Honeywell H4D3PRV2 (только ping)

[artemiy]

Доброго дня Вам!

Имеется IP-камера Honeywell H4D3PRV2. Перестала быть доступной.
Сняли, напрямую подключили к ПК. Есть только пинг на стандартный для Honeywell IP 192.168.1.108. По web нет доступа.
Просканировали nmap.

Код: Выделить всё

wpcap.dll present, library version: Npcap version 1.50, based on libpcap version 1.10.1-PRE-GIT

Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-29 14:17 RTZ 2 (ceia)

--------------- Timing report ---------------

  hostgroups: min 1, max 100000

  rtt-timeouts: init 1000, min 100, max 10000

  max-scan-delay: TCP 1000, UDP 1000, SCTP 1000

  parallelism: min 0, max 0

  max-retries: 10, host-timeout: 0

  min-rate: 0, max-rate: 0

---------------------------------------------

NSE: Using Lua 5.3.

NSE: Arguments from CLI: 

NSE: Loaded 123 scripts for scanning.

NSE: Script Pre-scanning.

NSE: Starting runlevel 1 (of 2) scan.

NSE: Starting runlevel 2 (of 2) scan.

Packet capture filter (device eth2): arp and arp[18:4] = 0x10E7C60C and arp[22:2] = 0xC0C2

Overall sending rates: 8.33 packets / s, 350.00 bytes / s.

mass_rdns: Using DNS server 10.160.1.21

mass_rdns: Using DNS server 8.8.8.8

mass_rdns: 0.06s 0/1 [#: 2, OK: 0, NX: 0, DR: 0, SF: 0, TR: 1]

DNS resolution of 1 IPs took 0.06s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]

Packet capture filter (device eth2): dst host 192.168.1.10 and (icmp or icmp6 or ((tcp or udp or sctp) and (src host 192.168.1.108)))

Overall sending rates: 868.68 packets / s, 38221.77 bytes / s.

Packet capture filter (device eth2): dst host 192.168.1.10 and (icmp or (tcp and (src host 192.168.1.108)))

NSE: Script scanning 192.168.1.108.

NSE: Starting runlevel 1 (of 2) scan.

NSE: Starting address-info against 192.168.1.108.

NSE: Finished address-info against 192.168.1.108.

NSE: Starting runlevel 2 (of 2) scan.

Nmap scan report for 192.168.1.108

Host is up (0.0018s latency).

