[Problem] o2 HomeBox 6641 daten auslesen

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Hallo.

Gibt es evtl. schon Fortschritte beim Auslesen der 6641.
Meinen DSL-Anschluss hat o2 jetzt "umgestellt" und im Zuge dessen habe ich das Teil aufs Auge gedrückt bekommen.
Hatte vorher eine 3232, aus welcher ich die Daten mit dem Tool von hph auslesen konnte und endlich wieder meine Fritzbox einsetzen konnte.
Aber just zum genannten Stichtag der Umstellung funktionierte meine Fritzbox nicht mehr... weder Internet noch Telefonie.
Deswegen hoffe ich jeden Tag, dass jemand eine Möglichkeit findet, die Daten aus dem Ding zu extrahieren.

Gruß, Steffen
 
Internetzugangsdaten kann man auch bei o2 erfragen.
 
Warum testest Du die 6641 nicht einfach erstmal (die ist ja nu nicht so alt und von der HW eigentlich ganz potent) oder welches Feature Deiner FRITZ!Box bietet die 6641 nicht, welches Du aber unbedingt nutzen musst?!?!

Zum Thema Auslesen, nein, comitted sich ja niemand hier. Ich verweise nochmal auf die Möglichkeit das Open Source Package von ZyXEL anzufordern. Damit kann man sich seine eigene (aktuelle, die auch o2 verwendet) FW bauen und ein bißchen den Source Code studieren.
 
Zuletzt bearbeitet:
@edgecrusher

Faxempfang und -versand
App-Unterstützung (Smartphone kann als Telefoniegerät genutzt werden)
WLAN-Signalstärke wesentlich bescheidener als bei der Fritz

und noch so ein paar Kleinigkeiten, an die ich mich einfach gewöhnt hatte.

Gruß, Steffen
 
Verschlüsselung der Konfigurationsdatei

Moin, als einer der "Betroffenen" hab ich mich mal mit dem Thema beschäftigt. Insbesondere, da die bereits genannten default-config Werte bei mir nicht funktionieren bzw. ich kein passendes Passwort habe. Leider habe ich keine Ahnung, was ich tue.... Offenbar wird die Konfigurationsdatei wirklich verschlüsselt, soweit ich das erkennen kann wird folgendes ausgeführt:
Code: 
openssl enc -e -%s -salt -k /var/key -in /var/compress.config -out /var/encrypt.config
bzw. zum Entschlüsseln
Code: 
openssl enc -d -%s -k /var/key -in /var/upload.config > /var/decrypt.config
... und zwar direkt im micro_httpd via cgi. Das %s entspricht dem Algorithmus, der verwendet werden soll, keine Ahnung was die da nehmen. Insofern kommt man da ohne den verwendeten Schlüssel (/var/key) vermutlich nicht weiter. Leider bin ich zu doof, den aus der Box zu bekommen. Mögliche Ansatzpunkte sind/wären:
  • eine Lücke im micro_httpd, die das ausführen von code erlaubt -> auslesen von /var/key oder /var/compress.config
  • telnet aktivieren
  • ssh aktivieren (der Dienst läuft vermutlich, der Port ist per Firewall gesperrt)
  • sniffer aktivieren
  • auto-provisioning mit Freetz auf anderen Boxen zum Laufen bringen - Zugangsdaten in der default-config, evt. Zertifikat nötig??
  • Öffnen der Box: jtag oder uart (habe keinen Port durch die Schlitze gesehen, aber auch noch nicht gründlich gesucht)
Soweit ich das sehen kann, ist der acme micro_httpd extra für o2 gepatcht, damit er cgi macht und z.b. die Konfig verschlüsseln kann. Mit Glück ist da irgend eine Lücke drin, da kenn ich mich aber nicht aus. Der im httpd erwähnte Sniffer scheint auch WAN zu können, wäre also auch möglich. Leider habe ich keine Ahnung, wie man an den rankommt: Die Routinen cgiSnifferView, cgiSnifferStop, cgiSnifferStart werden vermutlich durch http://o2.box/sniffer-cfg.cmd angesprochen, aber keine Ahnung wie man letzteres dazu bringt, wirklich was zu machen - ich bekomme immer nur eine weiße Seite, vermutlich fehlen Parameter oder das ist deaktiviert. http://o2.box/konfiguration.cmd funktioniert, so lange kein Kennwort gesetzt ist und liefert das Backup, wie zu erwarten. Es gibt offenbar auch ein http://o2.box/do_cmd_cgi.cmd, mit dem man spielen kann, aber mir fehlt da der Ansatz um weiterzukommen. PS: Bitte entschuldigt die Formatierung, aus irgendeinem Grund frisst das Forum heute meine Zeilenumbrüche.
 
Zuletzt bearbeitet:
steffenk77 schrieb:
WLAN-Signalstärke wesentlich bescheidener als bei der Fritz
Zum Vergrößern anklicken....

sehr komisch (nach Aussagen hier im Forum) ist doch da dir fritz sehr schlecht


Ps ich habe yeit der 7050 fritzBox mehre gehabt und nach den den gleichenUmgebungen bei der Fritz kaum Probleme gehabt. Und dadurch keinen anderen Wlan -Punkt getestetet
 
Tieflieger schrieb:
sehr komisch (nach Aussagen hier im Forum) ist doch da dir fritz sehr schlecht
Zum Vergrößern anklicken....

Ich kanns nur so wiedergeben wie es hier bei mir ist. Ich bin mit dem Rechner ein paar meter von der Box weg... mit der Fritz hatte ich hier immer 100% Empfang und mit der 6641 sind es hier nur 50-60%. Wie es dann im Rest der Wohnung ist, kann man sich denken ;)

Gruß, Steffen
 
qwertz12 schrieb:
Offenbar wird die Konfigurationsdatei wirklich verschlüsselt, soweit ich das erkennen kann wird folgendes ausgeführt:
Code: 
openssl enc -e -%s -salt -k /var/key -in /var/compress.config -out /var/encrypt.config
[...] Insofern kommt man da ohne den verwendeten Schlüssel (/var/key) vermutlich nicht weiter. Leider bin ich zu doof, den aus der Box zu bekommen.
Zum Vergrößern anklicken....
Hier bin ich inzwischen weiter: Ich habe erfolglos versucht, irgendwie auf die Box zu kommen. Für das Finden von Sicherheitslücken bin ich definitiv zu doof. Aber egal, ich hab dann versucht mit klassischen User-Mitteln weiterzukommen - schließlich habe ich physischen Zugriff. Erster Ansatzpunkt war hier USB: Die Box kann ext3, und da gibt's Symlinks. Und siehe da: Der FTP der Box ist gut gesichert (chroot), da bringen symlinks nichts. Der Samba auf der Box ist aber aus der Steinzeit, und da sind "wide links" an. Sprich, ein Symlink auf einem ext3 formatierten USB-Stick nach / gesetzt, z.B.
Code: 
ln -s / rootdir
und schon kommt man an /var/key ran. Insofern steht dem entschlüsseln der Konfiguration jetzt nichts mehr im Wege. Obwohl... warum eigentlich :blonk:? Immerhin kann ich die ja jetzt direkt aus /etc auslesen :cool:. Mal sehen, was ich alles finde...
 
  • Haha
Reaktionen: Benutzernamen
Na klar die Symlinks...

@quertz12 ... Du bist ja echt der Held... dabei hab ich da irgendwann mal nen Vortrag gesehen. Wieso bin ich da nicht draufgekommen. Denn alles was an Vulns in micro_httpd oder auch in anderen gängigen Zyxel-Devices in den gängigen DB´s zu finden war, schien wohl alles gepatched gewesen zu sein. Bin nämlich dann irgendwo nicht mehr weitergekommen, auch nicht mit dem Source-Code, da ich nicht so viel Ahnung vom proggen selbst hab,wie ich gerne hätte. Naja... auf jeden Fall lies sich die Kiste ja nicht mal richtig in die Knie fuzzen.

;-)

Herzlichen Dank. Werd´ ich heute Abend gleich mal ausprobieren.
 
Snaubsch schrieb:
Na klar die Symlinks... @quertz12 ... Du bist ja echt der Held... dabei hab ich da irgendwann mal nen Vortrag gesehen. Wieso bin ich da nicht draufgekommen.
Zum Vergrößern anklicken....
Naja, leider hat mir das bislang nicht weiter geholfen. (Tipp für Linux: mount -t cifs -o nounix, sonst klappt das nicht!) Ich kann zwar die Konfigurationsdateien auslesen, aber die sind ohne jedwede PPP oder SIP Zugangsdaten. Hauptsächlich Wlan-Kram. Die interessanten Dateien sind nicht lesbar (0byte), und auch an /proc/ und /dev, insbesondere /dev/mtdblock* kommt man so nicht ran. Mein aktueller Verdacht ist, das die "compressed.config", die in /var/ rumliegt die Daten beinhaltet. Die ist viel zu groß, um nur aus den XML-Konfigurationen zu bestehen, denn 35kB plain-text komprimiert selbst der älteste Packer auf 5k - die Datei ist 12k. Leider ist das mit irgend einem komischen LZW-Kompressor (aus mplayer) gepackt, für den ich aktuell nix zum entpacken habe. Normale Packer kommen mit dem Kram nicht klar, selbst wenn man den Header wegsschneidet. Leider liegt /etc/ offenbar auch komplett im nur-lesbaren flash, d.h. auch da kommt man nicht an telnetd ran. Ich hab auch nix zum Thema "was konfiguriert die Firewall" gefunden, um den Port aufzumachen. Ne Idee wäre noch, die samba-config zu modden, und dort ein script/befehl einzubauen, der beim mounten oder connect ausgeführt wird -> telnet starten. Stichworte: {add,delete} {group,user,machine} script, dfree command, magic script ...
 
Zuletzt bearbeitet:
So, ich hab jetzt telnetd auf der Box am laufen. Dazu folgendes machen:
Code: 
postexec = /usr/sbin/telnetd -p 23000
an die Datei /var/etc/smb/smb.conf anhängen. Zugriff bekommt man wie gesagt über den Symlink. Das postexec nach der "include" Anweisung erfolgen, da das postexec share-spezifisch ist. Die Inludierte shares.conf wird aber jedes mal neu geschrieben, wenn man was ändert ;) . Anschließend dafür sorgen, das Samba seine Konfiguration neu lädt, z.B. durch Anlegen und Löschen eines Benutzers. Jetzt sollte telnet auf port 23000 lauschen:
Code: 
 telnet o2.box 23000
. Das Login ist in /etc/passwd gespeichert, den unix-crypt kann man im internet zurückrechnen lassen um an den Klartext zu kommen. Die Änderung ist *nicht* reboot-sicher, aber man kann ja jetzt sehen was wo gemounted ist und die Scripte ggf. anpassen. Edith: Das Postexec läuft natürlich auch erst, wenn man die Verbindung zum Share / den Mountpunkt trennt.
 
Zuletzt bearbeitet:
Snaubsch schrieb:
@quertz12 Denn alles was an Vulns in micro_httpd oder auch in anderen gängigen Zyxel-Devices in den gängigen DB´s zu finden war, schien wohl alles gepatched gewesen zu sein. Bin nämlich dann irgendwo nicht mehr weitergekommen, auch nicht mit dem Source-Code, da ich nicht so viel Ahnung vom proggen selbst hab,wie ich gerne hätte.
Zum Vergrößern anklicken....
Ich hatte erst auch mit metasploit & Co. probiert, aber das waren meine ersten Gehversuche mit sowas - deswegen 0 Erfolg. Zumal ja nicht viel "Standard" auf der Box drauf ist und noch weniger bekannte Schwachstellen in den Diensten. Coding ist auch nicht so meins, ich bin zwar Linuxer, aber bei /bin/sh hörts bei mir auf. Da ich aber einige Dienste, u.a. Samba recht gut kenne dachte ich mir: "Schuster, bleib bei deinen Leisten" ;)
 
Zuletzt bearbeitet:
Also Zugriff über die Symlinks funktioniert soweit schon mal super.
Nur eben mit der Einschränkung, dass in den meisten Ordnern nur Lesezugriff besteht. Aber dafür ist so schon mal fast alles zu finden.
...so weit so gut.

Die Hashes aus dem passwd-file kurz durch "John" gejagt waren in 10 Sekunden geknackt ( ist nur DES ). Für einen erfolgreichen Login haben die aber auch nicht getaugt. Auch nicht für den vsFTP, noch nicht einmal mit den entsprechenden Zertifikaten.


