Hjälp att hacka Telenor Icotera-4882 router

Hej!

Har försök ett tag nu att få “root” på denna router på min lediga tid för att lära mig något men nu har jag kört fast. Så tips på vad man kan göra vore trevligt. Annars någon kanske redan har
lyckats som vill dela info.

Det sitter en RTL9607CP som “main” CPU och en ARC 700 för quantenna(wifi)

Bootloader: U-boot.

U-boot på Quantenna sidan går att avbryta igenom att kortsluta minnet, men man måste va snabb pga watchdog startar om router varje tionde sekund ungefär.
Så har root shell på quantenna sidan men det verkar vara helt meningslöst då man ej kan nå main “CPU” därifrån. (vad jag vet om)

U-boot på Realtek sidan går ej att avbryta via kortslutning. Den är inställd på att starta om vid felläsning av minnet. Kortsluter man när kernel laddar kan man lyckas komma till en login prompt.
Har provat diverse användare/lösen utan att lyckats.

Finns SSH samt port 8080 är öppen om man använder Telenors ip nummer på WAN sidan.
CWMP adressen är hårdkodad och körs i HTTPS.
I WebUIt använder Telenor kontot Operator.

Via webbläsar-consolen kan man aktivera ändring av vissa saker som t.ex gäst WIFI, dock funkar det inte att ändra länkar i menyerna. Förstår inte varför.

Javascript filen routern använder sig av. Försökt mig på curl för att ändra/läsa men jag är för dålig att kasta sten....
https://pastebin.com/ByN1eKQx
Har även två versioner av firmware men de krypterade såklart.



Hoppas jag lägger detta i rätt forumdel.

... kom du fram till något?

Sitter själv och funderar på hur jag ska kunna dra nytta av routern som jag fick med när jag bytte bredbandsleverantör till Telenor.

Jo det går väl framåt, men sakta.

Kom in i deras wifi extender som de också säljer så har hashen till deras inlogg, men att knäcka den lär väl omöjligt.
Men i all hast råka jag kortsluta den så hann aldrig kolla så mycket har en dump av det mesta av dess firmware iaf.

Skaffade Bahnhofs i4850 router och den kan jag sköta över TR-069 protokollet men inget root konto, kan bara använda dess inbyggda CLI. (/Bin/cliic) Vilket jag tror bara ISPer använder sig av och själva root kontot har de ingen koll på.

Så just nu försöker jag lära mig Ghidra med en Arcompact modul eftersom jag har själva kernel modulen samt programfilen som dekrypterar firmwaren.

Tycker det är konstigt att intresset är så lågt inom det här...

Riktigt intressant tråd!
Själv är jag lite för mycket av en n00b och har inte rätt utrustning för att sitta hacka hårdvaran på en router men det är något jag gärna lärt mig.

Kanske flashback inte är rätt ställe då intresset kring it-säkerhet här främst verkar vara småkriminella som vill vara anonyma online.

Kanske finns det bättre foum i Sverige som jag missat eller sker allt snack på internationella forum?

Tack iallafall för att du delar med dig av din progress och hoppas du fortsätter mecka.

Vad är det för hash?

Är väl typ n00b också men har man intresset så lär man sig på resan. Har inte heller rätt eller någon utrustning egentligen...

Tycker det har funnits intresse förr på flashback men kanske inte längre.

Har ej hittat något svenskt forum iaf. Sen är jag sämst på att formulera mig med det jag vill ha sagt så skriver aldrig på forum i princip...



Md5-crypt. $1

Kan posta dem ikväll. Har en gammal laptop bara så ger dem inte ens ett försök med hashcat.

Jag funderar på att köpa denna routern, finns det UART pins tillgängliga på kortet? Kan du dela kort på båda sidor av denna routerns board vore det tacksamt.

Ja det finns UART på två ställen men du måste ha version 0.2.2 på routern annars får du löda lite. Hittade någon bild lite snabbt nu. Kan väl ta mera kort vid tillfälle om du behöver.


https://file.io/hl2tIIBYzLRH

Men om jag tror rätt nu så har jag nog delat de mesta jag vet om den redan på GitHub åt dig.

Har du provat ansluta till båda? Är det en backup eller speciell för firmware?

Kan du göra en backup av root partitionen? Så kan jag nog med all säkerhet hjälpa dig, jag köpte en begagnad på tradera precis.

Jag vet inte vad du menar med "CPU" men har du fått access till shell?

Prova:

Default Login: Kundservice
Default Password: F0rth4stargran3n

Är UART dom med 4 stift där ett är tomt menar du eller är det det som du har markerat med rött?

Det var kopiöst dåliga kort måste jag säga, baksidan hade det varit bra att kunna få ett bättre kort på om du kan. Beteckningarna är det jag är intresserad av, lägg telefonen på något så den blir stabil så kan du ta på halva/halva så ser man bättre.

Har du provat ansluta till båda? Är det en backup eller speciell för firmware?

Ena är till realtek cpun andra är till wifit, quantenna cpu.


Kan du göra en backup av root partitionen? Så kan jag nog med all säkerhet hjälpa dig, jag köpte en begagnad på tradera precis.

Har bara halva quantenna "delen" sen balla konsolen ur när jag körde hexdump. Sen hände livet och har inte kollat så mycket mera. Men eftersom du nu är intresserad så väcker det en liten låga i mig igen.

Jag vet inte vad du menar med "CPU" men har du fått access till shell?

Ja shell på quantenna cpu.
Ej realtek.

Prova:

Default Login: Kundservice
Default Password: F0rth4stargran3n

Nej funkar inte. Va det första jag testa i princip. Fast nu blev jag osäker om jag testade lösenordet emot operator. Men telenor sa att de bytt ifrån 799vac lösenordet när jag prata med dem för typ två år sedan. Men de blev lite nervösa när jag kunde lösenordet dock.

Operator är username.
Detta kan va hashen till lösenordet. Men kommer ifrån extender så kanske inte funkar på 4882.

$1$MqmfDyce$QnoE6w328yNIxUHzw6SuP/


Är UART dom med 4 stift där ett är tomt menar du eller är det det som du har markerat med rött?

Hålen är var UART stiften ska sitta om du råkat köpa en nyare version, det röda är var du måste löda ihop för att få signal.

GND mellanrum, tx, rx, vcc är ordningen på stiften.

Det var kopiöst dåliga kort måste jag säga, baksidan hade det varit bra att kunna få ett bättre kort på om du kan. Beteckningarna är det jag är intresserad av, lägg telefonen på något så den blir stabil så kan du ta på halva/halva så ser man bättre.

Jaja, jag bara tog något jag hittade för jag hade lite bråttom. Sorry. Ska ta nya å fina så du blir glad.

Tack.

Hur kortsluter du minnet? Det låter farligt, menar du att du kortsluter det verkligen?

Hur tog du reda på telenors / hur fick du fram lösenordet?

Det man kan utläsa av det där minifierade javascriptet är att man verkar kasta ur sig hela GUIet till admindelen och sen rita ut valda delar grundat på vissa villkor.

Notervärt är att de enda tillfällena man verkar göra något nätverksrelaterat (typ loga in, ändra inställning etc) verkar man anropa index.cgi. Dit verkar alla anrop gå tolkar jag det som.

Har du kollat på vilken payload du skickar dit när du gör nåt?
vad händer om du skickar något den inte förväntar sig? Att det är et cgiscript (eller program) som körs kan ju om det är slarvigt skrivet få sidoeffekter om man skickar på den nåt den inte är avsedd att hantera.
Har du provat den vägen?