雄迈摄像头远程开启telnet研究

年前买了个雄迈摄像头,对家里进行安防监控,

该摄像头其实就是个安装了linux系统的嵌入式设备,到手后,对于其未默认开启telnet服务感到很是不爽,所以打算hack之

最简单的办法其实是ttl连上去后开启,其次就是下载固件后直接更改固件,在启动脚本里增加启动telnetd的语句后刷进去,但是因为是新买的,不想失去保修,而且也想趁机多研究学习下,所以只考虑有没有远程开启的办法

从固件开始下手,先去官网下载该摄像头的最新固件

下载完后本地解压,查看了下busybox的定义列表,确实有telnetd,并且/bin下面也建立了telnetd的别名,也就是说是支持telnet服务的,只是没开启而已

在固件文件中搜索了下telnet的配置,也没找到相关配置,此路不太可行

从官方客服下手,在花言巧语之下,找官方要到了telnet开启工具opentelnet,输入目标设备ip后就能远程开启设备的telnet服务

但是该工具有几个限制

1.只可以临时开启telnet,摄像头重启后就得重新开启

2.该工具使用必须输入一个一次性的超级密码,而这个密码得找客服才能算出来

3.该工具会检测输入ip地址,只能对内网设备使用

超级密码这个比较简单,简单研究下后就破解掉了,内网使用也简单,本地做个端口映射也绕过了

只是暂时对telnet的临时开启没办法,每次重启再去开telnet也麻烦啊

所以开始研究永久开启telnet的办法

永久开启有两种途径

1.就和临时开启telnet一样,系统本身支持永久开启的命令

2.系统没有支持永久开启的命令,但是可以将telnetd加到启动脚本里去,达到系统启动时自动启动telnet服务的目的

先对工具抓包,发现是和摄像头的9530端口进行通信,发送了OpenTelnet:OpenOnce的命令给摄像头

然后telnet登陆上摄像头,使用命令netstat -ap查看是谁在用9530这个端口

# netstat -ap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:34567           0.0.0.0:*               LISTEN      1190/Sofia
tcp        0      0 0.0.0.0:554             0.0.0.0:*               LISTEN      1190/Sofia
tcp        0      0 0.0.0.0:www             0.0.0.0:*               LISTEN      1190/Sofia
tcp        0      0 0.0.0.0:telnet          0.0.0.0:*               LISTEN      1169/telnetd
tcp        0      0 0.0.0.0:23000           0.0.0.0:*               LISTEN      1190/Sofia
tcp        0      0 0.0.0.0:9530            0.0.0.0:*               LISTEN      1165/dvrHelper

dvrHelper

这是个啥玩意呢?

因为摄像头的busybox里命令残缺不全,在里面找东西和分析都麻烦的很,所以还是在本地固件里分析吧。

在固件文件夹里搜索到dvrHelper,发现是dvrbox的链接,然后查找dvrbox中的文本

除了找到OpenTelnet:OpenOnce之外,还找到了OpenTelnet:Forever

顾名思义,难不成这个语句就是永久开启telnet的语句?

将之前的opentelnet工具改改,把发送的命令由OpenOnce改成OpenTelnet:Forever

执行后重启摄像头,telnet服务还是没启动,shit,看来是弄错了什么东西,或者系统根本不支持telnet的永久开启?此路已经不通,掉转方向继续进行研究

开始查找系统的可写目录,仅找到以下三个

/mnt/mtd

/utils

/var/tmp

其中/utils是内存系统,重启后会清空,所以不是此目录

/var/tmp也是临时文件夹,重启会删除,所以也不是此目录

本来试图修改/etc/init.d文件夹下的rcS文件,做到开机启动telnetd

但是该文件是只读,研究许久都没发现修改该文件或者其子过程的办法

/mnt/mtd呢?

研究半天/mnt/mtd,也是毫无头绪,改倒是可以改,但是没法添加到启动项中去

不过也可能是使用文件作为配置文件,启动检测到文件存在时则执行telnetd,否则不执行,这点只能从固件中找答案

仍然是研究dvrbox文件

#strings dvrbox |grep telnet
telnetctrl
LIBDVR : Get telnetctrl Fialed, telnetctrl=1
macGuarder: Open telnetd Forever
killall telnetd
macGuarder: Close telnetd Forever

难道telnetctrl就是该配置参数名?

使用telnetctrl在固件文件夹下全局搜索

发现仅在armbenv中再次提到了该参数

那armbenv是个什么呢?

执行armbenv命令,提示使用-r参数打印环境信息

继续执行armbenv -r

根据结果以及个人的猜测,我认为armbenv是设置系统启动环境变量用的

另外其有一个-s参数,可以设置param,要不试试?

执行以下命令 armbenv -s telnetctrl 1

提示成功

再执行armbenv -r

发现telnetctrl已经存在

重启

直接telnet

成功!

