554,8554 - Pentesting RTSP

Reading time: 4 minutes

Podstawowe informacje

Z wikipedia:

Real Time Streaming Protocol (RTSP) to protokół kontroli sieci zaprojektowany do użycia w systemach rozrywkowych i komunikacyjnych do kontrolowania serwerów mediów strumieniowych. Protokół jest używany do ustanawiania i kontrolowania sesji mediów między punktami końcowymi. Klienci serwerów mediów wydają polecenia w stylu VHS, takie jak odtwarzanie, nagrywanie i pauza, aby ułatwić kontrolę w czasie rzeczywistym nad strumieniowaniem mediów z serwera do klienta (Video On Demand) lub z klienta do serwera (Voice Recording).

Transmisja danych strumieniowych nie jest zadaniem RTSP. Większość serwerów RTSP używa protokołu Real-time Transport Protocol (RTP) w połączeniu z protokołem Real-time Control Protocol (RTCP) do dostarczania strumieni mediów. Jednak niektórzy dostawcy wdrażają własne protokoły transportowe. Oprogramowanie serwera RTSP od RealNetworks, na przykład, również używa własnego protokołu Real Data Transport (RDT).

Domyślne porty: 554,8554

PORT    STATE SERVICE
554/tcp open  rtsp

Kluczowe szczegóły

RTSP jest podobny do HTTP, ale zaprojektowany specjalnie do strumieniowania mediów. Jest zdefiniowany w prostych specyfikacjach, które można znaleźć tutaj:

RTSP – RFC2326

Urządzenia mogą umożliwiać nieautoryzowany lub autoryzowany dostęp. Aby to sprawdzić, wysyłane jest żądanie "DESCRIBE". Podstawowy przykład przedstawiono poniżej:

DESCRIBE rtsp://<ip>:<port> RTSP/1.0\r\nCSeq: 2

Pamiętaj, że poprawne formatowanie obejmuje podwójne "\r\n" dla spójnej odpowiedzi. Odpowiedź "200 OK" wskazuje na nieautoryzowany dostęp, podczas gdy "401 Unauthorized" sygnalizuje potrzebę autoryzacji, ujawniając, czy wymagana jest autoryzacja Basic czy Digest.

Dla autoryzacji Basic kodujesz nazwę użytkownika i hasło w base64 i dołączasz je do żądania w ten sposób:

DESCRIBE rtsp://<ip>:<port> RTSP/1.0\r\nCSeq: 2\r\nAuthorization: Basic YWRtaW46MTIzNA==

Ten przykład używa "admin" i "1234" jako poświadczeń. Oto skrypt Python do wysłania takiego żądania:

import socket
req = "DESCRIBE rtsp://<ip>:<port> RTSP/1.0\r\nCSeq: 2\r\nAuthorization: Basic YWRtaW46MTIzNA==\r\n\r\n"
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(("192.168.1.1", 554))
s.sendall(req)
data = s.recv(1024)
print(data)

Podstawowa autoryzacja jest prostsza i preferowana. Autoryzacja z użyciem skrótu wymaga starannego zarządzania szczegółami autoryzacji podanymi w odpowiedzi "401 Unauthorized".

Ten przegląd upraszcza proces uzyskiwania dostępu do strumieni RTSP, koncentrując się na Podstawowej autoryzacji ze względu na jej prostotę i praktyczność w początkowych próbach.

Enumeracja

Zdobądźmy informacje o obsługiwanych metodach i adresach URL oraz spróbujmy przeprowadzić atak brute-force (jeśli to konieczne), aby uzyskać dostęp do treści.

nmap -sV --script "rtsp-*" -p <PORT> <IP>

Brute Force

Inne przydatne programy

Aby przeprowadzić brute force: https://github.com/Tek-Security-Group/rtsp_authgrinder

Cameradar

• Wykrywanie otwartych hostów RTSP na dowolnym dostępnym celu
• Uzyskiwanie ich publicznych informacji (nazwa hosta, port, model kamery itp.)
• Uruchamianie zautomatyzowanych ataków słownikowych w celu uzyskania trasy strumienia (na przykład /live.sdp)
• Uruchamianie zautomatyzowanych ataków słownikowych w celu uzyskania nazwy użytkownika i hasła kamer
• Generowanie miniaturek z nich, aby sprawdzić, czy strumienie są ważne i mieć szybki podgląd ich zawartości
• Próba stworzenia potoku Gstreamer, aby sprawdzić, czy są poprawnie zakodowane
• Wydrukowanie podsumowania wszystkich informacji, które Cameradar mógł uzyskać

References

• https://en.wikipedia.org/wiki/Real_Time_Streaming_Protocol
• http://badguyfu.net/rtsp-brute-forcing-for-fun-and-naked-pictures/
• https://github.com/Ullaakut/cameradar