Как закрыть порт на регистраторе DS-7604NI-SE/P
|
|
Voivod | Дата: Пятница, 20.07.2018, 07:11 | Сообщение # 1 |
Группа: Проверенные
Сообщений: 7
Репутация: 4
Статус: Offline
| Есть регистратор DS-7604NI-SE/P, прошивка NVR_(76-SE,V,VP)BL_ML_STD_V3.0.15_150528 с сайта производителя. Проблема заключается в том, что регистратор подключен к технологическому оборудованию, которое слушает 69 порт и при появлении трафика на данному порту переходит в режим обновления ПО (по tftp), т.е. уходит в перезагрузку. К сожалению на данном оборудованию данную функцию отключить нельзя, поэтому вопрос: каким образом можно отключить на видеорегистраторе рассылку широковещательных запросов по данному (69) порту. И можно ли вообще, как-нибудь добраться до файловой системы данного регистратора? Как я понял доступ по telnet и SSH в нем не поддерживается. Пробовали ставить другие прошивки, как новее, так и старее- эффект нулевой.
|
|
|
|
iTuneDVR | Дата: Пятница, 20.07.2018, 18:57 | Сообщение # 2 |
Группа: Проверенные
Сообщений: 3931
Репутация: 141
Статус: Offline
| Для автоматического аобновления требуется специальный софт от хика, чтобы работал, а в нем есть отличие от штатного TFTP. Если при поднятом TFTP сервере в каталоге не лежит файл digicap dav, то ничего не произойдет и да там если подержать включенный TFTP сервер то в логах будут идти запросы на ARECONT и все работает штатно. Если это технологическое оборудование при появлении трафика на 69 идет в ребут, то это печаль, но вообще-то запрос идет на конкретный адрес 192.0.0.128 и ни на какие другие не должен реагировать.....
Конечно прошивку можно покопать и накопать и .... Да файловой системы добраться зачем, для чего, даже если включится Telnet или SSH все равно ничего не будет видно
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|
conrad66 | Дата: Пятница, 20.07.2018, 22:55 | Сообщение # 3 |
Группа: Проверенные
Сообщений: 25
Репутация: 0
Статус: Offline
| Цитата Voivod ( ) каким образом можно отключить на видеорегистраторе рассылку широковещательных запросов по данному (69) порту. Я бы эту задачу решал средствами маршрутизатора. Но не всякий роутер это может.
|
|
|
|
iTuneDVR | Дата: Суббота, 21.07.2018, 20:20 | Сообщение # 4 |
Группа: Проверенные
Сообщений: 3931
Репутация: 141
Статус: Offline
| Цитата conrad66 ( ) Я бы эту задачу решал средствами маршрутизатора.Но не всякий роутер это может. Каким образом?
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|
conrad66 | Дата: Воскресенье, 22.07.2018, 12:23 | Сообщение # 5 |
Группа: Проверенные
Сообщений: 25
Репутация: 0
Статус: Offline
| Цитата iTuneDVR ( ) Каким образом? Ну на сколько я понял все устройства в одной локальной сети. Сильно не думал над этой проблемой..., но наверное развел бы два проблематичных устройства по разным vlan или проблематичный вывел в vlan и фильтровал порты или multicast на интерфейсах в бридже. Все это можно сделать на микротике, например. Ну вообщем пробовать надо....
|
|
|
|
iTuneDVR | Дата: Воскресенье, 22.07.2018, 13:38 | Сообщение # 6 |
Группа: Проверенные
Сообщений: 3931
Репутация: 141
Статус: Offline
| Условия задачи иные и наверное отличны от представленного варианта попытки решить. Конечно, странно, что некое железо-софт без какой-либо аутентификации, хоть какой-то так себя ведет в нагруженной и далеко не дружелюбной сети, сразу в обморок(перезагрузку) Если регистратор действительно европа, то можно будет попытаться посмотреть прошивку и поискать места и ....