Scanned at 2021-07-29 14:17:40 RTZ 2 (ceia) for 77s

Not shown: 65417 closed ports

PORT      STATE    SERVICE

1045/tcp  filtered fpitp

1908/tcp  filtered dawn

2714/tcp  filtered raventdm

3404/tcp  filtered unknown

3485/tcp  filtered celatalk

3537/tcp  filtered ni-visa-remote

3580/tcp  filtered nati-svrloc

3700/tcp  filtered lrs-paging

4658/tcp  filtered playsta2-app

6431/tcp  filtered unknown

6462/tcp  filtered unknown

7084/tcp  filtered unknown

7959/tcp  filtered unknown

8362/tcp  filtered unknown

8462/tcp  filtered unknown

10873/tcp filtered unknown

11769/tcp filtered unknown

13168/tcp filtered unknown

13386/tcp filtered unknown

13531/tcp filtered unknown

13848/tcp filtered unknown

14962/tcp filtered unknown

16456/tcp filtered unknown

16884/tcp filtered unknown

17428/tcp filtered unknown

17549/tcp filtered unknown

19323/tcp filtered unknown

20736/tcp filtered unknown

21283/tcp filtered unknown

21927/tcp filtered unknown

22318/tcp filtered unknown

22332/tcp filtered unknown

22613/tcp filtered unknown

22810/tcp filtered unknown

23932/tcp filtered unknown

24512/tcp filtered unknown

25458/tcp filtered unknown

27046/tcp filtered unknown

27434/tcp filtered unknown

28315/tcp filtered unknown

28750/tcp filtered unknown

28809/tcp filtered unknown

28917/tcp filtered unknown

28928/tcp filtered unknown

29046/tcp filtered unknown

29576/tcp filtered unknown

30161/tcp filtered unknown

30360/tcp filtered unknown

30431/tcp filtered unknown

30492/tcp filtered unknown

30991/tcp filtered unknown

31877/tcp filtered unknown

32171/tcp filtered unknown

32307/tcp filtered unknown

35203/tcp filtered unknown

35878/tcp filtered unknown

36097/tcp filtered unknown

37301/tcp filtered unknown

37756/tcp filtered unknown

37821/tcp filtered unknown

38193/tcp filtered unknown

38703/tcp filtered unknown

38867/tcp filtered unknown

38984/tcp filtered unknown

39159/tcp filtered unknown

39881/tcp filtered unknown

40076/tcp filtered unknown

40134/tcp filtered unknown

40723/tcp filtered unknown

41118/tcp filtered unknown

41257/tcp filtered unknown

41433/tcp filtered unknown

41585/tcp filtered unknown

42318/tcp filtered unknown

42919/tcp filtered unknown

43070/tcp filtered unknown

43294/tcp filtered unknown

44151/tcp filtered unknown

44169/tcp filtered unknown

44199/tcp filtered unknown

44235/tcp filtered unknown

44698/tcp filtered unknown

44715/tcp filtered unknown

45641/tcp filtered unknown

45956/tcp filtered unknown

47319/tcp filtered unknown

47361/tcp filtered unknown

48289/tcp filtered unknown

49064/tcp filtered unknown

50744/tcp filtered unknown

52040/tcp filtered unknown

52072/tcp filtered unknown

52902/tcp filtered unknown

52990/tcp filtered unknown

53317/tcp filtered unknown

54261/tcp filtered unknown

54408/tcp filtered unknown

54503/tcp filtered unknown

54903/tcp filtered unknown

56632/tcp filtered unknown

57233/tcp filtered unknown

57317/tcp filtered unknown

58482/tcp filtered unknown

58686/tcp filtered unknown

59857/tcp filtered unknown

60514/tcp filtered unknown

61277/tcp filtered unknown

62467/tcp filtered unknown

62702/tcp filtered unknown

62837/tcp filtered unknown

63041/tcp filtered unknown

63105/tcp filtered unknown

63163/tcp filtered unknown

64039/tcp filtered unknown

64221/tcp filtered unknown

64317/tcp filtered unknown

64424/tcp filtered unknown

64922/tcp filtered unknown

MAC Address: 00:1F:55:2D:0C:1E (Honeywell Security (China))

Too many fingerprints match this host to give specific OS details

TCP/IP fingerprint:

SCAN(V=7.91%E=4%D=7/29%OT=%CT=1%CU=33649%PV=Y%DS=1%DC=D%G=N%M=001F55%TM=61028EA1%P=i686-pc-windows-windows)

SEQ(CI=I%II=I)

T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)

T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)

T7(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)

U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)

IE(R=Y%DFI=N%T=40%CD=S)



Network Distance: 1 hop

Final times for host: srtt: 1769 rttvar: 1794  to: 100000



NSE: Script Post-scanning.

NSE: Starting runlevel 1 (of 2) scan.

NSE: Starting runlevel 2 (of 2) scan.

Read from C:\Program Files (x86)\Nmap: nmap-mac-prefixes nmap-os-db nmap-payloads nmap-services.

OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 79.02 seconds

Почитав сообщения на разных форумах, пришёл к выводу, что нужно подключаться к COM-порту на плате камеры через USB-TTL адаптер.
Подскажите, пожалуйста, в правильном ли я направлении мыслю? Может, у кого-то был опыт решения подобной проблемы?

Заранее благодарю за помощь!

[dimonster]

Мысль такая: слетела прошивка, но загрузчик ещё жив.
Судя по IP-адресу, эта камера может оказаться клоном Dahua, следовательно, подход к восстановлению будет примерно такой же.
Для начала нужно заиметь правильную прошивку. Потом подготовить софт для удалённого прошивания через TFTP-сервер, настроить комп, подключить камеру и попробовать прошить.

Впрочем, можно и поиграться с com-портом через USB-TTL переходник. Хотя бы узнаем, на какую проблему ругается загрузчик и почему он не может загрузить ОС камеры.

[dimonster]

И если эта камера действительно OEM Dahua, то загрузчик в ней умеет слать свои сообщения по сети.
В общем, подробнее читайте тут: https://ipcamtalk.com/threads/dahua-ipc ... ftp.17189/
И вот тут: https://ipcamtalk.com/threads/dahua-ipc ... ftp.16474/

[artemiy]

Мысль такая: слетела прошивка, но загрузчик ещё жив.
Судя по IP-адресу, эта камера может оказаться клоном Dahua, следовательно, подход к восстановлению будет примерно такой же.
Для начала нужно заиметь правильную прошивку. Потом подготовить софт для удалённого прошивания через TFTP-сервер, настроить комп, подключить камеру и попробовать прошить.

