Reverse engenharia firmware da câmera IP para encontrar a senha de administrador

2

Estou tentando reverter a engenharia de um firmware de câmera IP e encontrei o ROM OS completo, mas gostaria de descobrir a senha do sistema, então olhei para /etc/passwd .

O arquivo não está lá, ele está em /etc/default/passwd e aqui está seu conteúdo:

# cat passwd
admin:hgZXuon0A2DxN:0:0:Administrator:/etc/config:/bin/sh
viewer::1:1:Viewer:/:/dev/null

Então, agora estou procurando o arquivo shadow e existe esse arquivo na ROM completa?

Então estou um pouco confuso aqui: qual é o tipo de criptografia usado neste sistema? Btw eu quero aprender sobre como fazê-lo não apenas procurar uma tabela de senha (btw que iria funcionar na web ui, mas não no telnet) e cada tutorial parece usar esse tipo de hash:

root:$6$jcs.3tzd$aIZHimcDCgr6rhXaaHKYtogVYgrTak8I/EwpUSKrf8cbSczJ3E7TBqqPJN2Xb.8UgKbKyuaqb78bJ8lTWVEP7/:0:0:root:/root:/bin/bash

Não é o que eu tenho

    
por TurtleForGaming Apps 13.07.2018 / 00:19

4 respostas

0

Nesse formato (ou seja, antes de /etc/shadow e sem $...$ prefixo) é provavelmente (3) baseado em DES hashing , veja link e a tabela acima desse parágrafo:

The original password encryption scheme was found to be too fast and thus subject to brute force enumeration of the most likely passwords.[10] In Seventh Edition Unix,[12] the scheme was changed to a modified form of the DES algorithm

Se você usar essa ferramenta link , ela diz o seu valor:

Analyzing 'hgZXuon0A2DxN'
[+] DES(Unix)
[+] Traditional DES
[+] DEScrypt

Uma ferramenta de força bruta como hashcat deve ser capaz de encontrar a senha original com base nisso. Ele também informa o seu hash específico de que o valor do hash está errado (por esse motivo: link ). Nesse caso, , se isso é realmente um hash, é provavelmente hgZXuon0A2DxM .

Observe um "recurso" interessante desse tipo de armazenamento de senhas (se for um armazenamento Unix baseado em DES verdadeiramente antigo): somente os primeiros 8 bytes (daí os caracteres porque UTF-8 era inédito) são levados em conta, de modo que limita o espaço de valores possíveis.

    
por 13.07.2018 / 23:01
2

Em vez de tentar descobrir isso, eu procuraria a marca / modelo e descobriria qual é a senha padrão para ela. Esse tipo de informação é onipresente na internet.

Websites como este intitulado: Eu não sei qual o nome de usuário e senha para entrar quando configurar minha câmera de rede , tenha esta informação que é muito mais fácil do que ter que realmente quebrá-lo:

Manufacturer  Default user name   Default password
ACTi          Admin               123456
Axis          root                pass
D-Link        admin               [none]
IQinVision    root                system
LinkSys       admin               admin
Panasonic     [none]              [none]
Sony          admin               admin
TRENDnet      admin               admin

Sites como esse são dúzias de dúzia e, a menos que você tenha alterado a senha, ela será uma das padrão para sua marca / modelo.

Seu dispositivo

O stardot da empresa está nesta lista: Diretório de senhas padrão de câmeras IP .

Stardot: admin/admin

    
por 13.07.2018 / 01:00
0

Ninguém pode dizer exatamente o que esse sistema faz, a menos que alguém tenha exatamente a mesma câmera IP (e você esqueceu de mencionar a marca e o modelo exatos).

Mas podemos adivinhar: /etc/default/passwd é provavelmente um modelo copiado do flash rom para /etc/passwd , que provavelmente reside em um sistema de arquivos de sobreposição em outra partição do flash rom. Quaisquer alterações feitas na senha real estarão nesta partição; então, ter a imagem da ROM não é suficiente.

Mas você pode tentar a senha padrão. Existem ferramentas que podem quebrar senhas unix , se houver tempo suficiente e memória.

BTW, também há um stackexchange de engenharia reversa .

    
por 13.07.2018 / 07:56
0

Sua pergunta sobre o formato dessa senha estar estranha para você é que atualmente você pode ter muitos formatos de senha criptografada no Unix / Linux.

Em um passado distante, o formato padrão e mais comum eram as senhas criptografadas usando o algoritmo crypt . qual é o caso que você está nos apresentando.

O arquivo shadow também foi uma adição posterior e, em Linuxes arcaicos (ou incorporados na verdade), é possível encontrar a senha criptografada em /etc/passwd . Então eu não ficaria muito surpreso em não encontrar o arquivo shadow .

Hoje você tem vários formatos, que são facilmente identificados pelos seus primeiros personagens.

Então você tem:

crypt - sem stard e identificador inicial, fixou 13 caracteres ascii como comprimento.

$1$ - md5
$2a$ - Blowfish
$2y$ - Blowfish, with correct handling of 8 bit characters
$5$ - sha256
$6$ - sha512

veja Entendendo e gerando o hash armazenado em / etc / shadow

    
por 13.07.2018 / 14:22