w900v - Telnetd [gelöst]

[RoyceMcKnight]

AVM Firmware direkt von AVM wird momentan nicht laufen. Da der 900er ja auch diese DECT Telefon Geschichte mitbringt. Wenn dann geht die Firmware der Fbox 7150 - aber für diese Box gibt es selbst bei AVM noch keine Firmware zum Download.

Mehr Einstellmöglichkeiten hat AVM Web auf jeden Fall. Zb die ATA Geschichte. Wobei er bei mir bei ATA die Einstellungen nach dem Neustart vergisst. Dann gibts noch den Mail Push Service und viele weitere kleine Dinge die bei AVM Expertenoptionen heißen.

Wegen der angeblichen Einstellung: Noch glaub ich da irgendwie nicht dran.

 

[mega]

da drängt sich mir die Frage auf , hat man in der Weboberfläche von AVM-Fritbox mehr einstellmöglichkeiten als bei dem von T-COM ?

Ja, zumindest wenns läuft wie sich das hier die meistne Wünschen, hätte man dann alle Einstellungen, die die Original-Boxen auch haben.

 

[RoyceMcKnight]

Dieses verdammte, hinterhältige Halunken-Pack

Die haben doch tatsächlich die Aktivierung von telnetd bei der original TCom mittels Tastencodes deaktiviert.

Tauscht man die entsprechenden Files in der TCom Firmware gegen Files aus der aktuellen Lab Firmware für die 7170 aus, dann funzt es problemlos über die Tastencodes.

Die Portfreigabe/weiterleitung braucht man dann auch nicht mehr.

 

[Thor1967]

hallo RoyceMcKnight,

wie tausch ich das ganze den aus ? und wie bekomme ich die Files ?

wäre danke bar für jeden hinweis von dir

gruß

thor

 

[meyergru]

Die haben doch tatsächlich die Aktivierung von telnetd bei der original TCom mittels Tastencodes deaktiviert.

Ja, so sehe ich das auch:

1. Die Firmwares werden via Checksum/Signatur überprüft => Kein "Pseudoupdate". Bei Original-AVM wird da ja nur eine Warnung ausgegeben, die man überspringen kann, bei T-Home geht das nicht.

2. Telnetd zwar scheinbar über Tastencodes aktivierbar, aber entweder deaktiviert oder Port gesperrt, mit dem Webinterface auch nicht freizugeben (inklusive der Alternativ-IPs 192.168.2.254 usw.). Mit Tricks (FB-Editor) kann man die Konfiguration aber so hinpfuschen, so daß ich an eine bloße Portsperre nicht glaube.


Aber dann frage ich mich, wie hast Du das ursprünglich hinbekommen? Über die serielle Schnittstelle und dann per Änderung der debug.cfg? Oder war da mal eine ältere Firmware drauf, die weniger "Sicherheit" bot?

Die einzige andere Variante, die ich mir vorstellen kann, wäre direktes Flashen unter Umgehung des Webinterfaces mittels ADAM2.

 

[RoyceMcKnight]

Über serielle Schnittstelle starte ich Telnet einfach per /bin/busybox telnetd -l /sbin/ar7login

Aber mittlerweile egal, da ich dropbear auf der Box laufen habe

 

[meyergru]

Über serielle Schnittstelle starte ich Telnet einfach per /bin/busybox telnetd -l /sbin/ar7login

Mist. Dann kommt man ohne Öffnung des Geräts nicht an die Interna heran?

Ich tue mich selbst mit dem Reverse-Engineering des Firmware-Images schwer, da dieses ein "modernes" Fritzbox-Image ist, das ein "leeres" Filesystem (filesystem.image mit 0 Bytes) hat. Die enthaltene kernel.image enthält offenbar beides, aber das an der richtigen Stelle auseinanderzuhacken und das squashfs auszulesen ist wohl ziemlich kompliziert.

