视频协议 rtsp 默认弱口令 漏洞

最新推荐文章于 2025-10-14 10:09:42 发布
转载 最新推荐文章于 2025-10-14 10:09:42 发布 · 8.2k 阅读 · 9 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/whatday/article/details/108347866

本文详细介绍了RTSP协议在摄像头中的应用及存在的安全隐患,演示了如何利用VLC播放器验证漏洞,并提供了修改默认口令的修复建议。

一、漏洞介绍

RTSP(Real Time Streaming Protocol),实时流传输协议,是TCP/IP协议体系中的一个应用层协议,该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据,被广泛用于视频直播领域,为方便用户远程监控摄像头内容,许多摄像头厂商会在摄像头或NVR中开启RTSP服务器。

二、漏洞危害

攻击者可通过VLC等视频播放软件打开rtsp地址进行摄像头画面的实时查看。

三、漏洞验证

这里以VLC media player为例进行漏洞验证。
单击“媒体”选项,选择“打开网络串流”。
在这里插入图片描述
在弹出的窗口中输入网络URL:
rtsp://admin:888888@192.168.1.1:554/cam/realmonitor?channel=2&subtype=1
在这里插入图片描述

说明:
RTSP地址:rtsp://username:password@ip:port/cam/realmonitor?channel=1&subtype=0
username: 用户名。例如admin。
password: 密码。例如admin。
ip: 为设备IP。例如 192.168.1.1。
port: 端口号默认为554,若为默认可不填写。
channel: 通道号,起始为1。例如通道2,则为channel=2。
subtype: 码流类型,主码流为0(即subtype=0),辅码流为1(即subtype=1)。
例如,请求某设备的通道2的辅码流,URL如下
rtsp://admin:admin@192.168.1.1:554/cam/realmonitor?channel=2&subtype=1

单机“播放”按钮,等待一会:
在这里插入图片描述

四、漏洞修复

修改默认口令。

参考链接:
https://blog.youkuaiyun.com/yuanwenmao/article/details/79656906
https://www.cnblogs.com/stlong/p/9723814.html
https://www.jiangyu.org/port-and-rtsp-address-of-several-ipcams/
https://wenku.baidu.com/view/c6f66d3830126edb6f1aff00bed5b9f3f80f7259.html

 

 

whatday
关注
RTSP未授权访问漏洞详解与防护手段
不忘初心,护天下安全!
08-25 3870
RTSP (Real Time Streaming Protocol),实时流协议,是一种应用层协议,专为流媒体使用。RTSP(Real Time Streaming Protocol),实时流传输协议,是TCP/IP协议体系中的一个应用层协议,该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据,被广泛用于视频直播领域。为方便用户远程监控摄像头内容,许多摄像头厂商会在摄像头或 NVR 中开启 RTSP 服务器,用户可通过 VLC 等视频播放软件打开 rtsp 地址进行摄像头画面的实时查看。...
Hydra(九头蛇)弱口令
墨痕诉清风的博客
01-11 9673
一个非常快速的网络登录破解程序,支持许多不同的服务。查看功能集和服务覆盖页面-包括与ncrack和medusa的速度比较 当前版本:8.6最后更新2017-07-21(c)vanHauser/THC的2001-2017@thc.org;许多模块都是由David(dot)Maciejak @ gmail(dot)com编写的BFG代码由Jan Dlabal提供在AGPLv3下许可(见LICENSE文件)请不要在军事或秘密服务机构使用,或为非法目的。
RTSP默认口令/弱口令漏洞
热门推荐
limb0的博客
11-04 1万+
RTSP 默认口令/弱口令漏洞 一、漏洞介绍 RTSP(Real Time Streaming Protocol),实时流传输协议,是TCP/IP协议体系中的一个应用层协议,该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据,被广泛用于视频直播领域,为方便用户远程监控摄像头内容,许多摄像头厂商会在摄像头或NVR中开启RTSP服务器。 二、漏洞危害 攻击者可通过VLC等视频播放软件打开r...
深入解析流媒体核心技术协议:RTP、RTCP与RTSP实战指南
最新发布
weixin_42573757的博客
10-14 902
流媒体技术通过边传输边播放的方式,实现音视频数据的实时交付,区别于传统文件下载需等待完整加载。其核心在于连续性、实时性与低延迟,广泛应用于直播、视频会议等场景。在传输过程中,流媒体对网络环境高度敏感,尤其受延迟、抖动和丢包率影响显著。为保障服务质量,系统通常采用UDP为主传输协议,并结合RTP/RTCP进行时间同步与质量反馈。graph LRA[音视频采集] --> B[RTP封装]B --> C[UDP/IP传输]C --> D[RTCP反馈控制]
服务器弱口令漏洞修复策略
m0_63004677的博客
03-13 6396
服务器弱口令漏洞修复
RTSP未授权访问
1stPeak's Blog
09-09 2742
RTSP视频传输平台EasyNVR安全扫描出现3DES漏洞修复方案
EasyNVR官方技术博客
06-22 661
EasyNVR视频平台支持开启https,https和http的区别之前介绍过,如果不知道如何开启,可以参考本文:EasyNVR硬件设备如何开启使用Https。在某个客户现场,客户开启了 https 接口访问程序,然后使用安全厂商提供的漏洞扫描工具,扫描对应的端口,出现了以下问题: 可以看到EasyNVR的安全扫描出现了3DES 漏洞。 https 由 http 协议和 tls 协议组成,其中 tls 在数据传递后,会使用对称密钥算法进行加密传输数据。使用的对称密钥算法,随着时间的过度,部分密钥算法
RTSP协议讲解及漏洞挖掘
李同學的安全圈
02-19 1053
实时流传输协议(Real Time Streaming Protocol,RTSP),RFC2326(中文版),是TCP/IP协议体系中的一个应用层协议,由哥伦比亚大学、网景和RealNetworks公司提交的IETF RFC标准。该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据。RTSP在体系结构上位于RTP和RTCP之上,它使用TCP或UDP完成数据传输。
未授权访问漏洞合集
weixin_57682301的博客
08-03 788
今天我们来开一个新的坑,未授权访问漏洞,以后我会慢慢更新,大家可以持续跟进一下,谢谢大家!
未授权访问漏洞系列详解⑧!
muyuchen110的博客
08-05 838
未授权访问漏洞系列详解⑧!
常见端口漏洞利用
山己见的博客
09-09 2416
常见端口漏洞利用 端口号 漏洞名称 21 FTP弱密码 22 SSH弱密码 23 telnet弱密码 25 邮件伪造、vrfy/expn查询邮件用户信息、可使用smtp-user-enum工具来自动跑 53 允许区域传送、dns劫持、缓存投毒、欺骗以及各种基于dns隧道的远控 69 尝试下载目标及其的各类重要配置文件 80-89、443、8440-8450、8080-8089 应用服务器端口可尝试经典的topn、vpn、owa、webmail、目标oa、Java控制台
可用于练习摄像头RTSP视频流未授权访问
02-23
可用于练习摄像头RTSP视频流未授权访问
大华科技摄像头产品非授权访问漏洞技术分析与防护方案
02-10
大华科技摄像头产品非授权访问漏洞技术分析与防护方案
网络协议端口(信息安全工程师典藏版)
RZer的博客
08-05 3437
计算机“端口”是英文port的译义,可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口,如:USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和I/O(基础输入输出)缓冲区。在网络技术中,端口(Port)有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口,如RJ-45端口、Serial端口等。
rtsp缓冲区漏洞攻击模拟
qq_30994477的博客
09-24 532
target = "192.168.20.101"#sys.argv[1],攻击设备的IP地址。poc_number = "4"#sys.argv[3],攻击内存块号?if check_port_on(target):#检验访问地址是否存在。suffix = "000100"#sys.argv[2],视频通道号。验证NVR是否存在rtsp缓冲区漏洞问题,可采用如下脚本,特此记录;#检验访问地址及端口是否存在。#检验目标设备是否存在内存漏洞问题。
未授权访问漏洞
l258282的博客
12-30 577
步骤⼀:使⽤以下语句在Fofa上进⾏资产收集....或开启Vulhub靶场进⾏操作。步骤⼀:使⽤以下语句在Fofa与Google上进⾏资产收集....步骤⼆:可通过MSF中的模块进⾏检测与漏洞利⽤。步骤⼀:使⽤以下语句在Fofa上进⾏资产收集。步骤⼀:使⽤以下语句在Fofa上进⾏资产收集。步骤⼆:使⽤Telnet程序直接进⾏链接测试。步骤⼀:使⽤以下语句在Fofa上进⾏资产收集。步骤⼀:使⽤以下语句在Fofa上进⾏资产收集。步骤⼆:执⾏未授权访问测试命令。步骤⼆:执⾏命令进⾏漏洞复现。
RTSP未授权访问漏洞
qq_68186313的博客
08-06 543
RTSP(Real Time Streaming Protocol),实时流传输协议,是TCP/IP协议体系中的一个应用层协议,该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据,被广泛用于视频直播领域,为方便用户远程监控摄像头内容,许多摄像头厂商会在摄像头或VR中开启RTSP服务器。攻击者可通过VLC等视频播放软件打开rtsp地址进行摄像头画面的实时查看。1、使用以下语句在Fofa上进行资产收集。
RTSP/Onvif安防视频监控平台EasyNVR漏洞扫描及解决方法
EasyNVR官方技术博客
01-16 1186
视频监控平台EasyNVR基于RTSP/Onvif协议,支持轻量化接入大量前端监控设备,并实现对现场的实时监控。
【坑】海康摄像头密码rtsp视频流因为含特殊字符,导致授权失败(method DESCRIBE failed: 401 Unauthorized)(authorization failed)URL编码
Dontla的博客
12-08 5719
但是,在这个过程中,我们遇到了一个问题:提示未授权。接下来我们将分析一个在海康摄像头RTSP视频流中遇到的特定问题,该问题涉及到使用含有特殊字符(在本例中为加号’+')的密码,导致无法成功进行授权。在某个环节,这个特殊字符没有被正确地编码,所以当它到达RTSP服务器时,服务器并没有收到正常的加号“然而,在处理过程中,加号可能被错误地解释为一个空格(在URL编码中,空格可以被编码为。”,在某个环节,没有使用正确的编码,导致rtsp服务器收到的不是正常的加号“在本例中,密码中的加号没有被正确地编码。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值