Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra

Obtener clave admin en router ZTE H298A de Digi

divadr

Llevo poco tiempo con Digi y me gustaría conseguir la clave de admin del router, llevo unos días leyendo sobre el tema, pero tengo algunas dudas, a ver si alguien puede aclararme.

Antes de nada la versión de firmware que tengo es esta: ZXHN H298A V1.0 V1.0.25_DIGI.1T10.

He conseguido sacar los datos del PPPoE mediante WireShark.

Según tengo entendido los datos SIP no se pueden obtener por ahora. pero he leído que se puede acceder mediante admin/admin si reseteas el router, pero yo no consigo acceder. no se si hago algo mal. o es que ya no se puede ¿alguien podría aclarármelo?

En todos los routers que he tocado hasta ahora la contraseña se cambia al hacer la configuración inicial por tr069, en este no es así? si no es así es que viene pre configurada en el router? ¿todos la misma o una distinta para cada router? he leído algo de que va enlazada con el número de serie, puede ser?

Si tengo el archivo .bin con el firmware del router sería posible extraerla de ahí? he intentado desempaquetarlo pero no consigo de ninguna manera extraer los archivos de ahí (tampoco no soy un experto en estos asuntos)

Mi intención es sustituir el router por otro, y me interesaría que funcionara internet y el teléfono.

A ver si alguien más experimentado, puede ayudarme.

BocaDePez
BocaDePez

Hola, de donde has sacado el .bin, ¿podrías compartirlo? Para descompilarlo y indagar en las tripas del router?

Para tu respuesta no, no vale, tiene que ser el .bin del backup de TU router, a día de hoy es imposible de conseguir.

vukits

ya se ha comentado en el foro..

DIGI hace un barrido, y cambia las claves SIP en caliente, y que lo que has sacado no te vale para nada.

Te recomiendo portar tu nº de telefono a un proveedor Voip

🗨️ 7
BocaDePez
BocaDePez

Bueno, la idea era que si se puede desempaquetar el firmware quizá se pueda ver como se genera la clave de admin o encontrar alguna vulnerabilidad...

Porque si la clave de admin con el router reseteado a los valores de fabrica no es genérica para todos, entiendo que se debe generar con el primer arranque, no?

Aquí dejo el enlace del firmware: mega.nz

por si alguien puede hacer algo con el...

🗨️ 6
BocaDePez
BocaDePez

No funciona:

Scanning firmware...

Scan Time:     2020-01-22 18:22:06
Target File:   /home/ubuntu/Descargas/zxhnh298a_hv1025_fv1025_digi1t10_firmware.bin
MD5 Checksum:  2ad3d9a979b948f531416324d88fe1a4
Signatures:    344

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
256           0x100           LZMA compressed data, properties: 0x5D, dictionary size: 8388608 bytes, uncompressed size: 4414528 bytes

Extracting 0 bytes of  header image at offset 0
ERROR: No supported file system found! Aborting...
🗨️ 4
vukits
🗨️ 3
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
Aleco18

Como conseguiste sacar los datos pppoe? Lo intento con una doble tarjeta lan en el portátil y wireshack pero no levanta la conexión de internet y no captura los datos ..

BocaDePez
BocaDePez

Bueno, pues como parece que lo más inteligente en este post es el método de comprarse un switch o un hub o aprovechar una tarjeta de red, os voy a poner el código para extraer todo el fichero sin necesidad de gastar dinero o perder tiempo en mierdas de comprar tarjetas, switches, etc.

Aprovecho las pistas que nos han ido dejando por aquí algunos del foro y con mis limitados conocimientos, os pongo el código para conseguirlo. No os voy a dejar pistas, os lo voy a poner tal cual para que sea más sencillo.

Primero, necesitamos saber el serial number de nuestro router. Mirar la pegatina por debajo del router.

Luego tenemos que descargarnos python3 (si no lo tenemos). Recomiendo bajarse una instalación de Ubuntu 18.04 en un pen-drive.

En dicha instalación ya tiene python3. Ejecutamos el siguiente comando:

./decrypt_config.py <SN> config.bin

El fichero config.bin lo habremos obtenido previamente de un volcado de copia de seguridad de nuestro router.

#!/usr/bin/env python3
#Uso: ./decrypt_config.py <SN> config.bin

import sys
import zlib
from Crypto.Cipher import AES
from hashlib import sha256
from struct import unpack

BASE_K = "8cc72b05705d5c46"
BASE_V = "667b02a85c61c786"

ENC_HEAD_LENGTH = 0x63
DEC_HEAD_LENGTH = 0x48

if len(sys.argv) != 3:
    print ("%s <sn> <config.bin>" % sys.argv[0])
    sys.exit(1)

try:
    plain_k = BASE_K + sys.argv[1]
    plain_v = BASE_V + sys.argv[1]

    k = sha256(plain_k.encode('utf-8')).digest()
    v = sha256(plain_v.encode('utf-8')).digest()
    d = AES.new(k, AES.MODE_CBC, v[:16])

    o = d.decrypt(open(sys.argv[2], "rb").read()[ENC_HEAD_LENGTH:])

