[Problem] o2 HomeBox 6641 daten auslesen

[Snaubsch]

Also noch einmal kurz zu den VoiP-Daten. Es ist doch alles zu finden.

Der SIP Server... zu finden in der /etc/smt.cfg

<SIP>
<UserAgentDomain>sip.alice-voip.de</UserAgentDomain>
<UserAgentPort>5060</UserAgentPort>
<OutboundProxy>62.52.148.70</OutboundProxy>
<InviteExpires>180</InviteExpires>
<X_5067F0_minSE>120</X_5067F0_minSE>
<RegisterExpires>4500</RegisterExpires>
<RegisterRetryInterval>1800</RegisterRetryInterval>
<DSCPMark>26</DSCPMark>
</SIP>

...in der /var/ppp/PIN ist Eure 10-stellige PIN, diese ist Euer Voip-Passwort ( und diese PIN habt Ihr auch auf dem Brief mit den Zugangsdaten, oder könnt Sie direkt beim Support von O2 erfragen )

... und Euer Benutzername ist nun mal nur Eure Telefonnummer. Und jetzt das ganze noch mal schön mit Bildchen.




So... und jetzt mal Hand hoch, bei wem es immer noch nicht funzt.
:ziggi:

 

[KunterBunter]

...in der /var/key ist Eure 10-stellige PIN, diese ist Euer Voip-Passwort ( und diese PIN habt Ihr auch auf dem Brief mit den Zugangsdaten, oder könnt Sie direkt beim Support von O2 erfragen )

Bist du sicher, dass es dabei nicht um das Passwort für den Internetzugang handelt?

 

[Snaubsch]

... Für das Finden von Sicherheitslücken bin ich definitiv zu doof. Aber egal, ich hab dann versucht mit klassischen User-Mitteln weiterzukommen...

...nur für den Fall dass es Dich interessiert.

http://www.exploit-db.com/exploits/33598/

... also doch nicht zu doof zum finden von Sicherheitslücken^^

:bier:

 

[Snaubsch]

Jap Kunterbunter, ganz sicher.

So betreibe ich meine Fritz.Box7490, wenn ich nicht gerade an der HomeBox herumpenetriere.


Ps: ´tschuldigung /var/ppp/PIN wars mit der PIN... habs nochmal kurz editiert

 

[qwertz12]

Der SIP Server... zu finden in der /etc/smt.cfg
So... und jetzt mal Hand hoch, bei wem es immer noch nicht funzt.

Ich werde das gleich noch mal testen, aber mir fehlen vor allem die Daten für die 2. PPP Verbindung/PVC. Ich hänge hier an einem T-Com ADSL-Port (Bitstream) und habe die Box nur bekommen, weil die Kleine nicht lieferbar war.
Bis zur Umstellung sahen meine Daten so aus:

2. PVC:
PPP Benutzer:        <irgendeine-id>-<boxspez.id>@alice2-voip.de    
PPP Passwort:        <aktivierunspin>                
VPI:            1
VCI:            32
PCR:            0
SCR:            0
Kapselung:        PPPoE
SIP-Pakete kennz.:    46
RTP-Pakete kennz.:    46
SIP-Benutzer:        <ortsvorwahl+telefonnummer>
SIP-Passwort:         <32 stellen hex, bei jeder pin-aktivierung neu generiert>
SIP-Registrar:        sip.alice-voip.de
SIP-Proxy:        registrarXY.sip.alice-voip.de

Mit den von dir genannten Daten habe ich es versucht, bekomme aber je nach dem was ich eingebe entweder ein 404 oder ein 403 zurück.
Historisch gesehen war das immer dann der Fall, wenn ich nicht über die 2. PVC gegangen bin - und genau diese Daten fehlen.
Selbst wenn ich die 2. PVC jetzt plötzlich nicht mehr brauchen sollte, würde es mich doch schwer wundern, wenn das 32stellige Hex-Kennwort auf einmal durch meine statische PIN ersetzt wurde.

Ich hatte die von dir genannten Daten bereits am Tag der Anschaltung getestet, ich probier das gleich noch mal aus. Vielleicht hat sich das ja zwischenzeitlich geändert, keine Ahnung.

 

[Lky]

[...]

