Linux based audiospeler Hack challenge

[ubremoved_2964]

Ik heb een streamer van ongeveer 600 euro liggen die via een eigen app UPNP kan afspelen.
Deze streamer draait vermoedelijk op Music Player Daemon = MPD met de UPNP extenties, maar de fabrikant weigert dit toe te geven.

Iemand vond een MPD User-Agent in de server logs van zijn UPNP server, maar ondertussen hebben ze dat lek gedicht. Ik heb portscans op het ding gedraaid en zitten tcpdumpen. De User-Agent is ondertussen dus aangepast.

De streamer heeft een berg open poorten waaronder SSH, maar ik geraak er niet in.

De fabrikant heeft tot nu toe enkel hun aangepaste versie van de kernel gereleased als opensource, de userspace, libraries, speler daar weigeren ze alle samenwerking.

De challenge is:

- aantonen dat er busybox op draait
- aantonen dat er een mpd binary op staat

zodat bij deze partijen een klacht kan worden neergelegd.

Wie heeft zin om het device te attacken?

[ubremoved_539]

Kan je dat ding niet gewoon openvijzen en de disk mounten op je PC ?

[ubremoved_2964]

Kan je dat ding niet gewoon openvijzen en de disk mounten op je PC ?

Was het maar zo simpel. Zo hebben we de streamer van een andere partij met hun toestemming geroot, omdat er een sd kaartje in zat. rootfs mounten, nieuwe md5 passwoord hash in shadow schrijven en klaar.

Helaas zit bij deze streamer alles op een onboard flash.

[ubremoved_539]

Blijkbaar wel een leuke business die streamer wereld... allemaal identiek hetzelfde open source product verkopen aan een zo hoogst mogelijk prijs en ondertussen elkaar het leven zuur maken

[xming]

geen serial/jtag? Kan je output van nmap tonen? Welke sshd draait er, openssh of dropbear?

EDIT: Als he dat ding online zet, dan wil ik wel eens proberen.

[ubremoved_2964]

Omdat ik niet wil dat de fabrikant deze topic vindt, wil ik de naam hier even niet noemen.

Starting Nmap 6.45 ( http://nmap.org ) at 2016-11-26 13:54 EST
Nmap scan report for 192.168.0.100
Host is up (0.0019s latency).
Not shown: 65526 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
5000/tcp open upnp
9000/tcp open cslistener
34941/tcp open unknown
44974/tcp open unknown
57510/tcp open unknown

22, 80 en 139+445 zijn standaard services: SSH, HTTP en een SAMBA
poort 9000 is normaal een logitech server, maar deze draait er volgens mij niet op

en dan zijn er nog die drie onbekende poorten, de drie laatste dus.

[xming]

doe eens

Code: Selecteer alles

telnet 192.168.0.100 22

om ssh prompt te zien. Probeer ook eens openvas/metasploit.

[ubremoved_2964]

een dropbear:

root@DD-WRT:~# telnet 192.168.0.100 22
SSH-2.0-dropbear_2012.55

HTTP is dan weer nginx/1.7.9

[Loeri]

Probeer ook eens nessus, altijd een handig tool om vulnerabilities te vinden!
Daarnaast kan je idd ook eens met Metasploit wat scannen/bruteforcen.

[ubremoved_2964]

Ik heb net bij de fabrikant van het ding alle GPLv2 en v3 source code opgevraagd van alle binaries die op het device staan die onder die licentie vallen.

Eens kijken hoe ze gaan reageren. Ik ben vrij zeker dat fabrikant busybox gebruikt net zoals alle andere spelers. Immers dropbear wordt bijna altijd gecombineerd met busybox.

Deze fabrikant heeft al gedreigd met rechtzaken tegen ieder die fabrikant ervan beschuldigt de GPL te overtreden.
Daarom is dit net zo interessant

Ivm de scanning tools, dit is nog mijn job geweest ..... heb nu een atom based linux bakje naast de streamer gezet op een aparte router die aan wireless belgium hangt, zodat dit doosje niet via mijn telenet IP naar buiten gaat. Hierop ga ik een berg scan tools gooien.

Heb ooit zelfs met de betalende versie van Nessus gewerkt om een website van 120milj. euro/jaar PCI compliant te krijgen
Dat was in mijn vorig leven toen ik nog consultant was. Ik heb nu tijd te kort om hier veel tijd in te steken.

Dus dit is gewoon hobby, het openbreken van firmwares en embedded doosjes van andere spelers. Niet om code te jatten maar om te weten wat ze wel en niet doen.

Van een ander merk met doosjes van 500 euro heb ik zelfs hun firmware op mijn raspberry draaien in een chroot jail. Hun code was encrypted met een perl module wat een dom idee is, heb deze kunnen decrypten dus ik kan hun source lezen. Maar hier stond hun firmware gewoon downloadbaar op hun site, dus moeilijk was het niet .....

Het kastje van deze topic heeft geen publiek downloadbare firmware, dus het maakt het extra lastig.

[ubremoved_2964]

De fabrikant voelt nattigheid en wil enkel de wijzigingen aan de linux kernel vrijgeven na het ondertekenen van een NDA!
Ze willen ook een kopie van mijn ID, en een bewijs van mijn adres via een kopie van een electriciteitsfactuur.

Dit is echter allemaal verboden:

https://www.gnu.org/licenses/gpl-faq.en ... PLAllowNDA

Al de rest willen ze niet vrijgeven, maar je kan geen linux distro samenstellen zonder andere code met GPLv2 en v3 software.
Zelfs de meest eenvoudige userspaces zoals busybox zijn GPLv2.

Update: het strafste is dat ze de linux kernel wel degelijk online hebben gezet, dus er is geen enkele logica om een NDA te laten tekenen, tenzij ze mijn gegevens willen ontfutselen.

Gelukkig heb ik de reactie van een NDA nu op mail, en ook het feit dat ze niks anders willen releasen buiten de kernel.

[tb0ne]

Waarom wil je de naam eigenlijk niet lossen?
Je bent toch geen onbekende in het wereldje dus iemand die een en ander uitpluist komt ook wel hier terecht denk ik dan...

[ubremoved_2964]

http://bit.ly/2iN7mUO

Gelieve de naam van de firma hier niet te posten aub.

[tb0ne]

Is al een interessante om usernames te vinden:
https://www.cvedetails.com/cve/CVE-2013-4434/
Vermoedelijk valt er met onderstaande gelijkende exploit code voor OpenSSH iets aan te vangen:
http://www.behindthefirewalls.com/2014/ ... based.html