Обратный инжиниринг прошивки IP-камеры, чтобы найти пароль администратора

Я пытаюсь выполнить обратное проектирование прошивки IP-камеры и нашел полную ОС ПЗУ, но я хотел бы узнать системный пароль, поэтому я посмотрел на /etc/passwd .

Файл не там, он находится в /etc/default/passwd и вот его содержимое:

 # cat passwd admin:hgZXuon0A2DxN:0:0:Administrator:/etc/config:/bin/sh viewer::1:1:Viewer:/:/dev/null и # cat passwd admin:hgZXuon0A2DxN:0:0:Administrator:/etc/config:/bin/sh viewer::1:1:Viewer:/:/dev/null 

Итак, теперь я ищу shadow файл, и есть ли такой файл в полном ROM?

Так что я немного запутался, какой тип шифрования используется в этой системе? Кстати, я хочу узнать, как это сделать, а не просто искать таблицу паролей (кстати, она будет работать в веб-интерфейсе, но не в telnet), и каждый учебник, похоже, использует этот тип hashа:

 root:$6$jcs.3tzd$aIZHimcDCgr6rhXaaHKYtogVYgrTak8I/EwpUSKrf8cbSczJ3E7TBqqPJN2Xb.8UgKbKyuaqb78bJ8lTWVEP7/:0:0:root:/root:/bin/bash 

Не тот, который у меня есть

В этой форме (то есть до /etc/shadow и без префикса $...$ ) это, вероятно, (3) хеширование на основе DES , см. https://en.wikipedia.org/wiki/Crypt_%28C%29# Traditional_DES-based_scheme и таблица над этим абзацем:

Первоначальная схема шифрования паролей оказалась слишком быстрой и, таким образом, подвергалась переборам наиболее вероятных паролей. [10] В седьмом издании Unix [12] схема была изменена на модифицированную форму алгоритма DES

Если вы используете этот инструмент https://github.com/psypanda/hashID, он говорит о вашей ценности:

 Analyzing 'hgZXuon0A2DxN' [+] DES(Unix) [+] Traditional DES [+] DEScrypt 

Инструмент грубой форсировки, такой как hashcat должен быть в состоянии найти оригинальный пароль на основе этого. Он также сообщает вам для вашего конкретного хеша, что значение хеша неверно (по этой причине: https://hashcat.net/forum/thread-3809.html ), и в этом случае, если это действительно хеш, скорее всего, вместо hgZXuon0A2DxM ,

Обратите внимание на интересную «особенность» такого типа хранилища паролей (если это действительно древнее хранилище Unix на основе DES): учитываются только первые 8 байтов (отсюда и символы, потому что тогда UTF-8 не было слышно), так что ограничения пространство возможных значений.

Вместо того, чтобы пытаться взломать это, я посмотрю марку / модель и выясню, какой пароль по умолчанию для нее. Этот тип информации вездесущ в Интернете.

Такие сайты, как этот, под названием: « Я не знаю, какое имя пользователя и пароль вводить при настройке сетевой камеры , получить эту информацию гораздо проще, чем просто взломать ее»:

 Manufacturer Default user name Default password ACTi Admin 123456 Axis root pass D-Link admin [none] IQinVision root system LinkSys admin admin Panasonic [none] [none] Sony admin admin TRENDnet admin admin 

Сайтов, подобных этому, стоит десять с небольшим, и если вы не изменили пароль, он будет одним из стандартных по умолчанию для вашей марки / модели.

Твое устройство

Компания Stardot находится в этом списке: IP-камеры по умолчанию каталог паролей .

Stardot: админ / админ

Никто не может сказать вам, что именно делает эта система, если у кого-то нет точно такой же IP-камеры (и вы забыли указать точную марку и модель).

Но мы можем догадаться: /etc/default/passwd – это, вероятно, шаблон, скопированный из флэш-памяти в /etc/passwd , который, вероятно, находится в оверлейной файловой системе в другом разделе флэш-памяти. Любые изменения, внесенные в действительный пароль, будут в этом разделе; поэтому наличие образа ROM недостаточно.

Но вы можете попробовать пароль по умолчанию. Есть инструменты, которые могут взломать пароли Unix, если у них достаточно времени и памяти.

Кстати, есть также обратный обмен стека обмена .

Ваш вопрос о том, что формат этого пароля является странным для вас, заключается в том, что на самом деле в настоящее время вы можете иметь много зашифрованных форматов паролей в Unix / Linux.

В далеком прошлом по умолчанию и наиболее распространенным форматом были пароли, зашифрованные с использованием алгоритма шифрования. это тот случай, когда вы нам это представляете.

shadow файл также был добавлен позже, и в архаичных Linux-системах (или встроенных фактически) вы можете найти зашифрованный пароль в /etc/passwd . Так что я не сильно удивлюсь, если не shadow файл shadow .

В настоящее время у вас есть несколько форматов, которые легко идентифицируются по первым символам.

Так что у тебя есть:

crypt – нет стандартного начального идентификатора, фиксированная длина 13 символов ascii.

$ 1 $ – MD5
$ 2a $ – Blowfish
$ 2y $ – Blowfish, с правильной обработкой 8-битных символов
5 $ – sha256
6 $ – sha512

см. Понимание и создание hashа, хранящегося в / etc / shadow