户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

  • A+
所属分类:lcx

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

核总在几天前与某人开玩笑,说是打卡机的语音提示太单调乏味了,然后有了修改它的想法。

于是在几天前的一个晚上,花了点时间研读了中控指纹考勤系统的全部资料,然后入侵了公司的中控指纹语音打卡机。

已拿到三个管理接口的超级管理权限!然后将打卡机“调教”了一番,使它“学会”卖萌。。。。

同时发现该考勤系统存在诸多安全问题(包括官方后门),具体见我稍后整理的文档,这里先放出部分照片,大家尽情的膜拜吧!

(PS:本次入侵没有破坏任何数据,并且没有影响正常打卡,卡机完好无损!)


那么,本次入侵目的已确定,修改中控指纹语音考勤机的语音提示内容以及待机图片。

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

型号:北京中控科技(Zksoftware)全球指纹考勤机U260

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

机身接口

(PS:本文中的考勤机型号为:北京中控科技(Zksoftware)全球指纹考勤机U260,其他型号类似,这里贴一点简单资料。)

型号:

北京中控科技(Zksoftware)全球指纹考勤机 u260

http://www.kqj123.com/main.asp?pid=66&id=5
http://www.zksoftware.com.cn/product_show.asp?photoid=1441

简介:

北京中控科技(Zksoftware)全球指纹考勤机、人脸考勤机、门禁系统...
中控人脸考勤机,指纹考勤机,北京门禁,刷卡打卡机就上全球领先的中控指纹考勤机官网。专业提供中控考勤机,北京考勤机,中控门禁安装,指纹考勤机生物领域的领导者。

www.kqj123.com

指纹考勤门禁系统_指纹锁_一卡通系统_指纹考勤机_指纹采集器
广州市中控电子科技有限公司是一家专业从事高科技产品销售及服务的科技公司。公司的产品有指纹考勤门禁系统,指纹锁、一卡通,企业网络解决方案,指纹考勤机等。欢迎广大...

www.zksoftware.com.cn

ZKTeco

http://cn.zksoftware.com/

产品名称: U260
产品型号: 智能型会说话的指纹考勤机
所属类别: 指纹识别验证终端
查看次数: 539

产品介绍:

U260是中控科技基于自主研发的业界领先的多媒体ZEM510系列开发平台设计生产的中高端彩屏指纹考勤机。该产品在系统操作、比对验证时都会有语音提示,无需对照查看说明书就可让客户应用自如,内嵌WEB SERVER管理系统,客户可通过WEB轻松设置TTS语音,可直接通过机器输入汉字,编辑用户姓名,实现智能化操作。采用3寸6万5千色高清彩屏,Linux系统的自助式身份识别终端,光学系统采用了全新防抖设计,保证指纹图像更加清晰有效,可用U盘下载考勤数据及短消息,具有定时定人对公对私发送短消息功能,在接口方面不仅标准配制了TCP/IP接口,而且配置了支持Client模式的USB接口,使得接口技术与IT技术的发展同步,数据传输是232方式数倍以上,另外标准配置的TCP/IP网络接口,支持跨网段,由于采用了全球主流的LINUX系统网络传输稳定可靠,每一台设备均有合法授权的唯一MAC地址,适合在环境复杂的网络环境中使用。U系列目前被业界称为最为领先的指纹考勤终端产品,让我们携手进入没有232接口的高速USB时代!

产品特点:

·混合式引擎识别算法在系统可靠性、准确性、识别速度都有明显提高,可以在2秒内处理3000枚好坏指纹均匀分布的指纹
·内嵌TTS技术,可以自定义播放各种语音
·内置强大美国Intel32位嵌入式指纹识别模块(ZEM500),很容易集成到各种系统中
·基于主板的嵌入开发系统(EDK)是一个多功能的通用嵌入式Linux脱机指纹产品开发平台,能够满足大多数基于指纹的嵌入式市场需求。
·中控指纹仪在新版中标配,全面提升指纹识别质量
·支持射频卡等卡类设备输入和输出,可配置ID卡、Mifare卡多种方式考勤.
·能够实现休眠模式功能、软件控制关机,设置定时开机
·光学采集器“增强膜”,提高图象质量,接受干、湿手指,支持手指360度识别,易用性能良好
·主板设计长时间24小时不间断运行
·具备电压监控,可编程看门狗定时器功能
·客户无需附加任何单片机直接利用EDK主板轻松进行量身定制,满足行业客户需求,提升竞争力

产品规格:

指纹容量:3200枚
记录容量:80000条
算法:中控VX9.0/10.0高速双引擎指纹识别算法
硬件平台:ZEM510多媒体平台
操作系统:Linux
通讯方式:USB-Client,RS232/485,TCP/IP
考勤速度:

俗话说:工欲善其事,必先利其器!头一次搞这玩意儿,必先读其大量文档(多次实践证明事先阅读大量相关资料极其有用!),例如:

北京中控科技(Zksoftware)全球指纹考勤机、人脸考勤机、门禁系统、打卡机价格,北京门禁上门安装。.htm
相关软件3.6.8版考勤管理系统 2011-04-16.rar
相关软件WIFI配置工具及说明书 2011-04-16.rar
相关软件考勤管理软件(适用于10.0算法设备) 2011-04-16.rar
相关软件考勤管理系统(4.8.5_build141)标准版 2012-05-24.zip
相关软件联机考勤软件(URU) 2011-04-16.rar
相关资料TFTFingerprintV3.4.pdf
相关资料Web A&C manual 3.0.pdf
相关资料简单的机器安装流程.doc
相关资料清除机器上的管理员.doc
相关资料清除软件的管理员.doc
相关资料如何排班.doc
相关资料设备无法连接解决方法.doc
相关资料找不到考勤数据.doc
……

(以上文档已打包,见文章末尾资料下载……)

除了上边这些资料,还查阅了官网各种开发文档、资料、各种型号、各种语言的使用说明书,全面彻底、深入的分析了中控考勤系统……

准备工作完毕,开始入侵,入侵过程烦乱不堪,这里就不讲了,现将整个入侵过程分类整理后贴出来。

首先讲解一下中控指纹语音考勤机的基本结构:

1、Linux 嵌入式系统

2、屏幕:彩屏或黑白(现在都是彩屏了,黑白的老型号很少见)

3、机身接口:DC 电源 * 1,USB 输出 * 1,USB 输入 * 1,网线接口 * 1

4、机身按键:数字及功能按键若干,另加一块指纹采集器/指纹仪。

5、管理方式、接口,通讯方式:

a. 机身自带的管理功能

b. USB Device

c. RS232/485

d. TCP/IP

e. Web 3.0

f. Telnet(隐藏、未开放的秘密入口)

现在看看各入口的进入及控制方式:

一、机身自带的管理功能

这个就不多说了,机身自带的管理菜单,如果你有管理密码或者拥有管理权限的员工账号,则直接可进入管理菜单,然后进行一些设置或者修改人员资料。

但不幸的是,无法自定义语音内容及待机图片(有些老版本黑白机器可以自定义,但我这款不可以),所以只能获取更高权限了,修改原始固件信息。

从官方说明文档里得知,这里存在几个后门:

1、万能密码后门

在进入管理菜单出现管理者确认时:

黑白屏考勤机

如果你的机器与电脑能连接成功后,打开考勤管理程序,点击考勤软件最上边的一行菜单栏里设备管理——设备管理——高级功能——清除管理权限。(如图)

如果连接不成功的话,需要和我们公司联系(同下)。

彩屏考勤机

机器与电脑能连接成功的话同黑白屏考勤机一样操作。

如果连接不成功的话,发传真。电话回访时,你首先看下考勤机的时间,然后按下考勤机菜单键,出现管理者确认后输入8888加OK,然后提示输入密码,这时你把考勤机的时间告诉我们技术人员后告诉你密码。

(这是一个典型的根据时间变动的超级密码后门,算法还没有具体研究,不过,肯定通杀所有考勤机。)

2014-1-21 10:15:26 补充:

从网上看到这个根据时间变动的密码的具体计算方法,如下:

销售几台中控彩屏考勤机,由于客户疏忽忘记管理密码。于是寻找不丢失考情记录能找回管理的方法,翻阅中控官网和百度,终于找到相关解决方案。

使用软件就不借鉴了,麻烦。黑白屛机器,按菜单键输入9999>>>按“上”键>>>8888>>>再按“上”键,指纹机右上方会显示一个随机的数字,将这个数字记下来求和,并输入一个四位数,首(千)位是7,百位是随机的数和的首位,十位是0,个位是随机的数和的未位。如和是一位的个位也是0,再按“上”键和菜单键即可进入设置界面,这个过程不能太长,太长的话就失效了。进入设置菜单将管理员的权限清除掉即可。

彩屏须在1分钟内操作完成,记下机器时间,用计算器算9999-机器显示时间的差的平方,就是密码。例如:目前考勤机时间是22:55,那就是9999-2255=7744,接着算7744的平方,7744*7744=59969536 ,考勤机8888的管理密码就是59969536。按菜单键,在指纹机上输入8888>>>按OK键,输入计算出来的密码 OK。

摘自:关于中控考勤机

2014-1-21 10:22:44 补充:

已使用“中控U260指纹考勤机”验证该隐藏的超级管理员密码算法!!!!完全正确!!!!目测通杀所有中控型号彩屏考勤机!!!(黑白屏估计也是通杀!)

门禁机

连接电脑后同上操作。

连接不成功后,发传真。我们公司收到传真后电话回访过去(同上)。

2、通过网上搜索还得知早起黑白屏的超级密码算法:

如果是早期黑白屏的话,有一套超级管理员密码的算法,需要输入些指令,然后计算输入。

具体方法为:9999 上 8888 上 右上角出现五位数 相加 710+和的个位 上 菜单

二、RS232/485 串口线连接

由于手头没有工具,所以此接口没有使用过。

但推测连接后,管理功能和USB及网线连接的方式是一摸一样的。

默认通讯密码:0 (也就是空密码)

三、USB 连接方式

本来手头有USB线的,但是他娘的貌似机身接口坏了,插上去完全没反应,所以也是没用过。

但推测连接后,管理功能和RS232/485及网线连接的方式是一摸一样的。

默认通讯密码:0 (也就是空密码)

四、网线连接,TCP/IP 通讯

直接用网线对插考勤机和PC机,然后设置一下网络参数,就可以开工了。

以太网方式及连接方法:

(1)通过集线器:用直通网线(用于连接网卡和集线器)把机器接入网络。

(2)直接连接:使用交叉网线(直接连接两个以太网端点)把机器与PC机连接起来。

机器设置:进入菜单-通讯设置-网络设置,请设置如下几项:

IP  地址:默认IP为192.168.1.201,您可以根据需要进行更改;

子网掩码:默认子网掩码255.255.255.0,您可以根据需要进行更改;

网关地址:默认网关地址0.0.0.0,您可以根据需要进行更改;

网络速率:网络运行的速度,共有“自动适应”、“10M”、“100M”三个选项;

连接密码:在“连接设置”中设置。为了提高考勤数据的安全保密性,这里可以设置连接密码,当PC 机端软件需要连接设备读取数据必须输入此连接密码才能够连接成功。系统默认的密码为0(即没有密码),可以设置为其它值,设置之后如果软件要与设备通讯时必须输入此密码,否则将连接失败。连接密码长度为1~6位。

以上是默认网络参数配置,如果想修改的话,可以这样:

黑白屏:按菜单键(MENU、M/OK、M/回车)→设置→通讯设置→以太网(开启or是)。然后设置IP地址。

彩屏机:按菜单键(MENU、M/OK、M/回车)→通讯设置→网络设置→IP地址,网关,子网掩码: 通讯设置→连接设置→以太网(开启or是): 通讯设置→连接参数→连接密码。

设置完成后保存,并断电重启。

介绍完参数及连接方法,就可以开工干活了。

用网线连接考勤机到笔记本后,设置完网络参数,安装官方的管理程序,我这里装的是最新版的:

考勤管理系统(4.8.5_build141)标准版 2012-05-24.rar

软件安装很简单,一路下一步,然后默认密码连接卡机,然后xxoo……

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

管理软件有各种功能

软件有各种功能(见照片),功能很强大,比机器自带的功能复杂很多(这里吐个槽:由于太复杂了,以至于用户不知道该怎么操作,官方还没有说明书教你操作,真是蛋疼,花了一些时间才搞明白……)

管理系统功能虽然多、强大,但是都是一些人员资料管理、批量删除、上传、维护等,考勤机基本信息设置等之类的功能(这里就不介绍了),依然没有我想要的功能。

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

上传宣传图片

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

核总标志性头像

但是有一个上传宣传图片的功能(见照片),于是修改了待机画面为核总标志性头像(见照片),宣传图片上传具体规则:

1、图片必须是jpg格式(吐个槽:2B工程师,取文件路径时算法2B,如果你不去掉“隐藏已知文件类型的扩展名”,则疯狂的报图片格式错误,无语了……)

2、文件名必须是:ad_0 ~ ad_9,例如:ad_0.jpg

3、重复上传则覆盖同名文件。

4、每个图片大小不能超过20k,否则不会上传。

5、图片分辨率为;320*210。

6、宣传图片最多不能超过10幅。

然后顺道将自己的员工账号提升为管理员权限,哦呵呵呵……

已达到一个目的(修改了待机图片),然后把玩了管理软件一番,另辟蹊径……

(其实这里已经可以修改语音提示了,修改员工名字为搞笑语言即可,打卡的时候会念出来,但是对核总来说嘛,这个并非完美做法,嘿嘿……)

既然已经连上局域网,那么就彻底将机器扫描一番,看看有什么发现:

#Port
192.168.1.201    23    Open    //Telnet
192.168.1.201    80    Open    //Web
192.168.1.201    4370  Open    //TCP/IP Connection Port

发现蛮多的,4370端口即为管理软件连接端口,已看过,不再重复。(其实管理软件数据包传输为明文,所以可以考虑修改数据包达到其他目的,地下会讲到……)

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

Telnet 会话接口

23端口嘛,标准的 Telnet 会话接口(见照片),等会再介绍,这里先看 80 端口,也就是 Web 管理方式……

浏览器输入:

http://192.168.1.201/

跳转到:

http://192.168.1.201/csl/check

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

Web 3.0 登陆界面

然后出现 Web 3.0 登陆界面(见图片)(核总点评:此处没有验证码,可暴破,囧rz……),查阅说明书,默认账号密码为:

super administrator: administrator;
password: 123456;

或者也可以使用工号+密码的方式登录,经测试普通员工账号也可登录(说明书并没有写),但、权限菜单不一样(例如普通员工只能看打卡记录)。

同时在这里也发现了一个后门(不确定是官方后门还是安全验证缺陷),后门登录方法:

如果密码忘了的话,可以这样,将登陆url中的login替换为start,比如:

http://192.168.1.201/csl/login

改为:

http://192.168.1.201/csl/start

浏览器访问,直接登陆成功,然后随你操作了,包括改密码,囧rz……

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

Web 3.0 功能界面

进去后,功能比较简单(见图片),只有基本的参数设置和人员资料维护核总吐槽:尼玛,员工密码明文的!明文的!!!),Wifi配置,以及固件升级、设置备份、重启等功能,和家用路由器TP-LINK界面差不多。

在这里依然没有找到我想要的功能,于是把玩了一番,然后继续深入……

现已拿到权限:

1、TCP/IP连接管理权限。

2、Web 管理权限。

3、机器管理员权限。

#Web http://192.168.1.201/csl/check

尚未拿到权限:

1、Linux 系统账号密码。

还有最后一个秘密管理入口(为啥说秘密呢?稍后会讲到):

192.168.1.201    23    Open    //Telnet

使用 Telnet 连接(见照片):

#Telnet

Welcome to Linux (ZEM510) for MIPS
Kernel 2.4.20 Treckle on an MIPS
ZEM510 login: 45
Password:
Login incorrect
ZEM510 login:

然后猜了几个账号、密码,均失败,然后百度谷歌得到几个密码:

中控最新彩屏机LINUX
后台密码:pd*@&jz%+
中控黑白屏机LINUX
后台密码:solokey
root
zksoft3
zksoft3
user
zktime
用户名admin或 super密码0000或1234

均测试失败,然后网上搜了一下,发现此系统账号并不对公众开放(官方所有说明文档中都不存在),也就是说,除了官方技术人员之外,无人知道默认账号密码。

发现官方论坛也有人发现这个问题:

telnet to device - Standalone communication SDK -  ZK Technical Forum  - Powered by ZKSoftware!

Telnet Zem500

但客服却说不能公开密码,让其联系厂商客服,然后发帖到乌云问了下:有没有人搞过中控指纹语音考勤机?

以下为部分讨论内容:


1#

nauscript () | 2013-06-06 09:19

沙发围观

2#

Nicky | 2013-06-06 10:09

围观

3#

昵称 ('">

4#

zeracker | 2013-06-06 10:21

玩过几款考勤web系统,但是不带你这么玩的啊。。

5#

abcdlzy | 2013-06-06 10:49

中控那个不是提供sdk给开发的么?

6#

lion(lp) | 2013-06-06 10:50

这东西的官方网站上有个类似于远程管理的工具

7#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-06-06 14:22

@lion(lp) 是的,但只是管理人员资料、打卡记录,以及一些基本的系统设置。

没有关于 Linux 系统本身的管理操作。

8#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-06-06 14:23

@abcdlzy sdk? url 多少?

9#

Kevin2600 (Just Hacking it!!!) | 2013-06-06 14:42

只是个想法..也许可以dump 下firmware...分析下?

10#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-06-06 15:07

@Kevin2600 囧,这是没办法的办法。。。

先暴破看看吧……

型号:中控U260

11#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-06-06 15:08

最终目的:修改内置语音文件 *.wav

12#

ACGT (独喜code不我欺) | 2013-06-06 16:02

官网下固件,IDA反编译,导出strings,开始爆破

13#

abcdlzy | 2013-06-06 16:34

@核攻击 手头上有个 U.are.U4500的,然后我就顺手淘宝了下,看见淘宝那些卖家说配的是中控的SDK ,我也不知道是不是,反正我在我手头上的SDK中,没找到中控两个字

14#

啦绯哥 | 2013-06-06 18:50

@核攻击 核总想把语音改成“吖唛蝶”。。。

15#

wefgod (求大牛指点) | 2013-06-06 22:41

telnet是连接到那个busybox?不过好像我遇到过的没有语音,只是单纯指纹而已

16#

wefgod (求大牛指点) | 2013-06-06 22:43

上次想改点东西,结果找不到数据库放哪里

17#

肉肉 | 2013-06-06 22:49

好厉害的样子

18#

applychen | 2013-06-06 23:45

中控考勤普通管理员账户后台如何获取shell,PY脚本的,求指导……


如讨论内容,大致有这几个方法:

1、暴力破解(机器没有登陆次数限制,可任意暴力猜解)

2、如旺财(Kevin2600)所说“也许可以dump 下firmware...分析下?”,下载固件分析。

3、官网下固件,IDA反编译,导出strings,开始爆破

然后逐一进行验证:

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

暴力破解 Telnet

1、暴力破解了一晚上(见照片),人品不佳,无果(考勤机硬件计算能力较差,还暴死机过好几次)。(可见默认密码很强壮,看之前搜到的,密码很复杂,账号也不定,不一定是root,暴破基本无望)

2、Web 管理系统中,确实有“备份”这个功能(见图片),但他娘的我这机器貌似有问题,备份下来的数据包,妈的全零:0x00,我了个擦……

3、官网下固件,晕,虽说有固件升级功能,但官方根本没有提供任何固件下载!!而且说明书中建议不要随便升级……

陷入僵局,随后又想了一阵子,又有几个“提权”方案:

1、渗透 Web 系统,说不定会有其他发现。

2、发现TCP/IP的管理软件所发数据包是明文字符串的形式,类似远程shell,可尝试修改下数据包,达到执行其他命令的目的……

3、拆机!!!!!!!!!!!

不过,现在主要目的已经达到:

1、成功修改待机图片!(见照片,看核总风骚淫荡的老鼠头Logo!)

2、修改了语音提示内容,卡机学会卖萌了!(核总会告诉你,当核总一打卡,萌卡机会叫我:女王大人!么?哦呵呵呵……)。

至此,整个考勤系统运行流程、构架、管理入口、入侵方法、官方后门(坐等官方公关和谐,不过嘛,此类“后门”也是必须的,总有小白用户忘密码,是吧……)统统分析完毕!

这是互联网上首篇全面分析、介绍、入侵、测评“北京中控科技(Zksoftware)全球指纹考勤机/系统”的文章,也是首个讲解“入侵”物理考勤/安保设备的文章(尼玛!我当时在网上搜索的时候,几乎没有任何关于这方面安全检测类的资料!),此乃破天荒头一遭!……

(吐槽“高精尖黑科技”的就免了吧,本文不涉及高深的入侵技巧,因为此类物理设备本来就是很简单的东西,有的甚至连最基本的系统都没有!它毕竟不是PC机,所以没有什么很酷很炫的高级入侵技巧,户外物理设备入侵基本靠的是细致的观察、技巧和一些经验,当然,少不了默认账号密码!户外物理设备很多都是很“陌生”的东西,无从上手,所以事先查阅大量资料积累经验是很必要的!!!

不过,本文不算完全完结,核总是个追求完美的人!认为这种修改语音提示内容的方式有局限性,可控性也不强(尼玛斯!哥必须得拿到 System Root!),所以不算十分成功!

System Root 依然在尝试中!且见下回分解……

大家尽情的膜拜吧!!!

户外物理设备/硬件入侵,跟着核总喊口号:只要丫带电!统统干翻它!!!

(核总吐个槽:话说中控科技的考勤机、门禁系统、安保系统真是相当有名,几乎垄断了整个国内市场!!搜索考勤机、打卡机,全特么的是这家公司的!没见过第二家!而且远销国外!俄罗斯、美国使用量很大!尼玛,光说明文档我就见过各种语言的,官网就有N个语言版本,还有纯英文论坛……)

最后,打包相关文档资料,下载地址如下:

中控考勤机资料.rar,解压密码:lcx.cc(2014-12-4 21:36:53 补充:地址已失效~)

中控考勤机资料.rar,解压密码:lcx.cc(2014-12-4 21:37:20 补充:新的下载地址。)

2013-6-12 9:47:02 补充资料:

中控固件下载:

http://www.zkteco.cn/down/class/?4.html

用户指南文档:

http://www.zkteco.cn/down/class/?7.html

官方资料大全:

http://cn.zksoftware.com:82/Product_zktime7.0.asp

http://cn.zksoftware.com/

http://cn.zksoftware.com/view.do?id=109

官方论坛:

http://cn.zksoftware.com:82/forum/

--------------------------------------------------

考勤机u260 telnet登陆用户和口令是多少?
http://cn.zksoftware.com:82/forum/dispbbs.asp?boardID=34&RootID=12524&ID=12524&page=3

-- 作者:tsliuf
-- 发布时间:2011-8-8 15:35:09

-- 考勤机u260 telnet登陆用户和口令是多少?
需要考勤机u260 telnet登陆用户和口令,哪位大侠不吝赐教
--------------------

-- 作者:zksoft3
-- 发布时间:2011-8-9 9:30:27

--
请联系我司技术支持。0755-89602344

--------------------------------------------------

请F7如何telne修改IP地址及网关
http://cn.zksoftware.com:82/forum/dispbbs.asp?boardID=34&RootID=13132&ID=13132&page=1

-- 作者:jhhuang
-- 发布时间:2012-4-14 10:50:41

-- 请F7如何telne修改IP地址及网关
telnet的用户名和密码是什么呢?
我的F7已经送到分公司,因为有做内部VPN,我没有设置好网关....需要加网关设置进去.

telnet修改IP,子网掩码和网关涉及的命令行是什么.请举例.谢谢.
另外,M500的web用户名和密码是什么?

本人邮箱: [email protected]
[align=right][此贴子已经被作者于2012-4-14 10:50:41编辑过][/align]

--------------------

-- 作者:zksoft3
-- 发布时间:2012-4-16 10:52:54

--
我司不方便提供telnet密码,有什么需求你可直接与我司分公司技术联系。
--------------------

-- 作者:jhhuang
-- 发布时间:2012-4-17 12:56:17

--
晕, 这也太........
那告诉我如何远程改IP.或者用考勤软件里面的设置去改也可以...
--------------------

-- 作者:zksoft3
-- 发布时间:2012-4-17 15:29:00

--
软件的设备管理可以对机器更改IP.

--------------------------------------------------

U260如何自定义语音?
http://cn.zksoftware.com:82/forum/dispbbs.asp?boardID=34&RootID=11916&ID=11916&page=3

-- 作者:xyz8009
-- 发布时间:2011-5-30 8:34:32

-- U260如何自定义语音?
U260参数介绍里说可以通过web server 管理TTS语音,怎么管理呢?

有没有U260的使用说明书呀??
[align=right][此贴子已经被作者于2011-5-30 8:34:32编辑过][/align]

--------------------

-- 作者:zksoft3
-- 发布时间:2011-5-30 17:46:31

--
您想该TTS什么语音,我司设备出厂,有TTS语音就有,如果无语音就此机器无此功能,不能增加。

--------------------

-- 作者:xyz8009
-- 发布时间:2011-6-4 20:16:47

--
我买的U260有语音功能,但报员工姓名以后总要说个谢谢,能不能把谢谢去掉?
--------------------

-- 作者:zksoftware8
-- 发布时间:2011-6-7 11:51:51

--
可以去掉,只需要将WAV下的谢谢语音删掉就可以了
--------------------

-- 作者:xyz8009
-- 发布时间:2011-9-1 1:57:33

--
怎么删掉呢,求详细
--------------------

-- 作者:zksoftware8
-- 发布时间:2011-9-1 9:11:38

--
这个要修改固件

--------------------------------------------------

U260自定义宣传图片的分辨率是多少?
http://cn.zksoftware.com:82/forum/dispbbs.asp?boardID=34&RootID=11347&ID=11347&page=6

-- 作者:zjllong
-- 发布时间:2011-4-18 15:47:20

-- U260自定义宣传图片的分辨率是多少?
请问U260自定义宣传图片的分辨率是多少?
给你们打电话咨询过,说是将图片发到我的邮箱,都3个小时了,还没发呢!
我的邮箱[email protected]
麻烦回复我或者给我发邮件,谢谢。
--------------------

-- 作者:zksoftware8
-- 发布时间:2011-4-18 16:07:06

--
U260自定义宣传图片的分辨率是多少 320*240
--------------------

-- 作者:zjllong
-- 发布时间:2011-4-18 16:35:06

--
iclock 360 显示 320*240的图片显示正常 可是在U260上显示会压扁
--------------------

-- 作者:zksoftware8
-- 发布时间:2011-4-18 17:11:13

--
iclock360是3.5寸屏,u260是3寸屏
--------------------

-- 作者:zksoftware8
-- 发布时间:2011-4-18 17:13:53

--
你改下320*210看下
--------------------

-- 作者:zksoftware8
-- 发布时间:2011-4-18 17:22:06

--
u260的是 400 * 210

--------------------------------------------------

37,几种开发包的介绍,以及区别

脱机通讯开发包
收费情况:免费
机器型号:除K6和M100以外的所有机器。
开发平台:只支持windows平台
开发语言:VB、Delphi、VC、PB、VF等
功能简介:客户购买了脱机指纹/射频卡机器,但是不想使用我们标配的考勤/门禁软件时,可以推荐客户选用此SDK开发他们自己的考勤/门禁软件。只用于脱机机器与电脑之间的数据通讯,不可进行指纹识别。
获取方法:进入“中控网站->下载中心->脱机指纹考勤系统->脱机考勤通讯开发包”下载

SOAP 开发包
收费情况:免费
机器型号: 所有ZEM300、ZEM500机器均可支持,该功能为选配项,可向生产定制,也可提供升级程序。
开发平台:windows平台、Linux平台
开发语言:一般主流开发语言都可支持,VB、Delphi、VC、PHP、ASP、Java等
功能介绍:脱机通讯开发包的补充,真正的HTTP、TCP协议通讯,当客户想开发基于Linux平台,或JAVA语言的程序时,可以给客户推荐SOAP SDK。
获取方法:联系FAE

RIS 开发包
收费情况:免费
机器型号:具有后台验证功能的机器。
开发平台:只支持windows平台
开发语言:VB、Delphi、VC、PB、VF
功能介绍:客户购买了后台验证功能的机器,但是不想使用我们标配的后台验证程序时,可以推荐客户选用此SDK开发他们自己的后台验证程序。
获取方法:联系FAE

底层通讯协议
收费情况:免费,但是需要与我公司签定保密协议
机器型号:所有机器
开发平台:目前可提供Windows下VC或C#源代码,客户也可自己实现到Linux等平台。
开发语言:C、C++、Java、C#、VB.Net等
功能介绍:直接提供通信的底层协议,客户可以不使用我们的sdk而自己开发通讯程序,可以在任意平台上实现应用,不像我们的sdk限制在Windows。
获取方法:联系FAE

ZKFinger SDK
收费情况:收费
机器型号:URU指纹仪,ZK6000
开发平台:Windows 平台、Linux平台可定制
开发语言:VB、Delphi、VC、PB、VF
功能介绍:客户想自行开发指纹比对程序时,可以选择此SDK,它包含中控科技自主知识产权的指纹识别算法。另外需要购买我们的指纹仪或使用他们自己的指纹采集仪进行指纹图像的采集。
获取方法:开销售单到库房领光盘
备注:共有两个版本(普通版和标准版),其区别为:
1、对指纹仪的SDK许可收费不同。配合此SDK使用的指纹仪必须由我们写入SDK许可。购买普通版SDK的客户,他们每购买一个指纹仪就需要收取一次许可费,而购买标准版SDK的客户,购买指纹仪时免收许可费用。
2、基本的登记、比对功能都一样,唯一的区别是标准版SDK在1:1的控件中包含从图像中提取模板的功能,普通版则没有。也就是说标准版可以支持其他指纹仪采集的图像功能。

ZKOnline SDK
收费情况:收费
机器型号:URU指纹仪,ZK6000
开发平台:Windows 平台
开发语言:ASP,JSP,PHP,JAVA
功能介绍: ZKFinger SDK的补充,由于ZKFinger SDK不支持基于web开发,客户需要在浏览器中使用指纹的本地及远程比对,可推荐ZKOnline SDK。其实ZKFinger SDK和ZKOnline SDK是隶属于的关系。只有购买了ZKFinger SDK(标准版8000元)的客户,再购买ZKOnline SDK(2000元)才能开发基于WEB的程序。如果没有购买过ZKFinger SDK
的客户则需要ZKFinger SDK加ZKOnline SDK(8000+2000元)。
获取方法:开销售单到库房领光盘
问:我们URU? SDK? 是否支持FOXpro
答:不支持。

注:1-22主要涉及脱机SDK。23-33主要为ZKFinger和指纹仪相关的。34和35则涉及ZKOnline和SDK技术支持中可能涉及到的固件升级问题。

--------------------------------------------------

脱机开发工具

> EDK 3.0 for Linux
> EDK 4.0 for WinCE


EDK 3.0 for Linux

中控科技自主知识产权的EDK 3.0 for Linux,该产品基于主板的嵌入开发系统(EDK)是一个多功能的通用嵌入式Linux脱机指纹产品开发平台,

包含TCP/IP,USB,RS232,RS485,Wiegand等各种通信接口,能够满足大多数基于指纹的嵌入式市场需求。

嵌入式主板内置强大RISC处理器和优秀的, 可靠而高效的指纹识别算法,很容易集成到各种系统中。

采用高速RISC处理器构建的,符合工业标准的嵌入式单板计算机, 标准Linux Kernel 2.4.18移植,

支持本地和交叉编译,标准GDB单步调试跟踪。

客户无需附加任何单片机直接利用EDK主板轻松进行量身定制,满足行业客户需求,提升竞争力。

技术规格
· 指纹仪: U.are.U 4000 / ZK sensor
· 功耗: 

与中控论坛某版主的部分聊天记录(重要,涉及大量重要情报):

2013/6/11 11:07:24 Nuclear'Atk
u260 如何修改语音?

2013/6/11 11:07:40 Nuclear'Atk
telnet 管理不开放?

2013/6/11 11:07:55 中控某论坛版主
中控自己都不开放的

2013/6/11 11:08:20 Nuclear'Atk
好吧。那如何修改语音提示内容呢?

2013/6/11 11:08:27 中控某论坛版主
中控的中文机改语言都要换多国语言固件的

2013/6/11 11:09:14 Nuclear'Atk
纳尼?机身文件无法操作?也就是说不自带储存,而是直接烧录固件形式的?

2013/6/11 11:11:50 中控某论坛版主
固件是以文件形式存在的

2013/6/11 11:12:39 Nuclear'Atk
不是,我的想法是,固件烧录后,是以文件格式存在,有没有可能直接读写 wav 音频文件?还是必须得修改完固件后烧录上去?

2013/6/11 11:15:37 中控某论坛版主
声音也是文件形式的,能telnet进后台就可以替换,但界面中文不换多国语言固件是改不了,改了会自动恢复成中文,这是中控后面为了限制国内用户自己改语言会扰乱他们自己出口价格而改的

2013/6/11 11:16:33 Nuclear'Atk
是啊,前几天彻底研究了中控考勤机,查阅了大量资料。
卡在这里了,除了 telnet,貌似没有功能可以直接读写机器文件的。

2013/6/11 11:16:52 Nuclear'Atk
只有个宣传图片,可以写

2013/6/11 11:17:31 Nuclear'Atk
那像我这个型号 u260,如何修改语音提示内容呢?

2013/6/11 11:17:50 中控某论坛版主
你有密码可以telnet进去吗

2013/6/11 11:18:06 Nuclear'Atk
不能啊,非公开接口,不知道默认账号密码

2013/6/11 11:20:12 中控某论坛版主
哦,我们现在也在做中控的机器,可以改。。。

2013/6/11 11:21:27 Nuclear'Atk
嗯,需要硬件支持吗?比如连接线,拆机。之类的

2013/6/11 11:21:44 中控某论坛版主
不需要

2013/6/11 11:21:52 中控某论坛版主
telnet进去改的

2013/6/11 11:21:57 Nuclear'Atk
直接登录机器?

2013/6/11 11:22:00 中控某论坛版主
是的

2013/6/11 11:22:53 中控某论坛版主
中控过段时间就改密码的。。。

2013/6/11 11:23:22 Nuclear'Atk
嗯,我知道的,中控卡机有后门算法。

2013/6/11 11:23:36 Nuclear'Atk
超级管理员的账号密码 是按照 机器时间计算的

2013/6/11 11:24:03 中控某论坛版主
那是进机器管理员的,不是后台telnet密码的

2013/6/11 11:24:15 Nuclear'Atk
如果我把时间调回去呢?之前根据时间计算的密码 是否 依然有效?

2013/6/11 11:24:17 中控某论坛版主
是说你在机器上设置了进菜单的管理员

2013/6/11 11:24:29 中控某论坛版主
有效的

2013/6/11 11:24:46 中控某论坛版主
所以那应该说是一个巨大的BUG

2013/6/11 11:25:10 Nuclear'Atk
是呀,逻辑错误

2013/6/11 11:25:11 中控某论坛版主
都说了那是进机器菜单的管理员,不是telnet

2013/6/11 11:25:24 Nuclear'Atk
好吧,那telnet 是如何计算的?根据什么?时间?

2013/6/11 11:25:38 中控某论坛版主
Linux 知道么

2013/6/11 11:25:41 Nuclear'Atk
知道呀

2013/6/11 11:26:10 中控某论坛版主
中控机器是Linux操作系统,telnet密码就是Linux的超级用户密码

2013/6/11 11:26:19 中控某论坛版主
你想可能是怎么计算出来的么

2013/6/11 11:26:35 中控某论坛版主
是中控出厂的时候就设置好的

2013/6/11 11:26:36 Nuclear'Atk
这个自然懂啦,系统密码。不是,我刚以为系统密码是按照 时间计算的

2013/6/11 11:26:53 Nuclear'Atk
你刚说菜单密码是按时间计算的。系统密码写死的

2013/6/11 11:26:53 中控某论坛版主
他们会定期修改密码的

2013/6/11 11:27:04 Nuclear'Atk
机器不联网啊??如何修改呢

2013/6/11 11:27:13 Nuclear'Atk
是不同时期的修改吧?

2013/6/11 11:27:54 中控某论坛版主
接网线,局域网telnet就能登陆,一般中控是不会帮你远程改的,返修是发会工厂修的

2013/6/11 11:28:11 Nuclear'Atk
是啊,这个是自然啦,中控有保密规定

2013/6/11 11:28:57 Nuclear'Atk
那么,linux root 的账号密码是该机型统统一样,还是按出厂时间变化的?

2013/6/11 11:30:12 中控某论坛版主
一段时期内一样

2013/6/11 11:30:30 Nuclear'Atk
机器自身时间?间隔多久呢?

2013/6/11 11:31:19 中控某论坛版主
是一段时期内所有机器都是这个密码,过两三个月,所有机器换成其它密码,出厂后密码是不变的

2013/6/11 11:31:35 Nuclear'Atk
那就是我说的啦,按出厂时间变化的啦。

2013/6/11 11:31:55 Nuclear'Atk
如果我给你 这个机器的出厂日期,你可以到密码吗?

2013/6/11 11:32:02 中控某论坛版主
你这个时间的机器我有可能知道密码

2013/6/11 11:32:11 Nuclear'Atk
求赐教

…… 省略 ……

相关内容:

物理黑客户外硬件入侵之:某咖啡厅的广告展示终端……

[讨论]如何入侵一个户外的电子显示屏

远程入侵QQ好友所在网吧监控系统,人脸识别、定位坐标,定点打击

美国秘密研制新概念网路武器 可攻击离线电脑 无线电信号渗透

华裔黑客 BITcrash44 凭借一台 iPhone4 拿下时代广场大屏幕

视频:国外黑客无线入侵、遥控电子路桥系统

视频:国外黑客无线入侵保时捷911,并且远程操控、遥控

视频:国外黑客利用一部诺基亚N95手机入侵火车站电子屏,并且现场直播

视频:国外黑客入侵高速公路交通电子屏

大屏系统被黑 泰国国会现场直播不雅照

利用电磁波进行入侵、原子级的黑客入侵、利用电磁波毁坏物理设备

电视机会收到邻居游戏机画面?小霸王信号干扰?红白机功率这么强悍?

末世入侵行动 (Fire Sale!) 末日入侵行动

物理攻击、抓频攻击 - 利用雷达来进行扫描网络弱点

留言评论(旧系统):

核总的脑残粉 @ 2013-06-10 22:09:24

核总太帅了!我爱你!

本站回复:

lol~~~

Geegle @ 2013-06-11 08:38:21

风骚的核总直接拆下公司的考勤机来研究?

本站回复:

亲,不用拆的……

咖啡 @ 2013-06-11 08:50:22

核总的什么笔记本

本站回复:

杂牌,没名字。

bean @ 2013-06-11 11:08:01

核总赶紧地教我们如何提权啊~

本站回复:

正在尝试中……

anlfi @ 2013-06-11 13:49:42

其实可以用编程器,劫持主控芯片,监听ROM数据,把ROM脱下来再进行汇编处理,然后再植入一个后门,(比如web界面,或者直接来个反弹shellcode)就可以获得root权限。
由于是嵌入式是 linux 系统,怎么获得加密的,密码配置文件我想你应该懂的 /etc/。这个就跟破解普通刷过 linux Rom 路由的方法一样,不过相关的知识就要很多了,没有进行过逆向处理只能算是,表层常规利用了,我想有些专业知识的会处理的更好。
没有续集了?

本站回复:

感谢赐教!不过,你想的略复杂了,只是为了修改语音和图片,既然都拆开机了,你为啥不干脆重写个系统装上去?续集进行中……

anlfi @ 2013-06-11 15:42:30

我的目的是破解telnet密码,并不是完全只是重新编程一个有门的Rom 刷进去,而是植入一个cmdshell为基点,就可以看到telnet的加密文件了,等了解了调式隐藏密码,还不是通杀。

本站回复:

求赐教完整详细方法……

blackeagle @ 2013-06-11 23:37:38

怎么感觉核总的苹果怪怪的...

本站回复:

压根不是苹果……

佚名 @ 2013-06-12 00:55:19

原来一个联网的考勤机也会成为一个公司的安全漏洞之一。。。。囧! 不容小觑,还是我杞人忧天?

本站回复:

这货默认没联网,手工给它连上…… ╮(╯_╰)╭。。

佚名 @ 2013-06-12 09:53:22

再有arm板子的zimage的情况下!怎么得到root密码。。。

本站回复:

对arm不清楚,不过,看样子应该是某种镜像文件,应该可以解包。

youzhi @ 2013-06-12 12:56:03

核总的苹果屌炸天,哈哈。
核总,求一个乌云的邀请码 —_—

本站回复:

“苹果”你妹!无邀请码……

alpaca @ 2013-06-15 04:04:44

有时候得看看国外的资料,很多公司对国人不开放的东西对老外开放。。
http://www.seymourdabull.com/.temp/seymourdabull.com/telnet-zem500.html
不知道这哥们怎么进去的

本站回复:

Unknow. ╮(╯_╰)╭

泪痕 @ 2013-06-15 19:54:56

想入侵学校的监控系统,不知道IP。内网环境 有服务器。想查一个录像 具体网段也不清楚。 求核总指教啊。。

本站回复:

自己动手。

泪痕 @ 2013-06-15 20:00:17

神一般的回复啊,指点下啦。。

本站回复:

Baidu & Google

泪痕 @ 2013-06-15 20:12:15

好吧。。。话说留言很麻烦,无法接着问。。

本站回复:

暂无此功能。

泪痕 @ 2013-06-16 23:56:10

我们语文暑假作业发下来了,我的里面有答案。。但是不知道谁给我偷走了。。。我想查监控,求指导啊。。通过老师就算了。。

本站回复:

百度 & 谷歌

日月 @ 2013-06-27 11:02:49

公司打卡机有连接到前台电脑,但前台电脑没连接其它网络,十分蛋疼,本想搞下来以后就不会有迟到了

本站回复:

色诱前台,你懂的!祝君好运……

佚名 @ 2013-08-05 14:06:05

黑白屏的机器telnet进去用户名root,密码solokey,我进去了,设备OP1000

本站回复:

彩屏的呢?

船长 @ 2013-09-12 16:59:51

mJJ

本站回复:

八嘎!

eva q @ 2013-10-17 23:37:01

核总你居然用山寨苹果笔记本~不能直视

本站回复:

哈哈哈

黄同志 @ 2013-11-09 15:35:10

1、U260,宣传图片,通过U盘就可以上传,当然通过官方的管理软件也是可以的。
2、在管理员锁住的情下,倒是可以解开进入操作界面,但是现在很多中控的其他型号也已经无法解开了,只能返厂被始化,如F8,F6等设备,目前暂时无法解开。
3、TELNET的后台密码,中控工厂管得很严的,我们作为深圳地区的核心代理商也没办法得到。(呵呵。。。)
4、WebServer3.0的漏洞,已发现的还远远不止这些。。。

PS:现在中控管方严禁用户更改机器里面的任何东西:中控科技终端用户《ZKLQ条款举报函》http://cn.zkteco.com/news_detail/newsId=219.html

PS:想研究中控的考勤机,倒可以提供一些参考信息。联系邮箱:zkteco#21cn.com

本站回复:

这位兄台说的完全正确!十分详细、准确!看来是中控行内人士木错!
Telnet 密码确实管得很严,通过和中控官方论坛前版主交流,该密码随日期、型号变更,即使同一个型号的设备,出厂时期不一样(密码隔段时间改一次),密码也不一样,好狗血……
WebServer3.0 漏洞还木有发现,日后再好好研究下……
十分感谢兄台提供如此详细的资料!日后多多交流……

009 @ 2013-12-31 11:51:20

单位是op1000的机器,现在成功Telnet 进去啦 可是啥也不能干啊

软件连接上机器啦,通过软件修改的考勤记录实际上 用usb导出的时候显示不出来啊!! 高手如何解决啊?

本站回复:

没研究过 op1000,不清楚,不过,管理软件操作应该是一样的,你看看官方说明文档。
亲,你是如何 telnet 进去的呢?

009 @ 2013-12-31 14:17:08

op1000 的账号密码 root solokey

本站回复:

好吧,我这个型号就狗血了,密码根据时间变化的……

我爱核总 @ 2014-01-01 17:45:09

我们单位用的是中控的iface101 输入http://192.168.1.201/ 显示DNS错误 找不到web3.0 请问扫描局域网用的什么工具 lansee172 可以吗?

本站回复:

嗯 试试看

我爱核总 @ 2014-01-01 17:55:05

试了,搜索计算机选项 只找到我电脑的IP 和 考勤机的IP 这两个我都知道。难道是方法不对 还请大人指教。我是小白。想知道您是如何搜索的。

本站回复:

额,我没有搜索,IP固定的,建议你使用扫描软件,扫描一下局域网端口吧。

怀念 @ 2014-01-21 09:14:28

考勤机算法:彩屏须在1分钟内操作完成,记下机器时间,用计算器算9999-机器显示时间的差的平方,就是密码。例如:目前考勤机时间是22:55,那就是9999-2255=7744,接着算7744的平方,7744*7744=59969536 ,考勤机8888的管理密码就是59969536。按菜单键,在指纹机上输入8888>>>按OK键,输入计算出来的密码 OK。

本站回复:

亲,你这是哪个型号滴?每个型号算法不一样滴……改天去试试……
2014-1-21 10:22:44 补充:已使用“中控U260指纹考勤机”验证该隐藏的超级管理员密码算法!!!!完全正确!!!!目测通杀所有中控型号彩屏考勤机!!!(黑白屏估计也是通杀!)

怀念 @ 2014-01-31 20:53:19

黑白屏的没试过 彩屏的都可以? 中控的漏洞超级多

本站回复:

黑白、彩屏算法不一样,中控目前没有什么漏洞,这些“漏洞”都是默认密码没修改导致的。

wormfox @ 2014-02-01 11:50:38

我看得云里雾里的,冰天雪地原地裸体旋转三百六十度膜拜主公!核总你调戏设备你们老板知道么?上次我在学校刚被河蟹!

本站回复:

此文章信息量略大,慢慢消化呗……(我老板知道,全办公室人都知道……)

kim @ 2014-02-10 17:17:47

核总,你最后telnet的密码是问到的,还是?我这边有个TX628 telnet求密码。。。抓包部分敏感数据Ver 6.70 Apr 9 2013 这个固件版本号? Platform=ZEM560_TFT ZKFPVersion=10 SerialNumber=7662333210468 序列号?? 求system root pwd

本站回复:

你不看完内容的么,没弄到root密码。

depycode @ 2014-02-20 17:53:47

核总 也是工作人士啊,还以为你是在校学生呢,月薪多少万啊?

本站回复:

万斤切糕

safe121 @ 2014-03-20 10:07:44

核肿用MTK手机是为了方便改IMEI么,照片居然无GPS信息。。狗日的高通不好改imei。。

本站回复:

这不是MTK手机拍摄的,孩纸,不是每张照片都有GPS信息的,首先:
1、需要手机软件及硬件支持,而且大多数手机相机默认设置不储存地理位置信息。
2、GPS定位需要时间,所以照片中的信息大多都是不准确的(像室内环境,基本都是空白或错误)。
3、图片传至电脑后经过其他图片处理工具缩放后,可以选择是否删除附加信息(大部分都是直接删除)。
4、嘿嘿,我可以写入一个假的GPS位置信息迷惑你。
所以这种定位方式还是比较鸡肋的。

佚名 @ 2014-03-26 10:30:20

核總搞掂Linux的賬號密碼沒有呢?

本站回复:

没有~

佚名 @ 2014-04-09 13:40:44

厂里面有十几台x628中控考勤机,只有一台帐号root 密码solokey用telnet能连上。
请问telnet进去之后能不能把考勤机修改成 “定时自动打卡"

本站回复:

可以修改,前提是你要懂嵌入式编程,可以增加一个定时打卡功能……
(能否将您可以用telnet连上的中控设备详细型号和账号密码发出来呢,加入文章中为后人作参考用……)

佚名 @ 2014-04-18 02:23:44

技术帝桑不起!!!

本站回复:

-_-|||

遐想 @ 2014-05-08 13:34:44

站长,那里有修改语言的,没发现啊,能不能详细一点。QQ31415324

本站回复:

看你具体设备型号了,说明书上都有写,一般在系统设置里。

Flyfish @ 2014-05-24 13:48:31

我了个擦擦擦,看完了还是没有Telnet密码?好不容易google搜到这篇文章。。。。

本站回复:

你这还好啦,我之前研究的时候,整个互联网根本就没有这方面的资料,后来我整理了这互联网上第一份资料。

佚名 @ 2014-05-26 23:33:32

我问一下,我已经连接到了iclock 360的型号的彩屏机上了,通过 telnet,但是不知道如何操作能够直接把考勤数据写入那个ZKDB.db的数据表中,用的是sqlite的数据库。因为没有找到sqlite的命令。

本站回复:

复制出来,修改完,再替换回去。亲,你是如何获得 telnet 密码的~

假核攻击 @ 2014-06-23 21:18:10

核总,个人觉得入侵这类考勤机,打卡机,最酷,最炫的入侵效果是让它能实现定时自动打卡功能《怎样实现啊?》
2.如果能修改打卡时间就好了《如有一天我没有上班,而打卡机记录的是我在上班,要实现这个效果是不是需要入侵到打卡机的数据库,然后修改打卡时间?》
3.还有,核总,小菜一直在期待入侵考勤机的下篇。 核总,更新,小菜一直期待中

本站回复:

实现定时自动打卡:这类打卡机都有个简单的系统,写个程序运行即可,或者远程管理,在电脑上写程序控制数据库。
修改打卡时间:直接修改打卡机的数据库即可。(有个简单方法,把打卡机时间调回去,然后再打一次卡,再调到正常时间,-_-|||)
关于更新:这个目测没啥更新的,想写的内容都有了,基本很全了。

假核攻击 @ 2014-06-25 09:11:36

核总,thank you ,太厉害了。
不更新,小菜表示想吐槽一下。
不过,本文不算完全完结,核总是个追求完美的人!认为这种修改语音提示内容的方式有局限性,可控性也不强(尼玛斯!哥必须得拿到 System Root!),所以不算十分成功!

System Root 依然在尝试中!且见下回分解……

不是还有几个权限没有拿到吗?
linux系统账号密码,telnet密码

本站回复:

文中遗留的那几个问题,一直没解决,等有机会了,一定更新……

佚名 @ 2014-07-11 14:36:33

每次看这样的文章觉得很爽,希望核总多写些

本站回复:

哈哈哈,我也想多写,有时间了再整点料,哈哈哈哈,我这还有很多未公开的猛料~

佚名 @ 2014-07-28 21:52:23

看着很厉害的样子,其实无任何技术含量。
几年前玩过了。

本站回复:

You Can You UP! No Can No BB~

佚名 @ 2014-08-07 23:47:02

刚好有个机器root用户可以用,但是我用ftpget替换了 S_9.wav ,重新启动就失效了。
请问我要替换哪个目录下的文件才会永久生效?
或者有需要其他操作吗?谢谢了。

本站回复:

具体哪个型号?求详细信息,加Q:624118310,详聊!

wwenyunkui @ 2014-08-22 18:26:33

zem800考勤机的telnet密码能整到吗?刚才打技术支持想咨询一下,结果周五,18:26,人家说睡了,呵呵

本站回复:

额~

佚名 @ 2014-08-28 03:45:30

测试了一下中控的黑白屏打开机,时间调回去然后打卡,但是失败了!打了指纹,但是机器没有记录,但是测试如果掉到未来某个时间倒是可以记录上~!看来还要测试一下,不知道打卡机是不是有不可逆的问题,就是如果有一个最新的打开时间,就不能增加过去的时间记录~~!?

本站回复:

嗯,具体有待测试~

F708 @ 2014-08-29 02:21:06

黑白F708,用root和solokey进去了,但是对Linux基本不懂,可否指点一下?
关于上一个时间的问题,确实不可逆,而且只要有个未来时间点的话,只要机器时间没有达到这个时间点,所有的记录都在那个未来时间点的下一秒依次下去。。。

本站回复:

手头没有黑白机,暂时没法看。

佚名 @ 2014-09-22 09:31:31

中控黑白机,连接考勤机的电脑管理软件有管理密码(貌似数据库是明文的MDB文件,密码在USERINFO里),在第二台电脑安装管理软件,物理网线接入可以无密码登录管理。时间调回到9点,打卡,从软件导出上看没问题,调回正常时间。到了考勤管理员导出资料的时候,打卡时间由9点变成11点,调戏失败。。。不知道为何如此。。

本站回复:

目前不清楚原因~

黄同志 @ 2014-10-04 17:18:51

看来还有很多人在讨论此问题。之前有在这里留过言(ID:5238)。
不知道进展怎么样了?
有需要帮忙就给我留言。呵呵。。。

本站回复:

哈哈哈,一直在讨论,从未停息~Telnet 密码是关键啊~

hehehehe @ 2014-10-06 14:05:58

用留言里的那位朋友提供的root,solokey telnet进去了,机型是iclock360,
一个ls命令半天都没结果,后来终于好了。
#ls
HOSTNAME mtab resolv.conf
MiniGUI.cfg passwd rt73.bin
filesystems passwd- rt73sta.dat
fstab pcmcia run_dpf.sh
fw_env.config ppp shadow
group prelink.conf start_delegate.sh
init.d profile udev
inittab profile.aspenite udhcpc.d
inotify.sh profile.teton usbaction.sh
issue profileback wpa_supplicant.conf

本站回复:

老机型是这个密码,现在都是根据出厂时间定的,没有通用密码了~

黄同志 @ 2014-10-08 16:43:21

嗯,一般是经过初始的考勤机,密码都会还原为最初的初始密码。
后期的话,工厂那边2~3个月就换一次。现在大概半年换一次。因为,现在的系统已经升级了。
里面的文件你只要更改了某些参数值,机器将不起动。工厂对自行更改过设备不维修。

root的密码是闭着眼睛乱输入的,每次的密码都是完全没有规律的。

本站回复:

变态~ -_-|||

king @ 2014-10-22 15:17:52

一直关注这个问题iclock360,TELNET密码!~

本站回复:

-_-|||

佚名 @ 2014-10-23 12:41:42

我公司的F7 Telnet密码就是TCP/IP的连接密码,你可以参考下。

本站回复:

-_-||| 纳尼?

佚名 @ 2014-10-24 15:24:33

http://blog.infobytesec.com/2014/07/perverting-embedded-devices-zksoftware_2920.html
需要过墙才能看!~
谁能提供
iClock360
Linux (ZEM600) for ARM
的密码最好!~辛苦了!~

本站回复:

-_-|||

佚名 @ 2014-11-09 10:30:35

向大师们学习,中控考勤机http://www.zkkqj.com

本站回复:

-_-|||

佚名 @ 2014-12-14 18:12:02

核总,打卡机里面的数据能删除的?增加一条,或者删除一条?

本站回复:

可以,但是你得有系统权限,例如telnet密码。

佚名 @ 2014-12-17 10:09:14

除了telnet 有别的办法修改机器上的考勤记录吗

本站回复:

没有。

佚名 @ 2014-12-17 14:44:51

我的平台是ZEM510 出厂是2011年11-7.你知道telnet帐号密码吗

本站回复:

不知道。

怀念 @ 2015-01-05 17:28:40

telnet 登陆后可以可以更新数据库吗

本站回复:

登录后是最高权限,任你修改。

佚名 @ 2015-01-26 20:53:12

诚心问 不知道有何进展没 root

本站回复:

没有……

佚名 @ 2015-04-11 15:29:59

都2015年了啊,密码,密码........

本站回复:

木有~~~ -_-!!!

佚名 @ 2015-04-24 13:43:31

核总看看能不能出个人脸考勤的入侵攻略,现在指纹的都换人脸了。(中控的面部王A106);通用的官方管理程序现在连时间都无法改了,急死人了。

本站回复:

手头没有设备,无法测试。 -_-!!!

佚名 @ 2015-05-19 20:18:37

来挖个坟..

本站回复:

-_-!!!

佚名 @ 2015-05-25 08:40:26

Welcome to Linux (ZEM560) for MIPS
Kernel 2.6.24 Treckle on an MIPS
ZEM560 login:

老大,求root密码 .. 看到回复,持续关注中

本站回复:

不知道密码……

佚名 @ 2015-05-25 11:19:01

核总,通篇仔仔细细的看了2遍,就是没看到怎么修改语音,求教导

本站回复:

几乎所有机型都需要shell权限才能修改文件,目前没法弄到root密码。

中控技术——周工 @ 2015-07-08 18:36:03

人脸指纹考勤机需要专业破解软件才行,我有软件附带教程,到我的云盘去下载
http://yun.baidu.com/share/link?shareid=3967444940&uk=3177905685

中控技术—周工

本站回复:

晕,你这个假中控技术!压缩包内为一个淘宝店铺的推广链接,卖一个中控考勤机的时间密码算法程序,而且这个算法超级简单,本文已公开的!
你妹的,就这破算法也好意思卖200人民币!??? -_-!!!
“彩屏须在1分钟内操作完成,记下机器时间,用计算器算9999-机器显示时间的差的平方,就是密码。例如:目前考勤机时间是22:55,那就是9999-2255=7744,接着算7744的平方,7744*7744=59969536 ,考勤机8888的管理密码就是59969536。按菜单键,在指纹机上输入8888>>>按OK键,输入计算出来的密码 OK。 ”

佚名 @ 2015-07-14 10:49:25

我再国外网站发现一篇关于破解中控考勤机root权限的方法,他们好像是通过备份考勤机固件在修改上传的方法破解的,不知道楼主是否看过这篇文章,如果有兴趣,我把文章地址发给你

本站回复:

最早研究这块的时候,确曾接触过提取固件修改破解的资料,但是表示对固件提取、修改完全不懂,所以没从这方便下手。
你可以将这篇文章地址贴出来,对其他读者可能有帮助。
补充国外文章链接,原理就是把固件的密码字段改掉再恢复固件:
http://blog.infobytesec.com/2014/07/perverting-embedded-devices-zksoftware_2920.html

佚名 @ 2015-07-24 15:57:00

我有办法,其实大致思路是上传passwd文件到mtdblock(可通过脱机SDK实现,如果是面部识别需使用U盘更新)。我是通过对固件文件研究的时候发现的
if [ -f $DEST/passwd ]; then
mv $DEST/passwd /etc/ && sync
fi
当然SDK的部分函数可能他们的开发手册里是没有介绍的,要自己去研究dll文件。
黑白、彩屏全部可以, 除了面部。面部机不支持用SDK来长传文件,只能是由U盘更新,当然也是更新passwd文件进去。

本站回复:

方法不错,可以试试。

佚名 @ 2015-07-28 02:08:09

设备名称 U260
序列号 0050142600032
出厂日期 2014-06-26 10:34:39
IP 地址 112.123.170.59
最大用户数 10000/189
最大记录数 80000/676
最大指纹数 3200/160
门禁功能 关闭
射频卡 关闭
短消息 开启
U盘 开启
Usb通讯 开启
远程验证服务 关闭
备份设备上的数据,分为用户数据和系统数据,用户数据包括用户信息和出入记录,系统数据包括系统配置参数和配置信息
备份系统数据
备份用户数据
核总能不能帮忙分析这个备份出来的数据??

本站回复:

没法分析。

senper @ 2015-08-27 08:27:20

中控打卡机,现在已可绕过指绞进行打卡,用手机,或局域网通的话都可以搞定。

本站回复:

-_-!!!

尘缘 @ 2015-09-29 16:51:57

想调戏公司的指纹机了 想起来你这里的文章 越往后看 竟然越来越对你电脑有兴趣 默默问一句 你这苹果笔记本是哪个版本 看着怎么这么牛逼....

本站回复:

山寨上网本,淘宝一千多一个~ -_-!!!

佚名 @ 2015-10-27 12:04:56

中控VF300,TELNET的用户名,密码不知道。我想修改里面的广域网模块。请哪位大神指教。

本站回复:

-_-!!!

佚名 @ 2015-10-27 12:07:07

中控VF300,TELNET的用户名,密码不知道。我想修改里面的广域网模块。请哪位大神指教。

本站回复:

-_-!!!

