arl: häkkäys: Skystream Networks EMR-5520S (5)

[tämä] [ylös] [juuri]
[en] [fi]
[palaute] [tyyli]

johdanto
Skystream Networks EMR-5520S/40S Series (Edge Media Router) laitteet ovat satelliittimodeemeja.
Tämä purkki on EMR-5520 S202002P-R-EU-5

Tandberg Television osti Skystream Networks:in 2006. Ericsson osti 2010 Tandberg Television:in.

Rauta on MIL-luokan PowerPC 405GP (PVR: 40110145) 200MHz emolevy sisältäen PC133-muistipaikan (128MB oletuksena) ja 2 PCI-korttipaikkaa (PCI-X?).

Boot BIOS on muunneltu openbios.

Käyttöjärjestelmä on Linux versio 2.4.17. Ohjelmistossa mukana BusyBox. Ei lähdekoodia saatavilla, ja näyttäisi siltä, ettei koskaan ole julkaistukaan asiakkaille (gpl@busybox.net).
Linux-työkaluketju tälle laitteelle on ollut "powerpc-hardhat-linux-gnu".

Laitteessa on sarjalinja konsoli, jossa erityinen ohjelma pyörimässä, ja web-käyttöliittymä. Ei komentotulkkia siis ollenkaan.

Tämä laite on wanhentunut satelliittimodeemina.

miksi
Muutama syy miksi investoida aikaa tähän purkkiin:
  • Ostin ~25 purkkia. edullisesti.
  • MIL-luokan rauta, joten tulee toimimaan vuosia. Artesyn:in virtalahde.
  • Käyttää 15W.
  • PCI-korttipaikat (2).
  • Helposti lisää muistia. edullisesti.
  • Pieni 19"-räkkikotelo. (22,5 cm syvä ilman muovista etupaneelia)
  • Ei tarvitse tuulettimia: hiljainen.


käyttö
Aikomus uudelleenkäyttää tämä tölppö projekteissani
  • PulseAudio -palvelin kytkeytyen A/V -laitteistooni.
    Streamaa musiikkia kirjastostani.
  • GSF WebCam server videolähde (PCI-kortti), jos saan vanhoja edullisia Panasonic-videokameroita.
    Tämä on etävalvontaprojekti.
  • Hienosäätää CLink-systeemiäni.
    CLink on monistrategiallinen datakonvertteri ja -formatoija, joka sopii datan loggaukseen.


häkkäys
root shell

Häkkäys perustuu kahdelle asialle: (1) busybox on suid root, ja (2) huonosti tehdyt Skystreamin lisäämät apuohjelmat, kuten konsolin komentotulkki ja web-kayttöliittymä.

Käyttöjärjestelmään pääsee sisään Webikäyttöliittymän Diagnostics-osassa olevan netstat-komennon parametroinnin syöttökentän avulla sanomalla: 

| dd if=/etc/passwd of=/ftp/passwd
ftp emr5500, get passwd passwd.new
mod root passwd
ftp emr5500, put passwd.new
| dd if=/ftp/passwd.new of=/etc/passwd
ssh emr5500 -l root
sh-2.03#

Huomaa: muutettu passwd-tiedosto on RAM-tiedostojärjestelmässä, joten reboot hävittää tiedoston.

Ok, haluat tehdä sen konsolin/sarjalinjan kautta? Tässäpä tämä: 

[xxxxxxxx@emr5500] telnet foo | cat /etc/passwd
root:CRYPT:...
...
[xxxxxxxx@emr5500] telnet foo |	cat /etc/passwd | sed 's%CRYPT%%' | dd of=/etc/passwd
0+1 records in
0+1 records out
[xxxxxxxx@emr5500] telnet foo | cat /etc/passwd
root::0:0:root:/:/bin/sh
...
[xxxxxxxx@emr5500] exit
SkyStream Networks
Edge Media Router
Please login as 'xxxxxxxx' for Command-Line Interface
emr5500 login: root
sh-2.03#



rom monitor

Kesti hetken päästä rom-monitoriin...

mtd4 sisältää rom-monitorin parametrit, jossa rivi: 

Escape=escape;5;10

ja purkki sanoo buutattaessa: 

Enter escape sequence within 5 seconds to access user interface.

ja oikea vastaus oli: kirjoita: escape
ja päädyt näkemään: 

> help
Valid commands are:
      auto  Boot per boot environment variable settings
      boot  Boot specified image
 bootorder  Set boot order
      help  Display this list of commands
   helpenv  Display help for boot environment variables
      hinv  Display hardware inventory
   netboot  Perform a broadcast BOOTP operation
      ping  Ping test
  printenv  Display all boot environment variables
     reset  Reset the system
    setenv  Set a boot environment variable
   saveenv  Save the current boot environment variables
  unsetenv  Unset a boot environment variable
   version  Display boot version info
> version
EMR-5500 2.5 ROM Monitor (Nov  7 2002)
Golden Gate Version 0.02
compilation time: Nov  7 2002, 14:32:45
        checksum: 0x0112AEEE
> hinv
405 core,16K I/8K D,32K I/32K D
 Processor Version Register: 0x40110145
                  Processor: 200 MHz
        Processor Local Bus: 100 MHz
     On-Chip Peripheral Bus: 50 MHz
    External Peripheral Bus: 50 MHz

128 MB of SDRAM
Inventory of FLASH devices:
  Addr        MB Description
  0xFF000000  16   Boot FLASH (mfg=0xFF, dev=0xFF)

33 MHz PCI Bus
Internal PCI arbiter enabled
PCI devices:
  Bus Dev Vendor Device Class    Rev  Commnd Status
    0   1 0x100B 0x0020 0x020000 0x00 0x0006 0x0290 Network controller



modaus
Jotain pientä modaamista boksiin:

  • Enemmän muistia: 

    Amount of SDRAM   = 256 MBytes 
...
Memory: 248104k available (1652k kernel code, 2008k data, 196k init, 0k highmem)



    Amount of SDRAM   = 512 MBytes
...
Memory: 505888k available (1652k kernel code, 2008k data, 196k init, 0k highmem)


    Vaikkakaan koneessa oleva sulautettu Linux 2.4.17 ei isommalla muistilla toimi.
  • Linux 2.6.nn installointi. Toivottavasti ilman JTAG:iä.
  • Uusi etupaneeli: päästä eroon karseasta muovisesta etupaneelista ja korvata se kolealla alumiinisella.


alkuperäinen mtd
mtd3 sisältää Linux-installaatiot, eli kernelin ja tiedostojärjestelmät.

mtd3 on rakennettu mktree-komennolla (2 imagea (kludge)), hexdump mtd3: 

00000000  00 52 50 4f 00 40 00 00  00 00 38 44 00 00 00 00  |.RPO.@....8D....|

00758000  00 52 50 4f 00 40 00 00  00 00 34 ac 00 00 00 00  |.RPO.@....4.....|

ja Linux arch/powerpc/boot/mktree.c: 

bt.bb_magic = htonl(0x0052504F);



Kopioin kernel- ja tiedostojärjestelmäimaget skriptillä: 

# kernel 1
dd if=mtd3 skip=21376   bs=1 2>/dev/null | gzip -cd > mtd3.21376.uncompressed
# fs image 1
dd if=mtd3 skip=913440  bs=1 2>/dev/null | gzip -cd > mtd3.913440.uncompressed
# kernel 2
dd if=mtd3 skip=7721808 bs=1 2>/dev/null | gzip -cd > mtd3.7721808.uncompressed
# fs image 2
dd if=mtd3 skip=8667168 bs=1 2>/dev/null | gzip -cd > mtd3.8667168.uncompressed

Alkuindeksit voi loytää käyttämällä "od -Ad -x mtd3" ja etsimällä gzip magic:iä.

komponentit
Emolevy
  • IBM PowerPC 405GP (IBM25PPC405GP-3BE200C)
  • SanDisk SDTNFAH-128 (16MB NAND flash)
  • Xilinx XC9572XL (PLCC)
  • Xilinx Spartan XC2S50 (5C)
  • IDT 74LVC
Ethernet
  • National Semiconductor DP83815DVNG
  • LSI L80225/B
  • Atmel 93C46A


Satellittivastaanotin
  • ST Microelectronics STV0299B
  • Philips TDA8060
  • Philips TSA5059T


linkit
EMR-5520S/40S Series Specifications (pdf) | Tandberg Television Skystream EMR5520S Edge Media Router - Clearance |
SanDisk SDTNFAH-512 (NAND) |



© arlpäivitetty: 20100504