搞了个中兴F7015TV3上看数据表密码的小工具

h323209255

强大的恩山

snowdice

yuleniwo 发表于 2024-8-15 10:25
sha256的结果就是32字节(256bits)，直接作为key或iv（注：中兴配置文件aescbc使用256位加解密，所以sha25 ...

    大佬，按照你的教程解密好了dataprotocol，CSP_USER_AESCBCENCRY_IV与你的一致。但是使用下面的代码（代码的大部分跟成功解密dataprotocol的代码是一样的）解密db_user_cfg.xml，在decompressed_chunk = zlib.decompress(decrypt_data)这句报错zlib.error: Error -3 while decompressing data: incorrect header check。
    请问有这个报错是因为需要为解密出来的数据添加文件头之后，才能进行crc解压吗?
    另外，看到大佬你提到网上有crc解压的工具，我用“crc解压”这个关键词没有搜索到，方便给下关键词或者链接吗？谢谢。

1. KEY = SHA256.new(b'4d475399aca26fbaf4f4d0c8a5ea38eb'[0:31]).digest()
   
2. IV = SHA256.new(b'67b02a85c61c786def4521b060265e8'[0:31]).digest()[0:16]
   
3. 
   
4. def decrypt(text):
   
5.     cryptor = AES.new(KEY, AES.MODE_CBC, IV)
   
6.     plain_text = cryptor.decrypt(a2b_hex(text))
   
7.     return plain_text
   
8. 
   
9. cfg_file = open("c:/Users/AA/Desktop/db_user_cfg.xml", "rb")
   
10. decrypt_file = open("c:/Users/AA/Desktop/decrypt_db_user_cfg.xml", "wb")
    
11. file_header = cfg_file.read(60)
    
12. decrypt_data = b''
    
13. crc = 0
    
14. while True:
    
15.     trunk_info = cfg_file.read(12)
    
16.     trunk_data = cfg_file.read(65536)
    
17.     trunk_real_size = int.from_bytes(trunk_info[0:4], byteorder='big', signed=False)
    
18.     trunk_size = int.from_bytes(trunk_info[4:8], byteorder='big', signed=False)
    
19.     next_trunk = int.from_bytes(trunk_info[8:12], byteorder='big', signed=False)
    
20.     print(trunk_real_size, trunk_size, next_trunk)
    
21.     decrypt_data = decrypt(trunk_data.hex())
    
22.     crc = zlib.crc32(decrypt_data, crc)
    
23.     print(crc)
    
24.     decompressed_chunk = zlib.decompress(decrypt_data)
    
25.      ......
    
26.     if next_trunk==0:
    
27.        break

复制代码

good1633

这个能提取超密吗

yuleniwo

good1633 发表于 2024-8-19 01:35
这个能提取超密吗

可以啊。命令后面跟表名称就可以。比如./printbl DevAuthInfo

yuleniwo

snowdice 发表于 2024-8-18 22:07
大佬，按照你的教程解密好了dataprotocol，CSP_USER_AESCBCENCRY_IV与你的一致。但是使用下面的代码 ...

“crc解压”这个词容易误解，反编译cspd，里面函数名称是DecryByCRC所以才这么叫，实际是文件头含有后面数据的crc校验值，再后面跟着压缩数据。因此aescbc解密出来的数据并不能直接解压。首先要确认aescbc解密出来数据最开头4个字节为01 02 03 04，再后面4个字节通常0，这样才代表aescbc解密成功。

aescbc解密出来的数据，最开始60字节，也是文件头。接下循环读取，12字节块头，前4字节为解压后的长度，中间4字节为解压前数据长度，最后4字节为0则代表此数据块之后没有新的数据块了。再接着就是数据块了（长度为块头中间4字节）。

mengyang1470

？？？？？？、

nv19

谢谢分享

lgq1001

你好，看看好东西。

过期的可乐

中兴看数据表密码的小工具，类似型号的中兴猫（arm cpu）应该也能用

jiahoo

感谢分享。

lgq1001

不知道怎么使用，谢谢。

酸奶盖

看数据表密码的小工具

zdq521yy

大神膜拜一下

snowdice

yuleniwo 发表于 2024-8-19 08:32
“crc解压”这个词容易误解，反编译cspd，里面函数名称是DecryByCRC所以才这么叫，实际是文件头含有后面 ...

        感觉大佬应该是逆向高手。按照大佬的提示，今晚又尝试了下，应该是aescbc没解密成功才报错。
        我这边解密出来的dataprotocol文件里，dataDBDefAESCBCKey=PON_Dkey，DBDefAESCBCIV=PON_DIV。加密方式3的配置文件（db_default_cfg.xml）使用KEY = SHA256.new(b'PON_Dkey'[0:31]).digest()，IV = SHA256.new(b'PON_DIV'[0:31]).digest()[0:16]可以正确解密。
       但是，加密方式4的配置文件解密出来的文件头还是不对，尝试了很多key值都不行。请问大佬加密方式4的key值你是用的paramtag中长度是多少的字符串呀？iv值是使用CSP_USER_AESCBCENCRY_IV吗？另外，key值是需要像你之前说的先做md5运算转小写字符串再取31字符做sha256运算吗？谢谢。

deone

感谢,非常厉害