Auteur Sujet: Captures d'écran de l'interface du Mini ONT SFR  (Lu 21213 fois)

0 Membres et 1 Invité sur ce sujet

Kellogs

  • Client Free adsl
  • *
  • Messages: 159
  • FREE
Captures d'écran de l'interface du Mini ONT SFR
« Réponse #36 le: 29 août 2020 à 13:14:30 »
J'arrive bien à pinger 192.168.4.1 et 192.168.4.254 depuis mon bypass, mais aucun port ouvert détecté par nmap. Je ne suis pas sur place, donc je ne pourrais pas dire avec certitude quel est le modèle de l'ONT. Je me souviens juste qu'il s'agit d'un petit boîtier Alcatel-Lucent tenant dans la main, avec 4 led en frontal et que l'interface web ressemble aux copies d'écran.

nmap -sS -p 80 192.168.4.0/24
Citer
Starting Nmap 7.70 ( https://nmap.org ) at 2020-08-29 13:18 CEST
Nmap scan report for 192.168.4.0
Host is up (0.014s latency).

PORT   STATE  SERVICE
80/tcp closed http

Nmap scan report for 192.168.4.1
Host is up (0.023s latency).

PORT   STATE  SERVICE
80/tcp closed http

Nmap scan report for 192.168.4.250
Host is up (0.013s latency).

PORT   STATE  SERVICE
80/tcp closed http

Nmap scan report for 192.168.4.251
Host is up (0.013s latency).

PORT   STATE  SERVICE
80/tcp closed http

Nmap scan report for 192.168.4.253
Host is up (0.016s latency).

PORT   STATE  SERVICE
80/tcp closed http

Nmap scan report for 192.168.4.254
Host is up (0.017s latency).

PORT   STATE  SERVICE
80/tcp closed http

Nmap scan report for 192.168.4.255
Host is up (0.015s latency).

PORT   STATE  SERVICE
80/tcp closed http
« Modifié: 29 août 2020 à 13:40:44 par Kellogs »

maximushugus

  • Client SFR fibre FttH
  • *
  • Messages: 159
  • 69
Captures d'écran de l'interface du Mini ONT SFR
« Réponse #37 le: 06 septembre 2020 à 00:04:34 »
Pour ceux que ça intéresserait on peut accéder à l'interface UART sur ces ONT.
Voici le bootlog :

ROM: V1.1.4
ROM: CFG 0x00000006
ROM: SFLASH-4


U-Boot 2015.04-lantiq-gpon-1.3.4-ALB_0.4 (Aug 07 2017 - 17:19:33), Build: ptin_gsxxx0g

Board: PTIN-GSXXX0G
Chip:  FALCON-V2 (A22)
Bootmode: 0x06
Reset cause: Power-On Reset
CPU Clock: 400 MHz
       Watchdog enabled
I2C:   ready
DRAM:  64 MiB
SF: Detected W25Q128BV with page size 256 Bytes, erase size 4 KiB, total 16 MiB
Net:   GPHY0, GPHY1
Press PASS to abort autoboot in 5 seconds
SF: Detected W25Q128BV with page size 256 Bytes, erase size 4 KiB, total 16 MiB
SF: 6815744 bytes @ 0x800000 Read: OK
## Booting kernel from Legacy Image at 80f00000 ...
   Image Name:   3FE7SW04030009
   Created:      2017-08-07  16:54:35 UTC
   Image Type:   MIPS Linux Kernel Image (lzma compressed)
   Data Size:    1267773 Bytes = 1.2 MiB
   Load Address: 80002000
   Entry Point:  80002000
   Verifying Checksum ... OK
FInd DTB
00  1389_V5 found! 80f00040
PTINDTB:PCB=1389_V5# found!PTINDTB:PCB=1389_V5# found!-- 5125743
   Uncompressing Kernel Image ... OK
..1389_V5 found!
OWRTDTB found!
[    0.000000] Linux version 3.10.49 (rsilva@rsilva-VirtualBox) (gcc version 4.8.3 (OpenWrt/Linaro GCC 4.8-2014.04 14.07_ltq) ) #11 Mon Aug 7 17:54:17 WEST 2017
[    0.000000] SoC: Falcon rev A22
[    0.000000] bootconsole [early0] enabled
[    0.000000] CPU revision is: 00019556 (MIPS 34Kc)
[    0.000000] MIPS: machine is PTIN-GSXXX0G - PTIN Ltq Reference Board - 1389 - 5
[    0.000000] e=memsize=64
[    0.000000] e=initrd_start=0xA0000000
[    0.000000] e=initrd_size=0x0
[    0.000000] e=flash_start=0x00000000
[    0.000000] e=flash_size=0x0
[    0.000000] e=ethaddr=00:06:91:5C:8A:3E
[    0.000000] MEMSIZE = 67108864
[    0.000000] Determined physical RAM map:
[    0.000000]  memory: 04000000 @ 00000000 (usable)
procd: Console is alive
procd: - watchdog -
procd: - preinit -
Press the [f] key and hit [enter] to enter failsafe mode
Press the [1], [2], [3] or [4] key and hit [enter] to select the debug level
jffs2 is ready
jffs2 is ready
switching to overlay
procd: - early -
procd: - watchdog -
procd: - ubus -
procd: - init -
Please press Enter to activate this console.
[   22.464000] ######################################################################################################
      UBOOT_VERSION     = 2015.04-lantiq-gpon-1.3.4-ALB_0.4
      EXP_UBOOT_VERSION = 2015.04-lantiq-gpon-1.3.4-ALB_0.4
######################################################################################################
MIPS: set unaligned_action to 'SHOW'
[   34.588000] [onu] PE[255] firmware loaded v9.75.1.0
[omcid] Use OMCC version 0xa0
[omcid] Use IOP option mask 0x00000000
[omcid] Use UNI 1 as LCT debug port
[omcid] Use mask 0x1 for disable functions

**************************************************************
                        PTIN Environment Vars
Serial Number   :(0x50 0x54 0x49 0x4E 0x91 0x5C 0x8A 0x3E)
Model           :(GS0100GH)
HW Version      :(3NT7SFU1389B35)
**************************************************************

**************************************************************
PTIN IOP Mask   (0x1)
**************************************************************
[omcia] 16:56:51 API   ERR: GOT VLAN ID 12 from UCI OMCI CFG FILE!
[omcia] 16:56:51 API   ERR: GOT SIP DSCP 0 from UCI OMCI CFG FILE!
[omcia] 16:56:51 API   ERR: GOT SIP P-BIT 6 from UCI OMCI CFG FILE!
[omcia] 16:56:51 API   ERR: GOT RTP DSCP 46 from UCI OMCI CFG FILE!
[omcia] 16:56:51 API   ERR: GOT RTP P-BIT 6 from UCI OMCI CFG FILE!
[omcid] Reading MIB configuration from '/etc/mibs/ptin_GS0100G.ini'...
----------------------------------------------------------------------
 Lantiq GPON Evaluation System (SFU Voice TR69), Image Revision 7.4.4
----------------------------------------------------------------------
ME367 Option (0) not supported
RMS 64 me_init me/omci_me_alu_generic_v2.c
RMS 243 me_init me/omci_me_alu_uni_supplemental_v2.c
[omcid] 16:56:55 ME    ERR: 65297@257 ERROR(117) Can't find related ext vlan tag
MIB reset complete, time spent 3705 ms
[omcid] OMCI daemon initialized (v7.4.2)
[omcia] 16:56:55 API: port #0 link status changed to down
procd: - init complete -


On apprends beaucoup d'infos, dont le fait que l'ONT tourne sur une version (probablement un peu modifiée) d'OpenWrt.

On peut accéder à un shell root en tapant "f" puis entrée rapidement lorsqu'il le demande ! On a accès au rootfs, mais qui est en lecture seul. Pas de modification possible.
Je ferai plus d'exploration plus tard
De même je mettrai en photo la carte mère avec l'interface UART (lorsque le DDOS sur lafibre.info s'arrêtera)
Celle-ci est même probablement accessible sans avoir à ouvrir le boitier !

maximushugus

  • Client SFR fibre FttH
  • *
  • Messages: 159
  • 69
Captures d'écran de l'interface du Mini ONT SFR
« Réponse #38 le: 06 septembre 2020 à 13:23:52 »
Voici quelques photos de la carte, des puces et de l'interface UART.
Pour l'interface UART, les pins sont de gauche à droite quand on regarde la carte par le dessus) : VCC (en 3.3V), RX, TC, GND

Ivanovitch_k

  • Client SFR fibre FttH
  • *
  • Messages: 9
Captures d'écran de l'interface du Mini ONT SFR
« Réponse #39 le: 08 septembre 2020 à 02:29:13 »
Citer
[    0.000000] Linux version 3.10.49 (rsilva@rsilva-VirtualBox)

mhh, il s'agit maintenant de retrouver ce fameux R. Silva qui doit travailler aux Altice Labs portugais et de lui fournir pas mal de bière pour qu'il nous livre tous les secrets de cet ONT  ;D ;D !!!

maximushugus

  • Client SFR fibre FttH
  • *
  • Messages: 159
  • 69
Captures d'écran de l'interface du Mini ONT SFR
« Réponse #40 le: 09 septembre 2020 à 07:30:19 »
Déjà avec l'accès root au rootfs, on peut faire pas mal de rétro ingénierie, même si cet accès est en lecture seule.
Et maintenant qu'on connait le modèle de la puce contenant la rom on peut extraire le firmware via un lecteur de puce flash. Si j'ai le temps j'essayerai de le faire dans les prochaines semaines

