sfstudio Опубликовано 31 мая, 2018 · Жалоба 18 минут назад, getasbrb сказал: С другой стороны, кто вам сказал, что он проверил? А что авторизация может использоваться не для WEB, вам в голову не приходит? Вот поэтому и говорю про паранойю. Вам уже длинк прямым тесктом сказал, да дырка есть. Какие вам ещё доказательства нужны. Цитата А то что cwmp сам по себе анальный зонд от провайдера, не смущает? Нет не смущает, ибо у нормальных людей оно само не стартует и в роже отключается, и 3им лицам туда доступа нет. Цитата И заметьте, конечным пользователям про это ни слова не говорят, и даже опенсорсность тут не спасает - ну есть в openwrt cwmp, ну открыт, так всё равно провайдер через него что хочешь с твоим устройством сделает. Проблема не в наличии, а в том, что доступно всем по сути. А не только провайдеру для якобы благих целей. Цитата А как тут диагноз не поставить? На основании чего сделан такой вывод? Вывод чего? Диагноз тут скорее по вам плачет. На обиды пофиг, но т.к. я человек по натуре добрый и разумный, то давайте дадим им шанс исправиться и провести аудит своего творчества? Цитата Только при условии, что им можно воспользоваться для доступа к устройству. Во приду домой, проверю оба пароля. Распаковал прошивку - нет там rompager, там только httpd. Зато в tr069 есть упоминания HTTP, похоже там своя реализация. Аллилуя. Более того, из tr069 доступны все параметры nvram включая рутовые пароли, ещё и на RW, т.е. используя tr069 получаем полный доступ уже потом штатными средствами. Цитата На здоровье, вот только просьба не делать ничем необоснованных выводов, а то получается какое-то изнасилование журналиста. Да и не пофиг вам на обиды длинка? Выводы обоснованы от и до. И даже сам длинк вам об этом чётко сказал. Цитирую: Цитата т.н. backdoor является одним из требований технического задания и представляет собой инженерный аккаунт для осуществления удаленной технической поддержки клиентов специалистами оператора. И проблема даже не в самом наличии дырки для оператора. А именно в том, что пароли извлекаются эллементарно и лежат в софте открытым текстом. Более того, они НЕИЗМЕНЯЕМЫ. Пользователь о наличии дырки не извещён, крутилки в роже для её отключения нет. Благодаря всему этому возможна эксплуатация (и наверняка эксплуатируется) кулхацкерами средней руки. А т.к. статика то ещё и не сменить если вдруг скомпроментировали. У нас, например тоже есть возможность использовать сервисный экаунт. Но во первых он не забит жёстко, во вторых выключен по дефолту, в третьих возможноть документирована, и включение опции логируется + пользователю доступна опция (даже если оператор включил) отключить оную. Тоже самое касается CWMP. Который вообще суть отдельный контур управления, причём с теми же разрешениями что и рут доступ к роже. Вот в этом разница между общедоступным бэкдором и сервисным входом, который в любом случае использовать настоятельно не рекомендуется, т.к. зона ответственности оператора не должна быть столь безграничной. В общем разберитесь в вопросе. Потом приходите с/за диагнозами. А то уже мне за логику обидно. Когда уже вендор сказал - ДА вот оно есть, имеется, один фиг продолжается какое-то отрицание. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 31 мая, 2018 · Жалоба 22 минуты назад, getasbrb сказал: А это вопрос к вашему другу Sd :) "Так что точно бэкдор во всех клиентах." Вы видимо не в курсе если CWMP стартует безусловно при загрузки ПО при этом в его WEB доступ с дефолтовым статиком забитым паролем снаружи (а внутри он нафиг никому не нужен) то это ничем не лучше чем скрытый экаунт для WEB. Так что он абсолютно прав. В клиенте TR-069 у длинк (кстати вы в курсе что 069 тут не при делах и это всего лишь номер набора рекомендаций и ныне оно давно не 069?) наблюдается зияющая дырень - бэкдор. Больше вам ничего сказано не было. Будьте внимательнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
getasbrb Опубликовано 31 мая, 2018 · Жалоба 27 minutes ago, sfstudio said: Вам уже длинк прямым тесктом сказал, да дырка есть. Какие вам ещё доказательства нужны. ЕМНИП дырлинк сказал про кастомную версию для ISP. Что у них там в кастоме мне насрать, в конце концов, пользующиеся роутером от провайдера - сами себе злобные буратины и их не жаль. А в общедоступной версии есть только вызов аутентификации, и вот когда мне продемонстрируют атаку на cwmp на моём 620, вот тогда я и убежусь, что это не бред и не паранойя. 33 minutes ago, sfstudio said: Вывод чего? Ну не надо шлангом прикидываться, я тоже так могу. Вот это: "по сути используя и одну и вторую можно получить доступ к настройкам устройства включая смену реквизитов доступа". Как вы пришли к таким выводам? 26 minutes ago, sfstudio said: Вы видимо не в курсе если CWMP стартует безусловно при загрузки ПО при этом в его WEB доступ с дефолтовым статиком забитым паролем снаружи (а внутри он нафиг никому не нужен) то это ничем не лучше чем скрытый экаунт для WEB. Так что он абсолютно прав. В клиенте TR-069 у длинк (кстати вы в курсе что 069 тут не при делах и это всего лишь номер набора рекомендаций и ныне оно давно не 069?) наблюдается зияющая дырень - бэкдор. Больше вам ничего сказано не было. Будьте внимательнее. Опять же ЕМНИП, у меня ТР069 отключатеся через web. Начнем сначала: какие основания считать что в клиенте бэкдор? Кроме наличия хардкоженного пароля для НЕИЗВЕСТНЫХ(!) целей, других аргументов пока не вижу. ЗЫ: В курсе, что это технические отчёты, и советую вам самому быть внимательнее, TR-069 пока не потерял своей актуальности, и он всё ещё 69. Убедиться просто, открываем: https://www.broadband-forum.org/standards-and-software/technical-specifications/technical-reports и смотрим дату последней версии (TR-069 Amendment 6, март 2018) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 31 мая, 2018 · Жалоба 21 минуту назад, getasbrb сказал: ЕМНИП дырлинк сказал про кастомную версию для ISP. Что у них там в кастоме мне насрать, в конце концов, пользующиеся роутером от провайдера - сами себе злобные буратины и их не жаль. А в общедоступной версии есть только вызов аутентификации, и вот когда мне продемонстрируют атаку на cwmp на моём 620, вот тогда я и убежусь, что это не бред и не паранойя. Вы не настоль значимая личность, что вы вас убеждать. Кастомы доступны в сети, ссылки выше. Кастомы работают на реальной сети крупнейшего оператора и т.