hackerman

практикую извлечение пароля и данных из 300 400 элтиса

Рекомендуемые сообщения

привет из лиги слаботочников!

я уже давно изучаю уязвимости различной электроники и микроконтроллеров. снимал защиту от чтения методом напилинга стиранием при плохом питании практиковал ресет глитч для атмег и даже стирал фьюзы точечным облучением чипа.

 

сейчас сосредоточил усилия на конкретной атмеге от 400 элтиса. цель достигнуть 99% извлекаемости данных из залоченного чипа. процессор там говно. прошивка тоже да еще и с закладкой которую элтис выставляет как преимущество. решил для практической пользы выбрать этот пидорастический домофон с которого пароль не сбрасывается. нужно больше практики и подопытных панелей.

 

всем желающим в ленинграде извлеку пароль из четырехсотки за 400р без повреждения данных и железа за пару дней максимум неделю. учитывая шанс успеха готов делать на спор. с учетом того что денег нихрена нет хороший вариант. коплю на диплом. (эх жаль тема диплома не реверс инжиниринг мк). но если грохну панель в процессе значит не судьба. услуга предоставляется "как есть". если обслуживает элтис сервис то 1000р. интересен сам процесс изучения и ковыряния процессора и поиска аппаратных багов но не хватает доноров для изучения. хотелось бы еще взглянуть на трехсотую серию если будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нах весь кипиш , еще и с разбором как я понял ?

Элтис продает пароли сам , услуга восстановления стоит 500 руб . , по крайней мере в том году был такой прайс , в ответ на скан липового договора обслуживания панели и 500 деревянных они выдают пароль из руководства , если он не подошел , выдают заводской , который не меняется - а дальше гуляй вася , меняй админский , меняй установщика , выгоняй базу на 1996 , пиши ключи , все по красоте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

был у меня интересный квест убедить кого то в элтис сервисе дать мне пароль от панели которую они сами обслуживают. очень надо было. убедил. но проще и быстрее было сразу сдернуть панель поставить времянку расковырять проц слить прошивку достать данные и залить прошивку во времянку. мой метод специально для панелей которые обслуживает элтис сервис. да и неспортивно это мы не ищем легких путей

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

был у меня интересный квест убедить кого то в элтис сервисе дать мне пароль от панели которую они сами обслуживают. очень надо было. убедил. но проще и быстрее было сразу сдернуть панель поставить времянку расковырять проц слить прошивку достать данные и залить прошивку во времянку. мой метод специально для панелей которые обслуживает элтис сервис. да и неспортивно это мы не ищем легких путей

на счет убеждения не знаю , я вообще не контактировал с людьми лично, официальный запрос с отсылкой доков , к обеду они выставили счет и на завтра прислали все , второй раз делал через диллера местного , так он вообще это бесплатно сделал причем еще быстрее.

на счет того - что дергать панели - проще - я фиг знает , у вас там такая многоходовочка , жильцы в репу дадут где-то по середине процесса, так что назвать этот метод "проще и быстрее" у меня язык не поворачивается.

о спортивности - должно быть как можно меньше манипуляций

меня вот заинтересовал бы подборщик пароля , который вешается на клаву , говорят что за ночь с таймаутами вполне реально , но я как бы исключительно слышал о приборе - не схему не в работе не видел , а было бы интересно , а если бы подбирал быстрее так вообще сказка

а снимать панели - вешать времянку - ну нет - зачем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

был у меня интересный квест убедить кого то в элтис сервисе дать мне пароль от панели которую они сами обслуживают. очень надо было. убедил. но проще и быстрее было сразу сдернуть панель поставить времянку расковырять проц слить прошивку достать данные и залить прошивку во времянку. мой метод специально для панелей которые обслуживает элтис сервис. да и неспортивно это мы не ищем легких путей

на счет убеждения не знаю , я вообще не контактировал с людьми лично, официальный запрос с отсылкой доков , к обеду они выставили счет и на завтра прислали все , второй раз делал через диллера местного , так он вообще это бесплатно сделал причем еще быстрее.

на счет того - что дергать панели - проще - я фиг знает , у вас там такая многоходовочка , жильцы в репу дадут где-то по середине процесса, так что назвать этот метод "проще и быстрее" у меня язык не поворачивается.

о спортивности - должно быть как можно меньше манипуляций

меня вот заинтересовал бы подборщик пароля , который вешается на клаву , говорят что за ночь с таймаутами вполне реально , но я как бы исключительно слышал о приборе - не схему не в работе не видел , а было бы интересно , а если бы подбирал быстрее так вообще сказка

а снимать панели - вешать времянку - ну нет - зачем

пробовал. вместо счета прислали матерные слова по поводу того что это их панель и хуй кому они от нее пароль дадут. я таки смог их убедить что пароль мне стоит дать но второй раз не было желания так делать.

 

подобрать за ночь абсолютно нереально. пробовал турбирование процессора изменение опорного напряжения увеличение питания с турбированием нихрена. совершенно точно невозможно за ночь. была такая мысль чтобы спиздить панель ночью часов в 12 за 3-4 часа вытащить пароль и до утра успеть собрать все как было чтобы работало. подбор пароля пытался но это долго и тупиковая ветка. а вот молниеносные атаки на камень с аппаратными ошибками или ресет глитч это интересная перспектива.

 

когда нужны данные дергаю панель ставлю свою прописываю номер первой квартиры и автосбор и спокойно дербаню снятую. экспресс напилинг процессора с выживаемостью 80% можно провести за 2-10 часов и иногда успеть вернуть живую панель на место в ту же ночь.

 

также есть метод шоковой терапии модифицированным 60 вольтовым программатором при котором сгорает 3-4 вывода но атмега теряет фьюзы. подготовка 3-10 минут разлочка камня 10 секунд если выживет. шанс сделать из элтиса камень 80-90%. на боевых установленных панелях не практиковал только из запаса. если взять отладочный сокет 48 чтобы ничего не паять и идти вдвоем и с шуриком с подготовленным программатором итд можно одну панель обработать минуты за три и прикрутить дохлую обратно. актуально для добычи районного пароля если надо срочно. за 20 минут результат почти гарантируется правда будет 4-6 дохлых панелей на выходе.

 

в репу не дадут. идем в робе с любой предыдущей работы морду кирпичом меняем быстро одну панель на другую все. предел наглости 35 минут спиливать приваренные болты болгаркой до этого никто даже не спросил что происходит. ковыряем. ночью старший помощник рут поменяет панель обратно как было. данные получены заявка на пароль в элтисе не появилась а если панель ставил сам элтис избежали кучи головной боли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

меня вот заинтересовал бы подборщик пароля , который вешается на клаву , говорят что за ночь с таймаутами вполне реально , но я как бы исключительно слышал о приборе - не схему не в работе не видел , а было бы интересно , а если бы подбирал быстрее так вообще сказка

а снимать панели - вешать времянку - ну нет - зачем

я тоже читал про этот подборщик от Юрия на сайте Элтиса, меня он тоже интересует

https://www.eltis.co...c310/?PAGEN_1=2

 

Нету ни у кого схемки с прошивкой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

меня вот заинтересовал бы подборщик пароля , который вешается на клаву , говорят что за ночь с таймаутами вполне реально , но я как бы исключительно слышал о приборе - не схему не в работе не видел , а было бы интересно , а если бы подбирал быстрее так вообще сказка

а снимать панели - вешать времянку - ну нет - зачем

я тоже читал про этот подборщик от Юрия на сайте Элтиса, меня он тоже интересует

https://www.eltis.co...c310/?PAGEN_1=2

 

Нету ни у кого схемки с прошивкой?

Есть. Я делал это очень давно идея моя да и прошивка у Юрия вероятно тоже моя будет. Но подбор это тупиковая ветка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть. Я делал это очень давно идея моя да и прошивка у Юрия вероятно тоже моя будет. Но подбор это тупиковая ветка

Почему тупиковая, перебрать 100.000 возможных паролей для Элтса, при скорости 3 пароля в минуту, можно где-то за 23 дня

У меня просто валяется дома бв дп300 и плата от бв дп400, больше 2х лет, не знаю чё с ними делать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть. Я делал это очень давно идея моя да и прошивка у Юрия вероятно тоже моя будет. Но подбор это тупиковая ветка

Почему тупиковая, перебрать 100.000 возможных паролей для Элтса, при скорости 3 пароля в минуту, можно где-то за 23 дня

У меня просто валяется дома бв дп300 и плата от бв дп400, больше 2х лет, не знаю чё с ними делать

26 дней перебор. У меня методом подбора на практике получалось обычно за 2-8 часов но это не сравнимо с мгновенной атакой на атмегу. 10 секунд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

26 дней перебор. У меня методом подбора на практике получалось обычно за 2-8 часов но это не сравнимо с мгновенной атакой на атмегу. 10 секунд.

