Extracción de firmware LiveBox 2.1 Arcadyan ARV7520CW22

Patcher · 15-06-2016 21:03:12

Como continuación al hilo abierto hace unos días algoritmo wps livebox 2.1 y 2.2 orange arcadyan,
he empezado con los primeros intentos para la extracción del firmware del router. Se trata de un ARV7520CW22-A-LT de Arcadian, cuya dirección MAC empieza por 5C:DC:96.

He localizado el puerto JTAG con la información de la wiki de OpenWrt que aunque está referida al modelo ARV7519 he comprobado que coincide con la de este modelo.

Para conectarme al puerto serie del JTAG he utilizado un adaptador USB a TTL, de los que se emplean para programar los Arduino, entre otros. Es importante que sea TTL(5V) y no RS232(12V) por que el puerto JTAG emplea niveles de 5V para la comunicación. Tambien es importante si se emplea este tipo de adaptadores el no conectar el pin VCC del JTAG al adaptador pues podriamos dañar el router.

Basicamente lo que va a hacer este adaptador es crear un puerto serie en nuestro sistema, con el que podremos iniciar sesión mediante un terminal.

Terminal

Para la extracción del firmware he estado siguiendo este hilo de seguridadwireless y que tambien está referido al modelo ARV7519.

El problema con el que me he encontrado es que no consigo entrar en el modo administrador; He pulsado la barra espaciadora tres veces y he escrito el password, como indican, pero el router continua con el proceso de carga y configuración y no sucede nada especial. Aunque he leído varias partes sueltas del hilo, este es muy extenso y no he conseguido sacar en claro mucho más de lo que aquí he puesto.

De momento no consigo pasar de aquí. No se si es necesario puentear los pines de la memoria, como indican en otras partes del hilo, o eso solo es necesario para cargar el firmware nuevo. Tampoco lo tengo conectado a la linea ADSL y no tiene acceso a internet, aunque esto supongo que da igual.

Por hoy me rindo, a ver si mañana se me ocurre algo más por que hoy estoy bloqueado. si alguien tiene el proceso más claro que yo a ver si puede orientarme un poco.

Ultima edición por Patcher (05-07-2018 12:32:53)

kcdtv · 16-06-2016 00:49:01

A mi me parece que en un día has dado un enorme paso de gigante por adelante.:D
Te felicito smile livebox play b/g/n 300 Mbps

Patcher · 16-06-2016 16:52:27

Creo que ya se cual es el problema. Fijaros en el volcado de la consola de los modelos ARV7519:

ROM VER: 1.
ROM VER: 1.0.5
CFG 01
Tuning DDR begin
DDR Access auto data-eye tuning Rev 0.3a
DDR size from 0xa0000000 - 0xa7ffffff
DDR check ok... start booting...

=======================================================================
Wireless ADSL IAD VR9 Loader v0.70.01 build Mar 26 2012 13:36:53
                    Arcadyan Technology Corporation
=======================================================================
A1x VR9
0xbe22ff1c : 70240000
0xBf203014 : 70240000
MXIC MX29GL256EL top boot 16-bit mode found

Copying boot params.....DONE

Enter command mode ...
Get Primary to 0.....
Image Check from FLASH_AREA_IMAGE_0 : Passed.

Unzipping firmware at 0x80002000 ... with AREA[1][ZIP 3] [ZIP 1]  done
Ready to run firmware

El procedimiento de pulsar la barra espaciadora y entrar el password debe realizarse nada más salir el mensaje Enter command mode y tenemos entonces unos 3 segundos para hacerlo.

Fijaros ahora en el volcado de memoria del los modelos ARV7520:

ROM VER: 1.1.4
CFG 06
NAND
NAND Read OK
DDR PARAM flash addr 1700000
DDR PARAM:
88888888
001a2520
001a2320
00566501
00566501
00000600

DDR autotuning Rev 1.0
DDR check ok... start booting...

END TUNE DDR
Start booting...........

=======================================================================
Wireless ADSL IAD VR9 Loader v2.01.07 build Oct 22 2014 16:13:17
                    Arcadyan Technology Corporation
=======================================================================

Init......
Get Primary to 0.....Image Check from FLASH_AREA_IMAGE_0 :
Unzipping firmware at 0x80002000 ... with nAREA[1][ZIP 3] [ZIP 1]  done
Ready to run firmware

Es diferente al anterior y en este no se muestra la cadena para entrar en el modo de comandos. Por lo que he de concluir que el procedimiento descrito para los modelos ARV7519 no es valido para los ARV7520. Habrá que buscar otra forma, tampoco ha funcionado mediante TFTP.

Otra diferencia con respecto a los ARV7519 es que en este el interface web de administración del router es mucho más completo y trae disponible la opción de actualizar el firmware a traves de internet.

Al hacerlo se muestra esto en la consola del terminal:

>>>>>>>>>  CGI:/www/cgi-bin/tr69_upgrade.exe timeout:150
[CGI] send TR69 INFORM with RequestDownload Event to ACS

Ultima edición por Patcher (16-06-2016 17:04:01)

kcdtv · 16-06-2016 19:35:46

Ya... ¡Que lastima!
A lo mejor hay un password master que usan todos los técnicos de orange, algo tiene que haber.... a ver si encuentro huella.
Con el pedazo de trabajo que te has pegado, todo soldado y todo...
Debes tener un pulso de primera... ¡Vaya curo!
Pensaba que la livebox iba a tener "picos" pero na' de na'... O sea has tenido que soldar todo en la placa... ¡Dios mio!
Debemos encontrar una forma, por respeto hacía tu obra al estilo Mac Guyver,
Pregunta tonta, es que yo no soy mac guyver, ¿Empleaste hilos de cobres de 0,5mm para circuito luz para conectar el adaptador a la placa?

Al hacerlo se muestra esto en la consola del terminal:
>>>>>>>>>  CGI:/www/cgi-bin/tr69_upgrade.exe timeout:150
[CGI] send TR69 INFORM with RequestDownload Event to ACS

El TR069 es para que el ISP pueda configurar remotamente tu router o que tu puedas hacer algo como un upgrade...
Mirra que raro es el firmware este que usa un "exe" para levar esta tarea... nunca lo había visto.
Supongo que sin ser de alta no te deja... pero por probar...
¿Intentaste conectar tu puerto WLAN de la livebox a un puerto ETH de tu router y intentar el upodate?
A lo mejor basta... dicen en la wiki que muchos PA y ISP tienen el TR069 mal configurado, no de forma completa, a lo mejor....
Esa lo uncio que se me ocure de momento, voy a investigar este tema después de comer, volveré por aquí.
Sino, pues, tendré la mia, es la ARV7519, por medio julio
No se... Visto mis habilidades, no se si no es mejor que te la mandé por correo... ¡Venga! Con mis dos huevos, a soldar y a trabajar, te tengo para guiarme, no voy a hacer mi llorica...

tampoco ha funcionado mediante TFTP.

¿Has visto este script para determinar el baudarte y este tema para configurar putty para conectarse al puerto serial Setup Serial Console Connection using PuTTy?
No se si tiene sentido, pero por probar...
hasta luego

Patcher · 16-06-2016 20:02:20

kcdtv escribió:

¿Empleaste hilos de cobres de 0,5mm para circuito luz para conectar el adaptador a la placa?

Exactamente. No tiene mayor dificultad, los puntos de soldadura vienen a pelo como en la mayoría de los casos, pensé en ponerle unos pines pero al fin y al cabo he pasado menos trabajo.

kcdtv escribió:

¿Intentaste conectar tu puerto WLAN de la livebox a un puerto ETH de tu router y intentar el upodate?

No lo he intentado de momento porque quería recuperar antes la versión actual de firmware y con suerte recuperarla de nuevo tras el upgrade, así tendriamos dos versiones diferentes. Todo ello suponiendo que no esté actualizado ya a la ultima versión.

kcdtv escribió:

¿Has visto este script para determinar el baudarte y este tema para configurar putty para conectarse al puerto serial Setup Serial Console Connection using PuTTy?

No lo he dicho antes, perdonad, los parametros de comunicación son (115200, 8, N, 1), esto lo tengo claro por que si no no saldría nada legible en el terminal.

kcdtv escribió:

A lo mejor hay un password master que usan todos los técnicos de orange, algo tiene que haber.

Eso pienso yo tambien pero va a haber que investigar un poco más, no está facil con la poca info que he visto por la red.

kcdtv · 16-06-2016 20:51:01

No lo he dicho antes, perdonad, los parametros de comunicación son (115200, 8, N, 1), esto lo tengo claro por que si no no saldría nada legible en el terminal.

error mio, si no no hubiera salido nada big_smile roll
Pero así los tenemos y si alguien quiere/puede probar de su lado, pues no tendrá dudas...

no está facil con la poca info que he visto por la red.

