Jump to content
Wubi

Obtinerea de privilegii Administrative - Tehnici simple Router

Recommended Posts

Posted (edited)

062512_1434_SimpleRoute1.png?d9c344

Secuzizarea punctului de acces (Access Points(AP)) al paginii web a router-ului tau si Telnet-ul sau accesul SSH ar trebui sa fie considerat o parte din strategia de securitate generala, nu numai la birou cat si acasa. De ce? Pentru a impiedica alt user care este conectat la retea sa modifice, sa incurce, sau sa editeze configuratiile routerului tau. Unii useri pot profita de privilegiile administrative la reteaua ta daca securitatea poate fi evitata usor sau exploatata de tehnici simple pe care orice copil o poate face.

062512_1434_SimpleRoute2.png?d9c34

Voi enumera cateva dintre tehnicile pe care cei mai multi dintre atacatori le vor folosi in scopul accesarii si exploatarii vulnerabilitatilor in unele router.

1. Implicit, Comun, si parole slabe

Unele routere au username-uri si parole usor de ghicit, sau inca le folosesc pe cele implicite. Cateva combinatii:

admin : pass
admin : password
admin : root
admin : admin
admin : jake
admin : rose
admin : secret
admin: administrator
root: administrator
root : root
root : admin
root : password
root : toor
root : iloveyou
root : access
root : pirate
root: secretpass
root : acess
user : user
guest : guest

Deci daca un user se intampla sa initieze un atac de tip brute force pe login-ul unui astfel de router, doar folosind o lista simpla de cuvinte compilata din cautarea diferitelor login-uri implicite de la diferite routere.

Daca inca iti amintesti de, ‘Silly Routers Release’ al Lulzsec care includea SSH sau Secure Shell logins, si falsul AnonPH`s.

Silly Routers Release and SSH Logins ( http://www.itac.com.ph/portals/0/anonph.txt ). In analiza pe care am facut`o, aceste doua grupuri folosesc SSH scannere in masa ce pot fi UNixcod, PIata, sau GSM SSH Scanner bazat pe urmatoarele login-uri:

root : root
cezar : cezar
root : admin
admin:admin
guest:guest
iscadm:sparks
staff:staff
web : web
nurse : nursing

062512_1434_SimpleRoute3.png?d9c344

Acest lucru suna simplu, deoarece este, dar nu putem nega ca unii utilizatori nu se gandesc prea mult la prolele ce le folosesc, sau poate ei nu stiu cum sa isi configureze router-ul, si poate nu se gandesc la posibilele riscuri.

Cateva site-uri unde poti gasi ceva parole implicite:

Default Passwords | CIRT.net

Default Password List

Default passwords list - Select manufacturer

Big bertha says: default passwords

default password

Virus.Org

Default Password List - Submit

2. Intrand fara autorizatie

A venit odata timpul cand am decis sa verific port-urile deschise ale CD-R King IP04166 Wireless-N-ului meu de acasa si porturile 23 care sunt pentru acces telnet, si portul 80 pentru a accesa pagina web a Acces POint-ului, dar avea o parola(grrr!). Sunt port-uri bune pentru a verifica posibilele intruziuni daca atacatorul stie ce exploit-uri sa foloseasca.

062512_1434_SimpleRoute4.png?d9c344

Si deoarece port-ul 80 avea o parola, si brute force parea o pierdere de timp, am decis sa verific pe port-ul 23:

shipcode@projectX:~ telnet 192.168.10.1

062512_1434_SimpleRoute5.png?d9c344

OK, am fost in stare sa fac telnet la gateway-ul implicit al router-ului dar...NU M`A INTREBAT NIMENI PE MINE pentru vreo informatie de login sau autentificare. Deci daca user-ul nu poate accesa pagina web a AP-ului, atunci el poate profita de acest privilegiu sa caute parola paginii web.

Acum, sa uitam de parolele implicite sau slabe, pentru ca este pea EPIC. Un router care permite oricarui utilizator din retea sa se conecteze la gateway-ul implicit fara o verificare. Dupa cum puteti vedea in imaginea de mai sus, am scris "ls -la" care listeaza toate directoarele din directorul root. Ia ca exemplu, uita`te in /bin unde poti vedea toate programele comune, impartasite de program, administratorul sistemului sau utilizatorii; atacatorul poate gasi cate ceva important aici.

Asta poate fi posibila si pe alte routere de asemenea.

3. Aplicatiile web vulnerabile pe pagina web a Acces Point-ului

Unele routere nesecurizate au aplicatii web care pot fi vulnerabile la SQLi, LFI, LFD, XSRF, si multe altele. Craig Heffner, autorul reaver - spune ca "milioane" de routere de acasa, sunt vulnerabile la atacurile web.

062512_1434_SimpleRoute6.png?d9c344

Anul trecut, m`am putut juca cu router-ul meu Huawei-ul bm622, si este una dintre jucariile mele preferate de acasa. De fapt sunt multe tutoriale despre cum sa "pentrezi" un astfel de router. Poti accesa router-ul chiar de pe port-ul 80 punand gateway-ul implicit al router-ului in browser. In mod normal, gateway-ul implicit este 192.168.1.1 si te poti loga ca user:user dar fara privilegii de aministrator. Poti vedea doar starea conexiunii, adres mac a WAN-ului, adresa mac a LAN-ului, BSID, etc. Insa este destul de usor sa iei parola care iti ofera privilegii de aministrator. Acest tip de router este vulnerabil la LFD(Local FIle Disclosure). Tot ce ai de facut este sa vezi sursa link-ului (Ctrl + U) : 192.168.1.1/html/management/account.asp.

062512_1434_SimpleRoute7.png?d9c344

Dupa ce ai vazut sursa, trebuie doar sa cauti linia asta: var UserInfo = new Array(new stUserInfo(“InternetGatewayDevice.UserInterface.X_ATP_UserInfo.1?

Atacatorul ar trebui sa fie in stare sa vada username-ul si parola administratorului care arata ca una cryptata insa nu este, este parola care de obicei e un pic cam lunga. Parola de obicei incepe cu 200000. Acum te poti loga la router folosind admin ca username si 2000**** ca parola. Incruciseaza`ti degetele si ar trebui sa functioneze!

4. Inauntrul sitemului

In cele din urma, daca ai acces shell-ul router-ului cu web page-ul Acces Point-ului atunci poti gasi o cale pentru a`ti folosi acest avantaj pentru a cauta parola sau informatii despre cont.

Acum revenind la acces-ul meu la CD-R King IP04166 Wireless-N-ul meu de acasa fara a necesita autentificare, oare ce se se va intampla daca decid sa verific sub-directoarele sistemului. Atunci am intrat in directorul /var folosind comanda : ls -a

062512_1434_SimpleRoute8.png?d9c344

Daca te uiti atent peste imagina ar trebui sa vezi un fisier '.htpasswd', acum sa incercam sa verificam acel fisier folosind comanda: cat .htpasswd

062512_1434_SimpleRoute9.png?d9c344

.htpasswd contine parola accountului paginii web a acces point-ului. Acum sa incercam sa ne autentificam pe pagina web a AP-ului folosind aceste informatii:

#nimda:sudo910aPt

062512_1434_SimpleRoute10.png?d9c344

Yey, am intrat in pagina web a router-ului meu. :))

Inca cateva chestii peste care te`ai putea uita sunt fisierele .db, .conf si .cfg sau ceva comenzi shell ce pot arata parola.

O alta jucarie cu care m`am putut juca este routerul Huawei bm622i (succesorul bm622) dar care nu mai este vulnerabil la LFD pe 192.168.*.*/html/management/account.asp. Din cauza noii interfete, scripturilor si firmware-ului. Dar are slabiciunile lui, ce ii permite atacatorului de la distanta sa obtina privilegii de administrator.

