[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)

  • 369 Risposte
  • 85242 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2788
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #30 il: 20 Febbraio 2021, 13:00 »
Mi pare che la stringa la mostri in dmesg, non sull'output del comando

Altrimenti mi basta che mi passi un altro dei file .ko che trovi lì in /lib/modules/ la prendo da lì.

Offline lorenzocanalelc

  • Esperto
  • ****
  • 673
  • Sesso: Maschio
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #31 il: 20 Febbraio 2021, 13:03 »
http://www.mediafire.com/file/tsfimgfuw8dk7a6/ext4.ko/file

Comunque trovata r2secr: version magic '4.1.38 SMP preempt mod_unload ARMv7 ' should be '4.1.52 SMP preempt mod_unload ARMv7 '
« Ultima modifica: 20 Febbraio 2021, 13:08 da lorenzocanalelc »


Offline Tommy03

  • Nuovo Iscritto
  • *
  • 16
  • Sesso: Maschio
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #33 il: 20 Febbraio 2021, 19:19 »
Ciao, possiedo anch'io un DGA4331 e così a tempo perso ho provato a fare un po di fingerprinting. A parte qualche porta strana aperta ho trovato anche una cartella chiamata api (192.168.1.1/api) che ritorna un json. Poi ho visto che qui già avete avuto i permessi di root per cui sono interessato, come si fa?  :D

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2788
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #34 il: 20 Febbraio 2021, 20:24 »
Direi che è spiegato tutto nelle prime due pagine ma è per ora quello è un procedimento un po'  laborioso. Conviene aspettare che @lorenzocanalelc ci passi le chiavi per sbirciare nel firmware, così puoi ad esempio controllare cosa sia quella /api e se ci si può fare qualcosa di interessante.

Offline lorenzocanalelc

  • Esperto
  • ****
  • 673
  • Sesso: Maschio
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #35 il: 21 Febbraio 2021, 07:09 »
Niente, direi che non ci siamo con questo file, dopo l'insmod il router è crashato

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2788
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #36 il: 21 Febbraio 2021, 10:33 »
Avevi fatto l'unload di quegli altri moduli prima come dice sulle istruzioni di secr su GitHub?

Offline Tommy03

  • Nuovo Iscritto
  • *
  • 16
  • Sesso: Maschio
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #37 il: 21 Febbraio 2021, 10:50 »
Direi che è spiegato tutto nelle prime due pagine ma è per ora quello è un procedimento un po'  laborioso. Conviene aspettare che @lorenzocanalelc ci passi le chiavi per sbirciare nel firmware, così puoi ad esempio controllare cosa sia quella /api e se ci si può fare qualcosa di interessante.

Diciamo che sono alle prime armi con questo router (di fatti fino a due giorni fa avevo un fastgate sbloccato con il symlink a / via samba). Ho provato il tch-exploit su github che avete postato però, una volta startato, prende un indirizzo ma continua a mandare richieste senza fare niente. Inoltre ho provato il flag per passare un acs custom ma quello che hai mandato tu (pippo.com/acs) risulta essere inesistente (in effetti se ci vai, da un bel 404).

Offline lorenzocanalelc

  • Esperto
  • ****
  • 673
  • Sesso: Maschio
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #38 il: 21 Febbraio 2021, 16:58 »
Avevi fatto l'unload di quegli altri moduli prima come dice sulle istruzioni di secr su GitHub?
Me la sono persa la parte dell’unload, ma ho riprovato e ho avuto comunque un crash

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2788
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #39 il: 21 Febbraio 2021, 18:24 »
Allora dobbiamo indagare un po'. Mandami il dump di /dev/mtd0, un dmesg appena acceso, e fammi sapere cosa ti esce con questi comandi:
Codice: [Seleziona]
cat /proc/kallsyms | grep r2secr
cat /proc/cmdline
« Ultima modifica: 21 Febbraio 2021, 18:26 da LuKePicci »

Offline lorenzocanalelc

  • Esperto
  • ****
  • 673
  • Sesso: Maschio
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #40 il: 21 Febbraio 2021, 18:56 »
dmesg
https://pastebin.com/raw/rFXYRk9G

comandi
Codice: [Seleziona]
root@modemtim:~# cat /proc/kallsyms | grep r2secr
c054d458 R __ksymtab_r2secr
c0553a3a r __kstrtab_r2secr
root@modemtim:~# cat /proc/cmdline
console=ttyS0,115200 debug irqaffinity=0 coherent_pool=1M cpuidle_sysfs_switch pci=pcie_bus_safe cma=0M tbbt_addr=0xfaa0000 btab=0xa180c btab_bootid=2 bl_version=20.12.1315-0000000-20200318111542-e3f3a0cad7a0f9f4a618fa28394de3504f137593 board=VCNT-3 platform.prozone_addr=0x1ffe0000 bl_oid=5e7200154f5d980688c6b88b .r2secr=0x1ffdf000 x?<
Dump in arrivo

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2788
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #41 il: 21 Febbraio 2021, 19:04 »
Codice: [Seleziona]
echo -n "ECK: " && dd if=/dev/mem bs=1 skip=$((0x1ffdf020)) count=16 2>/dev/null | hexdump -ve '/1 "%02X"' && echo
Se questa sopra non va, per debug:
Codice: [Seleziona]
dd if=/dev/mem bs=1 skip=$((0x1ffdf000)) count=32 | hexdump
« Ultima modifica: 21 Febbraio 2021, 19:06 da LuKePicci »

Offline lorenzocanalelc

  • Esperto
  • ****
  • 673
  • Sesso: Maschio
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #42 il: 21 Febbraio 2021, 19:09 »
Codice: [Seleziona]
root@modemtim:/tmp# echo -n "ECK: " && dd if=/dev/mem bs=1 skip=$((0x1ffdf020))
count=16 2>/dev/null | hexdump -ve '/1 "%02X"' && echo
ECK:
root@modemtim:/tmp# dd if=/dev/mem bs=1 skip=$((0x1ffdf000)) count=32 | hexdump
dd: can't open '/dev/mem': No such file or directory
root@modemtim:/tmp#

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2788
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #43 il: 21 Febbraio 2021, 19:18 »
Ahia...

Offline lorenzocanalelc

  • Esperto
  • ****
  • 673
  • Sesso: Maschio
Re:[RICERCA] TIM HUB+ Technicolor DGA4331 (VCNT-3)
« Risposta #44 il: 21 Febbraio 2021, 21:05 »
Ecco il Dump http://www.mediafire.com/file/3czhnxic3mj6qvy/mtd0.dump/file
Comunque per il problema dell'inizio ho effettuato il reset così
Codice: [Seleziona]
rm -rf /overlay/`cat /proc/banktable/booted`E dopo preservando il root seguendo la guida di Safe Firmware Upgrade (Ovviamente senza upgrade del firmare).
Dopo aver fatto questa procedura il WanSensing durante l'avvio successivo non funzionava, riportando "boot not done waiting" o qualcosa del genere.
Ho trovato il punto preciso del wansensing
Codice: [Seleziona]
  local boot_done = x_state:get("system", "boot", "done")
  if boot_done == nil then
    logger:notice("The L2 Checking : boot not done,return")
    return "L2Sense"
« Ultima modifica: 21 Febbraio 2021, 21:07 da lorenzocanalelc »