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|
Voivod | Дата: Понедельник, 23.07.2018, 03:27 | Сообщение # 7 |
Группа: Проверенные
Сообщений: 7
Репутация: 4
Статус: Offline
| Прилагаю картинку, в которой видно, что пакет адресован на 255.255.255.255, а не конкретно на какой-то 192.0.0.128. Поэтому получают этот пакет ВСЕ узлы сети в своем сегменте на 69 порт. Вариант решения задачи с промежуточным маршрутизатором - не вариант. А нас десятки видеорегистраторов и городить такие костыли - позор нации. Была предпринята попытка изменить прошивку. При этом вот тут есть метод как вскрыть файл digicap.dav
Вскрыть его можно утилитой hiktools.exe вот так. hiktools split digicap.dav destinationdir И запаковать обратно вот так. hiktools create header_from_digicap.dav sourcedir
В результате распаковки получаем набор файлов. Вот их список. "D:\temp\out\app.tar.gz" "D:\temp\out\hicore.tar.gz" "D:\temp\out\hicore.tar.lzma" "D:\temp\out\log.tar.gz" "D:\temp\out\ntfs-3g" "D:\temp\out\player.bin" "D:\temp\out\versionctr.tar.lzma" "D:\temp\out\vps_logo.bin" "D:\temp\out\webs.tar.gz" "D:\temp\out\new_10.bin" "D:\temp\out\start.sh" "D:\temp\out\webs.tar.lzma" "D:\temp\out\app.tar.lzma" "D:\temp\out\dvrCmd.tar.gz" "D:\temp\out\rootfs.img" "D:\temp\out\uImage" "D:\temp\out\8107.tar.lzma"
Есть надежда, где-то в этих файлах откопать хотя бы фразу (которая прилетает в бродкаст) "Arecont_Vision - AV2000", пофиксить ее, запаковать все обратно и прошить. Но я не великий линуксоид, и пока не могу ни смонтировать данные файлы, ни распаковать методом LZMA... возможно эти файлы зашифрованы. Хотелось бы мнения и поддержки более понимающих коллег.
Вторая мысль, может быть можно подменить один из этих файлов уже каким-то патченым файлом, или файлом от другого регистратора, в котором может быть включен SSH. Но какой файл нужно подменить, и где его взять, тоже вопрос.
Я конечно понимаю, что вопрос можно решать со стороны того устройства, которое страдает и уходит в перезагрузку, но производитель утверждает что не может этого сделать. Вот так выглядит их ответ. "В наших контроллерах этот порт "вшит" в TCP/IP стек и изменитьего нельзя." Они тоже предлагают как вариант решать проблему маршрутизатором, но это только снизит надежность, увеличит расходы, создаст путаницу среди обслуживающего персонала. В общем, по хорошему решить проблему можно было бы со стороны hikvision. Но как-то мы с ними еще не познакомились, хотя можно было бы. Решить проблему силами hikvision, это лучше чем когда пользователи начинают предпринимать попытки "декомпилить" прошивки. Не хорошо ведь это.
|
|
|
|
Voivod | Дата: Понедельник, 23.07.2018, 03:34 | Сообщение # 8 |
Группа: Проверенные
Сообщений: 7
Репутация: 4
Статус: Offline
| Повторно прилагаю картинку со снифера.
И кроме этого, внесу еще ясность. "Страдающее" оборудование перезагружается просто потому, что к нему не 69 порт прилетает буква "r" которая присутствует во фразе "Arecont_Vision - AV2000".
Да файловой системы добраться зачем, для чего, даже если включится Telnet или SSH все равно ничего не будет видно
Может и будет. Может быть имеет смысл в файловой системе в хекс-редакторе найти "Arecont_Vision - AV2000" и пофиксить букву r. А может быть можно закрыть исходящий порт 69. Это конечно плохо, потому что потом например при потере пароля, устройство будет невозможно прошить, но это бы решило проблему.
Сообщение отредактировал Voivod - Понедельник, 23.07.2018, 03:46 |
|
|
|
iTuneDVR | Дата: Понедельник, 23.07.2018, 14:17 | Сообщение # 9 |
Группа: Проверенные
Сообщений: 3931
Репутация: 141
Статус: Offline
| Приятно видеть проблему, переведенную в класс задач с предоставлением накопаных материалов. Инструмент на руках есть, так что же останавливает?
Для Хика это не проблема, поэтому им решать её не нужно, тем более в такой не крайней версии ПО, поэтому способ ручной правки вполне и вполне Файл hicore.tar.lzma, все там, только вначале расшифровать, а потом распаковать, пропатчить и в обратном порядке. Тут варианты: исправление надписи, чтобы не гнало r или вообще не гнало и т.п. Запросы по широковещательному как часто идут?
При потере пароля восстановить можно будет через TFTP востановление в загрузчике, а там все нормально, поэтому переживат ен нужно.
Либо все-таки вариант знакомства с Hikvision и ...
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
Сообщение отредактировал iTuneDVR - Понедельник, 23.07.2018, 14:26 |
|
|
|
Voivod | Дата: Вторник, 24.07.2018, 02:11 | Сообщение # 10 |
Группа: Проверенные
Сообщений: 7
Репутация: 4
Статус: Offline
| Файл hicore.tar.lzma, все там, только вначале расшифровать,
Спасибо что указали на конкретный файл. Надеюсь копать меньше придется. а как расшифровать то???
