[lorenzocanalelc]

Si esattamente, ha accettato senza nessunissima richiesta il firmware

[ilsalvopss]

immagine di aggiornamento senza password root pronta. se qualcuno ha lo zte a portata di mano e se la sente di provare DM

[ilsalvopss]

mi viene in mente.. l'unica cosa che ci impediva di sfruttare la vulnerabilità del parental era l'impossibilità di eseguire cose da chiavetta perchè vengono montate solo FAT; conviene forse invece chiedere al cpe di scaricare lui stesso lo script da eseguire con una cosa del genere (che ho sniffato subito dopo un reset quando avevo il cpe a portata di mano):

Codice: [Seleziona]

<SOAP-ENV:Envelope
    xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"
    xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/"
    xmlns:cwmp="urn:dslforum-org:cwmp-1-0"
    xmlns:xsd="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <SOAP-ENV:Header>
        <cwmp:ID
            SOAP-ENV:mustUnderstand="1">
            xxxxxx
            </cwmp:ID>
        </SOAP-ENV:Header>
    <SOAP-ENV:Body>
        <cwmp:Download>
            <CommandKey>
                xxxxx
                </CommandKey>
            <FileType>
                3 Vendor Configuration File
                </FileType>
            <URL>
                http://59.0.121.191:8080/ACS-server/FileServlet/enCore/xxxx/fastweb.pem
                </URL>
            <Username/>
            <Password/>
            <FileSize>
                2875
                </FileSize>
            <TargetFileName/>
            <DelaySeconds>
                3
                </DelaySeconds>
            <SuccessURL/>
            <FailureURL/>
            </cwmp:Download>
        </SOAP-ENV:Body>
    </SOAP-ENV:Envelope>

e poi chiamare l'esecuzione tramite il parental. se non erro sbirciando gli eseguibili avevo visto che queste cose vengono salvate in /var/tmp (stasera ricontrollo)

[lorenzocanalelc]

Purtroppo avevo già provato questa strada, ma il file viene dichiarato “errato” o una cosa del genere e credo prontamente cancellato, o almeno, io non sono riuscito, magari mi sfugge qualcosa

[LuKePicci]

il cpe non accetta qualsiasi cosa come VCF valido, e in generale ci fa sempre qualcosa, non è che lo salva da qualche parte, se è un firmware lo flasha, se è un certificato lo installa (e ok in quel caso in sostanza magari lo copia) e via dicendo. Ma comunque -salvo strane scelte progettuali sui permessi dati a tali file qualora salvati- non sarebbe in alcun modo diverso dall'usare una chiavetta FAT,

[lorenzocanalelc]

Niente da fare con il firmware mod, il modem non accetta il firmare:

2020-11-02T08:27:43.745Z [WARN] 59.0.121.13 C85A9F-H388Q%20V7%2E0-ZTEEG9HL1F06195: Channel has faulted; channel="task_5f9fc2f4cea004109beb0d08" retries=0 faultCode="cwmp.9018" faultMessage="Download failure: file corrupted"

[lorenzocanalelc]

Piccola curiosità, possessori del ZTE ZXHN H388Q, che linea avete? Perché ho provato il mio su una linea VDSL 35b VULA TIM e il modem non riusciva ad allinearsi, è il mio difettoso o questo modem è solo per l'ADSL?

[L_Innominato]

Io sono su 35b con tim e il modem funziona a dovere
Ho letto alla veloce il topic. Ho confuso il fastgate con il timhub visto che hanno quasi lo stesso nome. Chiedo venia

[lorenzocanalelc]

No si, ho detto una sciocchezza anche perché io sono in 8b da centrale sarà questo firmware 13 che è il primo disponibile dal CWMP che avevo caricato nelle varie prove che è buggato

[nicknameacaso]

Impostando il DHCP di tch-exploit con la subnet 59.0.121.0/24 si riesce effettivamente ad accedere alla CLI sia da Telnet che da SSH

Salve, ma non si è saputo più niente per quanto riguarda le credenziali di CLI giusto ?

[lorenzocanalelc]

Purtroppo no

[lorenzocanalelc]

Dopo aver visto questo messaggio

Se qualcuno volesse provare un modo per rootarlo, sono molto confidente che questo modem sia vulnerabile alla CVE-2020-8597

qui un esempio di come viene sfruttata su tutt'altro modello, ma con qualche ritocco qui e li (in pratica bisogna replicare i punti dal 5 al 7, magari sfruttando anche gli stessi script) il ragionamento di base dovrebbe essere lo stesso..
https://github.com/impulse/ac2100-openwrt-guide

Ho controllato quale sia la versione di ppp sul nostro ZTE dal firmware scompattato a disposizione, ed è proprio la versione vulnerabile al CVE-2020-8597, purtroppo però come sappiamo di Default Fastweb non usa PPPoE ed infatti non c'è nessuna richiesta, dato che però ho modo di modificare le configurazioni da TR-069, qualcuno sa quale quali siano i campi da modificare per attivare la PPPoE nella WAN?

[LuKePicci]

I percorsi a cui puoi impostare una pppoe sono standard ma gli id delle istanze di tali configurazioni o il fatto stesso che partendo dalla situazione attuale tu riesca ad impostare una pppoe da zero tramite cwmp è tutto da studiare. La prima cosa che ti conviene fare è un dump completo del datamodel. Se sei fortunato trovi già l'istanza pppoe configurata con valori dummy e da abilitare.

[AntonioGT]

Ciao a tutti,

Ho una FTTH Fastweb con ONT ZTE F601 e modem ZTE H388Q_V7.0.0, FW H388Q_V7.0.0_R1_FW-25_ZTE.
L'ho sostituito con un Technicolor ex TIM e sto cercando di far funzionare il voip senza dover richiedere il moem libero.
Ho letto la discussione ma non mi è chiaro se qualcuno sia riuscito ad accedere al modem per estrarne la configurazione della parte voip, un grazie a chiunque vorrà rispondermi (anche per un semplice no).

Antonio

[lorenzocanalelc]

I percorsi a cui puoi impostare una pppoe sono standard ma gli id delle istanze di tali configurazioni o il fatto stesso che partendo dalla situazione attuale tu riesca ad impostare una pppoe da zero tramite cwmp è tutto da studiare. La prima cosa che ti conviene fare è un dump completo del datamodel. Se sei fortunato trovi già l'istanza pppoe configurata con valori dummy e da abilitare.

Si li ho studiati un po' e credo che sia fattibile, comunque il problema prima credo sia capire come sfruttare l'exploit, perché ho provato ad usarlo con un Tg789vac Extreme e anche se l'exploit funziona (la pppoe si riavvia) non sono riuscito a sfruttarlo per aprire una connessione verso netcat.

@AntonioGT Per farla breve non esiste un modo