Ну так что там со схемкой переборщика, она приватная или можно уже выложить в паблик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть. Я делал это очень давно идея моя да и прошивка у Юрия вероятно тоже моя будет. Но подбор это тупиковая ветка

Почему тупиковая, перебрать 100.000 возможных паролей для Элтса, при скорости 3 пароля в минуту, можно где-то за 23 дня

У меня просто валяется дома бв дп300 и плата от бв дп400, больше 2х лет, не знаю чё с ними делать

26 дней перебор. У меня методом подбора на практике получалось обычно за 2-8 часов но это не сравнимо с мгновенной атакой на атмегу. 10 секунд.

Если бы камень при этом не сгорал с большей долей вероятности как вы сами пишите, было бы крайне интересно, а так перебор достаточно интересен с целью получения пароля установщика , мне вот админский вообще нафиг не нужен.

 

Вообще было бы красиво завести все это на малине, поставить расписание подбора , чтобы не мешать пользователям и собрать все в зад в стену.

 

А вообще, но это из области фантастики , я подозреваю что заводские админские пароли генирят на основании серийника панели ,но алгоритм нам не узнать ни когда, только слив из недр элтиса

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вообще мне крайне интересна 400я панель , у меня во первых их на районе 80% в новострое, плюс единственная организация моего города балующаяся с MF , делает это тоже на этой панели, и получить возможность писать в панель , а бонусом ещё снимать блокировку вызова , это просто золотое дно)))

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть. Я делал это очень давно идея моя да и прошивка у Юрия вероятно тоже моя будет. Но подбор это тупиковая ветка

Почему тупиковая, перебрать 100.000 возможных паролей для Элтса, при скорости 3 пароля в минуту, можно где-то за 23 дня

У меня просто валяется дома бв дп300 и плата от бв дп400, больше 2х лет, не знаю чё с ними делать

26 дней перебор. У меня методом подбора на практике получалось обычно за 2-8 часов но это не сравнимо с мгновенной атакой на атмегу. 10 секунд.

Если бы камень при этом не сгорал с большей долей вероятности как вы сами пишите, было бы крайне интересно, а так перебор достаточно интересен с целью получения пароля установщика , мне вот админский вообще нафиг не нужен.

 

Вообще было бы красиво завести все это на малине, поставить расписание подбора , чтобы не мешать пользователям и собрать все в зад в стену.

 

А вообще, но это из области фантастики , я подозреваю что заводские админские пароли генирят на основании серийника панели ,но алгоритм нам не узнать ни когда, только слив из недр элтиса

подбирать на установленной панели тем более лепить это к ней бред хотя бы потому что придется лепить еще отключение звука. все равно кто нибудь заметит. проще свою панель поставить на несколько дней поменяться за 5 минут а не паять ничего к установленной. а если панель с уникальным принтом от жилкововцев то раз дошли до пайки проще всего сдуть проц посадить свой поставленный в автосбор и мучать взятый проц дома. потом получив пароль просто записать через 1996 ключ родное содержимое.

 

мне обычно присылают для извлечения пароля и вездехода 2 цельнотянутые панели с одного дома. стоит это дело косарь плюс панели если выжили оседают на авито. и мифаре присылали мифаревский вездеход тоже генерил для пробки. к слову из калининграда тоже была панелька правда вездехода там не обнаружено

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

26 дней перебор. У меня методом подбора на практике получалось обычно за 2-8 часов но это не сравнимо с мгновенной атакой на атмегу. 10 секунд.

Ну так что там со схемкой переборщика, она приватная или можно уже выложить в паблик?

