1
0
mirror of https://github.com/mbirth/wiki.git synced 2024-12-25 23:04:06 +00:00

New posts with new assets.

This commit is contained in:
Markus Birth 2015-02-24 01:37:23 +01:00
parent cfa8eb9e53
commit ac4a2f98bf
29 changed files with 728 additions and 0 deletions

BIN
assets/acer203tx1.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 57 KiB

BIN
assets/acer203tx2.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 66 KiB

BIN
assets/acer203tx3.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 66 KiB

BIN
assets/baycomwb2_5.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 36 KiB

BIN
assets/dbflash.pdf Normal file

Binary file not shown.

BIN
assets/dbflash_en.pdf Normal file

Binary file not shown.

BIN
assets/delllati.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 42 KiB

BIN
assets/fsclbe_1.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 36 KiB

BIN
assets/fsclbe_2.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 34 KiB

BIN
assets/fsclbe_3.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 26 KiB

BIN
assets/fsclbe_4.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 34 KiB

BIN
assets/fsclbe_5.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 41 KiB

BIN
assets/fsclbe_6.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 48 KiB

BIN
assets/hddrive2go.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 24 KiB

BIN
assets/macflooding.png Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 21 KiB

BIN
assets/primer.zip Normal file

Binary file not shown.

Binary file not shown.

BIN
assets/sonyv505.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 106 KiB

BIN
assets/sonyvaio.jpg Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 62 KiB

BIN
assets/sva.png Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 8.3 KiB

BIN
assets/wireshark.png Normal file

Binary file not shown.

After

Width:  |  Height:  |  Size: 54 KiB

View File

@ -0,0 +1,52 @@
---
title: Jamba Downloads
language: de
layout: default
created: 2009-04-11 22:06:49 +0200
updated: 2009-04-11 22:06:49 +0200
toc: false
tags:
- know-how
- hacking
- hardware
- jamba
---
Vor etlicher Zeit hatte ich mal 100,- € Guthaben bei Jamba gewonnen. Beim Versuch, ein Programm auf mein Samsung Z300
zu laden (das Z300 gibt's bei Jamba nur unter der T-Mobile-Bezeichnung *ZM60*), zeigte mir Jamba, dass mein Handy
angeblich keine Software downloaden könne. Der kleinere Bruder, das Z500, hingegen unterstützt das merkwürdigerweise.
Früher hatte es mal funktioniert, dass ich mir den Download-Link an mein Smartphone schicken lasse, und dann von dort
oder vom PC aus die .jad und .jar Dateien herunterlade - aber neuerdings kommt nur "*Ihr Handy unterstützt keine Spiele
- bitte suchen Sie sich stattdessen ein Logo aus:*" und ein paar Logos, die ich nicht mal unter Androhung von Gewalt
herunterladen würde.
Von einigen Experimenten mit einem P910i und Jamba hatte ich herausgefunden, dass Jamba nach dem UserAgent-String vom
Browser geht. (Für ein Opera auf dem PC ist das z.B. `Opera/9.00 (Windows NT 5.1; U; en)`.) Und wenn Jamba einen String
nicht erkennt, verweigert es den Download. Dies ist sicherlich auch dazu da, dass man die Spiele nur auf ein Handy
bekommt, von wo aus man sie nicht weiter verschicken kann. Wär ja auch doof, weil sonst könnte man ja die Software auf
ein neues Handy kopieren.
Also hab ich meine Geräte auf eine von mir präparierte PHP-Seite geschickt und mal die Browser-Strings gespeichert.
Hier ein paar:
* `SonyEricssonP910i/R5B SEMC-Browser/Symbian/3.0 Profile/MIDP-2.0`
* `SGH-Z300 SHP/VPP/R5 SMB3.1 SMM-MMS/1.2.0 profile/MIDP-2.0`
* `MOT-V3v/0E.42.08R MIB/2.2.1 Profile/MIDP-2.0 Configuration/CLDC-1.0 UP.Link/6.3.0.0.0`
Um das Z500 zu simulieren, habe ich den zweiten String in folgenden abgewandelt:
* `SGH-Z500 SHP/VPP/R5 SMB3.1 SMM-MMS/1.2.0 profile/MIDP-2.0`
Nimmt man jetzt einen Browser und stellt diesen UserAgent ein, bekommt man eine WML-Seite zum Download. In dieser
befindet sich dann auch der ersehnte Link zur `.jad`-Datei. Hat man diese heruntergeladen, findet man darin auch den
Link zur finalen `.jar`-Datei.
Das Z300 akzeptiert nun aber auch keine Java-Programme, die man per Bluetooth sendet, sondern nur welche, die per
WAP/GPRS heruntergeladen wurden. Dazu bietet sich [David Pye's FreeWap-Service](http://www.davidpye.com/index.php?page=freewap) an.
Wer es über seinen eigenen Server laufen lassen will, muss zusehen, dass die `.jar`-Dateien mit dem MIME-Typ
"`application/java-archive`" gesendet werden, statt "`application/octet-stream`". Das erreicht man beim
Apache-Webserver mit folgender Zeile in einer Datei `.htaccess`:
AddType application/java-archive .jar
Dann braucht man nur noch per GPRS auf den URL der `.jar`-Datei zuzugreifen und der Download startet.

View File

@ -0,0 +1,174 @@
---
title: Cisco Catalyst 2950
language: de
layout: default
created: 2009-06-05 09:54:04 +0200
updated: 2009-06-05 17:01:15 +0200
toc: false
tags:
- know-how
- hacking
- hardware
- cisco
- catalyst
---
MAC Adresstabelle
=================
Mit folgendem Befehl (im `enable` Modus) kann man sich den Zustand der MAC-Adresstabelle anzeigen lassen:
show mac-address-table count
Die Ausgabe sieht in etwa so aus:
~~~
Mac Entries for Vlan 1:
---------------------------
Dynamic Address Count : 89
Static Address Count : 0
Total Mac Addresses : 89
Total Mac Address Space Available: 8178
~~~
Laut [cisco.com](http://supportwiki.cisco.com/ViewWiki/index.php/The_circumstances_that_delete_the_learned_MAC_addresses_from_the_switch_MAC_table)
ist der normale Timeout einer MAC-Adresse 5min (=300 Sekunden). Während der STP-Erkennung ist der Timeout
15 Sekunden - das erklärt auch, warum die MAC-Adresstabelle nach Ändern der Topologie plötzlich leer ist.
MAC Flooding Angriff
====================
Üblicherweise schalten Switches bei überfüllter CAM-Tabelle (MAC <=> Port-Zuordnung) in eine Art Hub-Modus für
unbekannte MAC-Adressen, so dass man auf allen Ports ALLE Pakete bekommt, die an MAC-Adressen gehen sollen, welche
nicht in der Tabelle stehen. Dadurch wird das Mitsniffen von fremder Kommunikation möglich.
Dies ist nochmal genauer unter [tomshardware.com](http://www.tomshardware.com/forum/19910-42-switch-behavior-table-full#t74120) erläutert.
Demnach ändert sich für bereits bestehende Einträge der CAM-Tabelle nichts - diese werden weiterhin geswitcht.
Der genaue Ablauf ist auch nochmal unter [hakipedia.com](http://www.hakipedia.com/index.php/CAM_Table_Overflow)
erklärt. Dort wird auch gezeigt, wie man den Switch gegen diesen Angriff absichern kann.
Versuchsaufbau
--------------
![Versuchsaufbau]({{ site.url }}/assets/macflooding.png)
*IP305* und *IP110* sind VoIP-Geräte. Die *IP305* ist die Telefonanlage, die beiden *IP110* sind Telefone. Durch diesen
Aufbau ist gewährleistet, das jeglicher Verkehr zwischen Telefonanlage und Telefon durch den Switch geht. Die
Kommunikation unter den Telefonen bei erfolgtem Verbindungsaufbau dürfte direkt über den PoE-Switch abgewickelt werden.
Benutzte Software
-----------------
* [BackTrack 4](http://www.remote-exploit.org/backtrack.html) --- *insbes. das `macof`-Tool aus dem
[dsniff](http://www.monkey.org/~dugsong/dsniff/)-Paket zum Fluten der MAC-Tabelle*
* [PuTTY](http://www.chiark.greenend.org.uk/~sgtatham/putty/) oder [PuTTY Tray](http://haanstra.eu/putty/) --- *für
den Zugriff auf die Cisco-Konsole*
* [Wireshark](http://www.wireshark.org/) --- *zum Mitprotokollieren des VoIP-Verkehrs*
Vorbereitung
------------
* *BackTrack 4* in einer virtuellen Maschine auf dem *Angreifenden PC* booten (VM mit ca. 512MB oder mehr RAM anlegen,
ISO-Image als CD-Laufwerk einbinden; alternativ direkt das [VMware-Image](http://www.remote-exploit.org/backtrack_download.html) herunterladen)
* mit `root` / `toor` in BackTrack anmelden
* mit folgenden Befehlen die IP-Adresse einrichten: (die IP durch eine freie IP im Netz ersetzen)
~~~
/etc/init.d/networking start
ifconfig eth0 192.168.0.9
~~~
* am *Logging PC* das Programm *Wireshark* installieren und starten
* eine Überwachungs-Sitzung auf dem benutzten Netzwerk-Interface starten