Впрочем, можно и поиграться с com-портом через USB-TTL переходник. Хотя бы узнаем, на какую проблему ругается загрузчик и почему он не может загрузить ОС камеры.

Благодарю за ответ!

USB-TTL заполучить в скором времени не получится.
С tftp-сервером проверить получится (хотя бы узнать, обращается ли камера в момент загрузки к адресу 192.168.254.254).

Имеется рабочая камера такой же модели. Есть ли возможность с рабочей камеры снять dump без USB-TTL?

[dimonster]

Зависит от возможностей загрузчика. Я как-то ковырял сдохшую камеру Дахуа с живым загрузчиком. Так там загрузчик понимал команды, вписанные в файлик upgrade_info_7db780a713a4.txt, лежащий на TFTP сервере, и отвечал на них в консоль.
Насчёт подключения к TFTP серверу. Рекомендую подключать камеру к компьютеру через тупой неуправляемый свитч. А на камеру подавать питание 12 В отдельным проводом. Либо через тупой свитч с PoE. Потому что при "прямом" подключении кабелем комп может не успеть "снюхаться" с камерой, если камера уходит в циклическую перезагрузку.

[VirtualLink]

Имеется рабочая камера такой же модели. Есть ли возможность с рабочей камеры снять dump без USB-TTL?

Лучше подключиться к ttl, чтобы точно понимать, что происходит!
Проще будет восстановить блоками от оем или от дахуа прошивок!

[artemiy]

Камера напрямую подключена к компьютеру по Ethernet.
Запустил Wireshark на проводном интерфейсе.
От камеры появляется только одного вида запросы:

Код: Выделить всё

25	2.454220	Honeywel_2d:0c:1e	Broadcast	ARP	60	Who has 192.168.1.1? Tell 192.168.1.108

В общем, буду ждать USB-TTL адаптер. Как получу его и подключусь к камере, напишу.
Благодарю за помощь!

[dimonster]

Да вроде всё правильно. Камера пытается достучаться до шлюза 192.168.1.1, вероятно, чтобы через него достучаться до TFTP-сервера по адресу 192.168.254.254.
Можете временно прописать своему компьютеру IP-адрес 192.168.1.1 с маской 255.255.0.0 и дополнительный IP-адрес 192.168.254.254 с такой же маской. Потом запустить TFTP-сервер и удалённую консоль (из вот этого комплекта https://i.botox.bz/Dahua_TFTPBackup.zip). Кстати, под WinXP эта "консоль" не работает.

[artemiy]

Запустил сервер и удалённую консоль.
Действительно, камера с адресом 192.168.1.108 на адрес 192.168.254.254 "стучится" по 69 порту и ищет файлы обновления:

Код: Выделить всё

starting TFTP...
alias / is mapped to root\
permitted clients: all
server port range: all
max blksize: 65464
default blksize: 512
default timeout: 60
file read allowed: Yes
file create allowed: No
file overwrite allowed: No
thread pool size: 1
Listening On: 192.168.254.254:69
Client 192.168.1.108:2564 root\upgrade_info_7db780a713a4.txt, File not found or No Access
Client 192.168.1.108:2844 root\failed.txt, File not found or No Access

[dimonster]

На самом деле она просит отдать ей файлик "upgrade_info_7db780a713a4.txt", в котором могут быть записаны всякие разные команды, в том числе и на скачивание прошивки.
Вот это вот - это команды (в сокращённом виде) для загрузчика скачать и установить определённые части прошивки

Код: Выделить всё

run dr
run dk
run du
run dw
run dp
run dc

dr=tftp 0x82000000 romfs-x.squashfs.img; flwrite;
dk=tftp 0x82000000 kernel.img;flwrite;
du=tftp 0x82000000 user-x.squashfs.img; flwrite
dw=tftp 0x82000000 web-x.squashfs.img; flwrite
dp=tftp 0x82000000 partition-x.cramfs.img;flwrite;
dc=tftp 0x82000000 custom-x.squashfs.img; flwrite
up=tftp 0x82000000 update.img;flwrite;
tk=tftp 0x82000000 uImage;bootm;

Далее идёт команда скачать по tftp файл pd-x.squashfs.img и записать его на флеш по адресу 0x82000000

Код: Выделить всё

tftp 0x82000000 pd-x.squashfs.img; flwrite

Вот затычка, просто чтобы сообщить об окончании прошивки в консоли tftp-сервера ,