д. А вообще вы правы, те кто пользуется роутерами от Д-Линк - ССЗБ. Тут не поспоришь. И именно благодаря вот таким раздолбаям-вредителям и сложилось мнение, аля роутер от оператора - спасибо не надо! И мы с трудом, работая в этой сфере, переламываем это мнение. И вот этот аспект меня как раз касается больше всего. Что вы там у себя юзаете мне вообще перпендикулярно. Цитата Ну не надо шлангом прикидываться, я тоже так могу. Вот это: "по сути используя и одну и вторую можно получить доступ к настройкам устройства включая смену реквизитов доступа". Как вы пришли к таким выводам? ОООООООО. У вас подгорело? Как же я мог придти к выводам, что имея доступ к CWMP или у Web через операторскую дырку я получу доступ по сути ко всему? Ну навреное я в курсе как работает CWMP к примеру, в т.ч. на примере D-Link ACS, у нас человек пилил с ними совместимость. Цитата Опять же ЕМНИП, у меня ТР069 отключатеся через web. Начнем сначала: какие основания считать что в клиенте бэкдор? Кроме наличия хардкоженного пароля для НЕИЗВЕСТНЫХ(!) целей, других аргументов пока не вижу. В конкретной версии ПО которую разбирал товарищ отключение из WEB, как я понял отсутствует и оно стартует сразу. Какая разница какие цели? Вот вы сделали дырку в женский туалет что бы подсматривать за бабами. А добрый Вася нашёл дыру и дунул через неё зорина. Цитата ЗЫ: В курсе, что это технические отчёты, и советую вам самому быть внимательнее, TR-069 пока не потерял своей актуальности, и он всё ещё 69. Убедиться просто, открываем: https://www.broadband-forum.org/standards-and-software/technical-specifications/technical-reports и смотрим дату последней версии (TR-069 Amendment 6, март 2018) Он и не потеряет, ибо прямое наследование. Но правильнее говорить о реализации CWMP протокола версии такой-то такой-то. Если ободрать CWMP до поддержки только 069 даже в D-link ACS половина работать перестанет. Могу дать контакты человека который у нас занимается оным, сможете с ним делатльно обсудить, если интересно. Ещё раз. Вас никто не в чём убеждать не собирается. Дырка есть как минимум в софте крупнейшего оператора, это признано Д-Линк (см их ответ). Т.е. уязвимых устройств десятки тысяч как минимум. Всё остальное словоблудие. Хотите что бы именно вашу версию ПО продиагностировали и предоставили методику взлома? Ну дык касса скажу где. Я по остаткам длинков у моих партнёров уже заказал. Дорого зараза нынче такая работа стоит. Никто не утверждал что дыра прям все 100500 ревизий и все версии ПО затрагивает. Поэтому будь-те добры себе диагнозы ставить. Но не удивлюсь если это окажется так. Даже не удивлюсь что дёргаемая из cwmp функция не добавляет доп экаунт который будет доступен в т.ч. при входе с телнета. Но это уже так, фантазии. P.S. Даже ССЗБ не заслуживают подобного обращения. То что вам на них насрать, это ваше право. Факта это не отменяет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 31 мая, 2018 · Жалоба Вот кусок из data model d-link реализации cwmp: <object name="User"> <object name="1"> <!-- user management --> <param name="Enable" get_func="cpe_get_const_string" set_func="cpe_set_null" args="1"/> <param name="Username" get_func="cpe_get_nvram_string" set_func="cpe_set_user_name" args="Login" reload_func="cpe_reload_user"/> <param name="Password" get_func="cpe_get_nvram_string" set_func="cpe_set_nvram_string" args="Password" reload_func="cpe_reload_user"/> </object> <object name="2"> <!-- operator managment --> <param name="Enable" get_func="cpe_get_user_mngmt_enable" set_func="cpe_set_user_mngmt_enable" reload_func="cpe_reload_user"/> <param name="Username" get_func="cpe_get_nvram_string" set_func="cpe_set_user_name" args="MngmtLogin" reload_func="cpe_reload_user"/> <param name="Password" get_func="cpe_get_nvram_string" set_func="cpe_set_nvram_string" args="MngmtPassword" reload_func="cpe_reload_user"/> </object> </object> Первый объект это юзер полубесправный, второй это рут, реквизиты обоих доступны к смене по CWMP. Версия протокола 1.15. Так же оттуда доступно и обновление ПО и ещё куча фигни. А сформировать образ для завливки для RT305x вообще не проблема. И весь инструментарий доступен. Как и перепаковать модифицированную. При этом подсадив туда зловреда и оно даже после сброса в дефолт уже будет заражено. Короче раздолье. Вроде ни где не ошибся. CWMP не моя задача в контексте wive, так что поправят если что. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
getasbrb Опубликовано 1 июня, 2018 (изменено) · Жалоба Итак, отписываюсь по результатам обещанной проверки. Стащил прошивку с FTP, зашил, попробовал зайти на веб-морду с теми credentials что упомянуты в отчете и тут на форуме - не пускает. cwmp отключен и в списках процессов tr069 отсутствует. Выводы - в кашперском работают идиоты, а на форуме присутствуют параноики. Ещё раз, для не умеющих в логику: (наличие захардкоженных credentials в прошивке) != (бэкдор||уязвимость) 20 часов назад, sfstudio сказал: Первый объект это юзер полубесправный, второй это рут, реквизиты обоих доступны к смене по CWMP. Версия протокола 1.15. Так же оттуда доступно и обновление ПО и ещё куча фигни. А сформировать образ для завливки для RT305x вообще не проблема. И весь инструментарий доступен. Как и перепаковать модифицированную. При этом подсадив туда зловреда и оно даже после сброса в дефолт уже будет заражено. Я как бы знаю, что такое протокол CWMP, правда, с другой стороны. Всё вышеописанное - это вообще стандартный функционал, и ваши snr точно также "уязвимы". Причем, ЛЮБОЙ девайс, поддерживающий протокол CWMP!!! Стоит поднять в локальном сегменте сети DHCP сервер (а провайдеров, не разделяющих своих клиентов до сих пор до фига), прописать там нужную 43-ю или 125-ю опцию, и вуаля - любой девайс с поддержкой CWMP ваш с потрохами! Изменено 1 июня, 2018 пользователем getasbrb Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 1 июня, 2018 · Жалоба 44 минуты назад, getasbrb сказал: Итак, отписываюсь по результатам обещанной проверки. Стащил