Die Telnet-Geschichte funktioniert bei mir nicht. K.A. wieso. Hab ne ganze Weile damit herumprobiert. Dabei wäre dies ein echt interessanter Ansatzpunkt gewesen.
Denn da es ja writable locations definitiv gibt auf der Box, müsste man doch auch andere Dinge uppen können. So etwas zBsp. wie ein script oder binaries für ne rootshell.
Um die dann mit postexec zum laufen zu bringen.

Ich werde mal noch ein bisschen in diese Richtung probieren.
 
Snaubsch schrieb:
Die Telnet-Geschichte funktioniert bei mir nicht. K.A. wieso. Hab ne ganze Weile damit herumprobiert. Dabei wäre dies ein echt interessanter Ansatzpunkt gewesen.
Zum Vergrößern anklicken....
Das mit dem Telnet funktioniert, es ist nur gar nicht so einfach, den Samba zum neu laden der Konfiguration zu bewegen. Ich hatte die Zeile(n) in alle Konfigurationsdateien davor und dahinter gepappt und ein paar mal probiert. Wenn man die shares.conf ändert, sieht man, wenn der Zyxel-Konfig-Dienst die neu schreibt -> anschließend wird Samba neu geladen. Wichtig ist nur, dass man die Verbindung richtig trennt, einfach "rausgehen" oder Fenster schließen reicht nicht. Letztendlich hilft aber auch telnet nicht weiter: Die /dev/mtd* sind alle jffs2 und enthalten Konfigurationsdateien. Interessant sind vermutlich /data/psi und /var/compressed.config. Leider sind beide Dateien mit "CompressConfig" aus dem hosttools-Verzeichnis des Quellcodes / Buildroot komprimiert. Einen dekompressor gibt es nicht, und CompressConfig ist auch nicht im Quellcode vorhanden. Offenbar macht das aber nix weiter, also die Bibliothek userspace/public/libs/cms_util/ aus den Quellen aufzurufen, genauer gesagt lzw_*.c Leider hab ich keine Ahnung, wie ich am einfachsten *nur* diese Bibliothek bauen kann und dazu noch einen 3-Zeiler, der das dekomprimieren erledigt. Denn die cms_util-Bibliothek inkludiert so ziemlich alle cms*.h Dateien, wo gibt ;-) PS: Irgendwann muss ich mal rausfinden, was ich hier falsch mache: Ich bin unter Linux unterwegs, und immer wenn ich poste sind meine \n (linefeed/zeilenumbruch) weg - kann das Forum nur \r\n (crlf)???
 
Moin

:confused:
PS: Irgendwann muss ich mal rausfinden, was ich hier falsch mache: Ich bin unter Linux unterwegs, und immer wenn ich poste sind meine \n (linefeed/zeilenumbruch) weg - kann das Forum nur \r\n (crlf)???
Zum Vergrößern anklicken....
Garnichts machste falsch.
Mit Google-Chrome hab ich das Problem nicht.
Mit FireFox immer dann, wenn ich einen filternden Proxy benutze.

Jetzt schreib ich grad mit FireFox ohne Proxy.
Im Editor wird mir oben die Formatierungsleiste angezeigt, mit Proxy nicht.
 
Zuletzt bearbeitet:
edgecrusher schrieb:
Warum testest Du die 6641 nicht einfach erstmal (die ist ja nu nicht so alt und von der HW eigentlich ganz potent) oder welches Feature Deiner FRITZ!Box bietet die 6641 nicht, welches Du aber unbedingt nutzen musst?!?!
Zum Vergrößern anklicken....

  • MediaServer?
  • Anrufbeantworter?
  • Gastzugang?
  • IP-Phone fürs Zuhause (oder auch aus dem Internet)?
  • Integrierte Faxfunktion?
  • Weckruf?
  • Callthrough?
  • USB Zugriff aus dem Internet?
  • Phonebuch Synchronisierung mit verschiedenen Anbietern?
  • DSL ZugangsInformationen? (Sync-Speed usw.)
  • VPN?
  • Kindersicherung?
 
