[ Tutorial ] Desempolvar nuestros queridos Thomson TCW710

**Judokan** · 21/10/2010, 10:41

Hola a todos !!!

Hola compañeros ante todo deciros que este tutorial es solo sobre el estudio de fallos de seguridad tanto de software o hardware en los cablemodem thomson.
Antes de empezar queria dar las

por toda la ayuda al Gran Maestro Duna y como no a xk3r por su forma de ponerlos en modo emergencia.

Lo primero que necesitamos es:

* Un thomson ( como no )
* un RS232 cable serie

Bits por segundo: 115200
Bits de datos: 8
Paridad: Ninguno
Bits de parada: 1
Control de flujo: Ninguno

* tener instalado el net-snmp-5.4.2.1-1.win32
* Hyperterminal, tera term o putty
* direccion de ip en modo manual tal que asi:

Direccion ip: 192.168.100.10
mascara: 255.255.255.0
puerta de enlace: 192.168.100.1

Thomosn TCW710

Una vez hecho esto y teniendo todo bien arrancamos el modem, nos fijamos en el juego de luces y esperamos hasta el final antes de que salga el log en pantalla observando esto en las luces del modem:

* Dos lueces ( una en cada esquina )
* Parpadeo intermitente ( todas las luces )
* Parpadeo intermitente ( todas las luces )
* Parpadeo fjio
* Arranca con la primera luz de la derecha

Pues bien teneis que hacer un corto entre patilla 1 y 2 de la flash ( abajo a la derecha las dos primeras mirando el modem de frente ) desde:

* Que se ponen las dos luces ( una en cada esquina ) hasta el primer parpadeo intermitente

Despues quitar el puente y si todo ha ido bien las luces empezaran a parpadear y ya lo teneis en modo emergencia, despues de esto le vais a enviar estos oids para activarle la consola:

* snmpset -v2c -c gesCM1 192.168.100.1 1.3.6.1.4.1.4413.2.99.1.1.1.2.1.2.1 s password
* snmpset -v2c -c gesCM1 192.168.100.1 1.3.6.1.4.1.4413.2.99.1.1.1.1.0 i 2
* snmpset -v2c -c gesCM1 192.168.100.1 1.3.6.1.4.1.4413.2.99.1.1.2.99.2863.105.1.0 i 2

Ahora mismo ya estareis viendo la consola activada, ahora solo falta activarla por lo que os teneis que ir e escribir esto en vuestro terminal esto:

* cd thomson
* console on

Una vez hecho todo esto lo siguiente que vamnos a hacer es limpiar el perm por si tuviermos alguna configuracion mala:

* cd non-vol
* cd bpi
* clear_device

Le decis a todo que si y despues arrancais el modem de nuevo, ahora el modem no pasara del inicio y vereis como entra solo en modo emergencia ( por que habra sido ???? )
Ahora solo falta subirle los certificados y la mac, para ello abris el IPFULL by Falcon y se las subis igual que un webstar 2320r2 se tratase osea:

* Pestaña Snmp - Tftp
* Obtener decimal ---> modem EPR2320r2 --> Calcular
* Factory modem ---> Activar
* Certificados ---> Subir al CM ---> 2320r2

Cuando termineis y ya por ultimo de lo ultimo os volveis a vuestro terminal y escribis esto:

* cd thomson
* euro_bpi_copy true ( esto solo lo tenemos que hacer 1 vez ya que al ponerlo en modo emergencia el perm se corrompe y tambien lo terminamos de cepillar despues de enviarle el clear_device para una buena limpieza )

Con esto ya hemos terminado, cuando vovais a conectar el modem a la red vereis como lo primero que hace es actualizar el Firmware, se volvera a reiniciar y si todo ha ido bien ya lo tendreis en linea. Lo bueno de ponerlo en modo de emergencia es que una vez que lo hayais puesto ya se queda activada la KEY FM para siempre solo teneis que enviar la oid de password para ponerlo y no tener que hacer el corto nunca mas.

WARNING: si se os ocurre subir el firmware podeis dejar el modem muerto ya que da error por la modificaion del codigo,no arranca a no ser que tengais el boot modificado ( WILLEM ),veais el boot y poder pararlo con la P por lo que la consola escupe esto:

* One or more of the settings groups was missing, possibly as a result of a code
upgrade.
*

Thosmon TWG850

Para este modelo es lo mismo que su antecesor con la difencia del juego de luces:

* Primera, seguna y cuarta fija
* Primera fija, seguna y cuarta intermitentes ( 9 veces y a la 10 vez se queda fija y arranca )

Bueno pues el corto lo teneis que hacer en el numero 9 de parpadeo, si lo habeis hecho bien ( que a lo mejor no sale a la primera ) en este modelo el modo de emergencia se quedan casi todas las luces fijas y no intermitentes como su hermano pequeño. Despues de esto haceis lo mismo que para el 710.

Mi mas cordiales saludos a todo el foro !!!
Un saludo y espero de que os valla todo bien.

PD: hasta la fecha no lo he podido hacer andar ya que antes de registrarse pide al dhcp el la configuracion EMTA que supongo que sera de telefonia y decir que la forma de ponerlos en modo emergencia funciona en "TODOS LOS THOMSON"

**echostardigital** · 22/10/2010, 07:45

Me dejas sin palabras judokan

de verdad muchas

a todos los que perdeis horas y horas de investigacion para ayudar a los demas

de verdad.

ahora falta el certithomson, jo jo jo

**RuLaS** · 22/10/2010, 20:10

Perfecto, esto se sabia que iva a llegar

saludos

**cadillack2** · 23/10/2010, 12:19

genial judokan

agradecido por tu aporte
a probar se a dicho y como bien dices desempolvar juajuajua

tambien me uno a ti en dar las

a don duna y xk3r

un saludo a todos en general..

**jagus** · 24/10/2010, 20:51

Desisto acabo de entrar yo, en estado de emergencia

seguiremos intentando en otro momento

muchas

por el tuto Saludos

**mijaenlla** · 24/10/2010, 21:17

Hola ,felicidades por el gran aporte a todos.
dudas; sabeis si hay alguna foto de donde se conecta el de serie y donde se hace el corto entre patilla 1 y 2 de la flash ,

no quisieras estropearlo antes de tiempo.
Saludos

**duna** · 25/10/2010, 20:46

judokan añado info para los ke no tengan cable serial hacerlo por snmp

Comandos nonvol:
ClearDevice 1.3.6.1.4.1.4413.2.99.1.1.2.4.1.2.10.0 i 1
Flush 1.3.6.1.4.1.4413.2.99.1.1.2.4.1.2.9.0 i 1
DelExtraData 1.3.6.1.4.1.4413.2.99.1.1.2.4.1.2.8.0 i 1
RestoreDefaults 1.3.6.1.4.1.4413.2.99.1.1.2.4.1.2.3.0 i 1
ControlSection 1.3.6.1.4.1.4413.2.99.1.1.2.4.1.2.2.0 i x
ControlGroup 1.3.6.1.4.1.4413.2.99.1.1.2.4.1.2.1.0 i x

-ClearDevice: borrar todo el contenido de perm y o dyn
-Flush: borra grupos no reconocidos
-DelExtradata: borra datos de un grupo no reconocidos
-RestoreDefaults: restaura los valores por defecto en perm y o dyn segun valor en section
-ControlSection: determina la zona: perm, dyn o ambos
1=perm
2=dyn
3=perm y dyn
-ControlGroup: determina el grupo a tratar.
0=todos

BPI EBPI (Certificados):
Los thomson a diferencia de otros cm usan dos BPI
-BPI normal docsis US
-EBPI euro docsis
El 710 por default usa el annex en modo dual, osea para euro y us docsis.
Por esto chekea ke esten los dos BPI.
Si estais en zona dossis o en euro docsis tendreis ke cambiar el annex para no tener ke usar los dos BPI
OID cm_annex mode
1.3.6.1.4.1.4413.2.99.1.1.2.99.2863.205.8.0 i x
dnd x es el interger a poner

1 = annex A europa
2 = annex B us
3 = annex C (no usar)
4 = annex others (dual mode)

Si poneis "1" tendreis ke usar euro BPI
Si poneis "2" tendreis ke usar BPI normal
Si poneis "4" tendreis ke usar ambos BPIs

OIDs certificados EBPI euro

Son de escritura y lectura
BpiPublicKey = 1.3.6.1.4.1.4413.2.99.1.1.2.99.2863.205.3.0
BpiPrivateKey = 1.3.6.1.4.1.4413.2.99.1.1.2.99.2863.205.4.0
RootPublicKey = 1.3.6.1.4.1.4413.2.99.1.1.2.99.2863.205.5.0
CM = 1.3.6.1.4.1.4413.2.99.1.1.2.99.2863.205.6.0
CA = 1.3.6.1.4.1.4413.2.99.1.1.2.99.2863.205.7.0

Para grabar los certs o el annex mode a flash usar esta oid despues y repetirla varias veces

Necesitas estar Registrado y Logueado para ver el contenido...

**duna** · 25/10/2010, 20:59

Lo ideal seria saber ke pin dessoldar o hacer corto para ke no pueda escribir en la flash.
Asi no pondria el perm en defaul y no perderlo
Datasheet flash 710

Necesitas estar Registrado y Logueado para ver el contenido...

**Judokan** · 25/10/2010, 21:56

A ver si el compañero Falcon nos lee y lo añade en alguna actualizacion de su magnifico software.

**duna** · 25/10/2010, 22:08

Necesitas estar Registrado y Logueado para ver el contenido...

Seria lo suyo de un plumazo los dos BPI

**Judokan** · 25/10/2010, 22:15

Eso mismo digo yo.

**TUN-TUN** · 26/10/2010, 02:35

muy bueno esto si senor le ponemos chincheta a mas de uno le va a servir saludos

**conelcarro** · 26/10/2010, 04:37

buenas gran trabajo yo estoi hecho un lio haber si me puedo explicar yo no tengo cable serie entonces lo tengo k hacer como dice duna ahora bien mi pregunta es cual es la flash la de abajo de la tarjeta inalambrica k como su nombre dice flash en el mismo circuito o la otra k pone hinix o algo parecido i hacer el puente en la patilla 1 i 2 se refiere al alado de la mueca k tiene el circuito no .

i un saludo.

**Judokan** · 26/10/2010, 11:33

AVISO: por lo que segun he vuelto a probar el annex debe de estar en modo dual osea:
snmpset -v2c -c gesCM1 192.168.100.1 1.3.6.1.4.1.4413.2.99.1.1.2.99.2863.205.8.0 i 4
snmpset -v2c -c gesCM1 192.168.100.1 1.3.6.1.4.1.4413.2.99.1.1.2.1.1.0 i 1
snmpset -v2c -c gesCM1 192.168.100.1 1.3.6.1.4.1.4413.2.99.1.1.2.1.1.0 i 1
snmpset -v2c -c gesCM1 192.168.100.1 1.3.6.1.4.1.4413.2.99.1.1.2.1.1.0 i 1
Sino el modem entra en bucle de actualizacion de software y de ahi no pasa.
Por otra parte por si ha alguien no le llega a registrar probar a cambiarle la mac de la ip_stack3 haciendo lo siguiente:
cd n
cd ha
mac_address 3 xx:xx:xx:xx:xx:ii ( ponesis la misma mac del ip_stack1 donde la ii le sumais 2 )
write
Espero haberme sabido explicar.
Saludos

**conelcarro** · 26/10/2010, 23:54

alguien me puede decir si la flash es la k esta debajo de la tarjeta inalambrica o es la k esta justo al lado .

i un saludo

Hola No registrado!!

Hi No registrado!!

Tema: [ Tutorial ] Desempolvar nuestros queridos Thomson TCW710

Herramientas

[ Tutorial ] Desempolvar nuestros queridos Thomson TCW710

saludos

Permisos de publicación

Opciones

Enlaces Relacionados

Acerca de

Social Media