Sblocco Smart Modem TIM Technicolor TG789 vac (AGTOT)

Introduzione

Nel passaggio del firmware dalla versione 1.0.2 alla versione 1.0.4 è stata modificata la chiave di criptazione del file di configurazione rendendo non modificabile la stessa ed è inoltre stato rimosso il menù segreto originale di Technicolor.

Chi possiede il modem alla versione AGTOT_1.0.2 può utilizzare la seguente guida:

Per poter utilizzare questi comandi mi rifaccio alla guida di  AlezzioZ_

  1. Se non lo avete già, scaricatevi OpenSSL
    io utilizzo ( https://indy.fulgan.com/SSL/openssl-1.0.2k-x64_86-win64.zip );
  2. Estraete lo zip;
  3. Nella cartella appena creata inserite il file di backup generato dal modem chiamato user_config.ini;
  4. Aprite una finestra Dos (cmd) e date:
    openssl aes-128-cbc -K a0dd1da4242d32424fdffaa0ed0e0f12 -nosalt -iv 0 -d -in user_config.ini -out user.ini
  5. Avete appena generato il file user.ini in chiaro dove potete leggere ed apportare modifiche alla attuale configurazione.
  6. Per caricarlo nuovamente sul modem dovrete trasformarlo nuovamente in file cryptato. Per cui, a modifiche terminate e salvate date:
    openssl aes-128-cbc -K a0dd1da4242d32424fdffaa0ed0e0f12 -nosalt -iv 0 -e -in user.ini -out newuser_config.ini

Per la versione AGTOT_1.0.4 la chiave è stata cambiata nella seguente:

openssl aes-128-cbc -K a875e62aa6f1d430dac45fcd0e3bb246 -nosalt -iv 0 -d -in user_config.ini -out user.ini (Per decriptare)
openssl aes-128-cbc -K a875e62aa6f1d430dac45fcd0e3bb246 -nosalt -iv 0 -e -in user.ini -out user_config.ini (Per criptare)

Attenzione!
Se a seguito dell’uso di questi comandi, vi ritroverete davanti con questo errore:
digital envelope routines:EVP_DecryptFinal_ex:bad decrypt:evp_enc.c:529:
Il file user_config.ini decriptato presenterà alle ultime righe questi caratteri
Per risolvere basterà eliminare tutto ciò che è sottostante [ endofarch ]
Non contiene nulla è solo sporcizia creatosi da qualche errore di criptazione del programma sul modem

Una volta decriptato il file di configurazione vi troverete davanti a un file di testo strutturato per sezioni, che contiene tutti comandi che il modem utilizza all’avvio per configurare l’hardware, i servizi, le periferiche e i permessi.

Per attivare un utente con ruolo root e quindi avere accesso alla shell interna, la cosa più semplice è copiare la riga dell’utente Administrator, che è quello di cui conosciamo la password (di default admin), dare un nuovo nome all’utente copiato (ad esempio r00t) e modificare il ruolo da Administrator a root nel file user.ini.

Ricordiamo a tal proposito che  il nome utente root vero e proprio, essendo l’amministratore del sistema linux sottostante, resta ovviamente riservato e non può essere utilizzato.

Purtroppo però dalla versione 1.0.4, il firmware non accetta più valori di user con ruolo root. Eventuali utenti di questo tipo vengono eliminati. Per aggirare questa ulteriore protezione aggiungiamo manualmente un ruolo che abbia gli stessi diritti del ruolo root:

Guida passo passo allo sblocco

  1. Una volta decriptato il file aggiungete questi due user nella sezione mlpuser.ini:
    add
    name=Unlock
    password=_CYP2_53e2ac63e7b839c0708ec54912d3a36c87d6655ade7089b8
    role=BHSAdmin hash2=d77b2bd8ab60bf664ac7d6151215b9f4 crypt=GiD5FRyGAVFGI


    add name=R00t
    password=_CYP2_53e2ac63e7b839c0708ec54912d3a36c87d6655ade7089b8 role=ALL
    hash2=d77b2bd8ab60bf664ac7d6151215b9f4 crypt=GiD5FRyGAVFGI

     
  2. Cercate questo testo e modificate da disabled ad enabled
    modify name=TELNET state=disabled natpmweight=10
    modify name=FTP state=disabled natpmweight=10

  3. Cercate questo testo nella sezione cwmp.ini e modificate da full a read-only
    config state=enabled mode=full periodicInform=disabled periodicInfInt=43200 sessionTimeout=60 noIpTimeout=180 maxEnvelopes=1 connectionRequest=enabled connectionReqAuth=digest bootdelayrange=0 persistentSubscription=enabled connectionReqThrotNumber=1 connectionReqThrotTime=0 activeNotifThrotTime=0 maxWriteBufferSize=4096 showPasswords=enabled

Terminate queste operazioni avrete il vostro nuovo file di configurazione  è pronto per essere caricato nuovamente nel modem.

Spiegazione estensiva modifica n.3
Settando il cwmp in read-only renderete il modem ugualmente accessibile dal gestore, ma con la particolarità che esso non potrà effettuare alcun comando (reset configurazione, aggiornamenti firmware). Così facendo, saranno tranquillamente visualizzabili i propri dati dalla app MyTimFisso in remoto senza alcun problema, esclusa la non possibilità di eseguire comandi in remoto quali per esempio il riavvio o lo spegnimento del wifi. 

La procedura è la seguente

  1. Criptate il file user.ini con il comando SSL sopra indicato, otterrete il nuovo user_config.ini;
  2. Caricare il file config_user.ini da interfaccia TIM dal menù Manutenzione;
  3. Il modem si riavvierà;
  4. Accedete in FTP al modem (con un qualsiasi client FTP come FileZilla o WinSCP)
    IP: quello che usate per accedere all’interfaccia, di norma 192.168.1.1
    User: Unlock
    Password: root
  5. Sovrascrivete il file security.cfg con il mio file presente nel repository;
  6. Ricaricate nuovamente lo stesso file config_user.ini precedentemente criptato da interfaccia TIM dal menù Manutenzione;
  7. Il modem si riavvierà.

A termine della procedura avrete accesso con privilegi root al modem

Nome utente: R00t

Password: root

Da questo momento avete accesso alla shell interna, e avendo disattivando la telegestione, siete finalmente “possessori” del vostro modem e potete usarlo al massimo delle sue potenzialità.
Si specifica che questa procedura non arreca cambiamenti all’interfaccia del modem, è normale che nella pagina del login rimanga come unico utente di accesso l’Administrator, quello è un limite della pagina e non può essere modificato!

Seguiranno nuove guide per spiegarvi come effettuare modifiche specifiche alla configurazione, quali il routing, i server DNS, il fuso orario, le modalità only bridge, le sessioni PPP, il WiFi, e altro ancora !

Vi invitiamo a partecipare al topic ufficiale dell’articolo sul forum, in cui potete scrivere anche in caso di dubbi o domande.

 

Copyright 2017 Tutti i diritti riservati.
La presente guida non può essere copiata, modificata, distribuita, con alcun mezzo senza l’esplicita autorizzazione dell’autore e dello staff de ilpuntotecnicoeadsl.com

 

Ansuel

Un ragazzo a cui piace indagare sul funzionamento di alcuni apparati network e su come sfruttarli al massimo delle loro possibilità. Interessato a tutto il panorama tecnologico in generale dall'hardware fino al software.

Altri articoli

29 Responses to Sblocco Smart Modem TIM Technicolor TG789 vac (AGTOT)

  1. natalinux ha detto:

    semplicemente favoloso

  2. giulio ha detto:

    salve,
    appena lancio il programma ho il messaggio d’errore indicante che non trova il file openssl.cnf

    WARNING: can’t open config file: /usr/local/ssl/openssl.cnf

    utilizzo windows 10 64 bit

    grazie

  3. Mario ha detto:

    Ho creato un account sul forum ma non posso né vedere né commentare il thread, quindi scrivo qui: come aggiorno il firmware al 1.0.4? Non è fatto esclusivamente in telegestione dal 187? E se disattivo l’accesso a loro, dove trovo poi io i firmware da flashare?

  4. Andrea ha detto:

    Purtroppo non c’è verso di entrare con ftp nel router per modificare il file .cfg prendo sempre un errore in fase di accesso. Errore 530

    solo ogni tanto riesco ad entrare ma non fa molto oltre al solo listing dei file, avete suggerimenti?

    Grazie
    Andrea

  5. […] avervi guidato nello sblocco di questo dispositivo, con questa guida sarà possibile convertire il modem, in router puro per utilizzarlo come access […]

  6. Simone ha detto:

    io ne ho 2 uno tim v.1.0.4 e l’altro uguale fastweb in comodato,per sblocco cosa si intende?avere la GUI non brand degli operatori?vorrei iniziare a fare dei test con quello fastweb sempre fastgate techicolor 789 v2 vac è possibile?
    grazie.

