Undersöka firmware på Intenoprodukter

Följande är en guide för att komma igång med att undersöka firmware till Inteno-produkter, den är skriven utifrån ett Linux-perspektiv.
Intenos produkter använder processorer från Broadcom med arkitekturen MIPS32, det går med lite pillande att köra firmware under emulering med Quemu.

Ladda ner firmware

Du behöver installera binwalk och git

sudo apt-get install binwalk git

samt firmware mod kit. FMK laddas ned från github med

git clone https://github.com/mirror/firmware-mod-kit

Senaste firmware kan fås genom att kontakta Inteno direkt eller laddas ned från Netatonce på

wget http://voipprov.netatonce.net//firmware/FG500R1_4.12NVT02.51_CFE_20150130 -U "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"

Observera att user agent måste vara

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)

Officiell firmware från Inteno för FG500 och XG6846

FG500R1_4.12ITT02.27_CFE_20131217

XG6846_4.12ITT01.69_20150430

Packa upp firmware

Börja med att packa upp filen

sudo binwalk -eM FG500R1_4.12NVT02.51_CFE_20150130

Använd sudo för att behålla filrättigheterna. Output ser ut liknande detta:

Scan Time:     2016-04-28 14:19:46
Target File:   /home/josefk/dokument/dokument/Fiber/Firmware/firmware_nao/FG500R1_4.12NVT02.51_CFE_20150130
MD5 Checksum:  d8670db5807bdf30cac866117c9aed1b
Signatures:    344

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             Broadcom 96345 firmware header, header size: 256, firmware version: "6", board id: "6816PVWM", ~CRC32 header checksum: 0x467BEAF2, ~CRC32 data checksum: 0xFADC8FBF
13492         0x34B4          LZMA compressed data, properties: 0x6D, dictionary size: 4194304 bytes, uncompressed size: 234432 bytes
62496         0xF420          Squashfs filesystem, little endian, non-standard signature, version 4.0, compression:gzip, size: 8960133 bytes, 806 inodes, blocksize: 65536 bytes, created: 2015-01-30 10:24:35
9024556       0x89B42C        LZMA compressed data, properties: 0x6D, dictionary size: 4194304 bytes, uncompressed size: 4072704 bytes

Scan Time:     2016-04-28 14:19:50
Target File:   /home/josefk/dokument/dokument/Fiber/Firmware/firmware_nao/_FG500R1_4.12NVT02.51_CFE_20150130.extracted/34B4
MD5 Checksum:  a9fb2994cb1218c51652f14662b0c79b
Signatures:    344

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
16            0x10            CFE boot loader
213044        0x34034         Copyright string: "Copyright (C) 2000-2011 Broadcom Corporation."
214604        0x3464C         HTML document header
214739        0x346D3         HTML document footer
220208        0x35C30         CRC32 polynomial table, big endian
230680        0x38518         HTML document header
232203        0x38B0B         HTML document footer
232216        0x38B18         HTML document header
233870        0x3918E         HTML document footer

Scan Time:     2016-04-28 14:19:50
Target File:   /home/josefk/dokument/dokument/Fiber/Firmware/firmware_nao/_FG500R1_4.12NVT02.51_CFE_20150130.extracted/89B42C
MD5 Checksum:  e4f9364545b0a28a376dd711987a51f2
Signatures:    344

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
2087616       0x1FDAC0        Certificate in DER format (x509 v3), header length: 4, sequence length: 4
3149840       0x301010        Linux kernel version "2.6.30 (chris_chiu@cs1) (gcc version 4.4.2 (Buildroot 2010.02-git) ) #1 SMP PREEMPT Fri Jan 30 18:18:55 CST 2015"
3245424       0x318570        CRC32 polynomial table, little endian
3261388       0x31C3CC        CRC32 polynomial table, big endian
3593071       0x36D36F        Unix path: /S70/S75/505V/F505/F707/F717/P8
3606380       0x37076C        Unix path: /home/chris_chiu/bcm963xx_4.12L.08_src/bcmdrivers/opensource/char/spudd/bcm96816/spuipsec.c
3635424       0x3778E0        Neighborly text, "NeighborSolicitsipv6 ah init: can't add xfrm type"
3635444       0x3778F4        Neighborly text, "NeighborAdvertisementsadd xfrm type"
3637959       0x3782C7        Neighborly text, "neighbor %.2x%.2x.%.2x:%.2x:%.2x:%.2x:%.2x:%.2x lost on port %d(%s)(%s)"

Gå in i den skapade mappen, där skall följande filer finnas

Filerna består av Broadcom's bootloader, Linux-kärna samt root-filsystemet. Det som är intressant är root-filsystemet i squashfs-root. Om inte binwalk lyckas packa upp det korrekt, får man använda firmware-mod-kit.

/usr/bin/fmk/unsquashfs_all.sh F420.squashfs

Undersöka filsystemet

Få fram default admin password, som gäller vid hårdvarureset:

  cat squashfs-root/etc/default.cfg | grep Admin | sed -n 's:.*<AdminPassword>\(.*\)</AdminPassword>.*:\1:p' | base64 -d ; echo

Ger för denna firmware svaret, det är avkodat från base64, är det blankt så gäller admin/admin:

  uKwu4ptq9vWbZtVp

Få fram default support password, på denna firmware är det samma som för admin, om det är blankt gäller support/support:

  cat squashfs-root/etc/default.cfg | grep Support | sed -n 's:.*<SupportPassword>\(.*\)</SupportPassword>.*:\1:p' | base64 -d ; echo

Motsvarande gäller för user password, normalt blankt så då gäller user/user:

  cat squashfs-root/etc/default.cfg | grep User | sed -n 's:.*<UserPassword>\(.*\)</UserPassword>.*:\1:p' | base64 -d ; echo

Kolla user-agent som används för att ladda ner uppdateringar och config-filer:

  strings squashfs-root/bin/xmlprov | grep User-Agent

Vilket bör ge svaret:

  User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)

Få fram URL för configfiler:

  cat squashfs-root/etc/default.cfg | grep X_XAVI_COM_XmlprovTftpUrl | sed -n 's:.*<X_XAVI_COM_XmlprovTftpUrl>\(.*\)</X_XAVI_COM_XmlprovTftpUrl>.*:\1:p'

Bör ge svaret:

  voipprov.netatonce.net,/$MAC$.enc

Få fram ACL (vilka ip-nr som kan ansluta web-interface):

  cat squashfs-root/etc/default.cfg  | grep -e AccAddr -e AccNet | sed -e 's/<[^>]*>//g' | sed -e 's/[[:space:]]*$//' | sed -e 's/^[[:space:]]*//' | awk 'NR%2{printf "%s / ",$0;next;}1'

Bör ge svaret:

  10.1.0.0 / 255.255.0.0
  192.168.1.0 / 255.255.255.0
  85.195.63.0 / 255.255.255.0
  217.10.96.0 / 255.255.255.0

I katalogen webs ligger alla dokument för web-servern.

(cc) Daniel Vindevåg, daniel-at-vindevag-dot-com

This work is licensed under a Creative Commons Attribution 4.0 International License.