Добавлено (24.07.2018, 05:55) --------------------------------------------- Прикреплю ссылку интересной статьи, которую еще не осилил, но думаю она очень в тему. статья
Еще полезная статья
Сообщение отредактировал Voivod - Вторник, 24.07.2018, 08:17 |
|
|
|
conrad66 | Дата: Вторник, 24.07.2018, 12:45 | Сообщение # 11 |
Группа: Проверенные
Сообщений: 25
Репутация: 0
Статус: Offline
| Цитата Voivod ( ) и городить такие костыли - позор нации т.е закрыть проблему на маршрутизаторе это костыли. а править прошивку дляЦитата Voivod ( ) десятки видеорегистраторов это правильный метод.....
Цитата Voivod ( ) решать проблему маршрутизатором, но это только снизит надежность, увеличит расходы, создаст путаницу среди обслуживающего персонала А это вы придумали сами ? Маршрутизатор необслуживаемое устройство, доступное администратору, а если для него это "путаница" то надо таких увольнять.
Сообщение отредактировал conrad66 - Вторник, 24.07.2018, 13:02 |
|
|
|
iTuneDVR | Дата: Вторник, 24.07.2018, 17:50 | Сообщение # 12 |
Группа: Проверенные
Сообщений: 3931
Репутация: 141
Статус: Offline
| Цитата conrad66 ( ) это правильный метод..... Для меня это не далекая теория, а близкая и реализуемая практика, поэтому это правильный метод в отсутствии других решений, а как для автора х.з.
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|
Voivod | Дата: Среда, 25.07.2018, 02:37 | Сообщение # 13 |
Группа: Проверенные
Сообщений: 7
Репутация: 4
Статус: Offline
| conrad66, Уважаемый!
Площадь Амурской области составляет 361 908 км². Это чуть больше чем площадь территории Германии. По этой территории раскиданы объекты. На некоторые из них можно добраться исключительно в определенные времена года, и если Вам не знакомы дисциплина "теория надежности", то на простом языке можно объяснить это так. Что если Вы сидите в офисе довольный что у Вас есть логин и пароль от маршрутизатора который фильтрует бродкаст на 69 порт, вы мега админ, а маршрутизатор умер, то понимаете да? Маршрутизаторов на этих сайтах - нет. Решить проблему с помощью маршрутизатора может любой дурак. А вообще, в жизни наступает такой момент, когда ты начинаешь понимать, что выпендриваться по мелочам не хорошо. С*ач предлагаю закрыть, потому что это это единственное лирическое отступление.
Короче хиквижинцы прогрессируют немного с защитой своего софта.
Вчера разобрал более ранню прошивку, в надежде что внутри файлы там не зашифрованы. И некоторые да, не зашифрованы. Регистратор еще жив. Короче, потом расскажу... :-) Некогда.
|
|
|
|
iTuneDVR | Дата: Среда, 25.07.2018, 15:22 | Сообщение # 14 |
Группа: Проверенные
Сообщений: 3931
Репутация: 141
Статус: Offline
| Цитата Voivod ( ) Вчера разобрал более ранню прошивку, в надежде что внутри файлы там не зашифрованы. И некоторые да, не зашифрованы. Регистратор еще жив.Короче, потом расскажу... :-) Некогда. Совсем ранние не стоит брать. Регистратор не убить т.к. загрузчик остается не затронутым и всегда можно восстановить по TFTP
По разбросу объектов более менее понятно и как я писал выше, патч это лучший вариант, пусть не костыль, но пробка, заглушка и т.п., главное чтобы работало и не создавало проблем.
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|
Voivod | Дата: Четверг, 26.07.2018, 07:16 | Сообщение # 15 |
Группа: Проверенные
Сообщений: 7
Репутация: 4
Статус: Offline
| Ну что. Есть две новости. Сами понимаете, хорошая и не очень.
