Hitronhub CVE-30360 (Kabel Deutschland) WLAN Hack?

mrst89

New member
Hi Leute,

ich bin gerade ultra angepisst von Kabel Deutschland, die wollen einem doch tatsächlich das WLAN an ihrem Router monatlich extra verkaufen als zusätzliche Funktionalität!

Ich würde es ja verstehen wenn sie einem einen billig Router für umsonst schicken und einem einen WLAN Router für ein paar € oder auch notfalls monatlich ein paar € zukommen lassen.

Sie schicken einem allerdings einen voll funktionsfähigen WLAN Router und schalten dann aus der Ferne die WLAN Funktionalität nach 2-3 Tagen ab wenn man sie nicht gekauft bzw. gemietet hat!

Es gibt keine Möglichkeit Firmware ein zu spielen oder zu updaten, nur Sicherungen der Konfiguration kann man erstellen und einspielen.

Hat jemand von euch eine Idee wie man das umgehen kann und KD immer noch die Bestätigung "WLAN ist abgeschaltet" erhält um nicht auf zu fliegen?
Gerne beteilige ich mich auch am Programmieren einer Lösung, wenn mir jemand einen Ansatz gibt wie man das einfach lösen könnte.


Beste Grüße,
Michael
 

Chakky

Member of Honour
Gerne beteilige ich mich auch am Programmieren einer Lösung, wenn mir jemand einen Ansatz gibt wie man das einfach lösen könnte.


Beste Grüße,
Michael
Ansatz: Mit der Backupfunktion eigene Daten auf das Gerät bringen und anschließend die zum ausführen bringen.:rolleyes:

Alternativ das Modem ersetzen oder für paar wenige Euro ein WLAN Router kaufen, oder ein alten ausrangieren PC nehmen und den als WLAN Router missbrauchen/umbauen...
 

mrst89

New member
Alternativ das Modem ersetzen oder für paar wenige Euro ein WLAN Router kaufen, oder ein alten ausrangieren PC nehmen und den als WLAN Router missbrauchen/umbauen...
Das ersetzen des Gerätes hilft nicht, da das Koaxial Kabel direkt an den Router angeschlossen ist.

Ein Cisco WLAN Gerät um die Reichweite zu erweitern hängt momentan als Access Point per Kabel am Hitronhub.

Blöderweise ist der Hitronhub riesig groß und hat die Telefonbuxen dran an denen man die Telefone anstöpseln muss.

Es führt also kaum ein Weg um das hässliche hitron-was-auch-immer ding herum außer 5€ im Monat für ne Fritz!Box 6360 zu bezahlen und eine Modem-Tausch-Pauschale von 30€ plus den wegfall der ermäßigung des Vertrages, was 49€ ausmacht. Also 5€ monatlich und fast 80€ auf einen schlag.
 

Chakky

Member of Honour
Antenne->Koxial->ModemKD->eigener WLAN Router ~~~~PC

sonst hast du keine andere Chance.... ich hab ne kleine DLINK Box damals dazubekommen, weil ich im Shop (eines anderen Anbieters) das buchen lassen habe und gesagt habe das ich sonst kein Kunde werde bei denen ;)
 

mrst89

New member
Ist mir schon klar.
Ich tippe also meine Ziele noch ein zweites mal und etwas deutlicher:

- WLAN Router als WLAN Router nutzen
- Kabel Deutschland dir Zunge raus stecken :p
- Vermeiden dass ich zwei Geräte rumstehen habe um die Aufgabe des einen zu erledigen das künstlich beschnitten wurde.


PS: der Ansatz mit dem sich selbst aufrufenden Backup ist nicht schlecht, hast du ne Idee wie sowas im Detail funktionieren könnte?
 

affe1313

Banned
Pix Kabeldeutschland Hitron CVE-30360 wlan hack firmware

Front:


J301 is the key - vermutlich spi interface :)


RF-Teil mit Antennenbuchsen:


Antenne 1:


Antenne 2:


Rückseite:
 

b568hb687n07

New member
Damit sich kein anderer die Arbeit macht hab ich mal geschaut was das Gerät auf J301 und J1003 sagt:

J301
Kurz nach dem Einschalten kommt:
Code:
Starting LZMA Uncompression Algorithm.
Compressed file is LZMA format.
Danach nichts mehr.
Keine Reaktion auf Eingaben.

J1003
Nach wenigen Sekunden kommt:
Code:
=================================================================
        Ralink 3352 iNIC on Jul 31 2012 <10:32:23>

                Used Memory 998K
                Free Memory Base = 0x800FEB30
                Cached text size = 32832
                HZ = 1000
===================================================================

Check Firmware CRC (0x48141363 ~ 0x48141363) -- match
SYSCFG = 0x00101102
SDRAM CFG0 = 0xd1825282
SDRAM CFG1 = 0xe0010600
CPU revision is: 0001964c
MAX_MEMORY = 0x800000
Instruction cache 32kB, physically tagged, 4-way, linesize 32 bytes.
Data cache 16kB, 4-way, linesize 32 bytes.
CONFIG0 = 80010483
80010483 -- > CONFIG0
-> CONFIG0 = 80010483
DEBUG = 02018020, Kernel
STATUS = 10000000, Kernel

=== EEPROM ===
0x0000 : 52 33 00 01 00 0c 43 33 52 58 52 33 8f 14 ff ff
0x0010 : ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
0x0020 : ff ff ff ff ff ff ff ff 00 0c 43 33 52 77 00 0c
0x0030 : 43 33 52 66 22 0c 24 00 ff ff 23 81 55 77 98 aa

rt_buf_init: 9 gets, 3 releases.  5824592 in use, 1324152 free, largest = 132415
2
GPIOMODE(b0000060) = 0040009e
OS_MAX_TASKS = 32
system interface : 2


=== pAd = 8016d8f8, size = 867616 ===

<-- RTMPAllocAdapterBlock, Status=0
wi-fi init
 RGMII Mode
SWITCH at DUMP MODE

=== GMAC Rx_Ring = a00c7640, Tx_Ring0 = a00c7240 ===
Load RT2880 Timer Module(Wdg/Soft)
============> Parameter MAC=xx:xx:xx:xx:xx:xx
============> MiiMasterMac=xx:xx:xx:xx:xx:xx
RX DESC a00dd2c0  size = 1536
<-- RTMPAllocTxRxRingMemory, Status=0
CountryRegionABand=7
Key1Str is Invalid key length(1) or Type(0)
Key1Str is Invalid key length(1) or Type(0)
Key1Str is Invalid key length(1) or Type(0)
Key1Str is Invalid key length(1) or Type(0)
Key1Str is Invalid key length(1) or Type(0)
Key1Str is Invalid key length(1) or Type(0)
Key1Str is Invalid key length(1) or Type(0)
Key2Str is Invalid key length(1) or Type(0)
Key2Str is Invalid key length(1) or Type(0)
Key2Str is Invalid key length(1) or Type(0)
Key2Str is Invalid key length(1) or Type(0)
Key2Str is Invalid key length(1) or Type(0)
Key2Str is Invalid key length(1) or Type(0)
Key2Str is Invalid key length(1) or Type(0)
Key3Str is Invalid key length(1) or Type(0)
Key3Str is Invalid key length(1) or Type(0)
Key3Str is Invalid key length(1) or Type(0)
Key3Str is Invalid key length(1) or Type(0)
Key3Str is Invalid key length(1) or Type(0)
Key3Str is Invalid key length(1) or Type(0)
Key3Str is Invalid key length(1) or Type(0)
Key4Str is Invalid key length(1) or Type(0)
Key4Str is Invalid key length(1) or Type(0)
Key4Str is Invalid key length(1) or Type(0)
Key4Str is Invalid key length(1) or Type(0)
Key4Str is Invalid key length(1) or Type(0)
Key4Str is Invalid key length(1) or Type(0)
Key4Str is Invalid key length(1) or Type(0)
1. Phy Mode = 9
2. Phy Mode = 9
3. Phy Mode = 9
RTMPSetPhyMode: channel is out of range, use first channel=0
RTMPSetIndividualHT : Use legacy rate in WEP/TKIP encryption mode (apidx=32)
MCS Set = ff ff 00 00 01
Main bssid = xx:xx:xx:xx:xx:xx
<==== rt28xx_init, Status=0
SYNC - BBP R4 to 20MHz.l
SYNC - BBP R4 to 20MHz.l
SYNC - BBP R4 to 20MHz.l
SYNC - BBP R4 to 20MHz.l
SYNC - BBP R4 to 20MHz.l
SYNC - BBP R4 to 20MHz.l
SYNC - BBP R4 to 20MHz.l
SYNC - BBP R4 to 20MHz.l
SYNC - BBP R4 to 20MHz.l
SYNC - BBP R4 to 20MHz.l
RTMPSetIndividualHT : Use legacy rate in WEP/TKIP encryption mode (apidx=32)
calling bridge_module_init()
Response MAC=xx:xx:xx:xx:xx:xx

