arl: häkkäys: Skystream Networks EMR-5520S (5)

Käyttöjärjestelmä on Linux versio 2.4.17. Ohjelmistossa mukana BusyBox. Ei lähdekoodia saatavilla, ja näyttäisi siltä, ettei koskaan ole julkaistukaan asiakkaille (gpl@busybox.net).
Linux-työkaluketju tälle laitteelle on ollut "powerpc-hardhat-linux-gnu".

Laitteessa on sarjalinja konsoli, jossa erityinen ohjelma pyörimässä, ja web-käyttöliittymä. Ei komentotulkkia siis ollenkaan.

Tämä laite on wanhentunut satelliittimodeemina.

miksi

Muutama syy miksi investoida aikaa tähän purkkiin:

Ostin ~25 purkkia. edullisesti.
MIL-luokan rauta, joten tulee toimimaan vuosia. Artesyn:in virtalahde.
Käyttää 15W.
PCI-korttipaikat (2).
Helposti lisää muistia. edullisesti.
Pieni 19"-räkkikotelo. (22,5 cm syvä ilman muovista etupaneelia)
Ei tarvitse tuulettimia: hiljainen.

käyttö

Aikomus uudelleenkäyttää tämä tölppö projekteissani

PulseAudio -palvelin kytkeytyen A/V -laitteistooni.
Streamaa musiikkia kirjastostani.
GSF WebCam server videolähde (PCI-kortti), jos saan vanhoja edullisia Panasonic-videokameroita.
Tämä on etävalvontaprojekti.
Hienosäätää CLink-systeemiäni.
CLink on monistrategiallinen datakonvertteri ja -formatoija, joka sopii datan loggaukseen.

häkkäys

root shell

Häkkäys perustuu kahdelle asialle: (1) busybox on suid root, ja (2) huonosti tehdyt Skystreamin lisäämät apuohjelmat, kuten konsolin komentotulkki ja web-kayttöliittymä.

Käyttöjärjestelmään pääsee sisään Webikäyttöliittymän Diagnostics-osassa olevan netstat-komennon parametroinnin syöttökentän avulla sanomalla:

| dd if=/etc/passwd of=/ftp/passwd
ftp emr5500, get passwd passwd.new
mod root passwd
ftp emr5500, put passwd.new
| dd if=/ftp/passwd.new of=/etc/passwd
ssh emr5500 -l root
sh-2.03#

Huomaa: muutettu passwd-tiedosto on RAM-tiedostojärjestelmässä, joten reboot hävittää tiedoston.

Ok, haluat tehdä sen konsolin/sarjalinjan kautta? Tässäpä tämä:

[xxxxxxxx@emr5500] telnet foo | cat /etc/passwd
root:CRYPT:...
...
[xxxxxxxx@emr5500] telnet foo |	cat /etc/passwd | sed 's%CRYPT%%' | dd of=/etc/passwd
0+1 records in
0+1 records out
[xxxxxxxx@emr5500] telnet foo | cat /etc/passwd
root::0:0:root:/:/bin/sh
...
[xxxxxxxx@emr5500] exit
SkyStream Networks
Edge Media Router
Please login as 'xxxxxxxx' for Command-Line Interface
emr5500 login: root
sh-2.03#

rom monitor

Kesti hetken päästä rom-monitoriin...

mtd4 sisältää rom-monitorin parametrit, jossa rivi:

Escape=escape;5;10

ja purkki sanoo buutattaessa:

Enter escape sequence within 5 seconds to access user interface.

ja oikea vastaus oli: kirjoita: escape
ja päädyt näkemään:

> help
Valid commands are:
      auto  Boot per boot environment variable settings
      boot  Boot specified image
 bootorder  Set boot order
      help  Display this list of commands
   helpenv  Display help for boot environment variables
      hinv  Display hardware inventory
   netboot  Perform a broadcast BOOTP operation
      ping  Ping test
  printenv  Display all boot environment variables
     reset  Reset the system
    setenv  Set a boot environment variable
   saveenv  Save the current boot environment variables
  unsetenv  Unset a boot environment variable
   version  Display boot version info
> version
EMR-5500 2.5 ROM Monitor (Nov  7 2002)
Golden Gate Version 0.02
compilation time: Nov  7 2002, 14:32:45
        checksum: 0x0112AEEE
> hinv
405 core,16K I/8K D,32K I/32K D
 Processor Version Register: 0x40110145
                  Processor: 200 MHz
        Processor Local Bus: 100 MHz
     On-Chip Peripheral Bus: 50 MHz
    External Peripheral Bus: 50 MHz

128 MB of SDRAM
Inventory of FLASH devices:
  Addr        MB Description
  0xFF000000  16   Boot FLASH (mfg=0xFF, dev=0xFF)

33 MHz PCI Bus
Internal PCI arbiter enabled
PCI devices:
  Bus Dev Vendor Device Class    Rev  Commnd Status
    0   1 0x100B 0x0020 0x020000 0x00 0x0006 0x0290 Network controller

modaus

Jotain pientä modaamista boksiin:

Enemmän muistia:

Amount of SDRAM   = 256 MBytes 
...
Memory: 248104k available (1652k kernel code, 2008k data, 196k init, 0k highmem)

Amount of SDRAM   = 512 MBytes
...
Memory: 505888k available (1652k kernel code, 2008k data, 196k init, 0k highmem)

Vaikkakaan koneessa oleva sulautettu Linux 2.4.17 ei isommalla muistilla toimi.

Linux 2.6.nn installointi. Toivottavasti ilman JTAG:iä.
Uusi etupaneeli: päästä eroon karseasta muovisesta etupaneelista ja korvata se kolealla alumiinisella.

alkuperäinen mtd

mtd3 sisältää Linux-installaatiot, eli kernelin ja tiedostojärjestelmät.

mtd3 on rakennettu mktree-komennolla (2 imagea (kludge)), hexdump mtd3:

00000000  00 52 50 4f 00 40 00 00  00 00 38 44 00 00 00 00  |.RPO.@....8D....|

00758000  00 52 50 4f 00 40 00 00  00 00 34 ac 00 00 00 00  |.RPO.@....4.....|

ja Linux arch/powerpc/boot/mktree.c:

bt.bb_magic = htonl(0x0052504F);

Kopioin kernel- ja tiedostojärjestelmäimaget skriptillä:

# kernel 1
dd if=mtd3 skip=21376   bs=1 2>/dev/null | gzip -cd > mtd3.21376.uncompressed
# fs image 1
dd if=mtd3 skip=913440  bs=1 2>/dev/null | gzip -cd > mtd3.913440.uncompressed
# kernel 2
dd if=mtd3 skip=7721808 bs=1 2>/dev/null | gzip -cd > mtd3.7721808.uncompressed
# fs image 2
dd if=mtd3 skip=8667168 bs=1 2>/dev/null | gzip -cd > mtd3.8667168.uncompressed

Alkuindeksit voi loytää käyttämällä "od -Ad -x mtd3" ja etsimällä gzip magic:iä.

komponentit

Emolevy

IBM PowerPC 405GP (IBM25PPC405GP-3BE200C)
SanDisk SDTNFAH-128 (16MB NAND flash)
Xilinx XC9572XL (PLCC)
Xilinx Spartan XC2S50 (5C)
IDT 74LVC

Ethernet

National Semiconductor DP83815DVNG
LSI L80225/B
Atmel 93C46A

Satellittivastaanotin

ST Microelectronics STV0299B
Philips TDA8060
Philips TSA5059T

linkit

EMR-5520S/40S Series Specifications (pdf) | Tandberg Television Skystream EMR5520S Edge Media Router - Clearance |
SanDisk SDTNFAH-512 (NAND) |