Los de orange son conocidos por ser especializados en capar los firmwares y no querer dejar a los usuarios tomar el control de su dispositivo... es "politica" de la casa con sus livebox, en Francia es igual... voy a buscar un eventual pasword, a lo mejor usando el por defecto del source... no he cenado aún, me pondré en ello después la cena.

calavazo32 · 24-03-2017 20:28:52

le he estado dando vueltas y creo que si se desconecta el livebox 2.1 de internet y se conecta a un pc (por wan) y se pone la ip de los servidores de orange o se usa un emulador de servidores orange TR-069 se podria instalar un firmware
¿hay algun emulador por ahi de TR-069 o solo bastaria con poner una ip de orange y pasarle el firmware por tftp, ftp o web?

mellon · 22-08-2017 15:17:07

Siguiendo los pasos de este hilo, he conseguido acceder a la consola debug del router.

Para el Arcadyan ARV7519RW22, en el siguiente link se detalla como uno puedo modificar parametros de configuración del router mediante la opción de restaturar configuracion.

http://tecnicaquilmes.fullblog.com.ar/a … range.html

Este metodo sirve (sorprendentemente) tambien para el ARV7520CW22. En link anterior se indica que cambiando la variable uart_rx_enabled de 0 a 1, se tiene acceso a la consola debug del router a traves del puerto UART.

Teniendo la variable uart_rx_enabled activada solamente hay que apretar ')'. Lo he probado en mi router y funciona. No se si servira para extraer el firmware pero es un primer paso. Yo simplemente estoy buscando los datos SIP, si alguien sabe como encontrarlos en la consola debug, me hace un favor porque yo de momento no he sido capaz.

Saludos.

Patcher · 22-08-2017 18:20:56

mellon escribió:

Lo he probado en mi router y funciona

¿A cual de los dos te refieres, al ARV7519 o al ARV7520?.

Sobre los datos del ISP pudes hechar un ojo aqui https://lafibra.info/index.php/topic,23 … 90u51ninl4

mellon · 22-08-2017 19:06:19

Al ARV7520, evidentemente.

Para el ARV7520, no hay ningun metodo para extraer el SIP. El metodo que comentas, y este otro:

https://lafibra.info/index.php/topic,291.0.html

solo funcionan para el ARV7519.

Saludos.

Patcher · 22-08-2017 19:40:29

mellon escribió:

Al ARV7520, evidentemente.

Estoy sorprendido, en los primeros post expliqué que no habia podido acceder a la consola de comandos en modo administrador, por el procedimiento de pulsar la barra espaciadora y entrar el password; Llegué a la conclusión de que el proceso es diferente para estos modelos. ¿Tu como lo has hecho?, entiendo que para poder modificar la uart_rx has tenido que acceder a ese modo, ¿Podrias describir los pasos?. Gracias.

mellon · 22-08-2017 20:49:11

Sin problema.

Primero, la linea de comandos y la consola debug son cosas distintas. Con este metodo, de momento, no es posible acceder a la linea de comandos.

Para acceder a la consola debug, hay que seguir 'basicamente' los pasos de este post:

https://lafibra.info/index.php/topic,291.0.html

pero en vez de activar la variable 'enable_voip_config' hay que activar 'uart_rx_enabled'. Los pasos son los mismos.

Una vez hecho esto, simplemente hay que conectarse al router por el puerto de serie como ya indicas en este post. Si todo se ha hecho correctamente, una vez cargado el firmware, el router responde a cualquier input del teclado con:

Como shift-0 es ')' en el teclado americano, pulsando ')' uno entra a la consola debug:

Si hay cualquier duda, decirmelo.

Saludos.

Patcher · 22-08-2017 20:58:39

Tiene sentido, no se me habia ocurrido y he de probar una cosa.
Muy buena idea, me gusta la forma en que piensas wink
Gracias !!

Ultima edición por Patcher (22-08-2017 21:17:34)

5.1 · 23-08-2017 08:47:28

Buenos días...
Me encuentro en la misma situación que vosotros, necesito los datos SIP y tengo este router, pero el método que estoy intentando implementar es diferente. Si tenéis un HUB (no sirve un Switch) la idea es conectar ONT,Router y PC al hub y sniffar todo el tráfico. De esa manera teóricamente y si no estoy equivocado podríamos capturar el tráfico SIP y hallar los datos que nos interesan, que tengo entendido que van encriptados en MD5, pero teniendo en cuenta que se sabe el patrón de gran parte de los datos seria un tema de pocas horas crackearlo.

Un saludo y si alguno teneis un HUB, probadlo y ya diréis.

mellon · 23-08-2017 09:53:14

En la consola debug se pueden ver los datos (cifrados) SIP que comentas cuando realizas una llamada. Por lo que he podido comprobar, de los datos SIP

SIP.AuthUserName
SIP.AuthPassword = ???
SIP.URI
SIP.ProxyServer
Proxy

puedes verlos todos exceptuando el password que supongo que tambien se puede ver, pero cifrado. Que opciones tenemos para descifrar el password?

Saludos.

5.1 · 23-08-2017 10:35:46

Pues por lo que he podido leer aquí el formato seria el siguiente, y cito textualmente lo que se dice en el post al que hago referencia

Es mas o menos sencillo crear reglas de ataque. Tened en cuenta que el AuthUserName sabemos que todos acaban en "@sip.orange.es" y que "SKxxxxxxxxxxxxxxx@sip.orange.es" empiezan por "SK" y que el resto son números y letras mayúsculas.
No decir ya de la "AuthPassword" que todo son solo letras mayúsculas y números. La dificultad de todo esto radica en que son mas de 8 caracteres y que por fuerza bruta....

Un ejemplo que cita un usuario en el mismo hilo :

AuthUserName...
SKGMHRKGKK3A5A2A3@sip.orange.es
AuthPassword
C5133F1B30573A56

Por lo que hablan con un i5 es questión de unas 5 o 6 horas sacar los datos por fuerza bruta

mellon · 23-08-2017 11:01:57

El AthUserName

"SKxxxxxxxxxxxxxxx@sip.orange.es"

se puede sacar de la consola debug. Pero no veo factible hacer un ataque por fuerza bruta al password, suponiendo que es como el del ejemplo estamos hablando de 16^16 posibilidades, lo cual es impracticable.

Saludos.

kcdtv · 23-08-2017 11:09:07

Me gustan muchos unos temas de esto foro "la fibra", hacen unos muy buenos estudios.

Por lo que hablan con un i5 es questión de unas 5 o 6 horas sacar los datos por fuerza bruta

crackear en 5 horas?

AuthUserName...
SKGMHRKGKK3A5A2A3@sip.orange.es
AuthPassword
C5133F1B30573A56

Por fuerza bruta ni con la mejor de las tarjetas
36¹³ posibilidades para el user y 16¹⁶ para el pass
Esto no se hace por fueza bruta (la velocidad de crack md5 es comparable a la del crack wifi)
Debéis encontrar un patrón que reduce las posibilidades.
Esto si que parece factible,
El nivel de entropia parece ser muy flojo para la creación del user.
User y pass están muy probablemente relacionados, se ve ya una coincidencia algo llamativa... No os parece?

3A5

Las probabilidades de tener una "suite" de tres caracteres similares en un sistema con un buen nivel de entropia son muuuuuuuuy pocas...

5.1 · 23-08-2017 13:09:21

kcdtv escribió:

Me gustan muchos unos temas de esto foro "la fibra", hacen unos muy buenos estudios.
Por lo que hablan con un i5 es questión de unas 5 o 6 horas sacar los datos por fuerza bruta
crackear en 5 horas?
AuthUserName...
SKGMHRKGKK3A5A2A3@sip.orange.es
AuthPassword
C5133F1B30573A56
Por fuerza bruta ni con la mejor de las tarjetas
36¹³ posibilidades para el user y 16¹⁶ para el pass
Esto no se hace por fueza bruta (la velocidad de crack md5 es comparable a la del crack wifi)
Debéis encontrar un patrón que reduce las posibilidades.
Esto si que parece factible,
El nivel de entropia parece ser muy flojo para la creación del user.
User y pass están muy probablemente relacionados, se ve ya una coincidencia algo llamativa... No os parece?
3A5
Las probabilidades de tener una "suite" de tres caracteres similares en un sistema con un buen nivel de entropia son muuuuuuuuy pocas...

