Οδηγός Ξεκλειδώματος Technicolor TG789vacV2 + DGA4130 - Wind ISP Greece - Firmware 17.1.8049 - Voip Working

[phoinix2]

Οδηγος για routing + Ansuel GUI για Wind Firmware 17.1.8049 - TG789vac v2. (99% παιζει παιζει και σε προγενεστερα firmware, οχι μονο 17.1.8049)
Μιας και δεν έβγαλα άκρη με τον οδηγό https://tinyurl.com/y5hxyxu3, αποφάσισα να το ψάξω λιγο, και κατάφερα να κανω root στο μαμα Wind Firmware 17.1.8049.

Εγραψα ενα οδηγό, ο οποίος έχει κάποιες απαιτήσεις (βασικές γνώσεις linux), αλλα παρέχει τα ακόλουθα πλεονεκτήματα:

• Δεν απαιτεί firmware flash. Το rooting, γινεται πανω στο "μαμα" Wind firmware 17.1.8049 (exploit πανω στo smbd )
• Δεν απαιτεί Config dump/ config restore
• Δυνατότητα για flash του ansuel
• Δεν χανονται οι ρυθμίσεις του Router
• Ναι. To VoIP δουλευει κανονικά!

Αν και νομίζω οτι ειναι αρκετα safe, μιας και δεν φλασαρουμε firmware, χρειαζεται το Disclaimer:
******
Δεν φέρω καμιά ευθύνη για routers καμμένα, κολλημένα σε bootloop κτλ κτλ. Προχωράτε με δικιά σας ευθύνη.
******

Πριν ξεκινήσουμε, χρειάζονται τα ακόλουθα:

• Ενα υπολογιστής με Linux. Χρησιμοποίησα Ubuntu 20.04 LTS.
• Ενα USB Flash Drive

Let's do it!

1) Συνδέουμε το USB Flash Drive στον υπολογιστή.
2) Εστω οτι το USB Flash Drive εχει γινει expose σαν "/dev/sdc" (για να βρείτε το δικο σας χρησιμοποιείτε την εντολή "lsblk -f" )

Δίνουμε τις παρακάτω εντολές:

Κώδικας:

    sudo su -  (γινομαστε root)
    mkfs.ext2 /dev/sdc1
    mkdir /tmp/sdc1
    mount /dev/sdc1 /tmp/sdc1
    cd /tmp/sdc1
    touch exploit
    ln -s / rootfs
    cd ~
    umount /tmp/sdc1

Προσοχη τα παραπάνω ειναι για το USB Flash drive, στο "/dev/sdc", αντικαθιστάτε αντοιστιχα στο δικο σας συστημα, αν χρειάζεται.

4) Αποσυνδέουμε το USB απο τον υπολογιστή και το συνδέουμε στο GT789vac v2
5) Τρεχουμε στον υπολογιστή:

Κώδικας:

 
 
   sudo su -  (γινομαστε root αν δεν είμαστε) 
 
Αν δεν εχουμε docker εγκατεστημένο: 
 
    add-apt-repository universe
    apt-get update
    apt-get install -y docker.io
    echo '{ "storage-driver": "devicemapper" }' | sudo tee -a /etc/docker/daemon.json > /dev/null
    service docker restart
 
    git clone "https://github.com/full-disclosure/FDEU-CVE-2020-1FC5.git" && cd $(basename $_ .git)
    docker build -t tg389ac_samba_exploit .
    docker run -ti tg389ac_samba_exploit /bin/bash
    cd FDEU-CVE-2020-1FC5
    python3 tg389ac_samba_exploit.py http://192.168.1.254 admin

Βαζουμε το Password του Web Interface του TG789vac v2

To router κάνει επανεκκίνηση και θα εχει το root filesystem του, exposed μεσω Samba σαν R/W !