@qwertz12
Welche Firmware Version hast du bei deiner 6641? Weil bei mir gibt es irgendwie kein Samba Server oder hast du diesen irgendwie gestartet?

Ist hier jemandem bekannt in wie weit sich die Daten ändern von Two Session auf One Session? Weil die alten Zugangsdaten habe ich, nur bekomme nicht mal die PPPOE Verbindung zum laufen, da die Daten wohl nicht korrekt sind, weder von PPPOE1 noch PPPOE2.

Gerätebezeichnung o2 HomeBox 6641
Firmware Version 1.00(AAJG.0)b14b
 
Zuletzt bearbeitet:
Lky schrieb:
@qwertz12 Welche Firmware Version hast du bei deiner 6641? Weil bei mir gibt es irgendwie kein Samba Server oder hast du diesen irgendwie gestartet? o2 HomeBox 6641 Firmware Version 1.00(AAJG.0)b14b
Zum Vergrößern anklicken....
Genau diese. Der Samba (smbd, Windows-Netzwerkumgebung) ist drauf und läuft, wenn man nen USB-Stick freigibt - genau wie der FTP-Server vsftpd.
Menüpunkt Heimnetz -> USB, wie's genau funktioniert steht im Handbuch. Die Standard-Konfig ist sehr "sicher":
Ohne Benutzer anzulegen haben anonyme user Vollzugriff...

Ich greife immer über \\192.168.meine.ip\Drive1_1 drauf zu, bzw. unter Thunar mit smb://192.168.meine.ip/drive1_1. Das \\o2.box funktioniert war geraten, sorry. Das sollte funktionieren, wenn Windows auf DNS zur CIFS/Netbios Namensauflösung zurückfällt, keine Ahnung ob das so ist.

Zum Thema alte Zugangsdaten:
Ich hab erst ne andere Box bekommen sollen, insofern hatte ich PPPoE schon zugeschickt bekommen. Da wurde seitens O2 ein neues Passwort gesetzt, Username blieb gleich -> ohne die neuen Daten hast du vermutlich keine Chance mehr.
Ich hatte spaßeshalber mal mit meiner alten Box versucht, die PIN zu nehmen, aber die bekommt wirklich nur "alte" Zugangsdaten, die für Telefonie nicht mehr funktionieren. Ich hab auch schon getestet, die ACS-Daten auf meine Fritte zu spielen, aber da ich keine 7490 habe funktionierte das auch nicht wirklich. Ich konnte den ACS zwar kontaktieren, danach waren aber sogar meine alten Telefonnummern aus der Box rausgelöscht...

Ach was bin ich froh, wegen Lieferschwierigkeiten die "Premium-Box" bekommen zu haben - mit der einfachen hätte ich die Daten schon längst wieder in meiner Fritte.
Dann würde meine Richtfunkstrecke, mein DECT-Repeater, mein Anrufbeantworter, meine Anrufsperren (Callcenter), mein VPN und der ganze andere Krempel wieder funktionieren....
Aber das wäre ja zu einfach ;)

koyaanisqatsi schrieb:
Garnichts machste falsch. Mit FireFox immer dann, wenn ich einen filternden Proxy benutze.
Zum Vergrößern anklicken....
Irgend ein Proxy ist hier nicht involviert... Aber danke trotzdem, der Hinweis mit der Formatierungsleiste hat geholfen: Noscript hat ajax.googleapis.com geblockt, wo diese Leiste herkommt - Problem gelöst.
 
Zuletzt bearbeitet:
Moin

:D
qwertz12 schrieb:
Irgend ein Proxy ist hier nicht involviert... Aber danke trotzdem, der Hinweis mit der Formatierungsleiste hat geholfen: Noscript hat ajax.googleapis.com geblockt, wo diese Leiste herkommt
Zum Vergrößern anklicken....
Hab also bei mir die API-Server in der Filterliste von tinyproxy auskommentiert rausgenommen.
Auch hier: Problem gelöst

@Alle: Gutes Thema, weitermachen und viel Glück...
:weg:
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 742 (Mitglieder: 20, Gäste: 722)

Neueste Beiträge

Statistik des Forums

Themen
244,883
Beiträge
2,220,132
Mitglieder
371,616
Neuestes Mitglied
MBro
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück