Taller de explotacin de vulnerabilidades en routers

Pedro Joaqun Hernndez

Paulino Caldern Pal

27 / 11 / 2012

Contenido
2Wire 2701 HG
Revelacin de informacin
Evasin de autenticacin por revelacin de informacin Router Pharming

Huawei HG520
Mac2WepKey
Revelacin de informacin /Listadeparametros.html Evasin de autenticacin usando /rom-0

Alcatel-Lucent
Ejecucin de comandos
Backdoor

2Wire 2701 H
Revelacin de informacin Evasin de autenticacin por revelacin de informacin

Router Pharming

URL mgico

Revelacin de informacin

Revelacin de Informacin (URL Mgico)

Fue publicado por primera vez por Javier Liendo en agosto del 2007.
Consiste en un archivo de configuracin que contiene informacin importante como la clave WEP predeterminada. El URL es:

http://home/xslt?page=mgmt_data

Revelacin de clave WEP en http://home/xslt?page=mgmt_data

Restauracin de contrasea utilizando la clave WEP predeterminada

Evasin de autenticacin

Evasin de autenticacin
La forma de restaurar el password del administrador del dispositivo es utilizando la clave WEP predeterminada.
Es una funcin, no un bug . El URL es:

http://home/xslt?PAGE=A04

Restablecer la contrasea utilizando la clave WEP en http://home/xslt?PAGE=A04

Redireccin de dominios

Router Pharming

Router Pharming
La pgina de administracin avanzada permite relacionar dominios a direcciones IP.
El URL es:

http://home/tech
Resolucin DNS en:

http://home//xslt?PAGE=J38

Redireccin de dominios a direcciones IP

Huawei HG520
Mac2Wepkey
Explicacin del algoritmo Herramientas pblicas Explotacin con Mac2Wepkey HHG5xx para Android

Revelacin de informacin /Listadeparametros.html Evasin de autenticacin usando /rom-0

Explicacin del algoritmo

Mac2Wepkey

Huawei HG520 y HG530

Es posible generar la WEP/WPA default de los mdems Huawei modelos HG520 y HG530.
El objetivo de esta presentacin es explicar la forma en la que desarrollamos un generador para estos dispositivos.

Mac2wepkey en el dispositivo
Los mdems Huawei modelos HG520b y HG520c cuentan con un software para generar su contrasea WEP y SSID predeterminados a partir de su direccin MAC.

El nombre de este software es mac2wepkey y se encuentra disponible en su interfaz de TELNET.

La WEP KEY default

La WEP toma valores del 30 al 39 y del 61 al 66. Estos valores corresponden a los nmeros 1 al 9 y a las letras a-f en codificacin ASCII.

El SSID y WEP Base

Cuando introducimos la MAC 00:00:00:00:00:00 obtenemos el SSID Base (5aba) y WEP Base (6434376537). Obtenemos 108 listas 12 posiciones de la MAC por 9 bytes del SSID y WEP. Utilizaremos este nmero para reducir la cantidad de listas repetidas y optimizar el programa final.

Listas sin XOR

Listas con XOR

De las 108 listas encontramos que existen 16 listas que se repiten, que macaremos con la letra A (A1, A2, A3...) y 33 listas que no se repiten que marcamos con la letra N (N1, N2...) para un total de 49 listas nicas.

El Patrn

Los renglones indican las listas que se utilizan para obtener cada byte de la WEP.

El rengln 1 es la lista de listas necesarias para obtener el primer byte de la WEP.

Ejemplo: 81:23:45:AB:CD:EF
MAC: 8 1 2 3 4 5 A B C D E F

SsidA: N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9

Listas para obtener el primer carcter del SSID de acuerdo a la posicin de los bytes de la MAC. La lista SsidA contiene las listas necesarias para obtener el primer carcter del SSID. El primer byte de la MAC corresponde a la lista N1.

Valor 0 1 2 3 4 5 6 7 8 A B C D E F 9 10 11 12 13 14 15

N1 0 14 10 4 8 6 2 12 0 14 10 8 6 2 12 12

El valor del primer byte es 8, si lo buscamos en la l N1. Su valor corresponde a 0.

MAC(x):

SsidA: N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9

Valor de la lista:

14

11

10

MAC(x):

SsidA: N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9

Valor de la lista:

14

11

10

Se obtienen los valores correspondientes y se les aplica XOR agregando un numero ms que es el primer caracter de la base del SSID (5ABA). 0 5 3 3 1 14 11 1 10 2 8 4 5

MAC(x):

SsidA: N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9

Valor de la lista:

14

11

10

Se obtienen los valores correspondientes y se les aplica XOR agregando un numero ms que es el primer caracter de la base del SSID (5ABA). 0 5 3 3 1 14 11 1 10 2 8 4 5

1 Obtenemos de resultado: que viene siendo el primer carcter del SSID. Se repite este proceso para las 4 listas del SSID y obtenemos: SSID(x): 1 8 5 8

Se repite el proceso para WEP: MAC(x): 8 1 2 3 4 5 A B C D E F

WepA:

A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0

Valor de la lista:

10

14

14

13

13

Se repite el proceso para WEP: MAC(x):

WepA:

A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0

Valor de la lista:

10

14

14

13

13

Se obtienen los valores correspondientes y se les aplica XOR agregando el primer caracter de la base de la WEP (D4E7). 10 14 0 14 7 4 8 13 0 13 8 0 13

Se repite el proceso para WEP:

MAC(x): 8 1 2 3 4 5 A B C D E F

WepA:

A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0

Valor de la lista:

10

14

14

13

13

Se obtienen los valores correspondientes y se les aplica XOR agregando el primer caracter de la base de la WEP (D4E7). 10 14 0 14 7 4 8 13 0 13 8 0 13

Obtenemos de resultado:

4 que al pasarlo a ASCII nos da:

Se repite este proceso para las 5 listas de la WEP y obtenemos: WEP(x): 3 4 3 6 6 2 3 8 6 5

Herramientas pblicas

Versin original

Versin original en OSX

Versin original en iPhone

Versin original en N97

Mac2wepkey GUI
Video flv

En Visual Basic

Versin scanner

Versin scanner en Android Mac2Wepkey HHG5XX

Versin scanner en Android Mac2Wepkey HHG5XX

Routerpwn

ROUTERPWN www.routerpwn.com
Compilacin de exploits listos para correr.
154 web exploits

11 generadores
algunos 0days :)

Adelante:

www.routerpwn.com

ROUTERPWN www.routerpwn.com
Compilacin de exploits listos para correr.
Hecho en HTML y Javascript. Corre en muchos dispositivos:
iPhone,
Android, BlackBerry, iPad, Xoom, Wii, PS3, N9x, symbians,...

ROUTERPWN www.routerpwn.com
Compilacin de exploits listos para correr.
Hecho en HTML y Javascript. Solo una pgina. Se puede almacenar para explotacin sin acceso a internet

Explotacin de Mac2Wepkey con Routerpwn

Explotacin de Mac2Wepkey

inSSIDer v2.0
Programa para visualizar las redes inalmbricas.
Permite ver la MAC y el fabricante de los dispositivos disponibles. Gratuito Se puede descargar de:

http://www.metageek.net/support/downloads/
Existe versin para celular tambin.

IinSSIDer muestra la direccin MAC y Vendor de los puntos de acceso

Listadeparametros.html

Revelacin de Informacin

Revelacin de Informacin (Listadeparametros.html)

Consiste en un archivo de informacin que contiene informacin importante como credenciales pppoe, clientes conectados, rangos de IPs internas, nombre del punto de acceso inalmbrico, etc.
El URL es:

http://192.168.1.254/Listadeparametros.html
Funciona remotamente sin autenticacin Puede ser usado para generar la contrasea inalmbrica default

Revelacin de informacin en /Listadeparametros.html

Descompresin de /rom-0 en ZynOS

Evasin de autenticacin

Descompresin de /rom-0
En ZynOS es posible descargar la configuracin sin autenticacin
El archivo rom-0 es un archivo binario comprimido en formato LSW. El URL es:

http://192.168.1.254/rom-0
Funciona remotamente sin autenticacin Puede ser usado para obtener la contrasea inalmbrica default / password de administrador

Evasin de autenticacin por decompresin de /rom-0

Alcatel-Lucent
Ejecucin de comandos Backdoor

Ejecucin de comandos

Ejecucin de comandos
En la interfaz de administracin del mdem en la parte de Diagnsticos hay una herramienta para realizar ping que es vulnerable a ejecucin de comandos.

Ejecucin de comandos en herramienta de Ping

telecomadmin

Backdoor

Backdoor
Consiste en una cuenta de administracin oculta a la cual no se le puede cambiar el password.
Se encuentra en /etc/rg_telmex_alu.xml La cuenta es:

telecomadmin
nE7jA%5m

Revelacin de informacin en /Listadeparametros.html

Taller de explotacin de vulnerabilidades en routers

Pedro Joaqun Hernndez pjoaquin@websec.mx (@_hkm) Paulino Caldern Pal calderon@websec.mx (@calderpwn)

WWW.WEBSEC.MX