weil die Frage nach dem ssh-Passwort im fischertechnik Thread aufkam:
Username: ft
Passwort: fischertechnik
war leicht zu raten
Gruß
Torsten
Auf TXT 4.0 per ssh einloggen
Forumsregeln
Bitte beachte die Forumsregeln!
Bitte beachte die Forumsregeln!
Auf TXT 4.0 per ssh einloggen
Hallo,
weil die Frage nach dem ssh-Passwort im fischertechnik Thread aufkam:
Username: ft
Passwort: fischertechnik
war leicht zu raten
Gruß
Torsten
weil die Frage nach dem ssh-Passwort im fischertechnik Thread aufkam:
Username: ft
Passwort: fischertechnik
war leicht zu raten
Gruß
Torsten
-
Bastelklausi
- Beiträge: 134
- Registriert: 03 Jun 2020, 19:32
Re: Auf TXT 4.0 per ssh einloggen
Hallo zusammen,
ich hab das vorhin mal ausprobiert. Das Login klappt damit. Man befindet sich nach dem Login in einem Dateibrowser. Hier kann man ab dem Directory des Users "ft" die Dateien und Verzeichnisse sehen, die man mit Robo Pro Coding hochgeladen hat und die schon vorab eingerichtet waren. Löschen kann man aber nichts, weil dazu die Berechtigung fehlt. Das wäre jedoch nützlich, weil man dann die Dateien und Verzeichnisse, die man nicht mehr benötigt, schnell löschen könnte. Das ginge einfacher als über das TXT 4.0 Display.
Gibt es noch andere Erfahrungen?
Beste Grüße
Klaus
ich hab das vorhin mal ausprobiert. Das Login klappt damit. Man befindet sich nach dem Login in einem Dateibrowser. Hier kann man ab dem Directory des Users "ft" die Dateien und Verzeichnisse sehen, die man mit Robo Pro Coding hochgeladen hat und die schon vorab eingerichtet waren. Löschen kann man aber nichts, weil dazu die Berechtigung fehlt. Das wäre jedoch nützlich, weil man dann die Dateien und Verzeichnisse, die man nicht mehr benötigt, schnell löschen könnte. Das ginge einfacher als über das TXT 4.0 Display.
Gibt es noch andere Erfahrungen?
Beste Grüße
Klaus
Re: Auf TXT 4.0 per ssh einloggen
Hallo Klaus,
wenn Du Dich per ssh auf dem TXT 4.0 einloggst bist Du nicht in einem Dateibrowser, sondern in einer Unix-Shell (bash bzw. ash), mit den Berechtigungen des Users "ft".
Mit diesen Berechtigungen kann man sich weitgehend "lesend" im ganzen System umschauen und schon recht viel darüber herausfinden.
Verändern kann man nicht viel, da der User "ft" nicht viele Schreibrechte hat. Dafür benötigt man den root-Zugang, den fischertechnik allerdings nicht offiziell für Anwender geöffnet hat. Das war beim TXT noch anders. Dort war der root-Zugang noch offiziell dokumentiert. Beim TXT 4.0 muss man sich die Hintertüren selbst suchen und es ist nicht ganz so einfach hier Admin zu werden (es ist aber möglich ... mehr sage ich an dieser Stelle nicht dazu ... vielleicht gibt das mal einen ft:pedia Artikel
).
Viele Grüße
Torsten
wenn Du Dich per ssh auf dem TXT 4.0 einloggst bist Du nicht in einem Dateibrowser, sondern in einer Unix-Shell (bash bzw. ash), mit den Berechtigungen des Users "ft".
Mit diesen Berechtigungen kann man sich weitgehend "lesend" im ganzen System umschauen und schon recht viel darüber herausfinden.
Verändern kann man nicht viel, da der User "ft" nicht viele Schreibrechte hat. Dafür benötigt man den root-Zugang, den fischertechnik allerdings nicht offiziell für Anwender geöffnet hat. Das war beim TXT noch anders. Dort war der root-Zugang noch offiziell dokumentiert. Beim TXT 4.0 muss man sich die Hintertüren selbst suchen und es ist nicht ganz so einfach hier Admin zu werden (es ist aber möglich ... mehr sage ich an dieser Stelle nicht dazu ... vielleicht gibt das mal einen ft:pedia Artikel
).Viele Grüße
Torsten
-
MasterOfGizmo
- Beiträge: 2720
- Registriert: 30 Nov 2014, 07:44
Re: Auf TXT 4.0 per ssh einloggen
Kommt drauf an, was für ein PC-Tool er nimmt. Wenn er ein SCP-artiges Tool nimmt dürfte das für ihn schon wie ein Dateibrowser aussehen.
Und nun sag' schon, wie Du root-Rechte erlangst. Erst anteasern und dann geheimhalten zählt nicht ....
Und nun sag' schon, wie Du root-Rechte erlangst. Erst anteasern und dann geheimhalten zählt nicht ....
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32
Re: Auf TXT 4.0 per ssh einloggen
@MoG: Schau Dir mal an, mit welchen Parametern die SD-Karte gemountet wird ... und was das für Möglichkeiten bietet (Stichwort suid-bit).
