taller de explotación de routers v3
TRANSCRIPT
Taller de explotación de
vulnerabilidades en routers Pedro Joaquín Hernández
Paulino Calderón Palé
27 / 11 / 2012
Contenido
2Wire 2701 HG
Revelación de información
Evasión de autenticación por revelación de información
Router Pharming
Huawei HG520
Mac2WepKey
Revelación de información /Listadeparametros.html
Evasión de autenticación usando /rom-0
Alcatel-Lucent
Ejecución de comandos
Backdoor
2Wire 2701 H
Revelación de información
Evasión de autenticación por revelación de información
Router Pharming
Revelación de información
URL mágico
Revelación de Información (URL Mágico)
Fue publicado por primera vez por Javier Liendo en agosto del 2007.
Consiste en un archivo de configuración que contiene información
importante como la clave WEP predeterminada.
El URL es:
http://home/xslt?page=mgmt_data
Revelación de clave WEP en http://home/xslt?page=mgmt_data
Evasión de autenticación
Restauración de contraseña utilizando la clave WEP predeterminada
Evasión de autenticación
La forma de restaurar el password
del administrador del dispositivo es
utilizando la clave WEP
predeterminada.
“Es una función, no un bug” ™.
El URL es:
http://home/xslt?PAGE=A04
Restablecer la contraseña utilizando la clave WEP en http://home/xslt?PAGE=A04
Router Pharming
Redirección de dominios
Router Pharming
La página de administración avanzada permite relacionar dominios
a direcciones IP.
El URL es:
http://home/tech
Resolución DNS en:
http://home//xslt?PAGE=J38
Redirección de dominios a direcciones IP
Huawei HG520
Mac2Wepkey
Explicación del algoritmo
Herramientas públicas
Explotación con Mac2Wepkey HHG5xx para Android
Revelación de información /Listadeparametros.html
Evasión de autenticación usando /rom-0
Mac2Wepkey
Explicación del algoritmo
Huawei HG520 y HG530
Es posible generar la WEP/WPA default de los módems
Huawei modelos HG520 y HG530.
El objetivo de esta presentación es explicar la forma en
la que desarrollamos un generador para estos
dispositivos.
Mac2wepkey en el dispositivo
Los módems Huawei modelos HG520b y HG520c cuentan con un software para generar su contraseña WEP y SSID predeterminados a partir de su dirección MAC.
El nombre de este software es mac2wepkey y se encuentra disponible en su interfaz de TELNET.
La WEP KEY default
La WEP toma valores
del 30 al 39 y del 61 al
66.
Estos valores
corresponden a los
números 1 al 9 y a las
letras a-f en
codificación ASCII.
El SSID y WEP Base
Cuando introducimos la MAC 00:00:00:00:00:00 obtenemos el SSID Base (5aba) y WEP Base (6434376537).
Obtenemos 108 listas 12 posiciones de la MAC por 9 bytes del SSID y WEP.
Utilizaremos este número para reducir la cantidad de listas repetidas y optimizar el programa final.
Listas sin XOR
Listas con XOR
De las 108 listas encontramos que existen 16 listas que se repiten, que macaremos con la letra A (A1, A2, A3...) y 33 listas que no se repiten que marcamos con la letra N (N1, N2...) para un total de 49 listas únicas.
El Patrón
Los renglones indican las listas que se utilizan para
obtener cada byte de la WEP.
El renglón 1 es la lista de listas necesarias para obtener
el primer byte de la WEP.
Ejemplo: 81:23:45:AB:CD:EF
Listas para obtener el primer carácter del SSID de
acuerdo a la posición de los bytes de la MAC.
La lista SsidA contiene las listas necesarias para obtener
el primer carácter del SSID.
El primer byte de la MAC corresponde a la lista N1.
8 1 2 3 4 5 A B C D E F
N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9 SsidA:
MAC:
0
14
10
4
8
6
2
12
0
14
10
8
6
2
12
N1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15 12
Valor
0
A
B
C
D
E
F
El valor del primer byte es 8, si lo buscamos en la lista
N1.
Su valor corresponde a 0.
8 1 2 3 4 5 A B C D E F
N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9 SsidA:
MAC(x):
0 5 3 3 1 14 11 1 10 2 8 4 Valor de
la lista:
8 1 2 3 4 5 A B C D E F
N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9 SsidA:
MAC(x):
0 5 3 3 1 14 11 1 10 2 8 4 Valor de
la lista:
Se obtienen los valores correspondientes y se les aplica XOR agregando un
numero más que es el primer caracter de la base del SSID (5ABA).
5 0 5 3 3 1 14 11 1 10 2 8 4
8 1 2 3 4 5 A B C D E F
N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9 SsidA:
MAC(x):
0 5 3 3 1 14 11 1 10 2 8 4 Valor de
la lista:
Se obtienen los valores correspondientes y se les aplica XOR agregando un
numero más que es el primer caracter de la base del SSID (5ABA).
5 0 5 3 3 1 14 11 1 10 2 8 4
Obtenemos de resultado: que viene siendo el primer carácter
del SSID.
Se repite este proceso para las 4 listas del SSID y obtenemos:
1 8 5 8 SSID(x):
1
8 1 2 3 4 5 A B C D E F
A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0 WepA:
MAC(x):
10 14 0 14 7 4 8 13 0 13 8 0 Valor de
la lista:
Se repite el proceso para WEP:
8 1 2 3 4 5 A B C D E F
A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0 WepA:
MAC(x):
10 14 0 14 7 4 8 13 0 13 8 0 Valor de
la lista:
Se obtienen los valores correspondientes y se les aplica XOR agregando el
primer caracter de la base de la WEP (D4E7).
13 10 14 0 14 7 4 8 13 0 13 8 0
Se repite el proceso para WEP:
8 1 2 3 4 5 A B C D E F
A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0 WepA:
MAC(x):
10 14 0 14 7 4 8 13 0 13 8 0 Valor de
la lista:
Se obtienen los valores correspondientes y se les aplica XOR agregando el
primer caracter de la base de la WEP (D4E7).
13 10 14 0 14 7 4 8 13 0 13 8 0
Obtenemos de resultado: que al pasarlo a ASCII nos da:
Se repite este proceso para las 5 listas de la WEP y obtenemos:
3 4 3 6 WEP(x):
4
Se repite el proceso para WEP:
6 2 3 8 6 5
3 4
Herramientas
públicas
Versión original
Versión original en OSX
Versión original
en iPhone
Versión original en N97
“Mac2wepkey GUI “
Video flv
En Visual Basic
Versión scanner
Versión scanner en Android
Mac2Wepkey HHG5XX
Versión scanner en Android
Mac2Wepkey HHG5XX
Routerpwn
ROUTERPWN – www.routerpwn.com
Compilación de exploits listos para correr.
154 web exploits
11 generadores
algunos 0days :)
Adelante:
www.routerpwn.com
ROUTERPWN – www.routerpwn.com
Compilación de exploits listos para correr.
Hecho en HTML y Javascript. Corre en muchos dispositivos:
iPhone,
Android,
BlackBerry,
iPad,
Xoom,
Wii,
PS3,
N9x,
symbians,...
ROUTERPWN – www.routerpwn.com
Compilación de exploits listos para correr.
Hecho en HTML y Javascript.
Solo una página.
Se puede almacenar para
explotación sin acceso a internet
Explotación de Mac2Wepkey
Explotación de Mac2Wepkey con Routerpwn
inSSIDer v2.0
Programa para visualizar las redes inalámbricas.
Permite ver la MAC y el fabricante de los dispositivos disponibles.
Gratuito
Se puede descargar de:
http://www.metageek.net/support/downloads/
Existe versión para celular también.
IinSSIDer muestra la dirección MAC y Vendor de los puntos de acceso
Revelación de Información
Listadeparametros.html
Revelación de Información (Listadeparametros.html)
Consiste en un archivo de información que contiene información
importante como credenciales pppoe, clientes conectados, rangos de
IPs internas, nombre del punto de acceso inalámbrico, etc.
El URL es:
http://192.168.1.254/Listadeparametros.html Funciona remotamente sin autenticación
Puede ser usado para generar la contraseña inalámbrica default
Revelación de información en /Listadeparametros.html
Evasión de autenticación
Descompresión de /rom-0 en ZynOS
Descompresión de /rom-0
En ZynOS es posible descargar la configuración sin autenticación
El archivo rom-0 es un archivo binario comprimido en formato LSW.
El URL es:
http://192.168.1.254/rom-0 Funciona remotamente sin autenticación
Puede ser usado para obtener la contraseña inalámbrica default /
password de administrador
Evasión de autenticación por decompresión de /rom-0
Alcatel-Lucent
Ejecución de comandos
Backdoor
Ejecución de comandos
Ejecución de comandos
En la interfaz de administración del módem en la parte de
Diagnósticos hay una herramienta para realizar ping que es
vulnerable a ejecución de comandos.
Ejecución de comandos en herramienta de Ping
Backdoor
telecomadmin
Backdoor
Consiste en una cuenta de administración oculta a la cual no se le
puede cambiar el password.
Se encuentra en /etc/rg_telmex_alu.xml
La cuenta es:
telecomadmin
nE7jA%5m
Revelación de información en /Listadeparametros.html
Taller de explotación de
vulnerabilidades en routers
Pedro Joaquín Hernández [email protected] (@_hkm)
Paulino Calderón Palé [email protected] (@calderpwn)
WWW.WEBSEC.MX