OpenFreebox

PenetrationV5

PagePrincipale :: DerniersChangements :: LeForum :: IrC :: Vous êtes ec2-54-145-55-135.compute-1.amazonaws.com

Pénétrez une FreeBoxPerso V5

!! Cette méthode est un peu musclée et donc a vertue informative seulement !!


Etape I
Apres avoir fait pas mal de tests avec le GzoStrapV5 sans trouver de possibilité interessante, et apres avoir abandonné l'idée de recabler le JTAG sur un bga ;)
Il nous est finalement venu l'idée de dessouder la flash (sst 39vf320).

 v5

Notre premier dessoudage a été réalisé avec du http://www.chipquik.com/ (sans trop de bobo)
Nos dessoudages suivants ont été réalisés avec un pistolet a air chaud (travail tres propre et rapide)


Etape II
Cette etape consistait a lire le contenu de la flash fraichement dessoudée. Pour ce faire nous avons lorgné du coté des programmeurs universels. Mais apres une reflexion "ingenieuse" il nous est revenu en memoire que cette reference de flash est la meme que sur les V4, et sur les V4 il y a un jtag ;) ;)

Donc ressoudage de la flash de la V5 sur une carte mere de V4 ( au fer a souder ) et dump via le jtag, toujours avec HairyDairyMaid.


Etape II (bis)
Le dump effectué, il est né dans nos cerveaux de fous, une idée, et si nous essayions de booter cette V4, avec la flash (et donc le Firmware) de V5 sur le reseau ?
c'est vrai apres tout, c'est presque les memes machines a l'exception de certains details...
nous regardons attentivement notre petit chenillard, et la BOOMMMM l'heure arrive !!!
Youpi Youpi !!
Bon allez on est fou, on va brancher le boitier HD, et avec un peu de chance, la seule interface reseau de la V4 sera configurée proprement.
BOOOOOOOOMMMM la TV fonctionne ;) (via le boitier Hd, pas sur la peritel de la V4 bien evidement ! )


Etape III
Bon ok, un peu barbare, et maintenant ?? c'est quoi ce dump ???

On retrouve a peu de choses prets la meme organisation qu'une V4, c'est a dire :
- un bootloader (CFE dans notre cas)
- un block pour stocker quelques données ( MAC, numero de bundle, etc..)
- une BANK0 ( kernel0 + fs0)
- une BANK1 ( kernel1 + fs1)

quelques infos :
Le CFE de la V5 est dans une version plus recente que dans la V4. Entre les differentes ameliorations on trouve notement la gestion des Broadcom Image Tag.
Les Images Tag sont des sortes d'entete que l'on retrouve en en debut de chaque bank et qui permette de verifier l'integrité du contenu de chaque bank.

La BANK0 (compressé en lzma), contrairement a la V4 ( kernel0 + CRAMF0), ne comporte pas vraiment de Filesystem separé, mais un Ramdisk (au format CPIO) directement compris dans le Kernel.

La BANK1 quand a elle, comporte un kernel1 (compressé lzma) et un Filesystem au format squashfs.


Etape IV
Apres analyse de ces differents elements voici donc un mapping :

La suite arrive bientot, pas de panic
en attendant les dernieres news dispo en live ici : IrC