Extracción de firmware LiveBox 2.1 Arcadyan ARV7520CW22

Material wifi y otros tipos de hardware El taller
1

Como continuación al hilo abierto hace unos días algoritmo wps livebox 2.1 y 2.2 orange arcadyan,
he empezado con los primeros intentos para la extracción del firmware del router. Se trata de un ARV7520CW22-A-LT de Arcadian, cuya dirección MAC empieza por 5C:DC:96.

[center][/center]

He localizado el puerto JTAG con la información de la wiki de OpenWrt que aunque está referida al modelo ARV7519 he comprobado que coincide con la de este modelo.

[center][/center]

Para conectarme al puerto serie del JTAG he utilizado un adaptador USB a TTL, de los que se emplean para programar los Arduino, entre otros. Es importante que sea TTL(5V) y no RS232(12V) por que el puerto JTAG emplea niveles de 5V para la comunicación. Tambien es importante si se emplea este tipo de adaptadores el no conectar el pin VCC del JTAG al adaptador pues podriamos dañar el router.

[center][/center]

Basicamente lo que va a hacer este adaptador es crear un puerto serie en nuestro sistema, con el que podremos iniciar sesión mediante un terminal.

[center][/center]

Para la extracción del firmware he estado siguiendo este hilo de seguridadwireless y que tambien está referido al modelo ARV7519.

El problema con el que me he encontrado es que no consigo entrar en el modo administrador; He pulsado la barra espaciadora tres veces y he escrito el password, como indican, pero el router continua con el proceso de carga y configuración y no sucede nada especial. Aunque he leído varias partes sueltas del hilo, este es muy extenso y no he conseguido sacar en claro mucho más de lo que aquí he puesto.

De momento no consigo pasar de aquí. No se si es necesario puentear los pines de la memoria, como indican en otras partes del hilo, o eso solo es necesario para cargar el firmware nuevo. Tampoco lo tengo conectado a la linea ADSL y no tiene acceso a internet, aunque esto supongo que da igual.

Por hoy me rindo, a ver si mañana se me ocurre algo más por que hoy estoy bloqueado. si alguien tiene el proceso más claro que yo a ver si puede orientarme un poco.

2

A mi me parece que en un día has dado un enorme paso de gigante por adelante.:smiley:
Te felicito :slight_smile: livebox play b/g/n 300 Mbps

3

Creo que ya se cual es el problema. Fijaros en el volcado de la consola de los modelos ARV7519:

[code]ROM VER: 1.
ROM VER: 1.0.5
CFG 01
Tuning DDR begin
DDR Access auto data-eye tuning Rev 0.3a
DDR size from 0xa0000000 - 0xa7ffffff
DDR check ok… start booting…

=======================================================================
Wireless ADSL IAD VR9 Loader v0.70.01 build Mar 26 2012 13:36:53
Arcadyan Technology Corporation

A1x VR9
0xbe22ff1c : 70240000
0xBf203014 : 70240000
MXIC MX29GL256EL top boot 16-bit mode found

Copying boot params…DONE

Enter command mode …
Get Primary to 0…
Image Check from FLASH_AREA_IMAGE_0 : Passed.

Unzipping firmware at 0x80002000 … with AREA[1][ZIP 3] [ZIP 1] done
Ready to run firmware[/code]

El procedimiento de pulsar la barra espaciadora y entrar el password debe realizarse nada más salir el mensaje Enter command mode y tenemos entonces unos 3 segundos para hacerlo.

Fijaros ahora en el volcado de memoria del los modelos ARV7520:

[code]ROM VER: 1.1.4
CFG 06
NAND
NAND Read OK
DDR PARAM flash addr 1700000
DDR PARAM:
88888888
001a2520
001a2320
00566501
00566501
00000600

DDR autotuning Rev 1.0
DDR check ok… start booting…

END TUNE DDR
Start booting…

=======================================================================
Wireless ADSL IAD VR9 Loader v2.01.07 build Oct 22 2014 16:13:17
Arcadyan Technology Corporation

Init…
Get Primary to 0…Image Check from FLASH_AREA_IMAGE_0 :
Unzipping firmware at 0x80002000 … with nAREA[1][ZIP 3] [ZIP 1] done
Ready to run firmware[/code]

Es diferente al anterior y en este no se muestra la cadena para entrar en el modo de comandos. Por lo que he de concluir que el procedimiento descrito para los modelos ARV7519 no es valido para los ARV7520. Habrá que buscar otra forma, tampoco ha funcionado mediante TFTP.

Otra diferencia con respecto a los ARV7519 es que en este el interface web de administración del router es mucho más completo y trae disponible la opción de actualizar el firmware a traves de internet.

https://s26.postimg.org/quudyrcqh/Live_Box_Web_Update.png

Al hacerlo se muestra esto en la consola del terminal:

>>>>>>>>> CGI:/www/cgi-bin/tr69_upgrade.exe timeout:150 [CGI] send TR69 INFORM with RequestDownload Event to ACS

4

Ya… ¡Que lastima!
A lo mejor hay un password master que usan todos los técnicos de orange, algo tiene que haber… a ver si encuentro huella.
Con el pedazo de trabajo que te has pegado, todo soldado y todo…
Debes tener un pulso de primera… ¡Vaya curo!
Pensaba que la livebox iba a tener “picos” pero na’ de na’… O sea has tenido que soldar todo en la placa… ¡Dios mio!
Debemos encontrar una forma, por respeto hacía tu obra al estilo Mac Guyver,
Pregunta tonta, es que yo no soy mac guyver, ¿Empleaste hilos de cobres de 0,5mm para circuito luz para conectar el adaptador a la placa?

[quote]Al hacerlo se muestra esto en la consola del terminal:

>>>>>>>>> CGI:/www/cgi-bin/tr69_upgrade.exe timeout:150 [CGI] send TR69 INFORM with RequestDownload Event to ACS[/quote]
El TR069 es para que el ISP pueda configurar remotamente tu router o que tu puedas hacer algo como un upgrade…
Mirra que raro es el firmware este que usa un “exe” para levar esta tarea… nunca lo había visto.
Supongo que sin ser de alta no te deja… pero por probar…
¿Intentaste conectar tu puerto WLAN de la livebox a un puerto ETH de tu router y intentar el upodate?
A lo mejor basta… dicen en la wiki que muchos PA y ISP tienen el TR069 mal configurado, no de forma completa, a lo mejor…
Esa lo uncio que se me ocure de momento, voy a investigar este tema después de comer, volveré por aquí.
Sino, pues, tendré la mia, es la ARV7519, por medio julio
No se… Visto mis habilidades, no se si no es mejor que te la mandé por correo… ¡Venga! Con mis dos huevos, a soldar y a trabajar, te tengo para guiarme, no voy a hacer mi llorica…

¿Has visto este script para determinar el baudarte y este tema para configurar putty para conectarse al puerto serial Setup Serial Console Connection using PuTTy?
No se si tiene sentido, pero por probar…
hasta luego

5

Exactamente. No tiene mayor dificultad, los puntos de soldadura vienen a pelo como en la mayoría de los casos, pensé en ponerle unos pines pero al fin y al cabo he pasado menos trabajo.

No lo he intentado de momento porque quería recuperar antes la versión actual de firmware y con suerte recuperarla de nuevo tras el upgrade, así tendriamos dos versiones diferentes. Todo ello suponiendo que no esté actualizado ya a la ultima versión.

No lo he dicho antes, perdonad, los parametros de comunicación son (115200, 8, N, 1), esto lo tengo claro por que si no no saldría nada legible en el terminal.

Eso pienso yo tambien pero va a haber que investigar un poco más, no está facil con la poca info que he visto por la red.

6

error mio, si no no hubiera salido nada :smiley: :rolleyes:
Pero así los tenemos y si alguien quiere/puede probar de su lado, pues no tendrá dudas…

Los de orange son conocidos por ser especializados en capar los firmwares y no querer dejar a los usuarios tomar el control de su dispositivo… es “politica” de la casa con sus livebox, en Francia es igual… voy a buscar un eventual pasword, a lo mejor usando el por defecto del source… no he cenado aún, me pondré en ello después la cena.

7

le he estado dando vueltas y creo que si se desconecta el livebox 2.1 de internet y se conecta a un pc (por wan) y se pone la ip de los servidores de orange o se usa un emulador de servidores orange TR-069 se podria instalar un firmware
¿hay algun emulador por ahi de TR-069 o solo bastaria con poner una ip de orange y pasarle el firmware por tftp, ftp o web?

