Como sacar facilmente la contraseña root del router Belkin N150 (Pagina 1) / Otras marcas / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 20-10-2015 19:28:31

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,069

Como sacar facilmente la contraseña root del router Belkin N150

¿Esto es un router?
¡No! : Es un Belkin...

belkin.jpg

Fuente

Hablemos un rato de este pequeño "exploit" puesto en circulación hoy por Rahul Pratap Singh

bel2.jpg

Es pequeño, lo pongo aqui :

# Title: Path Traversal Vulnerability
# Product: Belkin Router N150
# Author: Rahul Pratap Singh
# Website: https://0x62626262.wordpress.com
# Contact:
   Linkedin: https://in.linkedin.com/in/rahulpratapsingh94
   Twitter: @0x62626262
# Vendor Homepage: http://www.belkin.com
# Firmware Tested: 1.00.08, 1.00.09
# CVE: 2014-2962

Description:
Belkin N150 wireless router firmware versions 1.00.07 and earlier contain a
path traversal vulnerability through the built-in web interface. The
webproc cgi
module accepts a getpage parameter which takes an unrestricted file path as
input. The web server runs with root privileges by default, allowing a
malicious attacker to read any file on the system.

A patch was released by Belkin but that is still vulnerable.

POC:
http://192.168.2.1/cgi-bin/webproc?getpage=/etc/passwd&var:page=deviceinfo
#root:x:0:0:root:/root:/bin/bash root:x:0:0:root:/root:/bin/sh
#tw:x:504:504::/home/tw:/bin/bash #tw:x:504:504::/home/tw:/bin/msh

Ref:
https://www.kb.cert.org/vuls/id/774788
https://0x62626262.wordpress.com/category/full-disclosure/

Podemos ver que con una petición https directa con datos POST >

http://192.168.2.1/cgi-bin/webproc?getpage=/etc/passwd&var:page=deviceinfo

Podemos obtener los credenciales de administrador (guardados en texto pano pam ) >

#root:x:0:0:root:/root:/bin/bash root:x:0:0:root:/root:/bin/sh
#tw:x:504:504::/home/tw:/bin/bash #tw:x:504:504::/home/tw:/bin/msh

  Esto en si es grave.
Es grave que un fabricante guarde las contraseñas en texto claro.
Es grave que se pueda pasear por toda la interfaz sin ninguna contraseña
Unos errores de principiante inadmisibles para una empresa del tamaño y con la experiencia de Belkin (primer fabricante norte americano de puntos de acceso)

  Lo más grave no esto : Lo más grave es que los de Belkin fueron incapaces de arreglar la brecha.

A patch was released by Belkin but that is still vulnerable.

  Es inconcebible que no sean capaces de pasar por una función de hash las contraseñas en lugar de guardar las en texto claro....
      No se puede ser así de incompetentes : No es posible.
Prefiero creer que los marcianos han tomado el poder en Belkin y ponen puertas traseras en los routers para llevar a cabo su plan para invadir el planeta.
Duele menos la lógica que pensar que unos ingenieros en una multinacional super bien pagados no sepan pasar una cadena por sha-1.
  De hecho los corredores del equipo de ciclismo  belkin llevan ...camisas verdes... ...verde... ...¡Como los marcianos! : ¡ Es un signo!

Ya he puesto la fuente....
¿Un consejo para arreglar el falló? ... No comprar jamás un router belkin.
Pagas por la marca... que no vale para nada. No es para nada sinónimo de cualidad o de buen soporte.
Y si tienes unor mirra si no puedes pasar a open-wrt o dd-wrt,
Es la mejor decisión que podrás tomar. .

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#2 01-12-2015 15:12:23

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,069

Re: Como sacar facilmente la contraseña root del router Belkin N150

Mas brechas en este dispositivo... cortesía de Rahul Pratap Singh 

El investigador Rahul Pratap Singh sigue estudiando este punto de acceso de la mano de Belkin y ha hecho publicas nada menos que cuatro brechas más...

La cuenta esta salada...

inyección de script por html

Si eres de humor para hacer bromitas puedes impedir al administrador del router el acceso a los parámetros en la interfaz web
Para ello, una vez que has explotado la primera brecha, cambias el idioma a otro lenguaje que inglés y interceptas la petición.
La vuelves a mandar modificada con un pequeño payload y la interfaz web parrará de funcionar...
Prueba en imágenes :

Todos los parámetros desaparecen de la interfaz y no se puede hacer nada...

"Secuestro" de sesión

Miremos la pinta que tiene un coockie legitimo

Cookie: sessionid=7cf2e9c5; auth=ok; expires=Sun, 15-May-2102 01:45:46 GMT

El numero de identificación de una sesión tiene una longitud fija de ocho caracteres y se usan símbolos hexadecimales (juego de caracteres)
Demasiado flojo...
...Un intruso puede plantearse llevar un ataque de fuerza bruta para crackear el numero de identificación y usarlo para re-configurar el punto de acceso.

Telnet habilitado por defecto con credenciales... root:root

Es un habito pésimo que tienen algunos fabricantes/ISP al dejar activados protocolos como ftp. telnet...
... La mayoría de los usuarios no los usarán jamás y no tienen ni idea de que son o a que sirven.
Por otro lado el usuario quien quiere usarlos es alguien con un mínimo de conocimientos y es perfectamente capaz de habilitar o deshabilitar el protocolo desde la interfaz.
Así que tener estos protocolos abiertos por defecto solo sirve a los intrusos en búsqueda de una puerta trasera.
Si además los credenciales son del palo root:root, admin:admin o 1234:1234 etc.. ¡Es pan comido!

kin.jpg

¡Pa' dentro!

Las peticiones no están protegidas por CSRF-token (riesgo de  falsificación de petición en sitios cruzados)

  Se puede forjar cualquier petición ilegitima sin problemas ya que las peticiones no llevan "token" (numero largo único) para identificar y atestar de la legitimidad de las acciones llevadas por un usuario.
  Otro error básico por parte de los de belkin quienes los han acumulados en este router...

Todos los detalles sobre estos nuevos descubrimientos en el blog de Rahul :

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Pie de página

Información del usuario

Ultimo usuario registrado: evam
Usuarios registrados conectados: 0
Invitados conectados: 6

Estadisticas de los foros

Número total de usuarios registrados: 357
Número total de temas: 621
Número total de mensajes: 4,272

Máx. usuarios conectados: 45 el 12-04-2016 12:02:20