Passwort recovern

[sweetie-pie]

Hallo liebe Gemeinde,

ich habe hier einen Speedport 701, an dem ich versuche das (web-)Passwort zu recovern. Ich möchte das Gerät nicht zurück setzen, da die gespeicherten Informationen für mich evtl. wichtig sein könnten.

Was ich bisher gemacht habe:
-per FTP mtd3 (und mtd4) ausgelesen.
-per dumptffs.pl die ar7.cfg extrahiert.

Leider sind die Passwörter ja noch verschlüsselt.

Gibt es ein Tool, mit dem ich das Passwort entschlüsseln, bzw. ist der Algorithmus bekannt? (Die Sourcen von allcfgconv sind wohl nicht offen, oder?)

Alternativ hätte ich noch diese Ansätze:
A.) mtd1-4 in ein flashimage.bin zusammenfassen und mit qemu starten. Ich denke, dann müsste ich auf der Konsole allcfgconv ausführen können, liege ich da richtig?
Diesen Ansatz habe ich heute schon ca. 1 h verfolgt, aber irgendwie will qemu nicht...
(Habe die gepatchte qemu-mipsel Version kompiliert, aber nicht zum laufen bekommen)

B.) Den Passworthash in einer anderen Box in die ar7.cfg einfügen und dann allcfgcov ausführen. Ist der Hashwert evtl. irgendwie mit der Hardware/Seriennummer gekoppelt, dann würde diese Möglichkeit wohl entfallen.

C.) Das Passwort in der extrahierten ar7.cfg löschen und mit mktffs.pl wieder packen und in mtd3 (und mtd4?) zurückflaschen. Diese Lösung finde ich eigentlich ganz blöd, da mir das Risiko, die Box bzw. die Konfiguration zu zerscheißen recht hoch erscheint.

D.) Jemand von euch öffnet mir die Augen und zeigt mir den simpelsten weg...

Alle Kommentare sind herzlich willkommen...

Gruß
sweetie-pie

BTW: Gibt es ein Skript mit der man die Anrufliste übersichtlich phrasen kann?

 

[sweetie-pie]

Dann antworte ich mir mal selbst:

B.) Den Passworthash in einer anderen Box in die ar7.cfg einfügen und dann allcfgcov ausführen. Ist der Hashwert evtl. irgendwie mit der Hardware/Seriennummer gekoppelt, dann würde diese Möglichkeit wohl entfallen.

Diese Variante habe ich soeben ohne Erfolg probiert, allerding hatte ich nur eine 7170 mit .76er Kernel zur Verfügung...

 

[Hans Juergen]

Du hast es aber eilig...

daher ne kurze Antwort, schon zig Mal im Forum zu finden, Es geht nicht! Und das ist gut so...

 

[MaxMuster]

.. soweit ich mich erinnere geht es, du musst aber die ganze ar7.cfg nutzen.
Übermounten, auslesen, umounten.

Jörg

 

[colonia27]

hast du denn telnet und/oder ssh-Zugriff auf die Box??

 

[sweetie-pie]

Es geht nicht!

Darum bin ja bemüht eine Lösung zu finden... sag niemals nie, denn sonst hätten wir kein freetz...

.. soweit ich mich erinnere geht es, du musst aber die ganze ar7.cfg nutzen.
Übermounten, auslesen, umounten.

Hmm, eine gute Idee aber auch ohne Erfolg... ich habe sogar die allcfgconv-Binary aus dem ausgelesenen Orginal-Flashimage auf die 7170 kopiert und es damit probiert. Gleiches Ergebnis...

hast du denn telnet und/oder ssh-Zugriff auf die Box??

Natürlich nicht, sonst hätte ich nicht die oben beschrieben Verrenkungen gemacht...

 

[MaxMuster]

Wenn du es schon ausgelesen hast, dann versuche es doch nochmal mit qemu, da schwirren hier im Forum Links auf fertige Binaries (z.B. dieser Thread) und mein Windows-Binary von dort sollte auch noch laufen...

Jörg

 

[sweetie-pie]

...versuche es doch nochmal mit qemu, da schwirren hier im Forum Links auf fertige Binaries ...

Dies war der bereits der ursprünglich von mir eingeschlagene Weg, aber ich kam/komme hier irgendwie ich nicht weiter.

Unter Linux (debian lenny) auf amd64 habe ich die aktuellen Sourcen kompiliert und bekomme beim Aufruf immer:

AR7	io_readb                addr=0x0000000000001000, val=0xff
AR7	io_readb                /home/user03/qemu4mipsel/ar7/hw/ar7.c:3197 unexpected, [][]!!!
AR7	ar7_io_memread          addr 0x00001000 (???) = 0xffffffff
AR7	ar7_io_memread          /home/user03/qemu4mipsel/ar7/hw/ar7.c:3001 missing, [][]!!!

Könnte mal wieder am 64bit System liegen.... der Build lief ohne Fehlermeldungen oder Warnungen.

Die Win-Binary aus dem von dir verlinkten Beitrag habe ich auch ausprobiert. Da ich einen Speedport W701V habe, habe ich den Parameter -M fbox-8mb gesetzt. Die Box bootet auch und sagt dann "NVS File loaded" und dann kommt ein Segmentation Faul. Dann kommt wohl irgendwas vom Watchdog und nach einer Weile der Reboot...
Wenn ich wüsste wie ich qemu überzeugen könnte, den Konsoleninhalt in eine Datei zu schreiben, könnte ich die evtl. auszugsweise hier posten...

Aber diese Lösung könnte mich zum Ziel führen. Falls das bei dir läuft, kannst Du bestätigen, dass du dann über die Konsole allcfgconv aussführen kannst und die Infos entschlüsselt angezeigt werden?

 

[MaxMuster]

Blöde Frage, aber hast du es mal mit Fehler-Umleitung versucht? Ich weiß, dass man ansonsten vor lauter Meldungen nix sinnvolles sehen konnte.

Bin momentan unterwegs und kann nichts testen...


Jörg

 

[sweetie-pie]

Blöde Frage, aber hast du es mal mit Fehler-Umleitung versucht? Ich weiß, dass man ansonsten vor lauter Meldungen nix sinnvolles sehen konnte.

Ich gebe zu in Sachen qemu tue ich mich etwas schwer, habe bisher immer mit kvm und dem qemu-launcher gearbeitet, wg. klicki-bunti und so...

Ich rufe qemu wie folgt auf:

qemu-system-mipsel -M fbox-8mb -L /home/user03/Desktop/seedport/ -k /usr/local/share/qemu/keymaps/ -nographic /dev/null 2>debug.txt

und erhalte dann in der debug.txt:

mips_ar7_common_init: ram_size = 0x02000000
AR7 mips_ar7_common_init ram_offset (internal RAM) = 2000000
mips_ar7_common_init: load BIOS 'flashimage.bin', size 8388608
mips_ar7_common_init: load BIOS 'mips_bios.bin', size 4096
Unassigned mem write 000000001be00c00 = 0x00010001 [][]
Unassigned mem write 000000001be00c04 = 0x00ffffff [][]
Unassigned mem write 000000001be00cf8 = 0x80000004 [][]
Unassigned mem read 000000001be00cfc [][]
Unassigned mem write 000000001be00cf8 = 0x80000004 [][]
Unassigned mem write 000000001be00cfc = 0x00000106 [][]
Unassigned mem write 000000001be00cf8 = 0x8000000c [][]
Unassigned mem read 000000001be00cfc [][]
Unassigned mem write 000000001be00cf8 = 0x8000000c [][]
Unassigned mem write 000000001be00cfc = 0x00000800 [][]
AR7 ar7_io_memwrite addr 0x1f000b08 (???) = 0x00000000
AR7 ar7_io_memwrite /home/user03/qemu4mipsel/ar7/hw/ar7.c:3129 missing, [][]!!!
AR7 ar7_io_memwrite addr 0x1f000b10 (???) = 0x00000003
AR7 ar7_io_memwrite /home/user03/qemu4mipsel/ar7/hw/ar7.c:3129 missing, [][]!!!
AR7 ar7_io_memwrite addr 0x1f000b18 (???) = 0x00000001
AR7 ar7_io_memwrite /home/user03/qemu4mipsel/ar7/hw/ar7.c:3129 missing, [][]!!!
Unassigned mem read 000000001fc01090 [][]

Auf der Konsole ist totenstille und einer der vier Prozessorkerne ist zu 100% ausgelastet. Da hilft dann nur ein killall. Nehme ich den Parameter -nographic weg, sehe ich mittels VNC nur "serial0 console"... :argh: das kann doch nicht so schwer sein, nur wg. so einem *!?%!? Passwort.

 

[MaxMuster]

Bist du auch sicher, dass du das Flash-Image korrekt zusammengebaut hast??

Ich kann erst morgen testen....

Jörg

EDIT: Ich habe mal den im FTP erzeugten und zusammengefügten Speicherabbzug im Windows qemu laufen lassen. Startet zwar prima, bleibt dann aber später beim WLAN nach einem Segfault "hängen". Hilft also nicht so wirklich...

 

[MaxMuster]

Es geht ;-)

Weils jetzt was Neues gibt, kein Edit , sondern ein neuer Beitrag.

Wenn ich beim Starten im Emulator ein paar mal CTRL-C drücke wird scheinbar das Laden des WLAN nicht ausgeführt und ich kriege eine Console, in der allcfgconf funktioniert....

Nur noch mal zur Sicherheit: Das Image besteht (in dieser Reihenfolge) aus mtd2+mtd1+mtd3+mtd4 .

Jörg

 

[sweetie-pie]

Ja Ja, sag niemal nie...

Wenn ich beim Starten im Emulator ein paar mal CTRL-C drücke wird scheinbar das Laden des WLAN nicht ausgeführt und ich kriege eine Console, in der allcfgconf funktioniert....

Jippee, ja du hast recht, auch sehe es im Klartext vor mir... Danke dafür! :groesste:


PS: Ich werde mich aber trotzdem bei Gelegenheit noch mal an der Linux-QEMU-Version versuchen, kann ja nicht sein das ich das nicht hin bekomme... :noidea:

 

[linuxkasten]

Habe qemu nach dieser Anleitung gebaut: http://ar7-firmware.berlios.de/wiki/QEMU
Bekomme aber auch nur immer besagte Meldungen zu sehen, und wenn ich sie nach /dev/null umleite und -nographic weglasse, sehe ich im VNC-Fenster nur "serial0 console"...
Was mache ich falsch?

 

[MaxMuster]

Welche Box? Und wie wurde das Flash-Abbild erstellt? Ist das wirklich komplett und "in der richtigen Reihenfolge" der mtd's gebaut?

Jörg

 

[linuxkasten]

Das Image stammt von meiner 3170 mit Standardfirmware .58, die mtd´s 1-4 hab ich per ADAM2-FTP gezogen und dann mit cat mtd2 mtd1 mtd3 mtd4 > flashimage.bin zusammengebaut, da ich derzeit keinen telnet-Zugriff drauf habe... Das Dingens hat exakt (!) 4MB.
Aufruf: qemu-system-mipsel -M fbox-4mb -parallel none -L /pfad/ 2>/dev/null
Habe die neueste git-revision genommen und beim Bauen gabs keine Fehler. Kann es daran liegen dass ich das ganze unter 64-bit Linux mache?

 

[RalfFriedl]

Kann es daran liegen dass ich das ganze unter 64-bit Linux mache?

Nein, ich verwende ich 64-Bit Linux.

 

[linuxkasten]

Und bei Dir funktioniert es? Wie sehen deine Aufruf-Parameter aus? Welche Revisionsnummer?

 

[RalfFriedl]

Ich habe schon länger nichts mehr damit gemacht. War auf jeden Fall noch SVN und nicht Git.
Aufruf mit:

qemu-system-mipsel -M fbox-8mb -nographic -L test -no-reboot