  7. Antonio Musarra ha detto:

    Ciao.
    Sapresti dirmi perche il comando dig -x 192.168.1.1 sul mio router mi restituisce l’FQDN in questo modo modemtim.homenet\.telecomitalia\.it.?
    Modello Router AGCOMBO – AGTOT_1.0.4

    Grazie,
    Antonio.

  8. Carmelo ha detto:

    Buongiorno,
    innanzitutto complimenti per la guida.
    Ma da dove è possibile cambiare i DNS di default?
    Ed inoltre, le credenziali di accesso R00t sono utilizzabili esclusivamente tramite ssh e telnet o anche tramite la pagina di gestione del modem?
    Grazie mille

  9. Paolo ha detto:

    Grande!!
    Unica richiesta è salvato anche la password di accesso in questo file, perché ho trovato diverse righe con la scritta “password” nella sezione [ mlpuser.ini ], ma non capisco se siano da decriptare o meno.

    Grazie

  10. Ermanno ha detto:

    Ho appena acquistato uno scolapasta per sostiruire il mio vecchio modem che si pianta quando fa troppo caldo, l’ho collegato e quindi è stato aggiornato alla versione 1.0.6, nessun problema con lo sblocco. L’unico appunto è che non serve caricare il security.cfg di belgacom in repository, io mi sono connesso in ftp dopo aver caricato la prima volta il config_user.ini ho scaricato il security.cfg del 1.0.6 e ho solo cambiato le seguenti due righe:

    — security.orig 2017-07-27 11:32:09.716599713 +0200
    +++ security.hack 2017-07-27 11:30:57.309631786 +0200
    @@ -120,7 +120,9 @@
    rTechnicalSupport;SuperUser;Any service and any channels from WAN
    sAP8;anyservice
    rAdministrator;TechnicalSupport;Any service and any access from LAN/Local origin only
    -sAP12;anyservice
    +sAP9;anyservice
    +rALL;root;ALL
    +sanyaccess;anyservice
    rBHSAdmin;SuperUser;BHS Admin level role
    sanyaccess;SP1
    sanyaccess;SP2

  11. Paolo_Pd ha detto:

    Interessante, però volevo9 capire una cosa se è possibile: il file user.ini ha una voce che si chiama [hostmger.ini] nella quale sono immagazzinate, nel mio, circa 300 righe di accesso e tutte con MAC adress diverso. La domanda che mi son posta è: sono tentativi di intrusione (che non credo) oppure sono registrazioni degli accessi che effettuo con due pc, nei quali sono installati Debian. Infatti tutte le righe riportano:
    –>host_type=Generic host_name=debian-2 user_friendly_name=debian-2 dns_name=debian-2 type=L3-IP interface=”” ip_intf=IP.Intf.LocalNetwork user_set=no<—

    • Ansuel ha detto:

      il modem registra gli accessi evviva la privacy…
      e tanto per dirti manda tutto alla telegestione quindi evviva la privacy x2

      • Paolo_Pd ha detto:

        Grazie della pronta risposta, quindi non c’è modo di limitare la registrazione, ad esempio in 10 righe? Ho come l’impressione che all’aumentare delle righe la lentezze dell’apertura della schermata del modem sia sempre più lenta. Quindi, se non ho capito male la procedura su esposta è una maniera *gentile* per essere più riservati, però mi sorge un dubbio, ovvero, se la TIM vuole aggiornare per aumentare la banda a XXX Mbit/sec quale possibilità avrei per poterne usufruire?

        Grazie

  12. Paolo_Pd ha detto:

    Scusa, ma per la versione 1.0.6 c’è una procedura per lo sblocco??

    Grazie

  13. Paolo_Pd ha detto:

    Allora, da un prova fatta con la 1.0.6, sembra, dico sembra, che la procedura per la 1.0.4 per decriptare e re-criptare sia andata a buon fine. Devo solo controllare che il modem non faccia qualche scherzo. Poi ti saprò dire.
    L’unica cosa che mi dispiace, da quello che ho letto in giro è che la versione 1.0.6 non ha più la possibilità di avere un menù più approfondito.

  14. Paolo_Pd ha detto:

    Allora la prova è andata buon fine, avevo infatti preso alcuni voci (quelle relative alla sezione [hostmgr] del file user.ini della versione 1.0.2 e incollate in quello della 1.0.6 che sono state riconosciute.
    Il menu approfondito era quello che si otteneva con la sequenza: http://192.168.1.1/cgi/b/ST/?be=0&l0=1&l1=-1

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*