথ্যটি অবলম্বন করতে পারেন।

কিসিমেটের বিকল্পটি এআরপি-স্ক্যান, যা আবিষ্কারের নেটওয়ার্কগুলির সম্পর্কে তথ্য ফিল্টার করার বিভিন্ন উপায়ে কনফিগার করা যেতে পারে। এবং যদিও এই টুলটি ভালভাবে কাজ করে তবে কখনও কখনও এটি প্রাপ্ত তথ্যটি ডাইফার করার জন্য আরও বেশি কাজ করতে পারে। আজ আমাদের নিবন্ধে আমরা কিসমেট ব্যবহার করব।

পদক্ষেপ 3. পর্যবেক্ষণ মোডে Wi-Fi অ্যাডাপ্টারের স্যুইচ করুন

কোনও সরঞ্জাম ব্যবহার করে একটি নেটওয়ার্ক স্ক্যান করা শুরু করতে, আমাদের Wireless নেটওয়ার্ক অ্যাডাপ্টারটি মনিটর করতে সক্ষম করতে হবে। আমরা পরবর্তী কমান্ডটি টাইপ করে এটি করতে পারি, যদি Wlan0 আপনার বেতার কার্ডের নাম। আপনি যদি আপনার ওয়্যারলেস কার্ডের নামটি খুঁজে বের করতে পারেন যে ifconfig বা IP একটি কমান্ডগুলি যা উপলব্ধ নেটওয়ার্ক ইন্টারফেসগুলি প্রদর্শন করবে।

Sudo airmon-ng শুরু wlan0

এই কমান্ডটি শুরু করার পরে, আপনি আপনার কার্ডটি পর্যবেক্ষণ পদ্ধতিতে নিশ্চিত করতে Ifconfig বা IP পুনরায় শুরু করতে পারেন। এখন তার নাম Wlan0mon মত কিছু হবে।

ধাপ 4. নেটওয়ার্কের সিম কিসমেট

আপনি মনিটরিং মোড চালু করার পরে, আমরা নিম্নলিখিত কমান্ডটি টাইপ করে কিসমেট চালাতে পারি:

Kismet -c Wlan0mon।

এই দলের মধ্যে, আমরা কোন নেটওয়ার্ক অ্যাডাপ্টারের কিসেট ব্যবহার করতে হবে তা নির্দেশ করে, এটি -C ফ্ল্যাগের মাধ্যমে সম্পন্ন করা হয় (শব্দ ক্লায়েন্ট থেকে) আপনি ট্যাব টিপতে পারেন, তারপর কনসোল উইন্ডোটি বন্ধ করতে এবং প্রধান পর্দাটি দেখান।

ধাপ 5. কিসমেট ব্যবহার করে, বেতার নিরাপত্তা ক্যামেরা খুঁজুন

এখন আমরা নেটওয়ার্কের সমস্ত ডিভাইসে তালিকাতে স্ক্রোল করতে পারি এবং কিছু আকর্ষণীয় করার চেষ্টা করতে পারি। যদি আপনি এটি করতে না পারেন তবে প্যাকেজগুলির উত্স দেখতে পছন্দসই মেনুতে অতিরিক্ত প্যারামিটার সক্ষম করার চেষ্টা করুন। আপনি "কিসেট" মেনু এর মাধ্যমে এটি অ্যাক্সেস করতে পারেন।

যত তাড়াতাড়ি কিসমেট উপার্জন করে, আপনি কোনও ডিভাইসের প্রস্তুতকারকের নামটি দেখতে পারেন এবং এই নামে এটি নির্ধারণ করা হয় যে সুরক্ষা চেম্বারটি তালিকাভুক্ত ডিভাইসগুলির থেকে হতে পারে। এখানে আমরা একটি যন্ত্র খুঁজে পেয়েছি যে কিসমেটের মতে, হ্যাংঝো দ্বারা তৈরি হয়েছিল। আপনি দেখতে পারেন যে তার ম্যাক ঠিকানা - A4: 14: 37: XX: XX: XX।

আমরা সেই সময়ে আরো বিস্তারিতভাবে বাস করব, কিভাবে ম্যাক ঠিকানা নিযুক্ত করা হয়। যেহেতু প্রথম ছয়টি সংখ্যা এবং অক্ষর একটি নির্দিষ্ট সংস্থায় বরাদ্দ করা হয়, তাই আমরা দ্রুত কোম্পানির নাম খুঁজে পেতে পারি, যা AS41437 এর দ্বারা এই ধরনের ডিভাইস তৈরি করে।

কোম্পানির পুরো নামটি গ্রহণ করা (এই ক্ষেত্রে, হ্যাংঝো হাইকভিশন ডিজিটাল প্রযুক্তি), এবং **** এটি Google অনুসন্ধানে রয়েছে, আমরা তার পণ্যগুলির লাইন শিখব। ভাগ্যবান, এই কোম্পানি শুধু বেতার ভিডিও নজরদারি ক্যামেরা তোলে।

এখন আমরা আমাদের মোজাইক এর তিনটি অংশ আছে: নাম এবং Wi-Fi অ্যাক্সেস পয়েন্ট যার উপর ক্যামেরা ইনস্টল করা, চ্যানেল, যা তার নেটওয়ার্ক সিগন্যাল সম্প্রচার, এবং ক্যামেরা নিজেই BSSID ঠিকানা bssd। আপনি কিসমেট বন্ধ করতে Ctrl-C ক্লিক করতে পারেন।

ক্যামেরাটি যখন দেখায় তখন ক্যামেরাটি রেকর্ড বা পাঠাতে শুরু করে তবে হ্যাকার ট্রান্সমিশন শুরু না হওয়া পর্যন্ত হ্যাকার ট্র্যাফিকটি দেখতে পাবে না।

এটি অনুমান করা যেতে পারে যে এটি নেটওয়ার্ক থেকে বন্ধ হয়ে গেলে DVR- র সাথে সংযুক্ত স্ট্রিমিং চেম্বারটি কার্যকর হবে। এর নিষ্পত্তি হচ্ছে এই সমস্ত তথ্য, আপনি সংযোগটি ভাঙ্গার জন্য Airplay-ng ব্যবহার করতে পারেন।

পদক্ষেপ 6. একটি আক্রমণ deauthentification সঞ্চালন

আমরা যে ডিভাইসটি লক্ষ্য করেছিলাম তার সাথে সংযোগটি ভেঙ্গে ফেলার জন্য, আমাদের চ্যানেলে বেতার নেটওয়ার্কটি ঠিক করতে হবে, যেখানে আমরা ট্র্যাফিক চালাচ্ছি। আপনি নিম্নলিখিত কমান্ডটি টাইপ করে এটি করতে পারেন, প্রস্তাব করে যে আমরা 6 র্থ চ্যানেলে নেটওয়ার্ক অ্যাডাপ্টারের ব্লক করতে চাই:

এয়ারমোন-এনজি শুরু Wlan0mon 6

এখন আমাদের কার্ডটি সঠিক চ্যানেলে কনফিগার করা হয়েছে, আমরা এমন একটি কমান্ড পাঠাতে পারি যা আমাদের দ্বারা সনাক্ত করা ডিভাইসটি বন্ধ করে দেয়। আমরা যেটি ব্যবহার করব তা নিম্নরূপ ফর্ম্যাট করা হয়:

Aireplay-Ng-0 0 -A -C

এখানে তার উপাদান ভাঙ্গন:

-0 0, deautentication আক্রমণের আক্রমণের বিকল্পটি নির্দিষ্ট করে, যা ডিভাইসে একটি প্রমাণীকরণ প্যাকেজ পাঠাবে, যা অ্যাক্সেস পয়েন্ট থেকে মনে হয়। নিম্নলিখিত 0 টি deutentic প্যাকেটগুলির একটি ধারাবাহিক প্রবাহ প্রেরণকে নির্দেশ করে, তবে আপনি একটি নির্দিষ্ট নম্বর নির্বাচন করতে পারেন।

-আমি BSSID অ্যাক্সেস পয়েন্ট ওয়াই-ফাই নেটওয়ার্ক ইনস্টল করব যা ডিভাইসটি সংযুক্ত হবে।

-সি বিএসএসআইডি ডিভাইসটি ইনস্টল করবে যা আমরা নেটওয়ার্ক থেকে সরাতে চাই।

আমাদের দলের চূড়ান্ত চেহারা নিম্নরূপ হবে:

AirePlay-Ng-0 0 -A XX: XX: XX: XX: XX: XX -C A4: 14: 37: XX: XX: XX WLAN0MON

যত তাড়াতাড়ি এই কমান্ডটি চলছে, এটি Ctrl-C কী সংমিশ্রণটি টিপে বন্ধ না হওয়া পর্যন্ত আপনি দুটি ডিভাইসের মধ্যে একটি Wi-Fi সংযোগটি অবরোধ করবেন।

নিবন্ধ লেখক সাইট https://rest-zone.ru/

খাল সাবস্ক্রাইব করুন

ওয়েবক্যাম এবং নজরদারি ক্যামেরাগুলিতে রিমোট অ্যাক্সেস সবচেয়ে চাক্ষুষ হ্যাকিং অনুশীলন। এটি বিশেষ প্রয়োজন হয় না, আপনি একটি ব্রাউজার এবং অ-ভাল ম্যানিপুলেশন দিয়ে করতে পারবেন। বিশ্বব্যাপী হাজার হাজার ডিজিটাল আইটি উপলব্ধ থাকবে যদি আপনি তাদের আইপি ঠিকানা এবং দুর্বলতাগুলি কীভাবে খুঁজে পেতে পারেন তা জানেন।

সতর্কতা

নিবন্ধ একটি গবেষণা প্রকৃতি। এটি নিরাপত্তা বিশেষজ্ঞদের এবং যারা হতে যাচ্ছে তারা সম্বোধন করা হয়। তার লেখা সঙ্গে, পাবলিক ডাটাবেস ব্যবহার করা হয়। এখানে উল্লিখিত কোনও তথ্যের অনৈতিক ব্যবহারের জন্য সম্পাদক বা লেখকও দায়ী ছিলেন না।

ব্যাপক চোখ দিয়ে

ভিডিও নজরদারি প্রধানত সুরক্ষা জন্য ব্যবহৃত হয়, এবং তাই প্রথম জ্যাকেট চেম্বার থেকে আনন্দদায়ক ছবি জন্য অপেক্ষা করবেন না। সম্ভবত আপনি একটি এলিট ব্রোথেল থেকে এইচডি-সম্প্রচারকে দ্রুত খুঁজে পেতে ভাগ্যবান হবেন, তবে এটি প্রায়শই বর্জ্যযুক্ত গুদাম এবং ভিজিএ রেজোলিউশন নিয়ে পার্কিংয়ের আরও বেশি বিরক্তিকর মতামত হবে। যদি ফ্রেমের লোকেরা থাকে তবে তারা প্রধানত একটি ক্যাফেতে লবি এবং ফলের মধ্যে অপেক্ষা করছে। অপারেটরদের এবং কোন রোবট নিজেদের কাজ দেখতে আরো আগ্রহজনকভাবে।

বাস্তব এবং আনুষ্ঠানিক পর্যবেক্ষণ
বাস্তব এবং আনুষ্ঠানিক পর্যবেক্ষণ

আইপি ক্যামেরা এবং ওয়েবক্যামগুলি প্রায়শই বিভ্রান্ত হয়, যদিও এটি মৌলিকভাবে বিভিন্ন ডিভাইস। নেটওয়ার্ক চেম্বার, বা আইপি ক্যামেরা, - স্ব-পর্যাপ্ত পর্যবেক্ষণ। এটি ওয়েব ইন্টারফেসের মাধ্যমে পরিচালিত হয় এবং স্বাধীনভাবে নেটওয়ার্কের উপর ভিডিও স্ট্রিম স্থানান্তর করে। সারাংশে, এটি লিনাক্সের উপর ভিত্তি করে এটির একটি মাইক্রো কম্পিউটারে। ইথারনেট নেটওয়ার্ক ইন্টারফেস (RJ-45) বা Wi-Fi আপনি সরাসরি একটি আইপি ক্যামেরাটিতে সংযোগ করার অনুমতি দেয়। পূর্বে, ব্র্যান্ডেড ক্লায়েন্ট অ্যাপ্লিকেশনগুলির জন্য এটি ব্যবহার করা হয়েছিল, তবে বেশিরভাগ আধুনিক ক্যামেরা কোনও ডিভাইস থেকে ব্রাউজারের মাধ্যমে পরিচালিত হয় - অন্তত একটি স্মার্টফোন থেকে এমনকি একটি কম্পিউটার থেকে। একটি নিয়ম হিসাবে, আইপি ক্যামেরা স্থায়ীভাবে এবং দূরবর্তীভাবে উপলব্ধ। এই হ্যাকার ব্যবহার কি।

লাইব্রেরী আর্কাইভ রোবট
লাইব্রেরী আর্কাইভ রোবট

ওয়েবক্যামটি একটি প্যাসিভ ডিভাইস যা অপারেটিং সিস্টেম ড্রাইভারের মাধ্যমে কম্পিউটার থেকে (একটি USB) বা একটি ল্যাপটপ (যদি এটি নির্মিত হয়) থেকে পরিচালিত হয়। এই ড্রাইভারটি দুটি ভিন্ন ধরনের হতে পারে: ইউনিভার্সাল (ওএসের মধ্যে প্রাক-ইনস্টল করা এবং বিভিন্ন নির্মাতাদের অনেক ক্যামেরাগুলির জন্য উপযুক্ত) এবং একটি নির্দিষ্ট মডেলের জন্য অর্ডার করার জন্য লিখিত। হ্যাকারের টাস্কটি এখানে ইতিমধ্যে ভিন্ন: ওয়েবক্যামের সাথে সংযোগ করবেন না, কিন্তু তার ভিডিও স্ট্রিমটিকে আটকানোর জন্য এটি চালকের মাধ্যমে সম্প্রচার করে। ওয়েবক্যামের কোন পৃথক আইপি ঠিকানা এবং একটি বিল্ট-ইন ওয়েব সার্ভার নেই। অতএব, একটি ওয়েবক্যাম হ্যাকিং সবসময় একটি কম্পিউটার হ্যাকিং এর একটি পরিণতি যা এটি সংযুক্ত করা হয়। আসুন তত্ত্বটি স্থগিত করি এবং আমরা একটু অনুশীলন করব।

চশমা এনএন-এনডিএ?
চশমা এনএন-এনডিএ?

হ্যাকিং নজরদারি ক্যামেরা

হ্যাকিং আইপি ক্যামেরাগুলির অর্থ এই নয় যে কেউ কম্পিউটারে হোস্ট করে যা মালিক তাদের ভিডিও স্ট্রিমে দেখায়। শুধু এখন তিনি একা না। এই ব্যক্তি এবং মোটামুটি হালকা লক্ষ্য, যাইহোক, পায়ে পাথরের পাথর যথেষ্ট আছে।

সতর্কতা

ক্যামেরা মাধ্যমে peeping প্রশাসনিক এবং ফৌজদারি শাস্তি entail হতে পারে। সাধারণত একটি জরিমানা নির্ধারিত হয়, কিন্তু সবাই সহজে পরিত্রাণ পেতে পারেন না। ম্যাথু অ্যান্ডারসন ট্রোজান ব্যবহার করে একটি বছর এবং হ্যাকিং ওয়েবক্যাম প্রতি বছর অর্ধেক পরিবেশিত। তার কৃতিত্ব পুনরাবৃত্তি চার বছর ধরে পুরস্কৃত করা হয়।

প্রথমত, নির্বাচিত ক্যামেরাতে রিমোট অ্যাক্সেসটি শুধুমাত্র কিছু নির্দিষ্ট ব্রাউজারের মাধ্যমে সমর্থিত হতে পারে। এক নতুন ক্রোম বা ফায়ারফক্স দেয়, অন্যরা শুধুমাত্র পুরানো অর্থাতের সাথে কাজ করে। দ্বিতীয়ত, ভিডিও স্ট্রিম বিভিন্ন ফরম্যাটে ইন্টারনেটে সম্প্রচারিত হয়। কোথাও এটি দেখতে, আপনাকে VLC প্লাগইনটি ইনস্টল করতে হবে, অন্যান্য ক্যামেরাগুলি ফ্ল্যাশ প্লেয়ারের প্রয়োজন হবে এবং তৃতীয়টি জাভা বা আপনার নিজের প্লাগ-ইন-এর পুরানো সংস্করণ ছাড়াই কিছু দেখাবে না।

চীনা ঔপনিবেশিকতা
চীনা ঔপনিবেশিকতা

কখনও কখনও nontrivial সমাধান আছে। উদাহরণস্বরূপ, রাস্পবেরি পিআই Nginx এবং RTMP এর মাধ্যমে ভিডিও সম্প্রচার ভিডিওর সাথে একটি ভিডিও নজরদারি সার্ভারে রূপান্তরিত হয়।

মালিনিক ক্যামেরা
মালিনিক ক্যামেরা

পরিকল্পনা অনুযায়ী, আইপি চেম্বারটি দুটি গোপনীয়তা থেকে রক্ষা করা হয়েছে: এটির আইপি ঠিকানা এবং অ্যাকাউন্ট পাসওয়ার্ড। অভ্যাসে, আইপি ঠিকানাগুলি কদাচিৎ একটি গোপন বলা যেতে পারে। তারা সহজেই স্ট্যান্ডার্ড ঠিকানাগুলির দ্বারা সনাক্ত করা হয়, এছাড়া, চেম্বারগুলি রোবট অনুরোধগুলির জন্য সমানভাবে প্রতিক্রিয়া জানায়। উদাহরণস্বরূপ, নিম্নলিখিত স্ক্রিনশটটিতে, এটি দেখা যায় যে চেম্বার মালিক এটিতে বেনামী অ্যাক্সেস নিষ্ক্রিয় করে এবং স্বয়ংক্রিয় আক্রমণগুলি প্রতিরোধ করতে ক্যাপচা যোগ করে। তবে, সরাসরি লিঙ্ক / Index.htm। আপনি অনুমোদন ছাড়া তাদের পরিবর্তন করতে পারেন।

সেটিংস বিপরীত অ্যাক্সেস পান
সেটিংস বিপরীত অ্যাক্সেস পান

দুর্বল নজরদারি ক্যামেরা উন্নত অনুরোধগুলি ব্যবহার করে Google বা অন্য সার্চ ইঞ্জিনের মাধ্যমে পাওয়া যাবে। উদাহরণ স্বরূপ:

Inurl: "WVHTTP-01" INURL: "ViewerFrame? Mode =" Inurl: "Waptrictream.cgi" Inurl: "WebCapture" Inurl: "Snap.jpg" Inurl: "Snapshot.jpg" inurl: "Video.mjpg" 
আমরা গুগল মাধ্যমে ক্যামেরা খুঁজে
আমরা গুগল মাধ্যমে ক্যামেরা খুঁজে

এটি Shodan এর মাধ্যমে তাদের জন্য অনুসন্ধান করা অনেক বেশি সুবিধাজনক। শুরু করার জন্য, আপনি সহজ অনুরোধ সীমিত করতে পারেন। Netcam. এবং তারপর আরো উন্নত যান: Netcam শহর: মস্কো , Netcam দেশ: রু , ওয়েবক্যাম এক্সপি জিও: 55.45,37.37 , লিনাক্স ইউপিএনপি AVTECH. এবং অন্যদের. "Shodan এর জন্য হোয়াইট হ্যাট হ্যাট" নিবন্ধে পড়ুন এই সার্চ ইঞ্জিনের ব্যবহার সম্পর্কে আরও পড়ুন।

আমরা Shodan মধ্যে ক্যামেরা খুঁজছেন
আমরা Shodan মধ্যে ক্যামেরা খুঁজছেন

জরিমানা ক্যামেরা এবং গণনা খুঁজছেন। অনুরোধের ভাষা তার পক্ষে একটু বেশি কঠিন, কিন্তু তার সাথে মোকাবিলা করা খুব কঠিন হবে না। উদাহরণস্বরূপ, প্রশ্নের জন্য 80.http.get.body: "DVR ওয়েব ক্লায়েন্ট" আইপি ভিডিও রেকর্ডার সংযুক্ত ক্যামেরা দেখাবে, এবং Metadata.manufacturer: "অক্ষ" ক্যামেরা উত্পাদন অক্ষ পাবেন। আমরা ইতিমধ্যেই সেন্সিশীদের সাথে কীভাবে কাজ করতে পারি সে সম্পর্কে লিখেছি - নিবন্ধটি "কি গণনা করতে পারে?"