прошивку с FTP, зашил, попробовал зайти на веб-морду с теми credentials что упомянуты в отчете и тут на форуме - не пускает. cwmp отключен и в списках процессов tr069 отсутствует. Выводы - в кашперском работают идиоты, а на форуме присутствуют параноики. Да правда? =))) Ну дык радуйтесь. Версии для РТК о которых говорил кашперовски вы тоже проверили? Или то что у федерального оператора дыра это херня ибо вас лично не касается? Ну или Д-Линк решил сам себя оболгать признав проблему. Прекрасно. =) Опять таки никто не говорил что оно есть везде и доступно всегда. Но уже у самого зачесалось проверит. Иначе со стороны Д-линк полный тупизм признавать несуществующие проблемы. Но в это мне всё же вериться меньше всего. Цитата Ещё раз, для не умеющих в логику: (наличие захардкоженных credentials в прошивке) != (бэкдор||уязвимость) Читайте внимательно. Цитата Я как бы знаю, что такое протокол CWMP, правда, с другой стороны. Всё вышеописанное - это вообще стандартный функционал, и ваши snr точно также "уязвимы". Вот хрен угадали. У нас оператор сам конфигурит все параметры подключения CWMP к ACS включая пароли. Вот и всё. Ещё раз. Дыра не в том, что есть возможность управления. А в том что пары логин пароль вшиты жёстко. Для managment юзера у нас так же по дефолту не задано ничего, т.е. если оператор не задал параметры, свои, придуманные, то managment юзера в системе нет вообще. Появляется он именно после того как будут заданы его реквизиты руками. И они остаются доступны для изменения или удаления. Ну и кто вам грил что не штатная? Я вроде такого не грил. Я вам отвечал с чего я взял что имея доступ к CWMP смогу например реквизиты входы у УЙ поменять. Вот именно с того и смогу. =) Это ровно всё к тому же примеру про дырку в туалете (оператор для себя что бы рулить девайсами) проковырял один во благо, а второй туда газку жахнул через неё. Вопрос исключительно как много было в том тулете баб. В случае с РТК боюсь немеряно. Цитата Причем, ЛЮБОЙ девайс, поддерживающий протокол CWMP!!! Стоит поднять в локальном сегменте сети DHCP сервер (а провайдеров, не разделяющих своих клиентов до сих пор до фига), прописать там нужную 43-ю или 125-ю опцию, и вуаля - любой девайс с поддержкой CWMP ваш с потрохами! И с SNR обломаешся, т.к. мы отказались даже рассматривать реализацю подобного причём с дефолтной активацией. Всё исключительно ручками, ибо нехер. DHCP снупинг ныне умеют почти все L2 и L3 свитчи. На доступе мало у кого остались мыльницы, слава богу. Это не отменяет архитектурного уродства CWMP впринципе. Оттуда и наш отказ от активации по наличию опции в ответах DHCP. Более того, не зная реквизитов ну развернёте вы DHCP, ну подсуните адрес ACS. А дальше? Тут вся соль, что если оператор передал опцию (ну например если активация по ней) запустился cwmp - стал доступен из мира его web. Зная реквизиты можем творить с девайсом что угодно. P.S. Какое железо у этого REV_G в который вы лили? Мне аж самому интересно посмотреть, может найду такую. Так. G это броадком, тут без шансов. Нет и не предвидиться. Щас возьмём F1 для РТК фирмварь и посмотрим. Судя по всему версии под РТК шли только под RT3x5x/MT7620 вот их и стоит колупнуть. BCM видимо досталось меньше, возможно потому что РТК не запрашивал. Так что всё сходиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 1 июня, 2018 · Жалоба Эх млять. Запорол девайс. Эти нелюди бут заразы обновляют при первом старте. Как-то я не подумал что такие психопаты ещё остались. Ну щас некогда доставать программатор, другой работы полно: 3: System Boot system code via Flash. ## Checking image at bc050000 ... Image Name: DIR_620DF1A Image Type: MIPS Linux Kernel Image (lzma compressed) Data Size: 1216393 Bytes = 1.2 MB Load Address: 80000000 Entry Point: 8000c2f0 Verifying Checksum ... OK Uncompressing Kernel Image ... OK No initrd ## Transferring control to Linux (at address 8000c2f0) ... ## Giving linux memsize in MB, 128 Starting kernel ... LINUX started... THIS IS ASIC Linux version 2.6.36+ (builder@rd) (gcc version 4.1.2) #1 Thu Apr 23 13:00:46 MSK 2015 The CPU feqenuce set to 580 MHz MIPS CPU sleep mode enabled. PCIE: bypass PCIe DLL. PCIE: Elastic buffer control: Addr:0x68 -> 0xB4 disable all power about PCIe CPU revision is: 00019650 (MIPS 24Kc) Software DMA cache coherency Determined physical RAM map: memory: 02000000 @ 00000000 (usable) Zone PFN ranges: Normal 0x00000000 -> 0x00002000 Movable zone start PFN for each node early_node_map[1] active PFN ranges 0: 0x00000000 -> 0x00002000 Built 1 zonelists in Zone order, mobility grouping on. Total pages: 8128 Kernel command line: console=ttyS1,57600n8 root=/dev/mtdblock5 console=ttyS0 HZ = 100 PID hash table entries: 128 (order: -3, 512 bytes) Dentry cache hash table entries: 4096 (order: 2, 16384 bytes) Inode-cache hash table entries: 2048 (order: 1, 8192 bytes) Primary instruction cache 64kB, VIPT, , 4-waylinesize 32 bytes. Primary data cache 32kB, 4-way, PIPT, no aliases, linesize 32 bytes Writing ErrCtl register=00045400 Readback ErrCtl register=00045400 Memory: 28524k/32768k available (3057k kernel code, 4244k reserved, 501k data, 172k init, 0k highmem) NR_IRQS:128 console [ttyS1] enabled Calibrating delay loop... 385.84 BogoMIPS (lpj=1929216) pid_max: default: 32768 minimum: 301 Mount-cache hash table entries: 512 NET: Registered protocol family 16 bio: create slab <bio-0> at 0 SCSI subsystem initialized usbcore: registered new interface driver usbfs usbcore: registered new interface driver hub usbcore: registered new device driver usb Switching to clocksource Ralink Systick timer dru filter: 0% -> 0x00000000 avenrun dru filter: 80% -> 0x00000666 avenrun dru filter: 120% -> 0x00000999 avenrun Registered /proc/sys/dru NET: Registered protocol family 2 IP route cache hash table entries: 1024 (order: 0, 4096 bytes) TCP established hash table entries: 1024 (order: 1, 8192 bytes) TCP bind hash table entries: 1024 (order: 0, 4096 bytes) TCP: Hash tables configured (established 1024 bind 1024) TCP reno registered UDP hash table entries: 256 (order: 0, 4096 bytes) UDP-Lite hash table entries: 256 (order: 0, 4096 bytes) multicast routing: unresolved