Hackerboard Wiki HaboBlog
Hackerboard bei Facebook Hackerboard bei Google+ Hackerboard bei Twitter

[HaBo]

 
WLAN-Zone Support zu Wireless Netzwerken: Security, Installation, Hardware und Software

Hitronhub CVE-30360 (Kabel Deutschland) WLAN Hack?

Diskussion: Hitronhub CVE-30360 (Kabel Deutschland) WLAN Hack? im Forum WLAN-Zone, in der Kategorie Web, Network & Multimedia Palace; Zitat: Zitat von b568hb687n07 Ah! Macht Sinn Hast du dir schonmal so ne Config-Datei ("Backup Settings Locally") angeschaut die man ...

Like Tree29Likes

Antwort
Alt 01.03.13, 20:58   #16 (permalink)
 
Registriert seit: 27.02.13
flipflop Leistung: Z3
Likes: 17
Standard

Zitat:
Zitat von b568hb687n07 Beitrag anzeigen
Ah! Macht Sinn

Hast du dir schonmal so ne Config-Datei ("Backup Settings Locally") angeschaut die man als normaler Benutzer sichern kann? Ist die verschlüsselt oder einfach nicht sehr intuitiv lesbar?
Ist verschlüsselt


Der folgende curl-Befehl geht an dieses versteckte Formular:
Code:
curl --cookie cookies.txt --cookie-jar cookies.txt --data "dir=admin/&file=feat-lan-backup&flag=get&tftp_srv=192.168.0.10&rg_file=test" http://192.168.0.1/goform/RemoteBackup
Und gibt das hier zurück:
HTML-Code:
<html>
<script language='JavaScript'>alert('Tftp Download failed!');location.replace('/admin/feat
-lan-backup.asp');</script></html>
Ist das womöglich ein Download- und kein Upload- feld ?

UPDATE: tftp server installiert und rg_file mit existierendem Dateinamen bestückt ->
HTML-Code:
<script language='JavaScript'>alert('Save configuration file failed.');location.replace('/
admin/feat-lan-backup.asp');</script></html>
Doch upload...

Geändert von flipflop (01.03.13 um 21:06 Uhr)
flipflop ist offline   Mit Zitat antworten
Alt 07.03.13, 09:26   #17 (permalink)
 
Registriert seit: 27.02.13
flipflop Leistung: Z3
Likes: 17
Standard

Könntest du deine Config-Datei hier reinstellen? Ich würde gerne mal schauen ob eine schwache Verschlüsslung genutzt wird.
flipflop ist offline   Mit Zitat antworten
Alt 08.03.13, 19:51   #18 (permalink)
 
Registriert seit: 27.02.13
flipflop Leistung: Z3
Likes: 17
Standard

Hier mal zwei cmconfigs von meiner Box, einmal mit aktiviertem Wlan einmal ohne:
Anhang 3791
Anhang 3790
Auffallend ist dass die Dateien bis 0x830 gleich sind.
Dann sind nur ein paar Stellen mit der folgenden (Hex-)Zeichenfolge gleich:
59 89 3C F3 3C A2 AE 0D
Teilweise kommen zwei oder drei dieser Folgen direkt hintereinander.

Geändert von flipflop (08.11.13 um 20:54 Uhr)
flipflop ist offline   Mit Zitat antworten
Alt 21.03.13, 14:05   #19 (permalink)
 
Registriert seit: 21.03.13
head Leistung: Facit NTK
Likes: 4
Arrow

Zitat:
Zitat von flipflop Beitrag anzeigen
Könntest du deine Config-Datei hier reinstellen? Ich würde gerne mal schauen ob eine schwache Verschlüsslung genutzt wird.
Ja wird es.

Der Text des Configfiles ist zu je 64bit-Blöcken verschlüsselt.
Zum Beispiel bedeutet der wiederholt auftretende Block
Code:
59 89 3C F3 3C A2 AE 0D 00000000
Weitere Beispiele wären:
Code:
7A DD 8E BE 70 FE 75 85 AAAAAAAA
1C A8 E4 F4 0B 67 6E 4D BBBBBBBB               
D3 84 5D 19 D6 ED 2B 79 cm_capab
4E C3 80 23 9A 7E 00 B6 _capabil
30 62 64 8D EF DE DE 08 capabili
F0 A2 B0 74 EB EB 36 6B uter_ipm 
D9 9C 37 1D B2 97 83 87 emote_ma
70 D8 7C 59 3C 35 21 17 ireless_
affe1313 and b568hb687n07 like this.

Geändert von head (21.03.13 um 15:52 Uhr)
head ist offline   Mit Zitat antworten
Alt 21.03.13, 14:24   #20 (permalink)
 
Registriert seit: 27.02.13
flipflop Leistung: Z3
Likes: 17
Standard

Zitat:
Zitat von head Beitrag anzeigen
Ja wird es.

Der Text des Configfiles ist zu je 64bit-Blöcken verschlüsselt.
Wie hast du das herausgefunden?
Und die noch wichtigere Frage: wie bist du auf die Beispiele gekommen?
flipflop ist offline   Mit Zitat antworten
Alt 21.03.13, 14:55   #21 (permalink)
 
Registriert seit: 21.03.13
head Leistung: Facit NTK
Likes: 4
Standard

Textfeld in der GUI mit mind. 8Zeichen füllen ->Backup1
Textfeld mit anderen Text gleicher länge abändern -> Backup2

Backup 1 und 2 vergleichen -> Position des Textfeldes in der config.

Config an dieser Stelle mit anderen verschlüsselten Text editieren (Zum Beispiel die ersten 64bit der config).
Verändertes Backup zurückspielen. Entschlüsselter Text sollte im entsprechenden Textfeld in der GUI stehen.

Schlussfolgerungen:
64bit-Blöcke (DES?, wohl kein AES)
config wird beim Zurückspielen nicht überprüft
gleicher Algorithmus/Schlüssel für alle Geräte
b568hb687n07 and flipflop like this.
head ist offline   Mit Zitat antworten
Alt 22.03.13, 10:23   #22 (permalink)
 
Registriert seit: 22.03.13
monolith81 Leistung: Facit NTK
Likes: 2
Standard

Interessanter Thread der mich dazu bewegt hat mich hier anzumelden.
Anbei ein File das ich im November 2012 per TFTP von KDG auf ein Modem geladen bekommen habe.

Das File wurde mit "docsis -d filename" unter linux in Klartext umgewandelt. Das ist das Configfile welches beim Boot per TFTP geladen wird und unteranderem auch die Upstream & Downstream Geschwindigkeit enthält.
(sieht auch snmp ip IP-Adressen)

Es wäre sehr interessant mein TFP Binary(per PN an bisherige Thread Teilnehmer) per flipflop´s Upload einmal hochzuladen. Sehr schön wäre es wenn das jemand testet welcher eine andere Downloadgeschwindikteit wie ich hat (20er Leitung), um zu sehen ob die eigene danach ggf. gedrosselt ist.

Rest kann man sich denken ...

Code:
Main
{
        NetworkAccess 1;
        ModemCapabilities
        {
         ConcatenationSupport 1;
        }
        GlobalPrivacyEnable 1;
        GenericTLV TlvCode 31 TlvLength 1 TlvValue 0x01;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.7.1 Integer 4 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.2.1 IPAddress 10.10.2.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.3.1 IPAddress 255.255.255.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.4.1 String "privateAccess4us" ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.5.1 Integer 3 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.6.1 String "@" ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.7.2 Integer 4 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.2.2 IPAddress 10.16.152.1 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.3.2 IPAddress 255.255.255.255 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.4.2 String "privateAccess4us" ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.5.2 Integer 3 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.6.2 String "@" ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.7.3 Integer 4 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.2.3 IPAddress 10.16.8.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.3.3 IPAddress 255.255.255.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.4.3 String "privateAccess4us" ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.5.3 Integer 3 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.6.3 String "@" ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.7.4 Integer 4 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.2.4 IPAddress 10.16.136.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.3.4 IPAddress 255.255.255.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.4.4 String "privateAccess4us" ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.5.4 Integer 3 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.6.4 String "@" ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.7.5 Integer 4 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.2.5 IPAddress 10.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.3.5 IPAddress 255.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.4.5 String "publicAccess4us" ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.5.5 Integer 2 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.2.1.6.5 String "@" ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.3.0 Integer 2 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.2.1 Integer 4 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.3.1 Integer 1 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.4.1 Integer 0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.5.1 Integer 3 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.6.1 Integer 2 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.7.1 IPAddress 0.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.8.1 IPAddress 0.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.9.1 IPAddress 0.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.10.1 IPAddress 0.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.11.1 Integer 6 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.14.1 Integer 137 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.15.1 Integer 139 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.2.2 Integer 4 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.3.2 Integer 1 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.4.2 Integer 0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.5.2 Integer 3 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.6.2 Integer 2 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.7.2 IPAddress 0.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.8.2 IPAddress 0.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.9.2 IPAddress 0.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.10.2 IPAddress 0.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.11.2 Integer 17 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.14.2 Integer 137 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.15.2 Integer 139 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.2.3 Integer 4 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.3.3 Integer 1 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.4.3 Integer 0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.5.3 Integer 3 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.6.3 Integer 2 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.7.3 IPAddress 0.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.8.3 IPAddress 0.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.9.3 IPAddress 0.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.10.3 IPAddress 0.0.0.0 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.11.3 Integer 6 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.14.3 Integer 135 ;
        SnmpMibObject iso.3.6.1.2.1.69.1.6.4.1.15.3 Integer 135 ;
        BaselinePrivacy
        {
         AuthTimeout 10;
         ReAuthTimeout 10;
         AuthGraceTime 600;
         TEKGraceTime 600;
         AuthRejectTimeout 60;
        }
        MaxCPE 2;
        UsServiceFlow
        {
         UsServiceFlowRef 1;
         QosParamSetType 7;
         TrafficPriority 0;
         MaxRateSustained 2100000;