схему выложил бы если бы она была. даже не знаю что хуже будет если я матерными словами опишу что куда втыкается или если нарисую что нибудь. выложу схему как только найдется тот кто сможет по устному описанию изобразить эту самую схему и развести печатку в виде шилда для ардуины и под отдельный проц. прошивку для полученного изделия дам всем как только проверю что она работает с полученной печаткой. по желанию дам прошивку для отладки тем кто пожелает заморочиться с изготовлением печатки сразу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

щя скину фото прототипа с которого возможно получится содрать схему. текстовые пояснения обязательно будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть. Я делал это очень давно идея моя да и прошивка у Юрия вероятно тоже моя будет. Но подбор это тупиковая ветка

Почему тупиковая, перебрать 100.000 возможных паролей для Элтса, при скорости 3 пароля в минуту, можно где-то за 23 дня

У меня просто валяется дома бв дп300 и плата от бв дп400, больше 2х лет, не знаю чё с ними делать

26 дней перебор. У меня методом подбора на практике получалось обычно за 2-8 часов но это не сравнимо с мгновенной атакой на атмегу. 10 секунд.

Если бы камень при этом не сгорал с большей долей вероятности как вы сами пишите, было бы крайне интересно, а так перебор достаточно интересен с целью получения пароля установщика , мне вот админский вообще нафиг не нужен.

 

Вообще было бы красиво завести все это на малине, поставить расписание подбора , чтобы не мешать пользователям и собрать все в зад в стену.

 

А вообще, но это из области фантастики , я подозреваю что заводские админские пароли генирят на основании серийника панели ,но алгоритм нам не узнать ни когда, только слив из недр элтиса

подбирать на установленной панели тем более лепить это к ней бред хотя бы потому что придется лепить еще отключение звука. все равно кто нибудь заметит. проще свою панель поставить на несколько дней поменяться за 5 минут а не паять ничего к установленной. а если панель с уникальным принтом от жилкововцев то раз дошли до пайки проще всего сдуть проц посадить свой поставленный в автосбор и мучать взятый проц дома. потом получив пароль просто записать через 1996 ключ родное содержимое.

 

мне обычно присылают для извлечения пароля и вездехода 2 цельнотянутые панели с одного дома. стоит это дело косарь плюс панели если выжили оседают на авито. и мифаре присылали мифаревский вездеход тоже генерил для пробки. к слову из калининграда тоже была панелька правда вездехода там не обнаружено

 

а че бред то , звук отключить , если оно по вашим словам за 2-8 часов подбирает , на ночь запустить , ну заметит ночью кто-то что-то она там на экран чего-то выдает , не велика потеря , к утру все снял , все довольны

 

по мне так замена панели больше вопросов создаст

 

а вообще если описываемая вами атака не будет приводить к выходу из строя камня в каком-то все таки большем проценте чем сейчас , она бы была наиболее интересным вариантом , можно было действительно не месте в течении получаса с разбором сбором справляться я думаю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Заменить панель это очень быстро если не рукожопить. А вот припаивание какой то хуйни к панели это долго и все кому ни лень доебутся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

При замене панели просто ставим её и нахуй. Она не требует отключения чего то или дополнительных срочных действий. В случае шухера мы не проебываем своё железо. При замене получаем железку примерно той же стоимости вместо установленной. Менять желательно ночью. Надёжность. Если мифаре то автосбор и не залоченая пробка купленная отдельно от панели

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В крайнем случае если подменный фонд пуст просто спиздить панель эффект будет тот же что и при установке подбирали на работающую панель и снятие её потом а продуктивность и риск опиздюлиться меньше. Потом кинуть панель в подьезд

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 04.05.2020 в 17:22, hackerman сказал:

схему выложил бы если бы она была. даже не знаю что хуже будет если я матерными словами опишу что куда втыкается или если нарисую что нибудь. выложу схему как только найдется тот кто сможет по устному описанию изобразить эту самую схему и развести печатку в виде шилда для ардуины и под отдельный проц. прошивку для полученного изделия дам всем как только проверю что она работает с полученной печаткой. по желанию дам прошивку для отладки тем кто пожелает заморочиться с изготовлением печатки сразу.

На самом деле всё довольно просто описать.

1. Подключение самого устройства к клавиатуре, индикатору ( на соответствующие сегменты )

     и ещё должно быть подключение к контактам OP и GND панели.

     Всю коммутацию проще сделать на реле.

     Сами реле подключать или к ардуине, или к МК ( кому как удобнее ).

     Ну и нужно ещё подключить индикатор для вывода информации.

     Это минимум.

      Для удобства работы с устройством я бы ещё подключил клавиатуру ( 5 клавиш ) ........

 

2. А программа перебора паролей должна выполнять такой алгоритм:

    а. Вводим код 12321 + В

   б. Вводим пароль + В

  в. Анализируем состояние индикатора панели.

  г. Если пароль подошёл, то останов с индикацией этого пароля. 

      Если пароль не подошёл, то увеличиваем его на на +1 и переходим к пункту "б". 

      И самое главное  - после каждого 4-го вводимого пароля надо обязательно вывод "OP" панели замыкать на GND !!!

 

  

 

 

 

 

        

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 hour ago, petr5555 said:

На самом деле всё довольно просто описать.

1. Подключение самого устройства к клавиатуре, индикатору ( на соответствующие сегменты )

     и ещё должно быть подключение к контактам OP и GND панели.

     Всю коммутацию проще сделать на реле.

     Сами реле подключать или к ардуине, или к МК ( кому как удобнее ).

     Ну и нужно ещё подключить индикатор для вывода информации.

     Это минимум.

      Для удобства работы с устройством я бы ещё подключил клавиатуру ( 5 клавиш ) ........

 

2. А программа перебора паролей должна выполнять такой алгоритм:

    а. Вводим код 12321 + В

   б. Вводим пароль + В

  в. Анализируем состояние индикатора панели.

  г. Если пароль подошёл, то останов с индикацией этого пароля. 

      Если пароль не подошёл, то увеличиваем его на на +1 и переходим к пункту "б". 

      И самое главное  - после каждого 4-го вводимого пароля надо обязательно вывод "OP" панели замыкать на GND !!!

 

  

 

 

 

 

        

 

 

Верно. Реле надо 7 штук по 20р оптопар 12 штук по 12р. Реле должны замыкаться одновременно два и попадать в тайминги плюс износ и звук а оптопары одна и задержка нулевая косяков ноль тихо дешевле. Больше всего интересует зачем замыкать на землю. Все и так работает. Хотя у меня включена подтяжка если это связано с какой нибудь ёмкостью на линии это я пофиксил походу до того как узнал

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 24.05.2020 в 13:47, hackerman сказал:

Верно. Реле надо 7 штук по 20р оптопар 12 штук по 12р. Реле должны замыкаться одновременно два и попадать в тайминги плюс износ и звук а оптопары одна и задержка нулевая косяков ноль тихо дешевле. Больше всего интересует зачем замыкать на землю. Все и так работает. Хотя у меня включена подтяжка если это связано с какой нибудь ёмкостью на линии это я пофиксил походу до того как узнал

  

Конечно можно коммутировать по-разному. Можно ещё и на электронных ключах ( 3 микросхемы по 12 руб. ) и т. п.

Ну это уже кто как сделает......

 

 

В этих панелях после ввода 5-го неверного пароля происходит сброс ( довольно долгий с индикацией номера прошивки и номера панели )

и потом надо всё начинать сначала 12321 и т. д.

Если после ввода 4-го пароля замыкать OP на землю, то можно ( после отработки функции открытия ) продолжать подбор пароля.

Так должно быть несколько проще и быстрее ......

Правда надо будет предусмотреть в программе ручной ввод времени открытия ( так как это время может быть разное у разных панелей ).

 

Кстати, была ещё и такая панель как ELTIS-VIZIT.

Вот там всё немного по-другому и замыкание OP на землю не срабатывает, и паролей можно вводить только 3 ......

Правда сброс не такой долгий как в 400-х.

 

P.S.

Вообще интересный может получиться приборчик если собрать в нём все варианты поиска паролей 

и работы с памятью для панелей Элтис разных модификаций.

А если ещё добавить в устройство  память для хранения найденных паролей и сначала производить проверку

новой панели на уже имеющиеся .............

 

 

Я тут на выходных попробовал набросать схему и слепить часть прошивки ( пока для 400-х панелей ).

За основу взял MEGA128 + индикатор + клавиатура.

В программе можно задавать начальную границу поиска пароля и время открытия ( OPEN = 1 - 20 сек ).

В Протеусе всё вроде  работает ........

Правда пока все задержки для программы брал "с потолка" и анализ данных с индикатора панели сделал

по упрощённой схеме ( правда для 400-х панелей можно сделать проще и следить за OP ).

Впрочем, всё это надо отлаживать уже в железе !

 

 

 

 

 

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вступить в беседу

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...