Восстановление dwl-2100ap
Если вы неудачно прошили точку доступа dwl-2100ap то еще далеко не все потеряно. Это замечательное устройство возможно восстановить если вы только не разрушили плату физически. Все остальные случайности поправимы!
Содержание
Ситуация
- Мы получили точку доступа с прошивкой BlueBox на борту.
- При попытке подключения по wi-fi мы обнаружили что не слышим точку доступа в эфире (kismet не выдал никакой активности)
- Мы вошли на точку доступа по telnet и залили прошивку с официального сайта D-Link
- Т.к. нам нехватало место под прошивку мы удалили backup и art (что само по себе было грубой ошибкой)
- Мы напрямую залили файл прошивки переименовав его в apimg1 (что тоже является ошибкой)
Результат
Мы получили точку доступа dwl-2100ap уходящую в постоянный reboot после первых 2 секунд загрузки
Сбор информации
Первой полезной ссылкой стал адрес документа по "хаккингу" точки доступа dwl-2100ap. Несмотря на итальянкий язык - книга оказалась крайне полезной!
Особое внимание стоит обратить на страницу 43. На ней мы обнаружили что точка доступа имеет RS232 (COM) интерфейс. И подключится к нему возможно посредством стандартного data кабеля для телефонов siemens.
Благодаря Николаю Веселову у нас быстро нашелся подобный кабель и мы могли двигаться дальше!
Аппаратная часть
На нужно получить терминал доступа к системе на точке доступа. Для этого нам нужно соеденить RS232 порт точки доступа с COM портом компьютера.
Как видно на фотографии на странице 43 data кабель имеет 3 вывода (RX, TX и GrouND). На странице 20 приведена разводка COM порта на самой плате точки доступа. Нашей задачей стало соеденить RX data кабеля c TX точки доступа. В свою очередь TX data-кабеля нужно было соеденить с RX точки доступа. Что мы и сделали - получв аппаратную часть терминала.
Программная часть
После организации апаратного подключения нам нужно произвести программное. Т.к. у нас в колледже испольуется Linux мы выбрали первое что нашлось в репозитории для работы с com портом. Это было приложение picocom.
aptitude install picocom
Производим соединение с нашей точкой доступа
picocom /dev/ttyS0
Ву-а-ля - перед нами терминал нашей точки доступа. Воспринимайте это как монитор с клавиатурой, подключенные к системному блоку с оперативной памятью, процессором и флешь, вместо винчестера. Для входа в "BIOS" нажмите ESC после теста SDRAM.
Процесс востановления
У нас есть
- Терминал доступа к точке доступа.
- Мы можем изменять параметры загрузки точки доступа
Нам нужно
- Выполнить загрузку базовой системы
- Получить доступ по ftp к папке с образом систему (apimg1) и загрузчику (art) на нашем компьютере
- Скопировать образ системы (apimg1) и загрузчик (art) на точку доступа
- Настроить параметры загрузки точки доступа с локального флешь
получим копии нужных системных файлов
Как написано в книге итальянских хаккеров, архим с нужными системными файлами для dwl-2100ap можно скачать здесь.
В архиве находится:
apcfg - настройки загружаемой системы (нам не нужен) apcfg.bak - архим конфигурационного файла (нам не нужен) apimg1 - образ системы с драйверами для wifi и т.д. (самый важный для нас фал!!!) art - загрузчик системы (даст нам возможность перенести на точку доступа себя самого и apimg1 по ftp (нужен для загрузки apimg1) backup - архив рабочей системы (имеет смысл так же скопировать на точку доступа) pcode - код устройства (нам не нужен)
tftpd
tftpd демон нам понадобится для загрузки с art загрузчиком по сети. Процесс достаточно занимательный. Загрузчик попадает с удаленного сервера прямо в память системы и начинает работать.
Стоит отметить что протокол tftpd не совсем одно и то же что ftp. Tftpd работает по ftp и не использует логины и пароли.
Устнавливаем tftpd сервер.
aptitude install tftpd
После установки нужно будет перезагрузить компьютер (скорее всего существует более элегантный способ перезапуска некоего сервиса - но мы не стали стратить время на поиски).
tftpd по умолчанию отдает файлы из папки /srv/tftp/ (конфигурации в /etc/inetd.conf). Нам нужно скопировать туда файл art
cp /home/gumanoed/Flash/art /srv/tftp/
ftp
Теперь нам нужно настроить ftp сервер с файлами для переноса на точку доступа. Мы использовали proftpd.
aptitude install proftpd
/etc/proftpd/proftpd.conf
# # /etc/proftpd/proftpd.conf -- This is a basic ProFTPD configuration file. # To really apply changes reload proftpd after modifications. # # Includes DSO modules Include /etc/proftpd/modules.conf # Set off to disable IPv6 support which is annoying on IPv4 only boxes. UseIPv6 on ServerName "Debian" ServerType standalone DeferWelcome off MultilineRFC2228 on DefaultServer on ShowSymlinks on TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle 1200 DisplayLogin welcome.msg DisplayFirstChdir .message ListOptions "-l" DenyFilter \*.*/ # Use this to jail all users in their homes # DefaultRoot ~ # Users require a valid shell listed in /etc/shells to login. # Use this directive to release that constrain. # RequireValidShell off # Port 21 is the standard FTP port. Port 21 # In some cases you have to specify passive ports range to by-pass # firewall limitations. Ephemeral ports can be used for that, but # feel free to use a more narrow range. # PassivePorts 49152 65534 # If your host was NATted, this option is useful in order to # allow passive tranfers to work. You have to use your public # address and opening the passive ports used on your firewall as well. # MasqueradeAddress 1.2.3.4 # To prevent DoS attacks, set the maximum number of child processes # to 30. If you need to allow more than 30 concurrent connections # at once, simply increase this value. Note that this ONLY works # in standalone mode, in inetd mode you should use an inetd server # that allows you to limit maximum number of processes per service # (such as xinetd) MaxInstances 30 # Set the user and group that the server normally runs at. User proftpd Group nogroup # Umask 022 is a good standard umask to prevent new files and dirs # (second parm) from being group and world writable. Umask 022 022 # Normally, we want files to be overwriteable. AllowOverwrite on # Uncomment this if you are using NIS or LDAP to retrieve passwords: # PersistentPasswd off # Be warned: use of this directive impacts CPU average load! # Uncomment this if you like to see progress and transfer rate with ftpwho # in downloads. That is not needed for uploads rates. # # UseSendFile off # Choose a SQL backend among MySQL or PostgreSQL. # Both modules are loaded in default configuration, so you have to specify the backend # or comment out the unused module in /etc/proftpd/modules.conf. # Use 'mysql' or 'postgres' as possible values. # #<IfModule mod_sql.c> # SQLBackend mysql #</IfModule> TransferLog /var/log/proftpd/xferlog SystemLog /var/log/proftpd/proftpd.log <IfModule mod_tls.c> TLSEngine off </IfModule> <IfModule mod_quota.c> QuotaEngine on </IfModule> <IfModule mod_ratio.c> Ratios on </IfModule> # Delay engine reduces impact of the so-called Timing Attack described in # http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02 # It is on by default. <IfModule mod_delay.c> DelayEngine off </IfModule> <IfModule mod_ctrls.c> ControlsEngine on ControlsMaxClients 2 ControlsLog /var/log/proftpd/controls.log ControlsInterval 5 ControlsSocket /var/run/proftpd/proftpd.sock </IfModule> <IfModule mod_ctrls_admin.c> AdminControlsEngine on </IfModule> # A basic anonymous configuration, no upload directories. <Anonymous ~ftp> User ftp Group nogroup # # We want clients to be able to login with "anonymous" as well as "ftp" UserAlias anonymous ftp # # Cosmetic changes, all files belongs to ftp user DirFakeUser on ftp DirFakeGroup on ftp # RequireValidShell off # # # Limit the maximum number of anonymous logins MaxClients 10 # # # We want 'welcome.msg' displayed at login, and '.message' displayed # # in each newly chdired directory. # DisplayLogin welcome.msg # DisplayFirstChdir .message # # # Limit WRITE everywhere in the anonymous chroot # <Directory *> # <Limit WRITE> # DenyAll # </Limit> # </Directory> # # # Uncomment this if you're brave. # # <Directory incoming> # # # Umask 022 is a good standard umask to prevent new files and dirs # # # (second parm) from being group and world writable. # # Umask 022 022 # # <Limit READ WRITE> # # DenyAll # # </Limit> # # <Limit STOR> # # AllowAll # # </Limit> # # </Directory> # </Anonymous>
Proftpd даст возможность копировать фалы из папки /home/ftp. Туда то мы и скопируем необходимые для переноса файлы.
