lunes, 14 de julio de 2014

Cómo saltarse la contraseña del router Comtrend

Recordemos el típico disclaimer: Hacer este tipo de cosas sin permiso del usuario propietario es un delito muy grave. Yo no me hago responsable de los perjuicios que se puedan producir al seguir estas instrucciones. Hazlo bajo tu responsabilidad.

Como todos sabemos, cuando contratamos un ADSL o pon aquí la conexión a internet que proceda nos traen un router que lo tienen configurado de forma muy genérica. Entre otras cosas, el acceso al mismo suele estar restringido por unas credenciales por defecto que suelen pasar por los pares usuario/contraseña como:


  • admin/admin
  • 1234/1234
  • 123456/123456
  • admin/1234
  • 1234/admin
  • /1234
  • /123456
  • /admin
  • admin/
  • 1234/
  • etc,
  • etc,
  • etc...
Eso siempre y cuando se tenga acceso a la interfaz web directamente desde la red donde éste se encuentra. Porque si se trata como el de telefónica, tienes que haber quitado la configuración desde su portal Aleandra.

Resulta que he llegado a un router que estaba en esa situación: se quitó la configuración de ese portal para poderlo administrar desde dentro de la red. Sobretodo porque es más versátil así que no el portal que tiene muchas cosas capadas. 

El problema está en que se ha perdido la contraseña. Se sabe más o menos gran parte de la misma, pero aún así, al principio no ha habido forma de entrar. Y ha hecho falta buscar la manera de intentar saltarla de alguna forma. 


En una de las búsquedas, he encontrado este ejemplo para poderlo explotar. Es la base de datos de exploits Exploit-DB. Ya os hablé de ella cuando estuve haciendo la formación de Metasploit en la ahora desaparecida Informática 64. Dicho ejemplo, al principio, no he pillado del todo qué querían decir. Vamos a ver.

Como directamente es un texto con un ejemplo, no me parecía que pudiera ser lanzado. He querido probar a tirar de telnet contra el servidor web, pero se me cerraba la sesión (posiblemente por la solicitud de autenticación). Eso sí, me ha dado una pista:

http://IP_ROUTER/password.cgi

He podido acceder a esta URL y me ha dicho que el usuario que creía que tenía no era tal. En vez de admin era 1234.

Con esto, y una de las pocas combinaciones que tenía que aplicar, después de varios intentos he conseguido entrar... sin apuntar cuál de ellas eran. ¡Genial! ¡Ahora tengo acceso durante este rato...! Pero cuando se termine la sesión, el usuario volverá a estar perdido. Por lo que he vuelto a mirar el eploit. Y he caído en la cuenta.

En el momento en el que tienes acceso a la página password.cgi, te muestran en claro, como mínimo, tres contraseñas. Entre otras,

pwdAdmin = 'passwordPerdida';
pwdSupport = 'password02';
pwdUser = 'password03';

Además, ahora mismo, y mientras que lo estoy escribiendo, estoy viendo otra posibilidad: utilizar algún tipo de tamper data, firebug o cualquiera de estos que permita cambiar el código fuente al vuelo, de tal forma que pasaría el filtro de la igualdad entre la contraseña actual del sistema y la solicitada para corroborar que se puede hacer el cambio.

Total, que ya hemos recuperado el control sobre el router.

Me pregunto si qué otros routers entregados tienen algo parecido. ¿Alguien se apunta al carro?

lunes, 7 de julio de 2014

Las próximas CONs ya esán abiertas: Navaja negra y NoConName

Ya sé que llevo un tiempo sin escribir. Además, ahora mismo con algunas investigaciones que estoy haciendo tampoco puedo sacar mucho más. Y tengo alguna que otra idea que intentaré hacer para, al menos, escribir algo que a mi parecer tenga la calidad suficiente. Que no sea un escribir por escribir, vamos.

¡Al lío!

Hoy han abierto la inscripción para las Navajas Negras, en Albacete. Por lo tanto, date prisa o no podrás adquirirlas. Y, algo muy importante que tienes que saber: sólo podrán votar las ponencias y talleres los que estén en poder de una entrada. Ha sido un cambio de última hora que no han podido evitar. Si no te fías del enlace que he puesto para comprar las entradas, también puedes acceder a él desde el último link que he puesto, buscándolo.

