数码之家

标题: 简单拆解小值清瞳智能摄像头,尝试破解telnet和ftp成功 [打印本页]

作者: lyqu 时间: 2023-6-17 23:03
标题: 简单拆解小值清瞳智能摄像头,尝试破解telnet和ftp成功
本帖最后由 lyqu 于 2023-6-18 12:31 编辑

一个杂牌智能摄像头,用的app叫清瞳.用nmap扫描了一下,开了telnet, ftp 端口,然后用hydra尝试了常见的账号密码都没能登陆telnet和ftp.万能的坛友有了解的么?
[attach]1852319[/attach]

[attach]1852349[/attach]
[attach]1852359[/attach]

芯片1:ANYKA, AK3918EN080, V200, CDSJ06C22
[attach]1852355[/attach]

芯片2: ULN2803A, 5C2128FH
[attach]1852352[/attach]

[attach]1852353[/attach]
[attach]1852357[/attach]
[attach]1852358[/attach]

实在不行不知通过 ttl 连接能不能进去直接修改里面的telnet密码
[attach]1852350[/attach]

作者: zsljm 时间: 2023-6-18 08:30
智能摄像头

作者: 919333773 时间: 2023-6-18 08:52
破解了有什么功能

作者: lyqu 时间: 2023-6-18 08:55

919333773 发表于 2023-6-18 08:52
破解了有什么功能

可以自动复制视频，不用app。甚至还能自己导出视频流，搞自己的app。

作者: 360安仔 时间: 2023-6-18 09:34
直接用编程器备份固件，然后解包看密码

，直接撬开

作者: soma 时间: 2023-6-18 09:52
上ttl吧，应该能看到系统是什么

作者: kfgc123 时间: 2023-6-18 09:59
电子垃圾，归宿废品回收站

作者: lyqu 时间: 2023-6-18 11:46

soma 发表于 2023-6-18 09:52
上ttl吧，应该能看到系统是什么

上了TTL, 系统就叫AnyKA, 进入了shell, 但修改不了密码, passwd也不能用, 可能是精简的系统.

作者: lyqu 时间: 2023-6-18 12:12
哈哈,终于破解了.
详细步骤:

1. TTL连接usb转接头(我用的是CH340G)
[attach]1852698[/attach]

2. 安装转接头驱动
3. 波特率设置为 11520, 用串口连接控制台.(MobaxTerm, 或putty 等远程工具都可以)
[attach]1852699[/attach]

4. 接通摄像头电源启动
5. 启动后快速连续按任意键,就会停止正常启动,并进入控制台, 输入help可以看到所有可用的命令
[attach]1852700[/attach][attach]1852701[/attach][attach]1852702[/attach]
6.
使用printenv 看看环境变量, 其中几行:
bootargs=console=ttySAK0,115200n8  root=/dev/mtdblock3  rootfstype=squashfs init=/sbin/init mem=64M
init=/sbin/init
setcmd=setenv bootargs console=${console} root=${mtd_root} rootfstype=${rootfstype} init=${init} mem=${memsize} mtdparts=${mtdparts}
可以看到 bootargs中指定了启动参数为init=/sbin/init
[attach]1852705[/attach]

7. 用setenv修改启动参数init=/sbin/init为init=/bin/sh
::setenv  bootargs console=ttySAK0,115200n8  root=/dev/mtdblock3  rootfstype=squashfs init=/bin/sh mem=64M
setenv init /bin/sh
修改完成后使用printenv重新确认一下是否修改成功.

8. 接着使用saveenv来保存环境变量
9. run $bootcmd 继续启动设备 (试过断电重启,但是没能成功进入shell,报错了,所以不建议断电)
10. 这时我们就获得了shell会话

11. 在shell中尝试,重置覆盖root密码为password: (失败, 只读文件系统)
  echo 'root:$1$ouLOV500$R5LCUppbxY40r9uLE8la61:0:0:99999:7:::' > /etc/shadow
12. 用passwd失败,passwd: unknown uid 0 (估计是精简系统的原因)
13. 最后最后最后没办法,恢复参数
setenv init /sbin/init
saveenv
重启,
搜索启动的log,发现
login([root], [wjaipcam], [WEB])
哈哈, 密码直接就明文打印出来了
[attach]1852713[/attach]

telnet连接成功, ftp也连接成功
[attach]1852711[/attach]

[attach]1852731[/attach]

后续：复刻一个无名摄像头的后台服务器：https://www.mydigit.cn/thread-398694-1-1.html

作者: lyqu 时间: 2023-6-18 12:28
参考的这个文章:
物联网硬件安全 uart 渗透
https://kms.app/archives/290/

作者: liang1666666 时间: 2023-6-18 14:11
不错，如果原来的app不能用，硬件还可以调。

作者: lwk28 时间: 2023-6-18 14:36
打10000号叫他们解绑，一个电话的事情

作者: lyqu 时间: 2023-6-18 14:42

liang1666666 发表于 2023-6-18 14:11
不错，如果原来的app不能用，硬件还可以调。

还可以当一台小型共享服务器使用.