# Parameter1: No. Tasks
# Parameter2: CPU Usage in %
# Parameter3: No. Task switches/sec
<-PRESS 'ESC' TO QUIT->

(00:00:08) - 8614(0) 7 x 13277
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
AsicCheckForHwRecovery!!
Reset BBP Agent busy bit!!
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
RTMPSetIndividualHT : Use legacy rate in WEP/TKIP encryption mode (apidx=32)
RTMPSetIndividualHT : Use legacy rate in WEP/TKIP encryption mode (apidx=32)
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
RTMPSetIndividualHT : Use legacy rate in WEP/TKIP encryption mode (apidx=32)
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx
RTMPSetIndividualHT : Use legacy rate in WEP/TKIP encryption mode (apidx=32)
Response MAC=xx:xx:xx:xx:xx:xx
Response MAC=xx:xx:xx:xx:xx:xx

(00:01:08) - 61345(0) 7 x 121648
GE: Now Rx Time = 78246, Last Rx Time = 57775

(00:02:08) - 61382(0) 7 x 122121

(00:03:08) - 61357(0) 7 x 122093

(00:04:08) - 61325(0) 7 x 122017

(00:05:08) - 61324(0) 7 x 122014

(00:06:08) - 61327(0) 7 x 122021

(00:07:08) - 61365(0) 7 x 122096

(00:08:08) - 61366(0) 7 x 122098

(00:09:08) - 61376(0) 7 x 122119

(00:10:08) - 61399(0) 7 x 122163
Bis auf die letzten Zeilen kommt diese Meldung mehr oder weniger auf einen Schlag. Er schreibt zwar etwas von "press esc to quit", wartet aber nicht auf Eingaben und reagiert auch nicht.

Geht man auf http://192.168.0.1/admin/wireless.asp erscheint im Terminal (bei mir):
Code:
Config:
Channel BW       : 20/40MHZ
ExtChannel offset: EXTCHA_BELOW
Forty Intolerant : 0
20/40 Coexistence: 1
Channel          : 12
===========================
Current:
Channel BW       : 20MHZ
ExtChannel offset: EXTCHA_NONE
Central Channel  : 10
und im Browser kommt die euch vielleicht schon bekannte Meldung:
Code:
WIFI function is notAvailable yet!
Wenn man sich die Seite/Datei wireless.asp anschaut, erkennt man, dass diese Meldung kommt, wenn die interne Variable "WlsStatus" leer ist, was bei Geräten mit durch Kabeldeutschland deaktiviertem W-LAN der Fall ist.
Die Variable WlsCapability hat anscheinend den Wert 0. Könnte man diese Variablen manipulieren, könnte man evtl. WLAN aktivieren.

Ist euch schonmal aufgefallen, dass das W-LAN manchmal an ist? Die LED leuchtet und wenn ich mich recht entsinne wird das WLAN auch auf meinem Laptop angezeigt. Selten mal. Scheint so als würde das Hitron manchmal etwas falsch machen.
http://192.168.0.1/admin/wireless.asp oder http://192.168.0.1/admin/wireless_e.asp ist dann aber trotzdem nocht gesperrt.
 
Zuletzt bearbeitet:

b568hb687n07

New member
Ich brauche es eigentlich auch nicht.
Hast du mal geschaut ob du dem Gerät mittels SPI die Firmware herauskitzeln kannst? Lässt es überhaupt irgendwelche Eingaben zu?
Der von affe1313 als SPI benannte Pinheader J301 ist kein SPI Interface, sondern eine ganz normale serielle Schnittstelle mit GND, TX, RX und VCC (3,3 Volt).

SPI zu nennen war aber nicht ganz Falsch, denn so wird der IC der physikalisch über J301 positioniert ist, beschrieben und gelesen. Damit ich den hätte lesen können, hätte ich ihn auslöten und mit einem Mikrocontroller auslesen müssen. Da das Hitron aber mein einziger Zugang zum Internet und täglich im Einsatz ist, habe ich das nicht gemacht. Zu groß die Gefahr, dass nachher nichts mehr funktioniert (versehentliches Löschen beim Auslesen mit dem µc, ESD, Hitzetod).

Was ich über die seriellen Schnittstellen J301 und J1003 empfangen habe war das, was ich vor ein paar tagen gepostet habe. Auf Eingaben reagiert da nichts.

Jedoch ist mir auf der Seite http://192.168.0.1/admin/feat-lan-backup.asp die Java Funktion
Code:
CheckTftpDownload()
{
...
document.remote_b_r.flag.value = "get"; /* TFTP Restore RG config file */
...
}
und die dazugehörige Html-Form
Code:
<form method="post" action="[URL="http://www.hackerboard.de/view-source:http://192.168.0.1/goform/RemoteBackup"]/goform/RemoteBackup[/URL]" name="remote_b_r"> 
<input type="hidden" value="admin/" name="dir"> 
<input type="hidden" value="feat-lan-backup" name="file"> 
<input type="hidden" value="" name="flag"> 
<input type="hidden" value="" name="tftp_srv"> 
<input type="hidden" value="" name="rg_file"> 
</form>
aufgefallen...

Scheint die Funktion zu haben, eine "RG config file" mithilfe eines tftp aufzuspielen. Bin schon öfter über "RG" gestolpert, weiß aber nicht wofür das stehen soll...
 

flipflop

Stammuser
SPI zu nennen war aber nicht ganz Falsch, denn so wird der IC der physikalisch über J301 positioniert ist, beschrieben und gelesen.
.. der ein 16MB Flash-Speicher ist. Ein potenzieller Platz um eine Firmware abzuspeichern :)
Um an der Stelle weiterzumachen müssen wir wohl warten bis jemand ein Gerät zur Verfügung stellt das er nicht mehr braucht.

Scheint die Funktion zu haben, eine "RG config file" mithilfe eines tftp aufzuspielen.
Das schaut interessant aus. Allein die Tatsache dass die Funktion nirgendwo aufgerufen wird macht sie suspekt.

Bin schon öfter über "RG" gestolpert, weiß aber nicht wofür das stehen soll...
RG bedeutet Residential Gateway.
 

flipflop

Stammuser
Ah! Macht Sinn :)

Hast du dir schonmal so ne Config-Datei ("Backup Settings Locally") angeschaut die man als normaler Benutzer sichern kann? Ist die verschlüsselt oder einfach nicht sehr intuitiv lesbar?
Ist verschlüsselt


Der folgende curl-Befehl geht an dieses versteckte Formular:
Code:
curl --cookie cookies.txt --cookie-jar cookies.txt --data "dir=admin/&file=feat-lan-backup&flag=get&tftp_srv=192.168.0.10&rg_file=test" http://192.168.0.1/goform/RemoteBackup
Und gibt das hier zurück:
HTML:
<html>
<script language='JavaScript'>alert('Tftp Download failed!');location.replace('/admin/feat
-lan-backup.asp');</script></html>
Ist das womöglich ein Download- und kein Upload- feld ?

UPDATE: tftp server installiert und rg_file mit existierendem Dateinamen bestückt ->
HTML:
<script language='JavaScript'>alert('Save configuration file failed.');location.replace('/
admin/feat-lan-backup.asp');</script></html>
Doch upload...
 
Zuletzt bearbeitet:

flipflop

Stammuser
Könntest du deine Config-Datei hier reinstellen? Ich würde gerne mal schauen ob eine schwache Verschlüsslung genutzt wird.
 

flipflop

Stammuser
Hier mal zwei cmconfigs von meiner Box, einmal mit aktiviertem Wlan einmal ohne:
Anhang anzeigen 3791
Anhang anzeigen 3790
Auffallend ist dass die Dateien bis 0x830 gleich sind.
Dann sind nur ein paar Stellen mit der folgenden (Hex-)Zeichenfolge gleich:
59 89 3C F3 3C A2 AE 0D
Teilweise kommen zwei oder drei dieser Folgen direkt hintereinander.
 
Zuletzt bearbeitet:

head

New member
Könntest du deine Config-Datei hier reinstellen? Ich würde gerne mal schauen ob eine schwache Verschlüsslung genutzt wird.
Ja wird es.

Der Text des Configfiles ist zu je 64bit-Blöcken verschlüsselt.
Zum Beispiel bedeutet der wiederholt auftretende Block
Code:
59 89 3C F3 3C A2 AE 0D 00000000
Weitere Beispiele wären:
Code:
7A DD 8E BE 70 FE 75 85 AAAAAAAA
1C A8 E4 F4 0B 67 6E 4D BBBBBBBB               
D3 84 5D 19 D6 ED 2B 79 cm_capab
4E C3 80 23 9A 7E 00 B6 _capabil
30 62 64 8D EF DE DE 08 capabili
F0 A2 B0 74 EB EB 36 6B uter_ipm 
D9 9C 37 1D B2 97 83 87 emote_ma
70 D8 7C 59 3C 35 21 17 ireless_
 
Zuletzt bearbeitet:
Oben