taller de explotación de routers v3

Taller de explotación de

vulnerabilidades en routers Pedro Joaquín Hernández

Paulino Calderón Palé

27 / 11 / 2012

Contenido

2Wire 2701 HG

Revelación de información

Evasión de autenticación por revelación de información

Router Pharming

Huawei HG520

Mac2WepKey

Revelación de información /Listadeparametros.html

Evasión de autenticación usando /rom-0

Alcatel-Lucent

Ejecución de comandos

Backdoor

2Wire 2701 H


Evasión de autenticación por revelación de información

Router Pharming


URL mágico

Revelación de Información (URL Mágico)

Fue publicado por primera vez por Javier Liendo en agosto del 2007.

Consiste en un archivo de configuración que contiene información

importante como la clave WEP predeterminada.

El URL es:

http://home/xslt?page=mgmt_data

Revelación de clave WEP en http://home/xslt?page=mgmt_data

Evasión de autenticación

Restauración de contraseña utilizando la clave WEP predeterminada


La forma de restaurar el password

del administrador del dispositivo es

utilizando la clave WEP

predeterminada.

“Es una función, no un bug” ™.

El URL es:

http://home/xslt?PAGE=A04

Restablecer la contraseña utilizando la clave WEP en http://home/xslt?PAGE=A04

Router Pharming

Redirección de dominios

Router Pharming

La página de administración avanzada permite relacionar dominios

a direcciones IP.

El URL es:

http://home/tech

Resolución DNS en:

http://home//xslt?PAGE=J38

Redirección de dominios a direcciones IP

Huawei HG520

Mac2Wepkey

Explicación del algoritmo

Herramientas públicas

Explotación con Mac2Wepkey HHG5xx para Android

Revelación de información /Listadeparametros.html

Evasión de autenticación usando /rom-0

Mac2Wepkey

Explicación del algoritmo

Huawei HG520 y HG530

Es posible generar la WEP/WPA default de los módems

Huawei modelos HG520 y HG530.

El objetivo de esta presentación es explicar la forma en

la que desarrollamos un generador para estos

dispositivos.

Mac2wepkey en el dispositivo

Los módems Huawei modelos HG520b y HG520c cuentan con un software para generar su contraseña WEP y SSID predeterminados a partir de su dirección MAC.

El nombre de este software es mac2wepkey y se encuentra disponible en su interfaz de TELNET.

La WEP KEY default

La WEP toma valores

del 30 al 39 y del 61 al

66.

Estos valores

corresponden a los

números 1 al 9 y a las

letras a-f en

codificación ASCII.

El SSID y WEP Base

Cuando introducimos la MAC 00:00:00:00:00:00 obtenemos el SSID Base (5aba) y WEP Base (6434376537).

Obtenemos 108 listas 12 posiciones de la MAC por 9 bytes del SSID y WEP.

Utilizaremos este número para reducir la cantidad de listas repetidas y optimizar el programa final.

Listas sin XOR

Listas con XOR

De las 108 listas encontramos que existen 16 listas que se repiten, que macaremos con la letra A (A1, A2, A3...) y 33 listas que no se repiten que marcamos con la letra N (N1, N2...) para un total de 49 listas únicas.

El Patrón

Los renglones indican las listas que se utilizan para

obtener cada byte de la WEP.

El renglón 1 es la lista de listas necesarias para obtener

el primer byte de la WEP.

Ejemplo: 81:23:45:AB:CD:EF

Listas para obtener el primer carácter del SSID de

acuerdo a la posición de los bytes de la MAC.

La lista SsidA contiene las listas necesarias para obtener

el primer carácter del SSID.

El primer byte de la MAC corresponde a la lista N1.

8 1 2 3 4 5 A B C D E F

N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9 SsidA:

MAC:

0

14

10

4

8

6

2

12

0

14

10

8

6

2

12

N1

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15 12

Valor

0

A

B

C

D

E

F

El valor del primer byte es 8, si lo buscamos en la lista

N1.

Su valor corresponde a 0.

8 1 2 3 4 5 A B C D E F


MAC(x):

0 5 3 3 1 14 11 1 10 2 8 4 Valor de

la lista:

8 1 2 3 4 5 A B C D E F


MAC(x):

0 5 3 3 1 14 11 1 10 2 8 4 Valor de

la lista:

Se obtienen los valores correspondientes y se les aplica XOR agregando un

numero más que es el primer caracter de la base del SSID (5ABA).