HAND HOCH

22.11.14 17:18:27 Anmeldung der Internetrufnummer 49********* war nicht erfolgreich. Gegenstelle meldet Ursache 401

Also das Passwort ist nicht korrekt so wie es scheint und was ich so gelesen habe soll das Passwort die Rufnummer + 4-5 Zeichen sein.

Nur mal kurz zum Vergleich beim ADSL2+ Telekom Bitstream Anschluss von two-session (2PVC) auf one-session mit ISDN Option (4 Rufnummern)
DSL Daten:
Benutzername: [email protected] -> [email protected] (bekommt man von Hotline mitgeteilt und funktioniert mit Fritzbox "o2 DSL")
Kennwort: Geburtsdatum -> 10 Zeichen, alles als kleine Buchstaben

SIP Daten:
Benutzername: VorwahlRufnummer -> VorwahlRufnummer (aber 49 anstatt der 0 am Anfang)
Kennwort: 32 Zeichen (md5 hashsum!) -> ??? (PIN geht bei mir nicht, soweit mir bekannt Telefonnummer mit 0 anstatt 49 + ein paar extra Zeichen (4))
Registrar: sip.alice-voip.de -> sip.alice-voip.de
Proxy: registrar??.sip.alice-voip.de -> sip.alice-voip.de

PVC2 Benutzername: [email protected] (erste ? sind Ziffern, zweite wohl Teil von der MAC vom Modem) -> keine zweite Verbindung
PVC2 Kennwort: PIN (per Schreiben erhalten um Box zu aktivieren) -> keine zweite Verbindung, PIN wird aber für original Router benötigt und ist identisch zur alten


Hat jemand noch Daten und Anregungen für VLAN IDs oder ATM Daten (VPI/VCI)?

 

[qwertz12]

Ich heb auch mal die Hand: Die o.g. Daten funktionieren nicht, vermutlich fehlt mindestens die 2. PVC.
Ich bekomme 403, also DENIED.

Ich hab mal in meiner 6441 geschaut, meine ppp-Konfig sieht wie folgt aus (Inhalt der Dateien).
Eventuell kann das ja mal jemand gegenchecken, bei dem die genannten VoIP-Daten funktionieren - ich vermute, bei demjenigen sieht das Verzeichnis anders aus.

$ for i in var/ppp/*; do echo -n "$i:"; cat $i; echo; done
var/ppp/Activated:1
var/ppp/Activated_Stage:4
var/ppp/BlockingEvents:0
var/ppp/DDNS_WAN_UP_Interface:0
var/ppp/firstBootUP:3
var/ppp/isBBIActivated:0
var/ppp/isBBIAuthFail:0
var/ppp/isBBIConnected:0
var/ppp/isDual:0
var/ppp/isVoIPConnected:1
var/ppp/L2_DISCOVER_STATUS:ADSL
var/ppp/ON_DEMAND_TIME:0
var/ppp/Open_access:1
var/ppp/Password_BBI:
var/ppp/PIN:<meine-pin>
var/ppp/PINCheck:1
var/ppp/PPP1_AuthFailRetry_Index:0
var/ppp/PPP2_AuthFailRetry_Index:0
var/ppp/ServiceMode:ADSL Bitstream
var/ppp/UserName_BBI:

Außer meiner PIN hab ich da nix rausgenommen/geändert. Das sieht mir aber eigentlich nicht nach 2PVC aus???? Ich hätte da erwartet bei isDual eine 1 zu finden?

Davon abgesehen: Mir ist gerade aufgefallen, das die Dateien /var/{compressed.config,key,out_file.xml} nur existieren, wenn man zur Laufzeit schon mal auf Speichern/Export der Konfig gedrückt hat. Ist auch kein Wunder, /var ist ja ein tmpfs - nur falls sich jemand wundert.

 

[Lky]

@qwertz12
Na die zweite PVC Verbindung wird doch nicht mehr benötigt, du wurdest sicher auch von two-session auf one-session umgestellt und deswegen auch der neue Router oder war dein alter Defekt?

In wie weit hat jemand schon probiert mit einer BOX von eBay für kleines Geld mit der PIN zu aktivieren und dann auszulesen? Natürlich brauch man dann eine BOX die one-session unterstützt wie nach meinem Wissen die 4421 und 6631.