cache size is 200, expires at 1.0 sec (HZ = 100) NET: Registered protocol family 1 RT3xxx EHCI/OHCI init. squashfs: version 4.0 (2009/01/31) Phillip Lougher fuse init (API version 7.15) msgmni has been set to 55 Block layer SCSI generic (bsg) driver version 0.4 loaded (major 254) io scheduler noop registered (default) Ralink gpio driver initialized Serial: 8250/16550 driver, 2 ports, IRQ sharing disabled serial8250: ttyS0 at MMIO 0x10000500 (irq = 37) is a 16550A serial8250: ttyS1 at MMIO 0x10000c00 (irq = 12) is a 16550A deice id : c2 20 18 c2 20 (2018c220) MX25L12805D(c2 2018c220) (16384 Kbytes) mtd .name = raspi, .size = 0x01000000 (0M) .erasesize = 0x00000010 (0K) .numeraseregions = 65536 off at block 0x120000 squashfsb.s_magic 0x29ceea5e off at block 0x130000 squashfsb.s_magic 0xb7554a13 off at block 0x140000 squashfsb.s_magic 0xed3c6f96 off at block 0x150000 squashfsb.s_magic 0x8a3f5daa off at block 0x160000 squashfsb.s_magic 0xc815caab off at block 0x170000 squashfsb.s_magic 0x8470241b off at block 0x180000 squashfsb.s_magic 0x73717368 squashfs filesystem found at block 0x180000 Creating 7 MTD partitions on "raspi": 0x000000000000-0x000001000000 : "ALL" 0x000000000000-0x000000030000 : "Bootloader" 0x000000030000-0x000000040000 : "Config" 0x000000040000-0x000000050000 : "Factory" 0x000000050000-0x000000180000 : "Kernel" 0x000000180000-0x000000800000 : "RootFS" 0x000000050000-0x000000800000 : "Linux" SMACCR1 -- : 0x0000f8f0 SMACCR0 -- : 0x829c08bf Ralink APSoC Ethernet Driver Initilization. v3.1 512 rx/tx descriptors allocated, mtu = 1500! NAPI enable, Tx Ring = 512, Rx Ring = 512 SMACCR1 -- : 0x0000f8f0 SMACCR0 -- : 0x829c08bf PROC INIT OK! PPP generic driver version 2.4.2 PPP Deflate Compression module registered PPP BSD Compression module registered PPP MPPE Compression module registered NET: Registered protocol family 24 PPTP driver version 0.8.5 ehci_hcd: USB 2.0 'Enhanced' Host Controller (EHCI) Driver rt3xxx-ehci rt3xxx-ehci: Ralink EHCI Host Controller rt3xxx-ehci rt3xxx-ehci: new USB bus registered, assigned bus number 1 rt3xxx-ehci rt3xxx-ehci: irq 18, io mem 0x101c0000 rt3xxx-ehci rt3xxx-ehci: USB 0.0 started, EHCI 1.00 usb usb1: New USB device found, idVendor=1d6b, idProduct=0002 usb usb1: New USB device strings: Mfr=3, Product=2, SerialNumber=1 usb usb1: Product: Ralink EHCI Host Controller usb usb1: Manufacturer: Linux 2.6.36+ ehci_hcd usb usb1: SerialNumber: rt3xxx hub 1-0:1.0: USB hub found hub 1-0:1.0: 1 port detected ohci_hcd: USB 1.1 'Open' Host Controller (OHCI) Driver rt3xxx-ohci rt3xxx-ohci: RT3xxx OHCI Controller rt3xxx-ohci rt3xxx-ohci: new USB bus registered, assigned bus number 2 rt3xxx-ohci rt3xxx-ohci: irq 18, io mem 0x101c1000 usb usb2: New USB device found, idVendor=1d6b, idProduct=0001 usb usb2: New USB device strings: Mfr=3, Product=2, SerialNumber=1 usb usb2: Product: RT3xxx OHCI Controller usb usb2: Manufacturer: Linux 2.6.36+ ohci_hcd usb usb2: SerialNumber: rt3xxx-ohci hub 2-0:1.0: USB hub found hub 2-0:1.0: 1 port detected usbcore: registered new interface driver usblp Initializing USB Mass Storage driver... usbcore: registered new interface driver usb-storage USB Mass Storage support registered. Ralink APSoC Hardware Watchdog Timer Netfilter messages via NETLINK v0.30. nf_conntrack version 0.5.0 (445 buckets, 1780 max) ctnetlink v0.93: registering with nfnetlink. matchsize=264 IPVS: Registered protocols () IPVS: Connection hash table configured (size=4096, memory=32Kbytes) IPVS: ipvs loaded. GRE over IPv4 demultiplexor driver gre: can't add protocol ip_tables: (C) 2000-2006 Netfilter Core Team, Type=Linux arp_tables: (C) 2002 David S. Miller TCP cubic registered NET: Registered protocol family 10 lo: Disabled Privacy Extensions ip6_tables: (C) 2000-2006 Netfilter Core Team IPv6 over IPv4 tunneling driver sit0: Disabled Privacy Extensions NET: Registered protocol family 17 Bridge firewalling registered Ebtables v2.0 registered L2TP core driver, V2.0 PPPoL2TP kernel driver, V2.0 802.1Q VLAN Support v1.8 Ben Greear <greearb@candelatech.com> All bugs added by David S. Miller <davem@redhat.com> nlmon: nlmon_init entry VFS: Mounted root (squashfs filesystem) readonly on device 31:5. Freeing unused kernel memory: 172k freed D-link init started Jan 1 00:00:02 init[1]: Kernel threads-max value (445) is too small. Set it to 512. updateboot :: checking bootloader... updateboot :: not equal at addr: 0x00000010, val: 0x82 0x77 updateboot :: updating bootloader... About to erase /dev/mtd1... mtd_info.erasesize = 65536 Jan 1 00:00:01 libshared[1]: dms_mtd_flash_buffer: start... mtd: /dev/mtd1 Jan 1 00:00:02 mtd_flash[1]: return 0 updateboot :: verifying bootloader... upStopped WatchDog Timer. datebRestarting system. Попрошу товарища расковырять и опубликовать найденное. Кто-нить проверит. Откровенно не времени. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 1 июня, 2018 · Жалоба 31 минуту назад, getasbrb сказал: Стоит поднять в локальном сегменте сети DHCP сервер (а провайдеров, не разделяющих своих клиентов до сих пор до фига), прописать там нужную 43-ю или 125-ю опцию, и вуаля - любой девайс с поддержкой CWMP ваш с потрохами! А разве проверки (по сертификату, скажем), того, что ACS-кой представляется, в маршрутизаторе не предусмотрено? Вот прямо так, не глядя, верим любому конфигу, что применить просят? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 1 июня, 2018 · Жалоба d-link acs в ранних версиях вообще не умела ни https нифига (клиент соответственно тоже). Как в последних ХЗ. Надо колелгу пинать. У нас поддерживаются оба варианта. В зависимости от конфигурации. Но опять же там есть нюансы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
