Перейти к содержимому
Калькуляторы

[SOLVED] Техническая археология: DSLAM от Натекс

3 часа назад, sol сказал:

Для гугльдрайва гугльаккаунт нужен, а у меня нет...

 

На ядиск попробую.

 

@Nag может предоставит доступ на Фтп?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот то, что прислал Натекс https://mega.nz/#!Sv5TQYSJ!o9zQNY1CMNLa_TwufgwcGmjq0RDcms1z7SbQ4gW04tc

А в бут режим входить пробелом, но есть тонкость. С зажатым пробелом надо включать питание. И только так.

После появления первой буквы на экране нажимать что либо бесполезно.

 

В присланном есть бэкдор. Так что всё снимается без потери конфига.

 

Заодно, в рамках подготовки к апдейту узла, всплыла особенность. Данный DSLAM - это IP DSLAM. Т.е. всякие фокусы с правильной энкапсуляцией фреймов в ATM он не умеет.

И, если надо поднять в одном из PVC/VCI IP прямо на самой циске, то очевидный вариант не работает:

interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address 10.173.119.223 255.255.255.0
 pvc 8/81 
  encapsulation aal5snap

А вот это - рабочий вариант и не спрашивайте меня почему так. Сам еле разобрался.

 

bridge irb
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 bridge-group 1
 pvc 8/81 
  encapsulation aal5snap
 !        
!
interface BVI1
 ip address 10.173.119.223 255.255.255.0
!
bridge 1 protocol ieee
bridge 1 route ip

 

Также хочу сказать, что флешка из бута дампится около часа (2 мб) и пароль там видно глазом. На оконечных модемах оказался он же. Так что джекпот!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К стати, у DSLAM'a есть вполне приятный веб-интерфейс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 hours ago, sol said:

Заодно, в рамках подготовки к апдейту узла, всплыла особенность. Данный DSLAM - это IP DSLAM. Т.е. всякие фокусы с правильной энкапсуляцией фреймов в ATM он не умеет.

И, если надо поднять в одном из PVC/VCI IP прямо на самой циске, то очевидный вариант не работает:


interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address 10.173.119.223 255.255.255.0
 pvc 8/81 
  encapsulation aal5snap

 

Приведенный очевидный вариант - это для случая, если IP сразу инкапсулируется в ATM. Для случаев, когда IP укладывается в Eth-фрейм, который далее в АТМ, необходимо делать так:

interface ATM0.1 point-to-point
 atm route-bridged ip
 ip address 10.173.119.223 255.255.255.0
 pvc 8/81 
  encapsulation aal5snap
  protocol ip inarp

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

О! Моя благодарность не знает границ!

 

Дело в волшебной строчке

 atm route-bridged ip

да?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 minutes ago, sol said:

Дело в волшебной строчке


 atm route-bridged ip

да?

 

Да, дело в ней. Но ваш вариант с BVI тоже имеет право на жизнь, если количество таких pvc небольшое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

del. Почему-то не увидел вторую страницу с искомой прошивкой...

Изменено пользователем Mis

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте. Решил реанимировать старичка FG-ACE16-CORE-DC. Земенил конденсаторы в блоке питания и он ожил. Там на материнской плате батарейка такаяже как в компах CR2032 заменил и её. Надеялся что как в компах слетят настройки но напрасно. Подключился консольным кабелем, просит пароль. По совету sol вошёл в бут режим но не знаю что дальше делать. Боюсь наломать дров - затереть прошивку. Уважаемый sol расскажите пожалуйта поподробнее как вытащить пароль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Архив по моей ссылке качали? Файлик "Процедура удаления пароля.doc" из этого архива читали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Архив по ссылке скачал и документ прочитал. Проблема в том что там нужно использовать tftp32d а я не знаю айпиадрес DSLAM. Сканировал утилитой Nmap, она говорит что есть два айпиадреса  192.168.2.139 и 192.168.2.159 но на них закрыты все порты. Возможно в DSLAM настроено разрешение на доступ только с конкретного айпиадреса, который тоже нужно подбирать. А может вообще отключен доступ по айпиадресу. Вы говорили про возможность слить дамп памяти и там посмотреть пароль. Предполагаю что и тут без tftp32d и айпиадреса не обойтись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В файлике _Reset_from_boot_FG_ACE16-24.pdf описана процедура полного сброса. Прошивка с логином admin/admin зовётся ipam_default

 

Прошиваете её из бут режима, заходите с admin/admin и говорите save

После чего всё становится "как с завода".

