ZTE H220N (Experiabox) tweaken v2/H368N ExperiaBox v9 Versie

[ Voor 5% gewijzigd door MrDikke op 10-01-2017 21:25 ]

Anoniem: 203842 schreef op dinsdag 10 januari 2017 @ 19:09:
Ik snap dat je er meer uit wilt halen.

Maar als je "snel resultaat" wilt zien: Laat dat ding zoals deze is, zet DHCP uit, en hang er een DD-WRT, Mikrotik of Pfsense router erachter. Kan je VEEL meer, en beter.

Laat die EBv9 puur voor de fysieke verbinding (zo zal ook je telefonie goed werken).


Ja, het is misschien niet het antwoord wat jij wilt, maar zo kom je sneller verder, en blijf je niet avonden het wachtwoord raden / brute forcen etc....

Anoniem: 203842 schreef op dinsdag 10 januari 2017 @ 19:54:
Is niet erg. Bij Mikrotik kan je poorten "isoleren". Laat die DHCP maar aan staan. Dan zal de Mikrotik de enige zijn die de client is.

Anoniem: 203842 schreef op dinsdag 10 januari 2017 @ 20:35:
Ik weet het. Heb mijn (zakelijke) Ziggo modem ook in bridge modem willen hebben. Dat is op geen enkele manier mogelijk volgens Ziggo. Terwijl de modem voor consumenten lijnen wél binnen 10 minuten door de klantenservice in bridge mode gezet kan worden.


grrr......

sig69 schreef op dinsdag 10 januari 2017 @ 21:17:
Ik mijn eigen router gewoon in dmz gegooid achter de experiabox, zo was m'n overstap naar kpn het makkelijkst. Alles werkt, alleen vpn niet. Maar daar zijn ook al hele fora's over volgeschreven geloof ik. Heb verder geen zin om er tijd in te steken, ik doe het er maar mee.

johnkeates schreef op dinsdag 10 januari 2017 @ 23:01:
Ik heb die OpenWRT pagina geschreven. Ding is op het moment nog niet gehackt, probleem is dat er nog geen bruikbare CFE is. Ik heb alle flash contents gedumpt, en een paar avondjes gespendeerd aan het decompileren van de CFE en mini_httpd, maar het is allemaal een karige bende. Ik heb z'n beetje alle experia boxen liggen, probleem is dat ze eigenlijk geen van allen bruikbare DSL chips hebben. De firmware is nagenoeg niet beschikbaar, en de paar binaries die er wel zijn gaan niet met nieuwe of custom firmware werken. De CFE zelf draait niet zomaar custom firmware (voor het geval je de EB's zonder DSL wil gebruiken), die moet dus vervangen worden, maar om dat te doen moet je eerst weten hoe de huidige CFE de hardware initialiseert, zodat dat met een vervangende CFE gedaan kan worden. Die kan je dan gewoon in de flash chip gooien en draaien maar.

Het apparaat kan je wel modificeren door de flash chip te dumpen, filesystem te extracten, bestanden aanpassen, weer inpakken, nieuwe checksum calculeren, en weer in de flash chip flashen. Maar dan nog kan je vrij weinig om dat het nogal oude firmware is. Op z'n best kan je DHCP uit zetten, de firewall uit zetten enz. TR069 uitzetten kan ook, en is in principe ook wel aan te raden om dat je anders het risico loopt op een update van KPN en dan werkt je hack niet meer.

Al met al kan je voor vrij weinig geld vergelijkbare hardware krijgen waar je wel gewoon standaard OpenWRT op kan draaien, en gezien je dan ook meteen goede langdurig ondersteunde en verkrijgbare hardware hebt is er ook meteen een stuk meer mee te doen.

Qua DSL ben je ook beter af met een simpel ATM/PTM-Ethernet adaptertje zoals de Vigor 120. De firmware voor de DSL chips is ranzig, werkt alleen op de huidig meegeleverde kernel+modules, en moeten in de DLS comm chips geladen worden na het opstarten om ze werkend te krijgen. De ATA chip is nog totaal onbekend qua aansturing, dus daar kan je met custom firmware al helemaal niks mee.

