lunes, 14 de julio de 2014

Cómo saltarse la contraseña del router Comtrend

Recordemos el típico disclaimer: Hacer este tipo de cosas sin permiso del usuario propietario es un delito muy grave. Yo no me hago responsable de los perjuicios que se puedan producir al seguir estas instrucciones. Hazlo bajo tu responsabilidad.

Como todos sabemos, cuando contratamos un ADSL o pon aquí la conexión a internet que proceda nos traen un router que lo tienen configurado de forma muy genérica. Entre otras cosas, el acceso al mismo suele estar restringido por unas credenciales por defecto que suelen pasar por los pares usuario/contraseña como:


  • admin/admin
  • 1234/1234
  • 123456/123456
  • admin/1234
  • 1234/admin
  • /1234
  • /123456
  • /admin
  • admin/
  • 1234/
  • etc,
  • etc,
  • etc...
Eso siempre y cuando se tenga acceso a la interfaz web directamente desde la red donde éste se encuentra. Porque si se trata como el de telefónica, tienes que haber quitado la configuración desde su portal Aleandra.

Resulta que he llegado a un router que estaba en esa situación: se quitó la configuración de ese portal para poderlo administrar desde dentro de la red. Sobretodo porque es más versátil así que no el portal que tiene muchas cosas capadas. 

El problema está en que se ha perdido la contraseña. Se sabe más o menos gran parte de la misma, pero aún así, al principio no ha habido forma de entrar. Y ha hecho falta buscar la manera de intentar saltarla de alguna forma. 


En una de las búsquedas, he encontrado este ejemplo para poderlo explotar. Es la base de datos de exploits Exploit-DB. Ya os hablé de ella cuando estuve haciendo la formación de Metasploit en la ahora desaparecida Informática 64. Dicho ejemplo, al principio, no he pillado del todo qué querían decir. Vamos a ver.

Como directamente es un texto con un ejemplo, no me parecía que pudiera ser lanzado. He querido probar a tirar de telnet contra el servidor web, pero se me cerraba la sesión (posiblemente por la solicitud de autenticación). Eso sí, me ha dado una pista:

http://IP_ROUTER/password.cgi

He podido acceder a esta URL y me ha dicho que el usuario que creía que tenía no era tal. En vez de admin era 1234.

Con esto, y una de las pocas combinaciones que tenía que aplicar, después de varios intentos he conseguido entrar... sin apuntar cuál de ellas eran. ¡Genial! ¡Ahora tengo acceso durante este rato...! Pero cuando se termine la sesión, el usuario volverá a estar perdido. Por lo que he vuelto a mirar el eploit. Y he caído en la cuenta.

En el momento en el que tienes acceso a la página password.cgi, te muestran en claro, como mínimo, tres contraseñas. Entre otras,

pwdAdmin = 'passwordPerdida';
pwdSupport = 'password02';
pwdUser = 'password03';

Además, ahora mismo, y mientras que lo estoy escribiendo, estoy viendo otra posibilidad: utilizar algún tipo de tamper data, firebug o cualquiera de estos que permita cambiar el código fuente al vuelo, de tal forma que pasaría el filtro de la igualdad entre la contraseña actual del sistema y la solicitada para corroborar que se puede hacer el cambio.

Total, que ya hemos recuperado el control sobre el router.

Me pregunto si qué otros routers entregados tienen algo parecido. ¿Alguien se apunta al carro?

No hay comentarios:

Publicar un comentario