আমরা গণনা মধ্যে ক্যামেরা খুঁজছেন হয়
আমরা গণনা মধ্যে ক্যামেরা খুঁজছেন হয়

"ইন্টারনেটের ইন্টারনেট" এ আরেকটি চিক সার্চ ইঞ্জিন - Zoomeye। ক্যামেরা অনুরোধ পাওয়া যায় ডিভাইস: ওয়েবক্যাম। অথবা ডিভাইস: মিডিয়া ডিভাইস .

আমরা zoomeye মধ্যে ক্যামেরা খুঁজছেন
আমরা zoomeye মধ্যে ক্যামেরা খুঁজছেন

আপনি পুরানো পদ্ধতিতে অনুসন্ধান করতে পারেন, সুন্দরভাবে ক্যামেরা থেকে একটি চরিত্রগত প্রতিক্রিয়া অনুসন্ধানে আইপি ঠিকানা স্ক্যান করা। আপনি এই ওয়েব পরিষেবাতে একটি নির্দিষ্ট শহর Aypishniki একটি তালিকা পেতে পারেন। আপনি এখনও কোন নিজস্ব আছে ক্ষেত্রে একটি পোর্ট স্ক্যানার আছে।

প্রথমত, আমরা পোর্ট 8000, 8080 এবং 8888 তে আগ্রহী, কারণ তারা প্রায়ই ডিফল্ট হিসাবে। তার ম্যানুয়াল একটি নির্দিষ্ট ক্যামেরা জন্য ডিফল্ট পোর্ট নম্বর শিখুন। সংখ্যা প্রায় পরিবর্তন না। স্বাভাবিকভাবেই, যে কোনও পোর্টে আপনি অন্যান্য পরিষেবাগুলি সনাক্ত করতে পারেন, তাই অনুসন্ধান ফলাফলগুলি অতিরিক্তভাবে ফিল্টার করতে হবে।

আরটিএফএম!
আরটিএফএম!

মডেলের মডেলটি কেবল খুঁজে বের করুন: সাধারণত এটি ওয়েব ইন্টারফেসের শিরোনাম পৃষ্ঠায় এবং তার সেটিংসে নির্দেশিত হয়।

ক্যামেরা মডেল সনাক্ত করুন এবং এটি কনফিগার করুন
ক্যামেরা মডেল সনাক্ত করুন এবং এটি কনফিগার করুন

"ব্র্যান্ডেড ক্লায়েন্ট অ্যাপ্লিকেশন" এর মাধ্যমে ক্যামেরাগুলির ব্যবস্থাপনায় নিবন্ধটির শুরুতে আমি যখন কথা বলি, তখন আমি আইভিএমএস 4xxx এর মতো প্রোগ্রামটি হাইকিভিশন ক্যামেরাগুলির সাথে কথা বলি। বিকাশকারীর ওয়েবসাইটে আপনি রাশিয়ান ভাষী ম্যানুয়ালটি প্রোগ্রাম এবং ক্যামেরাগুলিতে পড়তে পারেন। আপনি যদি এমন একটি ক্যামেরা খুঁজে পান তবে এটি কারখানার পাসওয়ার্ডটি দাঁড়াতে পারে এবং প্রোগ্রামটি এটির সম্পূর্ণ অ্যাক্সেস সরবরাহ করবে।

Cameras নজরদারি পাসওয়ার্ড দিয়ে, এটা এমনকি মজা। কিছু পাসওয়ার্ড ক্যামেরা সহজভাবে কোন এবং অনুমোদন সম্পূর্ণরূপে অনুপস্থিত। অন্যদের উপর এটি ডিফল্ট পাসওয়ার্ডের মূল্য, যা চেম্বারে ম্যানুয়ালে খুঁজে পাওয়া সহজ। IPvm.com ওয়েবসাইটটি বিভিন্ন ক্যামেরা মডেলগুলিতে ইনস্টল করা সবচেয়ে সাধারণ লগইন এবং পাসওয়ার্ডগুলির একটি তালিকা প্রকাশ করেছে।

অ্যাডমিন / অ্যাডমিন, খোলা!
অ্যাডমিন / অ্যাডমিন, খোলা!

এটি প্রায়শই ঘটেছে যে প্রস্তুতকারক ক্যামেরা ফার্মওয়্যারের পরিষেবা কেন্দ্রগুলির জন্য একটি পরিষেবা প্রবেশদ্বার রেখে গেছে। চেম্বার মালিক ডিফল্ট পাসওয়ার্ড পরিবর্তন করার পরেও এটি খোলা থাকে। ম্যানুয়ালে, আপনি আর এটি পড়তে পারবেন না, কিন্তু আপনি থিম্যাটিক ফোরামে খুঁজে পেতে পারেন।

একটি বিশাল সমস্যা হল অনেক ক্যামেরাগুলিতে, একই goaead ওয়েব সার্ভার ব্যবহার করা হয়। এটি ক্যামেরা নির্মাতারা প্যাচ করার কোন তাড়াতাড়ি হয় না যে অনেক বিখ্যাত দুর্বলতা আছে।

বিশেষ করে, গোয়াড, স্ট্যাক ওভারফ্লো সাপেক্ষে, যা একটি সহজ HTTP নামে অনুরোধ করা যেতে পারে। চীনের নির্মাতারা নতুন গর্ত যোগ করে চীনা নির্মাতারা তাদের ফার্মওয়্যারের গোহাদ সংশোধন করে আরও জটিল হয়ে উঠেছে।

শুদ্ধ, মিলোক!
শুদ্ধ, মিলোক!

আজ পর্যন্ত, বিভিন্ন নির্মাতাদের এক মিলিয়ন আইপি ক্যামেরা এবং আইপি ভিডিও রেকর্ডারগুলি আপনাকে কোনও অনুমোদন ছাড়াই তাদের সেটিংস অ্যাক্সেস করতে দেয়। Python স্ক্রিপ্ট যে দুর্বল ডিভাইসগুলিতে আক্রমণ স্বয়ংক্রিয়ভাবে github উপর স্থাপন করা হয়। দাহুয়া প্রযুক্তি দ্বারা তৈরি DVR ফার্মওয়্যারের বিপরীত সঙ্গে 2017 এর শুরুতে সমস্যাটি আবিষ্কৃত হয়েছিল। একটু পরে এটি পরিণত হয়েছে যে এটি বিভিন্ন নির্মাতাদের এক হাজার মডেলের বেশি প্রভাবিত করে। তারা কেবল একে অপরের ভুল প্রতিলিপি। লেখক একটি সংশোধন সময় দিতে প্রতিশ্রুতিবদ্ধ এবং এ পর্যন্ত সমস্ত বিবরণ প্রকাশ না করার প্রতিশ্রুতি, কিন্তু এটি সমস্ত নিরাপত্তা বিশেষজ্ঞদের সাথে ইমেল দ্বারা তাদের ব্যক্তিগতভাবে ভাগ করে নেওয়ার জন্য প্রস্তুত। আপনি যদি একটি সার্টিফাইড ইথিকাল হ্যাকার (সার্টিফাইড নৈতিক হ্যাকার) শংসাপত্র বা অনুরূপ থাকে - আপনি চেষ্টা করতে পারেন।

উজ্জ্বলতা যোগ করুন!
উজ্জ্বলতা যোগ করুন!

অন্যান্য ফার্মওয়্যারের কোডে শর্তাধীন ট্রানজিট রেখাচিত্রের মতো বাতি রয়েছে। এই ক্যামেরাটি যদি আপনি ভুল পাসওয়ার্ডটি প্রবেশ করেন বা কেবল "বাতিল" বোতামটি বেশ কয়েকবার টিপুন তবে অ্যাক্সেস খোলে। আমাদের গবেষণায়, এক ডজনেরও বেশি ক্যামেরা ধরা পড়েছিল। সুতরাং, যদি আপনি ডিফল্ট পাসওয়ার্ডগুলি সাজানোর জন্য ক্লান্ত হন তবে বাতিল ক্লিক করার চেষ্টা করুন - হঠাৎ অ্যাক্সেস করার সুযোগ রয়েছে।

মধ্যম এবং উচ্চ চেম্বার সুইভেল fasteners সঙ্গে সজ্জিত করা হয়। যেমন হ্যাকিং, আপনি কোণ পরিবর্তন করতে পারেন এবং প্রায় সবকিছু প্রায় সবকিছু পরিদর্শন করতে পারেন। যখন আপনি চেম্বারটিকে ধাক্কা দেওয়ার জন্য বিশেষত আকর্ষণীয়, তিনি অন্য কাউকে পরিচালনা করার চেষ্টা করছেন। সাধারণভাবে, আক্রমণকারী কেবল তার ব্রাউজার থেকে সরাসরি ক্যামেরা নিয়ন্ত্রণ পায়, কেবল পছন্দসই ঠিকানাটি যোগাযোগ করে।

ক্যামেরা কন্ট্রোল
ক্যামেরা কন্ট্রোল

যখন তারা হাজার হাজার দুর্বল ক্যামেরা সম্পর্কে কথা বলে, তখন আমি অন্তত এককে বিচ্ছিন্ন করতে চাই। আমি জনপ্রিয় ফসকাম প্রস্তুতকারকের সাথে শুরু করার প্রস্তাব করছি। আপনি কি মনে করেন, আমি সার্ভিসের প্রবেশদ্বার সম্পর্কে কথা বলেছিলাম? তাই এখানে ক্যামেরা Foscam এবং তারা অনেক অন্যদের হয়। বিল্ট-ইন অ্যাডমিন একাউন্টের পাশাপাশি, ক্যামেরাটি প্রথমে চালু হলে সেট করার জন্য প্রস্তাবিত পাসওয়ার্ডটি অন্য অ্যাকাউন্ট আছে - অপারেটর. । তার ডিফল্ট পাসওয়ার্ড খালি, এবং এটি খুব কমই কেউ এটি পরিবর্তন করতে পারেন।

একটি অপারেটর হিসাবে লগমার্ক এবং নতুন অ্যাকাউন্ট যোগ করুন
একটি অপারেটর হিসাবে লগমার্ক এবং নতুন অ্যাকাউন্ট যোগ করুন

উপরন্তু, ফসক্যাম ক্যামেরা টেমপ্লেট রেজিস্ট্রেশন কারণে খুব স্বীকৃত ঠিকানা। সাধারণভাবে, এটা মনে হচ্ছে xxxxxx.myfoscam.org:88। প্রথম দুই যেখানে Xx. - ল্যাটিন অক্ষর, এবং পরবর্তী চারটি - দশমিক বিন্যাসে ক্রম সংখ্যা।

ক্যামেরাটি আইপি ভিডিও রেকর্ডারের সাথে সংযুক্ত থাকলে, আপনি কেবল রিয়েল টাইমটি দূরবর্তীভাবে পর্যবেক্ষণ করতে পারবেন না, বরং পূর্ববর্তী রেকর্ডগুলি দেখতে পারবেন না।

ব্যাকআপ দেখুন
ব্যাকআপ দেখুন

গতি আবিষ্কারক কিভাবে

পেশাগত নজরদারি ক্যামেরা একটি অতিরিক্ত সেন্সর - মোশন ডিটেকটর, যা এমনকি আইআর রিসিভার ধন্যবাদ সম্পূর্ণ অন্ধকার ধন্যবাদ কাজ করে। এটি ক্রমাগত চালু স্থায়ী আলোকে আরো আকর্ষণীয়, কারণ এটি ক্যামেরাটিকে ডেমোকাস করে না এবং এটি একটি লুকানো পর্যবেক্ষণের নেতৃত্ব দেয়। মানুষ সবসময় কাছাকাছি আইআর পরিসীমা (অন্তত লাইভ) মধ্যে জ্বলজ্বলে হয়। সেন্সর যখন আন্দোলনকে সংশোধন করে, তখন কন্ট্রোলারের রেকর্ডিং অন্তর্ভুক্ত। Photocell একটি কম আলো সংকেত, ব্যাকলাইট অতিরিক্ত চালু করা হয়। এবং ঠিক রেকর্ডিং সময়, যখন এটি লেন্স থেকে বন্ধ খুব দেরী হয়।

সস্তা ক্যামেরা সহজ হয়। তাদের একটি পৃথক গতি সেন্সর নেই, এবং এর পরিবর্তে এটি ওয়েবক্যাম থেকে ফ্রেমগুলির তুলনা ব্যবহার করে। যদি ছবিটি পূর্ববর্তী থেকে আলাদা হয় তবে এর অর্থ হল ফ্রেমটিতে কিছু পরিবর্তন হয়েছে এবং এটি লিখতে হবে। আন্দোলন স্থির না থাকলে, ফ্রেম সিরিজটি কেবল মুছে ফেলা হয়। এটি পরবর্তী রিউইন্ডিং ভিডিওতে স্থান, ট্র্যাফিক এবং সময় সংরক্ষণ করে। সর্বাধিক গতি ডিটেক্টর কনফিগার করা হয়। আপনি ট্রিগার থ্রেশহোল্ডটি সেট করতে পারেন যাতে ক্যামেরার সামনে কোনও আন্দোলন লগ না করতে এবং অতিরিক্ত সতর্কতা কনফিগার করতে না পারে। উদাহরণস্বরূপ, ক্যামেরা থেকে স্মার্টফোনে এসএমএস এবং শেষ ছবিটি পাঠান।

ক্যামেরা গতি আবিষ্কারক কাস্টমাইজ করুন
ক্যামেরা গতি আবিষ্কারক কাস্টমাইজ করুন

প্রোগ্রাম মোশন ডিটেক্টরটি হার্ডওয়্যারের চেয়ে বেশি নিকৃষ্ট এবং প্রায়শই ঘটনার কারণ হয়ে উঠেছে। তার গবেষণার পথে, আমি দুই ক্যামেরা জুড়ে এসেছি যা ক্রমাগত সতর্ক করে পাঠিয়েছিল এবং "আপোষজনক" এর গিগাবাইট রেকর্ড করা হয়েছিল। সমস্ত অ্যালার্ম মিথ্যা হতে পরিণত। প্রথম চেম্বারটি কিছু গুদামের বাইরে ইনস্টল করা হয়েছিল। তিনি একটি ওয়েব উপর ছুড়ে ফেলে, বাতাসে কাঁপছিল এবং গতি আবিষ্কারক হ্রাস পেয়েছিল। দ্বিতীয় ক্যামেরা ফ্লাইট ফ্ল্যাশের বিপরীতে অফিসে অবস্থিত ছিল। উভয় ক্ষেত্রে, ট্রিগার থ্রেশহোল্ড খুব কম ছিল।

ওয়েবক্যাম ভাঙ্গা

একটি সর্বজনীন ড্রাইভারের মাধ্যমে কাজ করে এমন ওয়েবক্যামগুলি প্রায়শই ইউভিসি-সামঞ্জস্যপূর্ণ (ইউএসবি ভিডিও ক্লাস - ইউভিসি থেকে) বলা হয়। ইউভিসি ক্যামেরা হ্যাক সহজ কারণ এটি একটি আদর্শ এবং ভাল নথিভুক্ত প্রোটোকল ব্যবহার করে। যাইহোক, কোনও ক্ষেত্রে, ওয়েবক্যাম অ্যাক্সেস করতে, আক্রমণকারীকে প্রথমে কম্পিউটারে নিয়ন্ত্রণ করতে হবে যা এটি সংযুক্ত।

টেকনিক্যালি কোনও সংস্করণের উইন্ডোজ কম্পিউটারগুলিতে ওয়েবক্যামগুলিতে অ্যাক্সেস এবং ক্যামেরা ড্রাইভার, ডাইরেক্টড্রাল ফিল্টার এবং VFW কোডেকগুলির মাধ্যমে স্রাবের অ্যাক্সেস অ্যাক্সেস করুন। যাইহোক, তিনি একটি উন্নত backdoor লিখতে না হয়, তাহলে Novice হ্যাকার এই সব বিবরণে delve প্রয়োজন হয় না। এটা কোন "ইঁদুর" (ইঁদুর - রিমোট অ্যাডমিন টুল) নিতে যথেষ্ট এবং এটি সামান্য সংশোধন করা। দূরবর্তী প্রশাসন সরঞ্জাম আজ শুধু অনেক। VX স্বর্গের সাথে নির্বাচিত ব্যাকডারগুলির পাশাপাশি, অ্যামি অ্যাডমিন, লাইট ম্যানেনেজার, আলোকিততা লিনক, টিম ভিউয়ার বা রেডমিনের মতো সম্পূর্ণ আইনি ইউটিলিটিও রয়েছে। তাদের মধ্যে ঐতিহ্যগতভাবে পরিবর্তন করা দরকার যা দূরবর্তী সংযোগের জন্য অনুরোধের স্বয়ংক্রিয় অভ্যর্থনা এবং প্রধান উইন্ডোটি ভাঁজ করতে হবে। সামাজিক প্রকৌশল পদ্ধতির জন্য আরও কেস।

নেটওয়ার্ক মেয়ে
নেটওয়ার্ক মেয়ে

কোড-সংশোধিত ইঁদুরটি একটি ফিশিং লিঙ্ক বরাবর শিকার দ্বারা লোড করা হয় বা প্রথম সনাক্ত করা গর্তের মাধ্যমে তার কম্পিউটারে নিজেই ক্রলিং করছে। কিভাবে এই প্রক্রিয়াটি স্বয়ংক্রিয়ভাবে, "গোফিশ - মাছ ধরার জন্য Freamvork" দেখুন। যাইহোক, সতর্কতা অবলম্বন করা: সর্বাধিক রেফারেন্স: "ক্যামেরাগুলির জন্য প্রোগ্রামগুলির জন্য প্রোগ্রামগুলি" নিজেদের নিজেদের ফিশিং করে এবং আপনাকে মালভারি ডাউনলোড করতে পারে।

ব্যক্তিগত ব্যবহারকারীর বেশিরভাগ সময় ওয়েবক্যাম নিষ্ক্রিয়। সাধারণত, তার অন্তর্ভুক্তি LED সতর্ক করে দেয়, এমনকি এই ধরনের সতর্কতার সাথে আপনি লুকানো পর্যবেক্ষণ করতে পারেন। এটি পরিণত হলে, LED এবং CMOS ম্যাট্রিক্স শারীরিকভাবে আন্তঃসংযোগ করা হলেও একটি ওয়েবক্যাম কার্যকলাপের ইঙ্গিত নিষ্ক্রিয় করা যেতে পারে। এটি ইতিমধ্যে ম্যাকবুক মধ্যে নির্মিত আইফাইট ওয়েবক্যাম সঙ্গে সম্পন্ন করা হয়েছে। জন হপকিন্সের ব্রোকার এবং চেচাউই গবেষকরা আইসিওউ ইউটিলিটি লিখেছেন, যা একটি সহজ ব্যবহারকারী থেকে চালায় এবং সাইপ্রাস কন্ট্রোলারের দুর্বলতা শোষণ করে, তার ফার্মওয়্যারটি প্রতিস্থাপন করে। Iseeyou শিকার শুরু করার পরে, আক্রমণকারী তার নির্দেশক কার্যকলাপ বার্ন ছাড়া ক্যামেরা চালু করার ক্ষমতা পায়।

দুর্বলতা নিয়মিত অন্যান্য microcontrollers পাওয়া যায়। Prevx বিশেষজ্ঞ যেমন শোষণ একটি সম্পূর্ণ সংগ্রহ সংগ্রহ এবং তাদের ব্যবহারের উদাহরণ দেখিয়েছেন। প্রায় সব দুর্বলতা 0 দিনের চিকিত্সা খুঁজে পেয়েছিল, কিন্তু তাদের মধ্যে সুপরিচিত ছিল, যা নির্মাতারা কেবল নির্মূল করতে যাচ্ছেন না।

শোষণ প্রদানের উপায়গুলি আরও বেশি হয়ে ওঠে, এবং তারা তাদের ধরতে ক্রমবর্ধমান কঠিন। অ্যান্টিভাইরাসগুলি প্রায়শই সংশোধিত পিডিএফ ফাইলগুলির সামনে শস্য দেয়, বড় ফাইলগুলি পরীক্ষা করার জন্য প্রিসেট সীমাবদ্ধতা রয়েছে এবং মালভারি এর এনক্রিপ্ট উপাদানগুলি পরীক্ষা করতে পারে না। তাছাড়া, পলিমরফিজম বা কনস্ট্যান্ট কম্ব্যাট লোড পুনরুদ্ধারটি আদর্শ হয়ে উঠেছে, তাই স্বাক্ষর বিশ্লেষণটি দীর্ঘদিন ধরে পটভূমিতে চলে গেছে। একটি ট্রোজান বাস্তবায়ন, যা ওয়েবক্যামে রিমোট অ্যাক্সেস খোলে, আজকে অত্যন্ত সহজ হয়ে উঠেছে। এই trolls এবং স্ক্রিপ্ট kiddies মধ্যে জনপ্রিয় মজা এক।

পর্যবেক্ষণ চেম্বারে একটি ওয়েবক্যাম চালু করুন

যদি আপনি এটি সংযুক্ত ডিভাইসে একটি ভিডিও নজরদারি সার্ভার ইনস্টল করেন তবে কোনও ওয়েবক্যাম একটি আইপি ক্যামেরাটির একটি অনুরূপ রূপান্তর করা যেতে পারে। কম্পিউটারে, অনেকগুলি এই উদ্দেশ্যে, অনেকগুলি নতুন ওয়েবক্যাম 7 এবং অনুরূপ প্রোগ্রামগুলির জন্য পুরানো ওয়েবক্যাম্পপি ব্যবহার করে।

স্মার্টফোনের জন্য একটি অনুরূপ সফ্টওয়্যার আছে - উদাহরণস্বরূপ, প্রধান আই। এই প্রোগ্রামটি স্মার্টফোনের স্থানীয় স্মৃতি মুক্ত করে ক্লাউড হোস্টিংয়ের সাথে ভিডিও সংরক্ষণ করতে পারে। যাইহোক, যেমন প্রোগ্রাম এবং ওএস নিজেদের মধ্যে যথেষ্ট গর্ত আছে, তাই ওয়েবক্যাম নিজেই ক্র্যাক পরিচালিত হয় প্রায়ই একটি গর্ত ফার্মওয়্যার সঙ্গে আইপি ক্যামেরা চেয়ে বেশি কঠিন নয়।

ওয়েবক্যাম 7 অনুমোদন ছাড়া ভিডিও দেখায়
ওয়েবক্যাম 7 অনুমোদন ছাড়া ভিডিও দেখায়

পর্যবেক্ষণ একটি উপায় হিসাবে স্মার্টফোন

সম্প্রতি, পুরানো স্মার্টফোন এবং ট্যাবলেটগুলি প্রায়ই হোম ভিডিও নজরদারি জন্য সামঞ্জস্য করা হয়। প্রায়শই তারা অ্যান্ড্রয়েড ওয়েবক্যাম সার্ভারটি রাখে - এটি একটি সহজ অ্যাপ্লিকেশন যা ইন্টারনেটে অন্তর্নির্মিত ক্যামেরার সাথে ভিডিও স্ট্রিমকে সম্প্রচার করে। এটি পোর্ট 8080 এর অনুরোধ গ্রহণ করে এবং স্পিকার নামের সাথে পৃষ্ঠার কন্ট্রোল প্যানেলটি খোলে /REMOTE.HTML। । এটি আঘাত করার পরে, আপনি ক্যামেরা সেটিংস পরিবর্তন করতে পারেন এবং ব্রাউজার উইন্ডোতে ইমেজটি সঠিকভাবে দেখাতে পারেন (সহ বা বাইরে বা ছাড়া)।

সাধারণত যেমন স্মার্টফোনের বরং নিস্তেজ পেইন্টিং প্রদর্শন। ঘুমের কুকুরের দিকে বা বাড়ির কাছে পার্ক করা গাড়ীতে তাকানোর জন্য এটি আপনার পক্ষে খুবই আকর্ষণীয়। যাইহোক, অ্যান্ড্রয়েড ওয়েবক্যাম সার্ভার এবং অনুরূপ অ্যাপ্লিকেশন অন্যথায় ব্যবহার করা যেতে পারে। পিছন ক্যামেরা ছাড়াও, স্মার্টফোন উভয় সামনের আছে। কেন আমরা এটা অন্তর্ভুক্ত না? তারপর আমরা স্মার্টফোনের মালিকের অন্য দিকে দেখতে পাব।

স্মার্টফোন ক্যামেরা স্যুইচ করুন
স্মার্টফোন ক্যামেরা স্যুইচ করুন

Peeping বিরুদ্ধে সুরক্ষা

মনের কাছে যে প্রথম জিনিসটি একটি হালকা হ্যাকিং ক্যামেরাগুলির বিক্ষোভের পর বেশিরভাগ লোকই একটি টেপ দিয়ে আটকে রাখা। একটি পর্দা সঙ্গে ওয়েবক্যাম মালিক বিশ্বাস করে যে তাদের peeping সমস্যা উদ্বেগ না, এবং নিরর্থক। এটিও পরিত্যক্ত, কারণ লেন্স ব্যতীত, ক্যামেরাগুলির একটি মাইক্রোফোন আছে।

অ্যান্টিভাইরাস ডেভেলপার এবং অন্যান্য সফ্টওয়্যার সুরক্ষা কমপ্লেক্সগুলি তাদের পণ্যগুলি প্রচারের জন্য পরিভাষায় বিভ্রান্তি ব্যবহার করে। তারা ক্যামেরা হ্যাক পরিসংখ্যানগুলি ভীত করে (যা আপনি আইপি ক্যামেরা সক্ষম করলে সত্যিই চিত্তাকর্ষক, এবং তারা নিজেদেরকে ওয়েবক্যামগুলিতে অ্যাক্সেস নিয়ন্ত্রণ করার জন্য একটি সমাধান প্রদান করে এবং টেকনিক্যালি সীমিত।

আইপি ক্যামেরাগুলির সুরক্ষা সহজ উপায়ে বর্ধিত করা যেতে পারে: পাসওয়ার্ড, পোর্ট এবং ডিফল্ট অ্যাকাউন্টগুলি অক্ষম করে ফার্মওয়্যার আপডেট করা, পাশাপাশি আইপি ঠিকানাগুলির ফিল্টারিং চালু করা হচ্ছে। তবে, এই যথেষ্ট নয়। অনেক ফার্মওয়্যার ত্রুটিগুলি বিভ্রান্ত করেছে যা আপনাকে কোনও অনুমোদন ছাড়াই অ্যাক্সেস করার অনুমতি দেয় - উদাহরণস্বরূপ, লাইভভিউ বা সেটিংস প্যানেলের সাথে ওয়েব পৃষ্ঠার মান ঠিকানা দ্বারা। যখন আপনি অন্য হোল ফার্মওয়্যারটি খুঁজে পান, তখন আমি এটি দূরবর্তীভাবে আপডেট করতে চাই!

ফার্মওয়্যার দুর্বল ক্যামেরা আপডেট করতে সাহায্য করুন
ফার্মওয়্যার দুর্বল ক্যামেরা আপডেট করতে সাহায্য করুন

একটি ওয়েবক্যাম হ্যাকিং - অন্য জিনিস। এটা সবসময় বরফের শীর্ষ। সাধারণত আক্রমণকারীটি অ্যাক্সেস পেয়েছিল, তিনি ইতিমধ্যে স্থানীয় ডিস্কগুলিতে কেটে ফেলতে পেরেছেন, সমস্ত অ্যাকাউন্টের জন্য অ্যাকাউন্টগুলি চুরি করেছেন বা বোটনেটের কম্পিউটার অংশ তৈরি করেছেন।

একই ক্যাস্পারস্কি ইন্টারনেট সিকিউরিটি ওয়েবক্যামের ভিডিও স্ট্রিমে অননুমোদিত অ্যাক্সেসকে বাধা দেয়। এটি হাকওয়ারকে তার সেটিংস পরিবর্তন বা মাইক্রোফোন চালু করতে বাধা দেয় না। তাদের দ্বারা সুরক্ষিত মডেলগুলির তালিকা আনুষ্ঠানিকভাবে মাইক্রোসফ্ট এবং লগিটেক ওয়েবক্যাম পর্যন্ত সীমাবদ্ধ। অতএব, "ওয়েব ক্যামেরা সুরক্ষা" বৈশিষ্ট্য শুধুমাত্র একটি সংযোজন হিসাবে অনুভূত হয়।

Peeping সাইট

একটি পৃথক সমস্যা ব্রাউজারগুলিতে ক্যামেরাতে অ্যাক্সেস নিয়ন্ত্রণ বাস্তবায়নের সাথে যুক্ত আক্রমণ। অনেক সাইট ক্যামেরা ব্যবহার করে যোগাযোগ পরিষেবাগুলি সরবরাহ করে, তাই এটিতে অ্যাক্সেসের অনুরোধগুলি এবং তার অন্তর্নির্মিত মাইক্রোফোনটি একটি দিনে দশবার ব্রাউজারে পপ আপ করে। এখানে বৈশিষ্ট্যটি হল যে সাইটটি পপ-আন্ডার (পটভূমিতে একটি অতিরিক্ত উইন্ডো) খোলে এমন স্ক্রিপ্টটি ব্যবহার করতে পারে। এই কন্যা উইন্ডো পিতামাতার অনুমতি দ্বারা দেওয়া হয়। আপনি যখন প্রধান পৃষ্ঠাটি বন্ধ করেন, তখন মাইক্রোফোনটি পটভূমিতে থাকে। এর কারণে, একটি স্ক্রিপ্টটি সম্ভব, যার মধ্যে ব্যবহারকারী মনে করেন যে তিনি কথোপকথনটি শেষ করেছেন এবং প্রকৃতপক্ষে, ইন্টারলোকুটর (অথবা অন্য কেউ) এটি শুনতে থাকে।

বেশিরভাগ ব্রাউজারে, অনুমতিটি ক্রমাগত রাখা হয়, তাই পরবর্তী সময় আপনি সাইটটি দেখেন এবং সতর্কতা ছাড়াই শুনতে এবং শুনতে পারেন। এটি বিভিন্ন সাইটের জন্য ওয়েবক্যাম এবং এর মাইক্রোফোনের অনুমতিগুলি পরীক্ষা করার জন্য প্রায়শই মূল্যবান। গুগল ক্রোমে, এই সেটিংস পৃষ্ঠায় করা যেতে পারে। Chrome: // সেটিংস / কন্টেন্টগুলি # মিডিয়া-স্ট্রিম । ফায়ারফক্সের পুরানো সংস্করণে, একই সেটিংস পৃষ্ঠায় ছিল সম্পর্কে: অনুমতি এবং আইকনে ক্লিক করার সময় তারা প্রতিটি সাইটের জন্য আলাদাভাবে সেট করা হয় (আমি) ঠিকানা বার বামে। মোজিলা ডকুমেন্টেশন আরো দেখুন।

আপনি এখন নজরদারি ক্যামেরার রাস্তায় কতটা হাজিরতে মনোযোগ দিয়েছেন? শুধু কাজ করার জন্য বাড়ি থেকে হাঁটা আমি প্রায় অর্ধ শত শত গণনা। এবং যত তাড়াতাড়ি তারা নিজেদেরকে প্রশ্নটি জিজ্ঞেস করলো আমি যতটা জিজ্ঞেস করলাম .. এটি এমনভাবে পরিণত হয় না যে খুব ... এই সমস্যাটি অধ্যয়ন করার কয়েক দিন কাটানোর পরে, আমরা এমন উপাদান তৈরি করেছি যা অনেকগুলি ওয়েবক্যাম ভিডিও নজরদারি হ্যাক করতে হবে আধুনিক মডেল।

একইভাবে, আপনি হ্যাক এবং অন্যান্য নজরদারি ক্যামেরা, নেটওয়ার্ক ড্রাইভ (NAS), প্রিন্টার্স, ওয়েব ক্যামেরা এবং অন্য কোনও নেটওয়ার্ক সরঞ্জাম অ্যাক্সেস করতে পারেন।

সুতরাং, আমার কাজটি এমন একটি নির্মাতা বেছে নেওয়ার জন্য, যিনি একদিকে রাশিয়ান বাজারে দীর্ঘদিন ধরে উপস্থিত ছিলেন, অন্যদিকে, নিরাপত্তা বিশেষজ্ঞদের মনোযোগ আকর্ষণ করেনি। আমার পছন্দ কোরিয়ান কোম্পানির উপর পড়ে গিয়েছিল মাইক্রোডিজিটাল। যা আইপি ক্যামেরা উত্পাদন করে।

কোম্পানির ওয়েবসাইট আমাদের ব্যাপক পরিসর প্রতিশ্রুতি দেয়: "ক্যামকোডারের 150 টিরও বেশি মডেলের রেকর্ডকারীর 30 টিরও বেশি মডেল।" চমৎকার!

বারো বছরেরও বেশি সময় ধরে কোম্পানির বাজারে (রাশিয়ান সহ) বিদ্যমান, যার অর্থ তার পণ্যগুলি বিতরণ করা হয়। এটি প্রমাণিত হয়েছে যে ২011 সালে এই সংস্থার 30 হাজার রাশিয়ান বাস ক্যামেরাগুলি সজ্জিত করার জন্য একটি চুক্তি শেষ হয়েছিল।

সর্বোপরি, আমি এন সিরিজের ডিভাইসগুলিতে আগ্রহী ছিলাম, তারা বেশ উন্নত, কিন্তু একই সাথে তারা এখনও গবেষকদের কাছ থেকে কাউকে পরীক্ষা করার একটি বস্তু হয়ে উঠেনি। এটা ঠিক করার সময়! আমি MDC-N4090W মডেলটি বেছে নিলাম, যা গৃহমধ্যে ব্যবহার করার জন্য ডিজাইন করা হয়েছে। ডিভাইস সম্পর্কে বিস্তারিত তথ্য নির্মাতার ওয়েবসাইটে শিখতে পারে।

অনুরোধ MDC-N4090W অনুরোধ ছবি
অনুরোধ MDC-N4090W অনুরোধ ছবি

চেম্বার অধ্যয়নরত

কোন লোহা গবেষণা শুরু করুন উপলব্ধ ডকুমেন্টেশন অধ্যয়ন সঙ্গে ভাল।

মাইক্রোডিগিটাল ওয়েবসাইটে প্রাপ্ত পিডিএফটি খুলুন এবং জানায় যে ক্যামেরার রুট ব্যবহারকারীদের (রুট পাসওয়ার্ড) এবং বেনামীদের সাথে একটি ওয়েব ইন্টারফেস রয়েছে।

আচ্ছা, আমরা কোম্পানির ওয়েবসাইটে আছি, ক্যামেরাটির জন্য প্রকৃত ফার্মওয়্যারটি ধরুন। এটি একটি দীর্ঘ সময়ের জন্য অনুসন্ধান করতে হবে না, এটি উপযুক্ত বিভাগে পাওয়া যায়।

তবে, কোনও সত্য নয় যে ফার্মওয়্যারের পরীক্ষার জন্য প্রয়োজনীয় সমস্ত তথ্য রয়েছে, তাই এটির অর্থ হবে, শুধুমাত্র যদি কোনও সম্পূর্ণ প্রশাসক ডিভাইস কনসোলে বা আপডেটটি পড়ার প্রয়োজন হয় না। অতএব, আমরা সময় ব্যয় করব না এবং পরে ফার্মওয়্যার ফিরে আসব না।

পরীক্ষার জন্য ওয়েবক্যাম প্রস্তুতি

আমরা হার্ডওয়্যার উপাদান অধ্যয়ন এগিয়ে যেতে হবে। এটি করার জন্য, ডিভাইসটিকে বিচ্ছিন্ন করুন (কোনও জটিল, পেরিমেটারের চারপাশে চারটি স্ক্রু) এবং একটি মুদ্রিত সার্কিট বোর্ড পান।

আমরা নিম্নলিখিত দেখতে:

  • মেমরি S34ML01G100TF100;
  • চিপ DM368ZCE;
  • ইন্টারফেস: চার পিনের ইউআরআরআর, ইউএসবি, মাইক্রোএসডি, ইথারনেট।

Pins ble হিসাবে চিহ্নিত, আমি বিবেচনা করি না, কারণ এটি ব্লুটুথ মডিউল সাথে যোগাযোগ করার সম্ভাবনা রয়েছে। এই আমাদের আগ্রহী না।

S34ML01G100TF100 মডিউলটি TSOP-48 ক্ষেত্রে অ-ভলটাইল নন্দ-মেমরি নয়। Datasheet সহজে googles। এর থেকে আমরা শরীরের ধরন (nand08) এবং সংগ্রহস্থলের আকার সম্পর্কে আরও জানতে পারি - 128 এমবি।

আরও কাজের জন্য আপনাকে একটি ডেটা ব্যাকআপ তৈরি করতে হবে যাতে ক্যামেরার ক্ষেত্রে "okimpicing" এর ক্ষেত্রে মূল অবস্থায় ফিরে যেতে পারে। এর জন্য, Proman TL86 বা TL866 প্রোগ্রামার NAND08 → DUP48 অ্যাডাপ্টারের সাথে আদর্শ।

ফ্ল্যাশ মেমরির বিষয়বস্তু আমাদের কাজের ডিরেক্টরিতে রাখা হবে। ফার্মওয়্যারের মতো, এটি শুধুমাত্র এটিতে ফিরে আসার প্রয়োজন হবে যদি এটি প্রশাসক কনসোলে আসে না।

অনুরোধ TL86 উপর ছবি
অনুরোধ TL86 উপর ছবি

DM368ZCE চিপের জন্য, ডকুমেন্টেশন (পিডিএফ) একত্রিত হওয়ার জন্য সমস্যাগুলিও সংকলন করেননি। এটা চিপ স্থাপত্য আর্ম হয় যে সক্রিয় আউট। উপরন্তু, আপনি এটি ডকুমেন্টেশন থেকে এটি পেতে পারেন, কিন্তু এটি প্রয়োজন হয় না।

এর ইন্টারফেস মাধ্যমে যান। ডকুমেন্টেশন থেকে এটি স্পষ্ট যে ইউএসবি এবং মাইক্রোএসডি প্রধানত ডিভাইসে বহিরাগত মিডিয়া সংযোগ করতে এবং স্টোরেজ হিসাবে ব্যবহার করতে হবে। সম্পূর্ণতার জন্য, আপনি ইউএসবি-ফেজ ডিভাইসে Facedancer21 সংযোগ করতে এবং সমর্থিত ডিভাইসগুলির তালিকা পেতে UMAP2SCAN ইউটিলিটি ব্যবহার করতে পারেন।

দুর্ভাগ্যবশত, ক্যামেরাটি আমাদের কাছে পরিচিত ডিভাইসগুলির কোনও সমর্থন করে না।

কিভাবে UART সম্পর্কে? এখানে প্রতিটি পিন দায়ী এবং ডেটা ট্রান্সফার রেটটি কী তা নির্ধারণ করা দরকার। এটি করার জন্য, SaleaE লজিক লজিক্যাল বিশ্লেষক ব্যবহার করুন। সুবিধার জন্য, আমি তারেরের মাধ্যমে সংযুক্ত, যা ডিভাইস এবং ইনফ্রারেড হালকা বাল্বগুলিকে সংযুক্ত করে।

সুবিধার জন্য প্রিক্স পিন।

যৌক্তিক বিশ্লেষক চালু করার আগে, আমরা BLE সংযোগের সাথে সংযোগ করার জন্য GND ইন্টারফেসে স্থল সংযোগ করি।

এখন যৌক্তিক বিশ্লেষক এবং ডিভাইসটি নিজেই চালু করুন এবং এটি কী আসবে তা দেখুন।

পাইন নম্বর 3 এ ডিভাইসটি চালু করার পরে (প্রোগ্রামে, গণনাটি স্ক্র্যাচ এবং সাংখ্যিক পিন থেকে আসে 2) বাইনারি ডেটা প্রেরণ করা হয়। এই UART ইন্টারফেস পিন ডাটা ট্রান্সমিশন (TX) এর জন্য দায়ী। এক বিট দৈর্ঘ্য দেখার পরে, আমরা বর্তমান স্থানান্তর হার পাই - প্রতি সেকেন্ডে 115,200 বিট। সঠিক সেটিংস দিয়ে, আমরা এমনকি পাঠ্যের অংশ দেখতে পারি।

সংখ্যা 1 এ পিনা 3 ভি এর একটি ধ্রুবক ভোল্টেজ - তাই, এটি ক্ষমতা করার জন্য ডিজাইন করা হয়েছে। পিন নম্বর 4 BLE মডিউলটি সংযুক্ত করতে একটি GND ইন্টারফেস পিনের সাথে যুক্ত। সুতরাং, এই পিন এছাড়াও "পৃথিবী"। এবং শেষ PIN নম্বর ২ এ চলে গেছে, এটি বাইট (RX) গ্রহণের জন্য দায়ী। এখন আমরা ইউআরআরটারের ক্যামেরার সাথে যোগাযোগ করতে সকল তথ্য আছে। সংযোগ করতে, আমি টিটিএল অ্যাডাপ্টার মোডে Arduino Uno ব্যবহার করব।

আমরা uart পোর্ট পর্যবেক্ষণ শুরু এবং নিম্নলিখিত পেতে।

যখন ডিভাইসটি শুরু হয়, তখন ইউ-বুট সিস্টেম বুটলোডারটি প্রথমে লোড করা হয়। দুর্ভাগ্যবশত, লোডিং পিনের লেভেলে ক্যামেরা সেটিংসে সংযোগ বিচ্ছিন্ন হয়, তাই আমরা শুধুমাত্র ডিবাগ আউটপুট পালন করতে পারি। কিছু সময়ের পর, প্রধান পদ্ধতিটি লোড করা হয়, আপনাকে প্রশাসক কনসোল অ্যাক্সেস করতে লগইন এবং পাসওয়ার্ড প্রবেশ করতে দেয়। বাষ্প রুট / রুট (ওয়েব প্রশাসকের জন্য ব্যবহৃত অনুরূপ এবং ডকুমেন্টেশনে নির্দেশিত হয়) পুরোপুরি যোগাযোগ করা হয়েছে।

একটি কনসোল পেয়েছি, আমরা সব কাজ সেবা অন্বেষণ করতে পারেন। কিন্তু আমরা অন্য একটি অনির্ধারিত ইন্টারফেস আছে ভুলবেন না - ইথারনেট। অধ্যয়ন করতে, ট্রাফিক পর্যবেক্ষণ সিস্টেম প্রস্তুত করা প্রয়োজন হবে। তাছাড়া, প্রথম নেটওয়ার্ক সংযোগ ট্র্যাক করা গুরুত্বপূর্ণ।

আমরা একবারে ট্র্যাফিকটিকে আটকাতে শুরু করতে হবে, কারণ আপনি যদি প্রথমে সংযুক্ত হন তখন কিছু ডিভাইস আপডেট ডাউনলোড করতে শুরু করে। এটি একটি সত্য নয় যে নিম্নলিখিত সময়ে এটি যোগাযোগের সাথে যোগাযোগ করা হবে।

ট্র্যাফিক আটকাতে, আমি ল্যান ট্যাপ প্রো ডিভাইসটি ব্যবহার করব।

আমরা, তবে, আপডেটের সাথে সংযুক্ত কোনও ক্রিয়াকলাপ সনাক্ত করে না। এই অনুসন্ধানের শেষ হয়ে গেছে, এবং আমরা দুর্বলতার অনুসন্ধানের জন্য সম্পূর্ণরূপে প্রস্তুত!

নেটওয়ার্ক অংশ

আমরা NMAP উপযোগের পোর্ট স্ক্যান করি এবং খোলা বন্দরগুলির একটি তালিকা পেতে পারি।

আসুন আমাদের কাছে উপলব্ধ পরিষেবাদিতে সংক্ষিপ্তভাবে যান।

FTP।

সংযুক্ত হলে, পরিষেবা লগইন এবং পাসওয়ার্ড অনুরোধ করে। বেনামী ইনপুট নিষ্ক্রিয় করা হয়। কিন্তু তারপর বিকল্প রুট / রুট আসেন!

এখন আমরা কোনও ডিরেক্টরিতে প্রবেশ করতে পারি এবং দূরবর্তী হোস্টে ফাইলগুলি নিক্ষেপ করার জন্য একটি সুবিধাজনক উপায় পেয়েছি।

টেলনেট

টেলনেটের মাধ্যমে আবার সংযুক্ত হলে, রিয়েল অ্যাকাউন্টগুলির একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড প্রয়োজন এবং রুট / রুট জোড়া ইতিমধ্যে ফিট থাকে। অনুগ্রহ করে মনে রাখবেন যে আমাদের এখন একটি UART কনসোলের প্রয়োজন নেই, তাই একইভাবে টেলনেট দ্বারা দূরবর্তীভাবে সম্পন্ন করা যেতে পারে।

Rtsp।

RTSP এর সাথে সংযোগ করতে, আবার আপনাকে রুট / রুট হিসাবে লগ ইন করতে হবে। সংযোগের জন্য রেফারেন্স লাগে RTSP: // রুট: [email protected]: 554 / প্রাথমিক .

ওয়েব

ক্যামেরা এর ওয়েব সার্ভারের ডিভাইসটি পরীক্ষা করার পরে, আমি এখানে এই প্রকল্পটি তৈরি করেছি।

সার্ভারে পিএইচপি এবং CGI অ্যাপ্লিকেশনগুলিতে স্ক্রিপ্ট রয়েছে যা ডিরেক্টরি থেকে এক্সিকিউটেবল ফাইলগুলির সাথে যোগাযোগ করে / ইউএসআর / স্থানীয় / আইপিএসসিএ / (প্রধানত যোগাযোগ সঙ্গে আসে MainProc. )। SQLite 3 ডাটাবেস সব সেটিংস সংরক্ষণ করতে ব্যবহৃত হয়।

তার থেকে, আমরা দুর্বলতা খুঁজছেন শুরু হবে। ডাটাবেস সংরক্ষণ করা হয় /usr/local/ipsca/mipsca.db। । এটি রিমোট সার্ভারে ক্যামেরা রেকর্ডগুলির স্বয়ংক্রিয় ডাউনলোডের সেটিংসের আগে সিস্টেমের লগ থেকে সবকিছু মিথ্যা বলে। ডাটাবেস কাঠামো নীচের scree দৃশ্যমান।

আমার মনোযোগ ব্যবহারকারী টেবিল আকৃষ্ট। তিনি ব্যবহারকারীর ডেটা দিয়ে কাজ করার জন্য দায়ী: লগইন, পাসওয়ার্ড, গোপনীয়তা।

ব্যবহারকারী পাসওয়ার্ড পাসওয়ার্ড কলামে সংরক্ষণ করা হয় না এনক্রিপ্ট করা ফর্ম, অর্থাৎ ডাটাবেসের অ্যাক্সেস থাকা, আক্রমণকারী প্রশাসকের একটি পাসওয়ার্ড পেতে এবং অন্যান্য উপলব্ধ পরিষেবাদিতে এটি পরীক্ষা করতে পারে।

পিএইচপি স্ক্রিপ্ট যান। ওয়েব ডিরেক্টরি / রুট / httpd / hdtocs / ওয়েব তিনটি স্ক্রিপ্ট মিথ্যা বলে: Download.php। , login.php। , আপলোড। PPP। .

ফাইল login.php। বিশেষত আকর্ষণীয় নয়, কারণ পিএইচপি শুধুমাত্র ActiveX উপাদানটি কনফিগার করার জন্য ব্যবহার করা হয়, যা ব্রাউজার অ্যাড-অনগুলির জন্য প্রয়োজনীয়, যা সাইটে ভিডিওটি আঘাত করছে।

ফাইল Download.php। ডাউনলোডের জন্য ফাইল নামের নাম গ্রহণ করে, তার এক্সটেনশানটি পরীক্ষা করে এবং যদি এমন একটি ফাইল ফোল্ডারে পাওয়া যায় Updownload। তার বিষয়বস্তু প্রতিক্রিয়া পাঠায়।

স্ক্রিপ্টটি ফাইলের নামটি পরীক্ষা করে না, তাই যদি কেউ হঠাৎ করে এই ডিরেক্টরির মধ্যে এক্সিকিউটেবল স্ক্রিপ্টটি দেওয়ার সিদ্ধান্ত নেয় তবে এর বিষয়বস্তু অনুরোধে ঝাঁপিয়ে পড়বে (পরিবর্তনশীলকে মনোযোগ দিতে হবে $ File_type. যা একটি অজানা সম্প্রসারণ ক্ষেত্রে খালি হবে)।

শেষ ফাইল - আপলোড। PPP। এছাড়াও, এটি বাগ ছাড়া ছিল না: এটি একটি সাদা তালিকা থেকে এক্সটেনশান সহ কেবল ফাইলগুলি পাঠানোর সুযোগ রয়েছে ( .dat এবং .dat। ), কিন্তু খালি সম্প্রসারণ সঙ্গে।

নিম্নরূপ এক্সটেনশান সেট করা হয়।

এখন, এক্সটেনশন মানটি খালি না থাকলে, অ্যারের এক্সটেনশনটির জন্য চেক করা হয়, যা থেকে উদ্ভূত হয় $ alloxt. । কমা একটি বিভাজক হিসাবে ব্যবহার করা হয়।

কিন্তু এক্সটেনশানটি খালি থাকলে, মৃত্যুদন্ড কার্যকর হবে না এবং চেকটি কার্যকর করা হবে না। যাইহোক, অপারেশন জন্য, এই বাগ নিরর্থক।

তবে পরবর্তী এলোমেলোভাবে পাওয়া গেছে এই স্ক্রিপ্টের একটি দুর্বলতা হিসাবে বিবেচিত হওয়া উচিত: ফাইলের নামের দৈর্ঘ্যের কোনও চেক নেই। এটি একটি খুব গুরুতর সমস্যা বলে মনে হবে, কিন্তু প্রোগ্রামের শুরুতে স্ক্রিপ্টটি বাশে চালু হয়।

এটা ডিরেক্টরি clears Updownload। পূর্বে ডাউনলোড করা ফাইলগুলি থেকে, এবং BASH ইন্টারপ্রেটারে, যা ব্যস্তবাবে অন্তর্ভুক্ত করা হয়েছে, এটি 256 অক্ষরের ফাইলের নামের দৈর্ঘ্য পর্যন্ত সীমিত। এটি প্রমাণ করে যে স্ক্রিপ্টটি এমন ফাইলগুলি মুছতে পারবে না যার নামগুলি এই মূল্যের চেয়ে বেশি।

তো তুমি কেমন আছ আপলোড। PPP। কোন অনুমোদন নেই, কোনও ব্যবহারকারী 256 অক্ষরের চেয়ে বেশি নামের সাথে কতগুলি ফাইল ডাউনলোড করতে পারে, এবং এটি ডিভাইসটির সম্পূর্ণ মেমরিটি পূরণ করবে। অন্য কথায়, সেবা দিতে অস্বীকার করা .

একটি ফাইল ডাউনলোড করার একটি উদাহরণ।

এবং ডিরেক্টরির মধ্যে ফাইলের একটি তালিকা গ্রহণ / Updownload / বাশ কনসোলের মাধ্যমে।

এতে আমরা পিএইচপি-তে স্ক্রিপ্টগুলির গবেষণাটি সম্পূর্ণ করতে পারি এবং সিজিআই অ্যাপ্লিকেশনগুলির বৃহত্তম অংশে চলতে পারি।

আইপি ক্যামেরাগুলিতে CGI অ্যাপ্লিকেশনগুলি প্রশাসকের ওয়েব প্যানেলে সমস্ত কর্মের জন্য প্রায়শই প্রতিক্রিয়া জানায় এবং ডিভাইস আপডেটের সাথে শেষ হয়।

আমি কাজের বিবরণ শেয়ার করুন কিভাবে ওয়েব চেম্বার হ্যাক করতে "নগ্ন চোখ" পরীক্ষা করার জন্য (দুর্বলতা, যা আপনি এক্সিকিউটেবল ফাইলগুলি বিপরীত করতে হবে না) এবং এই সর্বাধিক বিন্যাসগুলির প্রকৃত বিপরীত।

"নগ্ন চোখ" পরীক্ষা করার সময় দুটি দুর্বলতা ছিল। প্রথমটি আপনাকে জালিয়াতির প্রশ্নের আক্রমণগুলি বহন করতে দেয় (যে, CSRF)। তার সারাংশটি আপনি সামাজিক প্রকৌশল প্রয়োগ করতে এবং প্রশাসককে একটি দূষিত লিঙ্কে স্যুইচ করতে পারেন। এটি অ্যাডমিন ইন্টারফেস থেকে প্রায় কোন কমান্ড সঞ্চালন সম্ভব করে তোলে। উদাহরণস্বরূপ, আপনি এই লিঙ্কটি করতে পারেন:

/ Webparam? ব্যবহারকারী ও অ্যাকশন = সেট ও প্যারাম = যোগ করুন & আইডি = পরীক্ষক & পাস = CGFZC3DVCMQ = & কর্তৃপক্ষ = 0 & টি = 1552491782708 

এটি পাসওয়ার্ড পাসওয়ার্ড দিয়ে একটি ব্যবহারকারী পরীক্ষক তৈরি করবে।

যখন আমি Burp Suite এ ট্র্যাফিক অধ্যয়ন করলাম, তখন আমি দীর্ঘদিন ধরে সার্ভার প্রতিক্রিয়া খুঁজে পাচ্ছি না, যেখানে ব্রাউজারটি পাঠানো হয় কুকি অনুমোদন তথ্য সঙ্গে ( ব্যবহারকারীর নাম, AUTH এবং পাসওয়ার্ড )। এটি প্রমাণিত হয়েছে যে আমি vain মধ্যে খুঁজছেন ছিল: এই তথ্য ক্লায়েন্ট পাশে ফাইলের জাভাস্ক্রিপ্টে কোডের মাধ্যমে সেট করা হয় iminc/js/ui.js। .

অর্থাৎ, ব্রাউজারটি প্রথমে লগইন এবং পাসওয়ার্ডটি পরীক্ষা করার জন্য অনুরোধ করে এবং যদি ফলাফলটি ইতিবাচক হয় তবে যথাযথ কুকিগুলিতে লগইন, পাসওয়ার্ড এবং গোপনীয়তার মানগুলি সংরক্ষণ করে। এবং তারপর কমান্ড অনুরোধ পাঠানোর সময় এই কুকিগুলি ব্যবহার করা হয়, উদাহরণস্বরূপ, একটি নতুন ব্যবহারকারী তৈরি করার সময়।

এটি দ্বিতীয় দুর্বলতাটিও প্রদর্শিত হয় যা ওয়েব চেম্বারের ফাটল কিভাবে বুঝতে পারে: এমনকি যদি আমরা একটি পাসওয়ার্ড কুকি পাঠাই না, সার্ভারটি এখনও সফলভাবে আমাদের অনুরোধ প্রক্রিয়া করবে!

অর্থাৎ, অ্যাডমিন লগইন (যা ডিফল্ট - রুট) অনুমোদন করতে এবং ক্যামেরা এর প্রশাসনিক ওয়েব কনসোলে প্রশাসকের কাছে কোনও চ্যালেঞ্জগুলি উপলব্ধ করা যায় না তা জানতে যথেষ্ট। এবং আমরা এমনকি অ্যাপ্লিকেশন কোড অধ্যয়ন ছাড়া এটি পাওয়া যায় নি। আসুন দেখি কোডটি নিজেই কী হবে।

বাইনারি অ্যাপ্লিকেশন অধ্যয়নরত

এক্সিকিউটেবল ফাইল এক্সপ্লোর করতে, কিছু প্রস্তুতি প্রয়োজন ছিল। যেমন:

  • GitHub এ পাবলিক রিপোজিটরিগুলি থেকে একটি স্ট্যাটিভ কম্পাইল্ড জিডিবি ডিবাগার ইনস্টল করা;
  • VFAT ফাইল সিস্টেমের সাথে মাইক্রোএসডি কার্ডটি ইনস্টল করা হচ্ছে (যা আপনাকে অতিরিক্ত স্থান পেতে দেয়)।

কম্পাইল অ্যাপ্লিকেশন অধ্যয়নরত প্রক্রিয়া এই মত।

  1. আইডিএ প্রো একটি অ্যাপ্লিকেশন অধ্যয়নরত।
  2. যদি প্রয়োজন হয়, তবে টেলনেটের মাধ্যমে ক্যামেরার উপর জিডিবিতে অ্যাপ্লিকেশনগুলি ডিবাগ করছে। যাইহোক, যেহেতু অ্যাপ্লিকেশনটি মাল্টি-থ্রেডেড, তাই আমাকে একটি নির্দিষ্ট স্ট্রিমের সাথে ইন্টারঅ্যাক্ট করার জন্য প্রতিরক্ষামূলক প্রক্রিয়া আইডিটি পরীক্ষা করতে হয়েছিল (অনুরোধ প্রক্রিয়াকরণের আগে তৈরি করা হয়)।
  3. দুর্বলতা প্রদর্শন করার জন্য একটি প্রমাণ-ধারণা লেখা।

প্রায় সব কমান্ড ওয়েব অনুরোধ ঠিকানা গিয়েছিলাম / Webparams। । ফাইলের মধ্যে সংরক্ষণ করা হয় যে httpd সেটিংস অধ্যয়নরত /usr/local/httpd/conf/httpd.conf। , সব অনুরোধ যে সংজ্ঞায়িত / Webparam. পথে এক্সিকিউটেবল FCGI ফাইল থেকে পুনঃনির্দেশিত /usr/local/httpd/fcgi/webparams.fcgi। .

এবং এখন আক্রমণকারী তার ব্যবসায়ের পেশাদার হলে এটি কী হতে পারে তা কল্পনা করুন। বটস ব্যবহার করে প্রাপ্ত সমস্ত ফলাফলগুলি তার বেস এবং অভিধানে ব্রুট বল শুরু করার সাহায্যে তৈরি করা যেতে পারে। সফল আক্রমণের ফলাফল বিশ্বাস করে দশ গুণ বেশি হবে!

এটি 32-বিট আর্মের জন্য একটি এক্সিকিউটেবল ফাইল। আমি এটা মনোনিবেশ করার সিদ্ধান্ত নিয়েছে।

নির্বিচারে FTP কমান্ড

ক্যামেরা একটি রিমোট নেটওয়ার্ক FTP সার্ভারে এন্ট্রি পাঠাতে পারে। সংযোগ কনফিগারেশন কনফিগার করার জন্য একটি পৃথক ওয়েব ফর্ম রয়েছে।

এবং এখন আক্রমণকারী তার ব্যবসায়ের পেশাদার হলে এটি কী হতে পারে তা কল্পনা করুন। বটস ব্যবহার করে প্রাপ্ত সমস্ত ফলাফলগুলি তার বেস এবং অভিধানে ব্রুট বল শুরু করার সাহায্যে তৈরি করা যেতে পারে। সফল আক্রমণের ফলাফল বিশ্বাস করে দশ গুণ বেশি হবে!

পরবর্তী, আপনি টেস্ট বোতামে ক্লিক করতে এবং সংযোগটি পরীক্ষা করতে পারেন। ফাংশন হতে হবে 0xaeb00। । সুবিধার জন্য, আমরা হেক্স-রে ডেকম্পিলার ব্যবহার করে প্রাপ্ত ছদ্মকোড ফাংশনটি অধ্যয়ন করব।

  1. একটি সংযোগ তৈরি।

    এবং এখন আক্রমণকারী তার ব্যবসায়ের পেশাদার হলে এটি কী হতে পারে তা কল্পনা করুন। বটস ব্যবহার করে প্রাপ্ত সমস্ত ফলাফলগুলি তার বেস এবং অভিধানে ব্রুট বল শুরু করার সাহায্যে তৈরি করা যেতে পারে। সফল আক্রমণের ফলাফল বিশ্বাস করে দশ গুণ বেশি হবে!
  2. FTP সার্ভারে অনুমোদন।

  3. যুক্তি দ্বারা প্রেরিত মান সঙ্গে বর্তমান ডিরেক্টরি পরিবর্তন করুন।

  4. একটি অস্থায়ী ফাইল তৈরি।

নিরাপত্তা সমস্যা ইতিমধ্যে তৃতীয় অনুচ্ছেদের উপর পাওয়া যায় নি। ফাংশন Ftp_cwd। স্থানান্তর 0xa9f0। লাইনের স্থানান্তর যেমন ভুল অক্ষরের স্ট্রিং পথে উপস্থিতি পরীক্ষা করে না।

এটি আপনাকে ইচ্ছাকৃত FTP কমান্ডগুলি পাঠাতে দেয় - বাইট যুক্ত করতে যোগ করুন \ r \ n ফাইল ডাউনলোড করার জন্য ডিরেক্টরি মান। তাই আমরা এসএসআরএফ খুঁজে পেয়েছি।

উদাহরণস্বরূপ, আপনি ক্যামেরার FTP সার্ভারে একটি অনুরোধ করতে পারেন এবং এটি একটি ডিরেক্টরি তৈরি করে এমন একটি কমান্ড যোগ করতে পারেন / টিএমপি / 123 (পেতে-পরিবর্তনশীল আপলোডপথ প্রয়োজনীয় ডিরেক্টরি পাথ জন্য শুধু দায়ী)।

এবং এখন আক্রমণকারী তার ব্যবসায়ের পেশাদার হলে এটি কী হতে পারে তা কল্পনা করুন। বটস ব্যবহার করে প্রাপ্ত সমস্ত ফলাফলগুলি তার বেস এবং অভিধানে ব্রুট বল শুরু করার সাহায্যে তৈরি করা যেতে পারে। সফল আক্রমণের ফলাফল বিশ্বাস করে দশ গুণ বেশি হবে!

বি যান। / Tmp / ক্যামেরাতে এবং তৈরি ফোল্ডারটি দেখুন 123। .

পথ ট্রান্সভার্সাল এবং ফাইল প্রাপ্যতা চেক

নিম্নলিখিত ওয়েব সার্ভারটি ওয়েব সার্ভারের বৈশিষ্ট্য - এনটিপি প্রোটোকলের মাধ্যমে ঘড়ি সিঙ্ক্রোনাইজেশন।

পরামিতি মধ্যে পরিবর্তন শিফট ফাংশন অনুরূপ 0x12564। । আমরা তার কাজের নীতিতে বিস্তারিতভাবে যেতে পারব না, আমরা কেবল পরিবর্তনশীলকে মনোযোগ দিই TZ। (সময় অঞ্চল).

  1. প্রথম 32 বাইট Get-Parameter TZ। পরিবর্তনশীল মধ্যে প্রবেশ get_tz_32b। .

  2. মানটি ফোনের সেটিংস সংরক্ষণ করা হয় এমন ডিরেক্টরি দ্বারা মানটি কনক্যাটে হয় এবং ডিভাইস ফাইল সিস্টেমে যেমন একটি ডিরেক্টরি (বা ফাইল) এর উপস্থিতি পরীক্ষা করা হয়।

  3. সফল হলে, বিভিন্ন পদক্ষেপ আপনার সময় প্রয়োজন হয় তা কার্যকর করার জন্য যান। উদাহরণস্বরূপ, ডাটাবেসের অনুরোধ।

যদি আপনি তিনটি পয়েন্ট একত্রিত করেন তবে এটি চালু হবে যে আমরা কেবলমাত্র ডিরেক্টরি (পাথ ট্র্যাভার্সাল) এর সম্পূর্ণ ঠিকানাটি ম্যানিপুলেট করতে পারি না, তবে ফাইল সিস্টেমে সার্ভার থেকে উত্তরটি সংজ্ঞায়িত করতে পারি না। নিশ্চিত করতে, একটি অনুরোধ পাঠান যা ফাইলটি বিদ্যমান কিনা তা পরীক্ষা করে দেখুন / etc / passwd .

এবং এখন আক্রমণকারী তার ব্যবসায়ের পেশাদার হলে এটি কী হতে পারে তা কল্পনা করুন। বটস ব্যবহার করে প্রাপ্ত সমস্ত ফলাফলগুলি তার বেস এবং অভিধানে ব্রুট বল শুরু করার সাহায্যে তৈরি করা যেতে পারে। সফল আক্রমণের ফলাফল বিশ্বাস করে দশ গুণ বেশি হবে!

এবং কোন ফাইল না থাকলে কী হবে তা দেখুন।

ওয়েবক্যাম এসকিউএল ইনজেকশন

আরো গুরুতর দুর্বলতা যান। ক্যামেরা কনফিগারগুলি SQLITE 3 ডেটাবেসে সংরক্ষণ করা হয় এবং ওয়েব সার্ভারের প্রায় সমস্ত কর্ম এটির সাথে মিথস্ক্রিয়া হতে পারে। সুতরাং, এটি পরিণত হয়েছে যে স্ট্রিং প্যারামিটারগুলির সাথে ডাটাবেসের প্রায় সমস্ত অনুরোধ ভুলভাবে বিন্যাসিত ইনপুট দিয়ে পাস করতে পারে। এবং এই, আপনি অনুমান করতে পারে, এসকিউএল ইনজেকশন! উদাহরণ স্বরূপ ওয়েব হ্যাক কিভাবে ক্যামেরা আমরা দুর্বল ফর্মগুলির একটি বিশ্লেষণ করব - DNS সেটিংস সম্পাদনা করার ফর্ম।

এবং এখন আক্রমণকারী তার ব্যবসায়ের পেশাদার হলে এটি কী হতে পারে তা কল্পনা করুন। বটস ব্যবহার করে প্রাপ্ত সমস্ত ফলাফলগুলি তার বেস এবং অভিধানে ব্রুট বল শুরু করার সাহায্যে তৈরি করা যেতে পারে। সফল আক্রমণের ফলাফল বিশ্বাস করে দশ গুণ বেশি হবে!

এই পরামিতিগুলি সম্পাদনা করার সময়, দুটি অনুরোধ সার্ভারে পাঠানো হয় - তথ্য সংশোধন করার জন্য একটি অনুরোধ এবং বর্তমান সেটিংস পেতে অনুরোধ করার অনুরোধ।

তথ্য সংশোধন জন্য একটি অনুরোধ একটি উদাহরণ।

এবং এখন আক্রমণকারী তার ব্যবসায়ের পেশাদার হলে এটি কী হতে পারে তা কল্পনা করুন। বটস ব্যবহার করে প্রাপ্ত সমস্ত ফলাফলগুলি তার বেস এবং অভিধানে ব্রুট বল শুরু করার সাহায্যে তৈরি করা যেতে পারে। সফল আক্রমণের ফলাফল বিশ্বাস করে দশ গুণ বেশি হবে!

যেমন একটি অনুরোধ প্রক্রিয়াকরণ Shift ফাংশন 0x18374। । শুরুতে একটি পঠন-প্যারামিটার প্রশ্ন আছে (প্রতিটি 32 টি বাইটের প্রতিটি) এবং তারা পূরণ কিনা তা পরীক্ষা করে দেখুন।

পরবর্তী - কল ফাংশন ফালা। এটি শুরুতে এবং লাইনের শেষে "স্পেস" প্রতীক এবং ট্যাবুলেশনটি সরিয়ে দেয়।

এখন প্রাপ্ত লাইনগুলি এসকিউএল অনুরোধ করে এমন ফাংশনে যায় হালনাগাদ. Sqlite 3 ডাটাবেস।

সমস্যাটি স্ট্রিংগুলি স্থানান্তরিত করার সময় এটি ব্যবহার করা হয় না % প্রশ্ন। (নিরাপদ বিকল্প), এবং % এস। যার সাথে আমরা সারির বাইরে যেতে পারি এবং প্রশ্নের সাথে আপনার এসকিউএল নির্দেশাবলী যুক্ত করতে পারি (যদি একটি পূর্ণসংখ্যা প্যারামিটার পাঠানো হয় তবে এটি ব্যবহার করা ভাল % ডি। )।

নীচে একটি ওয়েব চেম্বার হ্যাক কিভাবে অপারেশন একটি উদাহরণ।

এই প্রশ্নের প্রক্রিয়াকরণের সময়, নিম্নলিখিত SQL কমান্ড তৈরি করা হয়।

আপডেট করুন নেটওয়ার্ক সেট DDNSUSAGE = 1, DDNSHOSTNAME = '' ', DDNSNAME = (নির্বাচন / *', DDNSNAME = '/ / PASSE / *', DDNSUSERNAME = '* / ব্যবহারকারী সীমা 1) -', DDNSPASSWORD = '** * ' 

এই অনুরোধটি ক্ষেত্রের ক্ষেত্রে খোলা পাঠ্যটিতে পাসওয়ার্ডটি রেকর্ড করবে। Ddnsname। টেবিল থেকে প্রথম অ্যাকাউন্ট ব্যবহারকারী। । বর্তমান সেটিংস অনুরোধ অবশেষ DDNS। .

ফলস্বরূপ, আমরা ব্যবহারকারী টেবিল থেকে প্রথম ব্যবহারকারীর পাসওয়ার্ডের মান পেয়েছি - আমাদের ক্ষেত্রে এটি রুট / রুট। । আমরা যদি এর আগে বিবেচনা করি, তাহলে আমরা অনুমোদনকে বাইপাস করার একটি উপায় খুঁজে পেয়েছি, এটি সক্রিয় করে, প্রশাসক পাসওয়ার্ডটি কোনও অননুমোদিত ব্যবহারকারী শিখতে পারে।

ওয়েব সার্ভারে বিক্ষিপ্ত 25 টি ভিন্ন প্যারামিটারগুলিতে একই রকম সমস্যা দেখা দেওয়া যেতে পারে (প্যারামিটারগুলির অংশটি বেস 64 তে প্রাক-এনকোড করা দরকার)।

স্ট্যাক ওভারফ্লো

যখন আমি SQL ইনজেকশন টাইপ আক্রমণের সাপেক্ষে প্যারামিটারগুলি বেরিয়ে এসেছি, তখন আমার দৃষ্টিভঙ্গিটি পরিবর্তনশীল প্রক্রিয়া করে এমন একটি ফাংশন আকর্ষণ করেছে কর্ম. স্থানান্তর 0x155D0। । ছদ্মবেশ ফাংশনের শুরুতে স্ক্রিনশট হয়।

78 তম লাইন একটি ফাংশন কারণ Get_Val. । এটি একটি লাইন-নামের একটি যুক্তি হিসাবে একটি যুক্তি হিসাবে এবং এই পরিবর্তনশীল স্ট্রিং-মান প্রদান করে।

পরবর্তী ফাংশন বলা হয় Strcat। যা ইনপুট দুটি পয়েন্টার স্ট্রিংগুলিতে নেয় এবং প্রথম পয়েন্টারে এই দুটি লাইনগুলির সংহতকরণের ফলাফল রেকর্ড করে। সমস্যা যে ফাংশন Strcat। বাফার overflow ত্রুটি হতে পারে। ত্রুটিটি ঘটে, তবে প্রথম পরিবর্তনশীলের জন্য স্ট্যাকের বরাদ্দকৃত মেমরিটি দুটি লাইনের সংযোজনের ফলাফল সংরক্ষণ করতে যথেষ্ট হবে না এবং স্ট্যাক ঘটবে।

প্রথম ফাংশন যুক্তি 53 তম লাইনে ঘোষণা করা হয়েছিল।

এই লাইনের জন্য, চারটি বাইট হাইলাইট করা হয়, এবং তারপরে একটি শূন্য বাইট তার শেষ নির্দেশিত প্রথম কোষে স্থাপন করা হয়।

এটি ফাংশন আর্গুমেন্টগুলিতে স্ট্যাকের উপর নির্ভর করতে হবে তা দেখায়। Strcat। দুই লাইন পাঠান। তারপরে দ্বিতীয় স্ট্রিংয়ের দৈর্ঘ্য তিনটি বাইটের বেশি হবে (চতুর্থ বাইট শূন্য এবং স্বয়ংক্রিয়ভাবে সেট করা হয়)।

একটি ওয়েবক্যাম হ্যাক কিভাবে - একটি ওয়েবক্যাম হ্যাকিং হিসাবে পাওয়া দুর্বলতা অপারেশন পর্যায়ে যান। শুরু করার জন্য, এক্সিকিউটেবল ফাইল থেকে কোন সুরক্ষাটি সক্ষম করা যায় তা পরীক্ষা করুন।

এনএক্স পতাকাটি নিষ্ক্রিয় করা হয়েছে, যার অর্থ আপনি কোনও মেমরির কোনও এলাকায় অবস্থিত কোডটি কার্যকর করতে পারেন - যার মধ্যে আমরা কাজ করার পদ্ধতিতে স্থাপন করব।

আমরা সিস্টেমে র্যান্ডমাইজেশন প্রযুক্তির প্রযুক্তি অন্তর্ভুক্ত কিনা তাও পরীক্ষা করে দেখি।

পতাকা 1এই স্ট্যাক ঠিকানা প্রতিটি সময় র্যান্ডম হবে মানে। কিন্তু প্রাথমিকভাবে দ্বিতীয় যুক্তি ফাংশন Strcat। (অর্থাৎ, প্রাপ্ত-পরিবর্তনশীল কর্মের যুক্তি) একটি গুচ্ছটিতে লেখা আছে, এবং তাই আমরা এটি ব্যবহার করতে পারি।

প্রোগ্রামটি ডিবাগ করার সময়, যে ফাংশনটির ফেরত ঠিকানাটি প্রত্যাখ্যান করে Strcat। 52 বাইট একটি শিফট সঙ্গে সংরক্ষিত।

আপনি নিশ্চিত করতে পারেন যে আপনি নিম্নলিখিত অনুরোধটি পাঠাতে পারেন।

এক্সিকিউটেবল ফাইল প্রক্রিয়া ডিবাগ করার সময় Webparam.fcgi। আমরা একটি প্রোগ্রাম ত্রুটি পেতে যে ঠিকানা যেতে চেষ্টা করছে BBBB। .

এখন এটি রিটার্ন ঠিকানার পরে এক্সিকিউটেবল কোড (শেল কোড) যুক্ত করতে থাকে এবং আমাদের দূষিত কোডের ঠিকানায় ফেরত ঠিকানাটি overwrite, যা হিপের উপর সংরক্ষণ করা হয়। উদাহরণটি পোর্ট খোলে যা এক্সিকিউটেবল কোড ব্যবহার করে 10240। এবং অনুমোদন ছাড়া কমান্ড শেল অ্যাক্সেস দেয় (শেল শেল)।

শেল-কোডের ঠিকানাটির সাথে ফেরত ঠিকানা ওভাররাইটের সাথে অনুরোধ করুন (0x00058248)
শেল-কোডের ঠিকানাটির সাথে ফেরত ঠিকানা ওভাররাইটের সাথে অনুরোধ করুন (0x00058248)

ডিভাইসে নেটওয়ার্ক কার্যকলাপ চেক করা হচ্ছে।

প্রক্রিয়া 1263 প্রোগ্রাম Webparam.fcgi। সমস্ত ইন্টারফেসে পোর্ট 10240 শুনতে শুরু করে। মাধ্যমে এটি সংযোগ করুন নেটক্যাট। .

শেল কেউ ব্যবহারকারীর বিশেষাধিকার সঙ্গে উপলব্ধ।

বাফার overflow এবং পরিবর্তনশীল অনুরূপ সমস্যা Params। । অপারেশন পদ্ধতিটি বর্ণিত থেকে আলাদা নয়, তাই আমরা এটি বন্ধ করব না।

প্রতিস্থাপন ফাইল ফার্মওয়্যার

আইওটি ডিভাইসগুলির সবচেয়ে জনপ্রিয় সমস্যাগুলির মধ্যে একটি হল ফার্মওয়্যার ফাইল থেকে স্বাক্ষরের অভাব। অবশ্যই, তিনি এই চেম্বার কাছাকাছি যেতে না। এবং এই সঙ্গে ওয়েবক্যাম হ্যাক কিভাবে? সবকিছু সহজ: আমরা আপনার কোডটি ডিভাইসের ফার্মওয়্যারটিতে যুক্ত করতে পারি এবং এভাবে এটি সংক্রামিত করতে পারি, এবং যাতে কোনও মেমরি ডাম্প থাকে তবে পুনরুদ্ধারটি সম্ভব হবে, তবে এটি কোনও মালিকের কাছ থেকে (এবং প্রয়োজনীয় দক্ষতা)।

ডিভাইস অ্যাডমিনিস্ট্রেটররা ফার্মওয়্যার আপডেট করতে উপলব্ধ ইন্টারফেস (পৃষ্ঠার নীচে)।

এটি ফার্মওয়্যার ফাইল সম্পর্কে মনে রাখার সময়, যা আমরা নিবন্ধটির খুব শুরুতে সরকারী সাইট থেকে ডাউনলোড করেছি।

এই ফাইলগুলি মিথ্যা বলছে এমন .tar Packageinfo.txt. и Updatepackage_6400.0.8.5.bin। । দ্বিতীয়, পরিবর্তে, একটি সংরক্ষণাগার হতে পরিণত।

Unpacking পরে, আমরা নিম্নলিখিত ফাইল অনুক্রম ব্যবহার।

পরিচালক ক্যামেরা ফাইল সিস্টেমের মতো একই ফাইলগুলি সংরক্ষণ করে। অর্থাৎ, আমরা তাদের মধ্যে একটি প্রতিস্থাপন করতে পারি, ফার্মওয়্যার প্যাক এবং একটি আপডেট হিসাবে প্রেরণ করতে পারি। কিন্তু আপনি ফাইলের মধ্যে দেখতে হবে Packageinfo.txt. প্রথম unzipping পরে উপলব্ধ।

অষ্টম লাইনে .bin ফাইলের চেকসাম নির্দেশ করে। অর্থাৎ, এই ক্ষেত্রটি একটি কাস্টম ফার্মওয়্যার পাঠানোর সময় সম্পাদনা করতে হবে, অন্যথায় ক্যামেরাটি ফাইলটি ক্ষতিগ্রস্ত করে এবং আপডেট সিস্টেমটি উপেক্ষা করে। এই দুর্বলতা RCE টাইপের জন্য দায়ী করা যেতে পারে - নির্বিচারে সিস্টেম কমান্ডগুলির দূরবর্তী কর্মক্ষমতা।

বিশেষাধিকার বৃদ্ধি সঙ্গে ওয়েবক্যাম হ্যাক কিভাবে

অবশেষে, একই ধরনের আরেকটি দুর্বলতা, কিন্তু ইতিমধ্যে রুট করার জন্য ক্রমবর্ধমান বিশেষাধিকার দিয়ে! যদি আপনি ক্যামেরাতে একটি মাইক্রোএসডি কার্ড সন্নিবেশ করেন তবে ওয়েব ইন্টারফেস থেকে আপনি এটি থেকে ফাইলগুলি মুছতে পারেন।

যখন আপনি একটি ফাইল মুছে ফেলবেন, তখন ব্রাউজারটি HTTP এর মাধ্যমে যেমন একটি অনুরোধ পাঠায়।

সার্ভারের পাশে অনুরোধের প্রক্রিয়াকরণের জন্য, সমস্ত অ্যাপ্লিকেশন সাড়া দেয় Webparam.fcgi। কিন্তু এই ক্ষেত্রে এটি অন্য প্রোগ্রামে এটি প্রেরণ করে - MainProc. । এটি একটি বাইনারি অ্যাপ্লিকেশন।

অধ্যয়নরত হচ্ছে MainProc. আমি নির্ধারণ যে পেতে-পরিবর্তনশীল ফাইল নাম। একটি স্ট্রিং সঙ্গে মিলিত এবং ফাংশন প্রেরণ পদ্ধতি. কোন পরিস্রুতি ছাড়া। এবং এর মানে হল যে আপনি ব্যবহারকারীর পক্ষে ইচ্ছাকৃতভাবে কোডটি কার্যকর করতে পারেন MainProc. , যে রুট।

প্রফেসর অফ-ধারণা: একটি ফাইল তৈরি করুন /tmp/test.txt। একটি স্ট্রিং সঙ্গে হ্যাকিং .

এবং এখন আক্রমণকারী তার ব্যবসায়ের পেশাদার হলে এটি কী হতে পারে তা কল্পনা করুন। বটস ব্যবহার করে প্রাপ্ত সমস্ত ফলাফলগুলি তার বেস এবং অভিধানে ব্রুট বল শুরু করার সাহায্যে তৈরি করা যেতে পারে। সফল আক্রমণের ফলাফল বিশ্বাস করে দশ গুণ বেশি হবে!
এবং এখন আক্রমণকারী তার ব্যবসায়ের পেশাদার হলে এটি কী হতে পারে তা কল্পনা করুন। বটস ব্যবহার করে প্রাপ্ত সমস্ত ফলাফলগুলি তার বেস এবং অভিধানে ব্রুট বল শুরু করার সাহায্যে তৈরি করা যেতে পারে। সফল আক্রমণের ফলাফল বিশ্বাস করে দশ গুণ বেশি হবে!

বাইপাস অনুমোদনের সাথে সংমিশ্রণে, এই বাগটি একটি আক্রমণকারীকে একটি ওপেন ওয়েব ইন্টারফেসের সাথে কোনও ক্যামেরাটিতে নিয়ন্ত্রণ করতে দেয়। এবং, এটি আরও আক্রমণের জন্য এটি ব্যবহার করার সম্ভাবনা রয়েছে।

একটি ওয়েব ক্যামেরা হ্যাক কিভাবে - ফলাফল

গবেষণার সময়, মাইক্রোডিগিটাল আইপি ক্যামেরাগুলির সমালোচনামূলক দুর্বলতা সহ দশটি ভিন্ন, আবিষ্কার করা হয়েছে। আপনি লিঙ্ক খুঁজে পেতে পারেন বারো cve সম্পূর্ণ তালিকা।

একটি গুরুত্বপূর্ণ বিষয় হলো সাইটটিতে প্রস্তুতকারকের দ্বারা সরবরাহ করা ফার্মওয়্যার ফাইলটি এন সিরিজের সমস্ত ছয়টি আইপি ক্যামেরাগুলির জন্য সাধারণ। এবং সম্ভবত, পাওয়া দুর্বলতাগুলির অংশটি অন্যান্য মাইক্রোডিজিটেড ডিভাইসগুলিতে উপস্থিত রয়েছে, যা শুরুতে উল্লেখ করা হয়েছে নিবন্ধটি, "150 মডেলের বেশি"!

এটি উল্লেখযোগ্য যে ইতিবাচক হ্যাক দিনে 8 কনফারেন্সে হ্যাকিং আইপি ক্যামেরাগুলিতে একটি প্রতিযোগিতা ছিল - ক্যামেরার। পরীক্ষামূলক মধ্যে তালিকাভুক্ত এবং এই মডেল ছিল। প্রতিযোগিতার বিজয়ীদের মধ্যে একজন ছিলেন ইভান আনিসেনা, যিনি এটির মধ্যে পরিণত হয়েছিলেন, গত বছর নির্বিচারে এসকিউএল ক্যোয়ারী বাস্তবায়নের দুর্বলতা এবং এর সাহায্যে এই চেম্বারে অনুমোদনকে বাদ দিয়েছিলেন।

একটি জ্বলন্ত প্রশ্ন আছে: এটিতে অনুরূপ ক্যামেরা থাকলে অনুপ্রবেশকারীদের কাছ থেকে পরিধিটি কীভাবে রক্ষা করবেন? আপনি প্রয়োজন নিরাপত্তা নিশ্চিত করার জন্য:

  • আক্রমণকারীর কাছে শারীরিকভাবে প্রবেশযোগ্য ক্যামেরাটি ইনস্টল করুন;
  • সাবধানে ডকুমেন্টেশন পরীক্ষা করুন;
  • FTP মত unclaimed সেবা নিষ্ক্রিয় করুন;
  • সমস্ত পাসওয়ার্ড পরিবর্তন করুন এবং, বিশেষত, ডিভাইস ব্যবহারকারীর নাম;
  • গেটওয়ে পার্শ্বে বন্ধ করুন (প্রায়শই রাউটার রাউটার) আইপি ক্যামেরাটিতে পোর্ট-ফরওয়ার্ডিং।

অন্য কোনও স্মার্ট ডিভাইস সেট আপ করার সময় সুপারিশগুলির একই তালিকা নির্দেশিত হতে পারে।

এই পোস্টটি রেট করতে ক্লিক করুন!

[মোট: 1গড়: 5]

আইপি ক্যামেরা - সংযোগ এবং দেখুন

IVMS-4200 আর্কাইভ (V2.8.2.2_ML) থেকে সর্বশেষ প্রোগ্রামটি ওয়েবক্যামগুলি দেখতে ব্যবহৃত হয়। পরবর্তী, আপনি আপনার কম্পিউটারে এটি ইনস্টল করা এবং চালানো উচিত।

শুরু করার পরে, কন্ট্রোল প্যানেল ট্যাবে যান - "ডিভাইস ম্যানেজমেন্ট" - "যোগ করুন"। এখন আইপি ক্যামেরাটি সঠিকভাবে পূরণ করুন:

  • ছদ্মনাম - কোন নাম;
  • ঠিকানা - চেম্বারের আইপি ঠিকানা;
  • বন্দর - পরিবর্তন ছাড়া ছেড়ে: 8000;
  • ব্যবহারকারী - আইপি ক্যামেরা থেকে লগইন করুন
  • পাসওয়ার্ড - আইপি ক্যামেরা থেকে পাসওয়ার্ড

ঠিকানা, লগইন এবং পাসওয়ার্ড কোথায় নিতে, নীচের ছবি দেখুন। বোতামে ক্লিক করা কিভাবে পরে: "যোগ করুন"। ট্যাবটিতে যান "কন্ট্রোল প্যানেল" - "বেসিক রাকুরস"।

তাই এটি আপনার সাথে না ঘটে, এবং আপনার ভিডিও নজরদারি সিস্টেম হ্যাক করা হয়নি - এই সমস্যাটি বোঝা শুরু করুন, আমরা দায়িত্বশীলভাবে অনুমান করি এবং আপনার সমস্ত নেটওয়ার্ক সরঞ্জামগুলির সুরক্ষা নিশ্চিত করি।

সবকিছু সঠিকভাবে সম্পন্ন হলে, হ্যাকড আইপি ক্যামেরাটি IVMS-4200 ইন্টারফেসে উপস্থিত হবে। যদি স্ক্রিনে কিছুই না থাকে তবে রাউটার স্ক্যান প্রোগ্রাম থেকে নিম্নলিখিত আইপি ক্যামেরা ঠিকানাটি চেষ্টা করুন।

ছবি ↓.

"ওভেনের 11 টি বন্ধু" চলচ্চিত্রের ভক্তরা সম্ভবত এই নিবন্ধটিকে চিত্রিত করার জন্য আমরা যে ফ্রেমটি খুঁজে পেয়েছি তা খুঁজে পেয়েছি। মুহূর্তটি যখন খাড়া ছেলেরা দক্ষতার সাথে ক্যাসিনো ভিডিও নজরদারি ক্যামেরাগুলির এনালগ সংকেতটি প্রতিস্থাপিত করেছিল, তখন অনেকেই মনের মধ্যে বসেছিল। কিছু এমনকি বাস্তব জীবনে এই চালু করার চেষ্টা করছেন।

কোম্পানির রকাম-ভিডিও এর প্রযুক্তিগত সম্পাদক।

প্রযুক্তি পরিবর্তিত হয়েছে, এখন এনালগ আইপি ক্যামেরাগুলির দ্বারা পছন্দসই, যার হ্যাকিং পদ্ধতিগুলি নীচে বিস্তারিতভাবে আলোচনা করা হবে।

আপনি যদি প্যারানোড না হন তবে এর অর্থ এই নয় যে আপনি আপনার অনুসরণ করবেন না

হ্যাকিংয়ের সাথে জড়িত অধিকাংশ লোক এটি বিনোদন করার জন্য বা ইন্টারনেটে খ্যাতি অর্জনের জন্য এটি করে। তারা চেম্বারগুলি নিরাপত্তা ব্যবস্থায় সুপরিচিত "গর্ত" ব্যবহার করে এবং তাদের মতামত, জনপ্রিয় ইন্টারনেট রিসোর্সগুলিতে মজার ভিডিওগুলিতে রাখে। ইউটিউব শুধু chisit হয়

অনুরূপ ভিডিও

.