-
MasterOfGizmo
- Beiträge: 2720
- Registriert: 30 Nov 2014, 07:44
Re: Auf TXT 4.0 per ssh einloggen
Ich habe gar keinen TXT 4.0 ... IBood hat ja "nur" einen Smarttech geliefert
Aber das klingt ja zumindest nicht nach einer Lücke, die sich leicht remote ausnutzen lässt, sondern nur mit physischem Zugang zum TXT.
Ist denn überhaupt ein Root-Passwort gesetzt? Und wird das wieder dynamisch generiert?
Aber das klingt ja zumindest nicht nach einer Lücke, die sich leicht remote ausnutzen lässt, sondern nur mit physischem Zugang zum TXT.
Ist denn überhaupt ein Root-Passwort gesetzt? Und wird das wieder dynamisch generiert?
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32
-
Bastelklausi
- Beiträge: 134
- Registriert: 03 Jun 2020, 19:32
Re: Auf TXT 4.0 per ssh einloggen
Hallo zusammen und frohes Fest,
sorry, ich war nicht per ssh auf dem TXT 4.0, sondern mit dem Chrome Browser. Der fragt auch nach User/Password. Auch hier ist ft/fischertechnik einzugeben. Man landet dann im "Dateibrowser", so wie oben beschrieben.
Ich habe mich mit dem Kitty ssh client auf den TXT 4.0 verbunden. Dazu muss vorher auf dem TXT 4.0 der Fernzugriff aktiviert werden. Man landet dann in der Unix Shell und kann sich mit Kommandos wie "cd" (change directory), "ls" (list files) usw. durch die "Festplatte" durchhangeln. Schreibzugriffe sind ganz überwiegend nicht zugelassen; man sieht das wenn man mit "ls -l" eine detaillierte Dateiliste anzeigen lässt. Der User "ft" kann alles lesen (r) oder ausführen (x) aber nichts schreiben (-). Falls mal eine Datei/Verzeichnis geändert werden darf, steht dort ein (w). Also alles genauso wie Torsten es beschrieben hat; danke Torsten!
Beste Grüße
Klaus
sorry, ich war nicht per ssh auf dem TXT 4.0, sondern mit dem Chrome Browser. Der fragt auch nach User/Password. Auch hier ist ft/fischertechnik einzugeben. Man landet dann im "Dateibrowser", so wie oben beschrieben.
Ich habe mich mit dem Kitty ssh client auf den TXT 4.0 verbunden. Dazu muss vorher auf dem TXT 4.0 der Fernzugriff aktiviert werden. Man landet dann in der Unix Shell und kann sich mit Kommandos wie "cd" (change directory), "ls" (list files) usw. durch die "Festplatte" durchhangeln. Schreibzugriffe sind ganz überwiegend nicht zugelassen; man sieht das wenn man mit "ls -l" eine detaillierte Dateiliste anzeigen lässt. Der User "ft" kann alles lesen (r) oder ausführen (x) aber nichts schreiben (-). Falls mal eine Datei/Verzeichnis geändert werden darf, steht dort ein (w). Also alles genauso wie Torsten es beschrieben hat; danke Torsten!
Beste Grüße
Klaus
Re: Auf TXT 4.0 per ssh einloggen
Hallo MoG,
Ich denke auch, dass die Lücke nicht so gravierend ist (mir fällt jetzt kein Szenario ein, wo sich das remote ausnutzen liesse).
Es ist ja durchaus nützlich lokal root-Rechte erlangen zu können, z. B zum Anpassen der Bluetooth MAC-Adresse an die blaue LNT Fernsteuerung
... und ja, es ist ein (mir unbekanntes) root-Passwort auf dem TXT 4.0 gesetzt. Ich weiss allerdings noch nicht, ob es dynamisch generiert ist.
Gruss
Torsten
PS: Das auf dem TXT 4.0 konfigurierte u-boot environment für den stm32mp1-t1000 sieht recht interessant aus.
Ich denke auch, dass die Lücke nicht so gravierend ist (mir fällt jetzt kein Szenario ein, wo sich das remote ausnutzen liesse).
Es ist ja durchaus nützlich lokal root-Rechte erlangen zu können, z. B zum Anpassen der Bluetooth MAC-Adresse an die blaue LNT Fernsteuerung
... und ja, es ist ein (mir unbekanntes) root-Passwort auf dem TXT 4.0 gesetzt. Ich weiss allerdings noch nicht, ob es dynamisch generiert ist.
Gruss
Torsten
PS: Das auf dem TXT 4.0 konfigurierte u-boot environment für den stm32mp1-t1000 sieht recht interessant aus.
-
MasterOfGizmo
- Beiträge: 2720
- Registriert: 30 Nov 2014, 07:44
Re: Auf TXT 4.0 per ssh einloggen
Achnee, sag bloß. Mein oller Hack für die Fernbedienung läuft auch auf dem TXT-4.0? Sehr witzig. Das offizielle Statement zu dem Thema lautet ja wieder "nee, geht nicht". Immerhin beweist das, dass sie hier im Forum nicht mitlesen.
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32