Камера МГТС LTV CNQ-310 C1 восстановление в оригинал

[MMDS]

Приветствую уважаемых форумчан!

Попала мне в лапы камера МГТС LTV CNQ-310 C1, покупал как мёртвую с целью объектив 2,8 мм свинтить, дома включил на последок а она признаки жизни подаёт
Адрес по DHCP получает, в веб-морде пароль просит, VLC-плеером на 554 порт тоже пароль хочет.
А вот пароль то и не известен. Стандартные типа admin, 12345, 123456 не подходят (а предусмотрен ли там вообще вход? В инструкции от МГТС вообще нет упоминания веб-интерфейса, только облако).
На reset как ни жал - вроде не сбрасывается, по крайней мере признаков нет.
Просканил в Zenmap:

Код: Выделить всё

Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-18 19:17 RTZ 2 (ceia)
NSE: Loaded 148 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 19:18
Completed NSE at 19:18, 0.00s elapsed
Initiating NSE at 19:18
Completed NSE at 19:18, 0.00s elapsed
Initiating ARP Ping Scan at 19:18
Scanning 192.168.0.152 [1 port]
Completed ARP Ping Scan at 19:18, 0.44s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 19:18
Completed Parallel DNS resolution of 1 host. at 19:18, 0.00s elapsed
Initiating SYN Stealth Scan at 19:18
Scanning 192.168.0.152 [65535 ports]
Discovered open port 554/tcp on 192.168.0.152
Discovered open port 80/tcp on 192.168.0.152
Discovered open port 8000/tcp on 192.168.0.152
Discovered open port 8200/tcp on 192.168.0.152
Discovered open port 1050/tcp on 192.168.0.152
Completed SYN Stealth Scan at 19:18, 12.49s elapsed (65535 total ports)
Initiating Service scan at 19:18
Scanning 5 services on 192.168.0.152
Completed Service scan at 19:20, 150.10s elapsed (5 services on 1 host)
Initiating OS detection (try #1) against 192.168.0.152
NSE: Script scanning 192.168.0.152.
Initiating NSE at 19:20
Completed NSE at 19:21, 14.42s elapsed
Initiating NSE at 19:21
Completed NSE at 19:21, 1.02s elapsed
Nmap scan report for 192.168.0.152
Host is up (0.0010s latency).
Not shown: 65529 closed ports
PORT     STATE    SERVICE   VERSION
22/tcp   filtered ssh
80/tcp   open     http      Hikvision IP camera httpd
|_http-favicon: Unknown favicon MD5: 89B932FCC47CF4CA3FAADB0CFDEF89CF
| http-methods: 
|   Supported Methods: OPTIONS TRACE GET HEAD POST PUT DELETE
|_  Potentially risky methods: TRACE PUT DELETE
|_http-server-header: App-webs/
|_http-title: index
554/tcp  open     rtsp      Hikvision 7513 POE IP camera rtspd
1050/tcp open     http      ZTE Auto-Configuration Servers (ACS) http login
|_http-title: Site doesn't have a title (text/xml; charset="utf-8").
8000/tcp open     http-alt?
8200/tcp open     trivnet1?
MAC Address: BC:AD:28:68:хх:хх (Hangzhou Hikvision Digital Technology)
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.5
Uptime guess: 0.050 days (since Mon Feb 18 18:09:17 2019)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=264 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: Devices: webcam, broadband router

TRACEROUTE
HOP RTT     ADDRESS
1   1.05 ms 192.168.0.152

NSE: Script Post-scanning.
Initiating NSE at 19:21
Completed NSE at 19:21, 0.00s elapsed
Initiating NSE at 19:21
Completed NSE at 19:21, 0.00s elapsed
Read data files from: C:\Program Files (x86)\Nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 183.74 seconds
           Raw packets sent: 65556 (2.885MB) | Rcvd: 65558 (2.623MB)

Расположением "внутренних элементов торчащих наружу" очень похожа на HiWatch DS-I114W, ощущение что железо то же, просто корпус сменили.
А от этой корпус вообще 1:1 LTV CNM-310

Короче, кто знает что это за дичь такая - буду рад любой инфе, хочу оригинальную прошивку залить в неё.
И за прошивку буду благодарен, желательно такую чтобы сразу на программаторе зашить и с UARTом не загоняться

[Sonya]

Ну так фотку платы пришлите.

