そのため、IPカメラからのビデオを記録および保存するタスクがありました。 Vesta VC-6206 IRカメラは、それらに基づいた情報システムアーキテクチャを提示せずに購入して取り付けました。 非常に短い期間の動作では、カメラがフリーズする傾向があることが示されており、定期的にカメラを再起動するのが良いでしょう。
nmapは、カメラで使用できるのはtelnet、http、rtspのみであることを示しました。 私は王冠の良いtelnetカメラであるように見えましたが、技術サポートはルートパスワードの提供を拒否しました。
カメラの使用について簡単に
お客様の計画では、これらのカメラをLinuxサーバー上のzoneminderで作成することでしたが、zoneminderはRTSPを十分にサポートしておらず、外部フィルター(1920 * 1080の解像度)を介して共有メモリを使いすぎます。 サポートによると、Linuxでの作業はサポートされていません。 その結果、
cvlcを使用して、わずかに重複する10分の部分でビデオを書き込むことにしました。 すべてが正常で、ビデオが書き込まれ、CPUがまったくロードされていません-ストリームはH264に到着し、トランスコードする必要はありませんが、頻繁にフリーズします。
当局が非表示
AndroidとiPhoneでもユーザーにroot権限は付与されませんが、私の場合は、完全なアクセスが合理的に必要でした。 telnetアクセスは常にオープンであり、サポートがパスワードを言うとは限らないという事実は、あなたを考えさせる。 ファームウェアをダウンロードし、zipを解凍し、内部のcramfsイメージを確認しました。
#ファイルVC-6206_V4.00.R10.20130129-WiFi.bin
VC-6206_V4.00.R10.20130129-WiFi.bin:Zipアーカイブデータ、抽出するには少なくともv2.0
#VC-6206_V4.00.R10.20130129-WiFi.binを解凍します
アーカイブ:VC-6206_V4.00.R10.20130129-WiFi.bin
膨張:インストール
膨張:web-x.cramfs.img
膨張:custom-x.cramfs.img
膨張:user-x.cramfs.img
膨張:logo-x.cramfs.img
膨張:romfs-x.cramfs.img
膨張:InstallDesc
それは本当にcramfsのような味がします:
#ファイルweb-x.cramfs.img
web-x.cramfs.img:u-boot legacy uImage、linux、Linux / ARM、Standalone Program(gzip)、1310656 bytes、Tue Jan 29 12:50:53 2013、Load Address:0x023E0000、Entry Point:0x02520000、Header CRC:0xD2BAE056、データCRC:0x29F4363A
これらのイメージをマウントしようとしましたが、失敗しました:
#mount -o loop -t cramfs romfs-x.cramfs.img / mnt
マウント:間違ったfsタイプ、不正なオプション、不正なスーパーブロック/ dev / loop5、
コードページまたはヘルパープログラムがない、またはその他のエラー
場合によっては、syslogで有用な情報が見つかります-試してください
dmesg | 尾かそこら
ルート@サーバー:〜/ VC-6206_V4.00.R10.20130129-WiFi#dmesg | 尾-3
[168.201350] fuse init(APIバージョン7.13)
[171.240014] eth0:IPv6ルーターが存在しません
[48915.272594] cramfs:間違った魔法
philpirj
habrayuzerと彼の
投稿のおかげで、人生はより良くなり、人生はもっと楽しくなりました:
for i in *.img ; do mkdir -p /mnt/fw/`basename $i .img` ; dd if=$i of=$i.cut bs=8 skip=8 ; mount -o loop -t cramfs $i.cut /mnt/fw/`basename $i .img` ; done
システム自体のイメージ(romfs-x.cramfs.img)では、最初にUPXでパックされたtelnetdに注目しました。 開梱して文字列を作成しましたが、ハードコードされたパスワードが見つからず、興味を失いました。
私はこれを見つけました/ etc / passwd:
root:absxcfbgXtb3o:0:0:root:/:/bin/sh
便利に。 DebianのパッケージのJohn The Ripperは、DES128をたった1800K c / sの速度でソートし、OpenMPとsse2から再構築した後、6300K c / sになりました。 その日の終わりまでに、ジョンは終了し、このファームウェアを備えたすべてのカメラに適合するルートパスワードを取得しました。
成功
もちろん、パスワードが出ました:
ルート@サーバー:/mnt/cramfs/user-x.cramfs# telnet 192.168.1.11
192.168.1.11を試す...
192.168.1.11に接続しました。
エスケープ文字は「^]」です。
LocalHostログイン:root
パスワード:
#cat / proc / cpuinfo
プロセッサー:ARM926EJ-S rev 5(v5l)
BogoMIPS:148.27
特徴:SWPハーフサムFastMult EDSP Java
CPU実装者:0x41
CPUアーキテクチャ:5TEJ
CPUバリアント:0x0
CPUパーツ:0x926
CPUリビジョン:5
キャッシュタイプ:ライトバック
キャッシュクリーン:cp15 c7 ops
キャッシュのロックダウン:フォーマットC
キャッシュ形式:ハーバード
私のサイズ:16384
私が割り当てます:4
I行の長さ:32
設定:128
Dサイズ:8192
D assoc:4
Dラインの長さ:32
Dセット:64
ハードウェア:
リビジョン:3650000
シリアル:0000000000000000
#ps w
PID Uid VSZ Statコマンド
1つのルート3728 S init
2ルートSW [posix_cpu_timer]
3ルートSW [softirq-high / 0]
4ルートSW [softirq-timer / 0]
5ルートソフトウェア[softirq-net-tx /]
6ルートSW [softirq-net-rx /]
7ルートSW [softirq-block / 0]
8ルートSW [softirq-tasklet]
9ルートソフトウェア[softirq-hrtimer]
10ルートSW [softirq-rcu / 0]
11ルートSW <[desched / 0]
12ルートSW <[イベント/ 0]
13ルートSW <[khelper]
14ルートSW <[kthread]
26ルートSW <[kblockd / 0]
27ルートSW <[kseriod]
36ルートSW <[khubd]
93ルートSW [pdflush]
94ルートSW [pdflush]
95ルートソフトウェア<[kswapd0]
96ルートSW <[aio / 0]
97ルートSW <[cifsoplockd]
98ルートSW <[cifsdnotifyd]
715ルートソフトウェア[mtdblockd]
750ルートSW <[kmmcd]
797ルートSWN [jffs2_gcd_mtd7]
822ルート1576 S / sbin / syshelper 25
826ルート3732 S / sbin / telnetd
828ルート2744 S / utils /アップグレード済み
829ルート3516 S / sbin / searchIp
922ルート103628 S / usr / sbin / fvideoencoder -i 2 -s 6 -d 0 -o 1 -h 2 -g 2 -l 81 -t 8 -j 1 -a 3 -b 40
923ルート11596 S / usr / sbin / a1ewtest
938ルート12772 Sウランダエモン
943ルート3728 S / bin / sh /usr/etc/dup_app.sh
945ルート1396 S dupc / usr / bin / Sofia
946ルート372884 S / usr / bin / Sofia
1137ルート3732 S -sh
1139ルート3732 R ps w
#cat / mnt / mtd / Config / Account1
{
「グループ」:[
{
「AuthorityList」:[
シャットダウン
ChannelTitle
RecordConfig
「バックアップ」、
「StorageManager」、
「アカウント」、
「SysInfo」、
「QueryLog」、
「DelLog」、
「SysUpgrade」、
AutoMaintain
GeneralConfig
「EncodeConfig」、
CommConfig
「NetConfig」、
「AlarmConfig」、
「VideoConfig」、
「PtzConfig」、
「PTZControl」、
「DefaultConfig」、
Talk_01
「Monitor_01」、
「Replay_01」
]、
「メモ」:「管理者グループ」、
「名前」:「管理者」
}、
{
「AuthorityList」:[「Monitor_01」、「Replay_01」]、
「メモ」:「ユーザーグループ」、
「名前」:「ユーザー」
}
]、
「ユーザー」:[
{
「AuthorityList」:[
シャットダウン
ChannelTitle
RecordConfig
「バックアップ」、
「StorageManager」、
「アカウント」、
「SysInfo」、
「QueryLog」、
「DelLog」、
「SysUpgrade」、
AutoMaintain
GeneralConfig
「EncodeConfig」、
CommConfig
「NetConfig」、
「AlarmConfig」、
「VideoConfig」、
「PtzConfig」、
「PTZControl」、
「DefaultConfig」、
Talk_01
「Monitor_01」、
「Replay_01」
]、
「グループ」:「管理者」、
「メモ」:「管理者アカウント」、
「名前」:「管理者」、
「パスワード」:「QyZfVmgd」、
「予約済み」:true、
共有可能:true
}、
{
「AuthorityList」:[「Monitor_01」、「Replay_01」]、
「グループ」:「ユーザー」、
「メモ」:「ゲストのアカウント」、
「名前」:「ゲスト」、
「パスワード」:「tlJwpbo6」、
「予約済み」:true、
共有可能:true
}、
{
「AuthorityList」:[「Monitor_01」]、
「グループ」:「ユーザー」、
「メモ」:「デフォルトアカウント」、
「名前」:「デフォルト」、
「パスワード」:「OxhlwSG8」、
「予約済み」:false、
共有可能:false
}
]
}
#
配布
最初は、ファームウェアのバージョンに応じて何かをすばやくグーグルで検索したいと考えていましたが、少なくとも同じファームウェアが
Feng IPカメラで使用されていることがわかりました。 ファームウェアにはさまざまなカメラとwifiサポート用のモジュールがたくさんあるという事実から判断すると、このファームウェアはいくつかのモデルに共通です。 すでにカメラの内部から設定に到達したので、デフォルトのパスワードパスワードハッシュをグーグルで検索し、
3番目のメーカーのフォーラムに
投稿を見つけました。そこでは、同じまたは類似のカメラをWebインターフェースの穴から振ります。 相対パスでは成功しませんでしたが、修正されたようです。 実際、この投稿はメーカーのフォーラムに残されました。
PSこの投稿は、深刻な研究ステータスであると主張していません。その中で、私にとって実用的な問題をどのように解決するかを伝えるだけです。 投稿は
このような投稿としてhabrachitateliにとって面白いと思いました。 復号化されたパスワードは、この
リンクから入手できます。 (毎回、それは初めてのように面白いです。実際、検索するのにそれほど長くはないので、パスワードは簡単です)