佚名 @ 2015-10-29 14:09:53

请问如何读到考勤机里的数据库。
上面提到的SOAP,没找到文件在哪。
我们公司打算在线读取到最新的打卡记录。
用官方的客户端时常会断开,而且要占用一台电脑开着也是麻烦。

本站回复:

这个暂时不清楚。

逸笙 @ 2015-10-29 16:34:11

lcx.exe -slave
挖个坟,以前来看过,现在2015年快过完啦~密码能跑得出来吗?

本站回复:

么有 -_-!!!

佚名 @ 2015-10-30 16:52:50

我这是zem500,Telnet无解,只能通过把时间调到过去补打卡,已经测试过,没有问题,哈哈

本站回复:

你赢了~!-_-!!!

佚名 @ 2016-02-18 20:17:24

核总,更新文章
http://223.87.19.7:16139/ehmsexp/loginpage.ac

本站回复:

?

佚名 @ 2016-02-21 16:10:52

核总,中控H10能改数据库吗,为脱机指纹彩屏考勤机,我想删除某人某天的考勤数据,不知道怎么做。

本站回复:

这个型号没试过,不清楚。不过,肯定要进系统修改数据库才行。

佚名 @ 2016-02-23 00:01:32

我也在百度上面搜过,说是用考勤软件可以删除某条考勤记录,具体没试过,还有你说的修改数据库,就是你之前一直没破解的那个linux系统的账户密码,如果是这个,那我就没办法了,那个用考勤软件删除考勤记录的,我还没试过。接上一个问题。

本站回复:

修改数据库,需要系统权限。

佚名 @ 2016-04-15 16:53:06

可不可以用电脑连接考勤机,直接修改考勤机里的打卡记录!

本站回复:

知道 root 密码即可。

佚名 @ 2016-04-16 00:34:41

不晓得ROOT密码,像我们公司下面很多分店,总部直接取门店打卡机的数据,那能不能直接发送假的数据包来做到考勤呢?

本站回复:

网络取数据还是上门取数据?发送假数据包很有难度。

TX9999 @ 2016-04-16 15:21:01

网络取数据,总比要ROOT密码简单吧!
设备名称 MU260
序列号 1911300460034
出厂日期 2010-11-15 11:44:20
IP 地址 192.168.28.11
最大用户数 30000/893
最大记录数 100000/28
最大指纹数 30000/0
门禁功能 关闭
射频卡 开启
短消息 开启
U盘 开启
Usb通讯 开启
远程验证服务 关闭

本站回复:

重点在模拟假数据。

佚名 @ 2016-04-19 14:58:14

请在这里填写留言内容,最长不超过 1000 字。

本站回复:

[暂无回复]

核总小粉丝 @ 2016-05-06 10:28:05

核总,我用密码破解那个方式,(9999-系统时间)的平方,进去总是不对,是不是因为管理员电脑的时间与考勤机时间不一致? 我按照考勤机上的时间这么操作,总是不对。

本站回复:

针对彩屏机有效(不知道新出的机型是否有效),时间使用彩屏机显示的时间,要在分钟变化之前完成输入,不然每分钟更新一次。

佚名 @ 2016-05-17 14:06:55

话说我单位的考勤机已经可以telnet连接成功了,但是进去之后的系统操作很生疏,进去了也做不了什么。我的想法是,已经不求可以发送假数据包这种方式了,可否改下考勤机里的数据,使得我明明是用密码考勤的,但是查的时候是指纹?

本站回复:

研究一下数据库结构吧。具体不太清楚,没资料。

木羽 @ 2016-05-23 14:17:32

用 solokey 登进去了,里面有 ZKDB.db 的 sqlite 数据库,也有 tftp ,如果要改打卡数据,可以把这个文件导出去,用 sqlite 改了后再拉回来。ATT_LOG 这个表就是门禁事件记录。

本站回复:

嗯,猜就是 sqllite。

木羽 @ 2016-05-25 15:23:40

UPDATE-8264:

我试了一下,ZKDB.DB 里的数据必须在 telnet 中现场改(旁边应该有个 sqlite3_mips 的程序,这个就是 sqlite 工具),如果门禁程序的进程没有结束,拖出去再拖回来 inode 会变,进程中文件 link 会被标记为 deleted,并且修改后的内容将不会体现在考勤系统中,也许重启系统或重启该程序可以重新载入文件,但是我还没有试过,公司的门禁正在使用,太过危险的动作不太好做。

本站回复:

-_-!!!,试一下。

佚名 @ 2016-05-26 22:22:02

U160 I360 telnet 用 root solokey 能进,且已撸语音

本站回复:

恭喜恭喜!

MEIAM @ 2016-05-31 22:49:31

和 木羽一样 telnet 进了公司的 面部识别考勤机之后 在里面翻出来了 sqlite 数据库文件 ZKDB.db
通过 tftp 下载回来修改了 ATT_LOG 表中的考勤数据之后 ,上传回去,再去同步数据发现下载不了数据
当时直接吓尿了. 后来经过分析是大概是因为 tftp 上传回去的时候 , ZKDB.db 文件被占用 ,考勤机无法读取
所以所以考勤机程序挂掉了. 不过重启考勤机即可解决问题.
后来我直接使用 sqlite3_mips 对 ZKDB.db 插入数据 已撸脚本

本站回复:

-_-!!!

MEIAM @ 2016-05-31 22:50:34

#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin
export PATH

#选择要进行的操作?
echo "==========================="
DateTime=$(date '+%Y-%m-%dT%H:%M:%S')
DateNow=$(date -d now '+%Y-%m-%d')
Tomorrow=$(date -d tomorrow '+%Y-%m-%d')

#echo "当前时间: ${DateTime}"

read -p "请输入签到的时间(默认用户ID 1): " UserID
if [ "${UserID}" = "" ]; then
UserID=1
fi
echo "签到用户: ${UserID}"

#Echo_Yellow "请输入签到的时间"
read -p "请输入签到的时间(默认当前时间): " DateTime
if [ "${DateTime}" = "" ]; then
DateTime=$(date '+%Y-%m-%dT%H:%M:%S')
fi
echo "签到时间: ${DateTime}"
sqlite3_mips ZKDB.db "INSERT INTO ATT_LOG VALUES (null,'${UserID}',15,'${DateTime}','0','0',null,null,null,null,0);"
echo "用户编号 ${UserID} 签到数据插入"
sqlite3_mips ZKDB.db "SELECT * FROM ATT_LOG WHERE User_PIN = '${UserID}' ORDER BY ID DESC LIMIT 0,1;"
sqlite3_mips ZKDB.db ".quit"

本站回复:

-_-!!!

MEIAM @ 2016-05-31 23:00:50

前面那个脚本删了吧,有点问题

https://github.com/x91270/update/blob/master/Add.sh

本站回复:

-_-!!!

佚名 @ 2016-06-02 11:43:31

http://blog.infobytesec.com/2014/07/perverting-embedded-devices-zksoftware_2920.html
这个底下有人说过了,上传固件 加了一句修改密码的脚本 重启 然后就成了
不过我不太敢

我只是想拿到sql数据库,学学编程,然后做个时间管理软件而已(我只是个可怜的小IT菜鸟),我以为必须得进到busybox的权限才能拿到读取sql的权限,不过好像读取sql的话,只要有个sql server验证密码就好了,这个阿三http://kishfellow.blogspot.com/2013/11/website-www.html 说配套的管理软件里面有一个弱加密的密码,不过我也不会整。。是需要逆向这个软件吧?

不过到最后,我发现配套的管理软件里头直接带存为SQL的选项。。。。=。=

不过在入侵/爆破/安全这些领域转了一圈儿,觉得好有意思,哈哈,mark了你的博客,经常来转转,涨涨姿势

本站回复:

共同学习!

bc257 @ 2016-06-02 11:44:56

http://blog.infobytesec.com/2014/07/perverting-embedded-devices-zksoftware_2920.html
这个底下有人说过了,上传固件 加了一句修改密码的脚本 重启 然后就成了
不过我不太敢

我只是想拿到sql数据库,学学编程,然后做个时间管理软件而已(我只是个可怜的小IT菜鸟),我以为必须得进到busybox的权限才能拿到读取sql的权限,不过好像读取sql的话,只要有个sql server验证密码就好了,这个阿三http://kishfellow.blogspot.com/2013/11/website-www.html 说配套的管理软件里面有一个弱加密的密码,不过我也不会整。。是需要逆向这个软件吧?

不过到最后,我发现配套的管理软件里头直接带存为SQL的选项。。。。=。=

不过在入侵/爆破/安全这些领域转了一圈儿,觉得好有意思,哈哈,mark了你的博客,经常来转转,涨涨姿势
ps验证码好诡异。。。。

本站回复:

-_-!!!

、Monster @ 2016-06-07 05:43:42

哈哈,只有在核总这儿能学到东西!

本站回复:

共同学习!

文章来源于lcx.cc:户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: