[Problem] o2 HomeBox 6641 daten auslesen

[qwertz12]

Danke für den Hinweis, aber das war mir schon bekannt. Das Problem was ich aktuell habe, ist dass ich halt in meiner 7390 den Eintrag "o2 DSL" nirgendwo gesehen habe obwohl er halt in der Provider-Tar-Datei drin steht. Ich muss das noch mal auf einer recoverten Box testen, aber komisch ist das schon.
Das war eigentlich mein erster Ansatzpunkt, an die Zugangsdaten zu kommen - einfach via tr069 abschlürfen.

Naja, egal. So lange das Script funktioniert und halbwegs universelle Daten ausliefert, geht es auch ohne.

Die Grenzfälle in denen es bislang nicht klappt würde ich schon gern noch abdecken, aber da fehlen derzeit die entsprechende Rückinfo.

 

[opkjip]

Details siehe*Post #199, insbesondere meine Vermutung*
Wenn da nicht 2x die identische "Telefonnummer" und 2x identischer "Registrar" davor/danach stehen, ist eines von beiden bei dir "anders".
Ich wäre da für eine Rückmeldung dankbar, wie der Fall bei dir aussieht, damit ich das berücksichtigen kann.

Das wäre dann ein Grund für eine neue Version*

So wie ich das gelesen habe stand dort erst Tel dann Lücke PW Lücke sip.alice-voip.de Lücke registrar70.sip.alice-voip.de

Vielleicht ist die FB 7170 auch nicht mehr geeignet, werde mal andere Router testweise mit den Einstellungen füttern.

 

[qwertz12]

OK, sieht also so aus als gäbe es wirklich verschiedene Proxyserver bei den Zugangsdaten. Insofern werde ich da versuchen, den Regex im Script anzupassen und zwischen Registrar und Proxy genauer zu unterscheiden. Knifflig ist nur, dass ich dann alles (Benutzer, Passwort, Registrar, Proxy) ausgeben muss. Ist nicht soo wild, wird aber ne Weile dauern.
Sämtliche geplanten Tests sind bislang ohnehin ins Wasser gefallen, liegt an der Feiertagsstimmung

Mal sehen wann ich mich wieder aufraffen kann...

 

[bonny2go]

N'Abend!

da ich ein bisschen Zeit hatte und ich mich über den Staubfänger im Schrank geärgert habe, habe ich den Router nocheinmal hervor geholt und ein bisschen mit ihm gespielt um seine Verwendbarkeit auszuloten...
Ich kann berichten, er eignet sich prima als Staubfänger, Briefbeschwerer und Bilderrahmen, so denn man darauf verzichten kann, dass das Foto hinter eine Glasscheibe soll

Ein Nebenprodukt der Untersuchung war, dass die Serielle Console über dem hinteren USB-Port liegt und so belegt ist:
[] VCC
[] TX
[] RX
[]
[] GND

ist zwar arg fummelig, aber lässt sich alles bei gechlossener Box stecken, durch die Lüftungsschlitze hindurch.
Zugriff erfolgte durch:

screen /dev/ttyS0 115200 8N1

allerdings ist die ganze Geschichte wohl Zugriff-gesperrt, den als Ausgabe bekam ich lediglich:

HELO
CPUI
L1CI
HELO
CPUI
L1CI
DRAM
----
PHYS
STRF
400H
PHYE
DDR3
SIZ4
SIZ3
SIZ2
DINT
USYN
LSYN
MFAS
LMBE
RACE
PASS
----
ZBSS
CODE
DATA
L12F
MAIN
COMS
COME
SUCC

Aufgrund dessen habe ich ein bisschen weiter gespielt (um herauszufinden, ob die Sperre abschaltbar ist, dazu habe ich aber noch nichts gefunden) und herausgefunden, dass man durch drücken der Reset-Taste beim Start-Vorgang in ein "Update Software"-Menü auf der Web-Oberfläche kommt, wobei hier natürlich der DHCP-Server nicht mit startet und man sich manuell eine '192.168.1.X'-Adresse zuweisen muss.


Keine Ahnung, ob das jemandem hilft für einen vereinfachten oder erweiterten Dump, das uppen einer anderen Firmware, oder was auch immer, aber wollte euch dieses Wissen nicht vorenthalten.
So long ...

 

[Equalnet]

Hallo Forum,

wollte an dieser Stelle nur mal kurz meine Erfahrung bzgl. des #230 von Puscha geben. Dieser hat bei mir leider so nicht funktioniert. Hier mein Setup:

-O2 All-in M ANALOG
-Fritte 7390 mit aktuellem 06.20

Scheinbar hat qwertz12 mit seiner Vermutung recht, dass Trick nur mit VDSL-Anschlüssen funktioniert

Das Problem von qwertz12 bzgl. des Einstellens des Internetanbieters konnte ich so nicht nachvollziehen; bei mir war die Option "O2 DSL" zumindest auf Anhieb vorhanden. Hatte meine Zugangsdaten "intuitiv" in "O2 DSL" eingetragen, zur Sicherheit aber nochmal die Box resettet und dann die Anleitung von Puscha befolgt; leider ohne das gewünschte Ergebnis...

Die Freischaltung der Leitung mittels PIN hatte ich ebenfalls ursprünglich ebenfalls über die Homebox vollzogen, allerdings nicht per Telefon, sondern über die GUI der Box. Denke aber, dass das nicht der Fehler sein kann. Es wird höchstwahrscheinlich (wie qwertz12 vermutet) an der Anschlussart liegen...

...von daher werde ich mir mal die Skript-Geschichte anschauen (müssen)...

...in diesem Sinne

Guten Rutsch & beste Grüße

Equalnet

 

[Equalnet]

Servus!

Wie oben angekündigt, habe ich das Skript von qwertz12 nun ausprobiert. Allerdings bin ich am Verzweifeln! Ich bekomme einfach meine VoIP-Zugangsdaten nicht ausgespuckt...

Hier mal meine Ausgabe:

root@ubuntu:/home/ubuntu/Downloads# bash 6641-own-20141207-2.sh
Please enter the IP address or hostname of your HomeBox 2 (Zyxel 6641)
or just press enter to use the default value
Host [o2.box]: 
Please enter the registrar of your VoIP connection
or just press enter to use the default value
Registrar [sip.alice-voip.de]: 
Please enter the phone numbers to search for.
Seperate numbers with space and use the format
 	CCPPPPPPPNNNN
or
 	0PPPPPPPNNNN
(CC=Country-Code, PPPPP=Prefix, NNNN=Number)
For example: 498005900050 498005251378 08005900050 08005251378
If you are not sure, which format is correct for your account,
simply specify both formats for your phone numbers!
Phone numbers: 06123XXXXXXX 496123XXXXXXX
- trying to ping the box (o2.box)... SUCCESS
- trying to mount the box: //o2.box/DRIVE1_1... SUCCESS
- trying to create symlink (0_link_to_r00t_56608) to root directory... SUCCESS
- trying to unmount /tmp/tmp.2wn8weB7dx... SUCCESS
- trying to mount the box a second time for exploit preparation... SUCCESS
- trying to append "postexec" code... SUCCESS
- trying to create a user called "bob" with password "alice" SUCCESS
- trying to unmount /tmp/tmp.2wn8weB7dx... SUCCESS
- trying to mount the box a third time for exploit execution... SUCCESS
- trying to unmount /tmp/tmp.2wn8weB7dx... SUCCESS
- checking for open port on o2.box:23000... SUCCESS
- dumping memory from box to usb drive
  please be patient: this takes at least 62 seconds...
- trying to mount the box a fourth time to download the memory dump... SUCCESS
- trying to copy PPP username (<BOX-SERIAL>-CC5D4E@.*\.de), a failure here is OK... FAILURE
- trying to copy PPP password (your PIN)...
  If this fails, extraction of PPP data will fail! SUCCESS
- downloading the memory dump to /tmp/tmp.W4qkUISTRv... SUCCESS
- trying to unmount /tmp/tmp.2wn8weB7dx... SUCCESS
- looking for PPP username in memory dump, since I dind't get it from the box
  This may fail in a lot of cases - you may have to get the data from 
  o2's hotline instead!
- looking for phone number + registrar name in memory dump...
   - No password for 06123XXXXXXX found
   - No password for 496123XXXXXXX found

~~~~~~~~~~~~~~~~ FINISHED, RESULTS FOLLOW ~~~~~~~~~~~~~~~~

Your PPP (internet) login data is:
 	Username:	[email][email protected][/email]
 	Password:	XXX3XX9XXX

Since I've found no VoIP passwords, I'm leaving the memory dump in
/tmp/tmp.W4qkUISTRv/6441-own_memdump-5279.bin
intact for you to look into.
Since anything unter /tmp is usually a ramdisk, this should 
not have any side effects, BUT YOU WILL LOOSE THE DATA ON REBOOT!
root@ubuntu:/home/ubuntu/Downloads#

Verstehe ich hier den gesamten Thread falsch, oder wo liegt der Fehler???

Ich war früher Alice Kunde und bekam nach der Übernahme einen O2 Fun flat max analog (oder wie das Ding hieß). Das alte IAD wurde seit dem Alice-Vertrag in Kombination mit einer 7390 genutzt. Seit dem 29.12.14 habe ich eine Tarifumstellung auf einen O2 All-in M Analog. Fritte 7490 nicht bestellbar, da VDSL hier nicht vefügbar ist.... Nun bekam ich die tolle Homebox 2 alias Zyxel 6641.
Zu der Tarifumstellung habe ich neue Zugangsdaten bekommen. Diese sehen wie folgt aus:

Festnetznummer: Vorwahl/Rufnummer
Zugangspin: 10-stellige Ziffernfolge

Internet: Benutzername: [email protected]
Passwort: 10-stellige Buchstabenfolge

Der Internetzugang ist in der Fritte mittels "O2 DSL" und den entsprechenden Zugangsdaten erfolgreich hergestellt. Die Telefonie funktioniert nicht, mangels VoIP-Zugangsdaten...Stimmt's???

Also wie komme ich an die Daten ran bzw. was mache ich bei dem Skript falsch? Das was das Skript mir als Internet Password ausgibt ist eigentlich meine Telefon-Zugangspin und der Benutzername [email protected] ist doch sozusagen ein alternativer Internet-Benutzername für meinen [email protected] (für diejenigen, die ihre Internetzugangsdaten nicht von O2 direkt bekommen), ODER???? Ich stehe grad' sowas von aufm Schlauch....

