Passwörter in fritz.export bzw. /var/flash/*cfg

[zoo]

Hallo Leute,

wie sind eigentlich die Passwörter in der Fritzbox verschlüsselt?
Hat es schon mal jemand geschafft, die zu entschlüsseln?

Gruß,
Zoo

 

[olistudent]

Benutz mal die Suchfunktion. Du kannst dir mit allcfgconv die Passwörter im Klartext ausgeben lassen.

/var/mod/root $ allcfgconv -?
usage: allcfgconv allcfgconv [options]
options:
  -?                 - print this help
  -C STRING          - configtype. ("ar7")
  -M STRING          - input configfile to merge. (NULL)
  -O STRING          - input configfile to overwrite. (NULL)
  -o STRING          - output configfile. ("")
  -e                 - output even if load error. (NOTSET)
  -t                 - debug in gettoken. (NOTSET)
  -c                 - decrypt passwords (only when written to file). (NOTSET)
  -D STRING          - switch debug logs on. (NULL)
convert configuration

Ansonsten müsste vom Aussehen der verschlüsselten Passwörter doch auf den Algorithmus geschlossen werden können. Da bin ich nicht so der Experte drin.

MfG Oliver

 

[zoo]

Danke, mit dem Stichwort hab ich alles nötige finden können.

 

[maceis]

In der aktuellen FW sind ja nicht nur Passwörter verschlüsselt sonder auch z.B. der Domainname beim DynDNS.

Da würde mich interessieren, ob es auch eine Möglichkeit gibt, Klartextdaten zu verschlüsseln - als genau den umgekehrten Weg zu gehen wie mit 'allcfgconv -c'

 

[maceis]

Okay, ich hab' inzwischen herausgefunden, wie es geht.
Vielleicht nützt es einmal jemandem.
Man schreibt einfach einen Abschnitt der Konfigurationsdatei, die man verschlüsseln möchte im Klartext (es genügt wirklich nur ein Abschnitt) in eine Datei. Ich nenn' die Datei mal 'ar7.decrypted'.
Dann gibt man etwa folgendes ein:

allcfgconv -C ar7 -M ar7.decrypted  -o ar7.out

Als Ergebnis erhält man eine vollständige ar7.cfg Datei mit dem Dateinamen ar7.out (oder was man eben als Dateiname nach -o gewählt hat).
Alle Klartextangaben sind verschlüsselt. Der Teil der ar7-Datei, die man nicht in seiner ar7.raw hatte, wird automatisch mit den aktuellen Einstellungen ergänzt.
Ausgabedatei nach /var/flash kopieren.
Das war's.

Edit: Mit dem Schalter -O kann man auch gleich die /var/flash/ar7.cfg überschreiben. Das ist richtig cool .
-o ... lässt man dann weg.

 

[flow-c]

*BUMP*

Mit allcfgconv lassen sich die *.cfg, die sich auf der Fritz!Box befinden, ent-/verschlüsseln. Soweit, so gut.
Weiß jemand ob der dabei verwendete Schlüssel der Box immer gleich bleibt? Oder ändert er sich z.B. mit wechselnder Firmware?

Konkret: Kann ich ein *.cfg, das von Box A mit FW-Version X.x stammt, auf dieselbe Box A allerdings mit FW-Version Y.y zurückspielen, um die *.cfg dann dort zu entschlüsseln?

 

[KunterBunter]

Warum du deshalb einen Uralt-Thread vorholst, ist mir schleierhaft. :?
Der verwendete Schlüssel der Box bleibt immer gleich, aber ...
Konkret: Ein *.cfg, das von Box A mit FW-Version X.x stammt, konnte man noch nie auf dieselbe Box A allerdings mit FW-Version Y.y zurückspielen.

 

[maceis]

Warum du deshalb einen Uralt-Thread vorholst, ist mir schleierhaft. :?

Na ja, er halt halt die Suche verwendet.
Eigentlich doch sehr löblich .

Gruß
maceis

 

[flow-c]

Konkret: Ein *.cfg, das von Box A mit FW-Version X.x stammt, konnte man noch nie auf dieselbe Box A allerdings mit FW-Version Y.y zurückspielen.

