[RICERCA] FASTGate ZTE ZXHN H388Q

  • 192 Risposte
  • 34005 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline AntonioGT

  • Nuovo Iscritto
  • *
  • 16
  • Sesso: Maschio
Re:[RICERCA] FASTGate ZTE ZXHN H388Q
« Risposta #180 il: 02 Dicembre 2020, 07:05 »
Ok grazie!
« Ultima modifica: 02 Dicembre 2020, 08:32 da MisterFTTH »
Se non ci provi non puoi saperlo

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2731
Re:[RICERCA] FASTGate ZTE ZXHN H388Q
« Risposta #181 il: 02 Dicembre 2020, 08:32 »
@lorenzocanalelc la ropchain che usa in quella guida usa gadget da uClibc compilata per lo Xiaomi ac2100 e il suo MediaTek MT7621A che è un mips, non arm, quindi in sostanza devi prendere un tool tipo ropgadget e dargli in pasto i binari dell' eseguibile di pppd e le librerie a lui linkate e rimpiazzare la chian così ottenuta in quel file python dell'exploit.

Il tch TG789vac Xtream 35b sappiamo che è arm, quindi non c'è modo che quella chain potesse funzionare, ed hai già a disposizione i file estratti dal firmware su cui lavorare per esperimenti.
Lo ZTE ZXHN H388Q mi pare abbia un SoC simile allo Xiaomi, se non proprio il medesimo, ma sperare che quella ropchain funzioni così com'è nei binari e sulle librerie dello ZTE è una scommessa generalmente perdente, devono combaciare troppe cose perchè avvenga. Conviene palesemente ricostruirne una nuova a partire dai file dello ZTE.

Suggerimento: se vuoi avere una certezza del tipo "lo sto facendo nel modo giusto" prendi i file del firmware Xiaomi e ricostruisci una chain valida per quel modello, tra quelle che il tool propone dovrebbe esserci anche quella che vedi nell'exploit in python per lo Xiaomi.


Offline ilsalvopss

  • Membro Giovane
  • **
  • 62
  • Sesso: Maschio
Re:[RICERCA] FASTGate ZTE ZXHN H388Q
« Risposta #182 il: 06 Dicembre 2020, 19:52 »
@lorenzocanalelc
Lo ZTE ZXHN H388Q mi pare abbia un SoC simile allo Xiaomi, se non proprio il medesimo
entrambi MIPS32

in ogni caso avevo messo su un qemu che faceva girare i binari trovati dentro il fw. potrebbe essere un buon campo per sperimentare l'exploit

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2731
Re:[RICERCA] FASTGate ZTE ZXHN H388Q
« Risposta #183 il: 06 Dicembre 2020, 22:42 »
Assolutamente si, ti metti con qemu static in un chroot con i binari del firmware e procedi, l'unica noia è pppd che per girare forse richiede qualche driver di rete

Offline lorenzocanalelc

  • Esperto
  • ****
  • 614
  • Sesso: Maschio
Re:[RICERCA] FASTGate ZTE ZXHN H388Q
« Risposta #184 il: 19 Gennaio 2021, 22:51 »
Comunque un mio conoscente ha appena attivato una nuova linea Fastweb in FTTH su rete OpenStream OpenFiber e ha ricevuto questo modem, quindi a quanto pare quest'ultimo non è stato abbandonato da Fastweb, faccio notare che il modem ha ancora lo stessa versione di Marzo (H388Q_V7.0.0_R1_FW-25_ZTE) piena di bug...

Offline secret105

  • Nuovo Iscritto
  • *
  • 18
Re:[RICERCA] FASTGate ZTE ZXHN H388Q
« Risposta #185 il: 28 Marzo 2021, 21:20 »
Ciao a tutti,

Ho una FTTH Fastweb con ONT ZTE F601 e modem ZTE H388Q_V7.0.0, FW H388Q_V7.0.0_R1_FW-25_ZTE.
L'ho sostituito con un Technicolor ex TIM e sto cercando di far funzionare il voip senza dover richiedere il moem libero.
Ho letto la discussione ma non mi è chiaro se qualcuno sia riuscito ad accedere al modem per estrarne la configurazione della parte voip, un grazie a chiunque vorrà rispondermi (anche per un semplice no).

