Unitymedia TC4400 Hardware Hacks

[MartinP_Do]

Wenn man den vorherigen Inhalt des Flash-Bausteines sichert, und ggfs. zurückschreibt, sollte man eigentlich auf der sicheren Seite sein...

Wobei es da gelegentlich Auslese-Schutzmechanismen gibt, bei aktuellen Flash-Bausteinen...

 

[noctarius]

Viel öfter gibt es einen Schreibschutz den man deaktivieren muss Pin+Kabel+GND lässt grüßen haha

 

[der-tim]

Hier ist der Output vom CM Interface, schönen Mittwoch allerseits
https://pastebin.com/xBdii0kc

 

[noctarius]

Hier ist der Output vom CM Interface, schönen Mittwoch allerseits
https://pastebin.com/xBdii0kc

Natürlich bootet das eCos. Sieht auf jeden Fall interessanter aus als das andere Interface Vielen Dank!

PS: Irgendwer ne Idee ob man den Telnet erreichen kann, der da gestartet wird?

 

[der-tim]

Ich habs gerade schon bisschen probiert.
Der CM Port scheint mir der einzig brauchbare zu sein. Auf RG_2 krieg ich nichts raus, auf BBS auch nicht. RG_1 spuckt nur die eine Line aus, so wie gehabt.
Ich kann halt nur mit 's' verhindern dass die Treiber geladen werden, danach passiert aber nichts weiter als sonst auch - keine Shell oder sonstiges. Ich kann auch nicht den Boot von Linux abbrechen, U-Boot oder sowas scheint es in der Form nicht zu geben.

Was meinst du mit eCos?

Edit: ist eCos der Bootloader?

 

[noctarius]

eCos ist das Embedded Betriebssystem was für den Broadcom genutzt wird (siehst du im oberen Drittel). Wird oft genutzt wenn man Real-Time Fähigkeiten braucht aber trotzdem ein nettes OS Interface zum programmieren möchte ;-)

Damit sollte der Bootloader darunter vermutlich Redboot sein. Ob das auch für das RG Interface gilt, ka. Könnte aber durchaus sein.

https://en.wikipedia.org/wiki/ECos

edit: Der besondere Punkt an eCos ist eigentlich das hier: https://en.wikipedia.org/wiki/ECos#Criticisms - besonders der Punkt zum SNMP Stack. Könnte eventuell ein Hinweis sein, wieso die Provisionierung so schwierig ist bei Vodafone / Pyur.

 

[sch4kal]

eCos ist das Embedded Betriebssystem was für den Broadcom genutzt wird (siehst du im oberen Drittel). Wird oft genutzt wenn man Real-Time Fähigkeiten braucht aber trotzdem ein nettes OS Interface zum programmieren möchte ;-)

Damit sollte der Bootloader darunter vermutlich Redboot sein. Ob das auch für das RG Interface gilt, ka. Könnte aber durchaus sein.

https://en.wikipedia.org/wiki/ECos

edit: Der besondere Punkt an eCos ist eigentlich das hier: https://en.wikipedia.org/wiki/ECos#Criticisms - besonders der Punkt zum SNMP Stack. Könnte eventuell ein Hinweis sein, wieso die Provisionierung so schwierig ist bei Vodafone / Pyur.

Wenn der SNMP-Stack genauso oft aktualisiert wird wie der restliche TCP/IP-Stack - nämlich laut Wiki so gut wie gar nicht - dann wundert mich natürlich nichts...das sowas Broadcom bzw. TC nicht schon in der Entwicklungsphase bekannt sein müsste, als die Entscheidung kam, eCos einzusetzen...hauptsache ein halbgares Produkt auf den Markt werfen :super:

 

[noctarius]

Nee eCos ist ein durchaus übliches Betriebssystem für Embedded Anwendungen mit Echtzeit Notwendigkeit. Trotzdem frage ich mich ob die den Default SNMP Stack nutzen.

 

[der-tim]

Ich hab heute noch mal bissel weiter rumgespielt... leider ohne weiteren Erfolg.

Wenn man s während des bootens drückt lädt er halt die Treiber nicht und das wars dann auch.. nichts weiter besonderes.

Habe alle möglichen Tasten mal durchprobiert, zB p für prompt, aber nichts..

Wenn ich das richtig sehe lässt Redboot einen Telnet Server laufen auf Port 9000? (http://ecos.sourceware.org/docs-latest/redboot/user-interface.html)
Vielleicht lässt sich damit was anfangen..? :kratz:

Werde da mal ab morgen bissel weiter probieren..

Edit: wobei, RedBoot? Das Log sagt "BCM339010Technicolor BootLoader Version: 2.7.0alpha4_TCH_v2 " (Alpha, fand ich gestern schon geil als ich es gelesen hatte) :brüll:

 

[noctarius]

Redboot hat nur einen Telnet Server, wenn der Network Stack einkompiliert wurde. Ich kann mir eigentlich nicht vorstellen, dass die das gemacht haben. Zu der Meldung: ich bezweifele, dass TC einen eigenen Low-Level Bootloader geschrieben hat. Die Wahrscheinlichkeit ist sehr gering und einen String zu ändern ist jetzt nicht sooooo schwer.

Die interessantere Frage ist eigentlich: eCos benutzt die eCos License, eine modifizierte GPL Version. Damit müsste man TC eigentlich nach allen unter GPL(-ähnlich) Lizenz stehenden Sourcen fragen ;-)

 

[der-tim]

Das klingt nach einer guten Idee!

Das der String leicht zu ändern ist stimmt ja auch.. aber wieso dann um himmelswillen Alpha..?

 

[noctarius]

Das klingt nach einer guten Idee!

Das der String leicht zu ändern ist stimmt ja auch.. aber wieso dann um himmelswillen Alpha..?

SIeht doch "normal" keiner ;-)

 

[der-tim]

Ist ja auch richtig.. :radio:

Nun, die Option mit den sources wäre natürlich genial. Jetzt beiß ich mir aber um so mehr in den Arsch das ich nicht programmieren kann. Ich kann höchstens ein schlechtes Shell Skript rausdrücken (aber da die idR niemand außer mir sieht fühle ich mich nie so schlecht damit, tun ja ihren Job).
Aber wenn man an die Sources kommt wäre ja langfristig ein 'sicherer' Betrieb vom TC möglich.. oder sehe ich das falsch?

Hast du noch irgend eine Idee was ich noch probieren könnte?

Alle Ports (inkl. verschiedener Baud-Raten) mit Minicom sind durchprobiert, CM war die einzige die mehr auswirft als RG_1 (der Einzeiler mit "Decompressing kernel image ..."), aber darauf kriege ich keine Prompt. ^C sofort nach anschalten gemasht, alle möglichen einzeln Tasten durchprobiert. Ich stocher eh schon lange nur noch im Dunkeln

 

[noctarius]

Nein du wirst sicher kein vollständiges OS bekommen. Was du bekommen würdest ist alles, was unter der GPL oder einer GPL-alike Lizenz steht. Copyleft eben. Wenn aber (und ich bin sicher das ist so), das OS Image auch Closed Source Komponenten beinhaltet (also z.B. Microcode für irgendwelche Co-Prozessoren oder FPGAs oder so), dann bekommst du diese nicht.

Quasi das selbe wie bei AVM. Mit den Fritzbox GPL Sources kann man sich auch kein vollständiges Fritz OS bauen Trotzdem könnte man Rückschlüsse aus dem Code ziehen. Vor allem in Bezug auf Kernel-Module (also Treiber). Da diese mit dem Kernel gelinkt werden müssen sie unter GPL stehen. Man kann zwar Tricks basteln, indem man ein generisches Interface in den Kernel baut und der Treiber dagegen arbeitet (AMD / Nvidia ganz lange) aber wäre jetzt unerwartet

Und es ist niemals zu spät um Coden zu lernen, muss ja nicht jeder so krank früh anfangen wie ich ;-)

 

[rv112]

Hier sieht man ein Cisco EPC3212 welches gehackt wurde über diese serielle Schnittstelle: https://www.csmn.de/~ak/cisco_epc3212/cisco_epc_3212-03.jpg
Existiert sowas nicht auf dem TC4400?

 

[noctarius]

Da ist auf jeden Fall irgendwo ein JTAG Port (vermutlich sogar mehrere, je Processor einer). Nur ob die als Pads ausgeführt sind ist die Frage. Vermutlich eher nicht und an den Chips rumlöten ist immer so pfui ;-)

Tatsächlich habe ich meins noch nicht aufgemacht, da ich derzeit noch mit der opnsense Seite kämpfe

 

[noctarius]

Es ist schade, dass das verfügbare Update-File das wir haben scheinbar nur ein Update für den Linux Teil des TC4400 beinhaltet. Das eCos wäre durchaus auch interessant ;-(

 

[sch4kal]

Es ist schade, dass das verfügbare Update-File das wir haben scheinbar nur ein Update für den Linux Teil des TC4400 beinhaltet. Das eCos wäre durchaus auch interessant ;-(

Das Update beinhaltet auch den Modem Teil für den BCM3390, also höchstwahrscheinlich auch den eCos-Teil.

 

[noctarius]

Wo ist der? Hab ich den übersehen?

 

[der-tim]

Und es ist niemals zu spät um Coden zu lernen, muss ja nicht jeder so krank früh anfangen wie ich ;-)

Stimmt, ich hatte in den Semesterferien tatsächlich mal wieder bisschen mit Ruby geflirtet. Ich glaube da werd ich erst mal bisschen mehr mit machen. C habe ich damals Zeitmäßig recht schnell liegen lassen, aber ich glaub das sollt ich auch mal angehen, ist schon richtig.

Aber gut, erst mal wärs nur wichtig das Update überhaupt mal drauf zu kriegen.. von eCos hab ich in keiner der beiden Folder gelesen. Ich glaub nicht dass der Part drauf ist. Mir scheint es eher so als würde er ein Image am Kabel IF laufen lassen und ein zweites auf dem Lan IF?
Die eine sehen wir über die 10er, die andere über die 192er?

Ich glaub ich teste morgen folgendes:
ubifs-root/443720074/rootfs/etc/init.d/rcS.util redet ja von der 172er Range. Und die versuche ich während des boots mal gepingt zu kriegen. Statische IP am Laptop mit Kabel am Modem. Ne bessere Idee als das man dort das richtige Zeitfenster abpassen muss hab ich nicht.

Edit:
@noctarius: du hast ja im ubifs-root zwei Ordner, ich glaube das meint sch4kal, oder?

und noch ein edit: und wie würde man bei der Suche nach dem JTAG vorgehen? Ich mein, die seriellen Schnittstellen lassen sich ja einfach identifizieren.
Der JTAG an meinem E4200 hat ebenfalls einen der Lötpunkte ekig und das ist ebenso der VCC, das darf ich also als Standard interpretieren?

 

[noctarius]

Ja es laufen mind 2 verschiedene Betriebssysteme, Linux und eCos. Eventuell mehrere Linux Kernel virtualisiert. Die Frage ist, wieviele der möglichen VMs wirklich virtualisiert / isoliert sind. Alle Scripte scheinen ja auf mehrere Möglichkeiten ausgelegt zu sein. Ich denke, dass diese Doppel-OS Strategie eventuell durch die Docsis Spec erzwungen wird, von wegen Sicherheit.

Die 2 Ordner scheinen nicht einmal Linux und einmal eCos zu sein. In beiden Verzeichnissen sind die Executables gegen Linux 2.6.16 gelinkt. Ergo sehe ich da keine eCos Files, leider.

PS: Hast du die IP 172.31.255.45 mal probiert?
rootfs/bin/dload:

snmpset -v2c -cprivate 172.31.255.45 1.3.6.1.4.1.4413.2.99.1.1.2.4.2.2.2.2.0 a $tftphost

edit: Zum Thema JTag, Prozessor Doku lesen und schauen wo das JTag Signal abgegriffen werden kann. Leider scheint der Broadcom keine öffentliche Doku / Spec zu haben :-(

 

[der-tim]

Nein, probiert hab ich die Richtung noch gar nicht. Eben weil ich da ja so im dunkeln tappe, war meine Absicht, vorher was davon zu lesen was man so vermuten darf. Weil ich find auch, dass das sehr modular aussieht, und was wo greift..?

Aber genau dahin wollt ich morgen mal gehen. ..mal schauen was er anfragt sollte er einen FTP Server finden. Mal sehen ob ich mutig genug für einen hübschen Briefbeschwerer bin

 

[noctarius]

TFTP wäre das wenn, nicht FTP!

PS: Bringt Windows heute immer noch den TFTP mit? Ich erinnere mich, früher haben wir (... also natürlich NUR die Anderen) damit auf MSSQL Servern Remote einen richtigen FTP Server (danke MS für das tolle Command SQL Statement mit dem man beliebige Shell-Befehle als System-User ausführen kann) nachgeladen und dann wichtige Dinge darüber verteilt... die gute alte FXP Szene ;-)

 

[der-tim]

He, ich weiß wovon du sprichst. Aber das vielleicht beim Bier.

Und ja, tftp natürlich, Akku alle :hirnbump:

 

[Andreas1969]

TFTP wäre das wenn, nicht FTP!

PS: Bringt Windows heute immer noch den TFTP mit? Ich erinnere mich, früher haben wir (... also natürlich NUR die Anderen) damit auf MSSQL Servern Remote einen richtigen FTP Server (danke MS für das tolle Command SQL Statement mit dem man beliebige Shell-Befehle als System-User ausführen kann) nachgeladen und dann wichtige Dinge darüber verteilt... die gute alte FXP Szene ;-)

Vielleicht sollte man hier mal wieder ansetzen:
https://www.unitymediaforum.de/viewtopic.php?f=53&t=36496&start=225#p395367