Danke für Eure Geduld....

 

[Philipp_]

Hallo,

durchsuche den Memory dump (6441-own_memdump-18953.bin) auf dem USB Stick nach deiner Telefonnummer. An die Datei kommst du über den USB Port der Box (das Skript muss natürlich einmal ausgeführt worden sein, so dass ein dump überhaupt erst existiert). Also:
- USB Stick in die O2 Box stecken
- Überprüfen, ob eingebunden
- Download der Datei (ftp://192.168.1.1 im Browser eingeben)

Bei mir hat das Skript auch nicht funktioniert (nur das Auslesen der VOIP Daten), da ich dachte, dass meine Telefonnummer auf 7 endet. Tatsächlich ist aber die Nummer, die auf 9 endet hinterlegt. Es wurde also immer nach der falschen Nummer im Memory dump gesucht.

Grüße
Philipp

 

[Equalnet]

Hallo,

ok, dumme Frage....mit welchem Prog soll ich die .bin auslesen? Mit dem normalen Editor, oder mit einem Hex Editor? Was muss ich dabei einstellen? In beiden kommt irgendwie ein Buchstaben-/Zeichensalat raus....

Gruß

 

[Philipp_]

Hallo,

du lässt dir das von einem Hex Editor (oder besser einem Editor wie PSPad oder Notepad++ mit eingebautem Hex Editor) anzeigen.
Im rechten ASCII Bereich kannst du dann nach der Telefonnumer suchen.

Du solltest dann sowas wie unten finden. Das PW sind die 16 Zeichen nach der Telefonnummer.

Grüße
Philipp


016821e0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 |................|
016821f0 00 00 00 00 34 39 38 31 00 00 00 00 00 00 00 00 |....498111111111|
01682200 38 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |8...............|
01682210 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
016822a0 00 00 00 00 00 00 00 00 00 00 34 39 38 31 36 31 |..........498111|
016822b0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |1111118.........|
016822c0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
016822f0 00 00 00 00 00 00 00 00 00 00 00 60 76 33 7b 45 |...........mA33E|
01682300 61 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |aabcdefghiG.....|
01682310 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
01682330 00 00 00 00 00 00 00 00 00 00 00 00 73 69 70 2e |............sip.|
01682340 61 6c 69 63 65 2d 76 6f 69 70 2e 64 65 00 00 00 |alice-voip.de...|
01682350 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
01682380 00 00 00 00 00 00 00 00 00 00 00 00 00 73 69 70 |.............sip|
01682390 2e 61 6c 69 63 65 2d 76 6f 69 70 2e 64 65 00 00 |.alice-voip.de..|

 

[Equalnet]

Hi Philipp,

Danke für die Erklärung! Allerdings bin ich hier immer noch am verzweifeln

Habe mir das Dump-File per PSPad angeschaut... da sind einige Einträge mit meiner Tel-Nummer! Das einzige was aber Deinem Post nahe kommt ist meine Telefonnummer, gefolgt von einer 32-stelligen Buchstaben-/Zahlenkette, gefolgt von sip.alice-voip.de, gefolgt von registrar79.sip.alice-voip.de.

(Wenn Du mir verrätst, wie ich die Augabe von PSPad hier mittels c/p einfügen kann, dann mache ich es so schön wie Du ...bei mir kopiert er irgendwie nur die HEX-Stellen und nicht die ASCI-Sachen)

Jetzt habe ich versucht das in die Fritte einzugeben. Allerdings ohne Erfolg Das darf doch nicht wahr sein....

Hiiiiiiiilffeeeee........

Wie und wo genau bzw. was wird wo in der Fritte eingetragen??....Nachdem ich das DSL mittels "O2 DSL" und den Logindaten vom O2-Brief zum Laufen kriege, nehme ich den Assistenten für die Telefonie und trage eine neue Nummer ein, oder?

Bei mir sieht das dann so aus:

Wo kommt was rein? Mache ich hier vielleicht einen Fehler???

 

[Equalnet]

Hallo Forum,

Anybody?? komme wirklich nicht weiter...

Gruß Equalnet

 

[Philipp_]

Hallo,