         SchedulingType 2;
         IpTosOverwrite 0x0000;
        }
        DsServiceFlow
        {
         DsServiceFlowRef 2;
         QosParamSetType 7;
         MaxRateSustained 12000000;
        }
        UsPacketClass
        {
         ClassifierRef 201;
         ServiceFlowRef 12;
         ActivationState 1;
         LLCPacketClassifier
         {
            EtherType 0x030f16;
         }
        }
        UsPacketClass
        {
         ClassifierRef 202;
         ServiceFlowRef 12;
         ActivationState 1;
         IpPacketClassifier
         {
            IpProto 17;
            IpSrcAddr 10.0.0.0;
            IpSrcMask 255.0.0.0;
            SrcPortStart 2427;
            SrcPortEnd 2428;
         }
        }
        UsPacketClass
        {
         ClassifierRef 203;
         ServiceFlowRef 12;
         ActivationState 1;
         IpPacketClassifier
         {
            IpProto 17;
            IpSrcAddr 10.0.0.0;
            IpSrcMask 255.0.0.0;
            DstPortStart 53;
            DstPortEnd 53;
         }
        }
        UsPacketClass
        {
         ClassifierRef 204;
         ServiceFlowRef 12;
         ActivationState 1;
         IpPacketClassifier
         {
            IpProto 17;
            IpSrcAddr 10.0.0.0;
            IpSrcMask 255.0.0.0;
            SrcPortStart 161;
            SrcPortEnd 161;
         }
        }
        UsPacketClass
        {
         ClassifierRef 205;
         ServiceFlowRef 12;
         ActivationState 1;
         IpPacketClassifier
         {
            IpProto 17;
            IpDstAddr 83.169.182.0;
            IpDstMask 255.255.255.128;
            SrcPortStart 5060;
            SrcPortEnd 5060;
            DstPortStart 5060;
            DstPortEnd 5060;
         }
        }
        UsPacketClass
        {
         ClassifierRef 206;
         ServiceFlowRef 12;
         ActivationState 1;
         IpPacketClassifier
         {
            IpTos 0x5050ff;
            IpProto 17;
            IpSrcAddr 10.0.0.0;
            IpSrcMask 255.0.0.0;
            IpDstAddr 10.0.0.0;
            IpDstMask 255.0.0.0;
         }
        }
        DsPacketClass
        {
         ClassifierRef 101;
         ServiceFlowRef 4;
         IpPacketClassifier
         {
            IpProto 17;
            IpDstAddr 10.0.0.0;
            IpDstMask 255.0.0.0;
            DstPortStart 2427;
            DstPortEnd 2428;
         }
         ActivationState 1;
        }
        DsPacketClass
        {
         ClassifierRef 102;
         ServiceFlowRef 4;
         ActivationState 1;
         IpPacketClassifier
         {
            IpProto 17;
            IpDstAddr 10.0.0.0;
            IpDstMask 255.0.0.0;
            SrcPortStart 53;
            SrcPortEnd 53;
         }
        }
        DsPacketClass
        {
         ClassifierRef 103;
         ServiceFlowRef 4;
         ActivationState 1;
         IpPacketClassifier
         {
            IpProto 17;
            IpDstAddr 10.0.0.0;
            IpDstMask 255.0.0.0;
            DstPortStart 161;
            DstPortEnd 161;
         }
        }
        DsPacketClass
        {
         ClassifierRef 104;
         ServiceFlowRef 4;
         ActivationState 1;
         IpPacketClassifier
         {
            IpProto 17;
            IpSrcAddr 83.169.182.0;
            IpSrcMask 255.255.255.128;
            SrcPortStart 5060;
            SrcPortEnd 5060;
            DstPortStart 5060;
            DstPortEnd 5060;
         }
        }
        UsServiceFlow
        {
         UsServiceFlowRef 12;
         QosParamSetType 7;
         TrafficPriority 4;
         SchedulingType 2;
         IpTosOverwrite 0x6868;
        }
        DsServiceFlow
        {
         DsServiceFlowRef 4;
         QosParamSetType 7;
         TrafficPriority 4;
         GenericTLV TlvCode 32 TlvLength 4 TlvValue 0x80000000;
        }
        UsPacketClass
        {
         ClassifierRef 207;
         ServiceFlowRef 12;
         ActivationState 1;
         LLCPacketClassifier
         {
            EtherType 0x03252b;
         }
        }
        SwUpgradeFilename "CVE-30360-3.1.1.15-MGCP-KDG-120607-EURO.sbn";
        SnmpMibObject iso.3.6.1.2.1.69.1.3.3.0 Integer 2 ;
        MfgCVCData 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;
        MfgCVCData 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;
        MfgCVCData 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;
        MfgCVCData 0xed95;
        SnmpMibObject iso.3.6.1.2.1.1.5.0 String "CVE-30360" ;
        SnmpMibObject iso.3.6.1.4.1.8595.2.1.2.2.1.2.1 String " " ;
        SnmpMibObject iso.3.6.1.4.1.8595.2.1.2.2.1.2.2 HexString 0xe0 ;
        SnmpMibObject iso.3.6.1.4.1.8595.2.1.2.2.1.2.3 String " " ;
        SnmpMibObject iso.3.6.1.4.1.8595.2.1.2.2.1.2.4 String " " ;
        SnmpMibObject iso.3.6.1.4.1.8595.2.1.2.2.1.2.5 String " " ;
        SnmpMibObject iso.3.6.1.4.1.8595.2.1.2.10.1.2.2 String "" ;
        SnmpMibObject iso.3.6.1.4.1.8595.2.1.2.15.0 Integer 2 ;
        GenericTLV TlvCode 202 TlvLength 3 TlvValue 0x010100;
        SnmpMibObject iso.3.6.1.4.1.8595.80211.1.1.0 Integer 0 ;
        SnmpMibObject iso.3.6.1.4.1.8595.80211.100.0 Integer 1 ;
        /* CmMic ; */
        /* CmtsMic ; */
        /*EndOfDataMkr*/
        /* Pad */
}
affe1313 and flipflop like this.

