The ZFT Lab. page...

Хакинг IP-камер на базе SoC HI3518

Введение

Целью данной публикации является сбор и анализ различной информации, которая разбросана по сети Интернет, а так-же практические эксперименты на имеющемся оборудовании.

Все имеющиеся в наличии WEB-камеры попадают в категорию 720p (по железу), однако, перечисленные ниже наработки подойдут и к большинству аналогичного оборудования, произведенного в Китае.

Самое важное и интересное – ссылки внизу по этому SoC !!!

Типы камер и их WEB-интерфейсы

Как правило, камеры имеют либо почти герметичный корпус для установки на улице, либо предназначены для работы внутри помещений.

Несмотря на одинаковую электронную “начинку”, камеры весьма значительно отличаются WEB-интерфейсом, прошивками и функционалом.

Камера #1

Отличительные особенности:

  • множество настроек на камере можно сделать непосредственно из браузера
  • поддерживаются любые браузеры
  • медиапорт 34567 для CMS данной камерой НЕ поддерживается

Заводские настройки:

  • 192.168.1.88
  • admin/admin

Открытые TCP порты:

# pscan 192.168.1.10
Scanning  192.168.1.10
 Port   Proto   State   Service
   80   tcp     open    www
  554   tcp     open    rtsp
 8080   tcp     open    onvif

Получение снапшотов:

  • http://login:password@192.168.1.88/tmpfs/auto.jpg
  • http://login:password@192.168.1.88/tmpfs/snap.jpg

Утилита управления (смена IP, сброс на заводские настройки):

  • SearchTool_setup.exe

Камера #2

Hardware

# dvrHelper
****************************************************
|                      SYSTEM INFO
|                 ID:           8043420004048425
|            product:           HI3518E_50H10L_S39
| forward video chip:           OV9712
| wireless interface:           USB
|   hardware version:           1
|      net_interface:           Ethernet
****************************************************

Отличительные особенности:

  • интерфейс достаточно аскетичен
  • поддерживается только IE браузер с плагином QuickTime (или хаки)
  • поддерживается медиапорт 34567 для CMS

Заводские настройки:

  • 192.168.1.10

Открытые TCP порты:

# pscan 192.168.1.10
Scanning  192.168.1.10
 Port   Proto   State   Service
   80   tcp     open    www
  554   tcp     open    rtsp
 8899   tcp     open    onvif
 9527   tcp     open    unknown
 9530   tcp     open    unknown
34567   tcp     open    for_cms

Получение снапшотов:

  • http://192.168.1.10/webcapture.jpg?command=snap&channel=1

Утилита управления (смена IP, сброс на заводские настройки, обновление прошивки):

  • General_DeviceManage_V2.5.2.1.T.20150820.exe

Структурные схемы

В процессе описания..


Image Sensor:1/4" Progressive Scan CMOS OV9712
Effective Pixels: 1280(H)x720(V)
Min. Illumination:Color: 0. 1Lux, B/W: 0.01Lux ; 0Lux(IR on)
Max. IR LEDs Length:Φ5 36pcs IR Led , IR Range 15m
Day/Night:Auto(ICR) / Color / B/W
White Balance:Auto
Gain Control:Auto/Manual
Focal Length:6mm
Max Aperture:F1.6
Angle of View:39.8
Mount Type:MTV mount (Interchangeable Lens)
Compression:H.264
Main Stream:HD 720P (1280*720) 25fps
Sub Stream:VGA 640*360 25FPS

Получение изображений

Пример получения маленького изображения

http://login:password@webcam_ip_address/tmpfs/auto.jpg

Пример получения изображения в формате HD

http://login:password@webcam_ip_address/tmpfs/snap.jpg
Префикс: IP/cgi-bin/hi3510/param.cgi? Описание
cmd=setmobilesnapattr&-msize=1 Размер картинки: 1 – 640x, 2 – 320x
cmd=setinfrared&-infraredstat=auto Режим IR подсветки: auto, open, close
cmd=setoverlayattr&-region=1&-show=1&-name=MyCam Изменить надпись на изображении (overlay)

Справочник

Login Password Telnet WEB
root xmhdipc y ?
root klv123 y ?
root xc3511 y ?
root 123456 y ?
root jvbzd y ?
default OxhlwSG8 ? y
defaul tlJwpbo6 ? y
defaul S2fGqNFs ? y 
rtsp://192.168.1.15/user=admin_password=mypass_channel=1_stream=0.sdp?real_stream
rtsp://192.168.1.15:554/user=admin&password=mypass&channel=0&stream=0.sdp?real_stream--rtp-caching=100
rtsp://<ip address>:554/11 -> 720P resolution or "MainFlow"
rtsp://<ip address>:554/12 -> VGA or "MinorFlow"
rtsp://<ip address>:554/13 -> the lowest "mobile phone" QVGA resolution

Очистка настроек – (cd /mnt/mtd ; rm -rf *)

Поддерживает вайфайные свистки на чипсете rt3070sta

Прошивка поддерживает три чипсета WiFi: MT7601U, RT5370 и RT2870

1. Захотим в загрузчик. (Включили питание и в течении 1 сек нужно нажать любую кавишу)
2. Добавляем к командной строке ядра опцию init и загружаемся.
hisilicon # setenv bootargs mem=43M console=ttyAMA0,115200 root=/dev/mtdblock2 rootfstype=jffs2 mtdparts=hi_sfc:512K(boot),2560K(kernel),13M(rootfs) init=/bin/sh
hisilicon # sf probe 0
16384 KiB hi_sfc at 0:0 is now current device
hisilicon # sf read 0x82000000 0x80000 0x280000
hisilicon # bootm 0x82000000
# cat /etc/shadow
# echo "root:\$1\$tiaLlxGM\$dYNMJJQRKN2buGE0u/R88/:16199:0:99999:7:::" > /etc/shadow
# echo "admin:\$1\$tiaLlxGM\$uIJ4ahSynKJuzEzWdw7sp/:16199:0:99999:7:::" >> /etc/shadow
# sync
Парезагружаем, всё! Теперь у камеры пароль для root стал root и для admin стал admin.

Список открытых портов

# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address   Foreign Address   State
tcp        0      0 0.0.0.0:34599   0.0.0.0:*         LISTEN
tcp        0      0 0.0.0.0:34567   0.0.0.0:*         LISTEN
tcp        0      0 0.0.0.0:34561   0.0.0.0:*         LISTEN   <= CMS
tcp        0      0 0.0.0.0:9527    0.0.0.0:*         LISTEN
tcp        0      0 0.0.0.0:8899    0.0.0.0:*         LISTEN   <= ONVIF
tcp        0      0 0.0.0.0:554     0.0.0.0:*         LISTEN   <= RTSP
tcp        0      0 0.0.0.0:80      0.0.0.0:*         LISTEN   <= HTTP
tcp        0      0 0.0.0.0:23      0.0.0.0:*         LISTEN   <= TELNET

Монтирование каталогов

# mount
rootfs on / type rootfs (rw)
/dev/root on / type cramfs (ro,relatime)
proc on /proc type proc (rw,relatime)
sysfs on /sys type sysfs (rw,relatime)
tmpfs on /dev type tmpfs (rw,relatime)
devpts on /dev/pts type devpts (rw,relatime,mode=600,ptmxmode=000)
/dev/mtdblock2 on /usr type squashfs (ro,relatime)
/dev/mtdblock3 on /mnt/web type squashfs (ro,relatime)
/dev/mtdblock4 on /mnt/custom type cramfs (ro,relatime)
/dev/mtdblock5 on /mnt/mtd type jffs2 (rw,relatime)
/dev/mem on /var type ramfs (rw,relatime)
/dev/mem2 on /utils type ramfs (rw,relatime)
usbfs on /proc/bus/usb type usbfs (rw,relatime)

Заметки

Получение информации о процессоре камеры

cat /mnt/custom/ProductDefinition | grep -e "Hardware"
"Hardware" : "HI3518E_50H10L_S39",

Раздел mtd4 монтируется в системе в папку /mnt/custom

mount -t squashfs /dev/mtdblock4 /mnt/custom

В этой папке можно создать специальный файл, который будет выполнен при старте камеры

/mnt/custom/extapp.sh

Для того, что-бы получить shell на консоли, можно выполнить команду, зайдя по Telnet

/sbin/getty -L ttyS000 115200 vt100 -n root -I "Auto login as root ..."

Настройки сети находятся тут /mnt/mtd/Config/network и их можно изменить командами

echo "HOSTIP = 172.17.32.101" >/mnt/mtd/Config/network
echo "SUBMASK = 255.255.255.0" >>/mnt/mtd/Config/network
echo "GATEWAYIP = 172.17.32.1" >>/mnt/mtd/Config/network

Таблица устройств [DeviceType C6F0SeZ3N0P0L0]

Software Version Web Ver. MAC address IP address Descrtiption
V7.1.9.2.1-20140612 00:E0:F8:10:26:18 172.28.160.101 Funduk-01
V7.1.0.2.1-20150626 V1.0.1 00:E0:F8:03:85:A4 172.28.160.102 Funduk-02
V7.1.9.2.1-20140612 00:E0:F8:10:01:A7 172.28.160.103 Funduk-03
V7.1.0.2.1-20150710 V1.0.1 00:E0:F8:03:F8:6C 172.28.160.104 Funduk-04
V7.1.9.2.1-20150204 00:E0:F8:01:70:72 172.17.32.51 Alley-01
V7.1.9.2.1-20150204 V1.0.1 00:E0:F8:00:B7:06 172.17.32.52 Alley-02
V7.1.9.2.1-20150204 V1.0.1 00:E0:F8:01:7E:E8 172.17.32.54 Alley-04

Внутренние ссылки

Внешние ссылки

Published

03 September 2015

Tags