Desi te poti autentifica pe HTTP-ul routerului si sa folosesti user ca username si parola, dar nu iti da privilegii de administrator. Am fost foarte curios cum sa obtii acces de administrator pe acest router. De fapt, este un tool in zilele noastre ce generaza parola adminului dupa ce ii procuri adresa mac. Dar nu sunt sigur daca este atat de efectiv in realitate totusi. Privilegiile de administrator iti permit sa editezi setarile avansate ale routerului cum ar fi setarile VOIP, mac filtering, SSH si accesul Telnet, QoS, etc.

A venit o perioada in care am decis sa arunc o privire peste shell-ul routerului prin intermediul telnet-ului gateway si login-ul: wimax:wimax820. Dupa ce am scris sh, si acum sunt in shell... "Hello Busybox again!" . Am mutat in in directorul /bin din nou, folosind comanda ls -la din nou. Am putut vedea o comanda care este cmd, si am fost foarte curios ce e cu ea si am executat`o dupa care scripturile au aparut si am vazut urmatoarea linie:

username=200*.

062512_1434_SimpleRoute11.png?d9c344

Am gasit parola (NU am inclus adresa de mail desigur) a router-ului meu. Si am incercat sa folosesc parola pe care tocmai am vazut`o ca sa ma autentific ca admin. Si.. a mers!

Sunt de asemenea tool-uri bune pentru verifica imaginea firmware-ului router-ului, extractand firmware-ul in componentele sale, apoi extragand imaginea file system-ului. Asta permite utilizatorilor, sa faca modificari fara a recompila sursa firmware-ului. Tool-ul se numeste Firmware Mod Kit care a fost dezvoltat de Jeremy Collage si Craig Heffner. Acesta poate fi folosit pentru a verifica vulnerabilitatile unui anumit router la care nu ai acces inca.

Tool-ul include binwalk care arata layout-ul firmware-ului. Poti descarca tool-ul de aici: firmware-mod-kit - This kit allows for easy deconstruction and reconsutrction of firmware images for various embedded devices - Google Project Hosting

062512_1434_SimpleRoute12.png?d9c344

De exemplu, vreau sa extrag imaginea de la Trendnet v1.10 Build: 12 ce poate fi descarcata de aici: TRENDnet | Downloads | Wireless | TEW-654TR, folosind comanda:

./extract-ng.sh TEW-654TRA1_FW110B12.bin

062512_1434_SimpleRoute13.png?d9c344

Daca extractia firmware-ului este completa si cu succes, ar trebui sa poti sa vezi partile firmware, in directorul fmk. Si poti acum lista directoarele si sa cauti continutul de care ai nevoie.

Happy Exploiting! :)

Referinte:

Blog | /dev/ttyS0 | Embedded Device Hacking

Hacking into the BSNL Router using Andriod | www.SecurityXploded.com

Bugtraq: D-Link DIR-300 authentication bypass

"Millions" Of Home Routers Vulnerable To Web Hack - Forbes

CD-R King IP04166 Wireless-N Router Not Secured Even Though Web Page AP Has a Password | The ProjectX Blog – Information Security Redefined

Huawei bm622i Administrator Password Disclosure | The ProjectX Blog – Information Security Redefined

Tradus din: InfoSec Resources – Simple Router Pawning Techniques – Getting the Administrative Privileges

Edited by Wubi
  • Upvote 1
Posted

Nu ar strica sa specifici ca e doar tradus cuvant cu cuvant de aici.

Initial mi-a lasat impresia ca tu ai facut toate acele teste si m-a impresionat mai mult decat ar fi trebuit. Oricum gj.

Posted
Nu ar strica sa specifici ca e doar tradus cuvant cu cuvant de aici.

Initial mi-a lasat impresia ca tu ai facut toate acele teste si m-a impresionat mai mult decat ar fi trebuit. Oricum gj.

Am specificat.

Tradus din: InfoSec Resources – Simple Router Pawning Techniques – Getting the Administrative Privileges

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...