1. Все это время пытался войти в регистратор по telnet. Механизм такой. Берем файл rootfs.img распаковываем его с помощью LZMA, монтируем полученный файл в файловую систему на виртуалке Ubuntu. После чего нам становится доступна фс. С таким содержимым bin dav dev home lib mnt opt proc root sbin srv sys tmp var etc
Нам интересно /etc и для начала файл inittab #::sysinit:/bin/sh /etc/init.d/rcS ::wait:/bin/mount -t proc proc /proc ::wait:/bin/mount -t sysfs none /sys ::wait:/bin/mount -t ramfs ramfs /home/app #::respawn:/bin/inetd ::wait:/bin/sh /etc/init.d/rcS #::wait:-/bin/sh ::respawn:-/bin/sh ::restart:/bin/init
Видим что пятая строка файла закоменчена, а в файле inetd.conf написано # <service_name> <sock_type> <proto> <flags> <user> <server_path> <args> telnet stream tcp6 nowait root /bin/telnetd /bin/telnetd #ftp stream tcp nowait root /bin/ftpd /bin/ftpd -i
Ну то есть понимаем что (#::respawn:/bin/inetd) вот это надо бы откомментить. Сказано, сделано. Изменяем файл. Размонтируем файловую систему приментированную ранее. Обратно запаковываем файл образа фс с помощь LZMA, ложим это в папку с расшифрованной прошивкой, запаковываем обратно, получаем digicap.dav, заливаем в железяку. После этой манипуляции при подключении к видеорегистратору по телнету, появляется приглашение ввода логина и пароля. Естественно пароль не известен.
Тогда смотрим passwd root:x:0:0:root:/root/:/bin/sh guest:x:500:500:Linux User,,,:/home/guest:/bin/sh hikvision:x:501:501:Linux User,,,:/home/hikvision:/bin/sh
А также смотрим shadow root:$1$JZf9ccKK$gZ4I0rIbsR6Ix1/TDVb7d.:14194:0:99999:7::: guest:!:15302:0:99999:7::: hikvision:$1$ChRPh3ur$Yy6bjTErRXoajEZ1jao79/:15302:0:99999:7:::
Радостно удаляем пароль ($1$JZf9ccKK$gZ4I0rIbsR6Ix1/TDVb7d.), все сохраняем, прошиваем. И с пустым паролем нас не пускают. Тогда генерим хеш md5 с паролем "123456". Вставляем в shadow. Результата все равно нет. Не пускает.
root@ubzabtest:~/hikvision/save# openssl passwd -1 $password Password: Verifying - Password: $1$WjzgsHLp$6tbxLpZUqYdGsPdWPnFkh0 (это наш хеш) root@ubzabtest:~/hikvision/save#
Убил день. Пароль так и не сбросил, так и не внедрил. Решил забить, и пойти по плану "Б".
2. С помощью LZMA распаковываем hicore.tar.lzma, далее растариваем его (tar), и правим файл hicore, а точнее ищем там "Arecont_Vision - AV2000" и в hex редакторе меняем там букву r на букву l. Картавый такой Alecont получается. Запоковываем все в обратную сторону. Шьем. И видим результат в wireshark. Содержимое пакета изменилось на то что нам нужно. Вроде как вопрос решен.
Но блин не могу понять, почему мне не удалось сбросить пароль, или вставить свой пароль. И интерес к этому вопросу остается. Может кто-то что-то посоветует по этому вопросу? Из наблюдений root:$1$JZf9ccKK$gZ4I0rIbsR6Ix1/TDVb7d.:14194:0:99999:7::: видно что после $1$ есть последовательность из 31 символа, а у MD5 вроде как 32 должно быть.
Кстати, есть еще файл passwd_nfs root:yiNNyNaXWRwx.:0:0:root:/root/:/bin/sh admin:yiVXjXdLpGfug:0:0:admin:/:/bin/sh
Тоже обнулял пароль root, но толку нет.Добавлено (26.07.2018, 08:04) --------------------------------------------- Допишу. Окончательные результаты тестирования показали что видеорегистратор с фразой: "Arecont_Vision - AV2000" - перезагружает "терпилу" "Alecont_Vision - AV2000" - НЕ перезагружает "терпилу"
Думаю на этом остановимся. Если есть мысли по сбросу пароля, то пишите.
|
|
|
|
iTuneDVR | Дата: Четверг, 26.07.2018, 11:31 | Сообщение # 16 |
Группа: Проверенные
Сообщений: 3931
Репутация: 141
Статус: Offline
| Ну, вот, сложного ничего нет Время проведено с толком, когда есть доступные утилиты о сборке-разборке.
Можно было и вместо первой A засадить 0x00 м вообще бы надписей не было.
Что касается пароля, то немного не понял зачем? Штатный хеш известен и брутится спокойно, это Unix(MD5) $1$
Пароли в ядре еще есть, а в файловой так.....
Мотивация, направление, посыл ;) "Вспоминание" паролей Dahua SmartPSS, Hikvision iVMS4200, генерация временного для Uniview. Исследования IT. www.iTuneDVR.ru
|
|
|
|