So könnte man ja wenigstens gucken, ob z.B. die AVM-Zweige auf dem Webserver vorhanden sind (dann ggf. einfach Rebranding auf avm via ADAM2) oder irgendwo versteckte, für uns nutzbare Funktionen im Webinterface lauern (beispielsweise eine Seite, mit der man unsignierte Firmware-Updates durchführen kann, wenn man die URL kennt).

Könntest Du mal ein rekursives File-Listing von /usr/www machen oder hast Du ein Tarfile vom Original-Filesystem des W900V?

 

[olistudent]

Im dsmod gibt es die Tools rmtichksum, find-squashfs,unsquashfs-lzma und mksquashfs-lzma. Damit solltest du weiterkommen.
Kannst auch mal hier probieren.

MfG Oliver

 

[Telefonmännchen]

Aber mittlerweile egal, da ich dropbear auf der Box laufen habe

Wie hast Du den draufbekommen, bzw. bekommst Du nach einem reboot wieder drauf. Brauche ich dazu unbedingt die serielle Konsole? Das wäre für mich ein KO-Kriterium, da ich es eigentlich vermeiden will das Teil zu öffnen.

Vorgestern habe ich hier auch schon eine Anfrage reingestellt, aber noch keine Antworten erhalten. Ich habe den W701V nur zum Einrichten hier (soll ja bis auf den DECT-Teil größtenteils baugleich zum W900V sein). Der soll ab Mitte Januar 650km entfernt seinen Dienst tun, mir es aber ermöglichen, mich zur Remoteadministration und Tunneling auf einen VNC-Server dahinter einzuloggen. Andersrum benutze ich das auch schon auf meiner Fritz7050, wenn ich mal weg bin. Brauche ich eine spezielle Version, oder kann ich die gleiche wie für meine 7050 benutzen, welche ich per wget von meinem Webspace lade. Was für ein Kernel wird für die Speedports genutzt? (EDIT: OK, die Antwort auf die Kernelversion habe ich gerade schon gefunden, also brauche ich die neue Version von olistudent.)

Gruß Telefonmännchen

 

[RoyceMcKnight]

Raufbekommen durch eine veränderte Firmware welche ich per ADAM2 eingespielt habe.

Starten tut der automatisch über ein init Script welches ich geschrieben habe. init Script wird (schlag mich nicht, wenn ich mich jetzt irre) über rc.S bzw. rc.init aufgerufen. Dort lege ich auch ein dev node im TFFS an, worin ich mittels tar die SSH Keys von dropbear speichere bzw. nach einem Neustart wieder lade.

Das ganze funzt so ziemlich ähnlich wie mit dem ds-mod.

Aber zum Basteln am 900er ist momentan unbedingt ne serielle Konsole erforderlich. Sonst siehst du einfach nicht was nicht hinhaut, wenn was nicht funzt, was ziemlich wahrscheinlich ist.

 

[meyergru]

Im dsmod gibt es die Tools rmtichksum, find-squashfs,unsquashfs-lzma und mksquashfs-lzma. Damit solltest du weiterkommen.

Vielen Dank für den Zeiger. Damit habe ich die Original-Firmware mal ausgepackt und verglichen.

Also: Es gibt nur die tcom-Version der WWW-Files.

Es ist mir leider nicht gelungen, durch Manipulation den Firmware-Signatur-Check zu umgehen. Man kann zwar das Verhalten von normalen FBoxen simulieren, aber dann tritt trotzdem ein Fehler auf (vermutlich ist tatsächlich die /usr/www/cgi-bin/firmwarecfg angepaßt).

Anders als bei meiner 7050 steht in /etc/avm_firmware_public_key{1,2} tatsächlich etwas sinnvolles drin. In der libsign.so wird openssl referenziert, d.h. es werden offenbar wirklich Public Key Verfahren benutzt, was effektiv eine Anpassung mit anschließendem Neuberechnen der Signatur verhindert.