আমরা দুর্বলতার আরও গুরুতর পরিণতি বিবেচনা করব, যখন ক্র্যাকার নিজেকে ছেড়ে দেয় না এবং সিস্টেমের মধ্যে তার অনুপ্রবেশ করে না। যেমন একটি আক্রমণ সাধারণত হ্যাকিং আগে একটি সপ্তাহ, বা এমনকি একটি মাস আগে সাবধানে, সাবধানে পরিকল্পনা করা হয়।

আমাদের উদাহরণে, "ওওয়েনের এগারো বন্ধু", এটি ভিডিও নজরদারি ব্যবস্থায় প্রবাহ পরিবর্তন করতে পারে, কেবল এনালগ নয়, তবে একটি ডিজিটাল সংকেত, যেমন RTSP স্ট্রিম।

যেহেতু এই নিবন্ধে সমস্ত তথ্য প্রকৃতির তথ্যপূর্ণ এবং প্রাথমিকভাবে একটি ভিডিও নজরদারি সিস্টেম নির্মাণের সময় নিরাপত্তা ত্রুটিগুলি হ্রাস করার লক্ষ্যে, আমরা আরও বলে মনে করা একটি দুর্বলতা ব্যবহার করার সুপারিশ করি না। এজন্যই ভিডিও নজরদারি নেটওয়ার্কের ভাঙ্গনটি কেবলমাত্র অতিপ্রাকৃতভাবে বিবেচিত হবে এবং বর্ণিত পদ্ধতিগুলি একটি এন্টারপ্রাইজ বা ব্যক্তিগত ব্যক্তির নেটওয়ার্কে খোলা অ্যাক্সেস অন্তর্ভুক্ত করবে। মনে রাখবেন যে তথ্য অননুমোদিত অ্যাক্সেস prosecuted হতে পারে।

আমাদের কোম্পানির অভিজ্ঞতাটি দেখায় যে এই বিষয়ে বিষয়টি খুব প্রাসঙ্গিক, যেহেতু ভিডিও নজরদারি ব্যবস্থার কমিশনিং পর্যায়ে, অনেক লোক ক্যামেরাগুলি RTSP লিঙ্কগুলি দ্বারা তাদের সিস্টেমে সংযোগ করে। হয় অজ্ঞতা দ্বারা, বা আস্থা থেকে বা আত্মবিশ্বাসের দ্বারা সময় বাঁচাতে, অনেকগুলি পাসওয়ার্ড পরিবর্তন করার বিষয়েও চিন্তা করে না বা কোন নিরাপত্তা সেটিংস তাদের ক্যামেরা সমর্থন করে তা দেখতে পারে না।

যাইহোক, RTSP (রিয়েল টাইম স্ট্রিমিং প্রোটোকল) একটি প্রোটোকল যা আপনাকে রিয়েল টাইমে স্ট্রিমিং ভিডিও পরিচালনা করতে দেয়। আমাদের সম্পর্কে এটি সম্পর্কে জানতে হবে যে RTSP লিঙ্কগুলির সাহায্যে আমরা ক্যামেরা থেকে ভিডিও স্ট্রিমটি তুলে ধরব।

আমরা অবশেষে পেয়েছিলাম

অনুশীলন

, অর্থাৎ, যা আমরা কাজ করবো:

1. ক্যামেরাটির জন্য RTSP লিঙ্কগুলি গ্রহণ করা, যা আমরা প্রতিস্থাপন করতে চাই।

2. পরবর্তী সম্প্রচারের জন্য একটি ভিডিও ফাইল প্রস্তুতি।

3. একটি রেকর্ডকৃত ফাইল সম্প্রচার।

4. মাধ্যমিক প্রবাহ প্রতিস্থাপন বিরুদ্ধে সুরক্ষা।

RTSP প্রবাহ URI পেয়ে

ক্যামেরা থেকে সংকেতটি প্রতিস্থাপন করার জন্য আপনাকে প্রথমে এমন একটি ভিডিও স্ট্রিমটি খুঁজে বের করতে হবে যা আমাদের দরকার। এই RTSP প্রোটোকল ব্যবহার করে এটি একটি রেফারেন্স প্রয়োজন হবে। ক্যামেরা সাধারণত একাধিক ইমেজ (উচ্চ এবং নিম্ন রেজল্যুশন) transmits। প্রথমটি রেকর্ড করার জন্য ব্যবহৃত হয় এবং দ্বিতীয়টি ভিডিও নজরদারি স্ক্রীনগুলিতে সম্প্রচার করা হয়। সর্বনিম্ন রেজোলিউশন (প্রায়শই 320 প্রতি 240 পিক্সেল) সরঞ্জামটি লোড হ্রাস করে। প্রতিটি RTSP স্ট্রিমের জন্য, লিঙ্কটি কী আকারে এক অঙ্কের মধ্যে আলাদা।

বিভিন্ন ক্যামেরাগুলি বিভিন্ন RTSP লিঙ্ক থাকতে পারে, তবে সাধারণ দৃশ্যটি প্রায় অনুসরণ করা হয়:

RTSP: // [লগইন: পাসওয়ার্ড @] আইপি ঠিকানা: RTSP পোর্ট [/ কী]

.

পরবর্তী ডিকোডিং:

  • লগইন এবং পাসওয়ার্ড চেম্বার অ্যাক্সেস করতে ব্যবহৃত হয় (তারা হতে পারে না);
  • যদি লিঙ্কটি লগইন এবং পাসওয়ার্ডটি নির্দিষ্ট করে তবে @ প্রতীকটি অনুমোদন এবং আইপি ঠিকানাটি আলাদা করার জন্য নির্দিষ্ট করা হয়েছে;
  • RTSP পোর্ট যা ভিডিও কন্ট্রোল কমান্ডগুলি স্ট্রিমিং করা হয়, ডিফল্ট মান 554;
  • কীটি RTSP রেফারেন্সের একটি অনন্য অংশ, যা প্রস্তুতকারকের এবং ক্যামেরা মডেলের উপর নির্ভর করে পরিবর্তিত হতে পারে, উদাহরণস্বরূপ:
/?user=admin&password=admin&channel=NEF_KANAL&STREAM=MER_POTOCK.SDP।

/ Play1.sdp - পরিবর্তে "1" এর পরিবর্তে প্রবাহ সংখ্যা নির্দেশ করে;

/ লাইভ / ch00_0 00 - চ্যানেল নম্বর, 0 - প্রবাহ সংখ্যা;

/ চ্যানেল 1 - এর পরিবর্তে "1" প্রবাহ সংখ্যা নির্দেশ করে।

ক্যামেরা অ্যাক্সেস না করে আরটিএসপি লিঙ্কটি কীভাবে খুঁজে বের করবেন?

и

ক্যামেরা অ্যাক্সেস না করে আরটিএসপি লিঙ্কটি কীভাবে খুঁজে বের করবেন?

.

কিছুটা সহজ উপায়:

1. ক্যামেরা প্রস্তুতকারকের ওয়েবসাইটে একটি লিঙ্ক খুঁজুন।

2. ইন্টারনেট সাইটে অনুসন্ধান করুন যেখানে বিভিন্ন ক্যামেরা মডেলের লিঙ্কগুলি এই সাইটগুলির উদাহরণ দেওয়া হয়।

 
 
 

.

ফাইল রেকর্ডিং RTSP ফ্লো
যখন আমরা প্রয়োজনীয় RTSP লিঙ্ক পেয়েছিলাম, তখন আপনাকে তাদের দ্বারা সম্প্রচারিত ভিডিওটি রেকর্ড করতে হবে, কয়েক ঘন্টার মধ্যে স্থায়ী। যে দুটি উপায়ে আধুনিক সিস্টেমে দুটি উপায়ে ব্যবহার করা হয় না, তাই আপনাকে একই সময়ে উভয় স্ট্রিম লিখতে হবে। 
কোম্পানির রকাম-ভিডিও এর প্রযুক্তিগত সম্পাদক।

RTSP প্রোটোকল ভিডিও স্ট্রিম রেকর্ড বিভিন্ন সফ্টওয়্যার ব্যবহার করতে পারেন। তাদের সবচেয়ে জনপ্রিয় বিবেচনা করুন:

FFMPEG, GSTREAMER এবং VLC
1. FFMPEG মাধ্যমে রেকর্ড ফ্লো 
$ ম্যান FFMPEGNAS আগ্রহী: - VCODEC কপি - একটি ফাইলের ভিডিও অনুলিপি করুন; - ACODEC কপি - ফাইলের জন্য অডিও অনুলিপি করা; - RTSP_TRANSPORT টিসিপি - ফ্লো ট্রান্সমিশন পদ্ধতি নির্বাচন করা হচ্ছে; - R 25 - প্রতি সেকেন্ডে ফ্রেম গতি ইনস্টল করা; - কপি - কপি টাইমস্ট্যাম্পস; - start_at_zero - 00: 00: 00: 00 থেকে শুরু হওয়া টাইমস্ট্যাম্পগুলি অনুলিপি করুন আমরা আমাদের RTSP লিঙ্কটি পাঠান এবং কপি এর মাধ্যমে ফাইলের পাথ এবং নামটি নির্দেশ করে যা% FFMPEG -I RTSP রেকর্ডিং হবে: //192.168.1.77: 554 / SNL বিনোদন / সাহিত্য / লাইভ / 1/1 -COPYTS -START_AT_ZERO -RRTSP_TRANSPORTS টিসিপি -আর 25 -VCODEC অনুলিপি -CODEC কপি / Home/line/Example/1.ভি
ফাইল শুরু শুরু। 
কোম্পানির রকাম-ভিডিও এর প্রযুক্তিগত সম্পাদক।

2. VLC মাধ্যমে রেকর্ড

কমান্ডের সেটের সাথে পরিচিত হোন যে VLC-Media Player AH কমান্ড কমান্ডটি ব্যবহার করে আমাদের প্রস্তাব করে: - Sout = # ফাইল {PATH} - আপনি যে ফাইলটি অনুলিপি করতে চান তা উল্লেখ করুন; - RTSP-TCP - হচ্ছে RTSP টিসিপি; - RTSP-FROM-BUFFER-SIZE = 1000 - বাফারটি যখন বাজানো হয় তখন ভিডিওটি ক্রমবর্ধমান না হয়; - H264-FPS = 25 - 25 ফ্রেমগুলিতে অ্যাড-অন। আমরা আমাদের ডেটা রাখি এবং $ CVLC RTSP চালাচ্ছি: / / 1 9.168.1.77: 554 / SNL / লাইভ / 1/1 --rtsp-tcp --rtsp-fram-buffer-size = 1000 --h264-fps = 25: sout = # ফাইল {DST = / home / লাইন / উদাহরণ / 1.ভি}। ভিএলসি উইন্ডোটি খোলে এবং রেকর্ডটি শুরু হবে, যখন আপনি রেকর্ডিং উইন্ডোটি বন্ধ করবেন।

3. Gstreamer মাধ্যমে রেকর্ডিং

GStreamer এর সাথে কাজ করার তথ্য পাওয়া যাবে <a href="httpps:/gstreamer.freedesktop.org/documumentation/plugins.html"> এখানে </a> .- RTSPSRC অবস্থান = "RTSP: //192.168.1.91: 554 বিনোদন / সাহিত্য / ক্যাম / Realmonitor? চ্যানেল = 1 এবং SUBTYPE = 0 & UNICAST = TRUE & PROTO = ONVIF "- একটি ডাটা উৎস হিসাবে RTSP স্ট্রিমটি উল্লেখ করুন। - RTPP264DEPAY - RTSP ভিডিওতে RTSP ভিডিওর সাথে RTPH2644DEPAY এর মাধ্যমে আসে এই ব্যাগ থেকে ভিডিওটি পান .- H264PARSE - নাম থেকে দেখা যেতে পারে, Parsim H.264 থ্রেড। - AVIMUX - AVI এ স্ট্রিম সংগ্রহ করুন, আপনি এমপি 4 মিউজিক বা matroskamux (mkv) ব্যবহার করতে পারেন .- ফাইলিংক অবস্থান = 1.ভি - ভিডিও.জেস্ট-আরম্ভের ফাইলটি নির্দিষ্ট করুন। ONVIF "! RTPH264DEPAY! H264PARSE! MP4MUX! ফাইলিংক অবস্থান = 1. এমপি 4

ফাইল থেকে RTSP স্ট্রিম সম্প্রচার

এটি RTSP বিন্যাসে রেকর্ডকৃত ফাইল সম্প্রচার শুরু করার সময়। এটি করার জন্য, আমরা উপরের বিভাগে পর্যালোচনা করা সমস্ত প্রোগ্রামগুলি ব্যবহার করি।

1. FFMPEG ব্যবহার করে ক্যামেরা থেকে ভিডিও স্ট্রিম সম্প্রচারের জন্য আপনাকে FFServer ব্যবহার করতে হবে। তার বিবরণ পাওয়া যাবে

এখানে
। ট্রান্সমিশন পরামিতি সেট করার জন্য, এটি প্রয়োজনীয় 
কোম্পানির রকাম-ভিডিও এর প্রযুক্তিগত সম্পাদক।

ফাইলটি পূরণ করুন।

ffserver.conf।
Ffserver. 

FFServer.confrtspport ফাইল - RTSP পোর্ট নম্বরটি সেট করুন যা সম্প্রচারটি চলবে। <স্ট্রিম এসএনএল / লাইভ / 1/1> - স্ট্রিমের পরে, পছন্দসই কী সেট করুন। ফরম্যাট আরটিপি - ট্রান্সমিশন ফর্ম্যাট। ফাইল "/ হোম / লাইন / উদাহরণ / 1 .avi "- RTSP_TRANSPORTS টিসিপি - আপনি যে ফাইলটি প্রেরণ করতে চান তা প্রেরণ করুন এবং TCP.noaudio এর মাধ্যমে প্রেরণ করতে কীটি নির্দিষ্ট করুন - শব্দটি পাস করবেন না। FFServer.confrtspport 554 <স্ট্রিম এসএনএল / লাইভ / 1/1> বিন্যাস RTPFile "/ হোম / লাইন / উদাহরণ / 1.ভিআই" -আরআরএসপি_ ট্রান্সপোর্ট টিসিিপিএনওউডিও </ স্ট্রিম> পরবর্তী, রান% FFServer -f ffserver.conf।

2. এখন VLC মিডিয়া প্লেয়ারটি ব্যবহার করুন। দুর্ভাগ্যবশত এটি সবচেয়ে সহজ উপায় সত্ত্বেও, ভিএলসি শুধুমাত্র ইউডিপি প্রোটোকলের মাধ্যমে প্রবাহটি সম্প্রচার করতে পারে।
ভিএলসি মিডিয়া প্লেয়ার 

RTSP স্ট্রিম চালানোর জন্য কমান্ড: - Sout = # RTP {SDP = RTSP: ///192.168.1.232: 554 / SNL / লাইভ / 1/1} - একটি লিঙ্ক সেট করুন যা সম্প্রচারের ঘটবে। - পুনরাবৃত্তি করুন - যদি প্রয়োজন হয় - ভিডিওটি পুনরাবৃত্তি করা ভিডিও ফাইল। vlc /home/line/Example/1.avi --sout = # rtp {sdp = rtsp: ///192.168.1.232: 554 / SNL / লাইভ / 1/1} পুনরাবৃত্তি করুন

3. অবশেষে, GST-Server ব্যবহার করে।

জিএসটি-সার্ভার

শুরু করার জন্য, এটি ইনস্টল করা দরকার। $ Sudo apt-gstreamer1.0 $ wget https://gstreamer.freedesktop.org/src/gst-rtsp-server/gst-rtsp-server-1.8.3.tar .xz / gst -rtsp-server-1.8.3 $ sudo apt GTK-doc-tools / gst-rtsp-server-1.8.3 $ sudo apt-leg-get libgstreamer-plugins-base1.0-dev / gst-rtsp ইনস্টল করুন -সারভার-1.8 .3 $ এখন আমরা ফাইল /gst-rtsp-server-1.8.3/examples/test-launch.catut পরিবর্তন করতে পারেন। আপনি ডিফল্টরূপে ব্যবহৃত RTSP পোর্টটি পরিবর্তন করতে পারেন # ডিফল্ট_আরএসপি_পোর্ট "8554" এবং linkgst_rtsp_mount_points_add_factory (মাউন্ট, "/ টেস্ট", কারখানা) এর কী। আমাদের মানগুলি তৈরি করার পরে। এখন কী দিয়ে পরীক্ষা-লঞ্চ ফাইলটি চালান। - RTSPSRC অবস্থান = "/ হোম / লাইন / উদাহরণ / 1 .avi "- ফাইলটি খেলতে হবে .- H264 এনকোডার - H264 এনকোডার - H264 এ এনকোডেড.- RTPH264PAY NAME = PAY0 PT = 96 - আমরা আমাদের স্ট্রিমকে টুকরা টুকরা বিভক্ত করি। $ ~ / gst-rtsp-server-1.8.3 / উদাহরণ $ ./test-launch "(RTSPSRC অবস্থান =" / হোম / লাইন / উদাহরণ / 1.ভি "! X264ENC! RTPH264PAY নাম = PAY0 PT = 96)"

রেকর্ডকৃত ফাইলটি RTSP বিন্যাসে সম্প্রচারিত হয়, যার পরে আমরা চেম্বারের আউটপুটকে চ্যালেঞ্জটি সমাধান করি। নীচে আমরা আক্রমণ করতে ইচ্ছুক বস্তুর উপর নির্ভর করে পরিবর্তিত বিভিন্ন বিকল্প। আসলে, উপায় অনেক বেশি, শুধুমাত্র সবচেয়ে মৌলিক বিবেচনা। আমাদের যা দরকার তা হল আপনার প্রয়োজনীয় নেটওয়ার্কে পৌঁছাতে হবে।

যদি বস্তুটি বড় ভৌগোলিকভাবে হয়, তবে এটি প্রায়শই কিছু ক্যামেরার সাথে যোগাযোগ করা সম্ভব এবং ক্যামেরাটি যা ক্যামেরা সংযুক্ত করা হয় তা স্যুইচিং সরঞ্জামগুলি খুঁজে বের করার চেষ্টা করে।

যদি বস্তুটি ছোট হয় তবে আপনি Wi-Fi এর মাধ্যমে নেটওয়ার্কে প্রবেশ করার চেষ্টা করতে পারেন এবং এটি NMAP ব্যবহার করে স্ক্যান করতে পারেন।

এছাড়াও, ক্যামেরাটিতে শারীরিক অ্যাক্সেস থাকলে, এটি বিভিন্ন পর্যায়ে বিরতি তৈরি করতে এক পৃষ্ঠার প্যাকেজ ব্যবহার করা সম্ভব:

1) Wireshark রেকর্ডিং সক্রিয় করুন;

2) ক্যামেরা থেকে তারের বন্ধ করুন সংক্ষিপ্তভাবে এবং এটি এক পৃষ্ঠায় সংযুক্ত করুন;

3) তারের মধ্যে তারের ফিরে;

4) প্রাপ্ত লগ এক্সপ্লোর করুন।

অথবা নেটওয়ার্কে অ্যাক্সেস থাকলে, আপনি ক্লাসিক প্রতিস্থাপন পদ্ধতিটি ব্যবহার করতে পারেন:

- ক্যামেরা এবং সার্ভারের মধ্যে ARPSPoof স্ট্যান্ড ব্যবহার করে;

- একটি ভিডিও নজরদারি সার্ভার থেকে একটি আইপি ক্যামেরা থেকে ফরোয়ার্ড অনুরোধগুলিতে IP_FORWARD ব্যবহার করে এবং এর বিপরীতে;

- ক্যামেরা থেকে এবং আমাদের গাড়ি থেকে ভিডিও নজরদারি সার্ভারে RTSP পোর্টের জন্য সমস্ত অনুরোধ পুনঃনির্দেশিত করার জন্য iptables ব্যবহার করুন।

হ্যাকিং থেকে ভিডিও নজরদারি ক্যামেরা সুরক্ষা

উপরে বর্ণিত পদ্ধতি দ্বারা প্রবাহ প্রতিস্থাপন বিরুদ্ধে রক্ষা করার জন্য, আপনি বিভিন্ন উপায়ে ব্যবহার করতে পারেন:

ক্যামেরা অ্যাক্সেস না করে আরটিএসপি লিঙ্কটি কীভাবে খুঁজে বের করবেন?