cp /home/gumanoed/Flash/apimg1 /home/ftp/ cp /home/gumanoed/Flash/backup /home/ftp/ cp /home/gumanoed/Flash/art /home/ftp/
редактируем загрузчик точки доступа
после нажатия esc мы получили приглашению базовой системы точки доступа. Комманда p дает нам возможность изменить опции загрузки точки доступа.
Примеры настроек загрузчика для загрузки системы по сети и пример настроек для запуска полноценной системы с флешь памяти можно найти на странице 47 итальянского руководства для хакеров dwl-2100ap.
boot device : ae1 processor number : 0 host name : file name : art //адрес файла art на tftp сервере inet on ethernet (e) : 192.168.1.2:0xffffff00 //ip точки достпа при загрузке inet on backplane (b): host inet (h) : 192.168.1.1 //ip нашего компьютера с работающим tftpd сервером gateway inet (g) : user (u) : ftp password (pw) (blank = use rsh): flags (f) : 0x80 //указываем системе выполнять BOOTP target name (tn) : startup script (s) : other (o) : ae
[boot]: @
загружаемся и переносим необходимые файлы на флешь точки доступа
Далее мы воспользовались примеро действий zanaz с nag.ru
[Boot]:@
Attached TCP/IP interface to ae1.
Attaching network interface lo0... done.
Loading... 19032 + 618848 + 105600
Starting at 0x80480000...
Attached TCP/IP interface to ae unit 1
Attaching interface lo0...done
Error setting inet address of ae1 to 10.1.0.250, errno = 0x11
List of bridge ports not specified! -
Please set the bridge configuration parameter BRIDGE_PORTS.
This must a list of comma-separated device name and unit number pairs.
For example: "fei0,fei1,elPci0"
portsStringParse failed!
Adding 3836 symbols for standalone.
]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]
]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]
]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]
]]]]]]]]]]] ]]]] ]]]]]]]]]] ]] ]]]] (R)
] ]]]]]]]]] ]]]]]] ]]]]]]]] ]] ]]]]
]] ]]]]]]] ]]]]]]]] ]]]]]] ] ]] ]]]]
]]] ]]]]] ] ]]] ] ]]]] ]]] ]]]]]]]]] ]]]] ]] ]]]] ]] ]]]]]
]]]] ]]] ]] ] ]]] ]] ]]]]] ]]]]]] ]] ]]]]]]] ]]]] ]] ]]]]
]]]]] ] ]]]] ]]]]] ]]]]]]]] ]]]] ]] ]]]] ]]]]]]] ]]]]
]]]]]] ]]]]] ]]]]]] ] ]]]]] ]]]] ]] ]]]] ]]]]]]]] ]]]]
]]]]]]] ]]]]] ] ]]]]]] ] ]]] ]]]] ]] ]]]] ]]]] ]]]] ]]]]
]]]]]]]] ]]]]] ]]] ]]]]]]] ] ]]]]]]] ]]]] ]]]] ]]]] ]]]]]
]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]
]]]]]]]]]]]]]]]]]]]]]]]]]]]]] Development System
]]]]]]]]]]]]]]]]]]]]]]]]]]]]
]]]]]]]]]]]]]]]]]]]]]]]]]]] VxWorks version VxWorks5.4.2
]]]]]]]]]]]]]]]]]]]]]]]]]] KERNEL: WIND version 2.5
]]]]]]]]]]]]]]]]]]]]]]]]] Copyright Wind River Systems, Inc., 1984-2001
CPU: Atheros AR5001AP default. Processor #0.