5 0 5 3 3 1 14 11 1 10 2 8 4

8 1 2 3 4 5 A B C D E F


MAC(x):

0 5 3 3 1 14 11 1 10 2 8 4 Valor de

la lista:

Se obtienen los valores correspondientes y se les aplica XOR agregando un

numero más que es el primer caracter de la base del SSID (5ABA).

5 0 5 3 3 1 14 11 1 10 2 8 4

Obtenemos de resultado: que viene siendo el primer carácter

del SSID.

Se repite este proceso para las 4 listas del SSID y obtenemos:

1 8 5 8 SSID(x):

1

8 1 2 3 4 5 A B C D E F

A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0 WepA:

MAC(x):

10 14 0 14 7 4 8 13 0 13 8 0 Valor de

la lista:

Se repite el proceso para WEP:

8 1 2 3 4 5 A B C D E F


MAC(x):

10 14 0 14 7 4 8 13 0 13 8 0 Valor de

la lista:

Se obtienen los valores correspondientes y se les aplica XOR agregando el

primer caracter de la base de la WEP (D4E7).

13 10 14 0 14 7 4 8 13 0 13 8 0


8 1 2 3 4 5 A B C D E F


MAC(x):

10 14 0 14 7 4 8 13 0 13 8 0 Valor de

la lista:

Se obtienen los valores correspondientes y se les aplica XOR agregando el

primer caracter de la base de la WEP (D4E7).

13 10 14 0 14 7 4 8 13 0 13 8 0

Obtenemos de resultado: que al pasarlo a ASCII nos da:

Se repite este proceso para las 5 listas de la WEP y obtenemos:

3 4 3 6 WEP(x):

4


6 2 3 8 6 5

3 4

Herramientas

públicas

Versión original

Versión original en OSX

Versión original

en iPhone

Versión original en N97

“Mac2wepkey GUI “

Video flv

En Visual Basic

Versión scanner

Versión scanner en Android

Mac2Wepkey HHG5XX

Routerpwn

ROUTERPWN – www.routerpwn.com

Compilación de exploits listos para correr.

154 web exploits

11 generadores

algunos 0days :)

Adelante:

www.routerpwn.com



Hecho en HTML y Javascript. Corre en muchos dispositivos:

iPhone,

Android,

BlackBerry,

iPad,

Xoom,

Wii,

PS3,

N9x,

symbians,...



Hecho en HTML y Javascript.

Solo una página.

Se puede almacenar para

explotación sin acceso a internet

Explotación de Mac2Wepkey

Explotación de Mac2Wepkey con Routerpwn

inSSIDer v2.0

Programa para visualizar las redes inalámbricas.

Permite ver la MAC y el fabricante de los dispositivos disponibles.

Gratuito

Se puede descargar de:

http://www.metageek.net/support/downloads/

Existe versión para celular también.



IinSSIDer muestra la dirección MAC y Vendor de los puntos de acceso

Revelación de Información

Listadeparametros.html

Revelación de Información (Listadeparametros.html)

Consiste en un archivo de información que contiene información

importante como credenciales pppoe, clientes conectados, rangos de

IPs internas, nombre del punto de acceso inalámbrico, etc.

El URL es:

http://192.168.1.254/Listadeparametros.html Funciona remotamente sin autenticación

Puede ser usado para generar la contraseña inalámbrica default

Revelación de información en /Listadeparametros.html


Descompresión de /rom-0 en ZynOS

Descompresión de /rom-0

En ZynOS es posible descargar la configuración sin autenticación

El archivo rom-0 es un archivo binario comprimido en formato LSW.

El URL es:

http://192.168.1.254/rom-0 Funciona remotamente sin autenticación

Puede ser usado para obtener la contraseña inalámbrica default /

password de administrador

Evasión de autenticación por decompresión de /rom-0

Alcatel-Lucent


Backdoor


En la interfaz de administración del módem en la parte de

Diagnósticos hay una herramienta para realizar ping que es

vulnerable a ejecución de comandos.

Ejecución de comandos en herramienta de Ping

Backdoor

telecomadmin

Backdoor

Consiste en una cuenta de administración oculta a la cual no se le

puede cambiar el password.

Se encuentra en /etc/rg_telmex_alu.xml

La cuenta es:

telecomadmin

nE7jA%5m

Revelación de información en /Listadeparametros.html

Taller de explotación de

vulnerabilidades en routers

Pedro Joaquín Hernández [email protected] (@_hkm)

Paulino Calderón Palé [email protected] (@calderpwn)

WWW.WEBSEC.MX

mailto:[email protected]

mailto:[email protected]

taller de explotación de routers v3

Documents