Como restaurar acessos RootUser e permissões num router TG784n (10.2.1.L)


Reputação 3
Crachá +7
  • Dinamizador Sénior
  • 109 respostas
Nota geral sobre o tópico


Este tutorial já não se aplica ao último firmware 10.2.1.L ou posterior.


Lamentávelmente foram adicionadas restrições que inviablizam o processo.


 


Finalmente temos forma de dar a volta às restrições aplicadas no último firmware deste router e restaurar as permissões e acesso RootUser. No seguimento da tentativa falhada anterior: http://forum.meo.pt/t5/Equipamentos-Internet/Como-criar-um-RootUser-para-aceder-a-telnet-no-firmware-10-2-1-D/m-p/67020/highlight/true#M14955 venho agora complementar com informação definitiva e testada.


 


NOTA: Estas instruções são dedicadas aos routers Thomson TG784n e Technicolor TG784n v3 (10.2.1.L) da MEO.


Poderá ser útil para outras versões.


 


 


/! IMPORTANTE /!


A MEO atualizou recentemente as permissões dos routers para não permitir os primeiros comandos da Parte 2, que darão o seguinte erro: command not allowed. Para contornar isto, será necessário fazer um reset ao router e desligá-lo da internet. Agradecimentos ao utilizador ? (ver aqui) por ter confirmado a possibilidade de, apesar desta alteração, ser possível completar o processo.


 


 


Parte 0.


Vais ter que desligar o router da internet e fazer um reset para voltar às predefinições de fábrica.


NOTA: Como deves saber, fazer um reset ao router fará com que percas todas as definições do mesmo, incluíndo login da ligação Internet e, principalmente, configurações VoIP (caso o teu telefone fixo esteja configurado no router dessa forma). 


 


 


Parte 1.


Aceder ao router através de Telnet e usar o seguinte acesso de SuperUser:


code:
Username: sumeo
Password: bfd,10ng

 


 


Parte 2.
Criar e ativar o acesso remoto com os seguintes comandos:


code:
:system ra instadd name=remoteaccess
:system ra config name=remoteaccess state=enabled secure=disabled port=1234 timeout=0 mode=Permanent ipintf=InternetGPON randompassword=enabled randomport=disabled group=Users.Group.RootUser user=Users.User.Debug systemservice=webservice

 NOTA: Isto irá alterar definitivamente a palavra-passe do utilizador Debug, mas não há problema. Obrigado ao ? pela dica do ipintf=InternetGPON


 


 


 Depois, apenas para confirmar, verificar se o acesso remoto foi ativado devidamente, com o seguinte comando:


code:
:system ra list

 


Deverás obter o seguinte resultado:


code:
Remote assistance configuration
---------------------------------------------------------------------
Name : remoteaccess
State : enabled
Remote assistance port : 1234
Secure remote assistance : disabled
Timeout : 0 minutes
Mode : Permanent
IP interface :
Random password : 1
Random port : 0
Group : Users.Group.RootUser
User : Users.User.Debug
Tod schedule :
SystemService : webservice

NOTA: As definições importantes são 'State' que deverá ser 'enabled', 'Remote assistance port' que terás que saber para te poderes ligar ao router ('1234' neste exemplo), e o valor de 'Random password' que deverá ser '1' (enabled).


 


 


Parte 2.1.


Para podermos proceder ao passo seguinte (Parte 3), terás que ligar o router à internet para poder aceder remotamente ao mesmo. Mas uma vez que a MEO definiu as novas restrições, que serão aplicadas após ligar à internet, vais ter que executar os passos da Parte 3 o mais rápido possível (entre 1 a 2 minutos). Antes de começares lê bem o que é necessário fazer e prepara antecipadamente tudo o que puderes, desde colocar o URL num separador, pronto para colar o IP, e colar o código de login do utilizador "nauser" na consola. Assim que tiveres ensaiado o processo, liga o router à internet e segue para a Parte 3 em modo turbo!


 



Parte 3.
Em primeiro lugar, terás que saber qual o endereço IP(v4) da tua ligação de internet, existem várias formas de o obteres.


Podes consultá-lo no próprio router através deste link: http://192.168.1.254/cgi/b/is/?be=0&l0=2&l1=2


Ou através de uma das várias páginas web, como por exemplo: http://www.whatismyip.com


Ou podes até usar o seguinte comando para isso:


code:
:ip iplist proto=ipv4

O endereço IPv4 da tua ligação de internet é o prefixo atribuído à interface 'Internet', do lado esquerdo da lista.