Memory Size: 0x1000000. BSP version 1.0.
/fl/ - Volume is OK
-> Starting ART Client...
Waiting for connection from Host
-> /////загрузились
-> pwd
/fl /// мы там, где и должны были быть
value = 4 = 0x4
-> ll
value = 0 = 0x0 /// Как видим флеш чист абсолютно
-> hostAdd "gate","10.1.0.1" ///Добавляем машину, на которой стоит FTP. Именно FTP, а не TFTP.
value = 0 = 0x0
-> netDevCreate "gate:", "gate", 1 //// Создаем девайс с именем gate: который ссылается на фтп машины gate
value = 0 = 0x0
-> cd "gate:"
value = 0 = 0x0
-> ls
Login incorrect. //// Логин забыл...
value = -1 = 0xffffffff
-> iam "1","1" //// Login="1" Password="1".... Гыыы... А ведь одним из ифов машина смотрит в инет...;-)
value = 0 = 0x0
-> cd "gate:" /// Пробуем...
value = 0 = 0x0
-> ls /// Все работает... Что бы нам надеть сегодня???;-)
art
3200apimg1
2100apimg1
2100apimg1_vec
bbapimg1
vecapimg1
3comapimg1
test
value = 0 = 0x0
-> copy "gate:/art", "/fl/art" /// Начнем с трусов
Copy OK: 639252 bytes copied
value = 0 = 0x0
-> copy "gate:/3200apimg1", "/fl/apimg1" /// А сверху стильный (v2.30eu) галстук.
Copy OK: 1473726 bytes copied
value = 0 = 0x0
-> cd "/fl" /// Типа все получилось
value = 0 = 0x0
-rwxrwxrwx 1 0 0 639252 Dec 24 00:05 art
-rwxrwxrwx 1 0 0 1473726 Dec 24 00:08 apimg1
value = 0 = 0x0
-> reboot
WARNING: bootrom did not start the watchdog.
ar531x rev 0x00005850 firmware startup...
SDRAM TEST...PASSED
WAP-G02A Boot Procedure V1.0
---------------------------------------------------------
Start ..Boot.B14..�
Atheros AR5001AP default version 3.0.0.43A
�1
[Boot]: c ///Впишем новый образ в автозагрузку
'.' = clear field; '-' = go to previous field; ^D = quit
boot device : ae1 tffs:
processor number : 0
host name :
file name : art /fl/apimg1
inet on ethernet (e) : 10.1.0.250:ffffff00
inet on backplane (b):
host inet (h) : 10.1.0.1
gateway inet (g) :
user (u) :
ftp password (pw) (blank = use rsh):
flags (f) : 0x80 0x00
target name (tn) :
checkStack [task] List task stack sizes and usage
other (o) : ae
[Boot]: @ /// Бутимся
Attaching to TFFS... done.
Loading /fl/apimg1...
Please wait, loading image ...
image check ok!!!
/fl/ - Volume is OK Not found pcode, Create a Product Code File pcode...! Reading Configuration File "/fl/apcfg". Cannot open /fl/apcfg Can't parse configuration file. Using factory default settings. Attaching interface lo0...done vxWorksTftpPackageInit: init. finish & success! wireless access point starting... Auto Channel Scan selected 2442 MHz, channel 7 WLAN1 Ready Ready /// Ну вот... Все работает.
возвращаем настройки загрузчика для загрузки с флешь-памяти
boot device : tffs:0 processor number : 0 host name : file name : /fl/apimg1 inet on ethernet (e) : 192.168.0.50:0xffffff00 //ip нашей точки доступа по умолчанию inet on backplane (b): host inet (h) : gateway inet (g) : user (u) : ftp password (pw) (blank = use rsh): flags (f) : 0x0 target name (tn) : startup script (s) : other (o) : ae
Полезные ссылки
- http://www.roman220.org.ua/2007/09/12/wifi-micronet-sp918g-d-link-dwl-2100ap-d-link-dwl-3200ap-bluebox-vector/
- http://forum.nag.ru/forum/lofiversion/index.php/t38444.html
Alpha
- sdd21234
- vec21234
- dlk19283