Stel dat je gewoon wil rondneuzen: dump de flash chip en ga je gang. Stel dat je in een live systeem wil kijken: er is geen bruikbare seriele console, niet in de CFE, niet in recovery en ook niet na boot. Je kan het wel via JTAG proberen, maar of dat nou praktisch is... Je kan ook directory listings enz. doen via een bug in de USB SMB server config UI, maar daar schiet je ook niet heel veel mee op.

johnkeates schreef op woensdag 11 januari 2017 @ 17:42:
Er zit inderdaad weinig bruikbaars achter. Je kan na de CFE auth wat firmware uploaden en that's it. Kan overigens ook via TFTP. Probleem is dat die ondertekend moet zijn, en ik heb geen tijd/zin gehad om die te reverse engineeren (als het tenminste niet asymmetrisch is). Het maakt ook weinig uit, want zonder serial console kom je nog nergens, en als de CFE die uit zet moet je de CFE dus vervangen, en als je de CFE vervangt ben je ook van het password probleem af... en dan heb je ook een serial console en daarmee dus ook toegang tot de embedded linux omgeving die er nu op draait.

Er staat wel een telnetd op maar ik heb geen duidelijke backdoor o.i.d. gevonden om hem aan te zetten. Een exec exploit is genoeg om het ding te starten, maar die ben ik nog niet tegen gekomen. DLNA was in oude versies te gebruiken, en HTTPD dus ook, maar in de huidige firmware allebei niet, of tenminste niet op een eenvoudige injectie methode.

De directory listing kon je via de web interface in de SMB/USB server module doen. Het is dezelfde bug als in de firmware van de fabrikant z'n eigen hardware/software, dus een vergelijkbaar modem/modelnummer had die bug en de EB dus ook. Ik ben even het type vergeten maar die heet ook iets van 220N.

johnkeates schreef op woensdag 11 januari 2017 @ 22:21:
Hier is een ruwe bende aan HTML die in de CFE zit: https://ufile.io/556b5
Ik weet niet precies welke ik er een beetje schoon uit gekregen heb, waarschijnlijk is het alleen vanaf de header afgeknipt en zit er nog een rommeltje achter de footer met de rest van de flash chip.

Oh. Dit is de CFE: https://ufile.io/bcd75

Er zitten twee flash chips op, en de CFE heeft een JFFS ergens waar die HTTP interface op draait in recovery. Eigenlijk is er dus de 'echte' CFE, en een embedded RTOS-achtige HTTP server die in recovery mode vanaf de CFE direct geladen wordt zonder Linux o.i.d.

RootFS van de bovenste Flash Chip: https://ufile.io/79274

Volgens mij is dat de normale boot chip, en de onderste voor CFE, recovery en non-upgraded runtime code.

[ Voor 5% gewijzigd door MrDikke op 12-01-2017 15:35 ]

johnkeates schreef op donderdag 12 januari 2017 @ 16:08:
Je haalt de EB uit elkaar, soldeert de flash chips er af, hangt hem aan een SPI bus, en leest ze uit, bijv. met flashrom. Je kan dan bijv. ook gemodificeerde software terugflashen en dan de chip weer op z'n plek solderen en dan draait de EB dus in theorie gemodificeerde software. Probleem is dat je de checksums goed moet krijgen om dat de CFE anders in recovery start en een herinstallatie doet.


[...]


Dat zijn inderdaad de upper en lower flash dumps van de chips.

johnkeates schreef op vrijdag 13 januari 2017 @ 18:08:
[...]


Dat is de bug die dus misbruikt wordt voor directory traversal in de SMB/USB interface.

johnkeates schreef op vrijdag 13 januari 2017 @ 20:14:
[...]


CFE reverse-engineeren en een compatible CFE flashen die wel goed werkt. Het OS enz. zijn allemaal niet zo spannend. Zonder goede CFE is het ding niet echt bruikbaar. HTTP auth kraken helpt ook niks, het kan wel, maar dan nog kom je nergens. Het punt is niet dat het 'veilig' of 'secure' is, ze hebben gewoon nagenoeg alles uit de firmware en CFE gesloopt zodat er niks te hacken valt.

[ Voor 8% gewijzigd door MrDikke op 14-01-2017 22:01 ]