作者: 武汉u盘维修 时间: 2023-6-27 19:53

lyqu 发表于 2023-6-18 08:55
可以自动复制视频，不用app。甚至还能自己导出视频流，搞自己的app。

本来就是通用的rtsp协议吧，接大华或海康录像机扫一扫

作者: mimidog 时间: 2023-6-28 01:05
第11步：
root只读mount时，可以:
# mount # 查看root设备对应的块设备
# mount -o remount,rw /dev/xxx(上面的块设备) /
就可以读写root了，也可以把这个块设备同时mount到其他目录中读写，如：
# mkdir -p /mnt/root
# mount /dev/xxx /mnt/root

作者: jpdd521 时间: 2023-6-28 04:31
我买的4G版本也是这个app。能不能启动wifi模式。。

作者: 阳光cced 时间: 2023-6-28 08:27
这个思路好又学到了

作者: 人生之际 时间: 2023-6-28 13:04
山寨摄像头多如牛毛，就不知道他们的APP能坚持多少年

作者: wywa123 时间: 2023-7-13 10:19
uart 中断到 uboot，感谢分享~

作者: 52无线 时间: 2023-7-29 08:00
这个也行呀

作者: fly1008 时间: 2023-7-29 08:26
家里二个杂牌摄像头app都找不到了。有时间试试你的方法

作者: 5460 时间: 2023-7-29 08:53
技术真强大，厉害

作者: xbsl-999 时间: 2023-11-12 15:53
高手啊！！！

作者: aa101zz 时间: 2023-12-8 14:42
我的是4g摄像头，我uart连接后，发现uboot被设置了密码，但是我提取了固件，发现里面有两个用户，普通用户user和管理员root，普通用户的密码我破解出来了，发现telnet也是开启的，但是我是4g摄像头，没办法网线连接，我找到rx- + tx- +,但是不知道是不是网线接口，大神有没有其他办法，进程也是两个一个是apollo 和 noodles

作者: kangdsh 时间: 2023-12-8 20:27
有技术的人眼里没有废物

作者: satku 时间: 2023-12-9 12:24

aa101zz 发表于 2023-12-8 14:42
我的是4g摄像头，我uart连接后，发现uboot被设置了密码，但是我提取了固件，发现里面有两个用户，普通用户u ...

同款在睡觉。

能改支持自己的卡也好！

作者: satku 时间: 2023-12-9 12:25

lwk28 发表于 2023-6-18 14:36
打10000号叫他们解绑，一个电话的事情

然后呢？

作者: dm4213 时间: 2023-12-9 14:56
然后怎么用呢，还是没法用啊

作者: aa101zz 时间: 2023-12-9 17:49

satku 发表于 2023-12-9 12:24
同款在睡觉。

能改支持自己的卡也好！

好像是根据mac和云端校验绑定的imei，如果能修改mac，不知道会是什么结果

作者: 武汉u盘维修 时间: 2023-12-22 05:40

人生之际发表于 2023-6-28 13:04
山寨摄像头多如牛毛，就不知道他们的APP能坚持多少年

rtsp都是标准协议，不依赖于APP

作者: wfm324 时间: 2024-1-22 08:14
不错，学习了

作者: tang0571 时间: 2024-1-22 08:57
这操作够可以，透明转发

作者: hp1605 时间: 2024-1-25 19:32

lyqu 发表于 2023-6-18 12:12
哈哈,终于破解了.
详细步骤:

尝试破解telnet和ftp成功

作者: o535913 时间: 2024-1-26 14:28
本帖最后由 o535913 于 2024-1-26 14:38 编辑

lyqu 发表于 2023-6-18 12:12
哈哈,终于破解了.
详细步骤:

你好，请教 “搜索启动的log” 是搜哪个文件呢，或者用什么命令， dmesg 或 logread 嘛？
遇到几个摄像头，按照你的方法改了 init=/bin/sh , 进入了 shell，能看到 /etc/passwd 里面的密码，但是密码不对。

作者: bingjing0314 时间: 2024-1-30 11:52
厉害，但是看不懂

作者: zaj1970 时间: 2024-1-30 15:36
活到老学到老

作者: xgb8001 时间: 2024-1-30 15:55
这个思路好又学到了

作者: b135 时间: 2024-6-3 12:35

武汉u盘维修发表于 2023-12-22 05:40
rtsp都是标准协议，不依赖于APP

您知道这个得rtsp地址吗？是不是只要是这个芯片的都一样。

作者: cxb888 时间: 2024-8-3 13:57
羡慕技术派会员

作者: xsw23edc 时间: 2025-4-7 10:12
同样是4G摄像头，还是没办法破解，在吃灰

作者: jonhy_love 时间: 2025-8-24 13:20
[root@C01_Q3M02:~]# cat /proc/cpuinfo
system type          : Swan
machine                : Unknown
processor             : 0
cpu model             : Ingenic Xburst V0.0  FPU V0.0
BogoMIPS             : 1391.00
wait instruction       : yes
microsecond timers    : no
tlb_entries          : 32
extra interrupt vector  : yes
hardware watchpoint    : yes, count: 1, address/irw mask: [0x0fff]
isa                   : mips32r1
ASEs implemented       :
shadow register sets : 1
kscratch registers    : 7
core                   : 0
VCED exceptions       : not available
VCEI exceptions       : not available

Hardware             : isvp
Serial                : 00000000 00000000 00000000 00000000

我这边dd 备份固件后解包appfs和rootfs 发现rootfs是纯系统没有其他业务，其他lib和进程定制化在appfs分区。机器上没找到rtsp和onvif的程序。

CPU是 mips32r1 架构，启动了filebrowser 和 ftpd 。没找到合适架构的rtsp和onvif。

至于有人说无法dd写入，可能是编程器有写入保护，可能要自己更换flash刷入就好，可以重新打包替换squashfs。也可以利用升级脚本开机启动程序
FAC_VERSION_CHECK.sh

大佬固件内有onvif和rtsp程序嗎？

作者: wyf5021 时间: 2025-8-25 14:27
居然把密码都破解了，真是高手。

欢迎光临数码之家 (https://www.mydigit.cn/)