Nada, de 5 horas nada... Yo me lié con otro post similar sobre Jazztel, o eso creo, desde luego he vuelto a leer el hilo al que hago referencia en el post anterior y de 5h nada de nada.. mea culpa roll

Betis-Jesus · 23-08-2017 16:18:23

esto son los tipo de hilo que me encanta leer, donde se encuentra a mas gentes estudiando y debatiendo esto tema es una delicia leeros a vosotros.
lastima que yo ya no tengo esto materiale donde sacar el firmwares, los hacia ante en la epoca de los decodificadores pero vendir todos el materia,. ya no tengo ni un simple jtag para esto. dudo que pueda colabora en este tema de extraccion de firmwares sin la herramienta adecuada salvo mira el firmwares descompilador por otros y aun asi estaria limitado.

los que estay debatiendo es muy interesante y hablais perfectamente bien de los que se esta haciendo. mas gentes asi sin duda se llegar a muy bueno trabajo.

saludo peña

editor : parece que el link a que hablais apunta tambien a este que no se si es el origina de la fuerte

https://kriptocode.blogspot.com.es/2015 … vebox.html

Ultima edición por Betis-Jesus (23-08-2017 17:39:51)

Patcher · 23-08-2017 21:35:42

@mellon, tengo una pregunta. ¿Porque dices que el primer metodo no funciona, el de acceder a la pagina http://192.168.1.1/cgi-bin/get?param=In … Line.1.SIP?. ¿Que sucede cuando lo haces?. ¿Has probado a cambiar la variable config_voip_enabled y acceder a la página?.

Al final es mas de una las preguntas big_smile

mellon · 23-08-2017 22:42:12

Patcher escribió:

@mellon, tengo una pregunta. ¿Porque dices que el primer metodo no funciona, el de acceder a la pagina http://192.168.1.1/cgi-bin/get?param=In … Line.1.SIP?. ¿Que sucede cuando lo haces?. ¿Has probado a cambiar la variable config_voip_enabled y acceder a la página?.
Al final es mas de una las preguntas

Tanto con el 'config_voip_enabled' activado como desactivado, la pagina da un Error 404.

5.1 · 24-08-2017 07:08:17

No sé si servirá de algo, pero echando un ojo al archivo de configuración desencriptado me encuentro con una parte llamada "Section autoUpg", con los siguientes valores:

defServerDom ----> ftpaka.arcor-ip.de
defUsername -----> Aparece el usuario en texto plano
defPassword -------> Aparece el password en texto plano
defDir --------------> fw/iad_802/

Bien, estableciendo una conexión ftp a dicho server y entrando en el directorio fw/iad_802/ se puede descargar el archivo "dsl_802_752DPW_FW_20.02.231(20110818).bin"

Me lo he descargado, accedo a la url http://192.168.1.1/system_firmwarel.stm pero al cargarlo me da un error de "wrong password"

En el ftp tambien hay versiones antiguas del firm, la idea es ver si se puede hacer un downgrade y aplicar alguno de los métodos que ya no funcionan en este router para extraer los datos que buscamos.

Patcher · 24-08-2017 08:33:22

@5.1, ten en cuenta que hay algunas cosas en el firmware que han quedado de versiones anteriores o de otros modelos, pues incluso aparecen algunas relacionadas con vodafone. Yo diría que ese fichero que te has descargado pertenece a un EasyBox 802 https://forum.vodafone.de/t5/forums/for … rue/page/1.

Cuidado con estas cosas.

Pd: Creo que he visto un poco de luz, tengo que hacer una prueba más, a ver si esta noche puedo y os digo algo.

Ultima edición por Patcher (24-08-2017 08:34:46)

kcdtv · 24-08-2017 11:03:56

mea culpa roll

Nadie es culpable por investigar y intentar hacer adelantar un tema smile

Pd: Creo que he visto un poco de luz, tengo que hacer una prueba más, a ver si esta noche puedo y os digo algo.

big_smile

Tema	Respuestas	Vistas	Ultimo mensaje
WPA2: roto con KRACK. ¿Ahora que? por Virkon [ 1 2 ]	26	7780	15-03-2023 16:57:32 por kcdtv
Pegado: Pegado:: AWITAS. Ataque a WPS con rogueAP potegido con WPA por javierbu [ 1 2 ]	34	3812	12-03-2023 18:24:22 por Guybrush92
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	436	63611	07-03-2023 12:35:27 por kcdtv
iwd;¿El demonio WiFi Linux qué lo cambiara todo? por kcdtv	0	423	23-02-2023 17:09:39 por kcdtv
Pegado: Pegado:: Base de datos WPSPIN (original) open source actualizada por kcdtv [ 1 2 3 4 5 ]	114	258653	19-02-2023 17:36:14 por chuchof

Foro Wifi-libre.com

Anuncio

#1 15-06-2016 21:03:12