8

Siguiendo los pasos de este hilo, he conseguido acceder a la consola debug del router.

Para el Arcadyan ARV7519RW22, en el siguiente link se detalla como uno puedo modificar parametros de configuración del router mediante la opción de restaturar configuracion.

http://tecnicaquilmes.fullblog.com.ar/analizando-el-livebox-21-de-orange.html

Este metodo sirve (sorprendentemente) tambien para el ARV7520CW22. En link anterior se indica que cambiando la variable uart_rx_enabled de 0 a 1, se tiene acceso a la consola debug del router a traves del puerto UART.

Teniendo la variable uart_rx_enabled activada solamente hay que apretar ‘)’. Lo he probado en mi router y funciona. No se si servira para extraer el firmware pero es un primer paso. Yo simplemente estoy buscando los datos SIP, si alguien sabe como encontrarlos en la consola debug, me hace un favor porque yo de momento no he sido capaz.

Saludos.

9

¿A cual de los dos te refieres, al ARV7519 o al ARV7520?.

Sobre los datos del ISP pudes hechar un ojo aqui https://lafibra.info/index.php/topic,237.0.html?PHPSESSID=0met6b0apq31m8k390u51ninl4

10

Al ARV7520, evidentemente.

Para el ARV7520, no hay ningun metodo para extraer el SIP. El metodo que comentas, y este otro:

https://lafibra.info/index.php/topic,291.0.html

solo funcionan para el ARV7519.

Saludos.

11

Estoy sorprendido, en los primeros post expliqué que no habia podido acceder a la consola de comandos en modo administrador, por el procedimiento de pulsar la barra espaciadora y entrar el password; Llegué a la conclusión de que el proceso es diferente para estos modelos. ¿Tu como lo has hecho?, entiendo que para poder modificar la uart_rx has tenido que acceder a ese modo, ¿Podrias describir los pasos?. Gracias.

12

Sin problema.

Primero, la linea de comandos y la consola debug son cosas distintas. Con este metodo, de momento, no es posible acceder a la linea de comandos.

Para acceder a la consola debug, hay que seguir ‘basicamente’ los pasos de este post:

https://lafibra.info/index.php/topic,291.0.html

pero en vez de activar la variable ‘enable_voip_config’ hay que activar ‘uart_rx_enabled’. Los pasos son los mismos.

Una vez hecho esto, simplemente hay que conectarse al router por el puerto de serie como ya indicas en este post. Si todo se ha hecho correctamente, una vez cargado el firmware, el router responde a cualquier input del teclado con:

https://image.ibb.co/cYO1nQ/Screen_Shot_2017_08_22_at_21_40_27.png

Como shift-0 es ‘)’ en el teclado americano, pulsando ‘)’ uno entra a la consola debug:

https://image.ibb.co/jSMRMk/Screen_Shot_2017_08_22_at_21_42_41.png

Si hay cualquier duda, decirmelo.

Saludos.

13

Tiene sentido, no se me habia ocurrido y he de probar una cosa.
Muy buena idea, me gusta la forma en que piensas :wink:
Gracias !!

14

Buenos días…
Me encuentro en la misma situación que vosotros, necesito los datos SIP y tengo este router, pero el método que estoy intentando implementar es diferente. Si tenéis un HUB (no sirve un Switch) la idea es conectar ONT,Router y PC al hub y sniffar todo el tráfico. De esa manera teóricamente y si no estoy equivocado podríamos capturar el tráfico SIP y hallar los datos que nos interesan, que tengo entendido que van encriptados en MD5, pero teniendo en cuenta que se sabe el patrón de gran parte de los datos seria un tema de pocas horas crackearlo.

Un saludo y si alguno teneis un HUB, probadlo y ya diréis.

15

En la consola debug se pueden ver los datos (cifrados) SIP que comentas cuando realizas una llamada. Por lo que he podido comprobar, de los datos SIP

SIP.AuthUserName
SIP.AuthPassword = ???
SIP.URI
SIP.ProxyServer
Proxy

puedes verlos todos exceptuando el password que supongo que tambien se puede ver, pero cifrado. Que opciones tenemos para descifrar el password?

