Passwörter (VOIP, WebUI,etc.) mit adam2 ftp zugang auslesen

[Krauzi]

hallo, ich möchte alle passwörter (dyndns, web gui und Internet/VoIP) auslesen.
Per telnet klappts schon, nur möchte ich das jetzt auch über den ftp zugang mittels adam2 machen. Ich habe leider keine ahnung wie ich das anstellen soll.

MfG Krauzi.

 

[schmatke]

Du willst Passwörter vom Bootloader aus auslesen?
Keine Ahnung, wie das gehen soll. Man muss ja erstmal n System laden.

Warum brauchst Du das?

 

[Chatty]

Keine Ahnung, wie das gehen soll. Man muss ja erstmal n System laden.

"Wenn man keine Ahnung hat: Einfach mal Fresse halten." [Nuhr]

Natürlich kann man im Bootloader die Flash-Partitionen auslesen. Im Wiki lässt sich nachlesen, in welcher die Konfigurationsdaten gespeichert werden. Diese sind aber immer noch verschlüsselt. Da noch niemand diesen Algorithmus "reengineered" hat, kann man das verschlüsselte Passwort auch in einer "freien" Fritz!Box-ar7.cfg eintragen und dann allcfgconv fragen. Das sollte nun aber wirklich reichen.

 

[schmatke]

"Wenn man keine Ahnung hat: Einfach mal Fresse halten."

Hui. Das war heftig, aber ok. Deswegen hatte ich mich auch vorsichtig ausgedrückt. Wieder was dazu gelernt.

 

[MaxMuster]

@Chatty: Schon gemacht? Ich meine mich daran zu erinnern, dass es nur mit einer "kompletten" ar7.cfg funktioniert hatte, das Eintragen der verschlüsselten Werte in eine "Fremdconfig" jedoch nicht. Ist allerdings schon etwas her, vielleicht täusche ich mich oder habe einen Fehler gemacht...

@Krauzi: Ansonsten geht (je nach Box): Komplettabzug der Box im Emulator starten. Aber "direkt Auslesen" der Werte geht auf jeden Fall nicht, soweit ich weiß. Du kannst aber im Bootlader auch direkt Programme in einem speziellen Format laden und ausführen, vielleicht entwirfst du da mal was ;-)


Jörg

 

[RalfFriedl]

Per telnet klappts schon, nur möchte ich das jetzt auch über den ftp zugang mittels adam2 machen.

Und wozu?
Willst Du sehen, ob da die gleichen Paßwörter stehen?
Oder willst Du die Paßwörter von einer Box auslesen, auf die Du keinen Zugang hast.

 

[Krauzi]

[Edit frank_m24: Sinnfreies Vollzitat gelöscht. Lies noch mal die Forumregeln.]

jop. ich habe daheim noch eine alte fritzbox rumliegen, auf die ich ganz gerne mal wieder vollzugriff hätte. Ich möchte aber unter allen umständen meine einstellungen beibehalten und nur das weblogin passwort rausfinden(EDIT: Also kein Reset!!!). telnet ist auf dieser leider noch nicht aktiviert (bzw. wäre auch nutzlos, denn hier brüchte ich auch das weblogin pw zum einloggen).

@MaxMuster: Das mit dem Emulator klingt interessant. Die frage ist nur, wie ich die datei(en) dann auch in den emulator bekomme (habe 0 ahnung von linux und auch keine von adam2). Am besten wäre eine kleine anleitung (habe einfach wenig lust mich da jetzt in alles reinzuarbeiten; habe genug zu tun mit c++ xD), wie man die benötigten dateien kopiert. Das sollte ja kein großes Problem für erfahrene personen darstellen.

MfG Krauzi

 

[Chatty]

Hui. Das war heftig, aber ok.

Hey, bitte nicht böse nehmen. Ich selbst hätte sicherlich nettere Worte verwendet, aber die Message bliebe dieselbe.

Schon gemacht?

Fritz!Box-übergreifend habe ich das noch nicht gemacht, könnte man natürlich schnell mal testen.

 

[cider]

Hallo,

tut mir leid das ich diesen alten Thread wieder hochhole, aber er passt einfach zu gut zu meinem Problem

Mein Provider (siehe hier) liefert mir eine "7570 vDSL" Box auf die ich nicht drauf darf. Damit wollen die wohl Supportkosten einsparen. Das bedeutet: die ganzen tollen Features der Box können wir nicht benutzen (DECT, USB Printserver, Faxempfang, Portforwarding, DynDNS...). Alles betteln beim Provider bringt nix, die rücken das Passwort für die WebUI (und damit auch für telnet) nicht raus und eine Box ohne Kennwort gibts auch nicht.