Entschuldige meine naive Frage, aber woran scheitert das?
Ein beliebiges .cfg nach /var/flash zu kopieren sollte ja kein Problem darstellen. Und wenn der Schlüssel tatsächlich immer derselbe ist, dann muss die Box doch auch damit klarkommen, oder?

 

[KunterBunter]

Wenn das Kopieren nach /var/flash für dich kein Problem darstellt, dann wird die Box auch damit klarkommen, was immer du damit meinst.
Wenn du konkret sagen würdest, was du genau vorhast, könnte man auch genauere Hilfestellung geben.

 

[flow-c]

Hui, schwere Geburt.
Ich kann also nicht, sagen wir die /var/flash/tr069.cfg auf Box_A/FW_Y.y editieren und mit den Daten von Box_A/FW_X.x befüllen?

 

[flow-c]

Wenn du konkret sagen würdest, was du genau vorhast, könnte man auch genauere Hilfestellung geben.

Ich habe ein .export von Box_A/FW_X.x mit den verschlüsselten *.cfg darin.
Weil ich beim Erstellen des .export dummerweise kein Passwort vergeben habe, lässt es sich nicht ohne Weiteres per AVM-Weboberfläche in Box_A/FW_Y.y einspielen.
Die Frage ist jetzt, kann ich mit der vorliegenden .export noch was anfangen? Idealerweise würde ich dabei auch gleich mal meine Zugangsdaten im Klartext zu sehen bekommen.

 

[KunterBunter]

Auch wenn du ein Passwort vergeben hättest, würde es sich nicht in die selbe Box, aber einer anderen Firmware-Version, wieder einspielen lassen.
Soll das jetzt konkret sein? Um welche Firmware-Versionen handelt es sich nun genau? Das einfachste wäre nämlich ein Downgrade auf die betreffende Firmware-Version, Wiederherstellen der gesicherten Konfiguration und anschließendes Firmware-Update.

Btw In der tr069.cfg stehen gar keine Zugangsdaten drin. Welcher ist dein Provider?

 

[flow-c]

Auch wenn du ein Passwort vergeben hättest, würde es sich nicht in die selbe Box, aber einer anderen Firmware-Version, wieder einspielen lassen.

Doch, das klappt zumindest teilweise. Aus einer mit Passwort erzeugten .export lassen sich zumindest DSL-, VOIP- und WLAN-Zugangsdaten übernehmen. Nur der tr069.cfg Teil wird nicht übernommen.

Soll das jetzt konkret sein? Um welche Firmware-Versionen handelt es sich nun genau?

Naja, so unkonkret waren meine Fragen jetzt aber auch wieder nicht. Aber um konkretest zu werden: A=ein_und_dieselbe_7360, X.x=111.05.22 (Provider: M-net) und Y.y=124.05.50 (+freetz)

Das einfachste wäre nämlich ein Downgrade auf die betreffende Firmware-Version, Wiederherstellen der gesicherten Konfiguration und anschließendes Firmware-Update.

An die originale Firmware komme ich leider nicht ran. Die ist "proprietär" M-net.

Btw In der tr069.cfg stehen gar keine Zugangsdaten drin. Welcher ist dein Provider?

Doch, tun sie. Bei M-net enthält die tr069.cfg sehr wohl Zugangsdaten:

tr069cfg {
      […]
                managementserver {
                        url = "https://acs.mnet-online.de";
                        username = "$$$$MWC3MSTQW21IBVRWQYJN1Y6Y2YUAIONBQOMZRPHI42UBY6VCBVAXU1H2QFKO3B25QRDUAZWHY3RBMYTP";
                        password = "$$$$FADZGWLU6DPTUQ1P5A236R4OPVE1FS4A2JOJBZWEJBFQ43ADIKHPA5MWC2EWQGSHXZ4E6GXQ2GY2OYTP";
                              […]
               }
      […]
}

 

[KunterBunter]

An die originale Firmware komme ich leider nicht ran. Die ist "proprietär" M-net.

Ich komme an die Firmware 111.05.22 heran. Zusätzlich hat deine Box aber noch Provider Additive. Das erkennst du daran, wenn im Environment "Provider=additive" steht. Meine Fritzbox 7390 Edition M-net hat die auch (siehe Signatur).

Bei M-net enthält die tr069.cfg sehr wohl Zugangsdaten:

Das sind keine Zugangsdaten, sondern die Authentifizierungsdaten für den Autokonfigurationsserver (ACS) bei M-net, der dann die Zugangsdaten liefert. Selbst wenn du die tr069.cfg-Daten entschlüsselst, sind sie vollkommen nutzlos für dich. Sie stehen übrigens auch schon entschlüsselt im Environment als tr069_passphrase und tr069_serial. Letztere auch auch dem "CWMP-Account" Aufkleber auf der Unterseite der Box.

 

[flow-c]

Das sind keine Zugangsdaten, sondern die Authentifizierungsdaten für den Autokonfigurationsserver (ACS) bei M-net, der dann die Zugangsdaten liefert. Selbst wenn du die tr069.cfg-Daten entschlüsselst, sind sie vollkommen nutzlos für dich. Sie stehen übrigens auch schon entschlüsselt im Environment als tr069_passphrase und tr069_serial. Letztere auch auch dem "CWMP-Account" Aufkleber auf der Unterseite der Box.

Zugangs- oder Authentifizierungsdaten, wie auch immer. Ich möchte an diese rankommen. Alles was Du schreibst ist unbestritten korrekt, hilft mir aber leider nicht weiter.
Nachdem ich die Box mit einer gefreetzten 124.05.50 Firmware geflasht habe, befinden sich die TR069 "Authentifizierungsdaten" eben nicht mehr auf der Box, weder im Environment noch in der tr069.cfg.
Alles was mir bleibt ist die .export, die unter FW 111.05.22 erstellt wurde. Darin stehen die gesuchten Daten in verschlüsselter Form, was zu meiner ursprünglichen Frage zurückführt:

Konkret: Kann ich ein *.cfg, das von Box A mit FW-Version X.x stammt, auf dieselbe Box A allerdings mit FW-Version Y.y zurückspielen, um die *.cfg dann dort zu entschlüsseln?

 

[KunterBunter]

Nachdem ich die Box mit einer gefreetzten 124.05.50 Firmware geflasht habe, befinden sich die TR069 "Authentifizierungsdaten" eben nicht mehr auf der Box, weder im Environment noch in der tr069.cfg.

Auch wenn dir das möglicherweise nicht weiterhilft: Das ist eindeutig falsch, denn das Environment wird beim Flashen nicht überschrieben. Die Environment-Daten werden aus dem Bootloader geladen, bleiben also auch nach dem Flashen der Firmware erhalten.
Und zu deiner ursprünglichen Frage: Die Antwort ist Nein.

 

[flow-c]

Super! tr069_passphrase und tr069_serial sind tatsächlich noch im Urloader Environment vorhanden. Danke, KunterBunter

Jetzt aber noch der Vollständigkeit halber, was passiert mit einer tr069.cfg, die ich manuell nach /var/flash/ kopiere? Würde mir ein

allcfgconv -C tr069 -c -o -

dann dieselben, entschlüsselten Daten liefern?

Ich hab Respekt davor, an einer (noch) funktionierenden Konfiguration rumzupfuschen, aber vielleicht hat das ja schon mal jemand ausprobiert?

 

[KunterBunter]

was passiert mit einer tr069.cfg, die ich manuell nach /var/flash/ kopiere?

Wie der Name des Verzeichnisses bereits vermuten lässt, kannst du nicht nach /var/flash/ kopieren, sondern nur flashen. Du kannst es aber nach /var/tmp kopieren und von dort ein allcfgconv auf diese Datei machen. Dann erhältst du dieselben entschlüsselten Daten.

 

[flow-c]

Stück für Stück kommen wir der Sache näher.

Das mit /var/tmp klingt gut (und risikolos). Werde ich gleich mal versuchen.

EDIT: Es funktioniert! Mit

allcfgconv -C tr069 -i /var/tmp/tr069.encrypted -c -o -

lassen sich alle Felder entschlüsseln!