 

 

Вообще, парни из Натекса общительные, за что им плюс в карму. Попробуйте им написАть/позвонить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Решил перебрать адреса на компе и с адреса 192.168.2.150 получил доступ к вебинтерфейсу DSLAMа по обоим адресам 192.168.2.139 и 192.168.2.159. Но сбросить пароль через tftp32d не получилось так как на обоих адресах DSLAMа открыты только два по порта - 80 (http) и 23 (telnet). А tftp32d стучится на порт  69.  Сейчас, когда у меня уже есть доступ по айпиадресу, можно пойти проверенным вами способом - слить дамп и посмотреть пароль. Вы поподробнее опишите как это делается. Как я понимаю, нужно одновременно запускать tftp32d и входить в бут режим чтоб дать команду DSLAMу на слив дампа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, wwka сказал:

Вы поподробнее опишите как это делается. Как я понимаю, нужно одновременно запускать tftp32d и входить в бут режим чтоб дать команду DSLAMу на слив дампа.

Вы не верно понимаете.

Никто никуда ничего самостоятельно "сливать" не будет. В бут режиме есть примитивный отладчик, позволяющий помимо прочего просматривать содержимое памяти CPU. На этой и подобных системах в 90% случаев флеш является частью адресного пространства CPU. А значит, можно просматривая содержимое памяти процессора просмотреть и содержимое флеша.

 

Для слива надо на коленке написАть микро программу, которая будет выдавать команды на просмотр памяти по нужным адресам и из hex вывода собирать обратно бинарное содержимое.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 13.05.2019 в 19:25, sol сказал:

Также хочу сказать, что флешка из бута дампится около часа (2 мб) и пароль там видно глазом.

Это ваше сообщение сбило меня с толку. Как я понимаю, в бут режиме есть много команд для чтения куска прошивки типа "Read word from EEPROM <address> <lenght>". Так как мне посмотреть пароль?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, sol сказал:

 

Для слива надо на коленке написАть микро программу, которая будет выдавать команды на просмотр памяти по нужным адресам и из hex вывода собирать обратно бинарное содержимое.

Вот так. Я писал парустрочник на перле, который сразу же успешно похерил за ненужностью, одноразовостью и примитивностью.

 

После получения образа флеши я просто открыл его встроенным в Midnight Commander редактором и полистав нашёл конфигблок и в нём несколько текстовых строк, одна из которых оказалась паролем. Адреса не смотрел за ненужностью.

 

 

PS: TFTP работает по UDP...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"После получения образа флеши" так значит вы слили образ флеши. Вот и скажите как это сделать а уж я обойдусь без перла, не поленюсь прошерстить 2 мегабайта hex редактором.

"PS: TFTP работает по UDP..." То что tftp32d работает по UDP это не значит что ему не нужны открытые порты. Порты это проходы а протоколы UDP/TCP это контент который проходит через эти проходы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, wwka сказал:

так значит вы слили образ флеши. Вот и скажите как это сделать

 

17 часов назад, sol сказал:

Для слива надо на коленке написАть микро программу, которая будет выдавать команды на просмотр памяти по нужным адресам и из hex вывода собирать обратно бинарное содержимое. 

 

17 часов назад, sol сказал:

Я писал парустрочник на перле

Я не знаю, что тут добавить... Я делал так. Вы вольны делать так как вам угодно.

 

2 часа назад, wwka сказал:

То что tftp32d работает по UDP это не значит что ему не нужны открытые порты.

А как снаружи узнать, что порт кто-то слушает по UDP? С TCP понятно, шлём SYN, в ответ приходит или RST если порт закрыт, или SYN + ACK если открыт или ничего, если зафильтрован. А как быть с UDP?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 часа назад, sol сказал:

Для слива надо на коленке написАть микро программу, которая будет выдавать команды на просмотр памяти по нужным адресам и из hex вывода собирать обратно бинарное содержимое.

