Uzun süredir ZTE H298A modemlerde root erişimi elde etmek için kullanılan yöntem, yapılandırma (config backup) dosyasını çözüp düzenleyerek tekrar modeme yüklemekti. Ancak özellikle yeni TTN firmware sürümlerinde bu yöntem artık çalışmıyor.
Bunun nedeni, ZTE'nin yeni yazılımlarda yapılandırma dosyası biçimini değiştirmesi ve eski araçların (örneğin zte-config-utility) yeni yedek dosyalarını doğru şekilde çözememesidir. Dolayısıyla config dosyası üzerinden root kullanıcısı ekleme veya yönetici yetkilerini açma yöntemi artık birçok güncel sürümde başarısız olmaktadır.
Bu rehberde kullanılan yöntem ise tamamen farklıdır. Modemin yedek dosyasını değiştirmek yerine, ilk kurulum sırasında kullandığı TR-069 (CWMP) yapılandırma mekanizmasını hedef alır. Modem açılışta DHCP üzerinden yönetim sunucusunu (ACS) öğrenmeye çalışırken, bilgisayar sahte bir ACS sunucusu gibi davranır ve modeme gerekli yapılandırmayı göndererek root hesabını etkinleştirir.
Bu nedenle yeni firmware sürümlerinde de başarı şansı eski yönteme göre oldukça yüksektir.
İlk olarak DHCP sunucusu olarak davranır ve modemin aldığı DHCP seçenekleri (Option 43 ve Option 125) ile kendisini ACS (Auto Configuration Server) olarak tanıtır.
Daha sonra modemin yapmak istediği DNS sorgularını kendi bilgisayarına yönlendirir.
Son olarak modem sahte ACS sunucusuna bağlandığında, TR-069 üzerinden gönderilen SetParameterValues isteği ile root hesabı ve shell erişimi etkinleştirilir.
İşlemin tamamı modem açılış sürecinde gerçekleştiği için firmware dosyasında herhangi bir değişiklik yapılmasına gerek kalmaz.
Modemin internet bağlantısını kesin.
Reset tuşuna yaklaşık 10-20 saniye basılı tutarak fabrika ayarlarına döndürün.
Modemin tamamen açılmasını bekleyin.
Windows kullanıyorsanız NPcap kurulu olmalıdır. İndirmek için Tıklayın
Kurulum sırasında Install Npcap in WinPcap API-compatible Mode seçeneği mutlaka işaretlenmelidir.
Python ile çalıştıracaksanız Scapy kütüphanesini kurmanız gerekir.
Ethernet kartına aşağıdaki statik IP adresini verin.
IP Adresi: 10.116.13.22
Alt Ağ Maskesi: 255.255.255.0
Ağ geçidi boş bırakılabilir.
Windows Güvenlik Duvarı'nın 80 numaralı portu engellemediğinden emin olun.
Ağ kartınızı seçin.
Program beklemeye geçtikten sonra modemin enerjisini kesip yeniden açın.
Log ekranında exploit adımlarını takip edin.
İşlem başarılı olduğunda ekranda aşağıdaki mesaj görüntülenir.
!!! EXPLOIT BAŞARILI !!!
Kullanıcı Adı root
Şifre Sifre123123
Bu yöntem ise yedek dosyasını değiştirmek yerine, modemin ilk açılışta kullandığı TR-069 yapılandırma mekanizmasını hedef aldığı için firmware değişikliklerinden çok daha az etkilenmektedir.
Bu nedenle özellikle yeni TTN sürümlerinde root erişimi elde etmek isteyen kullanıcılar için güncel ve başarılı bir alternatiftir.
Bunun nedeni, ZTE'nin yeni yazılımlarda yapılandırma dosyası biçimini değiştirmesi ve eski araçların (örneğin zte-config-utility) yeni yedek dosyalarını doğru şekilde çözememesidir. Dolayısıyla config dosyası üzerinden root kullanıcısı ekleme veya yönetici yetkilerini açma yöntemi artık birçok güncel sürümde başarısız olmaktadır.
Bu rehberde kullanılan yöntem ise tamamen farklıdır. Modemin yedek dosyasını değiştirmek yerine, ilk kurulum sırasında kullandığı TR-069 (CWMP) yapılandırma mekanizmasını hedef alır. Modem açılışta DHCP üzerinden yönetim sunucusunu (ACS) öğrenmeye çalışırken, bilgisayar sahte bir ACS sunucusu gibi davranır ve modeme gerekli yapılandırmayı göndererek root hesabını etkinleştirir.
Bu nedenle yeni firmware sürümlerinde de başarı şansı eski yönteme göre oldukça yüksektir.
Çalışma Mantığı
Araç aynı anda üç farklı görevi yerine getirir.İlk olarak DHCP sunucusu olarak davranır ve modemin aldığı DHCP seçenekleri (Option 43 ve Option 125) ile kendisini ACS (Auto Configuration Server) olarak tanıtır.
Daha sonra modemin yapmak istediği DNS sorgularını kendi bilgisayarına yönlendirir.
Son olarak modem sahte ACS sunucusuna bağlandığında, TR-069 üzerinden gönderilen SetParameterValues isteği ile root hesabı ve shell erişimi etkinleştirilir.
İşlemin tamamı modem açılış sürecinde gerçekleştiği için firmware dosyasında herhangi bir değişiklik yapılmasına gerek kalmaz.
Başlamadan Önce
İşlemin sorunsuz ilerleyebilmesi için modemin fabrika ayarlarına döndürülmesi tavsiye edilir.Modemin internet bağlantısını kesin.
Reset tuşuna yaklaşık 10-20 saniye basılı tutarak fabrika ayarlarına döndürün.
Modemin tamamen açılmasını bekleyin.
Gerekli Hazırlık
Projeyi indirinWindows kullanıyorsanız NPcap kurulu olmalıdır. İndirmek için Tıklayın
Kurulum sırasında Install Npcap in WinPcap API-compatible Mode seçeneği mutlaka işaretlenmelidir.
Python ile çalıştıracaksanız Scapy kütüphanesini kurmanız gerekir.
Kod:
pip install scapy
Ağ Ayarları
Bilgisayarınızı ethernet kablosu ile modemin WAN portuna (bazı sürümlerde LAN4 portu da kullanılabilir) bağlayın.Ethernet kartına aşağıdaki statik IP adresini verin.
IP Adresi: 10.116.13.22
Alt Ağ Maskesi: 255.255.255.0
Ağ geçidi boş bırakılabilir.
Windows Güvenlik Duvarı'nın 80 numaralı portu engellemediğinden emin olun.
Çalıştırma
Programı yönetici yetkisiyle çalıştırın.Ağ kartınızı seçin.
Program beklemeye geçtikten sonra modemin enerjisini kesip yeniden açın.
Log ekranında exploit adımlarını takip edin.
İşlem başarılı olduğunda ekranda aşağıdaki mesaj görüntülenir.
!!! EXPLOIT BAŞARILI !!!
Root Bilgileri
Web ArayüzüKullanıcı Adı root
Şifre Sifre123123
Neden Bu Yöntem?
Eski config düzenleme yöntemi yeni TTN firmware sürümlerinde büyük ölçüde kullanılamaz hale geldi.Bu yöntem ise yedek dosyasını değiştirmek yerine, modemin ilk açılışta kullandığı TR-069 yapılandırma mekanizmasını hedef aldığı için firmware değişikliklerinden çok daha az etkilenmektedir.
Bu nedenle özellikle yeni TTN sürümlerinde root erişimi elde etmek isteyen kullanıcılar için güncel ve başarılı bir alternatiftir.