* in der Filterzeile folgenden Filter angeben und Anwenden: `h225 || q931` (Unterlässt man dies, wird Wireshark durch
die MAC-Flut überlastet und man kann Stunden warten, bis die interessanten Pakete sichtbar sind.)
Durchführung
------------
* auf dem *Angreifenden PC* wird jetzt in der VM das Tool `macof` gestartet:
macof
* jetzt laufen haufenweise MAC-Adressen über den Bildschirm; die Bildschirmausgabe bremst allerdings den Ablauf des
Programms. Schaltet man mit <kbd>Strg</kbd>-<kbd>Alt</kbd>-<kbd>F2</kbd> auf ein anderes Terminal, wird die
CAM-Tabelle schneller geflutet. (Mit <kbd>Strg</kbd>-<kbd>Alt</kbd>-<kbd>F1</kbd> kommt man jederzeit wieder zurück
auf das erste Terminal.)
* den Erfolg kann man an der Konsole des Switches mit dem o.g. Befehl verfolgen:
~~~
Switch>en
Switch#show mac-address-table count
Mac Entries for Vlan 1:
---------------------------
Dynamic Address Count : 8186
Static Address Count : 0
Total Mac Addresses : 8186
Total Mac Address Space Available: 0
~~~
* erhält man zuerst keine Pakete auf dem *Logging PC*, liegt das daran, dass die "echten" MAC-Adressen im Netz noch in
der Tabelle des Switches stehen; das Löschen dieser kann man forcieren, indem man ein Kabel abzieht und/oder
ansteckt - dadurch wird der MAC-Timeout auf 15 Sekunden gesetzt und 15 Sekunden später sind alle alten MAC-Adressen
aus der Tabelle gefallen - dabei muss `macof` aktiv sein und die Telefone sollten in den 15 Sekunden nicht angefasst
werden (sonst beginnt der Timeout von vorn), damit die freigewordenen Plätze gleich "zugemüllt" werden.
* jetzt erscheinen im *Wireshark* die H225-Nachrichten, wenn man an einem Telefon einen Hörer abhebt bzw. das andere
Telefon anruft:
<img src="{{ site.url }}/assets/wireshark.png" alt="Wireshark Screenshot" width="600" />
Absicherung
-----------
Mit folgenden Befehlen kann man den Switch gegen solche Angriffe absichern:
~~~
Switch>en
Switch#conf ter
Switch(config)#interface range FastEthernet 0/1 - 8
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport port-security
Switch(config-if-range)#switchport port-security maximum 5
Switch(config-if-range)#switchport port-security violation shutdown
Switch(config-if-range)#end
Switch#
~~~
Dadurch werden pro Port nur 5 MAC-Adressen erlaubt. Kommen von einem Port Nachrichten von weiteren MAC-Adressen, wird
dieser Port deaktiviert, d.h. das Gerät wird vom Netz getrennt. Die Befehle sind [hier](http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_s6.html#wp1033679)
erläutert. Evtl. muss man noch `switchport port-security aging` setzen, damit alte MAC-Adressen auch aus der Statistik
genommen werden.
Die deaktivierten Ports bekommt man auf zwei Wege wieder an:
~~~
Switch>en
Switch#conf ter
Switch(config)#interface FastEthernet 0/2
Switch(config-if)#shutdown
Switch(config-if)#no shutdown
~~~
oder global:
~~~
Switch>en
Switch#conf ter
Switch(config)#errdisable recovery cause psecure-violation
~~~
Netgear FS108P PoE-Switch
-------------------------
Der gleiche Angriff auf einen *Netgear FS108P* Switch bringt den Switch nur dazu, Pakete an unbekannte MAC-Adressen zu
ignorieren. Somit wäre das eine DoS-Attacke - aber keine Möglichkeit, fremde Daten mitzusniffen. Die Broadcast-Pakete
hingegen werden auf allen Ports ausgegeben und fluten somit auch angeschlossene Switches/Router.