Выдавать команды кому? через какой интерфейс? по какой спецификации? нужные адреса это примерно какие (ближе к концу или началу флеш)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, wwka сказал:

Выдавать команды кому? через какой интерфейс?

 

В 23.01.2020 в 11:50, sol сказал:

В бут режиме есть примитивный отладчик, позволяющий помимо прочего просматривать содержимое памяти CPU.

Подключаете консоль. Спецификация RS-232. Заходите в бут режим (зажать пробел до включения питания) и там есть нечто вроде хелпа. Выясняете, какой командой смотреть дампы памяти. Я с разбегу не помню, но там всё тривиально.

 

8 минут назад, wwka сказал:

адреса это примерно какие (ближе к концу или началу флеш)?

Тоже не помню, но в логе загрузки, выдаваемом в этот самый консольный порт видно.

 

Самой железки также нет под рукой, она осталась на узле и ещё немного в бою.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Теперь, когда мы выяснили что программа написанная на перле работала не через коды команд а в терминале набирала строчные команды, осталось выяснить какую команду она набирала и по какому ключевому слову искала пароль.

 

В бут режиме набираю команду flash config вижу это:

flash config             print flash configuration
]flash config
Flash configuration: 1 chips
Chip 0 size 2097152 @ 0xcf000000
Chip 0 ID is 89c2: (Intel 28F160C3T 2048k bytes), unlocked (0)
Flash start offset: 0x00020000
Space for all FLASHFS partitions: 0x001e0000

 

Набираю команду fdw без параметров адресации, вижу это (в правой колонке сразу в кодировке ascii):

 

fdw <address> [<length>] dump flash words (hex/ascii)
]fdw
0afffff4  f4fff6ff f8fffaff fcfffeff 00000000   '................'
0b000004  00000000 00000000 00000000 00000000   '................'
0b000014  00000000 00000000 00000000 00000000   '................'
0b000024  00000000 00000000 00000000 00000000   '................'
0b000034  00000000 00000000 00000000 00000000   '................'
0b000044  00000000 00000000 00000000 00000000   '................'
0b000054  00000000 00000000 00000000 00000000   '................'
0b000064  00000000 00000000 00000000 00000000   '................'

 

Набираю команду dw без параметров адресации, вижу это (в правой колонке сразу в кодировке ascii):

 

dw <address> [<length>]  dump words (hex/ascii)
]dw
e1520003  1f201f20 30483048 30a330a3 9f219f21   ' . .H0H0.0.0!.!.'
e1520013  20032003 07c107c1 e73be73b 20862086   '. . ....;.;.. . '
e1520023  86838683 7b107b10 31863186 90fa90fa   '.....{.{.1.1....'
e1520033  1f271f27 20092009 01970197 0f390f39   ''.'.. . ....9.9.'
e1520043  108d108d a05fa05f a371a371 30c830c8   '...._._.q.q..0.0'
e1520053  3f633f63 4b104b10 2a2f2a2f f397f397   'c?c?.K.K/*/*....'
e1520063  1f101f10 39013901 206f206f 26102610   '.....9.9o o .&.&'
e1520073  10b210b2 838b838b 0f320f32 0fca0fca   '........2.2.....'

 

Выходит что команда dw сразу покажет мне пароль в правой колонке в кодировке ascii, остаётся только вписать пул нужных адресов.
Что скажите парни?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, wwka сказал:

и по какому ключевому слову искала пароль. 

  

 

В 23.01.2020 в 18:26, sol сказал:

После получения образа флеши я просто открыл его встроенным в Midnight Commander редактором и полистав нашёл конфигблок и в нём несколько текстовых строк, одна из которых оказалась паролем. Адреса не смотрел за ненужностью.

 

1 час назад, wwka сказал:

осталось выяснить какую команду она набирала

dw 0xcf000000 0x00200000, как я помню...

1 час назад, wwka сказал:

 

Выходит что команда dw сразу покажет мне пароль в правой колонке в кодировке ascii, остаётся только вписать пул нужных адресов.

Всё верно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.