Obtinerea de privilegii Administrative - Tehnici simple Router

[Wubi]

Secuzizarea punctului de acces (Access Points(AP)) al paginii web a router-ului tau si Telnet-ul sau accesul SSH ar trebui sa fie considerat o parte din strategia de securitate generala, nu numai la birou cat si acasa. De ce? Pentru a impiedica alt user care este conectat la retea sa modifice, sa incurce, sau sa editeze configuratiile routerului tau. Unii useri pot profita de privilegiile administrative la reteaua ta daca securitatea poate fi evitata usor sau exploatata de tehnici simple pe care orice copil o poate face.

Voi enumera cateva dintre tehnicile pe care cei mai multi dintre atacatori le vor folosi in scopul accesarii si exploatarii vulnerabilitatilor in unele router.

1. Implicit, Comun, si parole slabe

Unele routere au username-uri si parole usor de ghicit, sau inca le folosesc pe cele implicite. Cateva combinatii:

admin : pass
admin : password
admin : root
admin : admin
admin : jake
admin : rose
admin : secret
admin: administrator
root: administrator
root : root
root : admin
root : password
root : toor
root : iloveyou
root : access
root : pirate
root: secretpass
root : acess
user : user
guest : guest

Deci daca un user se intampla sa initieze un atac de tip brute force pe login-ul unui astfel de router, doar folosind o lista simpla de cuvinte compilata din cautarea diferitelor login-uri implicite de la diferite routere.

Daca inca iti amintesti de, ‘Silly Routers Release’ al Lulzsec care includea SSH sau Secure Shell logins, si falsul AnonPH`s.

Silly Routers Release and SSH Logins ( http://www.itac.com.ph/portals/0/anonph.txt ). In analiza pe care am facut`o, aceste doua grupuri folosesc SSH scannere in masa ce pot fi UNixcod, PIata, sau GSM SSH Scanner bazat pe urmatoarele login-uri:

root : root
cezar : cezar
root : admin
admin:admin
guest:guest
iscadm:sparks
staff:staff
web : web
nurse : nursing

Acest lucru suna simplu, deoarece este, dar nu putem nega ca unii utilizatori nu se gandesc prea mult la prolele ce le folosesc, sau poate ei nu stiu cum sa isi configureze router-ul, si poate nu se gandesc la posibilele riscuri.

Cateva site-uri unde poti gasi ceva parole implicite:

Default Passwords | CIRT.net

Default Password List

Default passwords list - Select manufacturer

Big bertha says: default passwords

default password

Virus.Org

Default Password List - Submit

2. Intrand fara autorizatie

A venit odata timpul cand am decis sa verific port-urile deschise ale CD-R King IP04166 Wireless-N-ului meu de acasa si porturile 23 care sunt pentru acces telnet, si portul 80 pentru a accesa pagina web a Acces POint-ului, dar avea o parola(grrr!). Sunt port-uri bune pentru a verifica posibilele intruziuni daca atacatorul stie ce exploit-uri sa foloseasca.

Si deoarece port-ul 80 avea o parola, si brute force parea o pierdere de timp, am decis sa verific pe port-ul 23:

shipcode@projectX:~ telnet 192.168.10.1

OK, am fost in stare sa fac telnet la gateway-ul implicit al router-ului dar...NU M`A INTREBAT NIMENI PE MINE pentru vreo informatie de login sau autentificare. Deci daca user-ul nu poate accesa pagina web a AP-ului, atunci el poate profita de acest privilegiu sa caute parola paginii web.

Acum, sa uitam de parolele implicite sau slabe, pentru ca este pea EPIC. Un router care permite oricarui utilizator din retea sa se conecteze la gateway-ul implicit fara o verificare. Dupa cum puteti vedea in imaginea de mai sus, am scris "ls -la" care listeaza toate directoarele din directorul root. Ia ca exemplu, uita`te in /bin unde poti vedea toate programele comune, impartasite de program, administratorul sistemului sau utilizatorii; atacatorul poate gasi cate ceva important aici.

Asta poate fi posibila si pe alte routere de asemenea.

3. Aplicatiile web vulnerabile pe pagina web a Acces Point-ului

Unele routere nesecurizate au aplicatii web care pot fi vulnerabile la SQLi, LFI, LFD, XSRF, si multe altele. Craig Heffner, autorul reaver - spune ca "milioane" de routere de acasa, sunt vulnerabile la atacurile web.

Anul trecut, m`am putut juca cu router-ul meu Huawei-ul bm622, si este una dintre jucariile mele preferate de acasa. De fapt sunt multe tutoriale despre cum sa "pentrezi" un astfel de router. Poti accesa router-ul chiar de pe port-ul 80 punand gateway-ul implicit al router-ului in browser. In mod normal, gateway-ul implicit este 192.168.1.1 si te poti loga ca user:user dar fara privilegii de aministrator. Poti vedea doar starea conexiunii, adres mac a WAN-ului, adresa mac a LAN-ului, BSID, etc. Insa este destul de usor sa iei parola care iti ofera privilegii de aministrator. Acest tip de router este vulnerabil la LFD(Local FIle Disclosure). Tot ce ai de facut este sa vezi sursa link-ului (Ctrl + U) : 192.168.1.1/html/management/account.asp.

Dupa ce ai vazut sursa, trebuie doar sa cauti linia asta: var UserInfo = new Array(new stUserInfo(“InternetGatewayDevice.UserInterface.X_ATP_UserInfo.1?