den Ausschnitt, den ich hier reingestellt habe entspricht genau dem wonach das Skript von qwertz12 sucht und dass Ergebnis dann ausgibt. Also <Tel>000...<Tel>000...<PW>000...<Registrar>000...<Registrar>

Wenn es da noch andere Kombinationen gibt, dann bin ich da im Moment auch überfragt.
Meine Firmware ist: 1.00(AAJG.0)b14-1b

Ich vermute mal, dass Du eine andere FW hast.

Grüße
Philipp

 

[lars17]

Hallo zusammen,

bei mir startet der Telnet-Daemon in der 6641-Box nicht obwohl der Eintrag "postexec = /usr/sbin/telnetd -p 23000" in
der Datei "/var/etc/smb/smb-shares.conf" ergänzt wurde. Der User "Bob" existiert ebenfalls in der "passwd".

Der Zugriff über den symbolischen Link auf dem ext3-Stick funktioniert. In der Datei "PIN" sehe ich meine Pin.
Die Datei "UserName_VoIP" existiert nicht dafür aber "UserName_BBI" (0 Bytes).

Das Erzeugen eines Memory-Dump mit "cat /dev/mem > xyz.bin" funktioniert nicht (0 Bytes).

Kann es sein, dass Sicherheitsupdates eingespielt wurden ? Ein Zugriff auf "/dev/mem" wurde
inzwischen bei den meisten Linux-Distributionen aus Sicherheitsgründen gesperrt.

Ursprüngliche Version: 1.00(AAJG.0)b14b
Jetzige Version: 1.00(AAJG.0)b14-1b

Hat schon jemand eine Möglichkeit gefunden über die interne serielle Schnittstelle an die Zugangsdaten
heranzukommen bzw. den Telnet-Daemon zu starten ? Ein serielles TTL-Interface hätte ich.

Wäre es möglich z.B. via inet.d den Telnet-Daemon grundsätzlich mit zu starten ?

Noch ein paar ergänzende Informationen:

Ehemaliger Alice Kunde mit ehemaligen "Alice fun / ISDN"-Tarif auf dem Lande (daher mit 5,- Euro/Monat Aufpreis) an einem Telekom-Bitream-Anschluss.
Die 6641-Box wurde mir Ende Okt. auf Veranlassung von O2 zugesendet.

Viele Grüße, Lars17

 

[Equalnet]

Hallo,

also meine Firmware ist die Firmware Version 1.00(AAJG.0)b14-1w

Wie gesagt, bei mir im Dump finde ich ja auch meine Telefonnummer, allerdings gefolgt von einer 32- stelligen Buchstaben-/Zahlenkombination,...(siehe Post oben). Die Frage ist jetzt, ob das die Zugangsdaten sein könnten, obwohl sie von Deinem/Eurem Format abweichen und wenn ja, wo diese genau (d.h. in welches Feld) in die Fritzbox ihr sie eingetragen habt.

Danke Dir aber schonmal Philip! Vielleicht jemand anderes dabei, der zufällig auch meine FW- Version hat?

Grüße

Hi Lars,

bist Du nach qwertz12 How-to (S.5 dieses Threads) vorgegangen? Das sollte Dich eigentlich zum Ziel führen...

Grüße

 

[lars17]

Hi Equalnet,

ja das How-to von qwertz12 ist Grundlage meiner Versuche. Es klappt alles bis zu dem Punkt
wo man versucht per postexec den Telnet-Daemon zu starten. Ich kann den Share mounten/unmounten
sooft ich will, der Telent-Daemon startet nicht.

Ich werde mal mit preexec statt postexex und root preexec und root postexex experimentieren.

Gruß, Lars17

 

[qwertz12]

Update: Ich hab eben eine neue Version hochgeladen.

Die berücksichtigt auch die zunehmenden "registrarXX.alice-voip.de" Benutzer und fixt einige andere Kleinigkeiten.

wo man versucht per postexec den Telnet-Daemon zu starten. Ich kann den Share mounten/unmounten
sooft ich will, der Telent-Daemon startet nicht.

Kannst du mal bitte auf deiner Box nachsehen, ob es diese /usr/bin/telnetd überhaupt gibt?
Nicht, dass die den wegrationalisiert haben. Im mit "nounix" gemounteten Verzeichnis kannst du ja über einen der root-Symlinks nachsehen.

Alternativ kannst du auch prüfen, ob es mit "/bin/telnetd" im Script funktioniert.

Dazu solltest du folgende Zeilen ändern:

TELNETPORT=23000

zu

TELNETPORT=23

und

echo "postexec = /usr/sbin/telnetd -p $TELNETPORT" | \

zu

echo "postexec = /bin/telnetd" | \

... ob's funktioniert ist ne andere Frage, ich hab den brcm telnetd noch nie verwendet.
Macht natürlich nur sinn, wenn es /bin/telnetd auf der Box gibt.

 

[Equalnet]

Hi Leute,

also ich habe jetzt nochmal das neue Skript von Dir qwertz12 ausprobiert. Gleiches Ergebnis: Das Skript findet nichts. Ok, das liegt wohl an der W-Version meiner FW (1.00(AAJG.0)b14-1w).