Va a estar genial. ¿Os lo vais a perder? ¡¡Espero que no!!

Pero aún hay más: Hoy nos han comunicado por sorpresa que la inscripción a la No Con Name también está abierta. Será el 31 de octubre y el 1 de noviembre. Este año toca cogerse más días de vacaciones (o ir un poco in-extremis). Por lo tanto, si quieres ir, también podrás inscribirte.

Como de costumbre, tendrás la opción de apuntarte a las formaciones, dándote derecho directo a la entrada del evento. Además, también está la costumbre de poderte apuntar a la cena y si quieres, además, de obtener la camiseta de este año.

En ambos eventos se hace mucho networking, se conoce a mucha gente y se aprende mucho. Si tenéis la oportunidad, os lo recomiendo.

Recordad que como siempre digo: estas descripciones no son oficiales, por lo tanto, siempre visitad las fuentes oficiales que no me responsabilizo de cualquier error que pudiera haber cometido.

¡¡Allí os espero con los brazos abiertos!!

jueves, 12 de junio de 2014

Ataques DoS a empresas

He podido leer en ALT1040 que "Feedly, Evernote, Vimeo y otros han sufrido un ataque DDoS "

[update]
También en Una al día hablan del tema.
[/update]

Según he podido leer (lo he dejado a medias para escribir esto), Feedly ha afirmado que las contraseñas están seguras porque con ese ataque estas no están en peligro. Poco más, poco menos, es lo que se desprende del mensaje.

Ahora, yo me pregunto: ¿Lo habrán revisado? Esperemos que sí, porque si sólo se basan en esa premisa... Mal vamos. No sería la primera vez que una empresa tiene un leak y se entera de la intromisión justo cuando los datos se hacen públicos.

¿Qué pensáis?

miércoles, 28 de mayo de 2014

Las contraseñas en los sitios

Después del "supuesto" incidente del otro día con ebay y todos los datos de sus usuarios filtrados, hemos tenido que cambiar la contraseña del sitio. Como de costumbre, una vez ésta es obtenida, aunque se encuentre hasheada.

Con este lío, respondí al tweet:




con




a lo que, a su vez, me respondieron:




a lo que, a la vez de darle la razón, también indiqué que muchos sitios limitaban los tipos de caracteres que se podían usar. A lo que me dijeron:




Todo esto para ver si podemos comentarlo por aquí. ¿Qué os parece que nos limiten el tamaño de una contraseña? Si es a la baja se comprende. ¿Pero a la alta? No me parece bien que nos fuercen a utilizar una contraseña cuya longitud máxima es 20. Y mucho peor si te limitan los caracteres que puedes utilizar. Con eso podrían reventarte tu "algoritmo" de contraseñas a la hora de crear una segura con una frase tuya y después sustituyendo algunas letras por algún carácter especial que podría estar restringido en ese sitio. Además de bajar la entropía de la combinatoría.

Lo dicho: ¿Qué opinión tenéis al respecto? ¿Sería una negligencia por su parte?

lunes, 26 de mayo de 2014

Quantika14 sortea cosas muy chulas

Leyendo los típicos RSSs atrasados, pude encontrarme en 1 gb de información que este pasado 15 de mayo del presente año 2014, que Juan Manuel Fernández (@TheXC3LL) publicaban en su blog que iban a sortear unas licencias de WordpressA Security.

Para ello, hay que seguir una serie de pasos:

  • Estar siguiendo la cuenta de twitter de @QUANTIKA14.
  • Comentar el regalo que se desee (de los que ofrecen), que, aunque desde desde el blog hablaban de 4 meses gratuitos de licencia, me han indicado que hay más cosas. :D
  • Y, según indicaban en el blog, también hay que poner el hashtag #WordPressA.
¡Y ya está!

Así, que me dispuse a twittearlo pensando que llegaba tarde (una semana...) y @JorgeWebsec me ha dado la sopresa: ¡estaba mucho más a tiempo de lo que yo pensaba!

Hay un enlace con las bases oficiales del concurso.