Wie verhält es sich mit deiner DSL PPPOE Verbindung in wie weit haben sich da die Zugangsdaten geändert? Kannst du das mal abgleichen mit meinen Angaben?

 

[Snaubsch]

Also,

ich habe mal Dein Listing verglichen Qwertz. Da schaut alles ganz genau so aus bei mir, bis auf:

- natürlich habe ich ne eigene PIN
- bei var/ppp/L2_DISCOVER_STATUS: steht bei mir nicht ADSL sondern VDSL
- und bei var/ppp/ServiceMode: VDSL2 Bitstream Access statt ADSL Bitstream

... und mir wäre auch nicht bekannt, dass noch ein 2. PVC notwendig wäre.

Was die Zugangsdaten im allgemeinen betrifft, so haben die sich nur für die Breitbandverbindung geändert seit Umstellung auf VDSL. Wenn ich mich richtig erinnere musste ich früher auch bei meiner alten Homebox IAD3232 die Telefonie mit einer PIN freischalten. Und die ist die gleiche geblieben. Der 32bit MD5-Hash als Passwort für VOIP in den decrypteten Configs meiner alten IAD3232, wird sicher auch nur aus dieser PIN ( ggf. noch mit zusätzlichem Salt ) berechnet.

 

[qwertz12]

@Lky: Keine Ahnung, ob ich die 2. PVC noch brauche. Sowas sagt einem o2 ja nicht.

Davon abgesehen: Ich bin ein wenig weiter, was die komprimierten Konfigurationsdateien angeht. Leider ohne Erfolg, was die Login-Daten betrifft. Insofern gibt's da entweder wirklich keine und ich mache was anderes falsch (VLAN?? PVC??), oder ich guck an der falschen Stelle.

Folgendes zum dekomprimieren:
1.) Vorbereitung
Die Konfigurationsdateien /data/psi und /var/compress.config enthalten einen Header, der muss weg. Die länge des Headers ist unterschiedlich, er beginnt mit

<compressed alg=lzw len=[länge]> ... <crc=[crc-code]>

Danach kommen mehrere 0x00 Bytes, meist 4. Den ganzen Krempel schneidet man mit $hexeditor ab. Erstes byte des LZW-Datenstromes ist 0x80.

2.) Dekomprimieren
Es gibt eine Python lib, die funktioniert: lzw.py. Die nimmt man, und schreibt ein minimales snippet:

import lzw
mybytes = lzw.readbytes("compressed.bin")
morebytes = lzw.decompress(mybytes)
lzw.writebytes("decompressed.txt",morebytes)

Dann muss man die Datei "compressed.bin" nennen, im selben Verzeichnis wie das Snippet speichern und das Snippet ausführen:

python decompress.py

Das snippet steigt dann mit diversen Fehlern aus, weil der Datenstrom einfach abreißt - kein Problem, der dekomprimierte Teil wurde trotzdem geschrieben.

Viel Spaß

 

[Lky]

@qwertz12
Schau mal bei mir DSL Daten, haben die sich bei dir auch geändert oder sind das noch die alten Daten? Falls die sich wie bei mir geändert haben hast du nun auch One-session und brauchst keine 2 PVC Verbindung mehr.

@Snaubsch
Ok was hast du für ne Fritzbox? 7490? Und da du VDSL hast könnte das bei dir anders sein, normal solltest du auch statt s92.bbi-o2.de dann s93.bbi-o2.de haben korrekt?

 

[qwertz12]

Was die Zugangsdaten im allgemeinen betrifft, so haben die sich nur für die Breitbandverbindung geändert seit Umstellung auf VDSL. Wenn ich mich richtig erinnere musste ich früher auch bei meiner alten Homebox IAD3232 die Telefonie mit einer PIN freischalten. Und die ist die gleiche geblieben. Der 32bit MD5-Hash als Passwort für VOIP in den decrypteten Configs meiner alten IAD3232, wird sicher auch nur aus dieser PIN ( ggf. noch mit zusätzlichem Salt ) berechnet.