    #print (zlib.decompress(o[DEC_HEAD_LENGTH:]))

    fs = open(sys.argv[2] + ".dec", "wb")
    fs.write(o)

except (ValueError, IOError) as e:
    print ("ERROR: %s" % e)
    pass

La ejecución anterior, nos habrá generado un archivo config.bin.dec

Antes, tendremos que ir a 'Software y actualizaciones' para indicarle que vamos a usar todos los repositorios y desmarcamos la opción de usar el cd-rom:

captura-pantalla-2018-11-18-12-56-40.png

En nuestro ubuntu, ejecutamos los siguientes comandos:

sudo su
apt-get install binwalk
exit

A continuación ejecutamos:

binwalk -e config.bin.dec

El comando dará como respuesta:

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
72            0x48            Zlib compressed data, best compression
5643          0x160B          Zlib compressed data, best compression

Y habrá creado una carpeta con dos ficheros en texto (160B y 48):

ubuntu@ubuntu:~/Desktop/_config.bin.dec.extracted$ ls -la
total 140
drwxr-xr-x 2 ubuntu ubuntu   120 nov 18 12:50 .
drwxr-xr-x 3 ubuntu ubuntu   160 nov 18 12:58 ..
-rw-r--r-- 1 ubuntu ubuntu 54622 nov 18 12:50 160B
-rw-r--r-- 1 ubuntu ubuntu  6101 nov 18 12:50 160B.zlib
-rw-r--r-- 1 ubuntu ubuntu 65536 nov 18 12:50 48
-rw-r--r-- 1 ubuntu ubuntu 11672 nov 18 12:50 48.zlib

En el fichero 160B buscáis por digi y encontraréis la contraseña de la conexión PPPOE. Ojo, que hay 2 passwords, una es la password del usuario admin y otra es la password de la conexión PPPoE.

Se lo dedico al chaval que decía que tenía conocimientos limitados en programación, pues sí, totalmente cierto, pero también es cierto que con tus pistas lo he obtenido. Al menos aquí nadie ha puesto 'en claro' y paso a paso cómo se ejecuta. Sólo pequeñas pistas sin más.

Así que creo que ahora sí que se puede dar por solucionado este post. Sería bueno ponerle una chincheta, creo yo.

🗨️ 6
BocaDePez
BocaDePez

Está de p... Madre, pero no se puede hacer un volcado de la memoria del router. Si nos dices como lo hiciste (volcar la memoria del router zte) sin ser usuario "admin", estaria guay.

Un saludo.

🗨️ 5
BocaDePez
BocaDePez

Eso ya lo conseguí en su dia con hash cat. Yo me referia a lo de volcar la memoria, hace referencia a eso y creo que ya no se puede o yo no se.

Un saludo.

🗨️ 2
BocaDePez
BocaDePez
vukits
BocaDePez
BocaDePez

Este 'script' está pensado para obtener las claves SIP, pero también obtiene el usuario y contraseña PPPoE. Suerte.

Calin

Hola divadr, te importaria explicar como lo has hecho, por favor?

Desde hace unas semanas me pase a la fibra de digi y como es una instalacion con 2 aparatos ONT + router por separado, me pensaba que es quitar y poner el router neutro mio, Asus AX-88U, (y unos ajustes pertinentes, vlan) tal como lo hice en pepephone a traves de la red de movistar pero los muy puñeteros de digi resulta que no te facilitan los datos pppoe (en Rumania te los dan por escrito en el contrato). He probado el wireshack, captura datos pero no veo los del pppoe. Gracias de antemano.

PD: por lo visto cada compania de internet, sea grande o pequeña, te pone pegas para poder tener tu router neutro y estar asi libre.

🗨️ 3
Calin

No los veo vukits, tengo un router digi ZXHN H298A V1.0 V1.0.25 y no muestra ninguna línea del "Authenticate-Request" y abriendo linea a linea tampoco me da algun dato pppoe. Lo estoy haciendo en win 10 pero supongo que el sistema no tiene nada que ver.

🗨️ 1
vukits

EDITO: al compañero, le faltaba un hub o un star lan tap

sube a algún lado la captura de wireshark, digo yo.

no somos adivinos, jeje

Ultrashricco
1

Hola, he investigado un poco el tema de este router.

Para empezar, es una variante del ZTE ZXHN H267A: wikidevi.wi-cat.ru/ZTE_ZXHN_H267A

Buscando con este modelo, salen más resultados que con H298A. He encontrado cosas interesantes:

Este tipo consigue la contraseña de admin (son 3 páginas, esta es la tercera): kaanbasal.net/posts/a-journey-to-the-fir…67a-part-iii

Y aquí a lo mejor algo de lo que inspirarse, aunque con router Huawei: el tipo consigue la contraseña root, acceso ssh y telnet, rebuscando dentro del propio firmware: 0x90.psaux.io/tags/huawei-hg253s

No tengo los conocimientos como para entenderlo todo, pero puedo probar paso a paso.

Con conexión serie he conseguido entrar en el bootloader y pasar de firmware T12 a T10. Estoy buscando un firmware anterior que no estaría tan capado: Los parámetros SIP he leído que el router los recupera…

🗨️ 22
BocaDePez
BocaDePez

Sólo veo 2 posibilidades lejanas de obtener la contraseña de root para entrar en la administración del router como 'admin':

  • Alguien que tenga la versión T8 del firmware del ZTE H298A y que pueda hacer un volcado del firmware.
  • Conocimiento de los comandos TR-069 para poder descargar el firmware T8.

A día de hoy parece complicado.

BocaDePez
BocaDePez

Bueno, se me olvidaba, otra opción mucho más lejana sería la de poder descomprimir el firmware T10 que tenemos y poder activar algún servicio tipo 'anonymous' de ftp por ejemplo, para poder indagar en su sistema de ficheros una vez comprimido el firmware T10 y 'flahseado' de nuevo.

🗨️ 20
Ultrashricco

Cuando tenga tiempo volveré a reiniciar el router de fábrica, a ponerle el firmware T10 y a escuchar todo el tráfico con Wireshark, a ver si encuentro el servidor de Digi desde el que se descarga el firmware y tal, y ver si hay otras versiones disponibles allí.

Mientras tanto le voy a echar un vistazo al T10 con Binwalk a ver si consigo algo: embeddedbits.org/reverse-engineering-rou…with-binwalk

Aquí en castellano: wifi-libre.com/topic-122-binwalk-extrae-…-router.html

El firmware T10: gofile.io/d/1jAiYq

🗨️ 19
BocaDePez
BocaDePez

Poco o nada hay dónde rascar:

binwalk –signature –term zxhnh298a_hv1025_fv1025_digi1t10_firmware.bin
DECIMAL HEXADECIMAL DESCRIPTION
---
256 0x100 LZMA compressed data, properties: 0x5D, dictionary
size: 8388608 bytes, uncompressed size: 4414528 bytes
🗨️ 18
Ultrashricco
🗨️ 1
BocaDePez
BocaDePez
Ultrashricco
🗨️ 14
BocaDePez
BocaDePez
BocaDePez
BocaDePez
🗨️ 12
Ultrashricco
🗨️ 11
BocaDePez
BocaDePez
BocaDePez
BocaDePez
BocaDePez
BocaDePez
BocaDePez
BocaDePez
🗨️ 7
BocaDePez
BocaDePez
🗨️ 5
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
🗨️ 1
VictorG

A mi estos de Digi me tienen hasta las narices, el móvil va como el puñetero ass… el fijo llevan meses que no va bien ni a tiros, encima, no puedes sacar los datos VoIP para configurarlo por otra parte y quitar su chanclarouter y para colmo, problemas con que llevo varios ONTs que se quema la lente porque los cerebritos que me instalaron la fibra, la señal estaba a todo trapo y peta las ONT. Conclusión, el 13 de agosto hago el año y que les den,la línea fija la paso a Netelip y las líneas de móvil y la fibra o bien a Avanza Fibra o bien a O2 y me evito quebraderos de cabeza.

BocaDePez
BocaDePez

Buenas, gran foro y de mucha ayuda :)

He conseguido el PPPoE gracias a vuestra ayuda y me he comprado un FritzBox 7590 y va de lujo 550Mb por ethernet y 300Mb por WiFi.

Ahora leyendo esto último, quería preguntaros, puedo dejar en Digi el internet y llevarme el fijo a Netelip, que además veo que con ellos el fijo es gratis, me recomendariaís hacer esto y poder usar mi Fritzbox planamente?

Una vez mas, muchas gracias a todos!

🗨️ 1
BocaDePez
BocaDePez

Hola.

¿Podrías concretar qué método has utilizado para conseguir las credenciales de admin y de pppoA?

Gracias de antemano .

VictorG

Netelip no es gratis el fijo, son unos 24€ (2€ mes el número de teléfono), más después la línea SIP, que si es gratis, puedes tener 4 extensiones en un número de teléfono y después o bien el consumo de llamadas o un plan de tarifas. Si solo es para recibir, esos 24€ al año no te los quita nadie en Netelip.

BocaDePez
BocaDePez

Si, ya he preguntado y sale por 23,40 + IVA, pero bueno ya es otra opción para poder tener el fijo puesto en FritzBox.

Muchas gracias!

VictorG

Nada hombre, la lástima es que quitaran la VoIP en OVH, que por 1€/mes tenías la línea y llamadas ilimitadas a fijo :(

Pero bueno, a falta de buenos precios en VoIP, yo creo que optaré por eso mismo, Netelip para las llamadas entrantes y las salientes freevoipobuster o similar.

🗨️ 1
BocaDePez
BocaDePez

Lo de OVH era de locos, lastima que durara poco :(

Wolfillete

Buenas, acabo de pasarme a Digi y necesitaria sacar los datos del PPoE pero no me queda claro en el hilo cual es el método que funciona. ¿Me echa alguien una mano?

Gracias!

🗨️ 2
vukits

hay varias maneras de sacarlo…

la universal es con un StarLAN Tap , o con servidor PPPoE falso en el PC …

Y luego, en función del módelo del router, mediante interfaz web.