Recep Baltaş

Recep Baltaş

Techolay
Yönetici
Super user do! Tahtanın Hakimi Topluluk Kahramanı İlk 1.000!
Katılım
3 Aralık 2023
Mesajlar
15.077
Makaleler
104
Çözümler
1.590
Beğeniler
45.768
Yer
İstanbul

Konu Başlıkları Gizle

  1. 1 1. Üzerinde Çalıştığımız Cihaz
  2. 2 2. Başarılı Root İşlemi ve Mevcut Durum
  3. 3 3. Evrensel Bir Root Yöntemi Arayışı
  4. 4 4. R22.bin Dosyası ve Tersine Mühendislik Analizi
  5. 5 Geliştiricilere Çağrımız
Arkadaşlar selam,

Hatırlarsanız bu cihaz için daha önce root çalışmalarına başlamış ve Çin forumlarındaki dosyalara ulaşmak için yardım istemiştim. O günden bu yana çok yol katettik. Modemi tam anlamıyla çözdük ve cihaz üzerinde root erişimini sağladık. Ancak şimdi, bu işlemi donanım müdahalesi olmadan herkes için kolaylaştıracak evrensel bir yönteme ihtiyacımız var.

İşte bugüne kadar yaptıklarımız, ulaştığımız nokta ve sizden (özellikle geliştiricilerden) beklentilerimiz:

1. Üzerinde Çalıştığımız Cihaz​

Kod: 
Cihaz Türü:    HG8245X6
Açıklama:    OptiXstar HG8245X6 GPON Terminal (CLASS B+/PRODUCT ID:2150084230HYM3000324)
Donanım Sürümü:    1E8E.A
Yazılım Sürümü:    V5R021C00S128
Üretim Bilgisi:    2150084230HYM3000324.C402

2. Başarılı Root İşlemi ve Mevcut Durum​

Geçtiğimiz süreçte donanım düzeyinde NAND flash dökümü alarak sistemin kök erişimini (root) başarıyla kazandık. Cihazın şifreli SquashFS ve SEC_SQS korumalarını aşmak yerine, doğrudan konfigürasyon dosyalarını (hw_ctree.xml) analiz ettik ve süper yönetici şifreleri ile ISP kimlik bilgilerini çıkardık. Ardından Telnet üzerinden "SU WAP" yetkileriyle cihazı manipüle ederek tam Linux shell (BusyBox) erişimine ulaştık.

Süreç boyunca elde ettiğimiz tüm bulguları, analizleri ve yöntemleri diğer araştırmacılar için derleyip GitHub üzerinde yayınladık:
Huawei HG8245X6 Root ve Tersine Mühendislik GitHub Sayfası

3. Evrensel Bir Root Yöntemi Arayışı​

Biz cihazı root etmeyi başardık ve modemle ilgili neredeyse her şeyi öğrendik. Ancak bizim uyguladığımız yöntem (NAND okuma vb.) herkesin evde kolayca yapabileceği bir işlem değil. Amacımız, herkesin çalıştırabileceği, evrensel bir BIN dosyası veya root yöntemi oluşturmak.

4. R22.bin Dosyası ve Tersine Mühendislik Analizi​

Şu an elimizde, cihazda root/telnet erişimi sağlamak için kullanılan resmi veya sızdırılmış bir araç setine ait R22.bin dosyası mevcut.
Dosya Linki: Google Drive - R22.bin

Bu dosyanın detaylı tersine mühendislik analizi ise şu şekildedir:

R22.bin (Telnet Enablement Payload)
Bu dosya aslında standart bir firmware güncellemesi değildir. İçerisinde router'ı kandırıp özel scriptler çalıştırmasını sağlayan modifiye edilmiş bir HWNP formatlı güncelleme paketidir. Paketi parçaladığımızda (unpack) şu kritik dosyalar ortaya çıkıyor:
  • var/duit9rr.sh (Ana Exploit Scripti)
  • mnt/jffs2/TelnetEnable
  • var/UpgradeCheck.xml

Exploit'in Çalışma Mantığı (duit9rr.sh):
Router bu R22.bin dosyasını bir firmware güncellemesi sanarak kabul ettiğinde, içerisindeki duit9rr.sh scripti çalışır. Bu script şu işlemleri yapar:
  1. Şifre Çözme: Router'ın ana konfigürasyon dosyasını (/mnt/jffs2/hw_ctree.xml) Huawei'nin gömülü aescrypt2 aracını kullanarak geçici bir dosyaya çözer.
  2. Parametre Değiştirme: cfgtool aracını kullanarak konfigürasyon içerisindeki şu parametreleri zorla değiştirir:
    - InternetGatewayDevice.X_HW_Security.AclServices TELNETLanEnable 1 (LAN için Telnet'i açar)
    - InternetGatewayDevice.UserInterface.X_HW_CLITelnetAccess Access 1 (CLI Telnet Erişimini açar)
  3. Yeniden Şifreleme: Değiştirilen konfigürasyon dosyasını tekrar şifreler ve orijinal dosyanın üzerine yazar.
  4. Temizlik: Router'ın /etc/version dosyasına bakarak (V100R006'dan V300R013'e kadar) izleri siler ve kendini imha eder.

Nasıl Kullanılır: Bu R22.bin dosyası, router'ın web arayüzündeki Firmware Upgrade (Yazılım Güncelleme) sayfasından yüklenirse, cihaz güncellenmiş gibi davranıp yeniden başlayacak ve Telnet portu (23) açılmış olacaktır. Telnet şifresini zaten NAND üzerinden bulmuştuk: EP!99R4HLH9E.

Ayrıca araç seti içerisinde ağ üzerinden cihazı bulup bin dosyasını itmeye yarayan ONT Enable Tool V2.0, cihazın fabrika/servis moduna alınması için test araçları barındıran part1 arşivi ve WAP konsolunda kullanılabilecek gizli komutların listesini (trafficdump, set aclservicesrule vb.) barındıran muazzam bir Expert Debug Command Reference dokümanı da yer alıyor.
Genişletmek için tıkla...
Küçültmek için tıkla...

Geliştiricilere Çağrımız​

Bin dosyasının (veya benim GitHub'da paylaştığım dosyaların) yazılım ve tersine mühendislik konusunda tecrübeli bir geliştirici tarafından daha iyi analiz edilmesi gerekiyor. Eğer bu dosyayı manipüle edip evrensel bir exploit/payload haline getirebilirsek, herkes donanıma müdahale etmeden arayüz üzerinden root yetkisine sahip olabilecek.

İlgilenen, incelemek isteyen veya fikir verebilecek herkesin desteğini bekliyoruz!
 
Son düzenleme:
ProtonVPN ile sayfalara erişebildim 404 vermedi. Üyelik açmayı denemedim. İsviçre konumuna bağlıyım.
 
Üyelik için telefon gerekiyor. TR telefonu sözde mümkün ama SMS gelmiyor maalesef.

Güncelleme: Reddit'te Baidu'dan dosya indirip paylaşan bir kişi var, ondan yardım istedim:



Dosya geldi!

www.mediafire.com

MediaFire

MediaFire is a simple to use free service that lets you put all your photos, documents, music, and video in a single place so you can access them anywhere and share them everywhere.
www.mediafire.com www.mediafire.com

İçinden iki dosya çıktı:
  • r20shell.bin
  • shell.bin
İkisi de bu cihazda işe yaramıyor. Yine de dursunlar bakalım. Cihazın içini açacağız sanırım.

Yeni bir bilgi: LG8245X6-50 de sanırım bununla aynı anakartı kullanıyormuş.
 
Son düzenleme:
Hocam Sansüronline kutusunu kaybetmiş diye bunu akrabaya k***** bana verdi işine yaramıyor diye. Tam modeli HG8245x6-10 yazılım ise V5R021C00S128. ne yapılabiliyor, ne kadar yol katetiniz ve bu modele de uyar mı acaba?

Turuncu forumda ve buradaki R20Shell.BIN'i yazamadım diğer forumda baktım yazdıranlar olsa bile ONT tarafı calısmadı diyenler var. ONT kısmı benim icin onemli olduğu için ara verdim. Yapan olursa bilgilendirsin istenirse içinin fotoğraflarını atabilirim.
 
Son düzenleyen: Moderatör:
Recep Baltaş dedi:
R20Shell. Bın artık çalışmıyor zira sürüm r021. Çinlilerin boktan forumlarında güya R021 Shell dosyası var ama üye olmak bir dert, olduktan sonra da dosyayı indirmek ayrı bir dert.
Genişletmek için tıkla...
Küçültmek için tıkla...

Ya forumu bırak adamlar hafıza entegresinde bile sallamışlar. 26 serisi chip yok adamlar sallayarak bir şey oluşturmus markayı(?) bile kapatmışlar. Bir ihtimal spi ise CHA341 ile okurum anlayan yardımcı olur dedim bakıyorum böyle model yok. Muhtemelen 25 serisi bir chipi kazıdılar üzerine sallamasyon bir şey yazdılar. Attığın linkteki yedeklerde 2 farklı chip vardı ikisi de NAND olduğundan CHA341 okuyamaz diye sökmedim bile, fotoğrafladım geri kapattım. İlginç olan ttl kısmı da yoktu (ya da ben fark etmedim bir yere gizlediler) AP yapabilirsem benden iyisi yok.

Fotoyu atarken fark etim model numarası bile belli değil dış kutu HG8245X6. içerisinde HG8255 uygulamada ise EG8145V5. oğlum bir karar verin bunun modeli ne haykırttı ya. LG8245 ile birebir aynı onda en soldaki Ethernet girişi WAN yapmışlar bunu da bir şekilde WAN girişini aktif edilse CWMP ile root alınabilir muhtemelen.
 

Dosya Ekleri

  • photo_5965402377068154090_y.webp
    photo_5965402377068154090_y.webp
    1,1 MB · Görüntüleme: 122
Son düzenleyen: Moderatör:
Araştırdım 26 serisi chipler var mış ama tarihi eser hepsi, burada kullanılmış olamazlar dediğim gibi isim sallamışlardır ZIP'deki dumplarda bulunan chiplerden biridir. Donanım sürümü kısmında ise 2B3D.C yazıyor.
 
Son düzenleyen: Moderatör:

Benzer konular

HarunU
Huawei OptiXstar HG8245X6-10 modemde root erişimi nasıl alınır?
Mesaj
4
Görüntüleme
80
paspasaltı
P
Fahare
Rehber Huawei OptiXstar HG8245x6'de 5G Wi-Fi ayarı düzenleme (Rootsuz)
Mesaj
1
Görüntüleme
138
Vavien.
Vavien.
2
Rehber Huawei OptixStar LG8245x6-50 modemin root kullanıcısını aktifleştirme
2
Mesaj
14
Görüntüleme
1B
Novaz Zero
N
I
Huawei OptiXstar HG8145x6-10 PPPoE şifresi nasıl öğrenilir?
Mesaj
6
Görüntüleme
144
ILKIN
I

Yeni konular

Yeni mesajlar