Ремонт: Ноутбуков, Компьютеров https://vlab.su/ |
|
Toshiba Portage R500 (fmusy1) Пароль, генератор https://vlab.su/viewtopic.php?f=54&t=103563 |
Страница 1 из 1 |
efim123 [ 08 июн 2020, 04:07 ] | |
Заголовок сообщения: | Toshiba Portage R500 (fmusy1) Пароль, генератор [РЕШЕНО] |
Всем доброго времени суток. Задача написать кряк response code для разблокировки бизнес серий ноутбуков ну или найти человека который поможет мне его снять. История такая: Имею два ноутбука Toshiba Portage R500 хоть и старые но интересные. 1. Модель PPR50E-03202JRU шел в комплекте с zif ssd интерфейс ide pata. 2. Модель PPR50U-07Y0BR02 шел в комплекте с обычным sata ssd И все бы хорошо но у первого умер ssd и я решил заменить его на обычный sata, спаял шлейф, изучил платы, допаял конденсаторы по линии, перекинул питание с 3,3 на 5v. Подключаю диск но ноут его не видит, пишет ошибка HDD. Перепроверил платы, прозвонил все до моста, нареканий нет. Решил что проблема в программной части т.к. мосты одинаковые. Начал с подмены BIOS 25PE16WP от модели с sata зашил его в zif версию прямо с серийными, результата 0. Снял следующую eeprom 24c02wp та что стоит над южным мостом, результата 0. Нашел еще одну eeprom 95010wp, как оказалось от сетевой карты, расположена на обратной стороне платы рядом с мостом, результата 0. Добрался до eeprom 24c08wp, расположена в районе EC/KBC, содержимое похоже на кусок зашифрованного файла, заменил и тут сюрприз, ноут попросил пароль со следующей надписью: ALERT: System Protection Failure Password=? Ну думаю не беда, дампы ведь всего сохранил, да и паролей на ноутбуках не стояло. Зашиваю все дампы на свои места, запаиваю микросхемы, запускаю и понимаю что попал , Требует пароль! Погуглив денек понимаю что во всем виноват EC/KBC. Нашел хитрый режим сброса c Response Code когда нужно нажать последовательно клавиши в следующем порядке: CTRL, TAB, CTRL, ENTER. Выводится серийник и код запроса, на что ему нужно написать ответ в виде Response Code. Самое интересное что у мульта там щелкнуло что он заблокировался, паролей ведь не стояло. Далее решил закинуть дамп биоса в гидру и посмотреть как происходит проверка пароля, но увы такого функционала нету. Погуглив еще интернет на предмет готового генератора наткнулся на интересную презентацию http://q3k.org/slides-recon-2018.pdf, Два парня из Польши провели хитрую атаку на EC/KBC сняв дамп прошивки и получили заветный алгоритм генерации пароля с ключами. Еще один интересный ресурс https://hackaday.io/project/723/logs, все те же лица только в процессе перед презентацией. Конечно готового кода там нет, но зато есть методика! Я решил повторить их путь, все по пунктам: 1. Скачал биос для своей модели 2. Посмотрел, действительно сжат 3. Написал утилиту на c++ для работы с TBDECODE.DLL для распаковки BIOS (кому надо могу дать с исходниками). Ребята конечно приврали про 50 строк кода . 4. Сверил распакованный с дампом, функционал совпадает. Как ни странно я копал в верном направлении т.к. у нас все совпадало, просто я начал с другого конца. 5. Дошел до прошивки EC/KBC, даже архив S100_EC4X01_ENU.EXE с прошивкой EC для этих серий есть, но она там зашифрована. Вообщем нужны ключи шифрования для этой прошивки, либо нужно считать ее из EC/KBC (у меня установлена Renesas m306kafclrp, у ребят из Польши Renesas m306k9fclrp). Пароль для снятия дампа: 0xFF, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0x00. Также репозитории с софтом для снятия тут: https://github.com/q3k/m16c-interface и тут: https://code.hackerspace.pl/q3k/ec-prom-dump/ У меня увы нечем т.к. из программаторов только wizardprog 87i. Надеюсь найдутся люди кто поможет снять дамп, подойдет с этих ноутбуков: Список моделей: Portege (A30, A600, M100, M200, M300, M400, M700, M750, M780, R30-A, R100, R200, R400, R500, R600, R700, R830, R930, S100, Z830, Z930, Z10T-A, Z20T-B, Z30T-A/B/C, X20W-D, X30-D) Qosmio (F20, F30, F60, F750, G10, G20, G30, G40, G50) Satellite (M30, R10, R20, R630, R830, R840, R850, R930, Z930, U200, U920, Z30-A) Satellite Pro (A30-D, A40-D, A50, A120, M10, M30, R40-D, R50-B/C/D, R840, R850, R950, S200, S300, S300L, S500, U200) Tecra (A3X, A9, A10, A11, A40-D, A50, A50-D, C50-C, M1, M2, M3, M4, M5, M7, M9, M10, M11, R840,R850, R940, R950, S3, S4, S5, S10, S11, X40-D, W50-A, Z40T-A/B/C, Z50-A/B/C/D) WT310, Kira, Libretto (U100, W100) С меня генератор в общий доступ ну или по договоренности, а то эти ребята походу уже не выложат т.к. им занесли . |
next6 [ 08 июн 2020, 09:03 ] | |
Заголовок сообщения: | Re: Toshiba Portage R500 (fmusy1) Пароль, генератор |
kakoi Dump ec ili bios? |
evserv [ 08 июн 2020, 10:14 ] | |
Заголовок сообщения: | Re: Toshiba Portage R500 (fmusy1) Пароль, генератор |
1. По теме распаковки биос...нет там 50 строк, да делал так лет 10 назад. Вообще есть более продвинутая утилита написанная Николаем: https://github.com/LongSoft/ToshibaComExtractor Там и исходник есть если интересно... 2. По теме экспериментов с еепром....ничего не даст так как он зашифрован и левую инфу вы туда не подсунете. После экспериментов вы получите правильно: ALERT: System Protection Failure, что говорит о том что еепром разрушен. 3. По теме ключей шифрования...а какой в них вам смысл да же если я вам их дам Алгоритм вам же не известен... 4. По теме презентации и всего остального...она написана таким образом что от ней мало толку в плане реверса и написания кейгена. И плюс кое где они дают не верную инфу да бы усложнить задачу тому, кто будет ее изучать P.S. Могу разблокировать ваш бук через код после всех ваших экспериментов, но это будет не фри |
efim123 [ 08 июн 2020, 13:58 ] | |
Заголовок сообщения: | Re: Toshiba Portage R500 (fmusy1) Пароль, генератор |
next6 EC evserv Спасибо за помощь! |
Страница 1 из 1 | Часовой пояс: UTC + 4 часа |
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |