Данный сайт является проектом ООО "Амакс". Сегодня: Воскресенье, 10.11.2024, 02:12

Приветствую Вас Гость

Поиск по сайтам
[ Новые сообщения · Участники · Правила форума · RSS · ?
Установка оборудования видеонаблюдения в Москве и Московской области
Поиск по форумам
  • Страница 1 из 1
  • 1
Как закрыть порт на регистраторе DS-7604NI-SE/P
VoivodДата: Пятница, 20.07.2018, 07:11 | Сообщение # 1
Группа: Проверенные
Сообщений: 7
Репутация: 4
Статус: Offline
Есть регистратор DS-7604NI-SE/P, прошивка NVR_(76-SE,V,VP)BL_ML_STD_V3.0.15_150528 с сайта производителя. Проблема заключается в том, что регистратор подключен к технологическому оборудованию, которое слушает 69 порт и при появлении трафика на данному порту переходит в режим обновления ПО (по tftp), т.е. уходит в перезагрузку. К сожалению на данном оборудованию данную функцию отключить нельзя, поэтому вопрос: каким образом можно отключить на видеорегистраторе рассылку широковещательных запросов по данному (69) порту. И можно ли вообще, как-нибудь добраться до файловой системы данного регистратора? Как я понял доступ по telnet и  SSH в нем не поддерживается. Пробовали ставить другие прошивки, как новее, так и старее- эффект нулевой.
 
iTuneDVRДата: Пятница, 20.07.2018, 18:57 | Сообщение # 2
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
Для автоматического аобновления требуется специальный софт от хика, чтобы работал, а в нем есть отличие от штатного TFTP.
Если при поднятом  TFTP сервере в каталоге не лежит файл digicap dav, то ничего не произойдет и да там если подержать включенный TFTP сервер то в логах будут идти запросы на ARECONT и все работает штатно.
Если это технологическое оборудование при появлении трафика на 69 идет в ребут, то это печаль, но вообще-то запрос идет на конкретный адрес 192.0.0.128 и ни на какие другие не должен реагировать.....

Конечно прошивку  можно покопать и накопать и ....
Да файловой системы добраться зачем, для чего, даже если включится Telnet или SSH все равно ничего не будет видно smile


Мотивация, направление, посыл ;)
"Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT.
www.iTuneDVR.ru
 
conrad66Дата: Пятница, 20.07.2018, 22:55 | Сообщение # 3
Группа: Проверенные
Сообщений: 25
Репутация: 0
Статус: Offline
Цитата Voivod ()
каким образом можно отключить на видеорегистраторе рассылку широковещательных запросов по данному (69) порту.
Я бы эту задачу решал средствами маршрутизатора.
Но не всякий роутер это может.
 
iTuneDVRДата: Суббота, 21.07.2018, 20:20 | Сообщение # 4
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
Цитата conrad66 ()
Я бы эту задачу решал средствами маршрутизатора.Но не всякий роутер это может.
Каким образом? wink


Мотивация, направление, посыл ;)
"Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT.
www.iTuneDVR.ru
 
conrad66Дата: Воскресенье, 22.07.2018, 12:23 | Сообщение # 5
Группа: Проверенные
Сообщений: 25
Репутация: 0
Статус: Offline
Цитата iTuneDVR ()
Каким образом?
Ну на сколько я понял все устройства в одной локальной сети.
Сильно не думал над этой проблемой..., но наверное развел бы два проблематичных устройства по разным vlan или проблематичный вывел в vlan и фильтровал порты или multicast на интерфейсах в бридже.
Все это можно сделать на микротике, например.
Ну вообщем пробовать надо....
 
Установка оборудования видеонаблюдения в Москве и Московской области
iTuneDVRДата: Воскресенье, 22.07.2018, 13:38 | Сообщение # 6
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
Условия задачи иные и наверное отличны от представленного варианта попытки решить.
Конечно, странно, что некое железо-софт без какой-либо аутентификации, хоть какой-то так себя ведет в нагруженной и далеко не дружелюбной сети, сразу в обморок(перезагрузку) wink
Если регистратор действительно европа, то можно будет попытаться посмотреть прошивку и поискать места и ....