Atacatorul ar trebui sa fie in stare sa vada username-ul si parola administratorului care arata ca una cryptata insa nu este, este parola care de obicei e un pic cam lunga. Parola de obicei incepe cu 200000. Acum te poti loga la router folosind admin ca username si 2000**** ca parola. Incruciseaza`ti degetele si ar trebui sa functioneze!

4. Inauntrul sitemului

In cele din urma, daca ai acces shell-ul router-ului cu web page-ul Acces Point-ului atunci poti gasi o cale pentru a`ti folosi acest avantaj pentru a cauta parola sau informatii despre cont.

Acum revenind la acces-ul meu la CD-R King IP04166 Wireless-N-ul meu de acasa fara a necesita autentificare, oare ce se se va intampla daca decid sa verific sub-directoarele sistemului. Atunci am intrat in directorul /var folosind comanda : ls -a

Daca te uiti atent peste imagina ar trebui sa vezi un fisier '.htpasswd', acum sa incercam sa verificam acel fisier folosind comanda: cat .htpasswd

.htpasswd contine parola accountului paginii web a acces point-ului. Acum sa incercam sa ne autentificam pe pagina web a AP-ului folosind aceste informatii:

#nimda:sudo910aPt

Yey, am intrat in pagina web a router-ului meu.

Inca cateva chestii peste care te`ai putea uita sunt fisierele .db, .conf si .cfg sau ceva comenzi shell ce pot arata parola.

O alta jucarie cu care m`am putut juca este routerul Huawei bm622i (succesorul bm622) dar care nu mai este vulnerabil la LFD pe 192.168.*.*/html/management/account.asp. Din cauza noii interfete, scripturilor si firmware-ului. Dar are slabiciunile lui, ce ii permite atacatorului de la distanta sa obtina privilegii de administrator.

Desi te poti autentifica pe HTTP-ul routerului si sa folosesti user ca username si parola, dar nu iti da privilegii de administrator. Am fost foarte curios cum sa obtii acces de administrator pe acest router. De fapt, este un tool in zilele noastre ce generaza parola adminului dupa ce ii procuri adresa mac. Dar nu sunt sigur daca este atat de efectiv in realitate totusi. Privilegiile de administrator iti permit sa editezi setarile avansate ale routerului cum ar fi setarile VOIP, mac filtering, SSH si accesul Telnet, QoS, etc.

A venit o perioada in care am decis sa arunc o privire peste shell-ul routerului prin intermediul telnet-ului gateway si login-ul: wimax:wimax820. Dupa ce am scris sh, si acum sunt in shell... "Hello Busybox again!" . Am mutat in in directorul /bin din nou, folosind comanda ls -la din nou. Am putut vedea o comanda care este cmd, si am fost foarte curios ce e cu ea si am executat`o dupa care scripturile au aparut si am vazut urmatoarea linie:

username=200*.

Am gasit parola (NU am inclus adresa de mail desigur) a router-ului meu. Si am incercat sa folosesc parola pe care tocmai am vazut`o ca sa ma autentific ca admin. Si.. a mers!

Sunt de asemenea tool-uri bune pentru verifica imaginea firmware-ului router-ului, extractand firmware-ul in componentele sale, apoi extragand imaginea file system-ului. Asta permite utilizatorilor, sa faca modificari fara a recompila sursa firmware-ului. Tool-ul se numeste Firmware Mod Kit care a fost dezvoltat de Jeremy Collage si Craig Heffner. Acesta poate fi folosit pentru a verifica vulnerabilitatile unui anumit router la care nu ai acces inca.

Tool-ul include binwalk care arata layout-ul firmware-ului. Poti descarca tool-ul de aici: firmware-mod-kit - This kit allows for easy deconstruction and reconsutrction of firmware images for various embedded devices - Google Project Hosting

De exemplu, vreau sa extrag imaginea de la Trendnet v1.10 Build: 12 ce poate fi descarcata de aici: TRENDnet | Downloads | Wireless | TEW-654TR, folosind comanda:

./extract-ng.sh TEW-654TRA1_FW110B12.bin

Daca extractia firmware-ului este completa si cu succes, ar trebui sa poti sa vezi partile firmware, in directorul fmk. Si poti acum lista directoarele si sa cauti continutul de care ai nevoie.

Happy Exploiting!

Referinte:

Blog | /dev/ttyS0 | Embedded Device Hacking

Hacking into the BSNL Router using Andriod | www.SecurityXploded.com

Bugtraq: D-Link DIR-300 authentication bypass

"Millions" Of Home Routers Vulnerable To Web Hack - Forbes

CD-R King IP04166 Wireless-N Router Not Secured Even Though Web Page AP Has a Password | The ProjectX Blog – Information Security Redefined

Huawei bm622i Administrator Password Disclosure | The ProjectX Blog – Information Security Redefined

Tradus din: InfoSec Resources – Simple Router Pawning Techniques – Getting the Administrative Privileges

Edited June 25, 2012 by Wubi

[xpaulx]

Nu ar strica sa specifici ca e doar tradus cuvant cu cuvant de aici.

Initial mi-a lasat impresia ca tu ai facut toate acele teste si m-a impresionat mai mult decat ar fi trebuit. Oricum gj.

[Wubi]

Nu ar strica sa specifici ca e doar tradus cuvant cu cuvant de aici.

Initial mi-a lasat impresia ca tu ai facut toate acele teste si m-a impresionat mai mult decat ar fi trebuit. Oricum gj.

Am specificat.

Tradus din: InfoSec Resources – Simple Router Pawning Techniques – Getting the Administrative Privileges