Also Dump ausgelesen:

06123XXXXXXX als Telefonnummer,

danach 32-stellige Folge von Zahlen/Buchstaben, groß/klein: 2af7a1cXXX5b193XXXXXXcXXa4dXXcae

dann sip.alice-voip.de

und registrar79.sip.alice-voip.de

JEGLICHE Kombination bringt entweder 403/404 oder DNS-Fehler im Ereignislog der Fritzbox! Die Telefonnumer habe ich ebenfalls (obwohl sie im <0VowahlFestnetznummer>-Format im Dump vorliegt) wahlweise mal mit und ohne vorangestellte 49 eingetragen; sowohl als Benutzername, als auch Internetrufnummer. Wo liegt der verdammte Fehler?? *kotz*

Nochmals allergrößten Dank für Eure Hilfe und Eure Gedult

Greetz Equalnet

 

[KunterBunter]

JEGLICHE Kombination

Wieviel Kombinationen hast du denn durchgetestet?
Poste mal einen Screenshot der Einstellungen.

 

[qwertz12]

also ich habe jetzt nochmal das neue Skript von Dir qwertz12 ausprobiert. Gleiches Ergebnis: Das Skript findet nichts. Ok, das liegt wohl an der W-Version meiner FW (1.00(AAJG.0)b14-1w).
[snip]
und registrar79.sip.alice-voip.de

Nee, ist ein Typo. Wenn du 'registrar...sip.alice-voip.de' als proxy suchen lässt, sollte es funktionieren. Der Fallback-Proxy im Skript vermisst schmerzlich ein ".sip"
Fix ich gleich noch - ich kann das immer so schlecht testen, ich hab den Fall ja nicht.

JEGLICHE Kombination bringt entweder 403/404 oder DNS-Fehler im Ereignislog der Fritzbox! Die Telefonnumer habe ich ebenfalls (obwohl sie im <0VowahlFestnetznummer>-Format im Dump vorliegt) wahlweise mal mit und ohne vorangestellte 49 eingetragen; sowohl als Benutzername, als auch Internetrufnummer. Wo liegt der verdammte Fehler?? *kotz*

Hier wäre es mal hilfreich zu wissen

• was du für einen DNS-Server einsetzt: o2 oder Alternativ? Mit Alternativ gehts vermutlich nicht.
• was für eine Domain in deinem DSL-Benutzernamen drin ist, also alles hinter dem @
• ob dein DSL-Login telefonnummer@Domain oder S......-CC5D4E@Domain ist.
• ob das DSL-Login, welches das Script anzeigt auch wirklich funktioniert
• was du sonst noch über den Anschluß weisst.

Die registrarXX.sip.alice-voip.de-Zugänge waren eigentlich immer die alten, wo man eine 2. PVC brauchte.

Falls du es hinbekommst, wäre es vermutlich gut, wenn du mal /var/ppp genauer prüfst. Falls du ne 2. PVC brauchst, sollte das dort zu finden sein.
Leider ist das alles schon wieder so lange her, das ich erst im Thread nachlesen muss, welche Dateien da interessant sind. Irgendwer hatte da schon mal was gepostet...

GGf. würde ich das dann noch reinhacken können.

Edith: Via Telnet bzw. über den Mountpunkt kannst du dir alle Dateinamen und Inhalte so anzeigen lassen:

$ for i in var/ppp/*; do echo -n "$i:"; cat $i; echo; done 
var/ppp/Activated:1 
var/ppp/Activated_Stage:4 
var/ppp/BlockingEvents:0 
var/ppp/DDNS_WAN_UP_Interface:0 
var/ppp/firstBootUP:3 
var/ppp/isBBIActivated:0 
var/ppp/isBBIAuthFail:0 
var/ppp/isBBIConnected:0 
var/ppp/isDual:0 
var/ppp/isVoIPConnected:1 
var/ppp/L2_DISCOVER_STATUS:ADSL 
var/ppp/ON_DEMAND_TIME:0 
var/ppp/Open_access:1 
var/ppp/Password_BBI: 
var/ppp/PIN:<meine-pin> 
var/ppp/PINCheck:1 
var/ppp/PPP1_AuthFailRetry_Index:0 
var/ppp/PPP2_AuthFailRetry_Index:0 
var/ppp/ServiceMode:ADSL Bitstream 
var/ppp/UserName_BBI:

Der Befehl verwendet relative Pfade, damit das klappt muss man im Wurzelverzeichnis der 6641 stehen (via telnet oder symlink).
Vermutlich geht es bei dir um die BBI-Dateien, die haben die Masse der Leute nicht.

Falls da Tatsache noch ein 2-Session-Zugang existieren sollte, wäre es sehr interessant zu wissen, wie der zustande kommt.

 

[lars17]

Hallo qwertz12,

vielen Dank. Ich bin leider erst spät nach Hause gekommen und schaffe es heute nicht mehr zu testen
aber das werde ich in Kürze machen und dann berichten.

Gruß, Lars17