Na super, und bei dir funktioniert VoIP? Bei mir jedenfalls nicht, immer 403 was auf Fehler bei den Login-Daten schließen lässt Ich hab's mit allen möglichen Rufnummern als Benutzername versucht: 49+Ortsvorwahl_ohne_0+Rufnummer, Ortsvorwahl_mit_0+Rufnummer. Alles Essig.

Wenn ich dich richtig verstanden habe, hast du vor der Umstellung auch ein IAD3232 gehabt? Mit dem habe ich o.g. Daten (2. PVC, MD5-Passwort) gebraucht, und der MD5 war auch definitiv anders, wenn man was am Tarif geändert hat - war bei mir bei der Umstellung auf 3 Rufnummern der Fall. So langsam nervt mich das alles ziemlich.

 

[qwertz12]

@Lky: Der Benutzername ist gleich geblieben, aber das Passwort ist geändert. Das war mal das Geburtsdatum (sehr sicher, ehrlich!), mittlerweile ist es was zufälliges (wenn auch nicht besonders komplex).

Wenn ich keine 2. PVC mehr brauche ist das super, trotzdem funktioniert VOIP nicht mit der PIN als Passwort und den o.g. Daten.

Edith: Der Vollständigkei wegen - ich bin auf <Ortsvorwahl_mit_0+Rufnummer>@s92.bbi-o2.de unterwegs.

 

[Snaubsch]

@Lky

...jup. Hab ne 7490 von o2 mit originalem FW-Update von AVM inzwischen wieder und jup... bei mir ist´s ein s93.bbi.

@Qwertz

...jup... und ich hab sogar noch die alten decrypteten Configs vom IAD3232 da. Da hat sich nie etwas geändert bei mir. Weder bei einem ganz normalen Tarifwechsel, noch nicht mal nach abschalten meiner ISDN Option. In den letzten Configs sind immer noch die Nummern/Hashes meiner schon seit fast 2 Jahren abgeschalteten ISDN-Nummern ersichtlich.
Wie soll sich sowas auch im IAD von alleine ändern, meines Wissens nach hat die Box auf die letzten Jahre nie ein Update erhalten. Wie denn auch :

FTP_REMOTE_DIR="/Alice_IAD_WLAN_3232"
... und wenn Du Dich auf dem Updateserver einloggst, wirst Du feststellen, dass es dort dieses Verzeichnis gar nicht gibt. Dort gibt es nur ein /Alice_Modem_WLAN_1232/.
So wird das nix mit updaten oder ändern, da muss dann schon die komplette Box getauscht werden.

 

[qwertz12]

@Snaubsch
Wie gesagt, bei meinem Upgrade auf "ISDN" habe ich via tr069 die neuen Daten aufgespielt bekommen. Und jedes mal, wenn ich der Box die PIN neu verpasst habe, hatte ich auch neue Passworte. Von alleine hat sich nix geändert, bloß gut! Da wäre ich ja irre geworden, zumal ich damals noch ne 7570 hatte, in der die 2. PVC noch nicht so einfach wie in meiner jetzigen 7390 zu konfigurieren war.

Zur Klarstellung: Das die bei dir die abgeschalteten Nummern nicht rausgenommen haben wundert mich nicht - wenn ich das Schloß tausche, brauche ich dir ja nicht mehr die Schlüssel wegnehmen. Ergo: Login am Server abschalten, erledigt.

 

[Snaubsch]

...

Edith: Der Vollständigkei wegen - ich bin auf <Ortsvorwahl_mit_0+Rufnummer>@s92.bbi-o2.de unterwegs.

...genau - für die Breitbandverbindung ist Ortsvorwahl ( mit 0 ) + Rufnummer ok

also als Bsp.: für Berlin [email protected] und dem dazugehörigen Passwort (nicht die PIN, die ist nur für VOIP ).

