NTG6 MBUX 6 ищет способ отладки... Давайте делиться опытом!

[marky671]

• MBUX 6: В поисках способа отладки... Давайте делиться опытом!

Я уже несколько месяцев анализирую, читаю, снимаю дамп системы, включая все её чипы, распаковываю информацию и анализирую некоторые двоичные файлы, но так и не нашёл приемлемого способа отладки.

Не знаю, знает ли кто-нибудь способ, распиновку или как войти в систему как root, используя какой-либо из сервисов, доступных через Ethernet...

Показываю скриншот открытых портов:

С другой стороны, я также показываю скриншоты части памяти внутри процессора, из которой мне удалось успешно извлечь и проанализировать некоторые её ключи, хотя анализ части, связанной с Nvidia, оказался немного сложнее, чем я ожидал!

Мне также удалось снять дамп eMMC, включая её разделы, но я не увидел там ничего интересного.

Может, кто-нибудь подскажет?

сообщение автоматически склеено: Июль 9, 2025

Возможные идеи:

1. Эксплуатация открытого или неизвестного порта позволяет провести атаку с Linux-машины и получить root-доступ, что позволит удалённо выполнять код...

2. Найти порт JTAG или UART для отладки.

3. Эксплуатация, например, интернет-браузера или использование хранилища данных через USB...

 

[KostYK]

Извините за оффтоп, Подозрительно чистый стол

 

[marky671]

Маленький столик, надо потесниться! Люблю чистую работу

Извините за оффтоп, Подозрительно чистый стол

 

[shar0]

Подписываюсь ради интереса. Смотрел ты ето: https://keenlab.tencent.com/en/whitepapers/Mercedes_Benz_Security_Research_Report_Final.pdf

 

[marky671]

Да, спасибо за пост, я его уже видел.

Было полезно взять на заметку некоторые идеи, но, к сожалению, эти уязвимости были исправлены в новых версиях, хотя Ethernet-подключение всё ещё доступно... Но отладочные порты были закрыты.

С другой стороны, думаю, было бы неплохо эксплуатировать уязвимость через USB.

 

[Andrei]

Через ..опу но вот

 

[marky671]

Через ..опу но вот
Просмотреть вложение 19343

Невероятно...

Не понимаю, как вам удалось это реализовать на процессоре Tegra XD. Насколько я вижу, вы используете другую подсеть: 169.254.133.27.

Какой шлюз вы использовали?

сообщение автоматически склеено: Июль 9, 2025

Может быть, вы изменили файл shadow, пароль root и включили ssh?

 

[adl095]

Интересная тема, тоже подпишусь. Тоже взялся взялся поковырять сей девайс на досуге.. Снял сейчас тегру, отзваниваю пятаки на внешний разьем. Судя по драйверам в soc uart похоже там есть.. emmc читаете внутрисхемно? читается безпоследствий? один девайс у меня уже лег с ошибкой по обноруженой попытке модификации по. вольтаж верный,порты прибить наверное не мог..взял вторую голову ,а с этой сдернул soc

 

[Fox]

Не проще непосредственно с диском поработать? Не каждый сможет зайти даже на свой комп через провод, зато у всех куча троянов всажена практически незаметно для собственных действий

 

[marky671]

На жёстком диске нет нужных данных.

Лучший вариант — eMMC.

 

[kuku]

hello,
who can help me to identify the 4 testing points from BB_HU6 of RJ45? (-Tx/+Tx, -Rx/+Tx)

 

[романофф]

в имидж хостинге - BBCODE для форума у картинок выбираете и в тему вставляете!

 

[marky671]

hello,
who can help me to identify the 4 testing points from BB_HU6 of RJ45? (-Tx/+Tx, -Rx/+Tx)

Просмотреть вложение 19883

Просмотреть вложение 19884

You can do this with an oscilloscope, but if you don't want to, you can use brute force on the cables.

Nothing will happen.

 

[megane999]

Простите за оффтоп, судя по документам тенцент они смогли передавать данные с hermes по can. реально ли передавать с hermes фейковые данные о запуске двигателя, подключением стороннего IP устройства в разрез, там даже можно эмулировать точку доступа для hermes. очень хочется возобновить прогрев двигателя дистанционный

 

[романофф]

реально ли передавать с hermes фейковые данные о запуске двигателя, подключением стороннего IP устройства в разрез, там даже можно эмулировать точку доступа для hermes. очень хочется возобновить прогрев двигателя дистанционный

конечно реально. ключи сначала взломайте, после этого запуск через гермес вам будет не интересен финансово.

 

[megane999]

конечно реально. ключи сначала взломайте, после этого запуск через гермес вам будет не интересен финансово.

Так в статье и разбирается, что данные от Гермеса приходят по каншине d, и машина сразу из выполняет. Осталось понять что Гермес отправляет чтобы завести авто именно по Mercedes me. Кстати там есть режим передачи данных через точку доступа, правда все данные ходят по https и каждая команда зашифрована, но мне кажется если набрать достаточное количество команд можно и дешифровать.

 

[романофф]

Осталось понять что Гермес отправляет чтобы завести авто именно по Mercedes me.

ключи он отправляет... ключи... так-же как кейлесс-го по кану заводит. поэтому вам надо научиться ключи делать сначала.

 

[sergeyklenov]

Если кто уже дамп снял с eMMC то поделитесь плиз

 

[marky671]

Hello everyone.

After some time, I'm back and eager to get back to work on this.

Yesterday I tried reading the Renesas RH850 MCU using an FTDI adapter.

I found the pinout, but I haven't been able to get the programmer to recognize it and read the data yet.

I'm not using VVDI.

Any ideas?

сообщение автоматически склеено: Мар 23, 2026

We should be able to read and write using the FTDI adapter and the Renesas software...

сообщение автоматически склеено: Мар 23, 2026

Если кто уже дамп снял с eMMC то поделитесь плиз

Yes, i have eMMC dumped. Why u need it?

There should be 2 ways for acess to the root system.

1. Patching binarys and add a Reverse shell in the eMMC and conenct using the ethernet pinouts...

2. Using a device for example raspberry pi zero 2W... But dont know how to do it.

сообщение автоматически склеено: Мар 23, 2026

Edit i see that on a forum , one guy seems to be connect to the headunit using that device and USB port... I think he emulate a device using that tool.. A device that are not prohibited... For exampe rubber ducky or similar...

A Raspberry Pi Zero 2 W or Raspberry Pi 5, an SD card with a capacity of 4 GB or more, an adapter to connect the SD card to the computer, and a cable to connect the Raspberry Pi to the vehicle: for Pi Zero 2 W: micro-USB → Type-C, for Pi 5: Type-C → Type-C

сообщение автоматически склеено: Мар 23, 2026

Edit 2.0

A good idea is:

Check in linux /etc/udev/rules.d/ to see what HID are prohibited and emulate with raspberry pi zero 2W a HID that allowed in the system to connect to headunit and run scripts...

Maybe this can be in the system:

/etc/modprobe.d/blacklist.conf

 

[marky671]

Hi all again...

Anyone here for colaborating with me? I dont have headunit and i want to finish this shit..