¡¡Mucha suerte a todos!!

viernes, 23 de mayo de 2014

FreePBX y los feature codes: custom destinations y misc applications

He estado jugando un poco más con mi centralita VoIP FreePBX (Bueno, en realidad, RasPBX, pero lo mismo da). Y, me he puesto a crear códigos de función, o, más conocidos como feature codes.

He querido hacerlo cambiando sólo los ficheros, pero, como no he sido del todo capaz, al final he terminado tirando por el camino fácil y he instalado los módulos que me harían falta para llegar al objetivo.

Lo primero de todo, nos hará falta, como mínimo, instalar los siguientes módulos:
  • Custom destinations
  • Misc applications
Para crear un destino customizado (el custom destination) tendremos que ir al menú Admin y allí encontraremos el enlace:

FreePBX: Custom destination
FreePBX: Custom destination
Los dos valores que me sé serían:

  • El destino que tendrá internamente. Tiene que tener una estructura que sería
    • El contexto deseado (y siempre lo nombro como ámbito [scope]. A ver si se me queda el nombre bueno).
    • La extensión que buscará dentro de ese contexto.
    • La prioridad por la que debería empezar. 
Ahora, como de costumbre en estos casos, te saldrá el botón rojo de aplicar. Hazle click.

Ahora, vamos a crear lo que se podría traducir por una aplicación propia (una misc application). Nos permitirá enlazar un código determinado con el destino customizado que acabamos de probar. Para poderlo hacer tendremos que acceder a este módulo desde el menú Application.

FreePBX: Misc Application
FreePBX: Misc Application
Tendremos que definirle:
  • La descripción por la que lo podrás reconocer
  • Qué código tendrás que marcar en el teléfono para "llamar" a esta aplicación.
  • Si está activada o no.
  • En nuestro caso, el destino que tendrá será el custom app que acabamos de crear.
Lo mismo de antes: guardamos y aplicamos el cambio.

Ahora vamos a crear un contexto en el fichero /etc/asterisk/extensions_custom.conf. Vamos a modificarlo desde el putty. Escribimos:

nano /etc/asterisk/extensions_custom.conf

Y, en el fichero:

[mi-contexto]
exten => s,1,Playback(tt-monkeys)

Donde, si el navegador no es capaz de interpretar &gt (ampersand + gt) es el símbolo mayor que (>). [Inciso: está claro que tengo que buscarme otra forma de mostrar los códigos fuentes. Fin de inciso]

Y, al guardar, reiniciamos el servicio (ojo con las llamadas que estén en curso, que te las va a tumbar):

asterisk -rx "core restart now"

Y, si llamamos a la extensión que hemos definido desde alguno de los teléfonos, debería de oirse una jauría de monos gritando.

Y... esto no es todo. Porque todo este lío, además de enseñar a montar una cosa de estas, viene por dos razones.

Una, es que, de momento, sólo lo he conseguido hacer funcionar como si de una llamada se tratara. Ya veré si lo consigo cuando esté una llamada en curso.

La otra es por un error que te puedes encontrar. Porque, si no enlazas bien las cosas, no te funcionará. Un error que te podrá salir en los logs es el siguiente:

[...] sent to invalid extension but no invalid handler: context,exten,priority=mi-contexto,s,1

Esto significa que si has puesto un contexto correcto, pero en el fichero .conf has indicado una extensión fija (por ejemplo, directamente *007) y en la configuración has puesto la s, te va a saltar este error en los logs. Al menos, esa es una de las razones. Si hay más razones, ahora mismo lo desconozco.

Y... de momento esto. Si se me ocurren más cosas, os lo haré saber. 

miércoles, 21 de mayo de 2014

Fallo de seguridad en eBay

Acabo de leer que ha habido un fallo de seguridad en eBay y que se recomienda cambiar las contraseñas a todos los usuarios.

De todas formas, me informaré un poco más para estar seguro.

Os dejo el enlace aquí mismo.

http://hipertextual.feedsportal.com/c/33160/f/538984/s/3aab736d/sc/5/l/0Lalt10A40A0N0C20A140C0A50Cebay0Econtrasenas/story01.htm