Hjälp att hacka Telenor Icotera-4882 router

Har du firmware filerna? Delar du dom så kan jag verkligen hjälpa dig lättare.

Japp, men de är krypterade, men i i3562 dumpen har du förhoppningsvis lösningen till att dekryptera dem. Jag har ej haft tid att gå igenom den filen. Så kan du sätta upp en arc700 miljö med qemu, vilket jag inte lyckats med....

Uppdaterade mitt förra inlägg om du missade det.

Länkar firmware strax.

Absolut, det kan jag. Det kan säkert hjälpa dig med senare. Det är dock extremt mycket svårare än detta här men har du lite koll på saker kan vi säkert kolla på det sen. Ja precis, jag såg det i I6407 men jag fick fel ELF jag måste fixa fixa en static binary för mips bara det var därför jag ville ha bootloggen, jag kan emulera ubi också men det går inte utan filerna dock.

Det är väldigt svårt utan en enhet bara, men dela firmware filena, jag kollar gärna på dom oavsett om dom är krrypterade eller inte. Du får ha i åtanke att jag inte har någon enhet själv, jag använder mig av randoms online för att försöka få tag på det som du redan har. Jag har dock redan hittat firmware filerna och deras cwmpd men inte till telenors dock. Dom jag har tillgång till, är inte krypterade,

https://gofile.io/d/Rk0aCn


Men om du nu har obrandad firmware till i4882 så får du gärna dela den.. Eller nåt. Vill gärna se dess upplägg eftersom dina är okrypterade.

Jag har inte till i4882, men i3550 bl.a jag fick tag på igår, den heter i3500_generic_release_1.1.3.bin.

https://gofile.io/d/EgWO0D

Dom var verkligen krypterade dina filer.

Japp, men i /bin finns de en update.sh samt ict_upgrade. Som jag förstår de så hämtar den md5 hashen på olika ställen i bin filen jämför. Sen gör den något med certifikatnyckeln å packar upp tar bollen. Så tror inte de är som technicolor där du behöver osik nyckeln. Så splittar man filen eller vad man ska säga så kanske man kan packa upp den. Där jag är nu men inte haft tid tyvärr.

Så enkelt är det inte.

Detta har jag hunnit med hitils.

1). Analys av upgrade.sh-skriptet

- Jag gick igenom skriptet för att leta efter ledtrådar om hur firmware-filen hanteras.
- Jag identifierade att firmware-filen är en gzippad tarball.
- Det verkar finnas en anpassad header innan den faktiska gzippade tarballen börjar, och startpositionen för tarballen anges av variabeln $HEADER_DATA_POS.

2). Försök att identifiera starten av gzippad tarball

- Jag sökte efter gick igenom filen med hexdump för att hitta (`1f 8b`) i firmware-filen mclaren-1.1.0_generic_release.bin. Magic number (1f 8b i hexadecimal) hittades vid position 94416 i firmware-filen mclaren-1.1.0_generic_release.bin.
- Jag hittade flera instanser av detta maginummer, vilket tyder på att det kan finnas flera komprimerade segment i firmwaren.

3). Försök att dekomprimera gzippade segment

- Jag försökte extrahera och dekomprimera några av segmenten som började vid de positioner där gzip-maginumret hittades.
- Ingen av dessa segment kunde dekomprimeras framgångsrikt, vilket antyder att de kan vara krypterade, obfuskerade eller att min identifierade startposition inte var korrekt.

4). binwalk-analys

- Jag körde `binwalk` på min lokala maskin och hittade en signatur för en "MySQL MISAM compressed data file Version 2".
- Detta kan vara en falsk positiv eftersom det är ovanligt för en firmware att innehålla en MISAM-fil.

5). Hexdump

- Jag extraherade en hexdump av data runt den identifierade gzip-startpositionen för att leta efter mönster eller ytterligare headers.
- Hexdumpen visade gzip-maginumret, men de efterföljande bytesen följde inte den typiska strukturen för en gzip-header.

För att extrahera firmwaren:

- Vi måste identifiera den exakta starten och slutet av den gzippade tarballen.
- Om datan är krypterad, måste vi också känna till krypteringsmetoden
- Vi kan behöva identifiera och förstå eventuella anpassade headers eller metadata i firmware-filen (rad 2)

Detta är vad jag har hunnit notera, så där är vi nu. "gzip" är din bin fil, jag gjorde om den lite men för att vara tydlig.

Har du kollat i ghidra på ict_upgrade ifrån min 3562 dump. Där finns det lite matnyttigt. Annars kan jag länka delar ur den senare.

