Восстановление dwl-2100ap: различия между версиями

Материал из wiki.nntc.nnov.ru
Перейти к навигации Перейти к поиску
(редактируем загрузчик точки доступа)
(возвращаем настройки загрухчика для загрузки с флешь-памяти)
 
(не показаны 4 промежуточные версии 1 участника)
Строка 252: Строка 252:
 
===редактируем загрузчик точки доступа===
 
===редактируем загрузчик точки доступа===
  
после нажатия esc мы получили приглашению базовой системы точки доступа. Набрав p мы увидим
+
после нажатия esc мы получили приглашению базовой системы точки доступа. Комманда p дает нам возможность изменить опции загрузки точки доступа.
  
[boot]: p
+
Примеры настроек загрузчика для загрузки системы по сети и пример настроек для запуска полноценной системы с флешь памяти можно найти на странице 47 итальянского руководства для хакеров dwl-2100ap.
  
 +
boot device : ae1
 +
processor number : 0
 +
host name :
 +
file name : art                                  //адрес файла art на tftp сервере
 +
inet on ethernet (e) : 192.168.1.2:0xffffff00    //ip точки достпа при загрузке
 +
inet on backplane (b):
 +
host inet (h) : 192.168.1.1                    //ip нашего компьютера с работающим tftpd сервером
 +
gateway inet (g) :
 +
user (u) :
 +
ftp password (pw) (blank = use rsh):
 +
flags (f) : 0x80                                //указываем системе выполнять BOOTP
 +
target name (tn) :
 +
startup script (s) :
 +
other (o) : ae
  
 +
[boot]: @
  
 +
===загружаемся и переносим необходимые файлы на флешь точки доступа===
  
ar531x rev 0x00005850 firmware startup...
+
Далее мы воспользовались примеро действий zanaz с [http://forum.nag.ru/forum/index.php?showtopic=25323 nag.ru]
SDRAM TEST...PASSED
 
 
 
 
  WAP-G02A  Boot Procedure                      V1.0
 
---------------------------------------------------------
 
  Start ..Boot.B14..
 
 
Atheros AR5001AP default version 3.0.0.43A
 
 
 
   
 
   
  [Boot]: $ae(1,0):art e=10.1.0.250:ffffff00 h=10.1.0.4 f=0x80 o=ae  ///// на 10.1.0.4 стоит TFTP32, который отдает  art
+
  [Boot]:@
 
  Attached TCP/IP interface to ae1.
 
  Attached TCP/IP interface to ae1.
 
  Attaching network interface lo0... done.
 
  Attaching network interface lo0... done.
Строка 409: Строка 415:
 
  WLAN1 Ready  
 
  WLAN1 Ready  
 
  Ready  /// Ну вот... Все работает.
 
  Ready  /// Ну вот... Все работает.
 +
 +
===возвращаем настройки загрузчика для загрузки с флешь-памяти===
 +
 +
boot device          : tffs:0
 +
processor number    : 0
 +
host name            :
 +
file name            : /fl/apimg1
 +
inet on ethernet (e) : 192.168.0.50:0xffffff00      //ip нашей точки доступа по умолчанию
 +
inet on backplane (b):
 +
host inet (h)        :
 +
gateway inet (g)    :
 +
user (u)            :
 +
ftp password (pw) (blank = use rsh):
 +
flags (f)            : 0x0
 +
target name (tn)    :
 +
startup script (s)  :
 +
other (o)            : ae
  
 
==Полезные ссылки==
 
==Полезные ссылки==

Текущая версия на 00:12, 1 декабря 2007

Если вы неудачно прошили точку доступа dwl-2100ap то еще далеко не все потеряно. Это замечательное устройство возможно восстановить если вы только не разрушили плату физически. Все остальные случайности поправимы!

Ситуация

  • Мы получили точку доступа с прошивкой BlueBox на борту.
  • При попытке подключения по wi-fi мы обнаружили что не слышим точку доступа в эфире (kismet не выдал никакой активности)
  • Мы вошли на точку доступа по telnet и залили прошивку с официального сайта D-Link
    • Т.к. нам нехватало место под прошивку мы удалили backup и art (что само по себе было грубой ошибкой)
    • Мы напрямую залили файл прошивки переименовав его в apimg1 (что тоже является ошибкой)

Результат

Мы получили точку доступа dwl-2100ap уходящую в постоянный reboot после первых 2 секунд загрузки

Сбор информации

Первой полезной ссылкой стал адрес документа по "хаккингу" точки доступа dwl-2100ap. Несмотря на итальянкий язык - книга оказалась крайне полезной!

Особое внимание стоит обратить на страницу 43. На ней мы обнаружили что точка доступа имеет RS232 (COM) интерфейс. И подключится к нему возможно посредством стандартного data кабеля для телефонов siemens.

Благодаря Николаю Веселову у нас быстро нашелся подобный кабель и мы могли двигаться дальше!

Аппаратная часть

На нужно получить терминал доступа к системе на точке доступа. Для этого нам нужно соеденить RS232 порт точки доступа с COM портом компьютера.

Как видно на фотографии на странице 43 data кабель имеет 3 вывода (RX, TX и GrouND). На странице 20 приведена разводка COM порта на самой плате точки доступа. Нашей задачей стало соеденить RX data кабеля c TX точки доступа. В свою очередь TX data-кабеля нужно было соеденить с RX точки доступа. Что мы и сделали - получв аппаратную часть терминала.

Программная часть

После организации апаратного подключения нам нужно произвести программное. Т.к. у нас в колледже испольуется Linux мы выбрали первое что нашлось в репозитории для работы с com портом. Это было приложение picocom.

aptitude install picocom

Производим соединение с нашей точкой доступа

picocom /dev/ttyS0

Ву-а-ля - перед нами терминал нашей точки доступа. Воспринимайте это как монитор с клавиатурой, подключенные к системному блоку с оперативной памятью, процессором и флешь, вместо винчестера. Для входа в "BIOS" нажмите ESC после теста SDRAM.

Процесс востановления

У нас есть

  • Терминал доступа к точке доступа.
  • Мы можем изменять параметры загрузки точки доступа

Нам нужно

  • Выполнить загрузку базовой системы
  • Получить доступ по ftp к папке с образом систему (apimg1) и загрузчику (art) на нашем компьютере
  • Скопировать образ системы (apimg1) и загрузчик (art) на точку доступа
  • Настроить параметры загрузки точки доступа с локального флешь

получим копии нужных системных файлов

Как написано в книге итальянских хаккеров, архим с нужными системными файлами для dwl-2100ap можно скачать здесь.

В архиве находится:

apcfg - настройки загружаемой системы (нам не нужен)
apcfg.bak - архим конфигурационного файла (нам не нужен)
apimg1 - образ системы с драйверами для wifi и т.д. (самый важный для нас фал!!!)
art - загрузчик системы (даст нам возможность перенести на точку доступа себя самого и apimg1 по ftp (нужен для загрузки apimg1)
backup - архив рабочей системы (имеет смысл так же скопировать на точку доступа)
pcode - код устройства (нам не нужен)

tftpd

tftpd демон нам понадобится для загрузки с art загрузчиком по сети. Процесс достаточно занимательный. Загрузчик попадает с удаленного сервера прямо в память системы и начинает работать.

Стоит отметить что протокол tftpd не совсем одно и то же что ftp. Tftpd работает по ftp и не использует логины и пароли.

Устнавливаем tftpd сервер.

aptitude install tftpd

После установки нужно будет перезагрузить компьютер (скорее всего существует более элегантный способ перезапуска некоего сервиса - но мы не стали стратить время на поиски).

tftpd по умолчанию отдает файлы из папки /srv/tftp/ (конфигурации в /etc/inetd.conf). Нам нужно скопировать туда файл art

cp /home/gumanoed/Flash/art /srv/tftp/

ftp

Теперь нам нужно настроить ftp сервер с файлами для переноса на точку доступа. Мы использовали proftpd.

aptitude install proftpd

/etc/proftpd/proftpd.conf

#
# /etc/proftpd/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes reload proftpd after modifications.
# 

# Includes DSO modules
Include /etc/proftpd/modules.conf 

# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
UseIPv6                         on

ServerName                      "Debian"
ServerType                      standalone
DeferWelcome                    off

MultilineRFC2228                on
DefaultServer                   on
ShowSymlinks                    on 

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
ListOptions                     "-l"
 
DenyFilter                      \*.*/

# Use this to jail all users in their homes 
# DefaultRoot                   ~

# Users require a valid shell listed in /etc/shells to login.
# Use this directive to release that constrain.
# RequireValidShell             off

# Port 21 is the standard FTP port.
Port                            21 

# In some cases you have to specify passive ports range to by-pass
# firewall limitations. Ephemeral ports can be used for that, but
# feel free to use a more narrow range.
# PassivePorts                  49152 65534 

# If your host was NATted, this option is useful in order to
# allow passive tranfers to work. You have to use your public
# address and opening the passive ports used on your firewall as well.
# MasqueradeAddress             1.2.3.4

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances                    30

# Set the user and group that the server normally runs at.
User                            proftpd
Group                           nogroup

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask                           022  022
# Normally, we want files to be overwriteable.
AllowOverwrite                  on

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
# PersistentPasswd              off

# Be warned: use of this directive impacts CPU average load!
# Uncomment this if you like to see progress and transfer rate with ftpwho
# in downloads. That is not needed for uploads rates.
#
# UseSendFile                   off

# Choose a SQL backend among MySQL or PostgreSQL.
# Both modules are loaded in default configuration, so you have to specify the backend 
# or comment out the unused module in /etc/proftpd/modules.conf.
# Use 'mysql' or 'postgres' as possible values.
#
#<IfModule mod_sql.c>
# SQLBackend                    mysql
#</IfModule>

TransferLog /var/log/proftpd/xferlog
SystemLog   /var/log/proftpd/proftpd.log

<IfModule mod_tls.c>
TLSEngine off
</IfModule>

<IfModule mod_quota.c>
QuotaEngine on
</IfModule>

<IfModule mod_ratio.c>
Ratios on
</IfModule>


# Delay engine reduces impact of the so-called Timing Attack described in
# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
# It is on by default. 
<IfModule mod_delay.c>
DelayEngine off
</IfModule>

<IfModule mod_ctrls.c>
ControlsEngine        on
ControlsMaxClients    2
ControlsLog           /var/log/proftpd/controls.log
ControlsInterval      5
ControlsSocket        /var/run/proftpd/proftpd.sock
</IfModule> 

<IfModule mod_ctrls_admin.c>
AdminControlsEngine on
</IfModule> 

# A basic anonymous configuration, no upload directories. 

<Anonymous ~ftp>
  User                          ftp
  Group                         nogroup
#   # We want clients to be able to login with "anonymous" as well as "ftp"
  UserAlias                     anonymous ftp
#   # Cosmetic changes, all files belongs to ftp user
  DirFakeUser   on ftp
  DirFakeGroup on ftp
# 
  RequireValidShell             off
# 
#   # Limit the maximum number of anonymous logins
  MaxClients                    10
# 
#   # We want 'welcome.msg' displayed at login, and '.message' displayed
#   # in each newly chdired directory.
#   DisplayLogin                        welcome.msg
#   DisplayFirstChdir           .message
# 
#   # Limit WRITE everywhere in the anonymous chroot
#   <Directory *>
#     <Limit WRITE>
#       DenyAll
#     </Limit>
#   </Directory>
# 
#   # Uncomment this if you're brave.
#   # <Directory incoming>
#   #   # Umask 022 is a good standard umask to prevent new files and dirs
#   #   # (second parm) from being group and world writable.
#   #   Umask                           022  022
#   #            <Limit READ WRITE>
#   #            DenyAll
#   #            </Limit>
#   #            <Limit STOR>
#   #            AllowAll
#   #            </Limit>
#   # </Directory>
# 
</Anonymous>


Proftpd даст возможность копировать фалы из папки /home/ftp. Туда то мы и скопируем необходимые для переноса файлы.

cp /home/gumanoed/Flash/apimg1 /home/ftp/
cp /home/gumanoed/Flash/backup /home/ftp/
cp /home/gumanoed/Flash/art /home/ftp/

редактируем загрузчик точки доступа

после нажатия esc мы получили приглашению базовой системы точки доступа. Комманда p дает нам возможность изменить опции загрузки точки доступа.

Примеры настроек загрузчика для загрузки системы по сети и пример настроек для запуска полноценной системы с флешь памяти можно найти на странице 47 итальянского руководства для хакеров dwl-2100ap.

boot device : ae1
processor number : 0
host name :
file name : art                                  //адрес файла art на tftp сервере
inet on ethernet (e) : 192.168.1.2:0xffffff00    //ip точки достпа при загрузке
inet on backplane (b):
host inet (h) : 192.168.1.1                     //ip нашего компьютера с работающим tftpd сервером
gateway inet (g) :
user (u) :
ftp password (pw) (blank = use rsh):
flags (f) : 0x80                                 //указываем системе выполнять BOOTP
target name (tn) :
startup script (s) :
other (o) : ae
[boot]: @

загружаемся и переносим необходимые файлы на флешь точки доступа

Далее мы воспользовались примеро действий zanaz с nag.ru

[Boot]:@
Attached TCP/IP interface to ae1.
Attaching network interface lo0... done.
Loading... 19032 + 618848 + 105600
Starting at 0x80480000...

Attached TCP/IP interface to ae unit 1
Attaching interface lo0...done
Error setting inet address of ae1 to 10.1.0.250, errno = 0x11
List of bridge ports not specified! -
Please set the bridge configuration parameter BRIDGE_PORTS.
This must a list of comma-separated device name and unit number pairs.
For example: "fei0,fei1,elPci0"
portsStringParse failed! 

Adding 3836 symbols for standalone. 
 

]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]
]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]
]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]
      ]]]]]]]]]]]  ]]]]     ]]]]]]]]]]       ]]              ]]]]         (R)
]     ]]]]]]]]]  ]]]]]]     ]]]]]]]]       ]]               ]]]]
]]     ]]]]]]]  ]]]]]]]]     ]]]]]] ]     ]]                ]]]]
]]]     ]]]]] ]    ]]]  ]     ]]]] ]]]   ]]]]]]]]]  ]]]] ]] ]]]]  ]]   ]]]]]
]]]]     ]]]  ]]    ]  ]]]     ]] ]]]]] ]]]]]]   ]] ]]]]]]] ]]]] ]]   ]]]]
]]]]]     ]  ]]]]     ]]]]]      ]]]]]]]] ]]]]   ]] ]]]]    ]]]]]]]    ]]]]
]]]]]]      ]]]]]     ]]]]]]    ]  ]]]]]  ]]]]   ]] ]]]]    ]]]]]]]]    ]]]]
]]]]]]]    ]]]]]  ]    ]]]]]]  ]    ]]]   ]]]]   ]] ]]]]    ]]]] ]]]]    ]]]]
]]]]]]]]  ]]]]]  ]]]    ]]]]]]]      ]     ]]]]]]]  ]]]]    ]]]]  ]]]] ]]]]]
]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]
]]]]]]]]]]]]]]]]]]]]]]]]]]]]]       Development System
]]]]]]]]]]]]]]]]]]]]]]]]]]]]
]]]]]]]]]]]]]]]]]]]]]]]]]]]       VxWorks version VxWorks5.4.2
]]]]]]]]]]]]]]]]]]]]]]]]]]       KERNEL: WIND version 2.5
]]]]]]]]]]]]]]]]]]]]]]]]]       Copyright Wind River Systems, Inc., 1984-2001 