getasbrb Опубликовано 1 июня, 2018 · Жалоба 27 минут назад, sfstudio сказал: Дыра не в том, что есть возможность управления. А в том что пары логин пароль вшиты жёстко. Я понял, что обращаться к логике в вашем случае бесполезно. Пары логин и пароль для cwmp можно указать на морде, в моем случае по-дефолту они были пустые. Дыра в другом месте. 6 минут назад, Sergey Gilfanov сказал: А разве проверки (по сертификату, скажем), того, что ACS-кой представляется, в маршрутизаторе не предусмотрено? Вот прямо так, не глядя, верим любому конфигу, что применить просят? По стандарту положено (причем TLS), но по факту положено на стандарт:). Серьезно, среди кучи вендоров мне почти не встречались девайсы даже с SSL, даже если принудительно url для ACS указать именно HTTPS. А уж с наличием корневых сертификатов вообще беда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 1 июня, 2018 · Жалоба 13 минут назад, getasbrb сказал: Я понял, что обращаться к логике в вашем случае бесполезно. Пары логин и пароль для cwmp можно указать на морде, в моем случае по-дефолту они были пустые. Дыра в другом месте. Ещё раз, вы проверили доступ к CWMP с этой парой? Не у УЮ? А касперский да, говорит о дыре в другом месте. Не мешайте мух с котлетами. Так же уверены что при передачи в dhcp опции оно не полезет до ACS с теми самыми реквизитами не смотря на пустые поля в роже? Ну и надеюсь после заливки сброс сделали. Дабы дефолты увидеть? Запущен или нет cwmp надеюсь в процессах глянули? Ну так на всякий. 13 минут назад, getasbrb сказал: По стандарту положено (причем TLS), но по факту положено на стандарт:). Серьезно, среди кучи вендоров мне почти не встречались девайсы даже с SSL, даже если принудительно url для ACS указать именно HTTPS. А уж с наличием корневых сертификатов вообще беда. И увы не только на клиентской части. Потому и бяда. Собсно почему я и сопротивлялся довольно долго вообще до начальной реализации. И разночтений в зависимости от вендора ACS просто как грязи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 1 июня, 2018 · Жалоба Нашёл древний 7620 с SDR и тормозным флешем. Залил не забыв затереть nvram: Ralink UBoot Version: 4.1.1.0 -------------------------------------------- ASIC 7620_MP (Port5<->None) DRAM component: 256 Mbits DDR, width 16 DRAM bus: 16 bit Total memory: 32 MBytes Flash component: SPI Flash Date:Mar 13 2013 Time:12:31:31 ============================================ icache: sets:512, ways:4, linesz:32 ,total:65536 dcache: sets:256, ways:4, linesz:32 ,total:32768 ##### The CPU freq = 580 MHZ #### estimate memory size =32 Mbytes raspi_read: from:40028 len:6 Please choose the operation: 1: Load system code to SDRAM via TFTP. 2: Load system code then write to Flash via TFTP. 3: Boot system code via Flash (default). 4: Entr boot command line interface. 7: Load Boot Loader code then write to Flash via Serial. 9: Load Boot Loader code then write to Flash via TFTP. 0 3: System Boot system code via Flash. ## Booting image at bc050000 ... raspi_read: from:50000 len:40 Image Name: DIR_620DF1A Image Type: MIPS Linux Kernel Image (lzma compressed) Data Size: 1216393 Bytes = 1.2 MB Load Address: 80000000 Entry Point: 8000c2f0 raspi_read: from:50040 len:128f89 Verifying Checksum ... OK Uncompressing Kernel Image ... OK No initrd ## Transferring control to Linux (at address 8000c2f0) ... ## Giving linux memsize in MB, 32 Starting kernel ... LINUX started... THIS IS ASIC Linux version 2.6.36+ (builder@rd) (gcc version 4.1.2) #1 Thu Apr 23 13:00:46 MSK 2015 The CPU feqenuce set to 580 MHz MIPS CPU sleep mode enabled. PCIE: bypass PCIe DLL. PCIE: Elastic buffer control: Addr:0x68 -> 0xB4 disable all power about PCIe PCIE: PLL power down for MT7620N CPU revision is: 00019650 (MIPS 24Kc) Software DMA cache coherency Determined physical RAM map: memory: 02000000 @ 00000000 (usable) Zone PFN ranges: Normal 0x00000000 -> 0x00002000 Movable zone start PFN for each node early_node_map[1] active PFN ranges 0: 0x00000000 -> 0x00002000 Built 1 zonelists in Zone order, mobility grouping on. Total pages: 8128 Kernel command line: console=ttyS1,57600n8 root=/dev/mtdblock5 console=ttyS0 HZ = 100 PID hash table entries: 128 (order: -3, 512 bytes) Dentry cache hash table entries: 4096 (order: 2, 16384 bytes) Inode-cache hash table entries: 2048 (order: 1, 8192 bytes) Primary instruction cache 64kB, VIPT, , 4-waylinesize 32 bytes. Primary data cache 32kB, 4-way, PIPT, no aliases, linesize 32 bytes Writing ErrCtl register=0006f080 Readback ErrCtl register=0006f080 Memory: 28524k/32768k available (3057k kernel code, 4244k reserved, 501k data, 172k init, 0k highmem) NR_IRQS:128 console [ttyS1] enabled Calibrating delay loop... 385.84 BogoMIPS (lpj=1929216) pid_max: default: 32768 minimum: 301 Mount-cache hash table entries: 512 NET: Registered protocol family 16 bio: create slab <bio-0> at 0 SCSI subsystem initialized usbcore: registered new interface driver usbfs usbcore: registered new interface driver hub usbcore: registered new device driver usb Switching to clocksource Ralink Systick timer dru filter: 0% -> 0x00000000 avenrun dru filter: 80% -> 0x00000666 avenrun dru filter: 120% -> 0x00000999 avenrun Registered /proc/sys/dru NET: Registered protocol family 2 IP route cache hash table entries: 1024 (order: 0, 4096 bytes) TCP established hash table entries: 1024 (order: 1, 8192 bytes) TCP bind hash table entries: 1024 (order: 0, 4096 bytes) TCP: Hash tables configured (established 1024 bind 1024) TCP reno registered UDP hash table entries: 256 (order: 0, 4096 bytes) UDP-Lite hash table entries: 256 (order: 0, 4096 bytes) multicast routing: unresolved cache size is 200, expires at 1.0 sec (HZ = 100) NET: Registered protocol family 1 RT3xxx EHCI/OHCI init. squashfs: version 4.0 (2009/01/31) Phillip Lougher fuse init (API version 7.15) msgmni has been set to 55 Block layer SCSI generic (bsg) driver version 0.4 loaded (major 254) io scheduler noop registered (default) Ralink gpio driver initialized Serial: 8250/16550 driver, 2 ports, IRQ sharing disabled serial8250: ttyS0 at MMIO 0x10000500 (irq = 37) is a 16550A serial8250: ttyS1 at MMIO 0x10000c00 (irq = 12) is a 16550A deice id : ef 40 17 0 0 (40170000) W25Q64BV(ef 40170000) (8192 Kbytes) mtd .name = raspi, .size = 0x00800000 (0M) .erasesize = 0x00000008 (0K) .numeraseregions = 65536 off at block 0x120000 squashfsb.s_magic 0x29ceea5e off at block 0x130000 squashfsb.s_magic 0xb7554a13 off at block 0x140000 squashfsb.s_magic 0xed3c6f96 off at block 0x150000 squashfsb.s_magic 0x8a3f5daa off at block 0x160000 squashfsb.s_magic 0xc815caab off at block 0x170000 squashfsb.s_magic 0x8470241b off at block 0x180000 squashfsb.s_magic 0x73717368 squashfs filesystem found at block 0x180000 Creating 7 MTD partitions on "raspi": 0x000000000000-0x000000800000 : "ALL" 0x000000000000-0x000000030000 : "Bootloader" 0x000000030000-0x000000040000 : "Config" 0x000000040000-0x000000050000 : "Factory" 0x000000050000-0x000000180000 : "Kernel" 0x000000180000-0x000000800000 : "RootFS" 0x000000050000-0x000000800000 : "Linux" SMACCR1 -- : 0x0000f8f0 SMACCR0 -- : 0x82da47d2 Ralink APSoC Ethernet Driver Initilization. v3.1 512 rx/tx descriptors allocated, mtu = 1500! NAPI enable, Tx Ring = 512, Rx Ring = 512 SMACCR1 -- : 0x0000f8f0 SMACCR0 -- : 0x82da47d2 PROC INIT OK! PPP generic driver version 2.4.2 PPP Deflate Compression module registered PPP BSD Compression module registered PPP MPPE Compression module registered NET: Registered protocol family 24 PPTP driver version 0.8.5 ehci_hcd: USB 2.0 'Enhanced' Host Controller (EHCI) Driver rt3xxx-ehci rt3xxx-ehci: Ralink EHCI Host Controller rt3xxx-ehci rt3xxx-ehci: new USB bus registered, assigned bus number 1 rt3xxx-ehci rt3xxx-ehci: irq 18, io mem 0x101c0000 rt3xxx-ehci rt3xxx-ehci: USB 0.0 started, EHCI 1.00 usb usb1: New USB device found, idVendor=1d6b, idProduct=0002 usb usb1: New USB device strings: Mfr=3, Product=2, SerialNumber=1 usb usb1: Product: Ralink EHCI Host Controller usb usb1: Manufacturer: Linux 2.6.36+ ehci_hcd usb usb1: SerialNumber: rt3xxx hub 1-0:1.0: USB hub found hub 1-0:1.0: 1 port detected ohci_hcd: USB 1.1 'Open' Host Controller (OHCI) Driver rt3xxx-ohci rt3xxx-ohci: RT3xxx OHCI Controller rt3xxx-ohci rt3xxx-ohci: new USB bus registered, assigned bus number 2 rt3xxx-ohci rt3xxx-ohci: irq 18, io mem 0x101c1000 usb usb2: New USB device found, idVendor=1d6b, idProduct=0001 usb usb2: New USB device strings: Mfr=3, Product=2, SerialNumber=1 usb usb2: Product: RT3xxx OHCI Controller usb usb2: Manufacturer: Linux 2.6.36+ ohci_hcd usb usb2: SerialNumber: rt3xxx-ohci hub 2-0:1.0: USB hub found hub 2-0:1.0: 1 port detected usbcore: registered new interface driver usblp Initializing USB Mass Storage driver... usbcore: registered new interface driver usb-storage USB Mass Storage support registered. Ralink APSoC Hardware Watchdog Timer Netfilter messages via NETLINK v0.30. nf_conntrack version 0.5.0 (445 buckets, 1780 max) ctnetlink v0.93: registering with nfnetlink. matchsize=264 IPVS: Registered protocols () IPVS: Connection hash table configured (size=4096, memory=32Kbytes) IPVS: ipvs loaded. GRE over IPv4 demultiplexor driver gre: can't add protocol ip_tables: (C) 2000-2006 Netfilter Core Team, Type=Linux arp_tables: (C) 2002 David S. Miller TCP cubic registered NET: Registered protocol family 10 lo: Disabled Privacy Extensions ip6_tables: (C) 2000-2006 Netfilter Core Team IPv6 over IPv4 tunneling driver sit0: Disabled Privacy Extensions NET: Registered protocol family 17 Bridge firewalling registered Ebtables v2.0 registered L2TP core driver, V2.0 PPPoL2TP kernel driver, V2.0 802.1Q VLAN Support v1.8 Ben Greear <greearb@candelatech.com> All bugs added by David S. Miller <davem@redhat.com> nlmon: nlmon_init entry VFS: Mounted root (squashfs filesystem) readonly on device 31:5. Freeing unused kernel memory: 172k freed D-link init started Jan 1 00:00:02 init[1]: Kernel threads-max value (445) is too small. Set it to 512. updateboot :: checking bootloader... updateboot :: bootloader not need to update Readind config from flash... load section Jan 1 00:00:00 read config[1]: tar error result read config from flash is 1 Use /etc/config.default gpiom: module license 'Proprietary' taints kernel. Disabling lock debugging due to kernel taint gpiom: module starting ... gpiom: using profile DIR_620DF1A_MT7620N_ALLWINS. gpiom: button support enabled. gpiom: led support enabled. usbcore: registered new interface driver cdc_acm cdc_acm: v0.26:USB Abstract Control Model driver for USB modems and ISDN adapters NTFS driver 2.1.29 [Flags: R/W MODULE]. Lenght of avalible memory for title 142 bytes resident starting... opening lib3g... hlib3g = 458218 Event pipe size is 4096 bytes Jan 1 00:00:03 DEBUG[732]: Converting hash: 10f2de994b11af9b5955387a71126333 Jan 1 00:00:03 DEBUG[732]: Converting hash: 1d76a7236d1e515adf4491cbef08c470 Initializing device... Jan 1 00:00:03 autoupdate[733]: Config reset Init netfilter nf_conntrack_rtsp v0.6.21 loading nf_nat_rtsp v0.6.21 loading res = 1 Config is good Check SSID Jan 1 00:00:03 dms_check_config_by_default[733]: this config is default Do preinit ifaces SeRaeth v3.1 (t NAPI ma,SkbRecyclec ) f8:f0:82:9 phy_tx_ring = 0x01622000, tx_ring = 0xa1622000 e:53:d phy_rx_ring0 = 0x01624000, rx_ring0 = 0xa1624000 e on ifacSMACCR1 -- : 0x0000f8f0 e SMACCR0 -- : 0x829e53de etESW: Link Status Changed - Port2 Link UP message received before monitor task is initialized kerSysSendtoNlMonTask ESW: Link Status Changed - Port0 Link UP message received before monitor task is initialized kerSysSendtoNlMonTask h2CDMA_CSG_CFG = 81000000 -GDMA1_FWD_CFG = 20710000 OK ---libshared | write_config_file: begin start generate config config 02 BssidNum=1 WirelessMode=9 Channel=auto ---libshared | write_config_file: end rmmod: can't unload 'hw_nat': unknown symbol in module, or unknown parameter Jan 1 00:00:07 libshared:stop_wifi[733]: begin killall: rt2860apd: no process killed br0: No such device killall: wscd: no process killed Interface doesn't accept private ioctl... set (8BE2): Network is down deleting ifaces... deleting iface sit0 Error ioctl REG_ESW_WT_MAC_ATC is 0x7ff0002 set_group_vlan: start set_group_vlan: group #0 set_group_vlan: group dest lan brname: br0; iface_list: ra0 eth2.1 iface: ra0 ===================================================== Channel 1 : Dirty = 180, ApCnt=3, Busy Time = 8660, Skip Channel = FALSE Channel 2 : Dirty = 230, ApCnt=0, Busy Time = 732, Skip Channel = FALSE Channel 3 : Dirty = 280, ApCnt=0, Busy Time = 144, Skip Channel = FALSE Channel 4 : Dirty = 310, ApCnt=0, Busy Time = 70, Skip Channel = FALSE Channel 5 : Dirty = 340, ApCnt=2, Busy Time = 4055, Skip Channel = FALSE Channel 6 : Dirty = 320, ApCnt=0, Busy Time = 2733, Skip Channel = FALSE Channel 7 : Dirty = 290, ApCnt=1, Busy Time = 6181, Skip Channel = FALSE Channel 8 : Dirty = 250, ApCnt=0, Busy Time = 379, Skip Channel = FALSE Channel 9 : Dirty = 180, ApCnt=0, Busy Time = 1904, Skip Channel = FALSE Channel 10 : Dirty = 150, ApCnt=1, Busy Time = 3573, Skip Channel = FALSE Channel 11 : Dirty = 100, ApCnt=0, Busy Time = 206, Skip Channel = FALSE Channel 12 : Dirty = 70, ApCnt=0, Busy Time = 527, Skip Channel = FALSE Channel 13 : Dirty = 20, ApCnt=0, Busy Time = 309, Skip Channel = FALSE ===================================================== d-link final_channel = 13+9 ===================================================== 0x1300 = 00064380 device ra0 entered promiscuous mode ifacdevice eth2.1 entered promiscuous mode e:device eth2 entered promiscuous mode eth2.br0: port 2(eth2.1) entering learning state br0: port 2(eth2.1) entering learning state br0: port 1(ra0) entering learning state br0: port 1(ra0) entering learning state set_group_vlan: group #1 set_group_vlan: group dest wan Jan 1 00:00:18 if_rename[733]: Setting : Interface `eth2.2' renamed to `wan1'. enum_acl_netdev: got 2 ifaces (1 LAN, 1 WAN) enum_acl_netdev: need 3 patterns instead of 6 set_group_vlan: group #Disable IGMP Dropping 0 Jan 1 00:00:18 libshared:start_wifi[733]: end NO USED NO USED link watcher started Jan 1 00:00:18 link_watcher_start[733]: started with line state -1 Do monitor task is initialized pid= 773 clear ifaces set mac f8:f0:82:9e:53:de on br0 set mac f8:f0:82:9e:53:dd on wan1 Jan 1 00:00:18 try_get_uuid[733]: Unable to open uuid.conf Jan 1 00:00:18 init_lan[733]: start Jan 1 00:00:18 init_lan[733]: no grouping style Jan 1 00:00:18 init_lan[733]: iface br0 init_lan: iface = br0 init ipfilter init vserver init macfilter start urlfilter init wans Intialize wan..... Set mac f8:f0:82:9e:53:dd on iface wan1 - OK Set mtu 1500 on iface wan1 - OK start_ip: static ipv4 enum_acl_netdev: got 2 ifaces (1 LAN, 1 WAN) enum_acl_netdev: need 4 patterns instead of 6 Plugin /usr/lib/pppd/rp-pppoe.so loaded. killall: pppoe-relay: no process killed iptables: Bad rule (does a matching rule exist in that chain?). iptables: Bad rule (does a matching rule exist in that chain?). start services start_telnet... start_printserver... init_sysusers... Loading config file /tmp/http_srv_redirect.conf Loading config file /tmp/yasslews.conf yasslEWS web server v. 1.0 started on port(s) 81 with web root [/webs/www] yasslEWS web server v. 1.0 started on port(s) 80 with web root [/webs/www] killall: minidlnad: no process killed start tr069... iptables: Bad rule (does a matching rule exist in that chain?). iptables: No chain/target/match by that name. Out init_device init_device: exited, status=0 Done. Welcome to _______ ___ __ ____ _ _ ___ | ___ \ | | |__|| \ | || | / / | | | || ___ | |__ __ | \| || |/ / | |___| || |___| | || || |\ || \ |_______/ |______||__||_| \____||_|\___\ = Building Networks for People = D-link init done br0: port 2(eth2.1) entering forwarding state br0: port 1(ra0) entering forwarding state Как видим start tr069... При этом никакие доп опции у меня не передаются. Т.е. как минимум в софте для РТК cwmp стартует сразу без вопросов. Дефолт с которым лезет по pppoe на старте: "wan1_2": { "enable": true, "type": "ppp", "servicename": "", "username": "rtk", "password": "rtk", "mtu": 1492, "iface": "ppp0", "l2_iface": "wan1", "nat": true, "firewall": true, "igmp": false, "keep_alive": { "interval": 30, "fails": 3 }, "gwif": true, "contype": "pppoe", "is_wan": true, "level": 3, "name": "PPPOE", "auto": false, "encrypt": "0", "auth": "0", "ppp_ip_ext": false, "extra_options": "", "static_ip": "", "ppp_debug": false, "pppoe_pass_through": false, "rip": false, "unit": 0 } } Дефолты по радио в части шифрования: "mbssid": [ { "SSID": "", "AuthMode": "WPA2PSK", "EncrypType": "AES", "DefaultKeyID": "1", "Key1Type": "1", "Key1Str": "", "Key2Type": "1", "Key2Str": "", "Key3Type": "1", "Key3Str": "", "Key4Type": "1", "Key4Str": "", "WPAPSK": "76543210", "NoForwarding": "0", "NoForwardingBTNBSSID": "0", "IEEE8021X": "0", "TxRate": "0", "PreAuth": "0", "WmmCapable": true, "AccessPolicy": "0", "AccessControlList": [] } Дефолты настройки CWMP: "tr069": { "debug_mode": "3", "enable": true, "start_port": "9000", "end_port": "9999", "authenticate": "0", "getrpcmethodsenable": "0", "file_trans": [], "schedule_inform_time": "0", "max_envs": "", "managementserver": { "periodicinformenable": "1", "periodicinforminterval": "43200", "url": "http://acssrv.domolink.ru/", "username": "Guest", "password": "Guest", "connectionrequesturl": "http://192.168.0.1:8999/", "connectionrequestusername": "Guest", "connectionrequestpassword": "Guest", "periodicinformtime": "0", "managementdevice": [] }, "diagnostic": { "minimumresponsetime": "0", "datablocksize": "0", "pingresult": "", "pingip": "", "averageresponsetime": "", "timeout": "0", "numberofrepetitions": "0", "successcount": "0", "maximumresponsetime": "0", "dscp": "0", "failurecount": "0", "interface": "" }, "misc": { "schedulecmdkey": "", "previousurl": "", "rebootcmdkey": "" }, "DeviceInfo": { "ProvisioningCode": "RTCM.MRFC" }, "notify": [] }, "autoupdate": { "enable": false, "server": "fwupdate.dlink.ru", "check_updates": false }, "lang": "rus" } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 1 июня, 2018 · Жалоба Как видим. ТР069 включен, активен, настроен на работу вообще без аутентификации, запускается безусловно и сразу, пароли лежат открытым тексом прям в файлике с дефолтами. Прошивка находиться в свободном доступе на 4pda. Как понимаю предустанавливалась с завода. Заказы там далеко не по одной штуке. На 9999м порту вполне себе слушает cwmp в сторону LAN. В сторону WAN правила, как я вижу создаются динамически. Будет время разверну PPPOE с реквизитами выше, но уверен он туда смотрит. Т.к. на WAN висит заглушка с адресом 1.0.0.1 и туда всё подропано. Т.е. смотрит всяко в pppoe. Но надо бы проверить. Челу отписался, вернусь домой проверим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
getasbrb Опубликовано 1 июня, 2018 · Жалоба 34 минуты назад, sfstudio сказал: Ещё раз, вы проверили доступ к CWMP с этой парой? Не у УЮ? А касперский да, говорит о дыре в другом месте. Не мешайте мух с котлетами. Так же уверены что при передачи в dhcp опции оно не полезет до ACS с теми самыми реквизитами не смотря на пустые поля в роже? Ну и надеюсь после заливки сброс сделали. Дабы дефолты увидеть? Запущен или нет cwmp надеюсь в процессах глянули? Ну так на всякий. При чем тут касперский? Это вы утверждаете, что есть бэкдор в cwmp. Ок, проверю и его, надо порыться по сусекам, вроде оставался старый образ докера с OpenACS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 1 июня, 2018 · Жалоба Утверждаю во первых не я. Я скорее выражаю уверенность и солидарность с товарищем. =))) Мне скорее больше выявленное кашперовским интересно. Ну вот проверьте. У меня нет под рукой развёрнутой ACS. Потому как я вот смотрю версию F1 под РТК и вижу там праздник с CWMP, без аутентификации без нифига и стартующее без всяких опций (ну нет у РТК DHCP). Т.е. как минимум в РТК софте безобразие с CWMP имеет место быть. Хоть бы фаером по диапазону прикрыли бы чтоль.... Ну раз уж всё равно дефолты перепаханы. В passwd: # cat pass* support:$1$dVjuYO/T$4S1AkYQZ6YrjAVVdnmcdu0:0:0:root:/:/bin/sh nobody:x:99:99:nobody:/:/bin/false ftp:x:500:500:ftp:/mnt:/bin/false Как бы вход для типа поддержки точно есть, не понятно откуда генериться. И ессно отсюда вторую часть не выколупать. Грепаем и видим: "login": "admin", "pass_cr": "10f2de994b11af9b5955387a71126333" "login": "support", "pass_cr": "1d76a7236d1e515adf4491cbef08c470" Молодцы, постарались, ну хоть так. Хотя можно попытаться и восстановить пароли. Грубо говоря вторая учётка действительно есть и активна по дефолу. Благо пароли в прошивке к ней не открытым текстом. В F1 явный косяк только с CWMP. Более ранние смотреть не на чем. Что как бы не отменяет сказанного кашперовским. Вопрос только в каких версиях, под какие ревизии и каким именно образом. Ладно надо убегать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 1 июня, 2018 · Жалоба В общем Ы! config.default, в 1.0.36 B1/C1, аналогично 1.0.29, пароль тот же и тоже открытым текстом. Все прошивки публично доступны в сети. "passwd": [ ... { "login": "support", "pass": "*bwe1fs9y*" } ], пароль для support подходит в т.ч. для вышеобознаенной прошивки для F1, где он "зарисован" хэшем. $ telnet 192.168.0.1 Trying 192.168.0.1... Connected to 192.168.0.1. Escape character is '^]'. Dlink-Router login: support Password: Welcome to _______ ___ __ ____ _ _ ___ | ___ \ | | |__|| \ | || | / / | | | || ___ | |__ __ | \| || |/ / | |___| || |___| | || || |\ || \ |_______/ |______||__||_| \____||_|\___\ = Building Networks for People = BusyBox v1.19.2 (2015-04-23 13:03:02 MSK) built-in shell (ash) Enter 'help' for a list of built-in commands. $ Этот же пароль открытым текстом присутсвует в libdhal.so. .text:00036414 la $t9, json_string .text:00036418 jalr $t9 ; json_string .text:0003641C addiu $a0, (a*bwe1fs9y* - 0x40000) # "*bwe1fs9y*" .text:00036420 lw $gp, 0x28+var_18($sp) .text:00036424 la $a1, aStaticWanStart # "static wan started" .text:00036428 la $t9, json_object_set_new_nocheck Делаем вывод, что пароль не меняется, а тянется всю жизнь и где ещё продырявлено под РТК ХЗ. Нет, ну вот кто-то считает, что никто раньше это не расколупал? Вот уверен на 100500%, что расколупали и уже давно свили себе гнёздышко. Всмысле не РТК, а другие добрые дяди, с "зорином". P.S. Первый и последний символ прикрыл звёздочками, хотя никто не мешает вытащить из вышеозначенных прошивок. PP.S. Более того, судя по всему в ранних версиях достаточно просто слить конфиг и погрепать на тему support. После сброса в админку пускает со штатным админ паролем, при этом support юзер активный, т.е. в слитом сразу после включения конфиге скорее всего оно так же будет, и так же в заивисмости от версии или хэш или открытым текстом. Так что никаких доп телодвижений не требуется. P.SS. Тут целая тусня роутеродрючильщиков https://forum.antichat.ru/threads/398971/page-307 в т.ч. с использованием CWMP. PP.SS. Так что ХЗ кто тут идиот или параноик. Дальше копать лень. Времени дохера. А время деньги. Для меня достаточно, что десятки тысяч устройств в сети РТК продырявлены, что бы поставить крест на такой "замечательной" конторе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
getasbrb Опубликовано 4 июня, 2018 · Жалоба В 6/1/2018 в 15:06, sfstudio сказал: Т.е. как минимум в РТК софте безобразие с CWMP имеет место быть. Если составить рейтинг его безобразий, то CWMP там будет хорошо если в первой десятке. Проверил CWMP - публичные прошивки с этим паролем никуда не ходят, к себе ConnectionRequest тоже не принимают. Так что и тут мимо. Ну а про тех злобных буратин, которые пользуются девайсами от РТК я уже выше всё высказал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 4 июня, 2018 · Жалоба 54 минуты назад, getasbrb сказал: Если составить рейтинг его безобразий, то CWMP там будет хорошо если в первой десятке. Проверил CWMP - публичные прошивки с этим паролем никуда не ходят, к себе ConnectionRequest тоже не принимают. Так что и тут мимо. Хорошо если так. Публичные != официальные. Публичные - те что находятся в публичном доступе. Т.е. сюда же входят и РТК прошивки и нет никакой разницы кто их опубликовал. При обновлении на официальные версии без сброса дырка так же сохраняется. И опять таки не важно, штатный это механизм или нет. И не "и тут мимо", а только тут и мимо и то под вопросом, т.к. у вас железо на BCM которое РТК не поставлялось судя по всему, там же есть ещё и риалтэки. Явное рукоделие прослеживается только в Ralink/Mediatek от них. А рейтинги составлять эт явно не сюда. Не имеет значения от слова совсем на каком месте безобразие, важен факт наличия. Цитата Ну а про тех злобных буратин, которые пользуются девайсами от РТК я уже выше всё высказал. Что никак не отменяет ни дырки, ни наличия этих самых буратин, ни объёмов поставок продырявленного софта в количестве ни одного десятка тысяч, что аж на стопку ревизий (что по сути у длинка разные девайсы). Факт есть факт. Хоть буратины, хоть мальвины. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...