Root für Speedport Hybrid Pro

      Servus Zusammen,

      hab mich mit dem Thema die letzten Tage mal beschäftigt, da ich selbst nicht ganz zufrieden mit meinem Speedport Pro bin. Angefangen habe ich damit die Firmware in Binwalk durchzuschauen und mit Squashfs zu entpacken. Mein erster Ansatz wäre es gewesen zu suchen wo die Config Datei die man vom Speedport zeihen kann verschlüsselt wird. (Zumindest glaube ich das sie verschlüsselt wird.) Allerdings konnte ich keine ersichtliche Stelle finden wo das passiert. Als nächstes habe ich nach den standard Config Dateien gesucht, dabei hab ich drei Stück gefunden.
      • start-cfg.xml.spp
      • start-cfg.xml.sppplus
      • start-cfg.xml.sppplusgaming (Anscheinend gibts ein Speedport Pro Plus Gaming)
      Öffnet man die Dateien und sucht nach SSH oder Telnet findet man folgende abschnitte:

      Quellcode

      1. <RemoteAccess uid="1" Service="TELNET">
      2. <!--<Enabled/>-->
      3. <WiFiRestriction>ACCESS_DISABLE_NO_SECURITY</WiFiRestriction>
      4. <WANRestriction>ACCESS_DISABLE</WANRestriction>
      5. </RemoteAccess>


      Quellcode

      1. <RemoteAccess uid="2" Service="SSH">
      2. <Enabled/>
      3. <WiFiRestriction>ACCESS_DISABLE_NO_SECURITY</WiFiRestriction>
      4. <WANRestriction>ACCESS_DISABLE</WANRestriction>
      5. <LANRestriction>ACCESS_DISABLE</LANRestriction>
      6. </RemoteAccess>


      Betrachtet man die passwd Datei ist der Root Nutzer mit dem md5Crypt Hash "$1$MCtKjFwy$JrBqOqmr/7KOvaeg4XQQj/" eingetragen. Lässt man da kurz Hashcat drüberlaufen sollte "root" das dazupassende Passwort sein, allerdings glaube ich das beim ersten Start des Speedports ein neues Root-Passwort erstellt wird.(Hab im Moment leider keine Möglichkeit die Firmware von meine Speedport Pro zu Dumpen um das ganze zu überprüfen).

      Nun zur eigentlichen Überlegung:
      Was würde passieren wenn man die start-cfg.xml ändert also statt "ACCESS_DISABLE" "ACCESS_ENABLE" einträgt, die Firmware repackt und auf den Router hochlädt und dann die Standardeinstellungen wiederherstellen lässt? Sollte SSL und Telnet dann nicht aktiviert bleiben? Ein mögliches Problem hierbei wäre das in einer der anderen Sektionen der Firmware eine Checksum für das Gepackte Dateisystem eingetragen ist, dann würde die "modifizierte" Firmware als nicht Valiede angesehen werden. Allerdings bin ich was Linux und Routersoftware angeht wirklich klein Profi, aber ich werde das ganze mal versuchen wenn ich mehr Zeit dafür habe.

      Zum Abschluss noch eine Frage:
      Ist bekannt, oder kann man irgendwo nachlesen, wie der IV und der Key zum entschlüsseln der Speedport Hybrid Config gefunden wurden?

      Moin!

      Zumindest beim alten SPH ist die Firmware signiert - modifizierte Firmware wird beim Flashen abgelehnt.

      Den allerersten Key für den SPH hat mir ein auf (eigetlich andere) Huawei-Router spezialisierter Crypto-Blogger zukommen lassen, nachdem ich ihm Firmware und eine Config geschickt hab'. Er hat nicht erklärt, wie er ihn gefunden hat - ich tippe aber auf IDA-Pro...

      Die nachfolgenden Keys wurden teils durch Speicherdumps, teils durch eingeschleuste 'Proxy-Libraries' auf bereits 'offenen' SPHs ermittelt.
      (der SPH blieb zu den alten Keys kompatibel - so konnte man ihn auch trotz neuerer Firmware mit einer älteren modifizierten Config öffnen)

      Den Quellcode meiner Proxy-Library müsste ich noch haben - falls also jemand Zugang zu einer Root-Shell bekommt (z.B. per Hardware-COM), könnte man eventuell die Keys auslesen.
      (die Proxy-Library setzt sich vor die SSL-Bibliothek, reicht die Funktionsaufrufe weiter aber Dumped dabei Parameter und Rückgabewerte...)

      mfg, emkay