Ковыряем ядро ОС Z6 на предмет обхода проверки RSA, и запуска программ от Е2 Поделиться Опции

[lelvisl]

Так. Я считаю, что сейчас первоочередедной задачей является оюход RSA, ибо подпись перекрывает всё.
Во первых, прошу поделиться какм либо бутом(чем более раниий, тем лучше). Хочу пройтись дизасемблером по нему....

Дале. В каждой подпианой кодовой группе после сертификата 0C 30 00 11 идут кол-во блоков и сами блоки база/размер
C0024000_CG31.smg закрывает 90070000 / 3800
C002C000_CG49.smg закрывает 93A00000 / 3800
C0030000_CG34.smg закрывает 90100000 / 3800
C0034000_CG41.smg закрывает 90000100 / 3800
C00D0000_CG44.smg закрывает 93780000 / 01F800
C0110000_CG35.smg закрывает 90500000 / 17F800
C0670000_CG36.smg закрывает 91000000 / 01CFB800
C236C000_CG46.smg закрывает 92D00000 77F800

т.е. подписи в этих код-группах подписывают не сами себя, а хз что... похоже на конец флеш памяти телефона, мегабайт 60-ый....

Кто что скажет? по данному поводу?

Сообщение отредактировал lelvisl - 11.11.2007, 9:40

[lelvisl]

Всё таки я долго тупил... Есть одна догадка. Я поглядел на других телах, везде подпись закрывает саму КГ. А тут нет. А значит..... КГ открыта для правки. Щас вот ночью проверю (да и по идее, по личензии с лином они не имели права закрывать прошу)

[Flex4]

lelvisl , у меня такое ощущение, что кроме тебя тут еще есть пара тройка человек, шарящих в этих делах где же все знающие линукс-люди???

купил телефон и даже не предпологаю что с ним можно сделать, когда V360 покупал четко знал что есть P2K режим, а тут, вобщем искренне желаю успехов тебе и всем остальным, хочу помучать свой телефон за 9 штук наших

[lelvisl]

Всё плохо. На данных адресах CG лежат. Тоесть закрыта проша. Нужет бут от Z6.

И ещё. Кто знает как собрать компилятор прог под проц Z6? Жду ответа.

[DDSH]

бут я думаю можно через телнет слить, как на е2: /dev/animation

[yKypeHHbIu*]

2 lelvisl вот ссылка на буты но там нужна регистрация http://www.modmymoto.com/forums/showthread.php?t=56140бут

[lelvisl]

yKypeHHbIu*, ссылок нету. только назваия....

[kuznet]

И ещё. Кто знает как собрать компилятор прог под проц Z6? Жду ответа.

Я собрал. Берешь сорс gcc и glibc с opensource.motorola.com и любой не самый старый binutils. Далее следуешь инструкциям по кросс-компиляции: binutils, gcc, glibc.
По дороге есть мелкие проблемки, описать трудно - решить легко.

А что, есть что скомпилировать? А то время-то я убил, а только потом
понял что кроме main() { printf("Hello, world\n"); } ничего интересного и выдумать не могу. :-)

[serega011]

http://www.modmymoto.com/forums/downloads....ile&id=7317 Здесб профиль Z6 для F&B(правда у меня на версии ФБ 3.0.6 он что-то не совсем заработал - идет перевод телефона в усб-нет и все программа пишет что телефон не подключен, может конесчно что не так делаю), ну так вот там в архиве вроде же и лежит лоадер для Z6 или я чего то не так понимаю

[lelvisl]

kuznet, СПАСИБО ОГРОМННОЕ!!!!!!!!!!!!
Щас напишешь мне в аську 249253106, поможесь со сборокй!!

Далее
На всех папках noexec и софт просто не запустить. Но я кажись нашёл способ обхода. Если всё это собрать вместе, то мы получаем софт для Z6!!!! Впервую очредь пререкомпилируем шоу модули.

Короче ря, жду тебя в аське

[kuznet]

Щас напишешь мне в аську 249253106

Далее
На всех папках noexec и софт просто не запустить. Но я кажись нашёл способ обхода. Если всё это собрать вместе, то мы получаем софт для Z6!!!! Впервую очредь пререкомпилируем шоу модули.

Аськой я пользоваться не умею. Готовый тоолчейн можешь взять на
http://www.inr.ac.ru/z6/z6-toolchain.tar.bz2. Примерно 42 мега. Если его развернуть
в / и сказать PATH=/arm-eabi/arm-linux-gnueabi/bin:$PATH, то получишь gcc/c++
c основными библиотеками. Далее gcc hello.c -o hello. Или можешь переделать
сборку. Когда уже есть готовый тоолчейн, проблем не будет вообще.

Исполнять просто: mount -t vfat -oremount /dev/mmc1 /mmc/mmca1
и mount -t vfat -oremount /dev/loop/0 /ezxlocal/download/mystuff убирают noexec.
Потом ./hello бодро докладывает "Hello, world".

Можно даже это в меню запихать, если руками добавить записи в
/ezxlocal/download/appwrite/am/InstalledDB и UserMenuTree. Только добавлять
нечего. :-)

А что такое "шоу модули"?

[lelvisl]

Как убрать noexec я знал. потому и хотел собрать компилятор. Шоумодули - скомпилированные модули С Е2, которые можно использовать в скриптах, и врезульате иметь скрипты с ГУИ. Далее берём кучу исходников прог с Е2 и компилируем, получаем кучу софта. Вот, сколько пользы. К вечеру всё это будет реально!!

[R_O_O_T]

Вот бут. бинарник. А3.СС. файл rar перейменуйте в bin

[kuznet]

Так...... Тулчейн запустил, вроде работает. Но....

Виноват, хедеры были не все. Я положил добавку в http://www.inr.ac.ru/z6/z6-toolchain-part2.tar.bz2 (260K)
Теперь должно быть нормально.

У меня там инсталляция обвалилась на изготовлении /usr/share//timezone,
я и решил, что раз до такой бесполезной вещи добрались, то дальше ничего
нужного и не будет. Ан нет. :-) Там еще и нужных библиотек не хватало:
например, libpthread и libcrypt. Завтра я просто новый большой tar выложу.

[lelvisl]

kuznet, давай, жду)).

Кстати, поможешь припаять хедеры от SDK Е2?

[kuznet]

kuznet, давай, жду)).

http://www.inr.ac.ru/z6/z6-toolchain-v2.tar.bz2 (23M) - все, что нужно
http://www.inr.ac.ru/z6/z6-toolchain-misc-v2.tar.bz2 (9M) - всякая труха, можно не скачивать

Кстати, поможешь припаять хедеры от SDK Е2?

Хедеры q*.h можно взять из qt-embedded-2.3.8, я надеюсь.

E2_EZX_* взять как есть и точить, пока не заработает. Попробую, если время будет.

[lelvisl]

Тоже буду коырять хедеры. А пока буду разюираться с тулчейном.

[kuznet]

Тоже буду коырять хедеры. А пока буду разюираться с тулчейном.

Работает! Мудрить не стал, взял хедеры от e2-ezx-sdk_0.02_beta, lib там стер
и скопировал с телефона:
libezxappbase.so
libezxpm.so
libjpeg.so
liblog_util.so
libezxtapi-xscale-r.so
liblighting.so
libqte-mt.so

showmessagedlg, showDatePicker, showColorPicker, showprogress скомпилировались
без проблем и заработали. Остальные вроде не сложнее. Уже скомпилированные
положил в http://www.inr.ac.ru/z6/z6-simpleutils.tar.bz2.

А чего-нибудь более сложное, чем эти демо, существует?

[calverst]

kuznet,
У меня вот есть мысль ядро новое собрать =)) Просто в нынешее врезан долбаный motsecurity модуль да и просто старовато уже.....
Есть такая тулза назывется kexec, говорят позволяет софт рестарт линуху с новым ядром сделать... только пока то что нашел почему-то x86 =(
Ну и вообще круто будет заточить генушный emerge под то чтобы собирать линуховый софт под z6

[Martyr]

Работает! Мудрить не стал, взял хедеры от e2-ezx-sdk_0.02_beta, lib там стер
и скопировал с телефона:
libezxappbase.so
libezxpm.so
libjpeg.so
liblog_util.so
libezxtapi-xscale-r.so
liblighting.so
libqte-mt.so

showmessagedlg, showDatePicker, showColorPicker, showprogress скомпилировались
без проблем и заработали. Остальные вроде не сложнее. Уже скомпилированные
положил в http://www.inr.ac.ru/z6/z6-simpleutils.tar.bz2.

