Taller de explotación de vulnerabilidades en routers Pedro Joaquín Hernández Paulino Calderón Palé
27 / 11 / 2012
Contenido 2Wire 2701 HG Revelación de información Evasión de autenticación por revelación de información Router Pharming
Huawei HG520 Mac2WepKey Revelación de información /Listadeparametros.html Evasión de autenticación usando /rom-0
Alcatel-Lucent Ejecución de comandos Backdoor
2Wire 2701 H Revelación de información Evasión de autenticación por revelación de información
Router Pharming
URL mágico
Revelación de información
Revelación de Información (URL Mágico) Fue publicado por primera vez por Javier Liendo en agosto del 2007. Consiste en un archivo de configuración que contiene información importante como la clave WEP predeterminada. El URL es:
http://home/xslt?page=mgmt_data
Revelación de clave WEP en http://home/xslt?page=mgmt_data
Restauración de contraseña utilizando la clave WEP predeterminada
Evasión de autenticación
Evasión de autenticación La forma de restaurar el password del administrador del dispositivo es utilizando la clave WEP predeterminada. “Es una función, no un bug” ™. El URL es:
http://home/xslt?PAGE=A04
Restablecer la contraseña utilizando la clave WEP en http://home/xslt?PAGE=A04
Redirección de dominios
Router Pharming
Router Pharming La página de administración avanzada permite relacionar dominios a direcciones IP. El URL es:
http://home/tech
Resolución DNS en:
http://home//xslt?PAGE=J38
Redirección de dominios a direcciones IP
Huawei HG520 Mac2Wepkey Explicación del algoritmo Herramientas públicas Explotación con Mac2Wepkey HHG5xx para Android
Revelación de información /Listadeparametros.html Evasión de autenticación usando /rom-0
Explicación del algoritmo
Mac2Wepkey
Huawei HG520 y HG530
Es posible generar la WEP/WPA default de los módems Huawei modelos HG520 y HG530. El objetivo de esta presentación es explicar la forma en la que desarrollamos un generador para estos dispositivos.
Mac2wepkey en el dispositivo Los módems Huawei modelos HG520b y HG520c cuentan con un software para generar su contraseña WEP y SSID predeterminados a partir de su dirección MAC.
El nombre de este software es mac2wepkey y se encuentra disponible en su interfaz de TELNET.
La WEP KEY default La WEP toma valores del 30 al 39 y del 61 al 66. Estos valores corresponden a los números 1 al 9 y a las letras a-f en codificación ASCII.
El SSID y WEP Base
Cuando introducimos la MAC 00:00:00:00:00:00 obtenemos el SSID Base (5aba) y WEP Base (6434376537).
Obtenemos 108 listas 12 posiciones de la MAC por 9 bytes del SSID y WEP.
Utilizaremos este número para reducir la cantidad de listas repetidas y optimizar el programa final.
Listas sin XOR
Listas con XOR
De las 108 listas encontramos que existen 16 listas que se repiten, que macaremos con la letra A (A1, A2, A3...) y 33 listas que no se repiten que marcamos con la letra N (N1, N2...) para un total de 49 listas únicas.
El Patrón
Los renglones indican las listas que se utilizan para obtener cada byte de la WEP.
El renglón 1 es la lista de listas necesarias para obtener el primer byte de la WEP.
Ejemplo: 81:23:45:AB:CD:EF MAC:
8
1
2
3
4
5
A
B
C
D
E
F
SsidA: N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9
Listas para obtener el primer carácter del SSID de acuerdo a la posición de los bytes de la MAC. La lista SsidA contiene las listas necesarias para obtener el primer carácter del SSID. El primer byte de la MAC corresponde a la lista N1.
Valor
N1
0 1 2 3 4
0 14 10 4 8 6 2 12 0 14 10 8 6 2 12 12
5 6 7 8 A B C
9 10 11 12
D E F
13 14 15
El valor del primer byte es 8, si lo buscamos en la l N1. Su valor corresponde a 0.
MAC(x):
8
1
2
3
4
5
A
B
C
D
E
F
SsidA: N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9
Valor de la lista:
0
5
3
3
1
14
11
1
10
2
8
4
MAC(x):
8
1
2
3
4
5
A
B
C
D
E
F
SsidA: N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9
Valor de la lista:
0
5
3
3
1
14
11
1
10
2
8
4
Se obtienen los valores correspondientes y se les aplica XOR agregando un numero más que es el primer caracter de la base del SSID (5ABA). 0
5
3
3
1
14
11
1
10
2
8
4
5
MAC(x):
8
1
2
3
4
5
A
B
C
D
E
F
SsidA: N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9
Valor de la lista:
0
5
3
3
1
14
11
1
10
2
8
4
Se obtienen los valores correspondientes y se les aplica XOR agregando un numero más que es el primer caracter de la base del SSID (5ABA). 0
5
3
3
1
14
11
1
10
2
8
4
1 Obtenemos de resultado: que viene siendo el primer carácter del SSID. Se repite este proceso para las 4 listas del SSID y obtenemos: SSID(x): 1
8
5
8
5
Se repite el proceso para WEP: MAC(x):
8
1
2
3
4
5
A
B
C
D
E
F
WepA:
A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0
Valor de la lista:
10
14
0
14
7
4
8
13
0
13
8
0
Se repite el proceso para WEP: MAC(x):
8
1
2
3
4
5
A
B
C
D
E
F
WepA:
A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0
Valor de la lista:
10
14
0
14
7
4
8
13
0
13
8
0
Se obtienen los valores correspondientes y se les aplica XOR agregando el primer caracter de la base de la WEP (D4E7). 10
14
0
14
7
4
8
13
0
13
8
0
13
Se repite el proceso para WEP: MAC(x):
8
1
2
3
4
5
A
B
C
D
E
F
WepA:
A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0
Valor de la lista:
10
14
0
14
7
4
8
13
0
13
8
0
Se obtienen los valores correspondientes y se les aplica XOR agregando el primer caracter de la base de la WEP (D4E7). 10
14
0
14
7
4
8
13
0
13
8
0
4 que al pasarlo a ASCII nos da:
Obtenemos de resultado:
3
Se repite este proceso para las 5 listas de la WEP y obtenemos: WEP(x): 3
4
3
6
6
2
3
8
6
13
5
4
Herramientas públicas
Versión original
Versión original en OSX
Versión original en iPhone
Versión original en N97
“Mac2wepkey GUI “ Video flv
En Visual Basic
Versión scanner
Versión scanner en Android Mac2Wepkey HHG5XX
Versión scanner en Android Mac2Wepkey HHG5XX
Routerpwn
ROUTERPWN – www.routerpwn.com Compilación de exploits listos para correr. 154 web exploits
11 generadores algunos 0days :)
Adelante:
www.routerpwn.com
ROUTERPWN – www.routerpwn.com Compilación de exploits listos para correr. Hecho en HTML y Javascript.
Corre en muchos dispositivos: iPhone, Android, BlackBerry, iPad, Xoom, Wii, PS3, N9x, symbians,...
ROUTERPWN – www.routerpwn.com Compilación de exploits listos para correr. Hecho en HTML y Javascript. Solo una página. Se puede almacenar para explotación sin acceso a internet
Explotación de Mac2Wepkey con Routerpwn
Explotación de Mac2Wepkey
inSSIDer v2.0 Programa para visualizar las redes inalámbricas. Permite ver la MAC y el fabricante de los dispositivos disponibles. Gratuito Se puede descargar de:
http://www.metageek.net/support/downloads/ Existe versión para celular también.
IinSSIDer muestra la dirección MAC y Vendor de los puntos de acceso
Listadeparametros.html
Revelación de Información
Revelación de Información (Listadeparametros.html) Consiste en un archivo de información que contiene información importante como credenciales pppoe, clientes conectados, rangos de IPs internas, nombre del punto de acceso inalámbrico, etc. El URL es:
http://192.168.1.254/Listadeparametros.html Funciona remotamente sin autenticación Puede ser usado para generar la contraseña inalámbrica default
Revelación de información en /Listadeparametros.html
Descompresión de /rom-0 en ZynOS
Evasión de autenticación
Descompresión de /rom-0 En ZynOS es posible descargar la configuración sin autenticación El archivo rom-0 es un archivo binario comprimido en formato LSW. El URL es:
http://192.168.1.254/rom-0 Funciona remotamente sin autenticación Puede ser usado para obtener la contraseña inalámbrica default / password de administrador
Evasión de autenticación por decompresión de /rom-0
Alcatel-Lucent Ejecución de comandos Backdoor
Ejecución de comandos
Ejecución de comandos En la interfaz de administración del módem en la parte de Diagnósticos hay una herramienta para realizar ping que es vulnerable a ejecución de comandos.
Ejecución de comandos en herramienta de Ping
telecomadmin
Backdoor
Backdoor Consiste en una cuenta de administración oculta a la cual no se le puede cambiar el password. Se encuentra en /etc/rg_telmex_alu.xml La cuenta es:
telecomadmin nE7jA%5m
Revelación de información en /Listadeparametros.html
Taller de explotación de vulnerabilidades en routers Pedro Joaquín Hernández
[email protected] (@_hkm) Paulino Calderón Palé
[email protected] (@calderpwn)
WWW.WEBSEC.MX
