Openbox V6 F7S V8S etc Firmware para ALI3511

flash242424 disse:

Essas Overbox M9S são iguais em carateristicas às Openbox / Solovox V8S.
Tem algum firmware da overbox que possa partilhar?
Experimente carregar esse firmware numa V8S e veja se resolve o problema.

Eu pessoalmente já experimentei o firmware iBRAVEBOX_F8S_ALI3511HD_161208HD numa Openbox V8S e problema dos canais com som mas sem imagem manteve-se.

Clique para expandir...

Qu4k3 disse:

Bom dia, aqui fica a parte boa do sniffing durante a auth.

@flash242424

hoje a tarde ja tento fazer o getsn com o termite.
ao que parece o ponto no final do getsn 8. significa ENTER.

descobri na box, na parte Information, se inserir 1111 no telecomando, abre um menu secreto de teste. testei o rs232. enviei com o termite o comando "getsn 8" e ".getsn 8." e ".getsn 8" enquanto analisava tambem com o HHD DMS e este davame "getsn 8." e ".getsn 8.." e ".getsn 8." respectivamente.

Ponto de situaçao?
Cumps

Clique para expandir...

flash242424 disse:

Obrigado e bom trabalho nesse sniffing, vou analisar quando tiver tempo.

Pensas-te como eu e descobriste exactamente o mesmo que eu eheheh, na altura andava procura do numero de serie em Information.
Também descobri que em Network se inserir 6666 mostra uma opção nova sobre Camds e há lá uma RS232 Function Setup mas ainda não sei para que serve.
A box rejeita conexões na porta 22 leva-me a querer que tem serviço de SSH, se conseguir entrar um mundo de opções se abre :Espi31:

Clique para expandir...

Qu4k3 disse:

Bom dia, aqui fica a parte boa do sniffing durante a auth.

Código:

[COLOR="#FF0000"]000117: 2019-03-13 17:29:10,2002215 +0,0000294

 0A 67 65 74 73 6E 20 38 0A                        .getsn 8.[/COLOR]



[COLOR="#0000CD"]000702: 2019-03-13 17:29:10,2090865 +0,0000429

 47 53 4E AA 14 38 15 AB 03 03 00 00               GSNª.8.«....[/COLOR]



[COLOR="#FF0000"]000781: 2019-03-13 17:29:10,6448633 +0,0000263

 0A 62 75 72 6E 73 6E 20 38 20 36 34 20 33 32 0A   .burnsn 8 64 32.
 14 38 15 AB 03 03 00 00 6D 64 7D A4 D6 02 99 4D   .8.«....md}¤Ö.™M
 FF 87 8E 70 D8 37 4B FF 0B 55 19 4B 06 0B 0B 7C   ÿ‡ŽpØ7Kÿ.U.K...|
 68 2E 74 2A EE 2D 46 51 BC 4A A5 FA 35 9A CA 57   h.t*î-FQ¼J¥ú5šÊW
 33 63 8E 8C 76 F2 05 81 AE 9E 39 60 3F 66 D1 4B   3xŽŒvò.�®ž9`?dÑK
 E9 FC 12 63 B0 37 AC C3 7F 14 E6 4A BE 73 6C 9C   éü.c°7¬Ã.æJ¾slœ
 4F D5 4F 97 C0 3B 6A B5 80 6B 25 29 3F BE 6B 61   OÕO—À;jµ€k%)?¾kb
 6C 72 B4 08 3E 6B 99 84                           lr´.>k™„[/COLOR]



[COLOR="#000080"]425062: 2019-03-13 17:29:15,7161782 +0,0000058

 42 53 4E AA                                       BSNª[/COLOR]


[COLOR="#FF0000"]425099: 2019-03-13 17:29:17,4877890 +0,0000262

 0A 67 65 74 73 6E 20 38 0A                        .getsn 8.
[/COLOR]


[COLOR="#000080"]425886: 2019-03-13 17:29:17,4993541 +0,0000070

 47 53 4E AE 00 00 00 00 00 00 00 00               GSN®........[/COLOR]

Vermelho corresponde a Write
Azul corresponde a Read


Em relacao ao ultimo sniffing postado pelo colega @Diogovictoriano , descobri que a parte ftp acontece durante o reinicio da box.
A cada boot, a box vai buscar o script_new.pak ao ftp, para atualizar a lista do update by network.

@flash242424

hoje a tarde ja tento fazer o getsn com o termite.
ao que parece o ponto no final do getsn 8. significa ENTER.

descobri na box, na parte Information, se inserir 1111 no telecomando, abre um menu secreto de teste. testei o rs232. enviei com o termite o comando "getsn 8" e ".getsn 8." e ".getsn 8" enquanto analisava tambem com o HHD DMS e este davame "getsn 8." e ".getsn 8.." e ".getsn 8." respectivamente.