Men om vi backar bandet lite då.
Du kommer alltså inte åt annat än quantenna ifrån webui?

Får du fram undermenyer på i4882 under diagnostics? Där tror jag man kan ändra cwmp adress så jag kan köra routern emot genieacs. Då kommer man iaf kunna nå CLIt är en början för de som vill mixtra på.

Isåfall kan du berätta hur så jag kan pröva på mina fysiska här hemma.

Jag skall kolla lite vidare nu jag håller på med ett annat projekt också så jag svarar när jag kan jag skall undersöka det lite nu. Den ena filen du delade, I6407 har 3 olika root dirs, de är dom 3 olika partitionerna jag menade på tidigare.


Det är något som fattas. Allting är typ halv trasigt.

Det är meningslöst att försöka få upp firmwaren, försök hitta någon sårbarhet istället är mitt råd. Knäcka kryptering utan att ens veta vad som används är bara onödig tid. Skillnaden mot osik är att dom inte är signerade (vad det verkar) så du kan skicka upp en fejk fil till upload firmware, jag har redan provat den vägen och sen kommer du att att se att den säger "corrupt" men du har ju routern, och firmwaren, varför flashar du den inte och kollar bootloggen med tftp? Du kan ju nedgradera eftrersom du har 1.0.0. De är många frågetecken här.

Utifrån loggen, så finns inte ens /dev. Det är hårdvarufel eller något annat som är fel. Du kan prova att resetta den eller uppgradera den som du prata på och se om det försvinner, det där är inget du kan ignorera. Har du tur så går det annars har de nog tagit skada med kortisen.

Mac addressen är också trasig.

Det finns inte så mycket jag kan hjälpa till med om sakerna är är korrupta, trasiga eller halvdana.

Tyvärr, Med det sagt, jag hjälper dig gärna men då får jag få hela saker inte empty eller korrupta filer.

Alltså, kör xxd eller obdjump på filen, den är ju helt trasig:


Detta är inga lätta grejjer, jag såg att du var nybörjare och lär dig men jag rekommenderar dig verkligen att läsa på lite speciellt om emebedded produkter, de är verkligen inte som en dator och framförallt, finns det ingen annan som har lyckats så kan det betyda något som att dom är säkra. Det skrev jag igår redan.

Detta är inte för att ge dig kritik, tvärtom. Det finns operatörer som blockar UART helt och hållet, du ser att det står "press enter to activate this console", shell kan till och med vara satt till /nologin. Då är det inte mycket du kan göra, då får du leta JTAG och se om det kan ge något.

På telias senaste router te.x, där har dom satt ett "!" framför shell kontot i /etc/shadow, det betyder att det är "låst". Det kan mycket väl vara så på din med, det bör stå i loggen om du försöker ssh:a in om du har tillgång till den vilket jag antar om du hittat firmware länken.

Alltså, om du ssh:ar in till routern, kolla vad dropbear skickar för meddelande till loggen. Det säger en hel del det är en miss dom gör ofta, antingen står det "wrong argo" eller så står det "tried to login with not existing user" eller hur dom skriver ut det, eller så står det "tried to login with a locked account" osv.

Lycka till, jag följer absolut tråden om det skulle bli aktuellt igen om det dyker upp något nytt.

Vet inte hur man skickar ny firmware till i4882.Därför jag frågade dig hur du gör... Sen har jag som lägst 1.0.11. De tar bort filerna allt eftersom de uppdaterar routern.

Dumpen ifrån i6407 är direkt ifrån chippet via flashrom på en Raspberry pi. På en helt ny i6407 inte ens uppstartad så isåfall var den trasig ifrån fabrik menar du.

Häng inte upp dig på kortslutning dom routrarna slängde jag. Så allt du fått är på "riktiga" routrar.

Har ingen syslog på mina för ny version. Var den routern jag brände version 1.0.5, också därför jag frågade om du kunde komma åt diagnostics

i6407 är från Tele2 vad det verkar.

Den har jag lösenorden till och den är korrekt.

Du kommer inte komma in dock, kanske beroende på hur du ställt in allt, det verkar lite rörigt för det var ju telenor routern vi skulle få root på.

Jo är inne på den. Går via uart å loggar in med admin å docisismagic. Sen slår jag av filtret. Så nu har jag en hel bunt med switchar jag kan ha i hemmet å styra bäst jag vill.

Ja telenor var de ja. Köpte ju olika för å få ett hum på hur fan dom funkar som skulle hjälpa mig vidare.