数码之家

 找回密码
 立即注册

QQ登录

只需一步,快速开始

微信登录

微信扫一扫,快速登录

搜索
查看: 1724|回复: 23

[影音] 探讨萤石云摄像头验证机制

[复制链接]
发表于 2022-10-29 11:58:20 | 显示全部楼层 |阅读模式
闲时就喜欢研究破解之类的玩意,从朋友那里弄来萤石云C6HC摄像头,朋友说以前手机号没用了,摄像头也没法用了,说扔掉,我捡来拆开.萤石云也就是认序列号.这个原理大家也都知道,关键是怎么去改这个序列号难住了.拆开主板 主控室HK-2015-6 ,从串口打印 Uoot引导 知道原来就是 海思HI3518V200芯片 存储芯片是25Q128 也就是16MB 接上TTL串口线,按下能获取超级管理权限 无需密码,但是只有一些固定命令可以使用,不是linux命令,上编程器读取25Q128里面的数据 ,用winhex查找序列号 与验证码,序列号一共73出 ,验证码一处 按下ctrl+H 全部替换序列号,上回主板,发现萤石云服务注册不了,看来没有想象中的简单.经过无数次的测试均失败(不是最新的固件应该可以通过修改序列号成功,也有人试过,但是萤石云更新了验证机制,导致之前固件修改的现在也用不了), 数据分析 16MB文件大致分为 Uboot引导文件 kerner linux内核文件 squashfs 文件系统存放音频文件 squashfs 文件系统 存放系统根目录文件 jffs2文件系统存放加密验证文件 大致是这样 我也不知道分析的对不对 通过linux binwalk -e解压缩后就是这样 主要就是最后末尾的jffs2文件系统 偏移地址是(hex)E6693C到结尾(大概1.6MB) 在linux下挂载jffs2 文件系统后 可以看到里面有 dev_id , dev_masterkey ,ipc_db ,netOsd.bin devlog(文件夹),devlog 顾名思义是存放日志文件的,netOsd.bin是一个416字节的空文件,无意思.其中dev_id 应该就是序号与dev_masterkey经过多重加密所形成的(查阅萤石云智能门锁),而ipc_db 文件是存放的配置文件
其中有wifi配置信息,热点配置名称以及密码都是明文,序列号,验证码,等.前面说的到修改序列号复位后,系统初始化会把序列号写入ipc_db文件中.所有通过修改此文件也不行,萤石云验证机制验证的就是  dev_id ,dev_masterkey ,这两个文件,这两个文件我通过各种加密方式 正反向验证都是失败 ,尝试删除这些文件,然后系统会默认的给个序列号,然而这个序列号也是没办法过验证的.看看有没有人参与进来探讨一下.

删除jffs2里面的内容后就是自动生成如下文件

删除jffs文件后自动生成的

删除jffs文件后自动生成的

jffs2里面的原文件如下
2.png

hk2015-2.part1.rar

5 MB, 下载次数: 1, 下载积分: 家元 -55

原文件

hk2015-2.part2.rar

5 MB, 下载次数: 0, 下载积分: 家元 -55

原文件

hk2015-2.part3.rar

253.97 KB, 下载次数: 0, 下载积分: 家元 -55

原文件

E6693C.zip

390.34 KB, 下载次数: 0, 下载积分: 家元 -55

jffs2文件系统

jffs2.rar

3.08 KB, 下载次数: 0, 下载积分: 家元 -55

jffs2解压后

打赏

参与人数 2家元 +130 收起 理由
IlovePLC + 30 高手,支持破解
家睦 + 100

查看全部打赏

发表于 2022-10-29 16:18:34 | 显示全部楼层
估计悬,这个是人家的盈利方式,要不然市场上就会出现大量的山寨萤石摄像头了。加密方法是他们的核心,个人见解应该非常难破解
回复 支持 2 反对 0

使用道具 举报

发表于 2022-10-29 18:57:50 来自手机浏览器 | 显示全部楼层
看到HK,我就想到了海康威视的400密码重置助手,试试呗
回复 支持 1 反对 0

使用道具 举报

发表于 2022-10-30 20:47:05 | 显示全部楼层
不连接云端,能直接rtsp取视频流也行啊
要是能干掉云端,当局域网版的使用还更安全
回复 支持 反对

使用道具 举报

发表于 2022-10-31 00:10:33 | 显示全部楼层
你这搞完,公司肯定要封杀,否则谁还敢买?老美更不敢了
回复 支持 反对

使用道具 举报

发表于 2022-10-31 00:34:12 | 显示全部楼层
还能这么搞的吗
回复 支持 反对

使用道具 举报

发表于 2022-10-31 17:12:03 | 显示全部楼层
基本上,没有内部人士泄密的话是搞不定的把
回复 支持 1 反对 0

使用道具 举报

发表于 2022-11-1 09:36:45 | 显示全部楼层
可以微信加海康威视的公众号,把摄像头解绑就可以重新绑手机了
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-11-1 21:27:38 | 显示全部楼层
jyobin 发表于 2022-10-31 17:12
基本上,没有内部人士泄密的话是搞不定的把

网上多的去了,萤石云解绑 35块钱一个 ,看图片他们应该也是把设备拆了 通过修改固件办到的.
前几年 乔安售后给了我一个写ID的软件 和一个二进制ID号,大小只有32字节 至今未解
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-11-1 21:29:15 | 显示全部楼层
jyobin 发表于 2022-10-31 17:12
基本上,没有内部人士泄密的话是搞不定的把

网上多的去了,萤石云解绑 35块钱一个 ,看图片他们应该也是把设备拆了 通过修改固件办到的.
前几年 乔安售后给了我一个写ID的软件 和一个二进制ID号,大小只有32字节 至今未解
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-11-1 21:33:05 | 显示全部楼层
lmaq 发表于 2022-10-30 20:47
不连接云端,能直接rtsp取视频流也行啊
要是能干掉云端,当局域网版的使用还更安全 ...

是的 局域网可以用,仅少部分功能缺失而已
回复 支持 反对

使用道具 举报

发表于 2022-11-2 08:49:03 | 显示全部楼层
谢谢分享 学习一下
回复 支持 反对

使用道具 举报

发表于 2022-11-3 09:38:45 | 显示全部楼层
试试从网口抓包看看跟服务器是怎么验证的?
回复 支持 反对

使用道具 举报

发表于 2022-11-3 16:46:22 | 显示全部楼层
应该是还验证了其他信息。但是你离真相不远了。祝你成功。
回复 支持 反对

使用道具 举报

发表于 2022-11-5 16:46:01 来自手机浏览器 | 显示全部楼层
是红色世界杯的那一款吗?我有两个升级失败的,想讨个固件耍耍
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-11-6 22:58:49 | 显示全部楼层
fang5880286 发表于 2022-11-5 16:46
是红色世界杯的那一款吗?我有两个升级失败的,想讨个固件耍耍

不是 是C6HC的 升级包其实就是升级的内核 与根文件系统. 有能力的话可以试着合成数据 看看能不能正常启动
回复 支持 反对

使用道具 举报

 楼主| 发表于 2022-11-6 23:02:52 | 显示全部楼层
kukusyaoran 发表于 2022-11-3 09:38
试试从网口抓包看看跟服务器是怎么验证的?

抓包 一直是我的难点.没有一款好的软件  抓包 我需要电脑开热点 才能正确抓包 我之前破解机顶盒试过抓包. URL重定向 也是困难,没有适合的软件 我直接买了个带URL重定向的路由器,有兴趣可以略微指点一二 如何抓包
回复 支持 反对

使用道具 举报

发表于 2022-11-7 11:36:06 | 显示全部楼层
对应序列号和对应验证可能有算法关系,并且服务器验证合法性,所以固件要修改有效的序列号和验证才能通过。至于验证码来源很多渠道,不再描述了,我猜一定级别渠道可以生成新的合法序列号。比如天猫
回复 支持 反对

使用道具 举报

发表于 2022-11-14 09:58:56 | 显示全部楼层
我也有一个一样的摄像头,别人绑定的 ,有办法在局域网用吗?不用联外网
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 微信登录

本版积分规则

活动

APP|手机版|小黑屋|关于我们|联系我们|法律条款|数码之家

闽公网安备35020502000485号

闽ICP备2021002735号-2

GMT+8, 2022-12-1 12:21 , Processed in 0.078001 second(s), 13 queries , Redis On.

Powered by Discuz!

© 2006-2021, MyDigit.cn

快速回复 返回顶部 返回列表