Код: Выделить всё

tftp 0x82000000 .FLASHING_DONE_STOP_TFTP_NOW

Эта команда тупо ждёт 5 секунд

Код: Выделить всё

sleep 5

Я могу посоветовать сделать следующее. В том наборе, что я давал ссылку, в файле commands.txt заменить команды прошивания на вот это:

Код: Выделить всё

setenv dh_keyboard 0
saveenv
sleep 5

(не забудьте вначале сделать копию оригинального файла)
Потом запустить commands.bat, чтобы программа заменила в файле upgrade_info_7db780a713a4.txt команды прошивания на ваши команды и пересчитала контрольную сумму.
Потом перезапустите камеру и ждите, пока она обратится к tftp-серверу, скачает файлик upgrade_info_7db780a713a4.txt и выполнит находящиеся в нём команды.
Эти команды сделают камеру более "болтливой", чтобы она выдавала в консоль больше подробной информации, в частности, лог загрузки ядра линукса и попытки его инициализации.
Одновременно с этим запустите Console.bat. Запустится отдельная консоль, куда будут приходить ответы от камеры (примерно те же текстовые строчки, что выдаются и на UART).

[artemiy]

Сделал по Вашему совету. В консоль теперь попадают от камеры сообщения.
Вот результат :

Код: Выделить всё

 gBootLogPtr:00b80008.
spinor flash ID is 0xc81840c8
partition file version 2
rootfstype squashfs root /dev/mtdblock5
TEXT_BASE:01000000
Net:   Detected MACID:00:1f:55:2d:0c:1e
PHY:0x001cc816,addr:0x00
phy RTL8201 init
Using ambarella mac device
TFTP from server 192.168.254.254; our IP address is 192.168.1.108; sending through gateway 192.168.1.1Download Filename 'upgrade_info_7db780a713a4.txt'.Download to address: 0x5000000
Downloading: *
done
Bytes transferred = 101 (65 hex)
Saving Environment to SPI Flash...
Erasing SPI flash...
Writing to SPI flash...
done

Пока запущен tftp-сервер, циклически камера скачивает файл с командами, выполняет его и выдаёт одни и те же сообщения.
Как я понимаю, ждёт файлов с "прошивкой".

[artemiy]

Написал в commands.txt:

Код: Выделить всё

printenv
sleep 5

загрузил в камеру и получил вывод переменных окружения, как понимаю, которые используются загрузчиком:

Код: Выделить всё

bootdelay=3
baudrate=115200
ipaddr=192.168.1.108
serverip=192.168.1.1
autoload=yes
gatewayip=192.168.1.1
netmask=255.255.255.0
appauto=1sysbackup=1
logserver=127.0.0.1
loglevel=4
autosip=192.168.254.254
autolip=192.168.1.108
autogw=192.168.1.1
autonm=255.255.255.0
pd=tftp 0x02000000 pd-x.squashfs.img; flwrite
ethact=ambarella mac
BSN=2J03C13PAA00600
HWID=IPC-HDBW2320R-ZS:01:02:02:19:18:00:01:00:00:00:04:258:00:00:00:00:00:00:00:00:100
hwidEx=00:01:00:00:00:00:00:00:00:00:00:00:00:00:00:00
devalias=IPC-HDBW2320R-ZS
da=tftp 0x2000000 dhboot.bin.img; flwrite; tftp dhboot-min.bin.img;flwritedr=tftp 0x2000000 romfs-x.squashfs.img; flwritedk=tftp 0x2000000 kernel.img; flwritedu=tftp 0x2000000 user-x.squashfs.img; flwritedw=tftp 0x2000000 web-x.squashfs.img; flwritedc=tftp 0x2000000 custom-x.squashfs.img; flwritedt=tftp 0x2000000 data-x.squashfs.img; flwritedp=tftp 0x02000000 partition-x.cramfs.img;flwriteup=tftp 0x2000000 update.img; flwritetk=tftp 0x200100 hawthorn.dts.dtb;tftp 0x2000000 uImage;bootm 0x2000000bootcmd=sf read 0x200100 0x8000 0x8000;sf read 0x2000000 0xf0000 0x180000;bootm 0x2000000bootargs=console=ttyS0,115200 mem=110M root=/dev/mtdblock5 rootfstype=squashfs init=/linuxrc
ID=Z283100332
ethaddr=00:1F:55:2D:0C:1E
dh_keyboard=0
stdin=serial
stdout=serial
stderr=serial
filesize=51
fileaddr=5000000

Из вывода интересен пункт devalias=IPC-HDBW2320R-ZS. Получается, что теперь известна модель камеры. Осталось найти для неё ПО и можно пробовать восстанавливать?