[MMDS]

Фотки большие получились, форум не принял, положил тут: https://drive.google.com/drive/folders/ ... sp=sharing" onclick="window.open(this.href);return false;

Ну кажется теперь и из наклейки понятно что это Hikvision DS-2CD1410F-IW

Кто подскажет где у неё UART?
И где прошивку для программатора взять?


Бегло поискал на DS-2CD1410F-IW хоть какие то прошивки - как то не очень их есть...
А вообще, те прошивки что для обновления через веб-интерфейс, они для программатора подходят или в другом формате они?

[MMDS]

UART нашёлся на главной плате в четырёхконтактном разъёме то прямо над матрицей распаян. Слева на право: GND, TX, RX, 3.3V. 115200-8-N-1

Код: Выделить всё

U-Boot 2010.06-126610 (May 06 2015 - 14:58:13)

DRAM:  128 MiB
Flash: 32 MiB
Hit Ctrl+u to stop autoboot:  0 
Up/Down PHY not link.
TFTP server auto connect disabled
load kernel to 0x80007fc0 ... Done!
## Booting kernel from Legacy Image at 80007fc0 ...
   Image Name:   Linux-3.0.8
   Image Type:   ARM Linux Kernel Image (uncompressed)
   Data Size:    3748128 Bytes = 3.6 MiB
   Load Address: 80008000
   Entry Point:  80008000
   XIP Kernel Image ... OK
OK

Starting kernel ...

Полный лог положил в папку с фотками, ссылка выше.

[MMDS]

Код: Выделить всё

# cat passwd
root:$1$yi$Q0QyfbWEFm7DrbjH7iXSm/:0:0:root:/root/:/bin/sh
admin:$1$yi$Q0QyfbWEFm7DrbjH7iXSm/:0:0:root:/:/bin/sh

# cat passwd_nfs
root:yiNNyNaXWRwx.:0:0:root:/root/:/bin/sh
admin:yiVXjXdLpGfug:0:0:admin:/:/bin/sh

У кого есть желание сбрутить? ))
У меня на линуксовой машине железо не позволяет: было дело ради интереса всем известный xmhdipc хэшкатом мучал - четверо суток ушло. Пока нет желания такие подвиги повторять))

[MMDS]

Итак, товарищи, кто узнал железо на моих фотках, кто достоверно ответить может?
Одно дело мои догадки выше, другое ответ спеца - совсем разные вещи.

Погуглив на счёт Hikvision DS-2CD1410F-IW сложилось впечатление что в принципе такие есть, но они официально в Россию не поставлялись...
Может они у нас HiWatch DS-I114W зовутся?

Какую прошивку искать-то, чтобы и p2p нормальное было, и веб-морда и к регу цеплялась? ))

И ещё вопрос походу: как сделать дамп флешки из u-boot? Команду sf он не знает...
Сделал пока что как смог, на SD-карту: cat /dev/mtdblock0 > /mnt/mmc01/dump/mtdblock0 и так все до mtdblock6, а также mtd0 и mtd0ro все до шестого.

[MMDS]

Код: Выделить всё

U-Boot 2010.06-126610 (May 06 2015 - 14:58:13)

DRAM:  128 MiB
Flash: 32 MiB
Hit Ctrl+u to stop autoboot:  0 
HKVS # help
?       - alias for 'help'
base    - print or set address offset
bootm   - boot application image from memory
bootp   - boot image via network using BOOTP/TFTP protocol
cmp     - memory compare
cp      - memory copy
crc32   - checksum calculation
ext2load- load binary file from a Ext2 filesystem
ext2ls  - list files in a directory (default /)
fatinfo - print information about filesystem
fatload - load binary file from a dos filesystem
fatls   - list files in a directory (default /)
format  - format flash except bootloader area
getinfo - print hardware information
go      - start application at address 'addr'
gos     - go xxx.bin thru serial
help    - print command description/usage
loadb   - load binary file over serial line (kermit mode)
loadk   - load kernel to DRAM
loady   - load binary file over serial line (ymodem mode)
loop    - infinite loop on address range
md      - memory display
mii     - MII utility commands
mm      - memory modify (auto-incrementing address)
mtest   - simple RAM read/write test
mw      - memory write (fill)
nm      - memory modify (constant address)
ping    - send ICMP ECHO_REQUEST to network host
printenv- print environment variables
rarpboot- boot image via network using RARP/TFTP protocol
reset   - Perform RESET of the CPU
saveenv - save environment variables to persistent storage
setenv  - set environment variables
tftp    - tftp	- download or upload image via network using TFTP protocol
update  - update digicap.dav
updateb - update bootloader
upf     - update firmware, format and update (factory use)
usb     - USB sub-system
usbboot - boot from USB device
version - print monitor version

