Bonsoir, oui je l'ai toujours, cela me permettra de voir si la TV fonctionne avec cet ONT.
Toutefois, j'ai uniquement lu en diagonale, quelles sont les commandes curl à lancer pour avoir accès à un shell ?

Alors si je remets la séquence:

une fois que tu as accès à l'ONT en 192.168.100.1, si tu past le code suivant dans la console JS et que ca répond '1' tu devrais avoir un telnet sans mot de passe activé
// Fetch a non csrf protected page to get a csrf token
await fetch("http://192.168.100.1/setup.cgi?next_file=statusandsupport/status.html").then(function (response) {
return response.text();
}).then(function (html) {
//inject the html response into a HTML DOM to parse it
    var el = document.createElement( 'html' );
    el.innerHTML = html;
//The token is inserted into the first <script> tag of the page
    var es = el.getElementsByTagName( 'script' );
var aText = es[0].text;
//Add the csrf token in the document for other requests
    document.csrf_token = aText.match("'(.*)'")[1];
}).catch(function (err) {
console.warn('Something went wrong.', err);
});

//use the csrf token to activate telnet with no login and a shell

fetch('http://192.168.100.1/data/statussupporteventlog_applog_download.json?_=1686211215966&csrf_token='+document.csrf_token, {
  method: 'POST',
  headers: {
    'Content-Type': 'application/x-www-form-urlencoded;charset=UTF-8'
  },
  body: 'applog_select=a;echo "#!/bin/sh" > /tmp/slogin;echo "export PATH=/sbin:/bin:/usr/sbin:/usr/bin:/mnt/rootfs/bin" >> /tmp/slogin;echo "/bin/sh" >> /tmp/slogin;/bin/chmod 755 /tmp/slogin;/usr/sbin/telnetd -l /tmp/slogin'
})
.then(res => res.json())
.then(console.log)

du coup telnet 192.168.100.1 devrait ouvrir un shell sans mot de passe en root

//EDIT avant d'attaquer la remount de cette partition @hwti propose d'essayer directement le fichier /tmp/hw_info/gpon_sn cf https://lafibre.info/remplacer-bbox/test-glasfaser-modem-2-telekom-pour-remplacement-ont-2-5gbe-synchro-ok-ipv4-ok/msg1020441/#msg1020441)

Ensuite dans le shell tu peux remonter la partition avec les S/N en RW:
mount -o remount,rw /dev/mtdblock5 /tmp/var_link_dir/ft
je serais d'avis de faire un backup des fichiers du dossier ft au cas ou ...



Dans tous les cas il faut applisquer le PLOAM password (cf methode curl déjà posté dans le thread)

Par contre a chaque reboot faut refaire la manip pour le telnet, le S/N faudra voir quel fichier fonctionne, le PLOAM est sauvé par contre. Tant qu'on a un telnet non secure il ne vaut mieux pas le garder après reboot.
EDIT le fichier a modifier est gpon_sn

Benoit

Voilà.

Bonsoir, oui je l'ai toujours, cela me permettra de voir si la TV fonctionne avec cet ONT.
Toutefois, j'ai uniquement lu en diagonale, quelles sont les commandes curl à lancer pour avoir accès à un shell ?

A priori l'ONT reçoit bien la config iptv de Bouygues quand on lance la commande umci_ctl rg get iptv_conf
/usr/www-ap # umci_ctl rg get iptv_conf
Multicast gem idx: 1
CONF PORT NUM: 1
###########################################
IGMP CONF idx 0
MCAST CONF idx 0
PORT Index 0
Matched Vlan type 3, ID 1
MAX Simulate group 6
MAX Mcast bandwidth 0
IGMP version 2
IGMP func 0
IS Immediate leave 1
US_IGMP_RATE 12
Query IP Address 0.0.0.0
Query Interval 125
Query Response Time 100
US VLAN Action: transparent, TCI: 0x00
DS VLAN Action: transparent, TCI: 0x00
Access Table idx 0, row tpye 0:
gem_id    vlan_id   src_addr            start_grp_addr      end_grp_addr        bandwidth           
4095      100       0.0.0.0             224.0.1.0           239.255.255.255     0                   
###########################################
omcictl get iptv info succeed

pourtant dans mes tests avec un openwrt/igmpproxy on voit bien toutes les trames igmp/icmp mais jamais on ne voit le flux multicast arriver... pourtant il semble que la config ici prévoit bien ce cas de flux provenant de 0.0.0.0 donc le bridge devrait laisser passer le flux. Il n'y a aucune règle firewall sur l'OLT non plus à priori.

Par contre la partie UI parle d'un multicast_transparent feature mais je ne vois pas ce qu'elle impact ou si elle est plutot pour la modem/OLT de sercomm...

Benoit

Alors si je remets la séquence:

une fois que tu as accès à l'ONT en 192.168.100.1, si tu past le code suivant dans la console JS et que ca répond '1' tu devrais avoir un telnet sans mot de passe activé

Code: [Sélectionner]

// Fetch a non csrf protected page to get a csrf token
await fetch("http://192.168.100.1/setup.cgi?next_file=statusandsupport/status.html").then(function (response) {
return response.text();
}).then(function (html) {
//inject the html response into a HTML DOM to parse it
    var el = document.createElement( 'html' );
    el.innerHTML = html;
//The token is inserted into the first <script> tag of the page
    var es = el.getElementsByTagName( 'script' );
var aText = es[0].text;
//Add the csrf token in the document for other requests
    document.csrf_token = aText.match("'(.*)'")[1];
}).catch(function (err) {
console.warn('Something went wrong.', err);
});

//use the csrf token to activate telnet with no login and a shell

fetch('http://192.168.100.1/data/statussupporteventlog_applog_download.json?_=1686211215966&csrf_token='+document.csrf_token, {
  method: 'POST',
  headers: {
    'Content-Type': 'application/x-www-form-urlencoded;charset=UTF-8'
  },
  body: 'applog_select=a;echo "#!/bin/sh" > /tmp/slogin;echo "export PATH=/bin:/sbin:/usr/bin:/usr/sbin" >> /tmp/slogin;echo "/bin/sh" >> /tmp/slogin;/bin/chmod 755 /tmp/slogin;/usr/sbin/telnetd -l /tmp/slogin'
})
.then(res => res.json())
.then(console.log)

du coup telnet 192.168.100.1 devrait ouvrir un shell sans mot de passe en root

//EDIT avant d'attaquer la remount de cette partition @hwti propose d'essayer directement le fichier /tmp/hw_info/gpon_sn cf https://lafibre.info/remplacer-bbox/test-glasfaser-modem-2-telekom-pour-remplacement-ont-2-5gbe-synchro-ok-ipv4-ok/msg1020441/#msg1020441)

Ensuite dans le shell tu peux remonter la partition avec les S/N en RW:

Code: [Sélectionner]

mount -o remount,rw /dev/mtdblock5 /tmp/var_link_dir/ft
je serais d'avis de faire un backup des fichiers du dossier ft au cas ou ...



Dans tous les cas il faut applisquer le PLOAM password (cf methode curl déjà posté dans le thread)

Par contre a chaque reboot faut refaire la manip pour le telnet, le S/N faudra quel fichier fonctionne, le PLOAM est sauvé par contre. Tant qu'on a un telnet non secure il ne vaut mieux pas le garder après reboot.

Benoit

Voilà.

a tester pour mettre le PLOAM password et le Serial number y'a une commande:
       gponctl getSnPwd
       gponctl setSnPwd
                    [ --sn  <xx-xx-xx-xx-xx-xx-xx-xx>
                      --pwd <xx-xx-xx-xx-xx-xx-xx-xx-xx-xx> (up to 36 bytes)]
exemple sortie bouygues HAEWEI ou XX sont les 15 chiffre de l'IMEI (cf premier post pour le trouver dans l'interface ou sur l'étiquette):
======== Serial Number & Password ========

   Serial Number: 53-43-4F-4D-YY-YY-YY-YY
   Password     : 00-00-0X-XX-XX-XX-XX-XX-XX-XX-00-00-00-00-00-00-
                  00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-
                  00-00-00-00

==========================================

//EDIT suite à une erreur de script j'ai malencotreusement lancer le script board_init qui efface les mtd5 et peut-être plus.... du coup j'ai perdu la config des numéro de série et ploam.

Du coup j'ai pu tester la comme gponctl pour mette à la fois le S/N et le PLOAM pwd, ca ne marche que si on stop gpon avant et relance après..

du coup
gponctl stop
gponctl setSnPwd --pwd 00-00-0X-XX-XX-XX-XX-XX-XX-XX --sn YY-YY-YY-YY-YY-YY-YY-YY
gponctl start

#on peut voir le status avec
gponctl getstate

par contre ca n'a pas l'air de rester post boot


Oui, j'ai fini par comprendre, mais j'ai pas trouvé d'astuce pour ssh alors qu'ils ont laissé l'option -l de telnetd qui nous sauve ici.

S'ils ont patché un appel /bin/sh, on devrait pouvoir le remettre avec quelque chose comme :
echo -e "#!/bin/sh\nexec /bin/sh" > /tmp/sh
chmod 755 /tmp/sh
mount --bind /tmp/sh /bin/sc_cli(on ne peut pas faire un bind d'un symlink directement, sinon argv[0] resterait "sc_cli", alors qu'il faut que ce soit "sh" pour que Busybox lance l'applet)

Oui on peut le retirer un oublie lié au test que j'ai faut pour comprendre ce que /bin/login faisait.

Donc "telnetd -l /bin/sh" fonctionne peut-être.

Je me demande si on ne pourrait pas restaurer l'UI par défaut (temporairement).
Il faudrait un "mount --bind /tmp/index/html /usr/www-ap/index.html", et un /tmp/index.html qui :
 - charge js/mainFrame.js, js/mainFunctions.js
 - appelle main_init("overview")

Haha c'est marrant c'est ce que j'avais fait avec de l'injection JS depuis le navigateur tant que j'avais pas accès au telnet ca marche pas mal. mais j'ai pas pensé à le faire maintenant qu'on accès au FS

Pour gponctl, ça semble être un outil Broadcom, cf  https://github.com/RMerl/asuswrt-merlin.ng/blob/e401e313fac7b7fda9e0b94e1ec13995d88aebb6/release/src-rt-5.02axhnd/userspace/private/include/gponctl_api.h (les APIs de la lib).
Donc ce n'est pas étonnant que les changements ne soient pas conservés après un reboot.

/lib/libhal_gpon.so et /lib/lib/libhal_gpon_manage.so font des appels à libgponctl.so.
Il y a /usr/sbin/hal_gpon_ctl qui est probablement un outil SerComm (donc un cran au dessus de gponctl).

Je me suis dis ça aussi mais les réponse de hal_gpon_ctl ne correspondent pas à ce qu'il y a dans les fichiers
/usr/www-ap # hal_gpon_ctl get_sn
argv[0]:hal_gpon_ctl
argv[1]:get_sn
sn:SCOM�;�"
/usr/www-ap # hal_gpon_ctl get_passwd
argv[0]:hal_gpon_ctl
argv[1]:get_passwd
password: (vide)