Mir geht es auf den Keks das unsere Router immer weiter beschnitten werden für den Endverbraucher. Ich möchte doch nur mein DNS selber einstellen... aber nein das dürfen wir ja nicht mehr
Aus diesem Grunde wollte ich mir das Frontend näher anschauen ob es Möglichkeiten gibt, per URL Manipulationen, die DNS Einstellung zu verändern… Pustekuchen, es lässt sich leider nichts brauchbares finden.
Wir müssen Tiefer graben! Wir brauchen die Firmware.
Einfach gesagt, der Hersteller bietet diese nicht zum Download an, der Nutzer soll keine Updates durchführen, dies passiert nur durch den Provider direkt.
Nach Stunden langem Googlen ist mir die Firmware Dokumentation in die Finger gefallen:
https://shop.wernerelectronic.de/media/documents/T/G/3/TG3442S_CE_3.PDF AHA, Arris bietet eine „Software/Firmware Delivery Tool“ an jedoch muss man dafür Vertragspartner sein, somit war hier auch ende, die Software ist nicht auffindbar.
Jedoch liefert die Dokumentation einen netten Hinweis auf die Firmware Dateinamen, es wird als Beispiel „AR01.01.123_121216_20.NCS.10.7.D31.simg“ aufgeführt.
Mit diesem Namen hatte ich neuen Google Stoff und bin nach diversen Suchen auf ein SourceForge Folder gekommen welches den Source Code des Routers beinhaltet. JUHU!!! (Oder?)
https://sourceforge.net/projects/tg3442de.arris/files/ Nach dem Herunterladen stelle ich schnell fest das dies lediglich das Core System ist für das gesuchte Model jedoch nicht das Fertige Image welches bei uns (den Kunden) läuft.
Sackgasse, verdammt. Der Code hilft nicht wirklich, ich möchte ja schließlich hinter das Frontend schauen.
Auf ein neues! Ich nehme erneut den Firmware Namen aus der Dokumentation auf und versuche diverse Variationen, da blobt in der Suche auf einmal ein Listing auf, was ist das ? Das lang gesuchte Image?
http://cmapp.ark.cablelynx.com/ Wir finden hier viele Images, auch folgende:
AR01.01.123_101718_70.NCS.10.7.NA.simg
AR01.01.123_101718_70.SIP.10.7.NA.simg
AR01.02.056.04_102519_711.NCS.10.7.NA.simg
AR01.02.056.18_041520_711.NCS.10.7.NA.simg
YES ! HERE WE GO !
Zum Zeitpunkt des Schreibens ist die Version „01.02.037.03.14“ die Aktuellste.
Interessant ist somit direkt das wir hier eine Version vorfinden die noch garnicht ausgerollt wurde!
Nun wird es Zeit die erste Version zu sichten, dafür verwende ich schlicht Binwalk und extrahiere mir jegliche Strukturen, schnell lässt sich ein filesystem finden welches ich mit „unsquashfs“ entpacke.
Wir haben nun nahezu eine Komplette Kopie von dem Gerät welches bei uns allen steht.
Für alle die reinschauen wollen aber sich nicht mit dem IMG rumschlagen wollen, habe ich nur das Vodafone Frontend+Backend separat hochgeladen:
www_AR01.01.123.zip:
https://mega.nz/file/5lBw1YhJ#kSNTEtHoSB-yziR3sjly8DH8iTtXyeP16py0Fb8M4Sg www_AR01.02.056.18.zip:
https://mega.nz/file/M5REECRA#Vn-vcaUCUe6DolGSaM5nj77XPhwGtVkKrjkSFVPxtD4 Zeit für eine Analyse !
Der Code ist plumb geschrieben, sieht aus wie eine Ungeschulte Arbeitskraft, an allen ecken werden PHP untypische Aktionen durchgeführt, die Validatoren sind Abenteuerlich - funktionieren aber sehr gut.
Nach vielen Versuchen mein Konto von Admin auf mso, cusadmin oder technician umzustellen, merkte ich da geht es leider nicht weiter. Das Frontend ist zu gut Geschütz (mittlerweile) ich komme nicht an mein gewünschtes Ziel
Dennoch, das sollte uns nicht abhalten weiter in der Firmware zu schauen was es so gibt, das meiste ist Nutzlos oder veraltet dennoch liste ich hier mein Fundus.
Es gibt 4 User „mso“, „cusadmin“, „admin“ und „technician“. Per Default hat der User „mso“ das Passwort „nas00Rn7TU“. „cusadmin“ verwendet dieses „password of the day“-feature, „admin“ hat (wie solls sonst auch anders sein) „password“ und der „technician“ verwendet „nas00Rn7TU“
Es taucht für den „admin“ user auch noch ein anderes Passwort auf „TSLIIHauhEfGE“ wohl für einen anderen Dienst.
Ein einloggen mit den Daten bringt leider kein Erfolg.
Der Router ist im Normalfall nur via 192.168.0.1 erreichbar, wenn ihr jedoch per LAN verbunden seit könnt ihr auf 192.168.100.1 zugreifen. Hier sollte ein SNMP Server lauschen laut Konfiguration jedoch ist dieser bei mir nicht erreichbar
In der Firmware sind ansonsten 3 Frontend verbaut,
/usr/www//usr/www_lgi//usr/www_vod/
Das erste ist eine Kontrollumgebung die durch das Script /etc/webgui.sh gebootet wird. Ich konnte leider nicht rausfinden wie ich ihn dazu bekommen dies zu Booten
(jemand eine Idee?)
Abseits davon gibt es auch diverse Gruselige dinge.
Eure Eingaben im Router Frontend werden geloggt und auf ein Amazon Server geladen
Und in der neusten Firmware ist ein neuer Dienst vorhanden welcher Daten mitschneidet und an samknows.com sendet 0.o
(Was sagt denn #datenschutz dazu ?!)
Ich bin noch mitten drin in der Analyse der Firmware, wollte es aber bereits mit allen teilen da mehr Augen einfach mehr sehen
gemeint. 