Saludos.

16

Pues por lo que he podido leer aquí el formato seria el siguiente, y cito textualmente lo que se dice en el post al que hago referencia

[quote]Es mas o menos sencillo crear reglas de ataque. Tened en cuenta que el AuthUserName sabemos que todos acaban en “@sip.orange.es” y que “SKxxxxxxxxxxxxxxx@sip.orange.es” empiezan por “SK” y que el resto son números y letras mayúsculas.
No decir ya de la “AuthPassword” que todo son solo letras mayúsculas y números. La dificultad de todo esto radica en que son mas de 8 caracteres y que por fuerza bruta… [/quote]

Un ejemplo que cita un usuario en el mismo hilo :

[quote]AuthUserName…
SKGMHRKGKK3A5A2A3@sip.orange.es
AuthPassword
C5133F1B30573A56[/quote]

Por lo que hablan con un i5 es questión de unas 5 o 6 horas sacar los datos por fuerza bruta

17

El AthUserName

“SKxxxxxxxxxxxxxxx@sip.orange.es”

se puede sacar de la consola debug. Pero no veo factible hacer un ataque por fuerza bruta al password, suponiendo que es como el del ejemplo estamos hablando de 16^16 posibilidades, lo cual es impracticable.

Saludos.

18

Me gustan muchos unos temas de esto foro “la fibra”, hacen unos muy buenos estudios.

crackear en 5 horas?

AuthUserName... SKGMHRKGKK3A5A2A3@sip.orange.es AuthPassword C5133F1B30573A56
Por fuerza bruta ni con la mejor de las tarjetas
36¹³ posibilidades para el user y 16¹⁶ para el pass
Esto no se hace por fueza bruta (la velocidad de crack md5 es comparable a la del crack wifi)
Debéis encontrar un patrón que reduce las posibilidades.
Esto si que parece factible,
El nivel de entropia parece ser muy flojo para la creación del user.
User y pass están muy probablemente relacionados, se ve ya una coincidencia algo llamativa… No os parece?

Las probabilidades de tener una “suite” de tres caracteres similares en un sistema con un buen nivel de entropia son muuuuuuuuy pocas…

19

[quote=kcdtv]Me gustan muchos unos temas de esto foro “la fibra”, hacen unos muy buenos estudios.

crackear en 5 horas?

AuthUserName... SKGMHRKGKK3A5A2A3@sip.orange.es AuthPassword C5133F1B30573A56
Por fuerza bruta ni con la mejor de las tarjetas
36¹³ posibilidades para el user y 16¹⁶ para el pass
Esto no se hace por fueza bruta (la velocidad de crack md5 es comparable a la del crack wifi)
Debéis encontrar un patrón que reduce las posibilidades.
Esto si que parece factible,
El nivel de entropia parece ser muy flojo para la creación del user.
User y pass están muy probablemente relacionados, se ve ya una coincidencia algo llamativa… No os parece?

Las probabilidades de tener una “suite” de tres caracteres similares en un sistema con un buen nivel de entropia son muuuuuuuuy pocas…[/quote]

Nada, de 5 horas nada… Yo me lié con otro post similar sobre Jazztel, o eso creo, desde luego he vuelto a leer el hilo al que hago referencia en el post anterior y de 5h nada de nada… mea culpa :rolleyes:

20

esto son los tipo de hilo que me encanta leer, donde se encuentra a mas gentes estudiando y debatiendo esto tema es una delicia leeros a vosotros.
lastima que yo ya no tengo esto materiale donde sacar el firmwares, los hacia ante en la epoca de los decodificadores pero vendir todos el materia,. ya no tengo ni un simple jtag para esto. dudo que pueda colabora en este tema de extraccion de firmwares sin la herramienta adecuada salvo mira el firmwares descompilador por otros y aun asi estaria limitado.

los que estay debatiendo es muy interesante y hablais perfectamente bien de los que se esta haciendo. mas gentes asi sin duda se llegar a muy bueno trabajo.

saludo peña

editor : parece que el link a que hablais apunta tambien a este que no se si es el origina de la fuerte

https://kriptocode.blogspot.com.es/2015/06/analizando-livebox.html