Reverse engineering rutera "domaćih" ISP-a zabave radi

[ vidonk @ 22.01.2014. 01:58 ] @

Pozdrav svima koliko vas ima

Ovako zainteresovao sam se za rutere koje dobijamo od naših internet provajdera koji imaju user i admin korisnika, ja se ne slažem da imam samo user pristup ne znam za Vas ?
Samo da napomenem da ne živim u Srbiji pa se tačna oznaka ruter može razlikovati od vaše ali su u suštini isti

Kada kažem rutere mislim na Pirelli/ADB P.RG A4201G i sl. njemu i na ZTE ZXV10H20L

Ovaj prvi nije baziran na linuxu tako da što se samog os tiče "teško" je doći do njega odnosno izvući binarne fajlove sa "samog rutera" ali ne i do podataka o korisnicima mislim na admin nalog

Što se tiče ovog drugog ZTE-a on je "nov" za nas u CG i za sad samo imam korisnički nalog, zbog propusta u web interfejsu uspio sam doći do backup stranice koja je sakrivena kada se ulogujem sa iptv odnosno user korisničkim nalogom a sa koje sam uspio da pošaljem zahtjev i da sačuvam backup ali je on kompresovan i enkriptovan i uz pomoć google-a nisam našao ništa što može da ga dekriptuje.
Što se tiče sigurnosti "web interfejsa" nikakav korisnički nalog Vam nije potreban da bi izmijenili bilo koje podešavanje na ruteru, ne znam jel smiješno il žalosno.

Odlučio sam otići malo dalje i bacio pogled na sam fajl ali nisam mogao naći ništa o headeru fajla na osnovu binarnih vrijednosti skroz čudno ali ne odustajem postaviću ovdje sliku pa ako neko zna nešto
više o svemu ovome volio bih kada bi podijelio mišljenje sugestiju

Ova donja slika pokazuje dekriptovan sličan fajl od tog istog rutera samo možda starija verzija firmware-a koja nije kriptovala backup ovo je samo moja predpostavka

Postavio sam ovu drugu sliku
kako bih pokazao da je header fajla "ispravan" jer je "isti" kao i kod mog backup-a.

Šta čovjek može da uradi kako bi makar mogao naslutiti koja je kompresija/enkripcija u pitanju ? Ove standardne/najčešće nisu jer sam isprobao svaki mogući program i ništa

Evo ga firmware od rutera pa ako nađete šta interesantno podijelite

_{[Ovu poruku je menjao vidonk dana 22.01.2014. u 03:16 GMT+1]}

_{[Ovu poruku je menjao vidonk dana 22.01.2014. u 03:27 GMT+1]}

[ vidonk @ 03.02.2014. 13:49 ] @

Uspio sam da provalim šta je u pitanju pa da podijelim

Dakle ako pretražite po fajlovima rutera između ostalog će te naći

Citat:

Dakle koristili su zlib za kompresiju, e sad "caka" je što zlib ima dva headera 0x78 0x9C i u mom slučaju 0x78 0xDA
fajl sadrži više ovakvih headera dakle treba while petlja za dekompresiju cijelog fajla

[ EArthquake @ 05.02.2014. 18:01 ] @

bas htedoh da te uputim na http://reverseengineering.stackexchange.com/
ali videh da si vec postavio pitanje tamo (barem pretpostavljam da si ti :) )

/dev/ttyS0 je cest clan tamo , a on razvija binwalk koji je defacto standard alat za
reversanje firmware-a svih vrsta

[ vidonk @ 05.02.2014. 23:02 ] @

Citat:

EArthquake: bas htedoh da te uputim na http://reverseengineering.stackexchange.com/
ali videh da si vec postavio pitanje tamo (barem pretpostavljam da si ti

)

/dev/ttyS0 je cest clan tamo , a on razvija binwalk koji je defacto standard alat za
reversanje firmware-a svih vrsta

Aha jesam, slučajno viđeh da je član tamo i reko da pitam pa ako on ne prepozna "koji bit" iz fajla niko neće, a vjerujem da je "iz glave" prepoznao header, monstrum je nema šta

[ yolja624 @ 06.02.2014. 05:40 ] @

Tema odlicna. Da je bogdo vise ovakvih.

[ vidonk @ 09.02.2014. 00:24 ] @

Idemo dalje, nisam se zaustavio na ova dva rutera a i kako bih kad sam se navukao baš dobro nego ...

Drug mi ima Tp-link ruter na sajtu proizvođača piše linux firmware ali se ispotavilo da nije linux nego ZyNOS Zyxel Network OS valjda,
e sad backup je kompresovan/kriptovan (rom-0 je ime bekap fajla) ovo "kriptovan" teže ali ne znam, mene zanima jel se interesovao ko sa ovim odnosno zna li se kako da
se dekriptuje/dekompresuje fajl, našao sam podatak da je lzs kompresija u pitanju ali ne i rešenje za "stvarnu" dekompresiju.
Na linku ovdje piše nešto više o kompresiji ali je u pitanju PPP LZS-DCP Compression Protocol tako da nije baš od pomoći ali može da se pohvata po nešto, ovdje je napisana dekompresija u pythonu ali nekakav primjer i korišćene su "klase" pa ne mogu da se snađem, odnosno ne mogu iz koda da zaključim kako dekompresija radi kako bih mogao da identifikujem header kao i offset koji se radi prilikom kompresije, sve u svemu za mene je trenutno komplikovano pa sam se nadao vašoj pomoći :)

Fajl počinje ovako

00000000  01 01 00 01 00 00 19 48  64 62 67 61 72 65 61 00  |.......Hdbgarea.|

00000010  00 00 00 00 00 00 00 00  18 00 00 00 00 00 00 00  |................|

00000020  01 48 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |.H..............|

00000030  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|

*

00000150  02 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|

00000160  00 00 00 00 00 00 00 00  52 c1 38 59 de ad be af  |........R.8Y....|

00000170  00 00 00 0f 00 00 00 00  00 00 00 00 00 00 00 00  |................|

00000180  04 03 14 9b 52 c1 36 90  80 6e e8 cc ff ff a1 fd  |....R.6..n......|

00000190  00 00 00 00 00 00 00 00  31 2e 31 30 30 00 00 00  |........1.100...|

000001a0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|

000001b0  00 00 00 00 00 00 00 00  05 03 14 9c 52 c1 36 91  |............R.6.|

000001c0  80 6e e8 cc ff ff 9e 08  00 00 00 09 80 04 d0 f4  |.n..............|

000001d0  31 2e 31 30 30 00 00 00  00 00 00 00 00 00 00 00  |1.100...........|

000001e0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|

000001f0  05 03 14 9d 52 c1 36 93  80 6e ed f0 ff ff 9e 08  |....R.6..n......|

00000200  ff ff ff ff 80 0c 4e 1c  00 00 00 00 00 00 00 00  |......N.........|

00000210  ff ff ff fa 62 61 64 73  79 73 00 00 00 00 00 00  |....badsys......|

00000220  00 00 00 00 ff ff ff f9  05 03 14 6f 52 c1 36 f6  |...........oR.6.|

00000230  80 6e e8 cc ff ff a1 f4  00 00 00 21 00 00 00 00  |.n.........!....|

00000240  31 2e 31 30 30 00 00 00  00 00 00 00 00 00 00 00  |1.100...........|

00000250  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|

00000260  05 03 14 9e 52 c1 36 f6  80 6e e8 cc ff ff 9e 08  |....R.6..n......|

00000270  00 00 00 09 80 04 d0 f4  31 2e 31 30 30 00 00 00  |........1.100...|

Po sredini fajl izgleda ovako nekako, odnosno ovakvi djelovi se ponavljaju



*

00002e90  ff ff ff ff ff ff ff ff  ff 86 00 08 00 00 48 00  |..............H.|

00002ea0  60 7f ff ff ff ff ff ff  ff ff ff ff ff ff ff ff  |`...............|

00002eb0  ff ff ff ff ff ff ff ff  ff ff ff ff ff ff ff ff  |................|

*

00002ee0  ff ff ff ff ff fb 00 08  00 00 48 bf ff ff ff ff  |..........H.....|

00002ef0  ff ff ff ff ff ff ff ff  ff ff ff ff ff ff ff ff  |................|

*

00002f30  ff 86 00 08 00 00 48 00  60 7f ff ff ff ff ff ff  |......H.`.......|

00002f40  ff ff ff ff ff ff ff ff  ff ff ff ff ff ff ff ff  |................|

*

00002f70  ff ff ff ff ff ff ff ff  ff ff ff ff ff fb 00 08  |................|

00002f80  00 00 48 bf ff ff ff ff  ff ff ff ff ff ff ff ff  |..H.............|

00002f90  ff ff ff ff ff ff ff ff  ff ff ff ff ff ff ff ff  |................|

*

00002fc0  ff ff ff ff ff ff ff ff  ff 86 00 08 00 00 48 00  |..............H.|

00002fd0  60 7f ff ff ff ff ff ff  ff ff ff ff ff ff ff ff  |`...............|

00002fe0  ff ff ff ff ff ff ff ff  ff ff ff ff ff ff ff ff  |................|

*

Ne mogu da okačim fajl jer se u njemu nalaze stvarni podaci a pri tom nisu moji,
ako imate zyxel ruter odnosno ruter na kom je zynos skinite bekap pogledajte, dajte neko mišljenje :)

[ Impaler @ 07.04.2014. 10:44 ] @

Tesko ces reversati proprietary firmware. Ides glavom kroz zid. Ako idemo reversati neke linux reoutere iz nekih drugih zemalja gdje su ljudi vec uspjeli nesto ja sam in.

[ vidonk @ 07.04.2014. 14:13 ] @

Citat:

Impaler: Tesko ces reversati proprietary firmware. Ides glavom kroz zid. Ako idemo reversati neke linux reoutere iz nekih drugih zemalja gdje su ljudi vec uspjeli nesto ja sam in.

I ta ti stoji nema šta a šta ako ti kažem da je za ovaj zyxel za kompresiju backu-upa korišćen lzs, e sad postoje dvije verzije nema razlike osim u veličini dijela koji sadrži podatke,
offset za podatke je od 0x2000 samo ga izdvojš i puštiš kroz algoritam

A proprietary firmware u pitanju mislim neće ni "oni" da izmišljaju toplu vodu, valjda. Imam te u vidu kad naletim na sl "problem"