硬件和软件似乎都不是创米自己做的,而是成都微网优联这家公司贴牌。在其公司的安防产品线目录就有这一款机器。固件内的产品代号为TC216,使用同一硬件可能的马甲型号还有:TCL品牌的电信小翼管家版TC326,星网锐捷平台的联通版HC150

硬件参数

  • 型号:创米爱飞讯 CMSXJ56H
  • SoC:国科微 GK7605V100
  • CMOS:格科微 GC4023 4MP
  • DDR:外置128MB
  • ROM:16MB NOR
  • 网络:有线 + WiFi,模块为RTL8188FTV USB接口
  • 生成厂家:成都微网优联

获取root权限

闪存结构和挂载点

/dev/mtdblock4 on /usr type jffs2 (rw,relatime)
/dev/mtdblock5 on /data type jffs2 (rw,relatime)
/dev/mtdblock6 on /system type jffs2 (rw,relatime)

启动分析

关键的几个分区都是jffs2格式,且挂载为可读写。/system/etc/shadow会被自动映射到/etc/shadow,其内密码为根据当前日期自动生成,且每天都会变化,好狠。

只需要启动到/bin/sh后手动挂载/dev/mtdblock6,修改其内etc/shadow删掉密码即可免密码登录获得root权限。进去后先修改自动替换密码的脚本system/scripts/passwd_update.sh,避免密码被再次自动修改

工厂模式

系统会检测/data目录下是否存在文件factory_mode,如果存在便会进入工厂模式,会打开telnet,并在80端口运行一个httpd服务器,可以上传更新固件,有一个mjpeg预览窗口,还可以获取当前视频截图

  • mjpeg视频流:http://ip_addr/cgi-bin/motion_jpeg
  • 单张截图:http://ip_addr/cgi-bin/get_oneShot

其他没发现啥有用的功能。

RTSP协议

主程序不支持rtsp协议,似乎需要另一个程序rtsp_server,但我这台机器内没有带

安装OpenIPC