Professional Documents
Culture Documents
27 / 11 / 2012
Contenido
2Wire 2701 HG
Revelacin de informacin
Evasin de autenticacin por revelacin de informacin Router Pharming
Huawei HG520
Mac2WepKey
Revelacin de informacin /Listadeparametros.html Evasin de autenticacin usando /rom-0
Alcatel-Lucent
Ejecucin de comandos
Backdoor
2Wire 2701 H
Revelacin de informacin Evasin de autenticacin por revelacin de informacin
Router Pharming
URL mgico
Revelacin de informacin
http://home/xslt?page=mgmt_data
Evasin de autenticacin
Evasin de autenticacin
La forma de restaurar el password del administrador del dispositivo es utilizando la clave WEP predeterminada.
Es una funcin, no un bug . El URL es:
http://home/xslt?PAGE=A04
Redireccin de dominios
Router Pharming
Router Pharming
La pgina de administracin avanzada permite relacionar dominios a direcciones IP.
El URL es:
http://home/tech
Resolucin DNS en:
http://home//xslt?PAGE=J38
Huawei HG520
Mac2Wepkey
Explicacin del algoritmo Herramientas pblicas Explotacin con Mac2Wepkey HHG5xx para Android
Mac2Wepkey
Es posible generar la WEP/WPA default de los mdems Huawei modelos HG520 y HG530.
El objetivo de esta presentacin es explicar la forma en la que desarrollamos un generador para estos dispositivos.
Mac2wepkey en el dispositivo
Los mdems Huawei modelos HG520b y HG520c cuentan con un software para generar su contrasea WEP y SSID predeterminados a partir de su direccin MAC.
Cuando introducimos la MAC 00:00:00:00:00:00 obtenemos el SSID Base (5aba) y WEP Base (6434376537). Obtenemos 108 listas 12 posiciones de la MAC por 9 bytes del SSID y WEP. Utilizaremos este nmero para reducir la cantidad de listas repetidas y optimizar el programa final.
De las 108 listas encontramos que existen 16 listas que se repiten, que macaremos con la letra A (A1, A2, A3...) y 33 listas que no se repiten que marcamos con la letra N (N1, N2...) para un total de 49 listas nicas.
El Patrn
Los renglones indican las listas que se utilizan para obtener cada byte de la WEP.
Ejemplo: 81:23:45:AB:CD:EF
MAC: 8 1 2 3 4 5 A B C D E F
SsidA: N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9
Listas para obtener el primer carcter del SSID de acuerdo a la posicin de los bytes de la MAC. La lista SsidA contiene las listas necesarias para obtener el primer carcter del SSID. El primer byte de la MAC corresponde a la lista N1.
Valor 0 1 2 3 4 5 6 7 8 A B C D E F 9 10 11 12 13 14 15
N1 0 14 10 4 8 6 2 12 0 14 10 8 6 2 12 12
MAC(x):
SsidA: N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9
Valor de la lista:
14
11
10
MAC(x):
SsidA: N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9
Valor de la lista:
14
11
10
Se obtienen los valores correspondientes y se les aplica XOR agregando un numero ms que es el primer caracter de la base del SSID (5ABA). 0 5 3 3 1 14 11 1 10 2 8 4 5
MAC(x):
SsidA: N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9
Valor de la lista:
14
11
10
Se obtienen los valores correspondientes y se les aplica XOR agregando un numero ms que es el primer caracter de la base del SSID (5ABA). 0 5 3 3 1 14 11 1 10 2 8 4 5
1 Obtenemos de resultado: que viene siendo el primer carcter del SSID. Se repite este proceso para las 4 listas del SSID y obtenemos: SSID(x): 1 8 5 8
WepA:
A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0
Valor de la lista:
10
14
14
13
13
WepA:
A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0
Valor de la lista:
10
14
14
13
13
Se obtienen los valores correspondientes y se les aplica XOR agregando el primer caracter de la base de la WEP (D4E7). 10 14 0 14 7 4 8 13 0 13 8 0 13
WepA:
A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0
Valor de la lista:
10
14
14
13
13
Se obtienen los valores correspondientes y se les aplica XOR agregando el primer caracter de la base de la WEP (D4E7). 10 14 0 14 7 4 8 13 0 13 8 0 13
Obtenemos de resultado:
Herramientas pblicas
Versin original
Mac2wepkey GUI
Video flv
En Visual Basic
Versin scanner
Routerpwn
ROUTERPWN www.routerpwn.com
Compilacin de exploits listos para correr.
154 web exploits
11 generadores
algunos 0days :)
Adelante:
www.routerpwn.com
ROUTERPWN www.routerpwn.com
Compilacin de exploits listos para correr.
Hecho en HTML y Javascript. Corre en muchos dispositivos:
iPhone,
Android, BlackBerry, iPad, Xoom, Wii, PS3, N9x, symbians,...
ROUTERPWN www.routerpwn.com
Compilacin de exploits listos para correr.
Hecho en HTML y Javascript. Solo una pgina. Se puede almacenar para explotacin sin acceso a internet
Explotacin de Mac2Wepkey
inSSIDer v2.0
Programa para visualizar las redes inalmbricas.
Permite ver la MAC y el fabricante de los dispositivos disponibles. Gratuito Se puede descargar de:
http://www.metageek.net/support/downloads/
Existe versin para celular tambin.
Listadeparametros.html
Revelacin de Informacin
http://192.168.1.254/Listadeparametros.html
Funciona remotamente sin autenticacin Puede ser usado para generar la contrasea inalmbrica default
Evasin de autenticacin
Descompresin de /rom-0
En ZynOS es posible descargar la configuracin sin autenticacin
El archivo rom-0 es un archivo binario comprimido en formato LSW. El URL es:
http://192.168.1.254/rom-0
Funciona remotamente sin autenticacin Puede ser usado para obtener la contrasea inalmbrica default / password de administrador
Alcatel-Lucent
Ejecucin de comandos Backdoor
Ejecucin de comandos
Ejecucin de comandos
En la interfaz de administracin del mdem en la parte de Diagnsticos hay una herramienta para realizar ping que es vulnerable a ejecucin de comandos.
telecomadmin
Backdoor
Backdoor
Consiste en una cuenta de administracin oculta a la cual no se le puede cambiar el password.
Se encuentra en /etc/rg_telmex_alu.xml La cuenta es:
telecomadmin
nE7jA%5m
WWW.WEBSEC.MX