А чего-нибудь более сложное, чем эти демо, существует?

я так понял обход RSA уже в прогрессе ? как вижу есть успехи...

з.ы. Софтика не хватает как воздуха...

[lelvisl]

kuznet, я же говрил, что будет работать. Просьба ко всем, укого есть какие исходники софта от Е2, илизнает гдевзять, делитесь!!!!


Добавлено позже (21.11.2007, 18:31):
Ссылки нерабочие((

http://www.inr.ac.ru/z6/z6-toolchain-v2.tar.bz2 (23M) - все, что нужно http://www.inr.ac.ru/z6/z6-toolchain-misc-v2.tar.bz2 (9M) - всякая труха, можно не скачивать

Скачал, наконец, надобыло ссылку попдравить.

calverst, нельзя, дро непоменять, пока есть РСА

Black Dragon, пока осовная цель не взлом - а запуск софта! Посленего уже будемковырять РСА. Апока мыпочитполучили всю софтовую базу от Е2.

Сообщение отредактировал Slan - 13.2.2008, 6:24

[Legis]

lelvisl, а V8 это касается, или всё=же есть какие-то различия, и то, чем вы сейчас заняты будет пахать только на Z6?

[calverst]

Ниче не понял.... при чем тут PCA? ты можеш просто залить ядро на флешку вместе с kecec и сделать софт ребут (во всяком случае надеюсь что рутовых прав для этого хватит).

[kuznet]

Ссылки нерабочие((
Скачал, наконец, надобыло ссылку попдравить.

Виноват, промахнулся мимо поддиректории /z6/. Сейчас и там и там лежит.


Добавлено позже (22.11.2007, 4:00):

ты можеш просто залить ядро на флешку вместе с kecec и сделать софт ребут (во всяком случае надеюсь что рутовых прав для этого хватит).

Нельзя ли поподробнее? Что-то я такой дороги не припомню.

[calverst]

Еще покачто сам не разкурил.... собираю ядро
Вот то что про kexec накопал
http://www.ibm.com/developerworks/linux/li...nxw07RebootFast
http://ru.opensuse.org/Kexec
Смысл в том что этой проге можно указать какой имейдж использовать для бута без фактической перезагрузки системы

[kuznet]

Смысл в том что этой проге можно указать какой имейдж использовать для бута без фактической перезагрузки системы

kexec - это не программа. Это такая фича должна быть в кернеле.
В z6 ядре ее нет, так что и дороги такой нет.

Вообще, хакеры из motorola очень сильно постарались, чтобы средствами
самой системы поломать-подменить ничего было нельзя. /dev/mem и даже
ptrace() просто отключены, modules грузятся только подписанные.
Мой диагноз - дохлый номер. Только если bootloader имеет секретную ручку,
за которую можно дернуть. Ну и дырочка какая-то неприметная может все-таки найтись,
если хорошо поискать. То, что telnet можно получить, совсем ведь было неочевидно.
Нашел ведь кто-то! Как-то его надо сильно поблагодарить. :-)

Опять-же, я вчера научился давать лоступ к fs jave. В motorola такую возможность
тоже явно не планировали. :-)

[calverst]

Так то оно так... подправил тут на днях motsecurity модуль.... и он меня послал в сад при загрузке =(
Не знаю.... в любом случае.... используется ядро 2.6.10 а значит еще можно попытать удачу через список известных уязвимостей.
Еще я другого не понял.... товарисч который грузанул телент менял G43, но, на скоко я понял, он же тоже подписан (правда сам не пробовал менять).
С бутлодером тоже засада... нужно какимто образом писать его в память.... а тк монтировать ее нельзя то нужно некое шаманство....

[lelvisl]

kuznet

Просьба - выложи свою сборку тулчейна, кторой демки компили, ибо у меня нормально собрать не получается.

ramldr for E680. Софместим со всей линукс линейкой. Второе - качают из разных источников.

Сообщение отредактировал Slan - 13.2.2008, 6:25

[Andrew_71]

Во первых, прошу поделиться какм либо бутом(чем более раниий, тем лучше). Хочу пройтись дизасемблером по нему....