Δεν ξεχνάμε να κανουμε exit απο το container:

Κώδικας:

 
    exit

6) Κανουμε Login στο Web Interface του Router, και ανοιγουμε το modal "Content Sharing". Εκει θα βρουμε το ονομα του Share που θα χρησιμοποιήσουμε για να κανουμε samba mount.
Στην δικιά μου περίπτωση ήταν: "//192.168.1.254/Kingston_DTmicroDuo3C_1_412f"



7) Στον υπολογιστή τρέχουμε:

Κώδικας:

    sudo apt install cifs-utils smbclient
    sudo gedit /etc/samba/smb.conf

Κατω απο το [global], προσθέτουμε :

Κώδικας:

    client min protocol = NT1

Κανουμε Save το αρχειο, Και μετα (θα πρεπει να αντικαταστήσετε με το δικο σας share - Προσοχη τα slashes (/) πρεπει να ειναι οπως παρακατω:

Κώδικας:

    sudo mkdir /mnt/temp
    echo "//192.168.1.254/Kingston_DTmicroDuo3C_1_412f /mnt/temp cifs vers=1.0,guest,uid=1000,iocharset=utf8 0 0" >> /etc/fstab 
    mount /mnt/temp

8)

Κώδικας:

  
    sudo gedit /mnt/temp/rootfs/etc/config/button

Αντικαθιστουμε την γραμμη "option handler 'wps_button_pressed.sh' " σε

Κώδικας:

option handler 'uci set button.wps.handler='\''wps_button_pressed.sh'\'' && sed -i '\''s#root:/bin/false#root:/bin/ash#'\'' /etc/passwd && sed -i '\''s/#//'\'' /etc/inittab && echo -e '\''root\nroot'\'' | passwd && uci set dropbear.lan.Interface='\''lan'\'' && uci set dropbear.lan.Port='\''22'\'' && uci set dropbear.lan.IdleTimeout='\''600'\'' && uci set dropbear.lan.enable='\''1'\'' && uci set dropbear.lan.RootPasswordAuth='\''on'\'' && uci set dropbear.lan.RootLogin='\''1'\'' && uci set dropbear.lan.PasswordAuth='\''on'\'' && uci set system.@coredump[0].reboot='\''0'\'' && uci commit && /etc/init.d/dropbear restart'

Κανουμε Save το αρχειο.

9) Παταμε το κουμπι WPS στον router
10) Κανουμε:

Κώδικας:

 gedit ~/.ssh/config
 
 και προσθετουμε 
 
 Host 192.168.1.254
    KexAlgorithms +diffie-hellman-group1-sha1
    Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc

Δοκιμαζουμε:

Κώδικας:

    ssh root@192.168.1.254 (με password root )

Αν ολα πανε καλα, εχουμε root, και μας καλωσορίζει το Wind Firmware:



Συγχαρητήρια!

11) Προαιρετικά, βαζουμε ansuel Gui

Κώδικας:

    curl -k https://raw.githubusercontent.com/Ansuel/gui-dev-build-auto/master/GUI.tar.bz2 --output /tmp/GUI.tar.bz2
    bzcat /tmp/GUI.tar.bz2 | tar -C / -xvf -
    /etc/init.d/rootdevice force

Και το αποτελεσμα:




Καλη τυχή σε ολους!

Παραπομπές:
1) https://github.com/full-disclosure/FDEU-CVE-2020-1FC5
2) https://www.serializing.me/2018/06/0...hnicolor-7210/
3) https://inglele.wordpress.com/2019/0...tgate-dga4131/
4) https://github.com/Ansuel/tch-nginx-gui

- - - Updated - - -

Optional: Repo για το opkg
Κανουμε edit το /etc/opkg/distfeeds.conf, προσθέτοντας :

Κώδικας:

src/gz packages https://raw.githubusercontent.com/fexofenadine/brcm63xx-tch/master/packages
src/gz base https://raw.githubusercontent.com/fexofenadine/brcm63xx-tch/master/base

Στην συνέχεια:

Κώδικας:

opkg update

Και μπορουμε να βαλουμε πακέτα με το opkg. Πχ για htop

Κώδικας:

opkg install htop

[famous-walker]

Ωραίος οδηγός!

Μπράβο που κάποιος ασχολήθηκε με εναλλακτικό τρόπο ξεκλειδώματος στα κλειδωμένα firmware της Wind.

[phoinix2]

Thanks,

Νομίζω οτι ειναι σημαντικό οτι μενει το μαμά firmware, full ξεκλειδωμένο.
Και παίζουν τα παντα (VoIp full working)

[Prototype]

Ωραίος ο οδηγός αν και αναφέρεται σε προχωρημένους.. Να μαντέψω ότι θα μπορούσε να δουλέψει και στο DGA4130 η κατι παρομοιο;

[phoinix2]

Δεν γνωριζω, μιας και δεν εχω το συγκεκριμένο Router. Αλλα απ'οσο βλέπω πρεπει να εχει το παρομοιο hardware και firmware με το TG789. Αρα θα ειναι affected απο το Samba exploit.

Μπορεις να δοκιμάσεις.
Αν φτάσεις στο βημα 6, και βλέπεις το Samba Share στο web interface του router, 99% θα δουλέψει.

Σε καθε περίπτωση, μιας και δεν φλασαρεις καποιο firmware, χειρότερο σεναριο απλα να μην δουλεψει το root.

[Prototype]

Το θέμα μου είναι θα δουλέψει με bootable Linux; Αυτή την στιγμή αυτό παλεύω

[phoinix2]

Ναι, δουλευει με ενα Live CD Ubuntu 20.04. Δεν χρειάζεται να το εγκαταστήσεις στο PC σου.
http://ftp.ntua.gr/pub/linux/ubuntu-...ktop-amd64.iso

[Prototype]

Είμαι ήδη με το bootable αλλά όταν τρέχω sudo docker run -ti tg389ac_samba_exploit /bin/bash μου βγάζει αυτό:

Unable to find image 'tg389ac_samba_exploit:latest' locally
docker: Error response from daemon: pull access denied for tg389ac_samba_exploit, repository does not exist or may require 'docker login': denied: requested access to the resource is denied.

- - - Updated - - -

Είμαι ήδη με το bootable αλλά όταν τρέχω sudo docker run -ti tg389ac_samba_exploit /bin/bash μου βγάζει αυτό:

Unable to find image 'tg389ac_samba_exploit:latest' locally
docker: Error response from daemon: pull access denied for tg389ac_samba_exploit, repository does not exist or may require 'docker login': denied: requested access to the resource is denied.

Το terminal το τρέχω με Root. Έχω κολλήσει στο βήμα 5...

[phoinix2]

To docker build το κανεις κανονικα?

Κώδικας:

phoinix@nas:/tmp$ sudo apt install docker.io

Reading package lists... Done
Building dependency tree
Reading state information... Done
Suggested packages:
  aufs-tools docker-doc rinse zfs-fuse | zfsutils
The following NEW packages will be installed:
  docker.io
0 upgraded, 1 newly installed, 0 to remove and 2 not upgraded.
Need to get 38.9 MB of archives.
After this operation, 192 MB of additional disk space will be used.
Get:1 http://us.archive.ubuntu.com/ubuntu focal-updates/universe amd64 docker.io amd64 19.03.8-0ubuntu1.20.04.1 [38.9 MB]
Fetched 38.9 MB in 1min 32s (421 kB/s)
Preconfiguring packages ...
Selecting previously unselected package docker.io.
(Reading database ... 183376 files and directories currently installed.)
Preparing to unpack .../docker.io_19.03.8-0ubuntu1.20.04.1_amd64.deb ...
Unpacking docker.io (19.03.8-0ubuntu1.20.04.1) ...
Setting up docker.io (19.03.8-0ubuntu1.20.04.1) ...
docker.service is a disabled or a static unit, not starting it.
Processing triggers for man-db (2.9.1-1) ...

phoinix@nas:/tmp$ git clone "https://github.com/full-disclosure/FDEU-CVE-2020-1FC5.git" && cd $(basename $_ .git)

Cloning into 'FDEU-CVE-2020-1FC5'...
remote: Enumerating objects: 55, done.
remote: Counting objects: 100% (55/55), done.
remote: Compressing objects: 100% (54/54), done.
remote: Total 55 (delta 18), reused 0 (delta 0), pack-reused 0
Unpacking objects: 100% (55/55), 16.46 KiB | 90.00 KiB/s, done.

phoinix@nas:/tmp/FDEU-CVE-2020-1FC5$  sudo docker build -t tg389ac_samba_exploit .

Sending build context to Docker daemon  161.8kB
Step 1/4 : FROM debian:10
 ---> ef05c61d5112
Step 2/4 : RUN apt-get update
 ---> Using cache
 ---> 9da25f0bfb71
Step 3/4 : RUN apt-get install -y vim python3 python3-requests python3-srp git
 ---> Using cache
 ---> a9c111a7fd6e
Step 4/4 : RUN git clone https://github.com/full-disclosure/FDEU-CVE-2020-1FC5
 ---> Using cache
 ---> 8f6ff988bee1
Successfully built 8f6ff988bee1
Successfully tagged tg389ac_samba_exploit:latest

phoinix@nas:/tmp/FDEU-CVE-2020-1FC5$ sudo docker run -ti tg389ac_samba_exploit /bin/bash

root@97ceb3766379:/#
root@97ceb3766379:/# cd FDEU-CVE-2020-1FC5

root@97ceb3766379:/FDEU-CVE-2020-1FC5#  python3 tg389ac_samba_exploit.py http://192.168.1.254 admin
Password:

[Prototype]

Και με τον κώδικα που αναφέρεις πάνω αλλά και με sudo τρώω άκυρο.

[phoinix2]

Χμμμ, σου λειπει το docker. Δεν έχει μπεί με το apt.
(Δεν εχει δουλεψει η γραμμη (apt install docker.io) απο το βημα 5. )


Δοκιμάσε να το βαλεις με:

Κώδικας:

 
curl -sSL https://get.docker.com/ | sh

Αν σου δουλεψει , θα κανω update τον οδηγο.

[Prototype]

Δούλεψε, απλά να αναφέρω ότι χρειάστηκε να κάνω apt install curl και apt install git.

Τώρα κόλλησε εδώ.

[phoinix2]

Χμμ, το LiveCD φαινεται να δημιουργει προβλημα με το docker.

https://stackoverflow.com/questions/...untu-live-disk

Κανε επανεκινηση, στο PC σου,ξαναμπουταρε στο Live cd του ubuntu και τρεξε:

Κώδικας:

sudo add-apt-repository universe
sudo apt-get update
sudo apt-get install -y docker.io
echo '{ "storage-driver": "devicemapper" }' | sudo tee -a /etc/docker/daemon.json > /dev/null
sudo service docker restart

Στην συνεχεια συνεχισε με το docker build, και το docker run

[Prototype]

Δούλεψε επιτέλους αλλά τα commands τρώνε άκυρο..

sudo apt install cifs-utils smbclient

με apt install cifs-utils smbclient δούλεψε αλλά μετά sudo nano /etc/samba/smb.conf command not found

Με vim δουλεύει.

- - - Updated - - -

Από το 7 και μετά καλό θα ήταν να βάλεις screenshots..

Έφτασα μέχρι και το mount /mnt/temp με error Unable to apply new capability set. και κόλλησα εκεί.

mount -v -t Νομίζω πως δούλεψε... Το cp δεν βρίσκει τον φάκελο..

[phoinix2]

To "Unable to apply new capability set." στο βγαζει επειδη εισαι μεσα στο docker container. Πρεπει να βγεις απο το docker container με "exit" και μετα να τρεξεις την εντολή mount.
Αν δεν εχει επιτυχία η εντολη mount, δεν θα παιξουν και τα υπολοιπα.

Αντι για nano ή vim, μπορεις να χρησιμοποιήσεις καποιον ποιο ευκολο editor, σαν "gedit",


Για να δεις αν δουλεψε η mount σωστα, μπορεις να κανεις ενα list (σαν το dir στα windows) sτο /mnt/temp

Κώδικας:

ls /mnt/temp

Κανω update και αντοιστιχα τον οδηγο με τα θεματα που βρηκες στο live cd.