я подключил к нему телефон, набрал *120# - и женщина-робот, сообщила что-то вроде "one-zero-dot-five-four...".
юзаю только из за СИП-телефонии а так бы выкинул - SVG гадость еще та.
#120#, кажется. Вначале "решетка", а не "звездочка".
__________________
Network last worked at 2012-05-27 18:30:01
да этот "роутер" никак не настраивается. я его выкинул. купил норм роутер.
роутер работает в режиме бридж. если втыкать в другие ethernet порты - инет не появится.
да этот "роутер" никак не настраивается. я его выкинул. купил норм роутер.
роутер работает в режиме бридж. если втыкать в другие ethernet порты - инет не появится.
А у меня договор гласит, что "оборудование" у меня во временном пользовании. Не могу я его выкинуть, так как оно не мое.
А, ну ещё эту штуку немного можно настроить.
__________________
Network last worked at 2012-05-27 18:30:01
решил узнать, что за зверь такой). Вот на шел кое что, может кому пригодиться
Взлом Starnet SVG6000R
Недавно в нашу поликлинику на опыты принесли роутер/SIP-шлюз. Проблема была в том, что функционал заявленный в документации, под стандартным логином (из-той же книжки) был недоступен. Так как хотелось воспользоваться некоторыми из этих возможностей, наши инженеры начали работать над получением доступа. Дальше будет описано как удаленно получить полный доступ к устройству.
После достаточно долгого изучения интернета, сложилось мнение, что это устройство продается только в Китае, а в России используется только в одной организации. Документацию (даже такую как была в комплекте) найти не удалось.
Итак, после небольшого исследования выяснилось, что недоступные пункты меню в web-интерфейсе просто закомментированы. Попытки перехода по прямым ссылкам к успеху не привели, устройство не так-то просто было обмануть. Зато обнаружилась уязвимость, которую можно эксплуатировать удаленно - в прошивке вероятно существует переполнение, так как при вводе определенных логинов наблюдаются странные эффекты, вплоть до перезагрузки устройства.
Удаленная перезагрузка - это не то что мы искали и мы направляемся в интерфейс командной строки, который в этом устройстве доступен через telnet. Вот тут-то нас и ждет сюрприз! После недолгих поисков, обнаруживается команда dump. Работает она в двух режимах, чтения и записи. При чтении, она возвращает 64 байта памяти от указанного адреса (от меньшего кратного шестнадцати, точнее). Не веря в то, что это может быть правда я попробовал записать один байт в память. И совершил ошибку - попробовал запись в несуществующую память (в то время я этого не знал). Данные не записались, а программа отвечала, что все прошло хорошо. Я был расстроен таким странным поведением и почти не надеялся на эту команду. Однако коллега предложил записывать мусор с самого начала, если будет наглядный эффект, значит память настоящая.
После записи первых нескольких байтов железка отчаянно перезагрузилась. Было принято решение прочитать всю память и потом исследовать этот дамп для поиска пароля и еще чего-нибудь полезного. dump -r позволяла адресовать любое смещение, таким образом получалось, что в устройстве около четырех гигабайтов памяти, в чем я сильно сомневался. Перебором выяснилось что внутри около 64 мегабайтов.
Мы установили порт net/empty, и написали простой shell-скрипт, который стал читать для нас память. Судя по текущей скорости скрипту предстояло работать больше трех суток... Ну чтож, запустили, ждем.
На следующее утро я обнаружил, что файл с дампом перестал расти минуту назад. Конечно же исследования проводились в /tmp и место там закончилось. Я переместил файлы туда где попросторнее, но решил не запускать пока скрипт а посмотреть, что собралось за ночь. После непродолжительной борьбы с дампом, был обнаружен известный логин и пароль, а рядом лежали и данные администратора. Судорожно введя их на приглашение интерфейса, я получил полный доступ к устройству под логином admin.
Победа! Победа! 19.03.2012
Довольно беллетристики, к делу!
План действий таков:
•Определяем IP-адрес устройства
•Подключаемся с помощью telnet и изучаем интерфейс
•Пишем скрипт, для чтения всей памяти
•Приводим полученный дамп в привычный вид
•Изучаем полученную на предыдущем шаге информацию
•Делаем "все что захотим"
Из коробки устройство не имеет собственного адреса, оно настроено на получение его от DHCP сервера. Так что просто поднимем любой DHCP-сервер на своей машине или воспользуемся чужим, это не важно. Вру, конечно это важно, если кто-то следит за каждым нашим шагом.
Итак, SVG600R воткнут в сеть с DHCP-сервером, кнопка питания включена, лампочки заморгали. Теперь втыкаем телефонный аппарат в соответствующий порт и спрашиваем железку о ее текущем адресе: набираем на телефоне #120# и женщина-робот, приятным голосом сообщит нам что-то вроде "one-zero-dot-five-four...". Поблагодарив даму, подключаемся с помощью telnet к только что услышанному адресу.
Вводим user/user из инструкции и попадаем внутрь. Осматриваемся:
Часть команд недоступна, так как мы вошли под бесправным пользователем. Нас же сейчас интересует только одна:
>dump ?
? Show 'dump' Option
-r dump -r XXXXxxxx
-w dump -w XXXXxxxx XX
-debug Debug Info
OK
Несложно догадаться, что эта штука читает и пишет(!) (в) память. Внезапно нас посещает мысль считать все что там есть и спокойно за чашечкой чаю изучить дамп и найти пароль всемогущего пользователя, как минимум. Для этого нам придется немного повозиться и написать какой-нибудь скрипт. Любители рутины, могут не читать про скрипт, а начать писать серии команд dump -r с указанием кусочков памяти по 64 байта и переписывать вывод на листочек.
Для того чтобы работать с telnet из скрипта, поставим порт net/empty (напомню, что работаем под FreeBSD). Эта программа позволит нам упростить взаимодействие с интерактивным приложением и сосредоточиться на реализации нашего плана, а не на том почему скрипт теряет последнюю букву, перевод строки или просто останавливает свое выполнение.
empty -s "\n\n\n"
for i in `jot 1048576 0 67108800 64`; do
offset=`printf %x $i`
echo $i $offset
empty -w '>' "dump -r $offset\n"
done
empty -w '>' "exit\n"
kill `cat empty.pid`
Паузы и множественные переводы строк, возможно, излишни. Соединяемся, ждем приглашения, вводим данные, перебираем адреса, выходим. Все просто.
Кому-то может показаться незнакомой команда jot. В данном случае она создает нам 1048576 числа от нуля до 67108800 (предполагаемый размер памяти) с шагом в 64 байта (именно столько выдает dump -r в одной порции.
Запускаем скрипт с указанием необходимых параметров, убеждаемся что он работает (пишет последовательные результаты в empty.log) и отправляемся перекусить да выпить чаю. За чаем можно не торопиться, так как скрипт работает неспеша, и даже , как мне показалось, замедляется по ходу дела. Забегая вперед, сообщаю, что для нахождения пароля мне понадобилось немногим меньше десяти мегабайтов чистого(!) дампа. То есть того что получилось после преобразования всего того мусора, что мы собираем в двоичный вид. А мусор этот идет по цене около 17 мегабайт за два мегабайта чистого дампа.
Итак, после продолжительного ожидания, мы получаем кучу данных в виде обычного текста, чтобы превратить все это в "двоично-десятичный" вид, воспользуемся командой вроде:
grep -E "[0-9a-f]{4}-[0-9a-f]{4}" log | cut -d " " -f "3-" | sed 's/
/ /g' | sed 's/^ //g' > qbin
, где log - результат работы предыдущего скрипта.
Теперь в qbin у нас есть данные типа:
24 84 20 44 a2 26 ff f4 a2 22 ff ff 0c 0a cc d1
a6 23 f9 a8 3c 04 80 3b 24 84 89 f6 90 82 00 00
00 00 00 00 2c 42 00 08 10 40 00 10 24 83 f1 f0
90 62 00 00 00 00 00 00 2c 42 00 08 10 40 00 04
Чтобы превратить все это в двоичный вид, используем очередное порождение вида:
#!/usr/local/bin/php
<?php
$in = $argv[1];
$out = $argv[2];
Работает весь этот комплекс не шибко быстро, но это и не страшно. Мы ведь никуда не спешим.
Итак, если мы достаточно терпеливы - у нас есть полный дамп памяти устройства. Пароль там лежит в открытом виде, так что найти его не составляет труда. Для поиска удобно использовать editors/bvi или двоичный режим в vi. Пароль встречается в этом дампе несколько раз, зачем это сделано я могу только догадываться.
Ну а для тех кто спешит, могу сообщить, что пароль мне встречался по следующим адресам: 0030-7c7, 00b0-7c70.
Вот и разгадана очередная китайская загадка. Для тех, кто не совсем понял цель всех этих действий, поясню: после входа в устройство с правами администратора, открываются дополнительные возможности (те, что скрыты от user/user), например настройка SIP-телефонии. Именно она и была первичной целью этих изысканий.
16.04.2012
2012-05-30 15:55:27: Festin
Все переставил, а базу не сохранил. Молодец. Все равно там ничего полезного не было.
2012-10-11 22:48:57: Glowfisch
Мда. ты крут чувак Дальсвязь хрень и ростелеком всегда использует....
В режиме NAT pppoe включается, остальные компы в сети инет получают, но у меня еще и TVi которое в режиме NAT перестает работать. Пытаюсь поднять pppoe в режиме bridge, он вроде поднимается и ТВ работает (с телефона командами проверяю ИП, потомучто через браузер он не откликается больше, тетка сообщает ИП, которые присваиваются при подключении впн) А дальше хз вообще. Как раздавать инет всем, если SVG6000 перестает иметь внутренний ИП при таких настройках. Это бред какой-то
Последний раз редактировалось noob, 03.06.2013 в 16:34.
"Итак, если мы достаточно терпеливы - у нас есть полный дамп памяти устройства. Пароль там лежит в открытом виде, так что найти его не составляет труда. Для поиска удобно использовать editors/bvi или двоичный режим в vi. Пароль встречается в этом дампе несколько раз, зачем это сделано я могу только догадываться.
Ну а для тех кто спешит, могу сообщить, что пароль мне встречался по следующим адресам: 0030-7c7, 00b0-7c70.
Вот и разгадана очередная китайская загадка. Для тех, кто не совсем понял цель всех этих действий, поясню: после входа в устройство с правами администратора, открываются дополнительные возможности (те, что скрыты от user/user), например настройка SIP-телефонии. Именно она и была первичной целью этих изысканий"
И какой же пароль для входа в этого зверя?
Последний раз редактировалось ueaika, 18.07.2013 в 06:42.
Причина: Выделить цитату
Считайте память по указанным адресам (достаточно одного), там все видно невооруженным глазом.
Считал оба адреса 0030-7c70, 00b0-7c70. По обоим адресам одинаковый текст LAN port does not take effect. It shares the same IP address of Где здесь пароль ? Мил человек скажт пожалуйста пароль, если знаешь. Спасибо.
Считал оба адреса 0030-7c70, 00b0-7c70. По обоим адресам одинаковый текст LAN port does not take effect. It shares the same IP address of Где здесь пароль ? Мил человек скажт пожалуйста пароль, если знаешь. Спасибо.
Дальсвязь хрень и ростелеком всегда использует....
Дак написаны же адреса
Линейный вид