View File

@ -0,0 +1,114 @@
---
title: BIOS Passwörter
language: de
layout: default
created: 2008-07-18 01:36:55 +0200
updated: 2009-10-30 22:53:14 +0100
toc: true
tags:
- know-how
- hacking
- hardware
- bios
- passwords
---
[This page in English.]({% post_url 2009-10-30-bios-passwords %})
Da Notebook-Hersteller die Vergesslichkeit von Passwörtern als Problem erkannt haben, ist es oft recht einfach, ein
vergessenes BIOS-Passwort zu entfernen.
<p><div class="notewarning" markdown="1">
**ACHTUNG!
Ich übernehme keine Garantie dafür, dass diese Tricks funktionieren und ich weise hiermit darauf hin, dass
man das Notebook durch Anwendung dieser Tricks unter Umständen beschädigen oder auch zerstören kann.**
</div></p>
Entfernen der Batterie
======================
Man trennt das Notebook vom Netz und nimmt den Akku heraus. Danach findet und entfernt man die BIOS-Batterie für ca.
eine Minute und setzt sie danach wieder ein. Falls es nicht klappen sollte, auch mal mit 10 oder 20 Minuten probieren.
Ist die BIOS-Batterie nicht so leicht zu entfernen, kann man sie auch für ca. 1-2 Sekunden kurzschliessen. Aber auf
keinen Fall länger, da sich die Batterie sonst stark erhitzt und explodieren könnte.
Die BIOS-Batterie befindet sich meist unter der Tastatur. Um die Tastatur zu entfernen, reicht es manchmal, die
Halteclips weg zu drücken und die Tastatur heraus zu klappen - manchmal jedoch muss man das halbe Notebook zerlegen,
damit man an das Innenleben kommt. Dieser Trick funktioniert dafür fast überall - selbst bei den "hochsicheren"
[Fujitsu-Siemens Lifebook E-Serie]({% post_url 2008-07-20-fujitsu-lifebook-e-series %}).
<img src="{{ site.url }}/assets/baycomwb2_5.jpg" alt="" width="320" />
Reset-Schalter
==============
Wird man das Passwort durch Entfernen der BIOS-Batterie nicht los, gibt es meist einen Jumper oder einen DIP-Schalter,
der das Passwort aushebelt. Ein Jumper könnte sich z.B. im Schacht der RAM-Erweiterung befinden. Aber auch unter der
Tastatur kann er versteckt sein. Manchmal sind diese Jumper auch entsprechend beschriftet - ansonsten hilft nur
Probieren.
Bei DIP-Schaltern sollte man - sofern man eine Schalter-Bank gefunden hat - mit dem höchsten Schalter beginnen, da die
ersten Schalter oft Einfluss auf die Prozessorgeschwindigkeit haben und man damit evtl. den Prozessor zerstören könnte.
Hierbei sollte man, wenn das Notebook ausgeschaltet ist, einfach den höchsten Schalter umschalten, das Notebook
einschalten und dann prüfen, ob das BIOS-Passwort immer noch verlangt wird und auch kein leeres Passwort (einfach ENTER
drücken) akzeptiert wird. Ist dies der Fall, Notebook wieder ausschalten und den Schalter in seine ursprüngliche
Position zurück schalten. Dann das gleiche mit dem nächsten probieren.
Hat man den richtigen Schalter gefunden, sollte man, bevor man den Schalter zurück schaltet, in das BIOS-Setup gehen
und das Passwort dort löschen oder ein anderes vergeben. Danach kann man das Notebook wieder ausschalten, den Schalter
in seine ursprüngliche Position bringen und das Notebook wieder zusammensetzen.
<img src="{{ site.url }}/assets/acer203tx3.jpg" alt="" width="320" />
DELL Notebooks
==============
DELL-Notebooks speichern das BIOS-Passwort in einem EEPROM vom Typ 24C02 und somit bleibt es auch beim Entfernen der
BIOS-Batterie erhalten. Es gibt bei diesen Notebooks auch keinen Jumper oder DIP-Schalter, der das Passwort
zurücksetzt. Dafür wird beim Passwort-Prompt ein sogenannter "Service-Tag" mit angezeigt. Durch diesen ist die
DELL-Hotline in der Lage, ein Entsperr-Passwort zu berechnen. Will man sich den Aufwand und die Kosten mit der Hotline
sparen, gibt es im Internet Programme zu finden, die aus dem Service-Tag ein Entsperr-Passwort errechnen. Leider habe
ich bisher nur einen Passwort-Generator für Service-Tags mit der Endung -D35B gefunden.
Für Notebooks mit anderen Service-Tags gibt es allerdings eine Alternative:
Man kann den EEPROM manuell löschen. Dazu muss man ihn erstmal ausfindig machen. Irgendwo auf dem Mainboard des
Notebooks muss sich ein 8-beiniger Schaltkreis mit der Aufschrift "24C02" befinden. Bei einigen Modellen findet man ihn
unter dem CD-ROM-Laufwerk bzw. unter dem Touchpad. Hat man den EEPROM entdeckt, surft man am besten zur Homepage des
Chip-Herstellers und sucht das Datasheet zu diesem IC. Dort findet man den richtigen Pin für "Clear" bzw. "Reset".
Diesen muss man gegen Masse kurzschliessen. Es ist wohl manchmal ein Testpunkt in der Nähe, der zu dem richtigen Pin
geht. Diesen einfach für einige Sekunden gegen Masse schliessen. Man muss aber darauf achten, nicht den falschen Pin zu
erwischen, da dies den IC oder vielleicht sogar das ganze Mainboard zerstören könnte. Nach dieser Prozedur, sollte das
BIOS-Passwort gelöscht sein. Diese Homepage erklärt die Prozedur nochmal richtig detailliert. Weitere Infos gibt's noch
auf der DELL-Seite.
<img src="{{ site.url }}/assets/delllati.jpg" alt="Passwort-Abfrage eines DELL Notebooks. Hier sieht man auch den Service-Tag." width="320" />
Standard-Passwort
=================
Nur so am Rande sei noch erwähnt, dass es bei Notebooks der ersten Generationen durchaus auch Standardpasswörter geben
kann, welche einem Zugriff auf den Rechner gestatten. Bei AWARD-BIOS waren das z.B. `LKWpeter` und `aLLy` - je nach
Version des BIOS. Im Internet finden sich noch mehr solcher Standardpasswörter. Für aktuelle BIOS-Varianten und
-Versionen sind allerdings keine Standardpasswörter bekannt.
Special handling
================
<ul>
{% for page in site.categories.bios-password %}
<li><a href="{{ page.url }}">{{ page.title }}</a>{% if page.language == 'de' %} (German){% endif %}</li>
{% endfor %}
</ul>
Notrettung
==========
Wenn man noch booten kann, und nur das Passwort für das BIOS-Setup braucht, hilft in den meisten Fällen Christophe
Grenier's CmosPwd weiter. Es liest das Passwort aus dem CMOS-Speicher und entschlüsselt es. Für SONY VAIO-Notebooks,
siehe [hier]({% post_url 2008-07-20-sony-vaio %}).