Vielleicht könnte man eine komplett neue Firmware draufspielen, aber ich möchte erstmal versuchen das Passwort auszulesen. Der Provider hat zumindest früher einige komische Sachen gemacht die vielleicht nicht so einfach zu konfigurieren sind (statt Voice-over-IP hatten die z.B. Voice-over-ATM...)

Mit dem ruKernelTool konnte ich folgende Daten auslesen (MAC-Adressen und Passwörter unkenntlich gemacht):

  Box-Informationen:
    ProductID:                 Fritz_Box_7570
    HWRevision:                146
    annex:                     B
    autoload:                  yes
    bootloaderVersion:         1.704
    bootserport:               tty0
    country:                   049
    cpufrequency:              360000000
    firmware_info:             75.04.77
    firmware_version:          avme
    firstfreeaddress:          0x946BDA1C
    flashsize:                 0x01000000
    jffs2_size:                92
    language:                  de
    maca:                      00:1F:xx:xx:xx:xx
    macb:                      00:1F:xx:xx:xx:xx
    macdsl:                    00:1F:xx:xx:xx:xx
    macwlan:                   00:24:xx:xx:xx:xx
    memsize:                   0x04000000
    modetty0:                  38400,n,8,1,hw
    modetty1:                  38400,n,8,1,hw
    mtd0:                      0x90000000,0x90000000
    mtd1:                      0x90020000,0x90F80000
    mtd2:                      0x90000000,0x90020000
    mtd3:                      0x90F80000,0x90FC0000
    mtd4:                      0x90FC0000,0x91000000
    my_ipaddress:              192.168.178.1
    req_fullrate_freq:         120000000
    SerialNumber:              0000000000000000
    sysfrequency:              120000000
    tr069_passphrase:          xxxxxxxxxx
    tr069_serial:              00040E-xxxxxxxxxxx
    urlader-version:           1704
    usb_board_mac:             00:1F:xx:xx:xx:xx
    usb_device_id:             0x0000
    usb_manufacturer_name:     AVM
    usb_revision_id:           0x0000
    usb_rndis_mac:             00:1F:xx:xx:xx:xx
    wlan_key:                  xxxxxxxxxxxxxx

  Flash-/Speichergrößen:
    Flashsize:  16.777.216 Bytes (16.384 kb, 16 MB)
    Memsize:    67.108.864 Bytes (65.536 kb, 64 MB, 0,1 GB)
    mtd0:                0 Bytes
    mtd1:       16.121.856 Bytes (15.744 kb, 15,4 MB)
    mtd2:          131.072 Bytes (128 kb, 0,1 MB)
    mtd3:          262.144 Bytes (256 kb, 0,3 MB)
    mtd4:          262.144 Bytes (256 kb, 0,3 MB)

  ProductID:   Fritz_Box_7570
  HW-Revision: 146  => FRITZ!Box Fon WLAN 7570 vDSL

In diesem Thread habe ich ein Kommando gefunden mit dem man per telnet/SSH das Passwort entschlüsseln und anzeigen kann. Leider geht das ja wohl nicht bei einer adam2 FTP verbindung. Ich habe mit dem reKernelTool eine adam2-ftp-verbindung aufgebaut und "quote RETR /var/flash/ar7.cfg", "quote GET /var/flash/ar7.cfg" oder "quote MGET /var/flash/ar7.cfg" ausprobiert. Mal mit und mal ohne einem "quote MEDIA FLSH" davor. Aber es funktioniert nie, ich bekomme entweder "Invalid command" oder "Command not implemented". Auch ein einfaches ls oder dir funktioniert nicht.

Kann mir vielleicht jemand auf die Sprünge helfen?

Vielen Dank!
cider

 

[RalfFriedl]

Ein "quote" ist eine praktische Sache, aber nicht immer das Richtige. Aber auch mit dem richtigen Kommando ("get") kannst Du nicht die ar7.cfg auslesen. Und selbst wenn Du die hättest, wäre das Paßwort darin verschlüsselt abgelegt. Die Sache ist also nicht ganz so einfach.

Wie Du gesehen hast, hatte auch vorher keiner eine Antwort darauf.

 

[linuxkasten]

Du könntest auch als Alternative alle Flash-Partitionen per adam2/ftp sichern (müsste irgendwo in den Freetz-Howtos stehen, ich galube, der Befehl lautet in etwa quote GET mtdX) , und dann eine Standardfirmware draufflashen. Wenn es mit der nicht funzt, einfach wieder die Backups auf die Flash-Partitionen zurückschreiben (außer Bootloader!!!!).

