Sphairon IAD 3221 Config (+VoIP) auslesen

Wenn man's einmal raushat ist es gar net so schwer *g*. ;-)

Bei "Erasing Flash" (oder kurz davor) ist es der richtige Zeitpunkt. Sollten dann nur Punkte kommen, hartnäckig bleiben (Brücke lassen!). Dann kam eine Aufforderung zum Taste drücken und nochmal die Punkte (Brücke immer noch lassen).

Musst ein paar mal probieren. Am besten geht's mit einer Steckdosenleiste mit Schalter und ner Stecknadel.
Wenn da steht "uncompressing uboot-image" war's zu früh. Bei "uncompressing kernel" ein Tick zu spät.

Code:
Recovery process also failed.
For environment CRC32 is NOT OK
env_relocate[518] malloced ENV at 81f90008
*** Warning - bad CRC, using default environment

env_relocate finished

Initialize devices...
In:    serial
Out:   serial
Err:   serial
Net:   danube Switch
Saving ubootconfig ...
Erasing Flash from B0020000 to B002FFFF ...
...................Erase Timeout
 done
Failed

Type "run flash_nfs" to mount root filesystem over NFS

Bad Magic Number

Trial 1 to boot Linux failed -> Trying again ...
Hit any key to halt in uboot ... 2
Boot retry aborted

Saving ubootconfig ...
Erasing Flash from B0020000 to B002FFFF ...
...................Erase Timeout
 done
Failed


DANUBE #
 
ok hat bei mir nun auch geklappt.

  1. Einschalten
  2. Pins nach ca. 1 Sekunde überbrücken und gebrückt halten, wenn das geklappt hat fordert er auf eine Taste zu drücken. Dazu hat man ca. 4 Sekunden Zeit. Wenn man zu früh brückt, bleibt das IAD einfach stehen ohne irgendetwas zu machen. Ich habe glaube aus versehen Pins 30&31 gebrückt... funktioniert auch :)
  3. Enter drücken
  4. DANUBE# Prompt erscheint
  5. Befehl 'printenv' funktioniert hier z.B.
  6. ubootreader verwenden, alle Optionsausschalten, als Adresse irgendeine von den vorher vorgeschlagenen verwenden (scheinen alle gemappt zu sein -> gleicher Inhalt), und FFFF Länge.
  7. Read out drücken & als xxxx.tgz speichern
  8. xxxx.tgz entpacken und dort die Infos rausfischen
 
Klasse.

Hast du mal versucht das ganze Flash auszulesen?
Wäre eventuell Interessant um mal zu sehen ob's noch verstecke Webseiten gibt.

Lässt sich bei mir leider nicht öffnen das Archiv. :-(
 
Na wer sagts denn ;), heute hats bei mir auch auf anhieb geklappt, auch wenns ein wenig anders aussah als bei Bigdesaster:


Initialize devices...
In: serial
Out: serial
Err: serial
Net: danube Switch
Saving ubootconfig ...
Erasing Flash from B0020000 to B002FFFF ...
...................Erase Timeout
done
Failed

Type "run flash_nfs" to mount root filesystem over NFS

## Error: "flash_flash" not defined
DANUBE #


konnte das archiv dann auch problemlos rausschreiben.

Danke, jetzt kann ich die IAD endlich aufs Altenteil schicken und die FB nutzen! :D
 
Zuletzt bearbeitet:
habe mal versucht, das ganze Flash auszulesen. Irgendwann hat sich aber der ubootreader aufgehangen. Werde jetzt erstmal die FB in Betrieb nehmen und danach mir mal folgende Bereiche dumpen:
f1_uboot_addr=0xB0000000
f1_uboot_size=0x1FF00
f2_uboot_addr=0xB0800000
f2_uboot_size=0x1FF00
f1_firmware_addr=0xB0050000
f1_firmware_size=0x40000
f2_firmware_addr=0xB0850000
f1_rootfs_addr=0xB0090000
f1_rootfs_size=0
f2_rootfs_addr=0xB0890000
f1_rootfs_end=0xB0090000
f1_kernel_addr=0xB07FFFFF
f1_kernel_size=0
f1_sysconfig_addr=0xB0030000
f1_sysconfig_addr2=0xB0040000
f2_sysconfig_addr=0xB0830000
f2_sysconfig_addr2=0xB0840000
f1_sysconfig_size=0x10000
f2_sysconfig_size=0x10000
f1_ubootconfig_addr=0xB0020000
f1_ubootconfig_size=0x10000
f2_ubootconfig_addr=0xB0020000
f2_ubootconfig_size=0x10000

vielleicht finden wir ja für Benutzer mit gleichen Problemen eine Möglichkeit die VoIP Daten aus dem WebIF auszulesen