HKVS # printenv
bootargs=console=ttyAMA0,115200
bootcmd=loadk;bootm 0x80007fc0
bootdelay=3
baudrate=115200
netmask=255.255.255.0
bootfile="uImage"
bldfile="u-boot_r2.bin"
trspt=0
ipaddr=192.0.0.64
serverip=192.0.0.128
stdin=serial
stdout=serial
stderr=serial
verify=n
ethaddr=bc:ad:28:6x:xx:xx
ver=U-Boot 2010.06-126610 (May 06 2015 - 14:58:13)

Environment size: 329/65480 bytes

После команды upf произошёл erase и камера таки сбросилась в дефолт.
В веб-интерфейс пускает, по RTSP показывает, к регистратору цепляется. Везде admin:12345. Хэш в /etc/passwd поменялся.

Код: Выделить всё

# cat /proc/mtd
dev:    size   erasesize  name
mtd0: 00040000 00010000 "bld"
mtd1: 00010000 00010000 "env"
mtd2: 00010000 00010000 "enc"
mtd3: 00010000 00010000 "usr"
mtd4: 00580000 00010000 "sys"
mtd5: 01170000 00010000 "app"
mtd6: 008a0000 00010000 "cfg"

# cat /proc/cpuinfo
Processor	: ARM926EJ-S rev 5 (v5l)
BogoMIPS	: 218.72
Features	: swp half thumb fastmult edsp java 
CPU implementer	: 0x41
CPU architecture: 5TEJ
CPU variant	: 0x0
CPU part	: 0x926
CPU revision	: 5

Hardware	: r2
Revision	: 0000
Serial		: 0000000000000000

# cat /proc/version
Linux version 3.0.8 (donggaopeng@Cpl-Frt-BSP) #1 Mon Jan 25 14:31:36 CST 2016

Хоть в данной прошивке p2p вообще ни разу не пахнет камера не перестала постоянно стучаться на айпишник МГТС 62.112.97.60. Отчего и стрёмно.

Вопрос с поиском прошивки от хиквижн остаётся открытым.

[BannedMi]

Добавлю. С телефона и ПК можно смотреть через LTV-CMS.

Понакачал прошивок хика, теперь нужно экспериментировать. В теории нужно покусать прошивку да залить через UART. но ручки не дойдут.

[yuri1958]

Код: Выделить всё

# cat passwd
root:$1$yi$Q0QyfbWEFm7DrbjH7iXSm/:0:0:root:/root/:/bin/sh
admin:$1$yi$Q0QyfbWEFm7DrbjH7iXSm/:0:0:root:/:/bin/sh

# cat passwd_nfs
root:yiNNyNaXWRwx.:0:0:root:/root/:/bin/sh
admin:yiVXjXdLpGfug:0:0:admin:/:/bin/sh

У кого есть желание сбрутить? ))
У меня на линуксовой машине железо не позволяет: было дело ради интереса всем известный xmhdipc хэшкатом мучал - четверо суток ушло. Пока нет желания такие подвиги повторять))

Почту свою покажите, скину утилиту

[MMDS]

Почту свою покажите, скину утилиту

А кидайте на ltlaygwtmrwq@mail.ru , интересно глянуть.
А так хэшкатом когда то брутил пароль от xm-камеры, получилось

[BannedMi]

Опять все позабывал.

Как сделать сброс пароля на LTV CNQ-310 C1

1) https://github.com/bp2008/HikPasswordHe ... Helper.exe" onclick="window.open(this.href);return false;
Это резетер из темы https://ipcamtalk.com/threads/hikvision ... tool.2837/" onclick="window.open(this.href);return false;

2) Поиск камер в сети с ними работает этот https://rvigroup.ru/download/download.p ... p&ID=66232" onclick="window.open(this.href);return false;
Называется SADPTool_3.0.0.10.exe

3) Дубль архива https://drive.google.com/drive/folders/ ... sp=sharing" onclick="window.open(this.href);return false;

[MMDS]

Ага, работает резетер, ща проверил на HiWatch DS-I110 с прошивкой V5.3.7 build 160318 - пароль поменялся, в веб-морду пустила.