                               CPU: Atheros AR5001AP default.  Processor #0.
                              Memory Size: 0x1000000.  BSP version 1.0.
/fl/  - Volume is OK
-> Starting ART Client...
Waiting for connection from Host 

->                           /////загрузились
-> pwd
/fl               /// мы там, где и должны были быть
value = 4 = 0x4
-> ll
value = 0 = 0x0    /// Как видим флеш чист абсолютно
-> hostAdd "gate","10.1.0.1"   ///Добавляем машину, на которой стоит FTP. Именно FTP, а не TFTP.
value = 0 = 0x0
-> netDevCreate "gate:", "gate", 1  //// Создаем девайс с именем gate: который ссылается на фтп машины gate
value = 0 = 0x0
-> cd "gate:"
value = 0 = 0x0
-> ls
Login incorrect.    //// Логин забыл...
value = -1 = 0xffffffff
-> iam "1","1"      //// Login="1" Password="1"....  Гыыы... А ведь одним из ифов машина смотрит в инет...;-)
value = 0 = 0x0
-> cd "gate:"    /// Пробуем...
value = 0 = 0x0
-> ls    /// Все работает... Что бы нам надеть сегодня???;-)
art
3200apimg1
2100apimg1
2100apimg1_vec
bbapimg1
vecapimg1
3comapimg1
test
value = 0 = 0x0
-> copy "gate:/art", "/fl/art"   /// Начнем с трусов
Copy OK: 639252 bytes copied
value = 0 = 0x0
-> copy "gate:/3200apimg1", "/fl/apimg1" /// А сверху стильный (v2.30eu) галстук.
Copy OK: 1473726 bytes copied
value = 0 = 0x0
-> cd "/fl" /// Типа все получилось
value = 0 = 0x0
-rwxrwxrwx  1 0       0           639252 Dec 24 00:05 art
-rwxrwxrwx  1 0       0          1473726 Dec 24 00:08 apimg1
value = 0 = 0x0
-> reboot
WARNING: bootrom did not start the watchdog. 

ar531x rev 0x00005850 firmware startup...
SDRAM TEST...PASSED



  WAP-G02A  Boot Procedure                       V1.0
---------------------------------------------------------
  Start ..Boot.B14..�

Atheros AR5001AP default version 3.0.0.43A


�1
[Boot]: c  ///Впишем новый образ в автозагрузку

'.' = clear field;  '-' = go to previous field;  ^D = quit 

boot device          : ae1 tffs:
processor number     : 0
host name            :
file name            : art /fl/apimg1
inet on ethernet (e) : 10.1.0.250:ffffff00
inet on backplane (b):
host inet (h)        : 10.1.0.1
gateway inet (g)     :
user (u)             :
ftp password (pw) (blank = use rsh):
flags (f)            : 0x80 0x00
target name (tn)     :
checkStack  [task]             List task stack sizes and usage
other (o)            : ae

[Boot]: @   /// Бутимся
Attaching to TFFS... done.
Loading /fl/apimg1...

 Please wait, loading  image ...
 image check ok!!!
/fl/  - Volume is OK
Not found pcode, Create a Product Code File pcode...!
Reading Configuration File "/fl/apcfg".
Cannot open /fl/apcfg
Can't parse configuration file.
Using factory default settings.
Attaching interface lo0...done
vxWorksTftpPackageInit: init. finish & success!
wireless access point starting...
Auto Channel Scan selected 2442 MHz, channel 7
WLAN1 Ready 
Ready   /// Ну вот... Все работает.

возвращаем настройки загрузчика для загрузки с флешь-памяти

boot device          : tffs:0
processor number     : 0
host name            :
file name            : /fl/apimg1
inet on ethernet (e) : 192.168.0.50:0xffffff00       //ip нашей точки доступа по умолчанию
inet on backplane (b):
host inet (h)        :
gateway inet (g)     :
user (u)             :
ftp password (pw) (blank = use rsh):
flags (f)            : 0x0
target name (tn)     :
startup script (s)   :
other (o)            : ae

Полезные ссылки

Alpha

  • sdd21234
  • vec21234
  • dlk19283