得力3958考勤机破解管理员

该型号机器不像其他得力考勤机一样有 8181 后门密码，因此破解相对困难。通过拆机发现，机器的固件和数据都存放在一块 T25S32 4MB SPI flash 中，只要对 flash 中的用户权限部分进行修改，就能实现管理员破解。

这个方法需要知道一个已有普通员工的指纹或密码。首先，获取并记录该员工的工号。然后，DUMP 出 flash 的内容，用十六进制编辑器打开并搜索可能和用户权限设定有关的部分。

通过搜索发现，flash 中 0x1f2000 开始的一段区域存储了用户的权限设定，每条记录以工号开始，以‘0D 0A 27’结束。记录的第八个字节表示权限，0x11 为普通员工，0x15 则为超级管理员。

把工号对应的 0x11 修改成 0x15，将修改后的内容刷回 flash，就能获得管理员权限。

注意直接使用编程器夹会无法正常写入，需要首先短路 CPU 的晶振使其停止工作。另外，如果已知通讯密码，可以直接用电脑端软件 “excelp2p” 对用户信息进行修改。