Geändert von monolith81 (26.03.13 um 08:43 Uhr)
monolith81 ist offline   Mit Zitat antworten
Alt 22.03.13, 11:23   #23 (permalink)
 
Registriert seit: 27.02.13
flipflop Leistung: Z3
Likes: 17
Standard

Zitat:
Zitat von head Beitrag anzeigen
Code:
           
D3 84 5D 19 D6 ED 2B 79 cm_capab
4E C3 80 23 9A 7E 00 B6 _capabil
30 62 64 8D EF DE DE 08 capabili
F0 A2 B0 74 EB EB 36 6B uter_ipm 
D9 9C 37 1D B2 97 83 87 emote_ma
70 D8 7C 59 3C 35 21 17 ireless_
Ich habe mal nach den Schnippseln gesucht und das hier gefunden:
SMC Networks SMC8511 Install Guide (Page 16 of 37)
Wir haben es also wahrscheinlich mit einem SMC Modem zu tun.

Zitat:
Zitat von monolith81 Beitrag anzeigen
Anbei ein File das ich im November 2012 per TFTP von KDG auf ein Modem geladen bekommen habe.
Wow, danke. Darf man fragen wie du da ran gekommen bist?

Zitat:
Zitat von monolith81 Beitrag anzeigen
Es wäre sehr interessant mein TFP Binary(per PN an bisherige Thread Teilnehmer) per flipflop´s Upload einmal hochzuladen.
Falls das jemand testen möchte hier noch mal die curl-Befehle
Login:
Code:
curl --cookie-jar cookies.txt http://$HOST/login.asp -s
curl --cookie cookies.txt --cookie-jar cookies.txt --data "user=$USER&pws=$PASS" http://$HOST/goform/login -s
Upload ($localip ist die ip auf dem der tftp server läuft, $file ist die datei für den upload):
Code:
curl --cookie cookies.txt --cookie-jar cookies.txt --data "dir=admin/&file=feat-lan-backup&flag=get&tftp_srv=$localip&rg_file=$file" http://$HOST/goform/RemoteBackup
flipflop ist offline   Mit Zitat antworten
Alt 22.03.13, 15:14   #24 (permalink)
 
Registriert seit: 22.03.13
monolith81 Leistung: Facit NTK
Likes: 2
Standard

Zitat:
Zitat von flipflop Beitrag anzeigen
Wow, danke. Darf man fragen wie du da ran gekommen bist?


Falls das jemand testen möchte hier noch mal die curl-Befehle
Login:
Code:
curl --cookie-jar cookies.txt http://$HOST/login.asp -s
curl --cookie cookies.txt --cookie-jar cookies.txt --data "user=$USER&pws=$PASS" http://$HOST/goform/login -s
Upload ($localip ist die ip auf dem der tftp server läuft, $file ist die datei für den upload):
Code:
curl --cookie cookies.txt --cookie-jar cookies.txt --data "dir=admin/&file=feat-lan-backup&flag=get&tftp_srv=$localip&rg_file=$file" http://$HOST/goform/RemoteBackup
Das File wurde mit einem anderen Modem empfangen, einem auf welchem man kompletten Zugriff hat. Somit auch auf alles was dort ankommt.
monolith81 ist offline   Mit Zitat antworten
Alt 02.04.13, 23:53   #25 (permalink)
 
Registriert seit: 17.01.12
affe1313 Leistung: Facit NTK
Likes: 0
Standard

Äusserst interessant was sich so ergeben hat, ich wüsste gerne welcher Algorithmus zur Verschlüsselung der cmconfig.cfg verwendet wird und wie
der Key ist - head kannst du da was zu sagen?

Ich glaube nicht, dass die docsis config von monolith81 (inhaltlich) identisch zur cmconfig.cfg ist. Die cmconfig.cfg enthält nur die User Settings und nicht Up-/Downstream Geschwindigkeitsangaben. Aber glauben ist nicht wissen...

b568hb687n07: Cool, dass du die zwei UART Ports gecheckt hast! Bei dem J1003 handelt es sich um die serielle Konsole des Access Points, der im Modem integriert ist, eventuell geht tx mit 5v pegel, statt 3,3v? Ansonsten noch Flow control hard/software Werte durchgecheckt?

Die ähnlichen Strings zum SMC Modem sind bermutlich dadurch begründet, dass beide die Texas Instruments TNETC4800ZDWGU CPU benutzen (http://wikidevi.com/wiki/SMC_SMCD3GNV_%28Comcast%29)

Eventuell könntest du noch J1201 und J1202 checken, das könnten JTAG Schnittstellen sein.

