Alexa, daj mi dostęp do lokalnego shella. Alexa: kernel panic ;-)

01 sierpnia 2017, 20:47 | Aktualności | komentarze 2
Tagi: , , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Może Alexa sama nie udostępni ssh z rootshellem, ale mamy ładny opis jak można zrootować sobie Amazon Echo:

Amazon Echo

Procedura jest względnie prosta, od lokalizacji portów debug (ogólny tutorial tutaj), przez bootowanie w trybie debug:

…niestety bez możliwości zastopowania bootowania czy zalogowania się domyślnym użytkownikiem. Ale może uda się podłożyć własny bootloader (U-boot)?

Bingo, dalsza ścieżka prowadziła przez możliwość bootowania z zewnętrznej karty SD (dokładniej został tu uruchomiony zewnętrzny U-boot, z możliwością podania własnych parametrów bootowania):

During power-up the device boots from the MLO and U-Boot binaries on the SD Card. This U-Boot implementation allows us to interrupt the boot process and enter into the U-Boot command line interface. From here it is possible to inspect the contents of the file systems on the internal memory and reconfigure the kernel arguments.

Bootowanie z zewnętrznej karty SD

Użytkownicy Linuksa, zapewne znają trick z odzyskiwaniem hasła do roota, przez podanie w standardowym bootloaderze parametru do kernela: init=/bin/sh

Właśnie tą technikę widzimy tutaj:

Efekt jest dość przewidywalny:

Dalej jesteśmy już w hackerskim raju – możemy śmiało analizować samo urządzenie – szukać podatności, zmieniać jego działanie, itp.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. q

    Przewaznie wystarczy podmienic zmienne srodowiska uboot, a w szczegolnosci zmienna bootcmd. Troche urzadzen juz zdebrickowalem. W 90% urzadzen dane bootloadera nie sa zaszyfrowane, wiec mozna to zrobic nawet na iglach. Do tej pory spotkalem tylko jedno urzadzenie ktore wymagalo podania hasla przed wejsciem w tryb interaktywny. Ale w tym wypadku dalo wgrac sie bootloader przez uart (pozwarciu 2 pinow)

    Odpowiedz
    • Często tak, jak się da przerwać bootowanie jakoś i b) można podmienić odpowiednie parametry. Np. taki tp-link pozwala na pauzę ale nie pozwala (AFAIK) na podmianę krytycznego parametru…

      Odpowiedz

Odpowiedz