View File

@ -0,0 +1,109 @@
---
title: BIOS Passwords
language: en
layout: default
created: 2008-07-16 00:44:43 +0200
updated: 2009-10-30 22:53:46 +0100
toc: true
tags:
- know-how
- hacking
- hardware
- bios
- passwords
---
[Diese Seite auf Deutsch.]({% post_url 2009-10-30-bios-passwords-de %})
Since Notebook-manufacturers know of the problem of forgotten passwords, they often implement easy ways to remove BIOS
passwords into their notebooks.
<p><div class="notewarning" markdown="1">
**WARNING!
I don't take any responsibility for damages your notebook could get by using these tricks.**
</div></p>
Removing the battery
====================
Remove AC power and remove the battery. Now find and remove the BIOS battery for about a minute and then reinsert it.
If this doesn't work, try it with 10 minutes or even 20.
If you can't easily remove the BIOS battery, you can short it for about 1 to 2 seconds. But never short it for longer
because it will get hot and could even explode.
The BIOS battery is mostly located somehwere below the notebook's keyboard. To remove the keyboard, there are sometimes
only some clips holding the whole thing - but sometimes, you have to disassemble half of the notebook just to get to
the inside.
This trick works with almost any notebook - even with the "high secure" [Fujitsu-Siemens Lifebook E-series]({% post_url 2008-07-20-fujitsu-lifebook-e-series %}).
<img src="{{ site.url }}/assets/baycomwb2_5.jpg" alt="" width="320" />
Reset-switch
============
If you can't get rid of the password by removing the BIOS battery, there often is a Jumper or DIP-switch, which
disabled the password. A Jumper could be located in the RAM-extension slot. Also take a look at the mainboard below the
keyboard. Sometimes, the Jumpers are even labeled - if not, just try.
With DIP-switches - if you found some - you should start trying with the highest switch, because the first ones mostly
define the processor speed and you could possibly destroy your processor. You should - with the notebook switched off -
switch the highest switch to the opposite position, switch on the notebook, check whether the BIOS password is still
requested and an empty password doesn't work (just press ENTER at the prompt). If so, switch off the notebook, switch
the highest switch to its initial position and try the same with the next switch.
If you found the correct switch, do the following before switching the switch back to its initial position: Go to
BIOS-Setup and clear the password there or define a new one. Afterwards, switch off the notebook, switch the DIP-switch
to its initial position and reassemble the notebook.
<img src="{{ site.url }}/assets/acer203tx3.jpg" alt="" width="320" />
DELL notebooks
==============
DELL-notebooks store the BIOS-password in an 24C02-EEPROM and therefore, the password can't be deleted by removing the
BIOS-battery. Also, there's no Jumper or DIP-switch, which resets the password. But you will notice a so-called
"Service Tag" at the password prompt. With it, the DELL-Hotline is able to generate an unlock-password. If you want to
save the stress with the Hotline, you can find programs in the Internet which generate an unlock-password from the
Service-Tag. Sadly, I only found a password-generator for Service-Tags ending with -D35B.
If your notebook has a different Service-Tag, there's an alternative:
You can manually erase the EEPROM. But you have to find it first. Somewhere on your mainboard should be an 8-pin IC
with "24C02" printed on it. Sometimes, it's located near the CD-ROM or Touchpad. If you found it, notice the
manufacturer and go to his homepage to download the datasheet of that IC. There should be mentioned the correct pin
for "clear" or "reset". Short-circuit this pin to ground. There could be a test-contact near the IC leading to the
appropriate pin. Just short it to ground for some seconds. But pay attention not to short the wrong pin to ground -
this could destroy the notebook. After this procedure, the BIOS password should be deleted.
[This homepage](http://www.darkmagic.org/mike/dell-tag/dell/dell.html) contains a really good explanation of this
procedure. Some more infos are on the DELL page.
<img src="{{ site.url }}/assets/delllati.jpg" alt="The password prompt of DELL notebooks. Here you can see the service tag." width="320" />
Standard password
=================
By the way: Notebooks of the first generation used to have standard passwords to enable access to them. For AWARD-BIOS
there were e.g. `LKWpeter` and `aLLy` - depending on the BIOS' version. You can find lists of such standard passwords
on the net. For current BIOS-variants and -versions, there are no known standard passwords.
Special handling
================
<ul>
{% for page in site.categories.bios-password %}
<li><a href="{{ page.url }}">{{ page.title }}</a>{% if page.language == 'de' %} (German){% endif %}</li>
{% endfor %}
</ul>
If everything fails
===================
If you can still boot and only need the password to the BIOS-setup, Christophe Grenier's
[CmosPwd](http://www.cgsecurity.org/wiki/CmosPwd) will help you in most cases. It reads out the CMOS-memory and tries
to decrypt the password stored there. For SONY Vaio notebooks, look [here]({% post_url 2008-07-20-sony-vaio %}).

View File

@ -0,0 +1,79 @@
---
title: MEDION HDDrive2go
language: de
layout: default
created: 2009-06-09 15:43:52 +0200
updated: 2009-12-27 20:18:52 +0100
toc: false
tags:
- know-how
- hacking
- hardware
- medion
- hdd
---
<img src="{{ site.url }}/assets/hddrive2go.jpg" alt="" height="300" />
Hardware
========
* **Festplatte:** Western Digital Caviar SE, P/N: WD2500JB-00GVC0 (250GB, 8MB Cache, 7200rpm, IDE)
* **Controller:** Cypress CY7C68300B (AT2LP)
* **EEPROM:** CSI 24WC02WI
Cypress AT2LP RC42
==================
Schließt man ein inkompatibles Gerät an, z.B. eine *InnoDisk EDC2000* Flash disk, kann es sein, dass kein USB-Laufwerk
mehr erkannt wird, sondern ein Gerät **Cypress AT2LP RC42**. In diesem Fall wurde der EEPROM gelöscht und der
Cypress-Chip muss neu programmiert werden.
Dazu gibt es das Tool *Primer*. Dieses hat ein findiger Benutzer in der [WinHelpLine](http://www.winhelpline.info/forum/600431-post148.html)
zum Download zur Verfügung gestellt. In der ZIP-Datei ist auch der Treiber, mit dem man Windows das Gerät "beibringen"
kann. Dazu im Treiber-Dialog unbedingt manuell(!) nach einem Treiber suchen, in der näheren Kategorisierung dann
entweder oben "Alle Geräte" wählen, oder unten "USB Controller". Danach klickt man auf *Diskette...* und wählt das
`Driver`-Verzeichnis aus der ZIP-Datei. Nun wird der *Cypress AT2LP Manufacturing Driver* installiert.
Jetzt aus dem *HDDrive2go* den Stromstecker ziehen (USB bleibt dran!) und nach ein paar Sekunden wieder einstecken.
Im *Primer*-Tool sollte jetzt kurz *Programming device EEPROM* auf gelbem Grund erscheinen und gleich zu
*Programming successful* auf grünem Grund wechseln.
Nun Strom und USB abziehen, ein paar Sekunden warten und alles wieder anschließen. Die Festplatte sollte nun wieder
erkannt werden.
* **Download:** [primer.zip]({{ site.url }}/assets/primer.zip)
* **bebilderte Anleitung:** [dbflash.pdf]({{ site.url }}/assets/dbflash.pdf)
* **English instructions:** [dbflash_en.pdf]({{ site.url }}/assets/dbflash_en.pdf)
* <http://www.cypress.com/?rID=14406> --- dort gibt's u.a. das Tool *Blaster* (unten in dem **RD1058**-Paket),
welches scheinbar ähnlich wie *Primer* arbeitet. Unter den Konfigurationsdateien ist aber nichts, was der benötigten
`100_self_ATA.iic` ähnlich sieht.
Gerät wird nicht erkannt
========================
Sollte Windows keinen Ton von sich geben, wenn man das *HDDrive2go* anschließt, kann das durch einen ungültig
geflashten EEPROM ausgelöst sein. Dies passiert z.B., wenn man die Primer-Datei `PH-1003.iic` benutzt - diese
funktioniert nur bei USB-Laufwerken von *Targa*.
Der Cypress-Chip hat glücklicherweise einen Reset-Modus, womit man neue Daten in den EEPROM schreiben kann. Dazu muss
man allerdings das Gehäuse komplett zerlegen, so dass man die Platte von der Platine trennen kann. Dazu das Kabel von
der Platine abziehen - das andere Ende kann in der Platte stecken bleiben.
Jetzt die Pins 1 und 3 mit einem Jumper überbrücken. Die ersten beiden Pins sind auf der Platine beschriftet. Der
dritte ist dann wieder in der gleichen Reihe wie der erste.
Sind die beiden Pins überbrückt, erst den USB-Stecker anschließen (auch am PC!) und dann den Stromstecker einstecken.
Jetzt sollte der PC das *Cypress AT2LP RC42*-Gerät erkennen und man kann wie o.a. fortfahren. Ist die korrekte Kennung
geflasht, Strom und USB abziehen, Jumper abziehen und die Platte wieder normal anschließen.
Links
=====
* <http://daltrey.org/linux/cypress.html>
* <http://www.winhelpline.info/forum/600850-post150.html>
* <http://daltrey.org/tw/tiki-index.php?page=CypressAt2lp>
* <http://www.cypress.com/products/?gid=9&fid=14&rpn=CY7C68300C>

View File

@ -0,0 +1,40 @@
---
title: Acer TravelMate 203TX
language: de
layout: default
created: 2008-07-16 08:29:10 +0200
updated: 2008-07-16 08:29:10 +0200
toc: false
tags:
- know-how
- hacking
- hardware
- bios
- passwords
- acer
---
1. Öffne die Klappe.
Hier siehst Du die "Schultern", das QuickAccess-Panel und die Tastatur:
![]({{ site.url }}/assets/acer203tx1.jpg)
1. Entferne die "Schultern", indem Du sie nach aussen schiebst. Sie schützen die Display-Scharniere. Sie befinden sich
über der Tastatur, links und rechts von den 4 QuickAccess-Knöpfen.
1. Entferne das QuickAccess-Panel. (erst nach rechts schieben, dann nach oben klappen und dann heraus ziehen)
1. Jetzt die Tastatur oben etwas anheben und ein wenig nach oben schieben. Dann in der Mitte anheben (ein Finger unter
F7/F8, einer unter der Leertaste) bis die Tastatur ausrastet. Leg sie am besten kopfüber auf den Touchpad-Bereich.
Jetzt sollte es so aussehen:
![]({{ site.url }}/assets/acer203tx2.jpg)
1. Hier sieht man wieder die "Schultern", das QuickAccess-Panel und die Tastatur. Der rote Kreis markiert die
DIP-Schalter, die wir suchen.
1. Finde die DIP-Schalter.
1. Schalte den 6. Schalter (von links aus; siehe Foto) auf ON (obere Stellung):
![]({{ site.url }}/assets/acer203tx3.jpg)
1. Jetzt schalte das Notebook ein und drücke im richtigen Moment F2, so dass Du ins BIOS Setup gelangst.
1. Gehe zu "System Security" und schalte das "power-on password" (oder sonstige Passwörter) aus oder geb ein neues ein.
1. Drücke 2x ESC und SPEICHERE die BIOS-Einstellungen.
1. When das Notebook neu startet, schalte den 6ten Schalter wieder auf OFF (untere Stellung). (Schalte das Notebook
auch ruhig aus, wenn Du magst.)
1. Bau die Tastatur wieder ein. Erst die Nasen unten in die Halterungen einsetzen, dann links und rechts drücken, bis
sie einrastet. Danach, setz das QuickAccess-Panel wieder ein (Einsetzen und nach links schieben). Und zu guter
Letzt, die "Schultern".
[Zurück zur Übersicht.]({% post_url 2009-10-30-bios-passwords-de %})

View File

@ -0,0 +1,42 @@
---
title: Fujitsu-Siemens Lifebook E-Series
layout: default
created: 2008-07-20 15:33:11 +0200
updated: 2008-07-20 15:33:11 +0200
toc: false
tags:
- know-how
- hacking
- hardware
- bios
- passwords
- fujitsu
- siemens
- lifebook
---
1. Turn the notebook on its lid, plug out the power cord, remove the battery and the CD-ROM drive
1. Remove the screws marked below:
![]({{ site.url }}/assets/fsclbe_1.jpg)
1. Open the lid as shown below and use a screwdriver to pull the plastic off the clip
![]({{ site.url }}/assets/fsclbe_2.jpg)
1. You should now have removed the top plastic cover with the buttons on it.
![]({{ site.url }}/assets/fsclbe_3.jpg)
1. Now remove the other screws to be able to remove the bottom plastic cover with the touchpad area
![]({{ site.url }}/assets/fsclbe_4.jpg)
1. Here you can see the BIOS battery. Lift the keyboard and carefully lift the bronze sheet metal piece. (If you own
the E7110, you need to remove a screw near the Firewire-port to be able to bend the metal sheet up. Thanks to
Maris F. for this hint.)
![]({{ site.url }}/assets/fsclbe_5.jpg)
1. Pull out the small plug and wait about a minute.
![]({{ site.url }}/assets/fsclbe_6.jpg)
1. Assemble the notebook the other way around and smile. You just reset your BIOS password although Fujitsu-Siemens
says you have to take your notebook to a service point to let it be done. (because the Lifebook E-series is **so**
secure LOL )
[Back to overview.]({% post_url 2009-10-30-bios-passwords %})

View File

@ -0,0 +1,118 @@
---
title: SONY VAIO
layout: default
created: 2008-07-20 15:44:48 +0200
updated: 2008-07-20 17:34:22 +0200
toc: false
tags:
- know-how
- hacking
- hardware
- bios
- passwords
- sony
- vaio
---
In the newer SONY VAIO Notebooks, the BIOS password is no longer stored in the volatile CMOS-area but on an EEPROM.
Jean Delvare has published [his results](http://khali.linux-fr.org/vaio/eeprom.html) of an analysis of various Sony
Vaio EEPROM dumps on [his homepage](http://www.ensicaen.ismra.fr/~delvare/). There you can see that the BIOS password
is stored encrypted in the first 7 Bytes of the EEPROM and, if no password is set, these Bytes are 00h. So if you
delete the whole chip - like you can do with DELL notebooks - you should get rid of the password.
Unfortunately, this would delete all other informations like e.g. serial number, model name, etc., so that specific
Sony-Applications might cause trouble or even don't accept the notebook as a SONY-device.
If you are still able to boot up the notebook, but only can't get into the BIOS setup, you can approach the password
the following way:
* download and extract the DOS-version of [HWiNFO](http://www.hwinfo.com)
* copy the program GETSMBUS.EXE from HWiNFO to a FAT(32)-partition on the target computer or on a floppy.
* boot up a DOS-based operating system, e.g. from a Win98/WinME-Installation-CD.
* run the program GETSMBUS.EXE.
The file `SMBUS57.DAT` created by GETSMBUS.EXE contains a complete dump of the EEPROM at address 0x57 - in 99% the SONY
VAIO chip. The EEPROM can be read easily through the so-called SMBus. Usually the SMBus is used to query e.g. the
RAM-modules for Vendor and Speed-Infos (they have a similar EEPROM). Also temperatures and fan-speeds can be read
through the SMBus.
Now you have the encrypted password and only have to decrypt it.
Alternatively, you can desolder the EEPROM (likely of Type 93C46) and read it with an EEPROM-Programmer. Or just
overwrite the first 7 Bytes with 00h. But it seems as if the EEPROM is built onto the bottom side of the mainboard and
therefore it's hard to reach.
Decrypt the password
====================
If you take a look onto the encrypted Bytes with a Hex-Editor, you'll soon notice that each Byte is an even number. So
just divide by 2 and take a look at the character with this ASCII-code.
<script type="text/javascript">
document.write('<p>I wrote a small JavaScript to demonstrate it. After entering the 7 Bytes with the encrypted password, it calculates the password in cleartext.</p>');
document.write('<p><form name="sony">Enter 7 Bytes as Hex: <input type="text" name="vaio" maxlength=20 size=20 value="a8 ca e6 e8 00 00 00" /><input type="button" value="Calculate password" onClick="ShowPwd();" /></form></p>');
function ShowPwd() {
var xBytes = document.sony.vaio.value.toLowerCase();
var xHexset = new String('0123456789abcdef');
var xPwd = '';
var xVal = 0;
for (var i=0;i<=6;i++) {
xCA1 = xBytes.charAt(i*3);
xCA2 = xBytes.charAt(i*3+1);
xVal1 = xHexset.indexOf(xCA1);
xVal2 = xHexset.indexOf(xCA2);
xVal = (xVal1*16 + xVal2) / 2;
if (xVal>0) { xPwd += String.fromCharCode(xVal); } else { break; }
}
alert('The BIOS-password is: "'+xPwd+'"');
}
</script>
I also wrote a small Program which is able to parse the file `SMBUS57.DAT` or even query the SMBus directly. From the
obtained data it shows informations about the SONY Vaio-notebook - even the password(s). Here is a screen-shot:
![]({{ site.url }}/assets/sva.png)
**Download here:** [Sony VAIO Analyzer]({{ site.url }}/assets/sony_vaio_analyzer.zip)
Interior views
==============
PCG-Z1XEP
---------
This is an interior view of a SONY VAIO Z1:
![]({{ site.url }}/assets/sonyvaio.jpg)
(The DIP-switches below the keyboard are probably for setting the used TFT-panel. You can not delete the password with
them anyway!)
PCG-V505
--------
This is a naked SONY VAIO V505:
![]({{ site.url }}/assets/sonyv505.jpg)
[Back to overview.]({% post_url 2009-10-30-bios-passwords %})
*[EEPROM]: Electrically Erasable Programmable Read-Only Memory
*[DIP]: Dual In-Line Package
*[BIOS]: Basic Input/Output System
*[CMOS]: Complementary Metal-Oxide-Semiconductor
*[SMBus]: System Management Bus
*[ASCII]: American Standard Code for Information Interchange
*[DOS]: Disk Operating System
*[VAIO]: Visual Audio Intelligent Organizer, formerly: Video Audio Integrated Operation
*[CD]: Compact Disc
*[FAT]: File Allocation Table
*[RAM]: Random Access Memory