.

1. ক্যামেরা ইন্টিগ্রেটেড

বৃহত্তম সুরক্ষা সফ্টওয়্যার পণ্য ক্যামেরা ইন্টিগ্রেশন দেয়। আপনার ক্যামেরা সঙ্গে সংহত করা হয় কিনা তা পরীক্ষা করুন

নজরদারি সিস্টেম "লাইন"

, করতে পারা

আপনার ক্যামেরা বা প্রস্তুতকারক তালিকায় পরিণত না হলে, আপনি যোগাযোগ করতে পারেন

প্রযুক্তিগত সহায়তায়

আপনি ব্যবহার আইপি ক্যামেরা মডেল সংহত করার জন্য একটি অনুরোধ সঙ্গে।

2. আপডেট ফার্মওয়্যার

আপ টু ডেট চেম্বারগুলির ফার্মওয়্যারটি ক্রমাগত বজায় রাখা প্রয়োজন, কারণ আপডেটগুলি ব্যবহার করে, ডেভেলপাররা বিভিন্ন দুর্বলতাগুলি সংশোধন করে এবং ক্যামেরাগুলির স্থিতিশীলতা বৃদ্ধি করে।

3. স্ট্যান্ডার্ড লগইন এবং পাসওয়ার্ড পরিবর্তন

একটি আক্রমণকারী তৈরি করে এমন প্রথম জিনিসটি ক্যামেরাটির স্ট্যান্ডার্ড লগইন এবং পাসওয়ার্ড ব্যবহার করার চেষ্টা করবে। তারা অপারেটিং নির্দেশাবলী তালিকাভুক্ত করা হয়, তাই তাদের খুঁজে পাওয়া কঠিন হবে না। অতএব, সর্বদা অনন্য লগইন এবং পাসওয়ার্ড ব্যবহার করুন।

4. বাধ্যতামূলক অনুমোদন সক্রিয় করুন

এই ফাংশনটি অনেক আধুনিক চেম্বারগুলিতে উপস্থিত, কিন্তু দুর্ভাগ্যবশত, সমস্ত ব্যবহারকারীরা তার সম্পর্কে জানে না। আপনি যদি এই বিকল্পটি অক্ষম করেন তবে ক্যামেরাটি এটির সাথে সংযুক্ত হওয়ার অনুরোধটি অনুরোধ করবে না, যা হ্যাকিংয়ের পক্ষে এটিকে দুর্বল করে তুলবে। এটির মূল্যবান যে HTTP অ্যাক্সেস এবং ONVIF প্রোটোকলের মাধ্যমে অ্যাক্সেসের জন্য ডুয়াল অনুমোদন ক্যামেরা আছে। এছাড়াও কিছু ক্যামেরাগুলিতে একটি সরাসরি RTSP লিঙ্কে সংযোগ করার সময় একটি অনুমোদনের অনুরোধ করার জন্য একটি পৃথক সেটআপ রয়েছে।

5. ফিল্টার আইপি ঠিকানা

ক্যামেরা তথাকথিত সাদা তালিকার ফাংশনটি সমর্থন করে তবে এটি অবহেলা করা ভাল নয়। এটির সাথে, এটি আইপি অ্যাড্রেস দ্বারা নির্ধারিত হয় যা আপনি ক্যামেরাতে সংযোগ করতে পারেন। ক্যামেরাটি সংযুক্ত থাকা সার্ভার ঠিকানায় থাকা আবশ্যক এবং যদি প্রয়োজন হয় তবে কর্মক্ষেত্রের দ্বিতীয় আইপি ঠিকানা যা সেটিং তৈরি করা হয়। কিন্তু এটি সবচেয়ে নির্ভরযোগ্য পদ্ধতি নয়, যেহেতু ডিভাইসটি পরিবর্তন করার সময় আক্রমণকারীটি একই আইপি ঠিকানাটি ব্যবহার করতে পারে। অতএব, এই বিকল্পটি বাকি সুপারিশগুলির সাথে এই বিকল্পটি ব্যবহার করা ভাল।

6. নেটওয়ার্ক সুরক্ষা

আপনি সঠিকভাবে স্যুইচিং সরঞ্জাম কনফিগার করতে হবে। এখন সর্বাধিক সুইচ এআরপি স্পুফিং থেকে সমর্থন সুরক্ষা - এটি ব্যবহার করতে ভুলবেন না।

7. নেটওয়ার্ক বিচ্ছেদ

এই আইটেমটি এই আইটেমটিতে বিশেষ মনোযোগ দিতে হবে, কারণ এটি আপনার সিস্টেমের নিরাপত্তা একটি বড় ভূমিকা পালন করে। এন্টারপ্রাইজ এবং ভিডিও নজরদারি নেটওয়ার্কের নেটওয়ার্ক বিভাগটি আপনাকে অনুপ্রবেশকারীদের থেকে বা এমনকি তাদের নিজস্ব কর্মীদের থেকে রক্ষা করবে যারা একটি সাধারণ নেটওয়ার্কের অ্যাক্সেস এবং আপনাকে হ্যাক করতে চায়।

8. ওএসডি মেনু সক্ষম করা আপনি বর্তমান সময় এবং ক্যামেরাতে তারিখের সাথে OSD মেনু সক্ষম করতে হবে যাতে আপনি সর্বদা চিত্রটির প্রাসঙ্গিকতা পরীক্ষা করতে পারেন। এটি একটি ভিডিও অর্ডারের প্রতিস্থাপন থেকে রক্ষা করার জন্য এটি একটি ভাল উপায়, যেমন একটি নির্দিষ্ট ক্যামেরা থেকে চলমান সমস্ত ভিডিওগুলিতে OSD এর উপরে সুপারিশ করা হয়। এমনকি যখন আক্রমণকারী RTSP স্ট্রিমে প্রবেশ করে, তখনও প্রতিস্থাপনটি ভিডিওর ফ্রেমগুলিতে থাকা ডেটাটির কারণে উল্লেখযোগ্য হবে।

দুর্ভাগ্যবশত, অনেক আক্রমণকারীরা দ্রুত খুঁজে বের করতে শিখেছেন এবং আইপি ভিডিও নজরদারি ব্যবস্থায় দুর্বলতার সুবিধা নিতে শিখেছেন। নেটওয়ার্কটি সুরক্ষিত করার জন্য, এই নিবন্ধটিতে বর্ণিত সুরক্ষার পদ্ধতিগুলির সাথে নিজেকে পরিচিত করা প্রয়োজন। সিস্টেমের কমিশনিংয়ের পর্যাপ্ত পরিমাণ ব্যবহার করুন এবং বিশেষ করে সঠিকভাবে তার সমস্ত উপাদানগুলি সামঞ্জস্য করুন। সুতরাং আপনি হ্যাকিং থেকে সর্বোচ্চ নিরাপত্তা নেটওয়ার্ক সরবরাহ করতে পারেন। -উপসংহারে, আমরা আপনাকে মন্তব্যগুলিতে শেয়ার করার পরামর্শ দিই, আপনি কীভাবে আপনার ভিডিও নজরদারি নেটওয়ার্কটি হ্যাকিং থেকে রক্ষা করতে পারবেন? আক্রমণের কোন পদ্ধতি আপনি সবচেয়ে বিপজ্জনক বিবেচনা করেন? -একটু তত্ত্ব, তারপর অনুশীলন ....

প্রায় সমস্ত আধুনিক ডিজিটাল ভিডিও নজরদারি ক্যামেরা লিনাক্স অপারেটিং সিস্টেমে নির্মিত হয়, যা দৃঢ়ভাবে ছাঁটাই এবং শুধুমাত্র কাজের জন্য সবচেয়ে প্রয়োজনীয়। লিনাক্স অপারেটিং সিস্টেমটি নিজেই মুক্ত, খুব নির্ভরযোগ্য এবং বহিরাগত প্রভাব এবং হ্যাকগুলির প্রতিরোধী, তাই প্রস্তুতকারক এবং ভিডিও রেকর্ডার, ভিডিও সার্ভার, ভিডিও নজরদারি ক্যামেরা, নাস এবং অন্যান্য স্মার্ট গ্যাজেটগুলি তৈরি করে। -"হ্যাকিং ভিডিও নজরদারি ক্যামেরা" এর অধীনে প্রশাসকের অধীনে অ্যাক্সেস প্রাপ্তির বুঝতে হবে। -অ্যাক্সেস পাওয়া যাবে: -গ্রাফিক ওয়েব ইন্টারফেস ক্যামেরা। এই ধরনের অ্যাক্সেস প্রাপ্ত হচ্ছে, আক্রমণকারীটি ভিডিওটি দেখতে পারে, যদি একটি মাইক্রোফোন থাকে তবে কী ঘটছে তা শুনুন, এবং যদি দুই-উপায় অডিট (মাইক্রোফোন এবং স্পিকার) থাকে তবে শিকারের সাথে সংলাপ। ডিভাইস possesses যে সব সেটিংস পাওয়া যায়।

এসএসএইচ অপারেটিং সিস্টেম বা অন্যান্য প্রোটোকল। অ্যাক্সেস থাকার, আপনি কমান্ড লাইন পাবেন। হ্যাকড ক্যামেরাগুলির সাথে হ্যাকারদের সাথে বড় আকারের ডিডিওএস আক্রমণের সাথে এই ধরনের দুর্বলতা ব্যবহার করা হয়েছিল, সেইসাথে মাইনিং ক্রিপ্টোকুরেন্সির জন্য ভিডিও নজরদারি শক্তি কম্পিউটিং।

যেমন ডিভাইসের দুর্বলতা বিবেচনা করুন।

মানুষের ফ্যাক্টর। ডিভাইস স্ট্যান্ডার্ড সেটিংস আছে: স্ট্যান্ডার্ড লগইন এবং পাসওয়ার্ড। সরঞ্জাম ইনস্টল করার পরে, এটি পরিবর্তন করা প্রয়োজন।

প্রশ্ন, মন্তব্য এবং পরামর্শ লিখুন: samohvalov@rucam-video.ru  

ভিডিও ক্যামেরা ইনস্টল এবং কনফিগার করার জন্য নিযুক্ত বিশেষজ্ঞদের অসমর্থতা। একটি বাহ্যিক আইপি ঠিকানা ব্যবহার করার সময় সিস্টেমটি কীভাবে তৈরি করা হয় তা বুঝতে হবে, এটি নির্ভরযোগ্যভাবে বাইরে থাকা ডিভাইসটিকে সুরক্ষিত করা প্রয়োজন (ইন্টারনেট)। Wi-Fi রাউটারের সুরক্ষার জন্য যথাযথ মনোযোগ, যা প্রায় সর্বত্র যেখানে একটি ইন্টারনেট আছে সেখানে ব্যবহৃত হয়।

মান বা দুর্বল ব্যবহার (8 টি পাসওয়ার্ডের কম অক্ষর)। হ্যাকিংয়ের জন্য, অভিধানে ব্রুটফর্স আক্রমণগুলি সাধারণত ব্যবহৃত হয় (অন্তর্দৃষ্টি পদ্ধতি), যা সমস্ত স্ট্যান্ডার্ড পাসওয়ার্ড ধারণ করে: admin, 888888, 123456, 12345 S.t.

মালিকদের রক্ষা করার জন্য, প্রস্তুতকারক অতিরিক্ত সুরক্ষা ব্যবস্থাগুলিতে প্রবেশ করে, উদাহরণস্বরূপ, সমস্ত নতুন ডিভাইসগুলিতে হাইকভিশন করার জন্য অ্যাক্টিভেশনটি প্রয়োজন, যা মালিককে একটি পাসওয়ার্ড সেট করতে বাধ্য করে, সুরক্ষা প্রয়োজন অনুসারে: মূলধন এবং ছোট হাতের অক্ষর, সংখ্যা এবং সীমা সর্বনিম্ন দৈর্ঘ্য। স্টোডান সার্চ ইঞ্জিন ব্যবহার করে, সর্বাধিক হ্যাকিং পদ্ধতি রয়েছে, এটি সহজতর বিবেচনা করুন। সার্চ ইঞ্জিনটি ক্রমাগত ইন্টারনেট স্ক্যান করে এবং তার অনুরোধগুলির প্রতিক্রিয়া জানায় এমন ডিভাইসগুলিতে ডাটাবেস সংগ্রহ করে: এটি রেকর্ডার, ভিডিও নজরদারি ক্যামেরা, রাউটার, ফায়ারওয়াল, অর্থাৎ, বিশ্বব্যাপী নেটওয়ার্কের মধ্যে থাকা সমস্ত নেটওয়ার্ক ডিভাইস। আসুন অ্যাক্সেস করার চেষ্টা করি, যে ডিভাইসগুলিতে ডিফল্ট (স্ট্যান্ডার্ড) পাসওয়ার্ড আছে। অনুশীলন যান। মধ্যে ভঙ্গ! আমরা সাইটে যাই: https://www.shodan.io নিবন্ধন ছাড়া, আমরা অনুরোধ সংখ্যা দ্বারা সীমিত করা হবে। অতএব, সাইটে একটি সহজ নিবন্ধীকরণ পদ্ধতির মাধ্যমে যেতে ভাল। পরবর্তী, অনুসন্ধানের স্ট্রিংটিতে আমাদের প্রবেশ করতে হবে, আমরা কী খুঁজে পেতে চাই। অননুমোদিত অ্যাক্সেসের জন্য অনুরোধের উদাহরণ, হ্যাকিং: ডিফল্ট পাসওয়ার্ড পোর্ট: 80 (যেখানে ডিফল্ট পাসওয়ার্ড - স্ট্যান্ডার্ড পাসওয়ার্ডের সাথে ডিভাইসগুলি, পোর্ট: 80 - HTTP এ ডেটা গ্রহণ এবং প্রেরণ করার জন্য কাজ করে, আমাদের ক্ষেত্রে আমরা ওয়েব ইন্টারফেসের সাথে সমস্ত ডিভাইসগুলি সন্ধান করছি)। পোর্ট: 80 এনভিআর দেশ: "এটা" (আমরা এনভিআর-নেটওয়ার্ক ভিডিও রেকর্ডার ডিভাইসটি সন্ধান করছি, তারপরে আপনি DVR মানে; দেশ: "এটা" - শুধুমাত্র ইতালিতে সঞ্চালিত হবে)। পোর্ট: 80 DVR দেশ: "রু" (আমরা DVR ডিভাইসগুলি খুঁজছি - রাশিয়ার ডিজিটাল ভিডিও রেকর্ডার (ডিজিটাল ভিডিও রেকর্ডার))। পোর্ট: 80 দেশ: "রুশ" আসুস

(আমরা রাশিয়ার ওয়েব ইন্টারফেসের সরঞ্জাম খুঁজছি, আসুস প্রস্তুতকারকের সাথে, সর্বশ্রেষ্ঠ প্রত্যর্পণটি সম্ভবত এই নির্মাতার রাউটারগুলিতে থাকবে)।

230 বেনামী এক্সেস দেওয়া

(আমরা বেনামী এক্সেস সঙ্গে FTP সার্ভার অ্যাক্সেস পেতে)। স্টোডান সার্চ ইঞ্জিন ব্যবহার করে, সর্বাধিক হ্যাকিং পদ্ধতি রয়েছে, এটি সহজতর বিবেচনা করুন। সার্চ ইঞ্জিনটি ক্রমাগত ইন্টারনেট স্ক্যান করে এবং তার অনুরোধগুলির প্রতিক্রিয়া জানায় এমন ডিভাইসগুলিতে ডাটাবেস সংগ্রহ করে: এটি রেকর্ডার, ভিডিও নজরদারি ক্যামেরা, রাউটার, ফায়ারওয়াল, অর্থাৎ, বিশ্বব্যাপী নেটওয়ার্কের মধ্যে থাকা সমস্ত নেটওয়ার্ক ডিভাইস। অ্যান্ড্রয়েড ওয়েবক্যাম

2020 সালে ক্যামেরা হ্যাক কিভাবে

(অ্যান্ড্রয়েড গ্যাজেট, যা ওয়েবক্যাম হিসাবে ব্যবহৃত হয়) ব্যবহার করা হয়)।

সার্ভার: SQ-WEBCAM

(এই অনুরোধটি সার্ভারের সাথে সরঞ্জামগুলির একটি তালিকা প্রদর্শন করবে, যা ওয়েবক্যাম সনাক্ত করেছে)।

সাইট সার্চ ইঞ্জিন Shaodan উপর কমান্ডের সম্পূর্ণ তালিকা পাওয়া যাবে।

এবং ভুলে যাবেন না - হ্যাকিংয়ের সময়, সমস্ত দায়িত্ব আপনার উপর থাকবে! প্রথম অনুরোধে একটি উদাহরণ হিসাবে:

অনুসন্ধান ডাটাবেস 3278 ফলাফল আবিষ্কৃত। দ্বিতীয় এবং তৃতীয় প্রত্যর্পণ অনুযায়ী, চিত্র 1 থেকে দেখা যায়, আমরা দেখি যে লগইন: অ্যাডমিন এবং পাসওয়ার্ড ওয়েব ইন্টারফেস অ্যাক্সেস করতে পাসওয়ার্ড: 1234।

Добавить комментарий