Мотивация, направление, посыл ;)
"Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT.
www.iTuneDVR.ru
 
VoivodДата: Понедельник, 23.07.2018, 03:27 | Сообщение # 7
Группа: Проверенные
Сообщений: 7
Репутация: 4
Статус: Offline
Прилагаю картинку, в которой видно, что пакет адресован на 255.255.255.255, а не конкретно на какой-то 192.0.0.128. Поэтому получают этот пакет ВСЕ узлы сети в своем сегменте на 69 порт.
Вариант решения задачи с промежуточным маршрутизатором - не вариант. А нас десятки видеорегистраторов и городить такие костыли - позор нации.
Была предпринята попытка изменить прошивку. При этом вот тут есть метод как вскрыть файл digicap.dav

Вскрыть его можно утилитой  hiktools.exe вот так.
hiktools split digicap.dav destinationdir
И запаковать обратно вот так. 
hiktools create header_from_digicap.dav sourcedir

В результате распаковки получаем набор файлов. Вот их список. 
"D:\temp\out\app.tar.gz"
"D:\temp\out\hicore.tar.gz"
"D:\temp\out\hicore.tar.lzma"
"D:\temp\out\log.tar.gz"
"D:\temp\out\ntfs-3g"
"D:\temp\out\player.bin"
"D:\temp\out\versionctr.tar.lzma"
"D:\temp\out\vps_logo.bin"
"D:\temp\out\webs.tar.gz"
"D:\temp\out\new_10.bin"
"D:\temp\out\start.sh"
"D:\temp\out\webs.tar.lzma"
"D:\temp\out\app.tar.lzma"
"D:\temp\out\dvrCmd.tar.gz"
"D:\temp\out\rootfs.img"
"D:\temp\out\uImage"
"D:\temp\out\8107.tar.lzma"

Есть надежда, где-то в этих файлах откопать хотя бы фразу (которая прилетает в бродкаст) "Arecont_Vision - AV2000", пофиксить ее, запаковать все обратно и прошить.  Но я не великий линуксоид, и пока не могу ни смонтировать данные файлы, ни распаковать методом LZMA... возможно эти файлы зашифрованы.  Хотелось бы мнения и поддержки более понимающих коллег. 

Вторая мысль, может быть можно подменить один из этих файлов уже каким-то патченым файлом, или файлом от другого регистратора, в котором может быть включен SSH. Но какой файл нужно подменить, и где его взять, тоже вопрос. 

Я конечно понимаю, что вопрос можно решать со стороны того устройства, которое страдает и уходит в перезагрузку, но производитель утверждает что не может этого сделать. Вот так выглядит их ответ. "В наших контроллерах этот порт "вшит" в TCP/IP стек и изменитьего нельзя." 
Они тоже предлагают как вариант решать проблему маршрутизатором, но это только снизит надежность, увеличит расходы, создаст путаницу среди обслуживающего персонала. В общем, по хорошему решить проблему можно было бы со стороны hikvision. Но как-то мы с ними еще не познакомились, хотя можно было бы. Решить проблему силами hikvision, это лучше чем когда пользователи начинают предпринимать попытки "декомпилить" прошивки. Не хорошо ведь это.
 
VoivodДата: Понедельник, 23.07.2018, 03:34 | Сообщение # 8
Группа: Проверенные
Сообщений: 7
Репутация: 4
Статус: Offline
Повторно прилагаю картинку со снифера.

И кроме этого, внесу еще ясность. "Страдающее" оборудование перезагружается просто потому, что к нему не 69 порт прилетает буква "r"  которая присутствует во фразе "Arecont_Vision - AV2000".

Да файловой системы добраться зачем, для чего, даже если включится Telnet или SSH все равно ничего не будет видно

Может и будет. Может быть имеет смысл в файловой системе в хекс-редакторе найти "Arecont_Vision - AV2000" и пофиксить букву r. 
А может быть можно закрыть исходящий порт 69. Это конечно плохо, потому что потом например при потере пароля, устройство будет невозможно прошить, но это бы решило проблему.
Прикрепления: 1549832.png (139.3 Kb)


Сообщение отредактировал Voivod - Понедельник, 23.07.2018, 03:46
 
iTuneDVRДата: Понедельник, 23.07.2018, 14:17 | Сообщение # 9
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
Приятно видеть проблему, переведенную в  класс задач с предоставлением накопаных материалов.
Инструмент на руках есть, так что же останавливает? wink

Для Хика это не проблема, поэтому им решать её не нужно, тем более в такой не крайней версии ПО, поэтому способ ручной правки вполне и вполне smile
Файл hicore.tar.lzma, все там, только вначале расшифровать, а потом распаковать, пропатчить и в обратном порядке.
Тут варианты: исправление надписи, чтобы не гнало r или вообще не гнало и т.п.
Запросы по широковещательному как часто идут?

При потере пароля восстановить можно будет через TFTP востановление в загрузчике, а там все нормально, поэтому переживат ен нужно.

Либо все-таки вариант знакомства с Hikvision и ... wink


Мотивация, направление, посыл ;)
"Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT.
www.iTuneDVR.ru


Сообщение отредактировал iTuneDVR - Понедельник, 23.07.2018, 14:26
 
VoivodДата: Вторник, 24.07.2018, 02:11 | Сообщение # 10
Группа: Проверенные
Сообщений: 7
Репутация: 4
Статус: Offline
Файл hicore.tar.lzma, все там, только вначале расшифровать,

Спасибо что указали на конкретный файл. Надеюсь копать меньше придется.
а как расшифровать то???

Добавлено (24.07.2018, 05:55)
---------------------------------------------
Прикреплю ссылку интересной статьи, которую еще не осилил, но думаю она очень в тему.
статья

Еще полезная статья


Сообщение отредактировал Voivod - Вторник, 24.07.2018, 08:17
 
conrad66Дата: Вторник, 24.07.2018, 12:45 | Сообщение # 11
Группа: Проверенные
Сообщений: 25
Репутация: 0
Статус: Offline
Цитата Voivod ()
и городить такие костыли - позор нации
т.е закрыть проблему на маршрутизаторе это костыли. а править прошивку для
Цитата Voivod ()
десятки видеорегистраторов
это правильный метод..... biggrin
Цитата Voivod ()
решать проблему маршрутизатором, но это только снизит надежность, увеличит расходы, создаст путаницу среди обслуживающего персонала
А это вы придумали сами ?
Маршрутизатор необслуживаемое устройство, доступное администратору, а если для него это "путаница" то надо таких увольнять. smile


Сообщение отредактировал conrad66 - Вторник, 24.07.2018, 13:02
 
iTuneDVRДата: Вторник, 24.07.2018, 17:50 | Сообщение # 12
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
Цитата conrad66 ()
это правильный метод.....
Для меня это не далекая теория, а близкая и реализуемая практика, поэтому это правильный метод в отсутствии других решений, а как для автора х.з.


Мотивация, направление, посыл ;)
"Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT.
www.iTuneDVR.ru
 
VoivodДата: Среда, 25.07.2018, 02:37 | Сообщение # 13
Группа: Проверенные
Сообщений: 7
Репутация: 4
Статус: Offline
conrad66, Уважаемый!

Площадь Амурской области составляет 361 908 км². Это чуть больше чем площадь территории Германии. 
По этой территории раскиданы объекты.  На некоторые из них можно добраться исключительно в определенные времена года, и если Вам не знакомы дисциплина "теория надежности", то на простом языке можно объяснить это так. Что если Вы сидите в офисе довольный что у Вас есть логин и пароль от маршрутизатора который фильтрует бродкаст на 69 порт, вы мега админ, а маршрутизатор умер, то понимаете да?    
Маршрутизаторов на этих сайтах - нет. Решить проблему с помощью маршрутизатора может любой дурак. 
А вообще, в жизни наступает такой момент, когда ты начинаешь понимать, что выпендриваться по мелочам не хорошо. 
С*ач предлагаю закрыть, потому что это это единственное лирическое отступление.  smile 

Короче хиквижинцы прогрессируют немного с защитой своего софта. 

Вчера разобрал более ранню прошивку, в надежде что внутри файлы там не зашифрованы. И некоторые да, не зашифрованы. Регистратор еще жив.
Короче, потом расскажу... :-) Некогда.
 
iTuneDVRДата: Среда, 25.07.2018, 15:22 | Сообщение # 14
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
Цитата Voivod ()
Вчера разобрал более ранню прошивку, в надежде что внутри файлы там не зашифрованы. И некоторые да, не зашифрованы. Регистратор еще жив.Короче, потом расскажу... :-) Некогда.
Совсем ранние не стоит брать.
Регистратор не убить т.к. загрузчик остается не затронутым и всегда можно восстановить по TFTP

По разбросу объектов более менее понятно и как я писал выше, патч это лучший вариант, пусть не костыль, но пробка, заглушка и т.п., главное чтобы работало и не создавало проблем.


Мотивация, направление, посыл ;)
"Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT.
www.iTuneDVR.ru
 
VoivodДата: Четверг, 26.07.2018, 07:16 | Сообщение # 15
Группа: Проверенные
Сообщений: 7
Репутация: 4
Статус: Offline
Ну что. Есть две новости. Сами понимаете, хорошая и не очень. 

