Cómo sacar fácilmente la contraseña root del router Belkin N150

Material wifi y otros tipos de hardware Otras marcas
1

[h]¿Esto es un router?
¡No! : Es un Belkin… [/h]

https://www.wifi-libre.com/img/members/3/belkin.jpg

Fuente
[list=*]
]Path Traversal Vulnerability in Belkin Router N150 de Rahul Pratap Singh/]
[/list]

Hablemos un rato de este pequeño “exploit” puesto en circulación hoy por Rahul Pratap Singh

https://www.wifi-libre.com/img/members/3/bel2.jpg

Es pequeño, lo pongo aqui :

[code]# Title: Path Traversal Vulnerability

Product: Belkin Router N150

Author: Rahul Pratap Singh

Website: https://0x62626262.wordpress.com

Contact:

Linkedin: https://in.linkedin.com/in/rahulpratapsingh94
Twitter: @0x62626262

Vendor Homepage: http://www.belkin.com

Firmware Tested: 1.00.08, 1.00.09

CVE: 2014-2962

Description:
Belkin N150 wireless router firmware versions 1.00.07 and earlier contain a
path traversal vulnerability through the built-in web interface. The
webproc cgi
module accepts a getpage parameter which takes an unrestricted file path as
input. The web server runs with root privileges by default, allowing a
malicious attacker to read any file on the system.

A patch was released by Belkin but that is still vulnerable.

POC:
http://192.168.2.1/cgi-bin/webproc?getpage=/etc/passwd&var:page=deviceinfo
#root:x:0:0:root:/root:/bin/bash root:x:0:0:root:/root:/bin/sh
#tw:x:504:504::/home/tw:/bin/bash #tw:x:504:504::/home/tw:/bin/msh

Ref:
https://www.kb.cert.org/vuls/id/774788
https://0x62626262.wordpress.com/category/full-disclosure/
[/code]

Podemos ver que con una petición https directa con datos POST >

http://192.168.2.1/cgi-bin/webproc?getpage=/etc/passwd&var:page=deviceinfo

Podemos obtener los credenciales de administrador (guardados en texto pano :pam: ) >

#root:x:0:0:root:/root:/bin/bash root:x:0:0:root:/root:/bin/sh #tw:x:504:504::/home/tw:/bin/bash #tw:x:504:504::/home/tw:/bin/msh

Esto en si es grave.
Es grave que un fabricante guarde las contraseñas en texto claro.
Es grave que se pueda pasear por toda la interfaz sin ninguna contraseña
Unos errores de principiante inadmisibles para una empresa del tamaño y con la experiencia de Belkin (primer fabricante norte americano de puntos de acceso)

Lo más grave no es esto: Lo más grave es que los de Belkin fueron incapaces de arreglar la brecha.

Es inconcebible que no sean capaces de pasar por una función de hash las contraseñas en lugar de guardar las en texto claro
No se puede ser así de incompetentes : No es posible.
Prefiero creer que los marcianos han tomado el poder en **Belkin **y ponen puertas traseras en los routers para llevar a cabo su plan malvado para invadir el planeta.
Duele menos la lógica que pensar que unos ingenieros con sueldos a 5 cifras en una multinacional no sepan pasar una cadena por sha-1.
De hecho los corredores del equipo de ciclismo **belkin ** llevan …camisas verdes… …verde… …¡Como los marcianos! : ¡ Es un signo!

Ya he puesto la fuente…
¿Un consejo para arreglar el fallo? … No comprar jamás un router belkin.
Pagas por la marca… que no vale para nada. No es para nada sinónimo de cualidad o de buen soporte.
Y si tienes uno, mirra si no puedes pasar a open-wrt o dd-wrt,
Es la mejor decisión que podrás tomar. .

2

[h]Mas brechas en este dispositivo… cortesía de Rahul Pratap Singh [/h]

El investigador Rahul Pratap Singh sigue estudiando este punto de acceso de la mano de Belkin y ha hecho publicas nada menos que cuatro brechas más…
[list=*]
]Belkin N150 XSS / CSRF / Session Hijacking/]
[/list]
La cuenta esta salada…

[h]inyección de script por html[/h]

Si eres de humor para hacer bromitas puedes impedir al administrador del router el acceso a los parámetros en la interfaz web
Para ello, una vez que has explotado la primera brecha, cambias el idioma a otro lenguaje que inglés y interceptas la petición.
La vuelves a mandar modificada con un pequeño payload y la interfaz web parrará de funcionar…
Prueba en imágenes :
[video]youtube.com/watch?v=EIO7ekeT-HQ[/video]
Todos los parámetros desaparecen de la interfaz y no se puede hacer nada…

[h]“Secuestro” de sesión [/h]

Miremos la pinta que tiene un coockie legitimo

Cookie: sessionid=7cf2e9c5; auth=ok; expires=Sun, 15-May-2102 01:45:46 GMT

El numero de identificación de una sesión tiene una longitud fija de ocho caracteres y se usan símbolos hexadecimales (juego de caracteres)
Demasiado flojo…
…Un intruso puede plantearse llevar un ataque de fuerza bruta para crackear el numero de identificación y usarlo para re-configurar el punto de acceso.

[h]Telnet habilitado por defecto con credenciales… root:root[/h]

Es un habito pésimo que tienen algunos fabricantes/ISP al dejar activados protocolos como ftp. telnet…
… La mayoría de los usuarios no los usarán jamás y no tienen ni idea de que son o a que sirven.
Por otro lado el usuario quien quiere usarlos es alguien con un mínimo de conocimientos y es perfectamente capaz de habilitar o deshabilitar el protocolo desde la interfaz.
Así que tener estos protocolos abiertos por defecto solo sirve a los intrusos en búsqueda de una puerta trasera.
Si además los credenciales son del palo root:root, admin:admin o 1234:1234 etc… ¡Es pan comido!
https://www.wifi-libre.com/img/members/3/kin.jpg
¡Pa’ dentro!

[h]Las peticiones no están protegidas por CSRF-token (riesgo de falsificación de petición en sitios cruzados)[/h]

Se puede forjar cualquier petición ilegitima sin problemas ya que las peticiones no llevan “token” (numero largo único) para identificar y atestar de la legitimidad de las acciones llevadas por un usuario.
Otro error básico por parte de los de belkin quienes los han acumulados en este router…

Todos los detalles sobre estos nuevos descubrimientos en el blog de Rahul :
[list=*]
]Belkin N150 Router Multiple Vulnerabilities en el blog de Rahul Pratap Singh/]
[/list]