 


De seguida, utilizando uma segunda ligação à internet, que é obrigatória para que este método funcione, acede ao teu router remotamente através do navegador:


 


  • opção a) - Através de um proxy web, como este:
code:
http://proxy.piratenpartij.nl/TEU.ENDEREÇO.IP.INTERNET:1234/remote_admin.lp

 


  • opção b) - Através de uma ligação secundária:
code:
http://TEU.ENDEREÇO.IP.INTERNET:1234/remote_admin.lp

 NOTA: Se o acesso remoto tiver sido definido como secure, deverás usar HTTPS em vez de HTTP.


 


Se tudo tiver corrido bem, deverás ser redirecionado para a página de login do teu router.
Agora vamos usar o mesmo utilizador que a MEO usa para "brincar" com os routers e também recorrendo à já conhecida vulnerabilidade de login que, irónicamente, não se deram ao trabalho de corrigir (obrigado!).
Para aqueles que não estão familiarizados com o processo, abrir a consola do navegador (Ctrl+Shift+J no Chrome e Ctrl+Shift+K no Firefox) e cola o código abaixo, seguido da tecla 'Enter':


code:
var user = "nauser";
var hash2 = "d3eff9622e6e8efe7d8c059c596f075f";
var HA2 = MD5("GET" + ":" + uri);
document.getElementById("user").value = user;
document.getElementById("hidepw").value = MD5(hash2 + ":" + nonce +":" + "00000001" + ":" + "xyz" + ":" + qop + ":" + HA2);
document.authform.submit(); 


NOTA DE COMPATIBILIDADE (TG784n):
Se o router for o TG784n em vez do TG784n v3, então ignora o código acima e usa este para aceder ao router:


code:
var user = "nauser";
var hash2 = "f8700f3bb4e73cc4bb5229def20ce0d0";
var HA2 = MD5("GET" + ":" + uri);
document.getElementById("user").value = user;
document.getElementById("hidepw").value = MD5(hash2 + ":" + nonce +":" + "00000001" + ":" + "xyz" + ":" + qop + ":" + HA2);
document.authform.submit(); 

Se precisares de executar este código num dispositivo móvel, ou num navegador que não possua consola, vai à barra de endereço do navegador e limpa tudo, depois escreve o texto abaixo e cola o código acima, carregando depois na tecla 'Enter':

code:
javascript:

NOTA: Em vez de : escreve o símbolo de pontuação "dois pontos" [:], o fórum não me permite escrever tudo acima.

Deverá agora ser apresentada a página de acesso/assistência remota.


Estará também visível a palavra-passe aleatória que foi atribuída ao utilizador Debug, toma nota dessa palavra-passe uma vez que irá ser imprescindível no passo seguinte. De seguida clicar no botão 'Desativar Acesso Remoto', o router deixará de responder uma vez que irá terminar a ligação remota existente, não há problema já que este acesso remoto deixará de ser necessário.


 


NOTA IMPORTANTE: Se após introduzires o código de login não fores redirecionado para a página do acesso remoto, poderá querer dizer que não executaste os passos com rapidez suficiente e o router acabou por descarregar as alterações às permissões a partir do servidor da MEO. Nesse caso, infelizmente, terás que voltar a fazer um reset e a recomeçar do zero.


 



Parte 4.
Entrar no router localmente através de Telnet com o utilizador Debug e a palavra-passe aleatória que foi recuperada anteriormente na página de acesso/assistência remota. Após entrar, altera a palavra-passe do utilizador Debug para uma à tua escolha:


code:
:user config name=Debug password=NOVA_PASSWORD

 NOTA: Substituír NOVA_PASSWORD pela palavra-passe que pretendes.


 


De seguida, retira as restrições que foram aplicadas ao grupo RootUser, nomeadamente a possibilidade de entrar através de HTTP/HTTPS, com o seguinte comando:


code:
:mlp role addpriv name=RootUser access=AP1 service=anyservice

 


Como bónus, vais restaurar as permissões de acesso ao ficheiro user.ini de forma a poderes voltar a usar a função de cópia de segurança que permite guardar as definições do router:


code:
:mlp interaction config name=dl/user.ini type=cgi score=40000:0 score2=40000:0 recurse=disabled

 


Por fim, vais tornar estas alterações permanentes através do seguinte comando:


code:
saveall

 


 


Parte 5.


Caso queiras adicionar um novo RootUser, acede ao router através da página web com o utilizador Debug e vai até à página de criação de um novo utilizador:


code:
http://192.168.1.254/cgi/b/users/cfg/usraccaddrem/

 


Nessa página, preenche o nome de utilizador e palavra-passe (confirma a palavra-passe), depois abre a consola do navegador (Ctrl+Shift+J no Chrome e Ctrl+Shift+K no Firefox) e cola o código abaixo, seguido da tecla 'Enter':


code:
var Privilege = document.getElementsByName('31')[0]; 
Privilege.options[0].value = 'RootUser';
Privilege.selectedIndex = 0;
submitForm(document.usrAccDef,10,1,"usrAccApply","",0,""); 

Se precisares de executar este código num dispositivo móvel, ou num navegador que não possua consola, vai à barra de endereço do navegador e limpa tudo, depois escreve o texto abaixo e cola o código acima, carregando depois na tecla 'Enter':

code:
javascript:

NOTA: Em vez de : escreve o símbolo de pontuação "dois pontos" [:], o fórum não me permite escrever tudo acima.

 


Está feito, já deverás ser capaz de entrar com qualquer utilizador RootUser através da página web e também fazer cópia de segurança das definições do router, como nos firmwares das versões anteriores. 


 


Bonús.


É aconselhável desativar o serviço CWMP para evitar surpresas da MEO:


code:
:cwmp config state=disabled
:service system modify name=CWMP-S state=disabled
:service system modify name=CWMP-C state=disabled
saveall

 


Se fores mesmo anti-surpresas, podes também alterar a palavra-passe do utilizador "nauser":


code:
:system ra config name=remoteaccess state=enabled secure=disabled port=1234 timeout=0 mode=Permanent randompassword=enabled randomport=disabled group=Users.Group.NA user=Users.User.nauser systemservice=webservice
:system ra instdelete name=remoteaccess
saveall

 


Novo lema: Porque o router é Meo, mas quem manda sou eo! :p


 


 


Deixo um grande abraço para Alex Kemp, administrador do fórum www.modem-help.co.uk, que fechou hoje as portas após 10 anos online e que contribuiu imenso na disseminação de informação associada a estes equipamentos de rede.Thanks for everything, Alex! 😃

Tópico fechado, já não permite mais respostas.

300 respostas

? era isso mesmo que queria evitar, ter 2 redes distintas é aquilo que tenho à anos por não conseguir fazer uma conjugação de ambas as redes.


 


Para identificar como gateway o equipamento vodafone seria uma grande complicação, são inumeros dispositivos, ia perder horas e horas e alem que nao seria de todo a solução que quero, já tinha pensado nisso, e era uma das coisas que queria evitar. 


seria tão mais facil se fosse possivel alterar o gateway nas box's assim era simples.


 


Uma vez que não me parece possivel ir pelo caminho que queria, será possivel bloquear todos os mac's com excepção dos das box's? qualquer coisa que me permita ter uma rede integral e com tudo a funcionar em todo o lado.


 


Não sou nenhum mega expert em redes, mas tenho alguns conhecimentos, mas confeso que nunca me vi numa que me matasse tanto a cabeça sem grandes resultados.


 
Reputação 6
Crachá +10
?


 


Nesse caso, usando no router MEO, a lease personalizada como indica o ?, no seu ultimo post, deve ser o bastante . Não é necessário bloquear MAC's. Poderá só haver um pequeno contra-tempo, se por alguma razão necessitar de desligar da corrente, o roiuter MEO, é  possivel que a lease seja removida e terá de a configurar de novo.


 


Atentamente,
Reputação 3
Crachá +7
Pois, aqui na questão que o ? coloca sobre o lease ir à vida após o reinicio ou ligar/desligar do router, é uma possibilidade, mas à partida o parâmetro expirytime=0 deverá proteger contra isso mesmo, mantendo o lease durante tempo "infinito" mesmo após reiniciar. Não há como testar, claro. 😃
Para já está a funcionar, so falta mesmo testar isso do reboot do router, sem assim for é chato, pois em caso de falha de energia fico na mesma. Mas de qualquer modo é bem melhor que simplesmente não funcionar.


 


Agradeço a ajuda e dps de testar tudo coloco aqui feedback 


 


Abraço 
Reputação 6
Crachá +10
?


 


Aqui está a linha de comando dada pelo ?, revista com a adição de mais 2 paranetros que ajudam á permanencia da configuração da lease, para a box TV:


 


code:
:dhcp server lease add clientid=en:de:re:co:ma:cc:00 pool=LAN_private addr=192.168.1.69 gateway=192.168.1.254 macaddr=en:de:re:co:ma:cc:00 lifetime=0 leasetime=0 allocation=manual
saveall
:system reboot

 


Atentamente,
Reputação 3
Crachá +7
? Penso que os parâmetros lifetime e allocation apenas existem no v3.


Mesmo asism pode adicionar leasetime=0, não sei que leasetime ele atribui quando não se define nada.
Reputação 6
Crachá +10
ner0 escreveu:

Pois, aqui na questão que o @NeoPT coloca sobre o lease ir à vida após o reinicio ou ligar/desligar do router, é uma possibilidade, mas à partida o parâmetro expirytime=0 deverá proteger contra isso mesmo, mantendo o lease durante tempo "infinito" mesmo após reiniciar. Não há como testar, claro. :D



 


Confirmo aqui, pelo menos nos routers TG799vn com 10.2.1.D e TG784n V3 com 10.2.1.L, se o dispositivo da  rede não estiver ligado aquando do arranque do sistema. È chato e estupido que o router não guarde esta conifguração permanentemente, sem falha ( os meus Asus WL todos guardam) mas, é como o firnware trabalha e o que temos.


 


Atenção: o parametro correcto deverá ser leasetime=0, pelo menos a partir da versão 10.2.1.D


 


Atentamente,
Para já o reboot não afeta nada o sistema, amanha testo desligando as box's


 


Tenho é aparentemente outro problema, não é sempre, mas acontece que a ligação fica estremamente lenta, principalmente em dispositivos moveis, não sei o pk, e acontece so passado algum tempo de estar tudo ligado. parece até que estou a usar uma ligaçao por satelite onde o upload tem um desfazamento gigante do down. mas isso vou testando entre hoje e amanha


 
Reputação 2
Saudações a todos,

 

Durante 5 anos, com acesso de root ao meu velhinho Thomson TG784n, ligação de fibra, tudo funcionou maravilhosamente bem.

...no entanto, duas semanas atrás, um belo domingo, 3 da madrugada, estava eu a configurar uma solução VM-SPHERE para um FUJITSU PRIMERGY RX300 S6, que só por acaso tinha de ser entregue no dia seguinte... e a net...kaputz!

Lembrei-me logo dos maravilhosos "updates" não comunicados que a meo resolve fazer, e pensei, não... agora não, já tou "way behind on the deadline!" (agora em português, já estou muitissimo atrasado para levar com isto), e decido aguardar...

...aguardo 10min, 20min, 30min, ("auto-mutilo-me" por nunca ter desligado o CWMP, na esperança de revisões / correcções / melhorias de firmware), e o power led continua "AMBAR" intermitente e o ethernet led fixo, (sinal de update em curso!), penso cá para os meus botões...isto não é normal, não costuma demorar tanto, bom, só me resta uma solução: desligar e ligar ( e fazer figas! ), na pior das hipoteses faço um restore do meu "user.ini" que já tem mais que muitas afinações implementadas ao longo de todos estes anos...

...e a desgraça bate-me na porta! morreu! :Sups! tá morto! népia!

Ligo para os senhores da MEO que prontamente me dizem o que eu já sabia, fim da linha para o velhinho...THOMSON, amanhã estamos aí para lhe substituir o equipamento!

E estiveram... agora começa a saga e o motivo deste post...

 

Recebi uma bela prenda, Technicolor TG784n v3, mas... com o firmware 10.2.1.O ! :@

Segui os passos descritos neste post ao pormenor, a data de fabrico deste equipamento é de Julho/2015, o passive firmware é também o 10.2.1.O.

O reset ao router, em modo OFFLINE permite-me a entrada como "sumeo" e a pass mantém-se "bfd,10ng", consigo activar o remoteaccess, noutro equipamento com acesso 4G preparo o URL para o RA e...

...simplesmente não há tempo de reacção que nos valha quando ligamos o cabo do ONT, a primeira coisa que o menino faz é ligar ao ACS e estragar tudo novamente!

 

Só consegui travar o menino usando um ACTIVE SWITCH, com filtros a bloquear todo o trafego com o ACS.

Acedi com o "Debug" e a password aleatória do TechnicalSupport, fui para os "users" todo afiado, como o privilégio de "RootUser" já não existe, adicionei o privilégio "root" na consola JAVA e... "Could not set new role for user: god (wrong privileges)".

Já tentei por TELNET, criei um ROLE com privilégio anyaccess/anyservice, e consigo tudo, menos associar/criar um USER com esse ROLE.

 

Entretanto toda a ajuda é bem vinda, um forte abraço a todos, especialmente aos que lutam para que a INTERNET CONTINUE "LIVRE", sem restrições dos ISPs para DNS e equipamentos, o que é altamente redutor e nos traz á memória os tempos do "LÁPIS AZUL", com a diferença de este ser um serviço pago e bem pago!

 

As minhas sinceras desculpas pelo testamento, continuarei com a saga e colocarei aqui o desenvolvimento.

Até breve.

 
Que jogo do gato e do rato... esse firmware deve ser novo, mas quando será que a PT deixa de fazer destas mer...??? Aianda não perceberam que quem manda nas nossas redes somos nós? Isto revolta-me, a sério, eu sei o que tenho passado devido as limitações da PT e da parvoíce de nos obrigar a usar Thompson's em prol do facilitismo deles, seria tão mais fácil se pudéssemos simplesmente mudar esses router à fava e colocar aquilo que queremos, como no tempo da net ADSL sem tv, onde podiamos colocar o equipamento que quiséssemos.


 


Nao posso ser grande ajuda infelizmente, mas pelo que descreves parece que "acabaram" com os RootUser, ou se calhar atribuíram outro nome aos privilégios root
Reputação 3
Crachá +7
?


Como é um firmware novo, a que pouca gente tem acesso, não haverá muitos que possam dar sugestões válidas.


Se já não existe role RootUser, o Debug agora tem o quê, Administrator ou SuperUser?


Já tentaste alterar um desses roles existentes para ter anyaccess/anyservice?


Não vejo grande hipótese nessa situação, a não ser reverter o firmware para a versão 10.2.1.L


 


Firmware v10.2.1.L válido para routers com placa DANT-U: https://meocloud.pt/link/53d1a28c-ec0d-47e4-9785-8b855909aa7a/784n_v3_build_10.2.1.L_DANT-U_DB.rbi/


Agradecimentos ao masterg* pelo firmware e à MEO pelo alojamento do mesmo na sua cloud supimpa.
Reputação 2
Cumprimentos Multiporta,


 


Confirmo isso mesmo, o ROLE "NA" associado ao "nauser" passou a servir apenas para manutenção remota e pouco mais.


O ROLE "RootUser" desapareceu, usando o ROLE "TechnicalSupport" é possivel criar um ROLE igual ao de "root", ou seja "anyaccess/anyservice", simplesmente cada vez que criar/associar um USER a esse ROLE o report indica privilégios insuficientes.


 


Voltei a sentir-me miudo outra vez, na sala de aula, com a professora a tomar ..."mal"... conta de mim...


20 anos de Eng. de Sistemas para ver isto...nunca imaginei o caminho que este país tomaria, a admitir este tipo de práticas!


Estou a pensar adquirir o Linksys EA6300-EW, e usar o OpenWRT, a não ser que a "professora" me diga que...não!... nesse caso desisto da MEO (unilateralmente) e procuro um operador que me permita total controle sobre a minha infra-estrutura.


Já não tenho idade/tempo/paciência para aturar estes abusos...


...porque o equipamento é deles, mas a segurança, a electricidade, a casa, a rede e o dinheiro são MEOs!


 


Cumprimentos
Reputação 2
Olá ner0


 


Sim consigo criar um ROLE com credenciais iguais ás do ROLE "root" (anyaccess/anyservice), simplesmente não consigo criar/associar um USER ao mesmo, em telnet dá-me sempre:


 


"[mlp] Current user isn't allowed to add another user with specified role."


 


Cumprimentos


 


P.S. O "Debug" está associado a "TechnicalSupport"


 
Reputação 3
Crachá +7
?


A minha sugestão era alterar um role existente a que um utilizador já estivesse associado em vez de criar um role novo e associar o utilizador posteriormente. Mas imagino que o comportamento seja semelhante e não deixe. Continuas a ter a hipótese de fazer o downgrade ao firmware :p


 


Vá, tenta lá, nem que seja para avançar o conhecimento da humanidade! :D


 
Reputação 2
:robotlol:


 


Sim, vou fazer isso, mas confesso que se contam pelos dedos de uma mão, as vezes que na minha vida me deixei bater sem luta. :robottongue:


 


E imagina só a humanidade a funcionar como uma verdadeira rede de troca e partilha de conhecimento, sem patentes/royalties/direitos de autor ou informação priveligiada, imagina o salto evolutivo, a melhoria da qualidade de vida, os avanços na medicina, tecnologia, etc...


 


Talvez num mundo perfeito, sem interesses financeiros a sobreporem-se á VIDA! :manwink:


 


Cumprimentos
Reputação 2
Cumprimentos ner0


 


Pelo que estive a ler não é possivel, o "RE-FLASH" do Technicolor TG784n v3 sem recurso a JTAG.


Se estiver equivocado, corrige-me por favor.


 


Estou mesmo a atingir o limite da minha paciência com esta situação ridicula de ser despromovido a um mero USER do PORT 80.


 


Trabalho nisto provavelmente há mais anos, do que alguns dos que optaram por estas politicas, têm de vida.


Implemento soluções de networking, faço consultorias/auditorias de segurança e protecção de conteúdos electrónicos, em algumas das melhores sociedades de advogados deste país, em empresas que lidam com informação sensivel, etc.


 


Alguns inclusivamente, ter-se-ão tornado clientes MEO Fibra por minha recomendação, já para não falar que no condominio de 100 habitações onde resido, efectuei em tempos um abaixo assinado com mais de 50 assinaturas recolhidas, todas a demonstrar interesse na instalação duma infra-estrutura de fibra da PT, pelo descontentamento que na altura se vivia relativamente á operadora "ZON" actual "NOS".


 


Pela minha diligência, a PT instalou NODE de fibra na Avenida anexa ao nosso condominio e conseguiu aproximadamente 50 novos clientes.


Tudo isto para ser revogado para um serviço básico, incompleto, deficiente, inseguro.


  • Básico: A WEB não se resume apenas aos serviços HTTP/HTTPS e similares.
  • Incompleto: Existem como todos sabemos um sem numero de serviços que poderiam ser bem faceis de implementar por quem sabe, mas graças ás politicas de restrições aplicadas, tudo se torna bem mais complicado, senão por vezes impossivel.
  • Deficiente: São inumeros os erros de configurações mal aplicadas com reflexos e consequências na infra-estrutura do utilizador ao longo dos anos, assumir a si a responsabilidade de gerir parte da infra-estrutura do utilizador avançado, retirando ao mesmo a capacidade de resolver situações que lhe sejam desfavoráveis, é prestar um serviço deficiente/negligente, e chamar a si uma carga de problemas. A ex. quantos updates sem aviso prévio ao utilizador resultaram em danos nos equipamentos, (a tendência natural do utilizador básico, será sempre - não tenho NET, deixa desligar e ligar de novo que pode ser que resolva!), danos esses que aumentaram os encargos de manutenção do parque de equipamentos, e em grande parte dos casos provocaram a perda de configurações do utilizador e subsequente transtorno.
  • Inseguro: São mais que muitas as falências que já encontrei ao longo dos anos, algumas delas faceis de explorar, como a mais evidente usar contas comuns em todos os equipamentos para administrar os mesmos, é uma regra básica de segurança não replicar contas em parques extensos, na verdade os servidores ACS permitem alocar bases de dados com contas individuais para cada equipamento, prevenindo assim "MAJOR LEAKS" para o dominio publico, mas há mais, muitas mais, que entendo por bem não discutir publicamente.
 


Estou mesmo a pensar em abandonar este ISP, irei acalmar, e reflectir, se o fizer, não irei sozinho, pois felizmente tenho crédito e reputação suficiente para ser ouvido por muita gente que procura e se credita no meu aconselhamento.


 


Desculpem o desabafo, cumprimentos a todos.
Reputação 5
?


 


Um pouco fora do teu contexto, e sem saber como te ajudar nesse sentido, será que podias reportar quais as novidades desse firmware - se algumas destas forem viziveis através da interface web - uma vez que não tens acesso ao user.ini?
Reputação 6
Crachá +10
ner0 escreveu:

@NeoPT Penso que os parâmetros lifetime e allocation apenas existem no v3.


Mesmo asism pode adicionar leasetime=0, não sei que leasetime ele atribui quando não se define nada.



 


O leasetime, se deixado em branco, penso que é pre definido pelo mesmo campo, da configuração existente da pool do servidor DHCP do router MEO.  Aqui tenho o valor 0, mas eu já personalizei a pool há bastante tempo. Não tenho a certeza, ou não me recordo aliás, mas julgo que o valor, por defeito, deve rondar os 86400 segundos (24 horas) ou outro valor na ordem das centenas de milhar


 


Atentamente,
Reputação 2
Cumprimentos yEL-


 


Dá-me a sensação que os CGI foram "castrados", ou seja, mesmo com credenciais quase de ROOT, grande parte das configurações outrora disponiveis via HTTP para quem tivesse ROLE the ROOT, agora só são acessiveis por TELNET.


 


A mim isso não me incomoda muito, mas poderá ser inconveniente para USERS menos rotinados com a consola TELNET destes equipamentos.


 


Cumprimentos
Reputação 6
Crachá +10
Olá ?,


 


Antes de mais, seja bem-vindo ao MEO Fórum. Parabens, pela originalidade e genialidade na escolha do seu nome de utilizador!


 


NOUSER escreveu:

(...)


Desculpem o desabafo, cumprimentos a todos.



 


Não há nada para desculpar. Posts construtivos, com pés e cabeça, com teor transparente, apoiados em factos e situações práticas do quotidiano e, com linguagem e apresentação cuidadas, ainda que atinjam a magnitude de um testamento, são sempre bons em qualquer fórum, incluindo este! Não se preocupe...


 


Não querendo ficar a dever nada à sinceridade, apesar de estar a cumprir funções, vou na qualidade de cliente, afirmar que estou praticamente, 100% de acordo com tudo o que escreveu! Por isso e, por mais uma vez, ter sido surpreendido de forma negativa, subscrevo.


 


Estou estupefacto, com esta horrivel tendencia para a mediocridade e falta de profissionalismo do pessoal técnico afecto ao desenvolvimento e preparação/lançamento de firmware. Não estou nada satisfeito com a decisão de restringir novamente o acesso à configuração avançada do router, pelo menos, para quem já o tinha e dele necessiitava. Sobretudo, não estou nada satisfeito, por não entender a insistencia em lançar estes updates sem informar rigorosamente nada, nem ninguem, nem sequer internamente ou, não preparar em conjunto, os aspectos e meios necessários para uma hipótese de salvaguardar as configurações personalizadas no router, ou pelo menos parte delas. Francamente, podiam ter a consciência de que isto são práticas pouco éticas e nada transparentes, que nada trazem de benéfico para a satisfação do cliente, abrir um pouco o jogo e vir aqui ao MEO Fórum, anunciar superficialmente, sem prejuízo do grau sensível das informações, o que de novo trazem estas actualizações e o que o cliente pode esperar. Em vez disso, preferem continuar o jogo sujo e cerrado, de empurrar e impingir a sua mestria, para alem de permanecer na teimosia da mudez, e da prepotência. Muito bem! Muito obrigado, pelo ótimo serviço prestado, por toda a consideração dada aos clentes MEO, especialmente, por todo o tempo que lhe dão a ganhar!


 


Para alem de continuar atento a este tópico, já que disponho de alguma (embora pouca) "alavancagem", aqui, vou de imediato, debater internamente a situação e tentar, pelo menos, obter algumas respostas.


 


Atentamente,
Reputação 2
Cumprimentos NeoPT


 


NeoPT escreveu:

Olá @NOUSER,


 


Antes de mais, seja bem-vindo ao MEO Fórum. Parabens, pela originalidade e genialidade na escolha do seu nome de utilizador!


 


NOUSER escreveu:

(...)


Desculpem o desabafo, cumprimentos a todos.



 


Não há nada para desculpar. Posts construtivos, com pés e cabeça, com teor transparente, apoiados em factos e situações práticas do quotidiano e, com linguagem e apresentação cuidadas, ainda que atinjam a magnitude de um testamento, são sempre bons em qualquer fórum, incluindo este! Não se preocupe...


 


Não querendo ficar a dever nada à sinceridade, apesar de estar a cumprir funções, vou na qualidade de cliente, afirmar que estou praticamente, 100% de acordo com tudo o que escreveu! Por isso e, por mais uma vez, ter sido surpreendido de forma negativa, subscrevo.


 


Estou estupefacto, com esta horrivel tendencia para a mediocridade e falta de profissionalismo do pessoal técnico afecto ao desenvolvimento e preparação/lançamento de firmware. Não estou nada satisfeito com a decisão de restringir novamente o acesso à configuração avançada do router, pelo menos, para quem já o tinha e dele necessiitava. Sobretudo, não estou nada satisfeito, por não entender a insistencia em lançar estes updates sem informar rigorosamente nada, nem ninguem, nem sequer internamente ou, não preparar em conjunto, os aspectos e meios necessários para uma hipótese de salvaguardar as configurações personalizadas no router, ou pelo menos parte delas. Francamente, podiam ter a consciência de que isto são práticas pouco éticas e nada transparentes, que nada trazem de benéfico para a satisfação do cliente, abrir um pouco o jogo e vir aqui ao MEO Fórum, anunciar superficialmente, sem prejuízo do grau sensível das informações, o que de novo trazem estas actualizações e o que o cliente pode esperar. Em vez disso, preferem continuar o jogo sujo e cerrado, de empurrar e impingir a sua mestria, para alem de permanecer na teimosia da mudez, e da prepotência. Muito bem! Muito obrigado, pelo ótimo serviço prestado, por toda a consideração dada aos clentes MEO, especialmente, por todo o tempo que lhe dão a ganhar!


 


Para alem de continuar atento a este tópico, já que disponho de alguma (embora pouca) "alavancagem", aqui, vou de imediato, debater internamente a situação e tentar, pelo menos, obter algumas respostas.