1. Все это время пытался войти в регистратор по telnet.  Механизм такой.  Берем файл rootfs.img распаковываем его с помощью LZMA, монтируем полученный файл  в файловую систему на виртуалке Ubuntu.  После чего нам становится доступна фс. С таким содержимым 
bin
dav
dev
home
lib
mnt
opt
proc
root
sbin
srv
sys
tmp
var
etc

Нам интересно /etc  и для начала файл inittab
#::sysinit:/bin/sh /etc/init.d/rcS
::wait:/bin/mount -t proc proc /proc
::wait:/bin/mount -t sysfs none /sys
::wait:/bin/mount -t ramfs ramfs /home/app
#::respawn:/bin/inetd
::wait:/bin/sh /etc/init.d/rcS
#::wait:-/bin/sh
::respawn:-/bin/sh
::restart:/bin/init

Видим что пятая строка файла закоменчена, а в файле inetd.conf написано 
# <service_name> <sock_type> <proto> <flags> <user> <server_path> <args>
telnet  stream  tcp6 nowait  root    /bin/telnetd    /bin/telnetd
#ftp     stream  tcp nowait  root    /bin/ftpd       /bin/ftpd -i

Ну то есть понимаем что (#::respawn:/bin/inetd) вот это надо бы откомментить. Сказано, сделано. Изменяем файл. Размонтируем файловую систему приментированную ранее. Обратно запаковываем файл образа фс с помощь LZMA, ложим это в папку с расшифрованной прошивкой, запаковываем обратно, получаем digicap.dav, заливаем в железяку. После этой манипуляции при подключении к видеорегистратору по телнету, появляется приглашение ввода логина и пароля.  Естественно пароль не известен. 

Тогда смотрим passwd 
root:x:0:0:root:/root/:/bin/sh
guest:x:500:500:Linux User,,,:/home/guest:/bin/sh
hikvision:x:501:501:Linux User,,,:/home/hikvision:/bin/sh

А также смотрим shadow 
root:$1$JZf9ccKK$gZ4I0rIbsR6Ix1/TDVb7d.:14194:0:99999:7:::
guest:!:15302:0:99999:7:::
hikvision:$1$ChRPh3ur$Yy6bjTErRXoajEZ1jao79/:15302:0:99999:7:::

Радостно удаляем пароль ($1$JZf9ccKK$gZ4I0rIbsR6Ix1/TDVb7d.), все сохраняем, прошиваем. И с пустым паролем нас не пускают. 
Тогда генерим хеш md5 с паролем "123456". Вставляем в shadow. Результата все равно нет. Не пускает. 

root@ubzabtest:~/hikvision/save# openssl passwd -1 $password
Password:
Verifying - Password:
$1$WjzgsHLp$6tbxLpZUqYdGsPdWPnFkh0    (это наш хеш)
root@ubzabtest:~/hikvision/save#

Убил день. Пароль так и не сбросил, так и не внедрил. Решил забить, и пойти по плану "Б".

2. С помощью LZMA распаковываем hicore.tar.lzma, далее растариваем его (tar), и правим файл hicore, а точнее ищем там    "Arecont_Vision - AV2000" и в hex редакторе меняем там букву r на букву l. Картавый такой  Alecont получается.  Запоковываем все в обратную сторону. Шьем. И видим результат в wireshark.  Содержимое пакета изменилось на то что нам нужно. Вроде как вопрос решен. 

Но блин не могу понять, почему мне не удалось сбросить пароль, или вставить свой пароль. И интерес к этому вопросу остается. Может кто-то что-то посоветует по этому вопросу?
Из наблюдений root:$1$JZf9ccKK$gZ4I0rIbsR6Ix1/TDVb7d.:14194:0:99999:7::: видно что после $1$ есть последовательность из 31 символа, а у MD5 вроде как 32 должно быть. 

Кстати, есть еще файл  passwd_nfs
root:yiNNyNaXWRwx.:0:0:root:/root/:/bin/sh
admin:yiVXjXdLpGfug:0:0:admin:/:/bin/sh

Тоже обнулял пароль root, но толку нет.

Добавлено (26.07.2018, 08:04)
---------------------------------------------
Допишу.
Окончательные результаты тестирования показали что видеорегистратор с фразой:
"Arecont_Vision - AV2000" - перезагружает "терпилу" 
"Alecont_Vision - AV2000" - НЕ перезагружает "терпилу" 

Думаю на этом остановимся.  Если есть мысли по сбросу пароля, то пишите.

 
Установка оборудования видеонаблюдения в Москве и Московской области
iTuneDVRДата: Четверг, 26.07.2018, 11:31 | Сообщение # 16
Группа: Проверенные
Сообщений: 3922
Репутация: 141
Статус: Offline
Ну, вот, сложного ничего нет wink
Время проведено с толком, когда есть доступные утилиты о сборке-разборке.

Можно было и вместо первой A засадить 0x00 м вообще бы надписей не было.

Что касается пароля, то немного не понял зачем?
Штатный хеш известен и брутится спокойно, это Unix(MD5) $1$

Пароли в ядре еще есть, а в файловой так.....


Мотивация, направление, посыл ;)
"Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT.
www.iTuneDVR.ru
 
  • Страница 1 из 1
  • 1
Поиск: