Foro Wifi-libre.com

Pon a prueba la seguridad de los Puntos de Acceso con Routersploit

Un programa inspirado en metasploit pero más liviano y más simple ya que enteramente dedicado al audit de routers.

  Metasploit es una herramienta muy potente y una referencia absoluta.
Pero tanta potencia tiene su precio: Se actualiza mucho (hay que actualizar su Kali a menudo), ocupa espacio, su lanzamiento no es rápido, ya que debe cargar una db extensa.
Al tener tantas cosas es fácil perdernos y tenemos la impresión de sacar y preparar todas nuestras herramientas para clavar un simple clavo en una madera.

  Routersploit nos ofrece una solución alternativa rápida y liviana.
Personalmente creo que al menos tres de cuatro veces uso metasploit para comprobar un router y probablemente me bastaría con routersploit.

Instalación

 
Obviamente y lógicamente, el método aconsejado en Kali es usar nuestros repositorios. Tenemos la suerte de tenerlo y requiere actualizarse de vez en cuando, todo se hará automáticamente con apt upgrade.

sudo apt install routersploit

  Si no usamos Kali tampoco es complicado
La ayuda del repositorio proporciona instrucciones para una instalación "manual"
He probado en debian sid y ha ido sobre ruedas.

1. Lo primero es instalar el gestor de paquetes para python: pip. Y necesitaremos a git. En Kali, debian, ubuntu, linux mint etc... se hace con

   sudo apt install python3-pip git

2. Descargamos el repositorio con

   git clone https://www.github.com/threat9/routersploit

3. Instalamos las dependencias exclusivas de python con pip

   cd routersploit
   python3 -m pip install -r requirements.txt

4. Para ejecutar routersploit invocamos antes a python desde la misma ubicación

   python3 rsf.py

Poniendo a prueba la seguridad de su router

 
  Desde mi Kali, abro una consola y ejecuto

routersploit

  Estamos adentro del "framework" que se llama "rsf " utilizando su cli.

  Vamos a ir directo al grano y hacer el ataque automatizado, es muy simple:

1. Para el ataque "todo en uno" del vago feliz de la vida entramos ahora

   use scanners/autopwn

2. Entramos ahora la IP del router que queremos estudiar, muy probablemente así:

   target 192.168.1.1

   Si queremos estudiar nuestra red "desde fuera" pondremos nuestra ip publica, funciona también, no hay restricciones,

3. Ejecutamos el ataque con

   run

  Hay tres etapas:

1. Se ejecutan los exploits
   

2. Se hacen ataques de fuerza bruta rápidos sobre la interfaz de gestión web, telnet, ssh etc..
   

3. Y tenemos finalmente al reporte
   

1. Siempre saldrán unos cuantos "Could not confirm vulnerability" y lo más probable es que no se pueden explotar con su PA. En mi caso mi router es un Alfa network y los exploits que no se han podido comprobar son para D-link, Cisco... 

2. No se han encontrado vulnerabilidades

3. No se han craqueado ningún credencial

  Antes de ejecutar Routersploit contra un PA de mi cajón que tiene una brecha chunga para ver si la detecta, veamos algo más de su manejo.
La ayuda es corta:

rsf (AutoPwn) > help
Global commands:
    help                        Print this help menu
    use <module>                Select a module for usage
    exec <shell command> <args> Execute a command in a shell
    search <search term>        Search for appropriate module
    exit                        Exit RouterSploit

 Module commands:
    run                                 Run the selected module with the given options
    back                                De-select the current module
    set <option name> <option value>    Set an option for the selected module
    setg <option name> <option value>   Set an option for all of the modules
    unsetg <option name>                Unset option that was set globally
    show [info|options|devices]         Print information, options, or target devices for a module
    check                               Check if a given target is vulnerable to a selected module's exploit
rsf (AutoPwn) > 

  En las ordenes globales, ya hemos empleado use,
help, exit y search se entienden de sobra.
Queda exec que sirve para ejecutar ordenes bash con nuestro prompt para explotar la brecha de seguridad que encontramos o mirar la hora.... Podemos hacer lo mismo abriendo una segunda consola. Pero si usamos un PI mediante ssh estaremos muy contentos de no tener que cerrar y reiniciar Routersploit cada vez que queremos hacer algo de nuestro lado.     
 
  En los comandos de modulo hemos usado run para ejecutar el ataque automático
back se entiende sin problemas, luego tenemos tres comandos para jugar con variables.
¿Cuáles?
Aquellas que veremos al emplear el comando show y el argumento options

rsf (AutoPwn) > show options

Target options:

   Name       Current settings     Description                     
   ----       ----------------     -----------                     
   target     192.168.26.1         Target IPv4 or IPv6 address     


Module options:

   Name           Current settings     Description                           
   ----           ----------------     -----------                           
   vendor         any                  Vendor concerned (default: any)       
   http_use       true                 Check HTTP[s] service: true/false     
   http_ssl       false                HTTPS enabled: true/false             
   ftp_use        true                 Check FTP[s] service: true/false      
   ftp_ssl        false                FTPS enabled: true/false              
   ssh_use        true                 Check SSH service: true/false         
   telnet_use     true                 Check Telnet service: true/false      
   snmp_use       true                 Check SNMP service: true/false        
   threads        8                    Number of threads                     

Imaginamos que nuestra interfaz de usuario este en https...
Ahora mismo está configurada par http (http_sll = falso)
Para cambiar ello podemos usar set (solo un modulo) o setg (todos)

Mientras tanto he sacado mi router con su super backdoor: super : super
No es broma:

ver: Crack de credenciales sobre múltiples protocolos con Hydra-THC
       Backdoor permanente presente en millones de routers con chip Realtek

   No he visto modulo dedicado pero con el brute force hay posibilidades de que incluye este combo.
Resultado:

1. No tiene a super:super en su brute force

2. No "pasa" nada porque tengo a otra brecha en mi totolink

  Perfecto, vamos a ver el lado ofensivo, no es un simple escaneo de vulnerabilidades pero in entorno completo para explotación delas brechas de seguridad

1. Activamos el modulo

   use exploits/routers/linksys/eseries_themoon_rce

2. Especificamos la IP del router

   target 192.168.3.1

3. Empieza la fiesta

   run

Es una consola reversa pero "a ciegas"
Inyectamos comandos sin tener idea del resultado en consola
No es un prompt en todas reglas pero es efficaz:

1. Ejecuto un comando cualquiera en el dispositivo

2. Ejecuto reboot

3. Al intentar ejecutar ls otra vez inmediatamente después el reinicio, la consola se queda muda un rato y devuelve un "error de conexión"
   El reinicio no está acabado...,
   Pasado un tiempo puedo inyectar de nuevo

No voy a martirizar más mi totolink porque ir a ciegas es molesto.
Para saber más sobre el modulo que acabamos de usar

show info

Vemos la lista. Incompleta ya que no sale mi totolink pero supongo que usan la misma SDK Realtek y que es otra brecha que tiene.
Lastima porque el router es decente wifisticamente hablando y barato.
Pero vemos que no se puede usar de router fuente ya que acabará en un botnet.

Conclusión

:

Routersploit se inspira claramente de metasploit, no solo por el nombre pero en la lógica interna del programa.
Es un escaneo "ofensivo" pensado para comprobación y explotación de brechas.
  El modulo autopwd (exploits + brute force credenciales) es muy rápido,
  Me parece una muy buena opción para tener muy rápido un shell reversa.
   Muy recomendable.

fuentes

• Routersploit @ Github

• Routersploit @ Kali