备注

1.armbenv工具应该是读写uboot配置的工具,所以在文件系统里当然找不到对应的配置记录了

2.telnet的账号密码获取其实很简单,把固件解压后,查看romfs-x.cramfs\etc\passwd文件,里面有加密后的密码串,把密码串在搜索引擎里面搜下,就找到了对应的密码

雄迈这款摄像头的账号密码是 root xmhdipc

时间: 2024-10-22 17:21:11

雄迈摄像头远程开启telnet研究的相关文章

华为 CE6810-48S4Q-EI   开启telnet 远程登录

Huawei Versatile Routing Platform Software VRP (R) software, Version 8.80 (CE6810 V100R003C00SPC600) Copyright (C) 2012-2014 Huawei Technologies Co., Ltd. HUAWEI CE6810-48S4Q-EI uptime is 0 day, 8 hours, 22 minutes 1.开启telnet server undo telnet  serv

Vivotek 摄像头远程栈溢出漏洞分析及利用

Vivotek 摄像头远程栈溢出漏洞分析及利用 近日,Vivotek 旗下多款摄像头被曝出远程未授权栈溢出漏洞,攻击者发送特定数据可导致摄像头进程崩溃. 漏洞作者@bashis 放出了可造成摄像头 Crash 的 PoC :https://www.seebug.org/vuldb/ssvid-96866 该漏洞在 Vivotek 的摄像头中广泛存在,按照官方的安全公告,会影响以下版本 CC8160 CC8370-HV CC8371-HV CD8371-HNTV CD8371-HNVF2 FD81

新5G时代,新系列产品,雄迈发布4G摄像机模组

雄迈4G模组已强势推出,受到众多客户青睐和好评.雄迈坚持持续为客户创造价值,积极响应客户需求,在4G模组国内版的基础上,推出了海外版本的4G模组,满足国内外客户需求. 一.国内海外模组总览 海外版本SIM卡支持制式和频段列表:制式频段支持列表国内版本标配电信4G Nano SIM卡,本卡为定制专用4G卡,已与模组绑定,不可拆卸挪作他用. 二.增值服务:流量分成机制 雄迈针对4G模组(国内版)制定了流量费用分成机制,终端客户购买流量费用与经销商分成,实现利益共享.而且经销商还可以自定义流量套餐价格

雄迈H.265 DVR程序功能升级说明

雄迈研发人员经过对程序的升级优化,在原有功能的基础上,增加了人脸检测功能. USB共享网络功能.本地音量输出调节功能,并且优化了密码安全问题.录像回放界面.一.增加人脸检测功能雄迈XVI智能模组搭配雄迈XVI智能后端主板,实现人脸检测功能,检测速度快.检测率高,另外还支持人脸录像快速查询功能,通过检测到的人脸快速搜索到目标人物,方便快捷更加实用.1.人脸检测启用操作界面鼠标右键[主菜单]-[报警功能]-[人脸检测]-勾选[启用],点击确定.人脸检测智能DVR主板需配合XVI智能前端模组才能使用.

杭州雄迈信息扎根国家级经济开发区,坚持技术深耕,加速行业发展

近日,央视1套<新闻联播>栏目推出报道<杭州:创新"三服务"提升基层获得感>,聚焦杭州"三服务活动",报道以富阳经济技术开发区下辖的东洲工业园区三服务团队时,提到了园区内开发区招引的企业--杭州雄迈信息技术有限公司(下文简称"雄迈公司"),雄迈公司的员工班车服务与开发区优化公交线路服务相结合,解决了职工上下班最后一公里问题,提高了职工交通便利性,缓解企业人才流失.雄迈公司总部位于富阳经济技术开发区银湖科技城,其中一个生产基

专注安防监控,雄迈消费类产品全线标配AI功能,让家用类监控更智能

雄迈专注于使家庭监控更安全,更放心,更智能.雄迈消费类模组现已全线标配智能功能,为不同类型的模组匹配上合适的智能功能.雄迈AI智能WiFi枪机模组,综合了传统枪机和无线产品的优点,结合更智能的手机APP--超级看看,可以实现人形检测.周界警戒.双光声光警戒等多种功能. 1.智能功能:人型检测 支持开启全屏显示踪迹,框出画面中的人型物体,框可以跟随人形物体移动,实时监控目标人物. 2.智能功能:周界警戒 区别于以往的基于移动侦测策略的周界警戒,雄迈AI智能WiFi枪机模组的周界警戒是基于更为智能和

华为交换机S5700-52C-EI开启telnet服务

华为S5700交换机初始化和配置TELNET远程登录方法: 1,交换机开启Telnet服务 <Quidway>system-view       #进入系统视图 [Quidway]telnet server ?                    #查看有enable还是disable选项,选择对应的开启方式.[Quidway]telnet server enable                #enable选项开启Telnet服务 (普通系列一般为这个)[Quidway]undo te

开发板怎样开启telnet服务

linux开发板开启telnet服务须要一下几个条件: 1.文件系统支持telnet busybox默认是把telnet和telnetd功能编进去了的,所以这一步一般都省了. 2.挂载devpts 挂载这个文件系统,须要在dev文件夹下建立pts文件夹,并将它挂载成devpts类型. mkdir /dev/pts mount -t devpts devpts /dev/pts 这两步能够在系统启动前写到运行脚本里,/etc/init.d/rcS 经过多方实验,得出下面结论: a.挂载dev下的p

华为S5700交换机开启telnet登录

近来有部分用户说S5700开启telnet不能登录问题,特整理出以下步骤和命令. 提示:华为交换机配置时,输入命令前几个字母,按TAB可以自动补全命令,比如在系统视图下输入sh后按下TAB会自动把命令补充成show. 首先通过COM口登录交换机: 1. 执行命令system-view 进入系统视图. 2. 执行命令telnet server enable ,使能telnet服务. 3. 执行命令aaa,进入AAA视图. 4. 执行命令 local-user <用户名> password cip