Cómo sacar fácilmente la contraseña root del router Belkin N150

kcdtv · 20-10-2015 19:28:31

¿Esto es un router?
¡No! : Es un Belkin...

Fuente

Path Traversal Vulnerability in Belkin Router N150 de Rahul Pratap Singh

Hablemos un rato de este pequeño "exploit" puesto en circulación hoy por Rahul Pratap Singh

Es pequeño, lo pongo aqui :

# Title: Path Traversal Vulnerability
# Product: Belkin Router N150
# Author: Rahul Pratap Singh
# Website: https://0x62626262.wordpress.com
# Contact:
   Linkedin: https://in.linkedin.com/in/rahulpratapsingh94
   Twitter: @0x62626262
# Vendor Homepage: http://www.belkin.com
# Firmware Tested: 1.00.08, 1.00.09
# CVE: 2014-2962

Description:
Belkin N150 wireless router firmware versions 1.00.07 and earlier contain a
path traversal vulnerability through the built-in web interface. The
webproc cgi
module accepts a getpage parameter which takes an unrestricted file path as
input. The web server runs with root privileges by default, allowing a
malicious attacker to read any file on the system.

A patch was released by Belkin but that is still vulnerable.

POC:
http://192.168.2.1/cgi-bin/webproc?getpage=/etc/passwd&var:page=deviceinfo
#root:x:0:0:root:/root:/bin/bash root:x:0:0:root:/root:/bin/sh
#tw:x:504:504::/home/tw:/bin/bash #tw:x:504:504::/home/tw:/bin/msh

Ref:
https://www.kb.cert.org/vuls/id/774788
https://0x62626262.wordpress.com/category/full-disclosure/

Podemos ver que con una petición https directa con datos POST >

http://192.168.2.1/cgi-bin/webproc?getpage=/etc/passwd&var:page=deviceinfo

Podemos obtener los credenciales de administrador (guardados en texto pano pam ) >

#root:x:0:0:root:/root:/bin/bash root:x:0:0:root:/root:/bin/sh
#tw:x:504:504::/home/tw:/bin/bash #tw:x:504:504::/home/tw:/bin/msh

Esto en si es grave.
Es grave que un fabricante guarde las contraseñas en texto claro.
Es grave que se pueda pasear por toda la interfaz sin ninguna contraseña
Unos errores de principiante inadmisibles para una empresa del tamaño y con la experiencia de Belkin (primer fabricante norte americano de puntos de acceso)

Lo más grave no es esto: Lo más grave es que los de Belkin fueron incapaces de arreglar la brecha.

A patch was released by Belkin but that is still vulnerable.

Es inconcebible que no sean capaces de pasar por una función de hash las contraseñas en lugar de guardar las en texto claro....
No se puede ser así de incompetentes : No es posible.
Prefiero creer que los marcianos han tomado el poder en Belkin y ponen puertas traseras en los routers para llevar a cabo su plan malvado para invadir el planeta.
Duele menos la lógica que pensar que unos ingenieros con sueldos a 5 cifras en una multinacional no sepan pasar una cadena por sha-1.
De hecho los corredores del equipo de ciclismo belkin llevan ...camisas verdes... ...verde... ...¡Como los marcianos! : ¡ Es un signo!

Ya he puesto la fuente....
¿Un consejo para arreglar el fallo? ... No comprar jamás un router belkin.
Pagas por la marca... que no vale para nada. No es para nada sinónimo de cualidad o de buen soporte.
Y si tienes uno, mirra si no puedes pasar a open-wrt o dd-wrt,
Es la mejor decisión que podrás tomar. .

kcdtv · 01-12-2015 15:12:23

Mas brechas en este dispositivo... cortesía de Rahul Pratap Singh

El investigador Rahul Pratap Singh sigue estudiando este punto de acceso de la mano de Belkin y ha hecho publicas nada menos que cuatro brechas más...

Belkin N150 XSS / CSRF / Session Hijacking

La cuenta esta salada...

inyección de script por html

Si eres de humor para hacer bromitas puedes impedir al administrador del router el acceso a los parámetros en la interfaz web
Para ello, una vez que has explotado la primera brecha, cambias el idioma a otro lenguaje que inglés y interceptas la petición.
La vuelves a mandar modificada con un pequeño payload y la interfaz web parrará de funcionar...
Prueba en imágenes :

Todos los parámetros desaparecen de la interfaz y no se puede hacer nada...

"Secuestro" de sesión

Miremos la pinta que tiene un coockie legitimo

Cookie: sessionid=7cf2e9c5; auth=ok; expires=Sun, 15-May-2102 01:45:46 GMT

El numero de identificación de una sesión tiene una longitud fija de ocho caracteres y se usan símbolos hexadecimales (juego de caracteres)
Demasiado flojo...
...Un intruso puede plantearse llevar un ataque de fuerza bruta para crackear el numero de identificación y usarlo para re-configurar el punto de acceso.

Telnet habilitado por defecto con credenciales... root:root

Es un habito pésimo que tienen algunos fabricantes/ISP al dejar activados protocolos como ftp. telnet...
... La mayoría de los usuarios no los usarán jamás y no tienen ni idea de que son o a que sirven.
Por otro lado el usuario quien quiere usarlos es alguien con un mínimo de conocimientos y es perfectamente capaz de habilitar o deshabilitar el protocolo desde la interfaz.
Así que tener estos protocolos abiertos por defecto solo sirve a los intrusos en búsqueda de una puerta trasera.
Si además los credenciales son del palo root:root, admin:admin o 1234:1234 etc.. ¡Es pan comido!

¡Pa' dentro!

Las peticiones no están protegidas por CSRF-token (riesgo de falsificación de petición en sitios cruzados)

Se puede forjar cualquier petición ilegitima sin problemas ya que las peticiones no llevan "token" (numero largo único) para identificar y atestar de la legitimidad de las acciones llevadas por un usuario.
Otro error básico por parte de los de belkin quienes los han acumulados en este router...

Todos los detalles sobre estos nuevos descubrimientos en el blog de Rahul :

Belkin N150 Router Multiple Vulnerabilities en el blog de Rahul Pratap Singh

Tema	Respuestas	Vistas	Ultimo mensaje
WPA2: roto con KRACK. ¿Ahora que? por Virkon [ 1 2 ]	26	7781	15-03-2023 16:57:32 por kcdtv
Pegado: Pegado:: AWITAS. Ataque a WPS con rogueAP potegido con WPA por javierbu [ 1 2 ]	34	3814	12-03-2023 18:24:22 por Guybrush92
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	436	63615	07-03-2023 12:35:27 por kcdtv
iwd;¿El demonio WiFi Linux qué lo cambiara todo? por kcdtv	0	423	23-02-2023 17:09:39 por kcdtv
Pegado: Pegado:: Base de datos WPSPIN (original) open source actualizada por kcdtv [ 1 2 3 4 5 ]	114	258659	19-02-2023 17:36:14 por chuchof

Foro Wifi-libre.com

Anuncio

#1 20-10-2015 19:28:31