 


Atentamente,



 


Agradeço a cordialidade, o elogio e toda a atenção que possa dedicar ao tópico.


 


Bem haja, NeoPT


 


Cumprimentos


 


 
Reputação 3
Crachá +7
NOUSER escreveu:

Cumprimentos ner0


 


Pelo que estive a ler não é possivel, o "RE-FLASH" do Technicolor TG784n v3 sem recurso a JTAG.


Se estiver equivocado, corrige-me por favor.


 



?


Não tenho a certeza... pode bem depender de alguma restrição do utilizador.


Num teste que fiz no meu parece que o processo começa sem problemas (ver abaixo), apesar de que cancelo nesse ponto porque, como podes ver, ainda tenho a versão D. Exemplo: http://i.imgur.com/ZrNvjct.png


 


Cumprimentos.
Reputação 2
Cumprimentos ner0


 


Compreendo, mas o TFTP UPLOAD durante o BOOTP não significa necessáriamente um (RE-FLASH) bem sucedido, entre outras questões a ponderar após o processo concluir, tais como SIGNATURES, VERSIONING, MODELING, incluem-se ... os malditos privilégios (ROLES) ! :(


 


O que no meu caso, (sadly...), não dá... pois já testei...


 


Todavia, corrige-me se estiver errado.


 


Cumprimentos
Crachá +3
Estimado NOUSER,


 


Pode partilhar os utilizadores existentes e respetivos roles dessa nova versão?


 


Obrigado
Reputação 2
Cliente1986 escreveu:

 


Pode partilhar os utilizadores existentes e respetivos roles dessa nova versão?


 



Cumprimentos Cliente1986


 


Afirmei que o ROLE "RootUser" havia desaparecido na revisão 10.2.1.O, o que, após análise mais cuidada verifiquei ser falso, apresento as minhas desculpas a todos pelo ruído que aqui poderei ter criado.


 


Reposta a verdade...


 


Não pude nos últimos dias, por motivos profissionais, dedicar a atenção que este tópico merecia, todavia, continuei a encetar esforços no sentido de resolver / contornar as restrições que foram colocadas com este novo FIRMWARE, e com toda a informação generosamente recolhida e partilhada pelo USER ner0, montei várias estratégias e atingi o objectivo proposto:


  • obter e restaurar as credênciais de user com ROLE de ROOT.
 


Para CASE STUDY apliquei 3 técnicas:


  1. A abordagem "ner0", amplamente divulgada e debatida neste tópico
  2. A abordagem "NONAME", que implementei de raíz baseada em técnicas de TAMPERING
  3. A abordagem "FIREFLAW", que implementei de raíz baseada em FLAWS que detectei no FIRMWARE
 


Obtive sucesso nas 3, no entanto para precaver a possibilidade de novas revisões ao FIRMWARE que impossibilitem o uso da 1ª, e para que possa ajudar a comunidade no futuro, não irei, pelo menos para já, clarificar as técnicas 2 e 3.


 


A abordagem "ner0" poderá perfeitamente ser usada na revisão 10.2.1.O, com algumas ressalvas que passarei a descrever.


 


  1. o serviço TELNET apenas é disponibilizado quando o STATE do INTF InternetGPON = CONNECTED. Por outras palavras, sem NET não há TELNET ! Isto obriga-nos, depois do RESET ao ROUTER a manter o cabo WAN conectado e a persistir na tentativa de iniciar uma sessão TELNET, quando a mesma acontecer devemos desligar imediatamente o cabo WAN e continuar o processo de autenticação.
  2. Depois de devidamente autenticados em TELNET, devemos modificar um qualquer parametro do ROUTER e aplicar um "saveall", ao realizarmos este passo, forçaremos o ROUTER a assinar uma nova revisão do "user.ini"e evitar que quando voltarmos a restabelecer a ligação WAN o processo de sincronia com o servidor ACS (CWMP SERVICE) ocorra imediatamente, impedindo-nos de prosseguir com o processo "ner0".
  3. Restabelecemos a ligação WAN e prosseguimos com o processo "ner0" até ao final,... tudo deverá correr bem!
 


Em suma as modificações com consequências beligerantes para esta técnica dizem respeito a:


  • TELNET apenas com WAN
  • Logo que exista WAN, ligação imediata ao ACS (CWMP SERVICE) e consequente descarga do "user.ini".
 


Nos meus tempos livres, estou a desenvolver um pequeno aplicativo MS para executar o processo "ner0" em modo UNATTENDED, se as regras do forum assim o permitirem, terei todo o gosto de o publicar e ajudar a comunidade.


 


Cumprimentos