У меня С3.С9, еще нужен? А то выкладывали только С3.СС. (если нужен, то тогда небольшой вопрос, как его слить )

[Abram]

Решил я накатать коротенькую инструкцию по установке тулчейна под Убунту 7.10. Итак:

в /etc/apt/sources.list добавляем

Код

#Cross toolchains:
deb http://buildd.emdebian.org/debian/ unstable main

#Hardy:
deb http://ua.archive.ubuntu.com/ubuntu hardy main restricted multiverse

# Ubuntu community supported packages
# GPG key: 437D05B5
deb http://ua.archive.ubuntu.com/ubuntu hardy universe

sudo apt-get update
sudo apt-get install binutils-arm-linux-gnueabi cpp-4.2-arm-linux-gnueabi g++-4.2-arm-linux-gnueabi gcc-4.2-arm-linux-gnueabi

В папке с сорцами програмы:

./configure --host=arm-linux-gnueabi

Дальше компилим как обычно

Или же юзаем arm-linux-gnueabi-*. Кому как.

...и будьте осторожны, так как это добавит Вам в список репозиториев hardy, который ещё нестабилен. Да и вообще после установки тулчейна из /etc/apt/sources.list лишнее лучше убрать и проделать sudo apt-get update.

update: sorry guys, не работает

Сообщение отредактировал Abram - 14.12.2007, 8:01

[Martyr]

я так понимаю пока все безрезультатно ? не видать нам еще мпкг ?

[rtf15]

У меня вопрос:
где находится сама подпись RSA и ее проверка?

З.Ы. в инете нашел интересный линк: http://www.modmymoto.com/forums/showthread.php?p=443243 , может ктото попробует себе подобный конф подковырять... (обход mot_security)

[lelvisl]

rtf15, в бутлоадере, он проверяет при запуске КГ. Почитай также первый пост.

А обход мотсека - это бльшой шаг, если он и в правду проделан. Ща погляжу, потестю.

[Abram]

rtf15, в бутлоадере, он проверяет при запуске КГ. Почитай также первый пост.

А обход мотсека - это бльшой шаг, если он и в правду проделан. Ща погляжу, потестю.

Там кажется снятие noexec, или я плохо смотрел.

[rtf15]

rtf15, в бутлоадере, он проверяет при запуске КГ. Почитай также первый пост.

А обход мотсека - это бльшой шаг, если он и в правду проделан. Ща погляжу, потестю.

А чем бутлоадер можно поглядеть? есть какойто отладчик или дизасемблер (под АРМ?) ?

Хотел спросить: сдесь на сайте говорилось что части прошивки- образы squashfs.
под линуху их можно открыть, изменить и снова запаковать.
Так вот: после прошивки они нормально грузятся или бутлоадер сверяет чексум/подпись ?

[Abram]

Хотел спросить: сдесь на сайте говорилось что части прошивки- образы squashfs.
под линуху их можно открыть, изменить и снова запаковать.
Так вот: после прошивки они нормально грузятся или бутлоадер сверяет чексум/подпись ?

Из образов не подписаны только CG43, CG52. Они уже изменены в моём монстре

[rtf15]

Из образов не подписаны только CG43, CG52. Они уже изменены в моём монстре

А когда формируется подпись? Когда проша изготовляется гдето там? Или прога которой прошиваешь, сама вычисляет CRC/RSA ?

[lelvisl]

rtf15, подпись формируется при её создании в моторолле и записывается по указанным мной адресам.

[Abram]

Вот что я нарыл в конфиге ядра Z6:

FLASH_PARTS=rsv kpanic mbm.img mbmloader.img mbmbackup.img bploader.img cdt.bin atags.img lbl zImage rootfs.img userfs.img gsm_scma11_build.bin setup.img securesetup.img logo.bin pdsfs.img resource.img language.img mass_storage.img usb_firm.bin

Кажется, на теле реально использовать boot_usb дял загрузки своего ядра. Правда, из одного мейл-листа вычитано, что тело при попытке это сделать вываливается на 20 секунд, потом грузит стандартное ядро... Есть идеи?

[M@dneSS]

А вот это всё помочь никак не может https://opensource.motorola.com/sf/frs/do/v...ects.rokrz6/frs ?
Или это всё только для официального сотрудничества с Моторолой?