 

[Benutzer1234]

Ich würde mit dem Adam2 alle Partitionen sichern.

Erstelle ein Freetzimage auf Basis der 75.04.77 Das Branding sollte deinen ursprünglichen Branding entsprechen damit die originalen Einstellungen übernommen werden.

Image mit diesem ruKernelTool flashen. Box neu starten und per Freetz auf die Telnetkonsole. User und Pass sollten Freetz sein.

 

[skyteddy]

Ich will Euch ja die Freude nicht nehmen, aber die neuen Bootloader lassen kein Auslesen der mtds über ftp mehr zu! Ich habe alles versucht.

In dem von Cider schon genannten Thread wurde zu dem Thema bereits alles gesagt.

Und seit wann kann man ein Freetzimage auf Basis der 75.04.77 bauen? Hab ich was verpaßt

Happy computing!
R@iner

 

[linuxkasten]

Es muss ja kein FreetzImage sein...für die 7570 gibts doch ne Labor-FW oder?
Kann man dann per ftp auch keine neue FW mehr auspielen?

 

[skyteddy]

Ich versteh Deinen Gedankengang nicht. Flashen über ftp geht, aber nicht das Auslesen der mtd-Bereiche.

Aber was sollte er mit einer Labor-Firmware auf 7570 dann? Das Passwort ist ja trotzdem noch gesetzt.

Edit:
Haaaaalt! Da fällt mir was ein! Die aktuelle englische IPv6-Labor, die 75.04.81-16961, hat einen großen Bug, der jetzt ausgenutzt werden kann!

Wenn man die 75.04.81-16961 installiert ist der Login über telnet nicht passwort-geschützt!

Man darf halt beim Flashen nur nicht "clear mtd3+4" etc machen, sondern nur das kernel.image übertragen und ggf. das Branding auf avme umsetzen. Ob danach die Büchse allerdings fehlerlos hoch kommt und nicht in einer Rebootschleife landet, kann ich jetzt nicht sagen. Aber von der Theorie her könnte es klappen.

Und wenn das geht, kann mit dem ruKernelTool eh alles ausgelesen werden

Happy computing!
R@iner

 

[colonia27]

Brüll doch nicht so Rainer. Der hört dich schon :lach:

 

[skyteddy]

Wenn die Leute schon nicht lesen, dann sollen sie mich wenigstens hören! :dance:

Schönes Wochenende!
R@iner

PS: Brüllen geht bei mir übrigens noch ganz anders ;-)

 

[Benutzer1234]

Oh man, da enttäuscht du mich aber. Ich dachte das mit der 7570 hättet ihr schon längst in den Griff bekommen

Nein, Spass beiseite. Eigentlich muss man ja nur irgendwie an eine Rootshell kommen um das Passwort zu ändern. Auch wenn ich keine 7570 habe, wie man sicherlich bemerkt hat, frage ich mich doch ob man nicht per Fakeupdate ein Script hochschmuggeln kann dass passwd ausführt?

So wie ich nun gelesen habe kann man das Image entpacken aber nicht wieder packen? Liege ich da richtig oder wie ist zur Zeit der Stand der Dinge?

 

[skyteddy]

Irgendwie seid ihr alle am Thema vorbei?

Die Box wird vom Provider eingerichtet hingestellt. Sobald Du im Browser http://fritz.box eintippst, kommt als erstes die Passwortabfrage. Und hier ist Schluß, da das Passwort nur der Provider, nicht aber der User hat!

Wie willst Du da ein Pseudoupdate einspielen oder an eine rootshell kommen?

Ich lerne gerne dazu!

Happy computing!
R@iner

 

[Benutzer1234]

Mit Fakeupdate meinte ich nicht das Fakeupdate im Fritzboxmenu sondern man entpackt ein Originalimage und nimmt irgendeinen unwichtigen Dienst bzw. Datei und tauscht sie gegen das Script aus und packt es danach wieder. Daher ja meine Frage ob man Images schon erfolgreich wieder packen kann.

Per Adam2 alles sichern und es sollte doch wohl möglich sein das Image zu flashen. Ich kann mir nicht vorstellen dass da wirklich alles dicht ist.

Die Box muss nur einmal hochfahren und darf sogar nach erfolgreichen Ausführen des Scriptes wieder abstürzen. Danach sollte das Telnetpasswort verändert sein.

Ich würde ja gerne mitspielen aber ich gebe bestimmt keine 300 Euro für so ein bißchen Hardware aus. Dafür bekommt man ja in derBucht ab und zu ca. 3 neue 7270 wenn man schnell genug ist.