[ilsalvopss]

È un firmware con ssh abilitato e basta?

dropbear ricompilato, hash della password root modificata e mount del devpts aggiunto nel file di inizializzazione del sistema

[otacon]

EDIT: Se qualcuno è interessato ho il firmware in formato .bin

Sono interessato anch'io, voglio studiarmi un pò il firmware. Sto guardando AGZHP_1.2.1_CLOSED.bin ma so che ci sono delle differenze rispetto al fw fastweb.

Ps. Il rootfs è cifrato, indicazioni su dove trovare la chiave?

[uomoukko]

@ilsalvopss
Non ho lo ZTE, possiedo il technicolor DGA4331 (rootato) però mi incuriosisce
il  tch-exploit che crasha, anche perché per rootare il mio modem sotto Windows
ho lavorato molto per capire il funzionamento di quel programma.
A titolo di curiosità potresti postare quello che accade quando fai girare il tch-exploit?

Faccio alcune banalissime riflessioni pubbliche:

- Lo ZTE è stato protetto contro questo exploit? Anche se riflettendoci, bloccando
il protocollo tr-069 penso che risulterebbero impossibili gli upgrade a distanza

- Dall'errore, bisognerebbe capire se basta il tch-exploit "normale", su HTTP, magari corretto,
oppure se c'è la solita storia dell'HTTPS obbligatorio e di un dominio con le chiavi di let's encrypt

- E poi, il file.sts che realizza il root, (per intenderci quello che cambia passwd di root,
che setta il server sshd (dropbear) e gli apre il firewall) sarà valido o andrà modificato?

[ilsalvopss]

Non ho più il CPE a portata di mano ma questa strada era già stata esplorata da Lorenzo

Però se l'implementazione del client CWMP non è fallata come quella di tch da CWMP non hai modo di ottenere accesso come root. Bisogna vedere come è fatto il data-model di ZTE, cosa vi espone in più rispetto allo standard, che formato hanno i vendor config file, se i firimware sono firmati, ecc...

- Lo ZTE è stato protetto contro questo exploit? Anche se riflettendoci, bloccando
il protocollo tr-069 penso che risulterebbero impossibili gli upgrade a distanza

Il tr-069 c'è, naturalmente. L'ho anche usato per dargli in pasto il fw modificato nel root che descrivevo qualche messaggio più su.

[otacon]

@ilsalvopss sto analizzando la versione V7.0.0_R1_FW-25_ZTE del firmware in cerca della chiave AES per decrittare il rootfs. Ho estratto il kernel e caricato in IDA all'offset 0x80002000. L'unico AES inverse S-BOX che binwalk rileva è all'offset 0x7CD19C, che viene usato da RT_AES_Decrypt. Tuttavia, sembra che questa funziona venga usata solo dalle componenti kernel che implementano il wifi AP.

Come posso risalire alla funzione che decritta il rootfs e con che modalità questo viene decrittato all'avvio (es. caricato in un buffer e decrittato o tramite dm-crypt)?