edit:
dps_wholesale.add
InternetGatewayDevice.WANDevice.1.WANConnectionDevice.3.WANIPConnection.0.Name;103;0;0;1;-1;678;678;;HN-Backdoor
gut zu wissen ^^

edit2:
ok, hab die dumps jetzt. Firmware Area (256kB) ist allerdings ein squashfs mit lzma und das kann mein ubuntu nicht von Haus aus :-( hab' nebenbei auch noch ein paar Links gesammelt...
http://wiki.gpl-devices.org/wiki/Sphairon_Turbolink_IAD (dort ist auch link zum FW download, konnte allerdings die webseiten nicht drin finden)
http://www.ip-phone-forum.de/showthread.php?t=98530

nebenbei noch 'nen Bug in der Sphairon Webseite gefunden... http://www.sphairon.com/fld3530/ bei der Suche "3231" eingeben :)

beim DANUBE prompt mal led 1 bzw. led 0 eingeben ;)
 
Zuletzt bearbeitet:
Fritzbox läuft schon :)
IAD dafür nicht mehr. Läuft jetzt von allein in den DANUBE# Prompt *gg*.
Mir hat's irgendwie durch's rumprobieren die "Enviroment Variabeln" total verbogen. Hab zum Glück noch n Log da wie Sie richtig gehören. Aber im Moment gefällt mir das so ganz gut zum rumspielen *gg*
 
habe heute das Firmware Image von 0xB0050000 (size: 0x40000) entpackt. Darin zu finden waren: DANUBE_2.1.2.13.0.2.bin und modemhwe.bin. Beide haben 293kB und sind inhaltlich identisch, kann aber (noch) nichts mit anfangen.

Address Ranges:

  • FLASH (0xB0000000 - B0FFFFFF)
    • 0xB0000000 (uboot, size:0x1FF00) part0
    • 0xB001FF00 (ETL, size:0x100)
    • 0xB001FF80 (MACADDR, size:0x11) //als ASCII mit Doppelpunkt gespeichert
    • 0xB0020000 (ubootconfig, size:0x10000) part1
    • 0xB0030000 (sysconfiga, size:0x10000) part2/part7
    • 0xB0040000 (sysconfigb, size:0x10000)
    • 0xB0050000 (firmware, size:0x40000) part8
    • 0xB0090000 (rootfs, size:0x0) part9
    • 0xB07FFFFF (kernel: size:0x0)
    • 0xB0800000 (uboot2, size:0x1FF00) part5
    • 0xB0820000 () part6
    • 0xB0830000 (sysconfig2a, size:0x10000)
    • 0xB0840000 (sysconfig2b, size:0x10000)
    • 0xB0850000 (firmware2, size:0x27040) part3
    • 0xB0890000 (rootfs2, size:0x521000, end:0xb0db0fff) part4
    • 0xB0F27C3B (kernel2, size:0xd83c5)
  • RAM (0x80400000 - ?)

jippie, ich hab' jetzt Zugriff auf fast alle Seiten (rootfs sei dank)! Nur die Daten aus der database.txt habe ich noch nicht gefunden bzw. weiß ich nicht unter welchem Controller die laufen sollen. Hätte jetzt drei Möglichkeiten um über's WebIF an die VoIP zu kommen:
1. eigene Firmware uploaden, die die Daten irgendwo ins Web-Verzeichnis schreibt
2. über die Weboberfläche lassen sich Pakete sniffen (br0-2 und eth0 /.1 /.2 /.3)
3. config konverter reversen

mal sehen, vielleicht findet sich ja noch mehr ;-)

probiert mal controller=System&action=IndexAccessConfig

edit: Tool zum config konvertieren hab' ich nun auch gefunden.. :)

edit2: Ich kann die Seiten alle hier posten, nur weiß ich nicht, ob das rechtlich ok wäre...
 
Zuletzt bearbeitet:
[Edit frank_m24: Sinnfreies Vollzitat vom Beitrag direkt darüber gelöscht. Lies noch mal die Forumregeln.]

Wenn du die Seiten nicht hier veröffentlichen willst, kannst Du sie mir per pn mitteilen?
Danke
 
Was für Seiten?
Im übrigen. Wenn man den Expertenmodus aktiviert, dann geht auch die FirmwareUpdate-Seite sowie DynDNS kann man dann auch einrichten. (Links hier im Thread)

Bräucht ich nur noch ne aktuelle Firmware. Mein IAD läuft zwar wieder, aber in der seriellen Konsole kommt nach start des UBoot und entpacken des Kernels nur noch müll *gg*:-o

Edit:
Und die VoIP-Daten (die wo sich aus Seriennummer des IAD und seinem startpasswort zusammensetzen) kann man dann unter
http://192.168.1.1/web.cgi?controller=Internet&action=IndexAccessDataVoip
einsehen ;-)
 
Zuletzt bearbeitet:
IndexSyslog, IndexDiagnostic, IndexAccessDataVoip, etc. Schreib mir mal eine PN mit deiner Mailadresse, dann lass ich dir ein Textfile zukommen.

Firmwareupdate habe ich schon probiert, habe dazu das ausgelesene rootsfs verwendet, ist aber bei der Überprüfung fehlgeschlagen.

Kennt sich jemand mit MIPS Assembler (ELF) aus? Könnte da ein bisschen Hilfe gebrauchen.

Die Config, welche man sich über's Webinterface downloaden kann, scheint übrigens eine gepackte & verschlüßelte (vermutlich MD5+AES) Datei zu sein, die database, rc.conf und pin.txt enthält. Die Verschlüßelung nimmt "/bin/cfg_export" vor, das Skript zum steuern befindet sich bei "/etc/rc.d/cfg_export".

Firmwareversionen werden anscheinend nicht released. Theoretisch müsste es auch irgendwo die verwendeten GPL Teile des Devices geben, kann sie nur nirgends finden...
 
Vielen Dank. :)

Ich frag mich nur warum die die Weboberfläche so kastriert haben.
Bei dem was man da alles einstellen kann/könnte braucht man fast keine Fritzbox mehr.

Hab mal n paar der Interessantesten seiten angehängt:
 

Anhänge

  • WEBLinks.txt
    2.7 KB · Aufrufe: 534
hab schon überlegt einfach die fehlenden Teile für USB drauf zu löten, aber Box gehört mir ja nicht :)
 
Hehe.
Ich hab mein IAD so umprogrammiert, das man 3 sek. Zeit hat CTRL-C zu drücken um in Promt zu kommen. Ansonsten startet sie ganz normal. :)

Du weisst nicht zufallig wie man selbst den Flash in ne Datei auslesen kann (also ohne zusätzliche Software?)
 
Zuletzt bearbeitet:
ne, wie man den Flash ohne serielle Schnittstelle auslesen kann... keine ahnung :-/

man könnte die funktion höchstens ins webinterface integrieren (z.b. durch eine modifizierte firmware -> softlink auf den flash oder sowas... )
 
Hat es schon jemand geschafft den IAD 3231 mit einer Fritbox im Repeater Modus zu bekommen?
 
ist es möglich per FTP auf die Box zu kommen ? .. die daten müssten ja gleich sein und die zugangsdaten sollten sich auslesen lassen.

ich trau mich an die box nicht wirklich ran habe auch noch nie gelötet nur würde ich gerne meine FB einsetzten .. danke schonmal im vorraus
 
Könnte jemand sich erbarmen und mir mitteilen wie man die config.bin des IAD 3221 entschlüsselt ? ein XOR ist es nicht.

Gruß
 
@mshlp:
imho kann die noch niemand entschlüßeln und ausser dir interessiert sich auch kaum jemand dafür :-( Hab ja weiter oben schon geschrieben, dass es vermutlich MD5+AES (also mehrere XOR's :D ) ist.

@theneo01:
man kann vermutlich per FTP drauf, wenn man die Zugangsdaten kennt. Scheinen für jede Box wirklich gleich zu sein. Ich hatte aber keinen Erfolg die (MD5?) Hashes zu knacken... Man kann auch ein config File per Weboberfläche ziehen, allerdings auch verschlüßelt.

@dirk32:
keine Ahnung, probiers mal aus :) Wenn du 'ne Liste der möglichen Seiten brauchst -> PM.
 
Zuletzt bearbeitet:
Wo könnten die entsprechenden Signale sein ?

(Um ein Doppelposting zu vermeiden) Ich hatte in einem anderen Thread hier http://www.ip-phone-forum.de/showpost.php?p=1286520&postcount=314 nach der entsprechenden Stelle auf dem Board für die Signale gefragt. Leider hat die bisher einzige Antwort (die vier Pinne auf der linken Seite in der Mitte) nicht gepasst. Wer kann mir helfen ? Gibt es verschiedene Boards für das IAD 3221 ?

Vielen Dank und Grüße von
Werner
 
ne, so schaut mein Board auch aus. Hab' dir die Pins mal markiert.
Im Kreis: RX TX
Zwischen den zwei Strichen: Ca. 1 Sek. nach Stromzufuhr überbrücken. (Klappt meist nicht bei den ersten Versuchen :))
 

Anhänge

  • iad3221rxtxpins.jpg
    iad3221rxtxpins.jpg
    391.5 KB · Aufrufe: 402
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.