Ponto de situaçao?
Cumps

Clique para expandir...

zemar disse:

Tenho um firmw. overbox, mas sei coloca-lo aqui, se me disserem os passes, talvez consiga.

Clique para expandir...

Qu4k3 disse:

Nao percebi a tua duvida..

Clique para expandir...

Qu4k3 disse:

Nao percebi a tua duvida..

Clique para expandir...

zemar disse:

O que eu queria dizer é que não sei po-lo aqui. vou tentar por mp.
Já tentei, mas tambem não chego lá.

Clique para expandir...

zemar disse:

Já experimentaram com este firmware OPENOX_V8S_3511HD_CMT_15081006B7?
Este é um dos ultimos com modificações, eu tenho-o, mas não o coloco porque ainda ninguem me disse como é que o coloco aqui.
Eu digo alguma coisa disto, porque já me passou uma box destas por as mãos, mas agora não tenho acesso a ela porque não sei onde está.

Clique para expandir...

flash242424 disse:

No pouco tempo que pude dedicar acho que começo ver a Matrix.
Estive analisar os sniffings e parece-me que as boxes respondem ao "getsn 8" com "GSN" + 1 Byte de separador + informação N bytes que serão o numero de serie.
Reparem que se repetem no "burnsn 8 64 32" aquele primeiro 8 é o numero de serie.
Não pode ser coincidência pois não?

Box do Diogovictoriano

Código:

[I][FONT=Courier New]getsn 8 -> GSN¦¦xH+[/FONT][/I]

Inicio --------- "GSN"
Separador ---- "¦"
SNumber ----- "¦xH+"

burnsn começa por "¦xH+"

Box do Qu4k3

Código:

getsn 8 -> GSNª.8.«....

Inicio --------- "GSN"
Separador ---- "ª"
SNumber ----- ".8.«...."

burnsn começa por ".8.«...."

Por outro lado a resposta da box do Qu4k3 ao "getsn 8" parece incoerente pois temos 3 respostas diferentes ou serão erros na comunicação?

Peguei nesses N Bytes e enviei ao servidor de licenças mas ele respondeu com erro 404.
Tenho de percorrer o código Python a ver se descubro mais pistas sobre o formato.

@Qu4k3
A tua box não deu "burnok"?
Quando puderes partilha o resultado de varios "getsn 8" pelo Termite numa box não autenticada e sniffing da respectiva autenticação se tiveres.

Clique para expandir...

getsn 8
GSN¦¦¦8M
burnsn 8 64 32
¦¦8M/¦]¦¦[¦¦¦X¦awM¦¦¦9td¦?'¦¦K¦¦k¦¦¦n¦¦¦¦o¦o¦¦¦WF`$

¦c¦¦?¦8!¦#¦¦¦ab¦g\¦9=+¦¦¦?@¦W`vBSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
g etsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
gets n 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
G SN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
g etsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
gets n 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
G SN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
g etsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
gets n 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
G SN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
g etsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
gets n 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
G SN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
g etsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
gets n 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
G SN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
g etsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
gets n 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
G SN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
g etsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
gets n 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
G SN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
g etsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
gets n 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
G SN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
g etsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
gets n 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
G SN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
g etsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
gets n 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
G SN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦
getsn 8
GSN¦

Clique para expandir...

Qu4k3 disse:

Bom dia.
Ainda nao tive opurtunidade de testar outra box nao autenticada. Assim que tiver novidades coloco aqui.
Quanto ao erro 404 enviado pelo servidor, deve se ao chip_sn ter um tamanho de 3 caracteres. Se experimentares tioo chip_sn=000 ou abc ou 0ff, vai dar internal error 500.

Peco a todos os utilizadores para respeitarem o objectivo do topico e nao o encherem de spam sff.

Cumps

Clique para expandir...

1. O endpoint "/chip_with_sn_production" tem 3 argumentos e não 2 como pensava estes são "key", "chip_sn" e "successed"
   Isto faz-me começar acreditar novamente na tua ideia que podemos usar uma key e gerar infinitas autenticações até os chineses detectarem só temos é de enviar successed = 0 eheh
   Exemplo https://45.248.86.44/dpt/api/chip_with_sn_production?key=bbd43b00-a99e-55e3-9828-71ba26097347&chip_sn=MTQzODE1QUIwMzAzMDAwMA==&successed=0
   Quando descobrir o formato do chip_sn ao certo testo se isto é verdade.
   
   
2. O servidor devolve erros pelo Header da resposta ao pedido HTTP
   Info retirada do Header "reason → Error: Invalid chip sn len"
   
   
3. O numero de serie que é extraído da box é enviado ao servidor codificado por base64
   Info retirada código python do software de autenticação "chipsn_sign = base64.b64encode(chipsn_sign)"

Diogovictoriano disse:

boas, fiz o getsn_8 antes do auth:

Ver anexo 156540

e depois do auth:

Ver anexo 156541

e também fiz mais um sniff:

este é bastante diferente do primeiro snif

Clique para expandir...

• "ª" ou 0xAA (hexadecimal) significa não autenticada e em seguida vai o numero de serie de 8 Bytes, agora tenho a certeza são 8 Bytes
• "®" ou 0xAE (hexadecimal) significa autenticada e em seguida 8 Bytes de zeros

0x0A6275726E736E20382036342033320A143815AB030300006D647DA4D602994DFF878E70D8374BFF0B55194B060B0B7C682E742AEE2D4651BC4AA5FA359ACA5733638E8C76F20581AE9E39603F66D14BE9FC1263B037ACC37F14E64ABE736C9C4FD54F97C03B6AB5806B25293FBE6B616C72B4083E6B9984

flash242424 disse:

Ao analisar mais uma vez o código Python descobri uma serie de coisas e ainda há lá muito mais info e pistas.
Esta e outra informação esteve sempre à frente dos meus olhos mas só agora a vi.

1. O endpoint "/chip_with_sn_production" tem 3 argumentos e não 2 como pensava estes são "key", "chip_sn" e "successed"
   Isto faz-me começar acreditar novamente na tua ideia que podemos usar uma key e gerar infinitas autenticações até os chineses detectarem só temos é de enviar successed = 0 eheh
   Exemplo https://45.248.86.44/dpt/api/chip_with_sn_production?key=bbd43b00-a99e-55e3-9828-71ba26097347&chip_sn=MTQzODE1QUIwMzAzMDAwMA==&successed=0
   Quando descobrir o formato do chip_sn ao certo testo se isto é verdade.
   
   
2. O servidor devolve erros pelo Header da resposta ao pedido HTTP
   Info retirada do Header "reason → Error: Invalid chip sn len"
   
   
3. O numero de serie que é extraído da box é enviado ao servidor codificado por base64
   Info retirada código python do software de autenticação "chipsn_sign = base64.b64encode(chipsn_sign)"

Com uma ferramenta tipo Postman ou Chrome DevTools com opção "Preserve Log" podemos ver a informação de erro.




Excelente Diogovictoriano com esta informação já consigo avançar....
Analise preliminar é que o teu sniffer está com problemas de codificação ou tem alguns erros na comunicação mas consigo ver o padrão.

Temos de olhar para isto como hexadecimal e não ASCII.
O separador indica se a box já foi autenticada ou não.

• "ª" ou 0xAA (hexadecimal) significa não autenticada e em seguida vai o numero de serie de 8 Bytes, agora tenho a certeza são 8 Bytes
• "®" ou 0xAE (hexadecimal) significa autenticada e em seguida 8 Bytes de zeros

"getsn 8" com resposta "GSNª.8.«...." ou "47 53 4E AA 14 38 15 AB 03 03 00 00" significa numero de serie "14 38 15 AB 03 03 00 00" em hexadecimal 0x143815AB03030000

"getsn 8" com resposta "GSNªàà8M[04][03][00][00]" ou "47 53 4E AA E0 E0 38 4D 04 03 00 00" significa numero de serie "E0 E0 38 4D 04 03 00 00" em hexadecimal 0xE0E0384D04030000

"getsn 8" com resposta "GSN®........" ou "47 53 4E AE 00 00 00 00 00 00 00 00" significa que a box está codificada, isto acontece nas duas boxes, separador "®" ou 0xAE e numero de serie "00 00 00 00 00 00 00 00"

Este novo sniffing confirma que no "burnsn" os primeiros 8 Bytes são o numero de serie.
O que me leva a pensar.... será que estão a reescrever o numero de serie?
Se assim for podemos usar um comando "burnsn" sniffado para todas as boxes como Qu4k3 sugeriu.

Se alguém puder testar esta teoria que envie este hexadecimal a uma box não autenticada com o Termite mas tem de instalar o plugin Hex View Ver anexo 156543 e ativar Ver anexo 156544 em Settings -> Plugins

Código:

0x0A6275726E736E20382036342033320A143815AB030300006D647DA4D602994DFF878E70D8374BFF0B55194B060B0B7C682E742AEE2D4651BC4AA5FA359ACA5733638E8C76F20581AE9E39603F66D14BE9FC1263B037ACC37F14E64ABE736C9C4FD54F97C03B6AB5806B25293FBE6B616C72B4083E6B9984

A solução até pode ser esta mas vou continuar a tentar explorar o servidor da solovox.

Clique para expandir...