Antonio
Ciao Antonio, che stringa hai usato come vendorid?
Grazie

Offline ginosergio

  • Nuovo Iscritto
  • *
  • 3
Re:[RICERCA] FASTGate ZTE ZXHN H388Q
« Risposta #186 il: 07 Luglio 2021, 18:09 »
Ciao son finito qui in cerca di soluzione per un mio problema di rete. Penso possa essere coinvolto il Fastgate, o meglio, una fantomatica modalità bridge.
Premessa: Da interfaccia vedo che ho un Fastgate ZTE H388Q V7.0 - vers. software 1.0.1b - vers. firmware H388Q_V7.0.0_R1_FW-25_ZTE - Vers. hardware V7.0.0

Il problema:
in una rete non troppo incasinata (Fastgate, due switch, e una ventina di oggetti collegati via ethernet o wifi) ho aggiunto un sistema Mesh (Tenda Nova MW6 WiFi Mesh, Dual Band AC1200, modello MW6-3 Pack, su Amazon)
Questo Mesh quando acceso, è andato di default in modalità DHCP e ha creato una nuova sottorete (192.168.2.x) diversa dalla originaria (192.168.1.x). Risultato, il mio PC (per es) dalla rete "2" non vedeva più gli oggetti (NAS, ecc) sulla rete "1". Allora dall'helpdesk mi han detto, "metta il mesh in modalità bridge". Così ho fatto, dalla sua app.  Sono sparite tutte le altre voci di configurazione (port forward, ecc ecc) e in effetti anche gli oggetti che collego al mesh (via wifi o ethernet sugli scatolotti) adesso prendono un IP 192.168.1.x
Il mio PC "master", attaccato con ethernet al primo scatolotto del mesh, ha lo stesso ip di prima, riesce a vedere gli altri PC, internet, i NAS, e tutto il resto.

Dove sta il problema ? Uno stramaledetto Macbook (M1) su cui ho attivato la condivisione di una cartella su harddisk. Ho bisogno di vedere questa cartella dal PC "master" e non c'è più modo di riuscirci. Prima del mesh ovviamente, funzionava.  Il Mac è connesso via wifi, non ha ethernet. Sia che mi connetta alla rete wifi vecchia del Fastgate, sia a quella nuova, del Mesh, il mac prende sempre lo stesso IP.  In entrambi i casi, dal PC, la cartella condivisa del Mac non si vede più. Gira clessidra per 3 minuti, poi mi dice  che non la trova.  SE il Mac è connesso al Wifi del mesh, dal PC faccio il ping all'IP del mac e risponde regolarmente. Se invece il Mac è connesso al Wifi del Fastgate, manco il ping funziona.

NB: il PC "master" è sempre connesso in ethernet al primo scatolotto del mesh, e lì deve restare, per motivi particolari.

Qualche idea ?
Thanks !

Offline AntonioGT

  • Nuovo Iscritto
  • *
  • 16
  • Sesso: Maschio
Re:[RICERCA] FASTGate ZTE ZXHN H388Q
« Risposta #187 il: 27 Ottobre 2021, 01:12 »
Ciao Antonio, che stringa hai usato come vendorid?
Grazie

Ciao scusami, non mi era arrivata la notifica e non mi sono più collegato.

Il vendor ID che uso è H388Q V7.0/H388Q_V7.0.0_R1_FW-23_ZTE ma se non ricordo male internet funziona anche solo facendo lo spoofing del MAC address.
Il mio problema è il voip, ma sembra che di accedere al FS del modem non se ne parli.
Se non ci provi non puoi saperlo

Offline ilsalvopss

  • Membro Giovane
  • **
  • 62
  • Sesso: Maschio
Re:[RICERCA] FASTGate ZTE ZXHN H388Q
« Risposta #188 il: 11 Gennaio 2022, 13:24 »
Finalmente ho avuto qualche giorno per giocare con il cpe. (in realtà più con il suo firmware che con lui..) e sono root.

Seguendo la strada di @lorenzocanalelc ho usato un acs per reindirizzare il log verso un server, potendo così vedere a grandi linee dove il binario tuttofare cspd stabilisce che l'immagine di aggiornamento sia valida o meno. Qualche ora su IDA mi ha regalato la struttura dell'header che, essenzialmente, contiene lunghezza, offest, crc di kernel e rootfs, crc dell'header e un secondo crc su un'altra porzione dell'header. C'è anche una firma di 40 byte preceduta dalla sua lunghezza: rendendo la lunghezza 0 questa diventa sempre valdia.

Il rootfs come già sapevamo è criptato in AES. per le versioni che ho io la chiave è sempre la stessa e sta nel kernel. una volta in chiaro unsquashfs.
Per impacchettare un fw modificato la strada è ovviamente valida all'inverso: mksquashfs -> encrypt in AES -> calcolo del nuovo crc rootfs -> sostituzione valori nell'header -> calcolo nuovo crc dell'header (x2)

telnetd e dropbear sono rimaneggiati in qualche modo per passare attraverso cliagent: anche cambiando la password root non danno una shell. ho cross-compilato quindi un dropbear pulito e l'ho sostituito a quello originale (e aggiunto il mount del devpts che per qualche motivo manca) e finalmente:

Codice: [Seleziona]
BusyBox v1.17.2 (2019-12-09 19:45:15 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

interfacce di rete e layout della memoria
Codice: [Seleziona]
br0       Link encap:Ethernet  HWaddr DC:F8:B9:A6:F8:43 
          inet addr:192.168.1.253  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:79 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:11980 (11.6 KiB)

br1       Link encap:Ethernet  HWaddr DC:F8:B9:A6:F8:44 
          inet addr:192.168.78.254  Bcast:192.168.78.255  Mask:255.255.255.0
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

eth0      Link encap:Ethernet  HWaddr DC:F8:B9:A6:F8:43 
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

eth1      Link encap:Ethernet  HWaddr DC:F8:B9:A6:F8:43 
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

eth2      Link encap:Ethernet  HWaddr DC:F8:B9:A6:F8:43 
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

eth3      Link encap:Ethernet  HWaddr DC:F8:B9:A6:F8:43 
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:710 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6760 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:75032 (73.2 KiB)  TX bytes:1054753 (1.0 MiB)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:20 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:1688 (1.6 KiB)  TX bytes:1688 (1.6 KiB)

nbif0     Link encap:Ethernet  HWaddr DC:F8:B9:A6:F8:43 
          inet addr:10.0.120.100  Bcast:10.0.120.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:674 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6768 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:65914 (64.3 KiB)  TX bytes:1027411 (1003.3 KiB)

nbif1     Link encap:Ethernet  HWaddr DC:F8:B9:A6:F8:43 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

rasw      Link encap:Ethernet  HWaddr 00:00:AA:BB:CC:FF 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

wlan0     Link encap:Ethernet  HWaddr DC:F8:B9:A6:F8:43 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:20

wlan5g0   Link encap:Ethernet  HWaddr DC:F8:B9:A6:F8:44 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:21
Codice: [Seleziona]
dev:    size   erasesize  name
mtd0: 1a000000 00040000 "Whole flash"
mtd1: 00080000 00040000 "Bootloader"
mtd2: 00080000 00040000 "wifi"
mtd3: 00080000 00040000 "tag"
mtd4: 00800000 00040000 "config"
mtd5: 00800000 00040000 "config1"
mtd6: 03200000 00040000 "kernel1"
mtd7: 03200000 00040000 "kernel2"
mtd8: 01400000 00040000 "status"
mtd9: 01e00000 00040000 "openwrtromfs1"
mtd10: 01e00000 00040000 "openwrtromfs2"
mtd11: 01e00000 00040000 "openwrtfs"
mtd12: 00f80000 00040000 "rootfs"

così com'è è a mio avviso inusabile. le interfacce sono tirate su da quel binario che configura un po' tutto.
sono molto tentato di cercare di avviare la partizione dedicata a openwrt ma la prospettiva di non avere un modo per de-brickarlo mi turba.

se qualche coraggioso vuole il fw modificato (è modificato a mano, pensateci bene) sono disponibile nei dm

Offline lorenzocanalelc

  • Esperto
  • ****
  • 614
  • Sesso: Maschio
Re:[RICERCA] FASTGate ZTE ZXHN H388Q
« Risposta #189 il: 11 Gennaio 2022, 13:44 »
Caspita, bel colpo, mi chiedo dunque se la stessa procedura possa essere fatta per il Tim Hub+ ZTE, è un peccato non avere più sotto mano questo giocattolo

Offline ilsalvopss

  • Membro Giovane
  • **
  • 62
  • Sesso: Maschio
Re:[RICERCA] FASTGate ZTE ZXHN H388Q
« Risposta #190 il: 11 Gennaio 2022, 15:14 »
mi chiedo dunque se la stessa procedura possa essere fatta per il Tim Hub+ ZTE

se qualcuno ha un firmware posso dare un'occhiata alla struttura

Offline FrancYescO

  • VIP
  • *****
  • 3240
Re:[RICERCA] FASTGate ZTE ZXHN H388Q
« Risposta #191 il: Ieri alle 19:29 »

Offline ilsalvopss

  • Membro Giovane
  • **
  • 62
  • Sesso: Maschio
Re:[RICERCA] FASTGate ZTE ZXHN H388Q
« Risposta #192 il: Oggi alle 01:06 »
Si, confermo che l'header è identica. L'ho estratto nello stesso modo dell'H388Q di fastweb (meno che per l'endianness). La cosa antipatica rimane andare a cercare la procedura di generazione della chiave con cui è criptato il rootfs dentro il kernel. Dovrebbe essere possibile ricostruire immagini di aggiornamento patchate a patto che anche a questa versione vada bene ridurre la lunghezza della firma nell'header a 0 (sembra di si da una prima veloce occhiata ma non metterei la mano sul fuoco).

Il sistema è sempre lo stesso di zte con il binario cspd che fa un po' tutto