Ivanovitch_k

  • Client SFR fibre FttH
  • *
  • Messages: 9
Captures d'écran de l'interface du Mini ONT SFR
« Réponse #41 le: 09 septembre 2020 à 12:04:10 »
oui ca doit etre possible de dumper la puce de flash (W25Q128JV en SOIC 300),

en espérant que son contenu ne soit pas chiffré par le soc principal (pas trouvé son datasheet à lui).

il devrait aussi être possible d'espionner et décoder la liaison SPI avec un analyseur logique (genre un saleae)

potentiellement le faire en parallèle avec l'UART (elle aussi décodée) permettrais de corréler les accès du SoC aux addresses mémoires de la flash spi (durant le process de boot et au moment où on passe des commandes par le terminal)

encore une fois ca suppose que y'ait pas de chiffrement, sinon c'est mort :-\

maximushugus

  • Client SFR fibre FttH
  • *
  • Messages: 159
  • 69
Captures d'écran de l'interface du Mini ONT SFR
« Réponse #42 le: 14 septembre 2020 à 22:09:15 »
J'ai réussi à accéder en écriture au rootfs. J'ai pu modifier le fichier "shadow" pour mettre le mot de passe sur je souhaitais pour le compte root. J'ai ainsi accès au rootfs sur l'ONT lors du fonctionnement de celui ci.
Il faut que j'explore les fichiers et programmes.
J'ai vu qu'en fonctionnement l'ONT n'a pas d'interface qui accède à internet.
Par contre j'ai vu que tcpdump est installé sur l'ONT. Ça ne m'a pas beaucoup inspiré confiance, j'espère que SFR ne l'utilise pas. J'ai essayé de l'utiliser en vite fait, je n'ai pas l'impression qu'il y ait accès aux paquets transitant vers le routeur derrière.
Bref, à suivre.

hwti

  • Client Orange Fibre
  • *
  • Messages: 1 600
  • Chambly (60)
Captures d'écran de l'interface du Mini ONT SFR
« Réponse #43 le: 05 décembre 2020 à 00:35:01 »
SLL6A => Lantiq/Intel PEB98021
https://ark.intel.com/content/www/us/en/ark/products/92438/intel-pon-chipset-gpon-sfu.html

[omcid] Use OMCC version 0xa0
[omcid] Use IOP option mask 0x00000000
[omcid] Use UNI 1 as LCT debug port
[omcid] Use mask 0x1 for disable functions
...
[omcid] Reading MIB configuration from '/etc/mibs/ptin_GS0100G.ini'...
...
[omcid] OMCI daemon initialized (v7.4.2)
C'est le démon OMCI Lantiq, donc les ONT SFP qui l'utilisent (MA5671A par exemple, PAS les G-010S-A/P dans leur configuration par défaut) doivent être très proches (bien sûr, le SDK peut avoir été modifié spécialement, on ne sait jamais).
Si besoin, le /etc/mibs/ptin_GS0100G.ini peut éventuellement être repris pour ressembler le plus possible à l'ONT officiel.

aussetg

  • Client SFR fibre FttH
  • *
  • Messages: 53
  • Issy les Moulineaux 92130
Captures d'écran de l'interface du Mini ONT SFR
« Réponse #44 le: 13 janvier 2021 à 14:24:59 »
Des avancees ? :)

Ca a beau etre inutile je suis bien tente par me debarasser de l"ONT et le remplacer par le miens :)

domodial

  • Client SFR fibre FttH
  • *
  • Messages: 21
  • Région 93
Captures d'écran de l'interface du Mini ONT SFR
« Réponse #45 le: 13 avril 2021 à 16:54:35 »
Moi je peux m'y connecter directement au travers de mon routeur. J'ai simplement eu à mettre une IP LAN (192.168.4.100 par exemple) comme IP secondaire en plus de l'IP publique récupérée en DHCP sur le port WAN.

Hello,

Tu veux dire que la seule chose à faire pour passer l'ONT sur le routeur est ce que tu indiques ?
Pas de DHCP option and Co à indiquer ?  :o

EDIT : mais je viens de réaliser que tu dois parler de la lecture de L'ONT, de son accès. Je pensais au Bybass  du modem pour passer le flux au routeur.

aljarreau

  • Client Maroc Telecom
  • *
  • Messages: 277
  • Casablanca
Captures d'écran de l'interface du Mini ONT SFR
« Réponse #46 le: 10 mai 2021 à 09:17:36 »
J'ai réussi à accéder en écriture au rootfs. J'ai pu modifier le fichier "shadow" pour mettre le mot de passe sur je souhaitais pour le compte root. J'ai ainsi accès au rootfs sur l'ONT lors du fonctionnement de celui ci.

Bonjour, Et tu peux nous expliquer comment tu as fait?

Merci