Chupakabra303 Jul 23 2015 at 08:52

Получение root доступа к ONT Sercomm RV6688 методом замыкания контактов

6 min

55K

Reverse engineering *

+29

Comments 11

alexcom Jul 23 2015 at 10:01

А что даёт root доступ?
Чисто академический интерес: GPON это «одно волоконо ко всем» с разделением абонентов по времени. Возникает разумный вопрос, а возможно ли читать чужие пакеты. Оно понятно что возможно применяется шифрование, но не думаю что сильно криптойкое.

Ptica79 Jul 23 2015 at 10:31

Ну шифрование в некоторых видах GPON применяется на аппаратном уровне. И это легко может быть AES-128 или AES-256. Так что расшифровывать за… мучаетесь.
Тут я смотрю скорее был просто чисто академический интерес, т.к. особо вряд ли тут что поимеешь. Разве что сеть провайдера построена криво и какой-то ограничивающий функционал возложен на ONT. Тогда да, можно что-то поиметь.

Disasm Jul 23 2015 at 21:31

Я вот не удивлюсь, если ключ шифрования будет один на всех. Ведь его всё равно никто не узнает.[/irony]

Ptica79 Jul 25 2015 at 07:30

Ключи шифрования легко могут формироваться динамически для каждой сессии отдельно. Например как в IPSec.

Disasm Jul 25 2015 at 07:31

Да никто же не спорит. Просто я не уверен, что этим кто-то вообще заморачивался, учитывая текущее состояние безопасности в роутерах.

WGH Jul 23 2015 at 11:46

В Arduino же 5V, а не 3.3V?

Chupakabra303 Jul 23 2015 at 12:05

Хорошее замечание. Похоже там стоит процессор BCM68570, по которому я не смог найти информации.
Но для некоторых Broadcom заявлено: 3.3V/2.5V CMOS with 5V tolerant I/Os, т.е. 5В не смертельны для них.
Так что, я экстраполировал.

skobkin Jul 27 2015 at 00:57

В разных Arduino — разное напряжение. Есть и на 3.3.

INSTE Jul 23 2015 at 12:01

А какой chipset у этой штуковины? И можно ли dmesg на pastebin выложить?

lorc Jul 23 2015 at 23:51

Хороший способ. Я похожим методом воскрешал смартфон, на который был случайно залит кривой загрузчик. Правда в моём случае память eMMC имела BGA корпус и мне пришлось очень аккуратно засунуть под чип тонкую медную проволочку. Но способ сработал. Процессор не смог загрузиться с флеш-памяти и вывалился в загрузчик из ROM-кода. После этого стандартными утилитами Qualcomm я смог залить правильный образ.

amg_core Jul 17 at 23:40

Большое спасибо за вашу работу! Пишу уже из другой эпохи: столкнулся с необходимостью провести аудит подобного роутера и прошёл по вашим следам. На моём устройстве стояла более новая прошивка, которая не позволила получить рут-доступ (файловая система только для чтения, как ни крути). Тем не менее, мне вполне хватило доступа к U-Boot, так что пришлось быстро написать собственный дампер. Получился занимательный проектик:
https://github.com/VinterMute/u-boot_fast_dumper_rv6688bcm