OS Fingerprinting ergibt, dass auf dem Modem Linux u.a. mit dnsmasq läuft, die GPL Lizenzerklärung lag dem Modem allerdings nicht bei und auch den Sourcecode finde ich auf der Hitron Seite nicht - GPL Violation also! Sollen sie sich nicht wundern wenn das Teil aufgemacht wird
affe1313 ist offline   Mit Zitat antworten
Alt 04.04.13, 00:17   #26 (permalink)
 
Registriert seit: 27.02.13
flipflop Leistung: Z3
Likes: 17
Standard

Zitat:
Zitat von affe1313 Beitrag anzeigen
Äusserst interessant was sich so ergeben hat, ich wüsste gerne welcher Algorithmus zur Verschlüsselung der cmconfig.cfg verwendet wird und wie
der Key ist - head kannst du da was zu sagen?
Wir brauchen nicht mal zu wissen welcher Algorithmus genutzt wird oder wie der Key ist. Der Router kann doch für uns Ent- und Ver- schlüsseln wie uns head gezeigt hat. Ich bastel übrigens gerade an einem Script das genau diese Möglichkeit nutzt um beliebige Dateien zu entschlüsseln.
In ein paar Tagen sollte ich es fertig haben. Gedulded euch

Geändert von flipflop (04.04.13 um 13:35 Uhr)
flipflop ist offline   Mit Zitat antworten
Alt 04.04.13, 13:07   #27 (permalink)
 
Registriert seit: 22.03.13
monolith81 Leistung: Facit NTK
Likes: 2
Exclamation

Nachtrag, um Missverständnisse zu vermeiden:

Das sind zwei unterschiedliche Dateien.

cmconfig.cm = Kofigurationsdaten WLAN, Firewall etc ...
TFTP File = DOCSIS Kofiguration mit UP- und DOWN-Stream, SNMP etc...
monolith81 ist offline   Mit Zitat antworten
Alt 04.04.13, 19:33   #28 (permalink)
 
Registriert seit: 27.02.13
flipflop Leistung: Z3
Likes: 17
Standard

Hier ist das (noch nicht funktionierende) Script: hitroncrypt
Die grundlegende Idee des Scripts ist, alle bereits entschlüsselten 64bit-Blöcke in einer Datenbank mit dem entsprechenden Klartext zu speichern. Wenn das Script genutzt wird schaut es zuerst in der Datenbank nach ob der Block schon mal entschlüsselt wurde. Wenn nicht wird er in eines der Felder der Config-Datei geschrieben und hochgeladen und somit entschlüsselt. Das Script liest dann nur noch den Klartext von der Website und speichert diesen dann ebenfalls in der Datenbank.

Geändert von flipflop (05.04.13 um 13:45 Uhr)
flipflop ist offline   Mit Zitat antworten
Alt 04.04.13, 21:38   #29 (permalink)
 
Registriert seit: 02.03.13
druckgott Leistung: Facit NTK
Likes: 0
Standard

hallo Flipflop, und was funktioniert noch nicht, weil du geschrieben hast (noch nicht funktionierende)?
druckgott ist offline   Mit Zitat antworten
Alt 05.04.13, 01:56   #30 (permalink)
 
Registriert seit: 05.04.13
mybonus Leistung: Facit NTK
Likes: 0
Thumbs up tmp

Danke,

Es hat funktioniert, DANKE, ich wollte nur kurz mal fragen ob die Aktivierung temporäre ist und/oder muss ich auf was achten?

Zufällig habe ich bemerkt dass mein IP erst Nach 6 Monate geändert hat, dann wollte ich meine Firmware gucken, es wurde geupdatet und neugestartet, ich finde keine Option die Auto-Update zu deaktivieren.

SW-Version 3.1.1.21-MGCP-KDG
Boot-ROM-Version PSPU-Boot 1.0.16.22-H2.8.7

Danke.
mybonus ist offline   Mit Zitat antworten
Antwort

Stichworte
hack, hitronhub, kabel deutschland, wlan
   
- Anzeige -

Werbung ist gerade online    

[HaBo] » Web, Network & Multimedia Palace » WLAN-Zone » Hitronhub CVE-30360 (Kabel Deutschland) WLAN Hack?
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Kabel Deutschland + Wlan Router FloKe WLAN-Zone 4 03.04.12 08:46
Kabel Deutschland I.net Flat Pesci. Internet Allgemein 12 29.10.08 10:44
Kabel Deutschland Pingman Network · LAN, WAN, Firewalls 5 11.12.06 17:43
Kabel Deutschland und WLAN ripperchris WLAN-Zone 41 07.04.06 15:28
Kabel Deutschland Dragoon Off topic-Zone 7 12.12.04 16:30


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62