Command injections via USB upgrade process in STB
#1
Kada su krenuli sa digitalizacijom TV signala, u Srbiji su skoro svi imali u početku jeftini Vivax (MSTAR) STB koji nije imao nikakve druge interfejse osim USB-a i IC za daljinac. U jednoj diskusiji neko je rekao da je taj uređaj nemoguće zloupotrebiti, što je meni naravno odmah postao izazov Smile 
Prikačio sam STB na demo uređaj za dijagnostiku IoT komponenti koji sam prethodno razvio za jednog klijenta, i našao sam jako zanimljiv način za eksploataciju.  

Otkrio sam da kada ubacite USB, sistem gleda da li postoji fajl "auto_upgrade.bin", i ako postoji pokreće automatsko ažuriranje. Ali ono što je još zanimljivije je da možete promeniti ime fajla u npr. "auto_upgrade.bin;help" i da izršite help komandu. Detaljnim analiziranjem izlaza preko UART interfejsa uspeo sam da pronađem način (sekvencu komandi) da izmenim boot rutinu i da se ulogujem kao root na uređaj.

Quote:2017-02-13 19:11:25 BOOTSPI
2017-02-13 19:11:25 BIST0_OK
2017-02-13 19:11:25 _OK!decomp
2017-02-13 19:11:25 _done
2017-02-13 19:11:25 done
2017-02-13 19:11:25
2017-02-13 19:11:25 Hello U-Boot
2017-02-13 19:11:25
2017-02-13 19:11:25 U-Boot 1.1.6 (Aug 22 2016 - 16:45:10)
2017-02-13 19:11:25
2017-02-13 19:11:25 Board: MSTAR KRITI (CPU Speed 576 MHz)
2017-02-13 19:11:25 DRAM:  64 X 0 MBytes
2017-02-13 19:11:25 U-Boot is running at DRAM 0x87610000
2017-02-13 19:11:26 Module: USB FAT FLASH SPI LOGO OSD ENV=SERIAL
2017-02-13 19:11:26 Flash is detected (0x0C02, 0xC8, 0x40, 0x16)
2017-02-13 19:11:26 In:    serial
2017-02-13 19:11:26 Out:  serial
2017-02-13 19:11:26 Err:  serial
...
2017-02-13 19:11:26 keypad_pressed is [0]
2017-02-13 19:11:26 ir_pressed is [0]
...
2017-02-13 19:11:26 << MStar >>#
...

Više detalja ima ovde: https://security-net.biz/set-top-box-com...grade.html i ovde: https://security-net.biz/files/CoolTerm-...-02-13.txt.

[Image: 55b3e846a2f3efc02bec059c1c37c218.jpg]
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply
#2
Ovo je sjajno Smile
“One of the symptoms of approaching nervous breakdown is the belief that one's work is terribly important"
Reply
#3
respect, bra`o bra`o!

To mene ceka sa xioami routerom xD
Samo nemam "muda" da pocnem, da ga ne bi brickovao :S
Javljam ti se kada budem odlucio, da mi das neki tips na sta da pazim da prodjem sto bezbolnije ...
Inace vec su ga radili, ne pokusavam sam da pronadjem toplo vodu, samo treba UARTom se povezem i da mu spucam fw.
Reply
#4
Hvala Smile Trebalo mi je čini mi se 4 ili 5 uređaja dok nisam našao kako da ga exploitujem, a ne da ga brikujem Big Grin Igrao sam se prvo i sa dampovanjem memorije, i još svašta nešto.

Sledeći korak je bio ekstraktovanje podataka preko IC-a ali tu sam zaglavio jer nisam imao dovoljno znanja (čitaj, vremena) da napišem kod koji bi radio na ovoj platformi.

Tu sam za sva pitanja.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)