Tja, so wie es aussieht, kommt man um das Aufspielen einer Firmware mittels ADAM2 nicht herum, wenn man da etwas machen will, was über das Ändern von Parametern in den Config-Files hinausgeht (Die debug.cfg ist da leider eingeschlossen).

Ich habe das mit dem ADAM noch nicht gemacht, zudem bei der W900V ja wohl alles in einem einzigen File enthalten ist (die 7050 hatte noch ein nicht-leeres filesystem.image). Aus der Erinnerung weiß ich, daß man da nur stückweise flashen kann und die Positionen der Files im EEPROM genau kennen muß? Man flasht dann nur die beiden (internen) Images (oder nur eins?) und läßt die Skripte usw. aus dem Firmware-File weg, oder?

Ahja, scheint hier zu stehen: http://www.tecchannel.de/server/linux/438995/index9.html

Rein theoretisch könnte man ja mal ein Image erzeugen, das den Symlink für telnetd auf busybox enthält und das ohne Check per ADAM2 flashen. Dann hätte man ja den Telnet. Eventuell noch den Public Key durch das übliche Textfile ersetzen, damit man danach ggf. ein Pseudoimage "flashen" kann.

 

[Telefonmännchen]

Die debug.cfg ist da leider eingeschlossen

Heißt das, die debug.cfg ist bei den Speedports auch readonly? Ich hoffe, ich habe Dich da mißverstanden. Das wäre ja dann mehr als suboptimal. Außerdem würde das ja eigentlich dem Sinn und Zweck dieser Datei widersprechen, denn nach meinem Verständnis existiert sie ja zum Debugging für die Entwickler. Auch wenn die Modder sie für andere Zwecke benutzt haben. Dann ist es ja mit einem sanften Modding auch Essig. Ich glaube, ich besorge mir doch lieber eine FritzBox. Da brauche ich dann halb so viele Klimmzüge.

Gruß Telefonmännchen

 

[meyergru]

Heißt das, die debug.cfg ist bei den Speedports auch readonly? Ich hoffe, ich habe Dich da mißverstanden.

Nicht readonly. Aber man kann sie erst gar nicht anlegen. Das kann man ja nur, indem man anfangs per Telnet darauf zugreift oder per "Pseudoupdate" und Skript die Datei anlegt. Und genau daran hapert's: Telnetd ist abgeklemmt und Firmwareupdate geht nur signiert ("Game Over Player 1!", zumindest die einfachen Wege sind damit abgeschnitten).

 

[meyergru]

Ich glaube, ich besorge mir doch lieber eine FritzBox. Da brauche ich dann halb so viele Klimmzüge.

Oh, ich vergaß: Wenn Du VDSL damit machen willst, wäre ich vorsichtig mit dieser Aussage. Falls das überhaupt geht, dann nur mit Tricks (siehe http://www.congenio.de/infos/vdsl.html). Offiziell sagt AVM nein dazu.

 

[Telefonmännchen]

@meyergru
Nein, der Anschluß ist dann auch ein ganz stinknormaler Call&Suf mit 3000kBit. Mehr gibt die Leitung nicht her. Mir gehts nur um eine möglichst unkomplizierte Hardware und eine Möglichkeit, Router und dahinter liegenden Rechner remote zu administrieren. Ich kann nicht bei jedem kleinen Problem 650km quer durch Deutschland fahren und wieder zurück.

Vielleicht muß ich dann doch die harte Tour anwenden. Mal sehen. Habe ja schon mal was gelesen, daß Telnet ging. Aber das war wohl eine ältere Firmware. Löten will ich auf keinen Fall. Wenn ich das mit einem seriellen Zugang mache, dann muß ich das anders kontaktieren. Mal sehen, wie ich das Ding aufbringe. Habe mich noch nicht drum gekümmert, da ich hoffte, das auf elektronischem Wege ohne Hardwareeingriff auf die Reihe zu bekommen. Deswegen habe ich mir doch extra den 701 besorgt. Die wollten mir erst nur den 500er (nicht 501) geben. Zum Glück hatte die im T-Punkt gerade eine frische Lieferung erhalten. Auf meinen 900er für mein eigenes Upgrade warte ich ja auch noch. Den lege ich mir erst mal nur in den Schrank. Danke erst mal.

Gruß Telefonmännchen

 

[Frank_I]

Hallo,

nchdem ich nun auch einen SP W 900V habe, würde ich auch gerne telnet machen. Nach dem Lesen dieses Threads bin ich aber nun nicht ganz schlau geworden (oder stehe auf dem Schlauch)...

Also bei mir verhält es sich genauso wie bei "Crusher22" [POSTING #5 in diesem Thread], so dass ich als Antwort auf

#96*7*

zwar

telnetd an

bekomme, dann aber keine Verbindung aufbauen kann. Auch eine Portfreigabe auf einer nicht benutzten IP bringt nichts und die IP des SP selbst lehnt die WebOberfläche ja kategorisch ab.

Kann mir jemand vielleicht nochmal erklären, wie man ohne Öffnen der Box telnet zum Laufen bringt?

Danke und Gruß
Frank

 

[meyergru]

Kann mir jemand vielleicht nochmal erklären, wie man ohne Öffnen der Box telnet zum Laufen bringt?

Kurz gesagt: Fast gar nicht.

Telnetd per Telefon bewirkt außer der Anzeige nichts, eine geänderte debug.cfg um den telnetd zu starten bekommst Du nicht hinein und eine eigene Firmware wird wegen der Signaturprüfung abgelehnt.

Bleiben nur noch zwei Varianten: Öfnen des Geräts und Anschluß einer JTAG-Schnittstelle oder eine Recovery, wobei per Adam2 ein Firmware-Image aufgespielt wird. Das ist aber riskant und ohne eine Recovery-Software (m.W. nach nicht verfügbar) kompliziert, weil es Transferlimits gibt, man muß da ziemlich basteln und das vorab erzeugte Image in viele Teile zerlegen.

Eine Anleitung gibt es hier: http://www.pcwelt.de/know-how/hardware/438995/index11.html

Aber Vorsicht: die Device-Namen und Parameter sind bei der W900V anders, weil es ein 2.6er Kernel ist:

dev: size erasesize name
mtd0: 00800000 00010000 "phys_mapped_flash"
mtd1: 006cdb00 00010000 "filesystem"
mtd2: 00770000 00010000 "kernel"
mtd3: 00010000 00010000 "bootloader"
mtd4: 00040000 00010000 "tffs (1)"
mtd5: 00040000 00010000 "tffs (2)"
mtd6: 00200000 00010000 "jffs2"
mtd7: 00570000 00010000 "Kernel without jffs2"

Eine Alternative dazu wäre es, das Block-Device /dev/mtd[45] mit den Konfigurationsdaten zu modifizieren, um dann per Adam2 nur dieses zu flashen und somit eine debug.cfg mit dem telnetd-Aufruf einzustellen. Leider habe ich keine Tools gefunden, um das darauf liegende TFFS (?) zu modifizieren.

Dabei fällt mir aber ein: RoyceMcKnight, könntest Du einen Dump von einem "fast jungfräulichen" (d.h. ohne Deine Konfirgurationsdaten) /dev/mtd4 inklusive debug.cfg mit dem Aufruf von telnetd machen? Dann könnten andere nur das per Adam2 flashen und müßten dann Telnet-Zugriff haben. Für mich ist das allerdings nicht mehr interessant, ich habe meinen W900V verkauft und benutze eine Fritzbox 7170 für VDSL.

 

[Thor1967]

Hi Frank_I,

geh mal hier auf den Link

da wird dir geholfen

gruß

Thor