 

[qwertz12]

Aaalso.
Ich hab jetzt nochmal getestet:

Rufnummer = Nummer ohne Ortsvorwahl
Benutzername = 49 + Ortsvorwahl ohne Null + Rufnummer
Registrar = sip.alice-voip.de
Proxy= sip.alice-voip.de
----> 401, unauthorized

Rufnummer = Nummer ohne Ortsvorwahl
Benutzername = 49 + Ortsvorwahl mit Null + Rufnummer
Registrar = sip.alice-voip.de
Proxy= sip.alice-voip.de
----> 403, access denied

Rufnummer = Nummer ohne Ortsvorwahl
Benutzername = 49 + Ortsvorwahl ohne Null + Rufnummer
Registrar = sip.alice-voip.de
Proxy= registrar.sip.alice-voip.de
----> DNS Fehler


Rufnummer = Nummer ohne Ortsvorwahl
Benutzername = 49 + Ortsvorwahl ohne Null + Rufnummer
Registrar = sip.alice-voip.de
Proxy= registrar79.sip.alice-voip.de
----> DNS Fehler

Rufnummer = Nummer ohne Ortsvorwahl
Benutzername = 49 + Ortsvorwahl ohne Null + Rufnummer
Registrar = sip.alice-voip.de
Proxy= 62.52.148.70
----> 403, access denied

Passwort war dabei immer meine PIN.

So wie ich die Fehler interpretiere, ist die 1. Variante vermutlich die richtige, nur das Passwort stimmt vermutlich nicht. Oder da ist noch was mit dem VLAN-Tag, QoS oder sonst irgendwas falsch.

Da fällt mir auf: Was ist eigentlich DSCPMark bzw. wo stell ich das ein???

Edith2: Man muss nur das Forum fragen: http://www.ip-phone-forum.de/showthread.php?t=272205

Edith3: Bringt nix. Da stand 46 drin, jetzt 26, immer noch kein Erfolg

 

[Snaubsch]

Keine Ahnung was da los ist bei Dir.

Hab extra mal kurz meine Fritz.Box drangehängt um nachzuschauen. Aber da stimmt wohl alles genau so.
Hast Du die aktuelle FW auf Deiner 7390?
Eine andere Idee... ändere mal bitte Deine Voip-Config nicht ab, sondern lösche Sie komplett und lege Sie komplett neu an. Ich glaube ich habe da mal was gelesen.
Vllt hilft das.

 

[qwertz12]

Ich hab inzwischen schon so ziemlich alles probiert - und mehr

Da ich noch eine 2., halb defekte 7390 habe hab ich die gerade mal dran gehabt. Nach factory-reset, wohl gemerkt.
Hat nix gebracht.
Danach habe ich aus lauter Verzweiflung noch mal die o2 Box drangehängt und dort den Einrichtungsassi nochmals laufen lassen.
Oh Wunder, es gibt neue Dateien unter /var/ppp:

/var/ppp/Password_VoIP -> enhält die PIN
/var/ppp/UserName_VoIP -> enthält einen PPP Usernamen, Schema [email protected]

Damit konnte ich eine 2. PVC anlegen, die auch ne IP erhält. Leider ist das genau so eine öffentliche, wie auf der 1. PVC.
Insofern hilft mir das vermutlich nicht weiter.

Nur der Vollständigkeit halber: leere /var/flash/voip.cfg hat auch nix gebracht.
Außerdem hilft es auch nicht, wenn ich direkt über die o.g. PPP-Verbindung ins Internet gehe. Surfen kann man damit aber

 

[Snaubsch]

Ähm,

ich meinte nicht die voip.cfg leeren. Sondern in der FritzBox selbst das Voip-Profil komplett löschen und neu aufsetzen. Angeblich könnte das helfen.
Nen Versuch wäre das noch wert.

Mein Problem ist dass ich Dein postexec-Telnet-Experiment nicht reproduzieren kann. Dabei wäre mir das ziemlich wichtig. Denn wenn das mit dem Telnet-Service funzt, müsste das auch mit jedem anderen Service funzen.
Eine MIPSBE-Reverse-Shell hab ich mir schon besorgt. Nur wenn sich die nicht ausführen lässt...
Entweder funzt das postexec nicht, oder der Samba startet nicht neu um die Config einzulesen.

Ich versuche das mit genau diesen 2 Dateien. Die Syntax am Ende meiner smb.conf schaut so aus.

include = /var/etc/smb/smb-shares.conf

postexec = /usr/sbin/telnetd -p 23000

postexec = /var/18226.c

(wobei 18226.c die shell ist)
...oder liege ich da falsch?!