概述

2月27日，因为江苏省公安厅的通报文件在网上公开引而发了海康威视黑天鹅事件，这也将长期一来的弱口令问题和去年的远程代码执行问题再次炒热了。而同样也为安防行业龙头的大华设备的弱口令态势是个什么样？下面将会回答你。

关于扫描识别

大华的大量监控设备（包括大量别的厂商OEM自大华的设备）DVR/DVS/NVR/IP Cameras均支持一种私有协议，用来传输实时视频流和视屏回放文件，包括云台控制等命令等，该协议默认使用37777端口。具体细节可参考官方提供的部分SDK。如下图为实现的基于nmap的弱口令探测脚本和设备识别脚本。

扫描情况简介

我们3月5日首次针对中国的3.3亿ip进行了存活性和弱口令探测，根据特征发现中国共有21万左右的大华DVR/DVS暴露在公网，其中使用admin/admin默认口令的高达17万，弱口令的比率也达到了吓人的80%。在3月11日我们完成了大华监控设备在全网的存活探测性和弱口令探测，发现1007000左右的符合大华私有协议特征的数据，其中弱口令登录成功的高达66万，弱口令的比率也达到了66%。如下图为识别插件输出的全部结果。

大华设备中国各城市弱口令TOP30（2015/3/5）

Guangzhou 43000
Nanjing 18260
Fuzhou 17283
Hebei 8125
Unknown 7234
Chongqing 5868
Jinan 5302
Beijing 4368
Hangzhou 4142
Shenyang 3593
Chengdu 3387
Hefei 3249
Zhengzhou 3117
Shanghai 3110
Changsha 3049
Wuhan 2573
Ningbo 2531
Changchun 2349
Jinhua 2212
Tianjin 2091
Wenzhou 2016
Nanchang 1828
Harbin 1742
Taizhou 1635
Shaoxing 1597
Nanning 1570
Baotou 1545
Kunming 1400
Jiaxing 1318
Taiyuan 1240

Hack For Fun

找个城市我们可以进行物理入侵了!

2015年4月1日更新内容：

我们在3月27日时又再次启动了针对大华监控设备的全网第二次，对监控弱口令和设备串号探测，基本上确定了大华设备接入互联网的数量在100万上下，两次数据误差在1万左右，通过协议探测协议上使用弱口令的数量在66万上下，这也就意味着足不出户就可以观看到全球各地的摄像头直播实况。根据IP和对应国家，我们也使用ECharts绘制了简单的大华设备数量分布地图，比较直观的帮助我们了解设备分布情况。

大华设备公网全球分布数量TOP50（2015/3/28）

中国 172364
巴西 142463
美国 74453
波兰 56277 
土耳其 55299
西班牙 40674
印度 35611
泰国 31529
法国 30147 
未知 27522
墨西哥 26059
英国 24580 
俄罗斯 23137
意大利 21253
罗马尼亚 18634
乌克兰 17936 
韩国 15816
哥伦比亚 13966
阿根廷 13119
越南 11760 
马来西亚 9417
澳大利亚 8311
智利 8164
加拿大 6539
葡萄牙 6412 
荷兰 6189
伊朗 5818
塞尔维亚 5569 
匈牙利 5192
以色列 4281
保加利亚 4202
比利时 4109 
委内瑞拉 3942
突尼斯 3693
香港 3686
哥斯达黎加 3375 
台湾 3321
希腊 3233
爱尔兰 3209
菲律宾 3170 
南非 3160
德国 2714
秘鲁 2688
埃及 2649 
捷克共和国 2258
立陶宛 1987
新加坡 1903
玻利维亚 1863 
摩洛哥 1835
斯洛伐克 1737