简单拆解小值清瞳智能摄像头,尝试破解telnet和ftp成功

lyqu · 发表于 2023-6-17 23:03:56

本帖最后由 lyqu 于 2023-6-18 12:31 编辑

一个杂牌智能摄像头,用的app叫清瞳.用nmap扫描了一下,开了telnet, ftp 端口,然后用hydra尝试了常见的账号密码都没能登陆telnet和ftp.万能的坛友有了解的么?

芯片1:ANYKA, AK3918EN080, V200, CDSJ06C22

芯片2: ULN2803A, 5C2128FH

实在不行不知通过 ttl 连接能不能进去直接修改里面的telnet密码

lyqu · 发表于 2023-6-18 12:12:36

哈哈,终于破解了.
详细步骤:

1. TTL连接usb转接头(我用的是CH340G)

2. 安装转接头驱动
3. 波特率设置为 11520, 用串口连接控制台.(MobaxTerm, 或putty 等远程工具都可以)

4. 接通摄像头电源启动
5. 启动后快速连续按任意键,就会停止正常启动,并进入控制台, 输入help可以看到所有可用的命令

6.
使用printenv 看看环境变量, 其中几行:
bootargs=console=ttySAK0,115200n8  root=/dev/mtdblock3  rootfstype=squashfs init=/sbin/init mem=64M
init=/sbin/init
setcmd=setenv bootargs console=${console} root=${mtd_root} rootfstype=${rootfstype} init=${init} mem=${memsize} mtdparts=${mtdparts}
可以看到 bootargs中指定了启动参数为init=/sbin/init

7. 用setenv修改启动参数init=/sbin/init为init=/bin/sh
::setenv  bootargs console=ttySAK0,115200n8  root=/dev/mtdblock3  rootfstype=squashfs init=/bin/sh mem=64M
setenv init /bin/sh
修改完成后使用printenv重新确认一下是否修改成功.

8. 接着使用saveenv来保存环境变量
9. run $bootcmd 继续启动设备 (试过断电重启,但是没能成功进入shell,报错了,所以不建议断电)
10. 这时我们就获得了shell会话

11. 在shell中尝试,重置覆盖root密码为password: (失败, 只读文件系统)
  echo 'root:$1$ouLOV500$R5LCUppbxY40r9uLE8la61:0:0:99999:7:::' > /etc/shadow
12. 用passwd失败,passwd: unknown uid 0 (估计是精简系统的原因)
13. 最后最后最后没办法,恢复参数
setenv init /sbin/init
saveenv
重启,
搜索启动的log,发现
login([root], [wjaipcam], [WEB])
哈哈, 密码直接就明文打印出来了

telnet连接成功, ftp也连接成功

后续：复刻一个无名摄像头的后台服务器：https://www.mydigit.cn/thread-398694-1-1.html

xsw23edc · 发表于 2025-4-7 10:12:33

同样是4G摄像头，还是没办法破解，在吃灰

cxb888 · 发表于 2024-8-3 13:57:14

羡慕技术派会员

b135 · 发表于 2024-6-3 12:35:23

武汉u盘维修发表于 2023-12-22 05:40
rtsp都是标准协议，不依赖于APP

您知道这个得rtsp地址吗？是不是只要是这个芯片的都一样。

xgb8001 · 发表于 2024-1-30 15:55:16

这个思路好又学到了

zaj1970 · 发表于 2024-1-30 15:36:59

活到老学到老

bingjing0314 · 发表于 2024-1-30 11:52:19

厉害，但是看不懂

o535913 · 发表于 2024-1-26 14:28:21

本帖最后由 o535913 于 2024-1-26 14:38 编辑

lyqu 发表于 2023-6-18 12:12
哈哈,终于破解了.
详细步骤:

你好，请教 “搜索启动的log” 是搜哪个文件呢，或者用什么命令， dmesg 或 logread 嘛？
遇到几个摄像头，按照你的方法改了 init=/bin/sh , 进入了 shell，能看到 /etc/passwd 里面的密码，但是密码不对。

hp1605 · 发表于 2024-1-25 19:32:52

lyqu 发表于 2023-6-18 12:12
哈哈,终于破解了.
详细步骤:

尝试破解telnet和ftp成功

tang0571 · 发表于 2024-1-22 08:57:10

这操作够可以，透明转发

wfm324 · 发表于 2024-1-22 08:14:07

不错，学习了

武汉u盘维修 · 发表于 2023-12-22 05:40:06

人生之际发表于 2023-6-28 13:04
山寨摄像头多如牛毛，就不知道他们的APP能坚持多少年

rtsp都是标准协议，不依赖于APP

aa101zz · 发表于 2023-12-9 17:49:50

satku 发表于 2023-12-9 12:24
同款在睡觉。

能改支持自己的卡也好！

好像是根据mac和云端校验绑定的imei，如果能修改mac，不知道会是什么结果

dm4213 · 发表于 2023-12-9 14:56:28

然后怎么用呢，还是没法用啊

satku · 发表于 2023-12-9 12:25:24

lwk28 发表于 2023-6-18 14:36
打10000号叫他们解绑，一个电话的事情

然后呢？

satku · 发表于 2023-12-9 12:24:36

aa101zz 发表于 2023-12-8 14:42
我的是4g摄像头，我uart连接后，发现uboot被设置了密码，但是我提取了固件，发现里面有两个用户，普通用户u ...

同款在睡觉。

能改支持自己的卡也好！

kangdsh · 发表于 2023-12-8 20:27:50

有技术的人眼里没有废物

aa101zz · 发表于 2023-12-8 14:42:04

我的是4g摄像头，我uart连接后，发现uboot被设置了密码，但是我提取了固件，发现里面有两个用户，普通用户user和管理员root，普通用户的密码我破解出来了，发现telnet也是开启的，但是我是4g摄像头，没办法网线连接，我找到rx- + tx- +,但是不知道是不是网线接口，大神有没有其他办法，进程也是两个一个是apollo 和 noodles