[Repost 2018] TBK Vision - DVR Login Bypass ( CVE-2018-9995 ) - part 1

DVR Login Bypass

Durante un ejercicio de seguridad sin buscarlo, encontré un dispositivo tipo DVR. Este dispositivo corria  un servicio web, que inmediatamente me presentaba un formulario de autenticacion como el siguiente: 

Y es justo en este punto en el que por simple impulso intente el clásico "admin:admin". fue sin pensanrlo, realmente no estaba interesado en tener un caso de éxito y mucho menos seguir intentando combinaciones. 

Lo que ocurrió a continuación lo voy a usar como titulo.

Un "login successful" al vuelo

Efectivamente  di con las credenciales correctas. Un caso de exito que no esperaba. La situiacion me

dejo pensando y me plantee a mi mismo un nuevo escenario en donde no daba con esas credenciales.  Y me puse a trabajar sobre el dispositivo pero desde el contexto de un usuario ( atacante ? ) sinb credenciales validas

Recursos javascript claves para resolver el "challenge" 

Revisando los distintos JS, di con una función que seteaba cookies. Las ditintas llamadas a esa función me dieron la pista para saber que cookies se estaban usando. En especial una llamada "uid"  ( user id ?). 

Se me ocurrio  forzar el seteo esa cookie manualmente y le asigno de valor "admin"

refrescamos y estamos adentro:

Si bien es cierto que el aplicativo carga con funcionalidades limitadas algunas cosas interesantes aun funcionan:

*continuo  revisando los recursos javascript

Con y sin la cookie "UID":

Finalmente conseguimos "nuestros" passwords:

admin:admin

Saludos,
@capitan_alfa