Foro de elhacker.net

Lo primero es presentarme: Soy Rolo,  llevo bastante leyendo el foro en silencio, y he decidido salir del anonimato para compartir esto con vosotros. No creo que nadie mas o menos avanzado descubra mucho en mi paper, pero aun asi creo que es interesante como curiosidad.

No soy ni mucho menos un experto, asi que probablemente haya fallos o carencias en el texto, si se os ocurren ideas para mejorarlo o quereis señalar alguna incorreccion adelante, la idea es que aprendamos todos.

Antes que nada aclarar que esto no es un texto teorico, se ha puesto en practica en un entorno real, y por tanto todos los datos que en el aparecen estan censurados para proteger a las victimas originales. Todo lo descrito se ha hecho sin dañar ninguna maquina ajena y con el aprendizaje como unico fin.

Bien, vamos al lio:

En este texto voy a llamar la atencion sobre algo que mucha gente conoce, pero que creo que no se le presta demasiada atencion: La asignacion de IPS por nuestros proveedores.

Imaginemos que, por los motivos que fueran, un atacante quisiera atacar o husmear una serie de equipos que se encuentran en una zona fisica determinada (una misma calle, por ejemplo).

Normalmente en estos casos, "cercania fisica" siempre nos lleva a pensar "wifi"... pero no hace falta sacar el portatil y la antena a pasear, y menos ahora que se acerca el frio ; )

Hoy en dia, la mayoria de la gente que se conecta a internet lo hace a traves de un router, que tiene una  IP dinamica. Pero esa ip no va cambiando aleatoriamente, sino que lo hace dentro de un rango determinado. Ademas, ese rango suele ser compartido con otros routers que tengan contratada la misma compañia y esten en la misma zona fisica.

Vale muy bien, y que?

Pues, para que veais las implicaciones de esto, veamos un caso practico:

Como primer paso, obtengo la IP de un equipo del barrio/calle a ojear. Me servire de un amigo que se ofrecio voluntario, pero podria haber usado mi propia ip o la de alguien que obtengamos por los metodos tipicos (ingenieria social, cabeceras de mail, etc.).

Tiramos de nmap, y encontramos lo siguiente:

(http://img19.imageshack.us/img19/7290/69629552.jpg)

Vaya, la cosa pinta bien. Tenemos un router que por lo que nos cuenta una ojeada a google, es (o era) instalado por ono, y tiene pinta de estar bastante abierto

Y lo que es mas, un escaneo de vulnerabilidades por parte de nuestro amigo nessus revela lo siguiente:

(http://img816.imageshack.us/img816/2448/84638478.jpg)

O, dicho en cristiano: el router no solo tiene los puertos abiertos para una configuracion externa, sino que lleva el set usuario:password por defecto (nada:admin). Definitivamente mi amigo se merece una colleja...

Pues nada, tiremos para dentro:

El ftp nos da un acceso limitado a una carpeta con dos archivos, y el telnet nos da acceso a una consola con comandos algo limitados. Nos centraremos en acceder por el puerto 8080 desde el navegador, donde nos encontramos lo siguiente:

(http://img403.imageshack.us/img403/1761/36865839.jpg)

Bueno, las opciones son muy jugosas, como os podeis imaginar. Por resumir, su router ahora es nuestro ; )

Ahora bien, todo esto ha sido solo un tonteo en el router de nuestra victima verdad?

Ahora viene lo realmente importante:



Tiramos el nmap por un rango de ips cercanas al amigo:

(http://img191.imageshack.us/img191/6770/15788426.jpg)

Resultado?

22 ROUTERS CON EL MISMO ERROR GARRAFAL DE SEGURIDAD

Y estamos hablando de un rango de 255 ips, con lo que tenemos que casi 1 de cada 10 direcciones escaneadas tiene la misma vulnerabilidad!

A que se debe esto? Muy sencillo, probablemente toda esta gente,  al ser de la misma zona.  contrato su conexion a internet en la misma epoca (por una oferta, por una campaña comercial, o vayauste a saber), y por tanto tienen un equipo y configuracion muy similares.

Por si alguien se ha perdido, ahora  las cosas estan asi:

- Tenemos acceso pleno a 22 routers, aunque no a los ordenadores que hay detras.

- Sabemos que estan en la misma zona y tienen contratada la misma compañia.

Vamos a recopilar algunos datos de los routers comprometidos:

Para ello, accedemos por el navegador y echamos un ojo a la tabla DHCP. Esto nos permite, entre otras cosas, ver los nombres de los equipos que estan o han estado conectados en la red interna del router.

He aqui algunas de las piezas de informacion que se pueden encontrar:

(http://img24.imageshack.us/img24/4323/36318875.jpg)
(http://img121.imageshack.us/img121/6277/13100292.jpg)

Como podeis ver esto nos permite sacar nombres de los usuarios, deducir donde estamos accediendo  (esa segunda captura, por ejemplo, parece una tienda), y muchas cosas mas. En uno de los casos, el pc llevaba el nombre de la empresa a la que pertenecia, con lo que desde google se puede rastrear su direccion y datos.

Bien, voy a dejar el ataque aqui de momento, puesto que queda demostrado el uso que se le puede dar a la relacion  rangos ip - cercania fisica. 

Por si alguien se esta preguntando si este ataque podria dar mas de si, dejo algunas ideas para despejar dudas. Un atacante podria, por ejemplo:

- Tumbar el router y dejar a la victima sin conexion.

- "Actualizar" el router por TFTP con una version modificada del firmware, lo cual     permitiria por ejemplo convertir el router en un servidor FTP o IRC que usar para temas de netbots o lo que surja.

- Escanear remotamente las redes wifi de la zona, lo cual puede ser util para situar donde esta nuestra red exactamente.

- Activar el control parental del router y dejar a sus usuarios sin acceso a porno (aunque ni el peor de los hackers seria tan cruel : P ).

- Eliminar la proteccion WEP/WAP de la red inalambrica, para poder acercarnos con el portatil y entrar en la LAN sin necesidad de crackearla (y una vez en la LAN, los demas equipos conectados caerian mucho mas facilmente).

- Segun tengo entendido, se pueden redireccionar las conexiones usando DMZ a una ip interna (visible en la tabla dhcp) para atacar al equipo directamente desde internet.

- Usar los datos obtenidos para una buena gama de ataques de ingenieria social.


Y seguro que a otros lectores con mas conocimientos se les ocurren mas y mejores ideas...


Ah, y por quien nos pueda leer, aclarar que el fallo de seguridad descrito no es culpa ni de ono ni de draytec, sino de los usuarios que llevan desde 2006 sin actualizar y con la pass por defecto.

Si alguien quiere contactarme, podeis hacerlo aqui en el foro por privado.

Espero que os haya resultado interesante, un saludo ; )

buen aporte!

interesante, no sabia que las ip`s podian asignarse "por barrios". Pensaba que era de manera automatica. Luego cotilleare haber un par de redes haber como veo las ips.

Gracias.

"no sabia que las ip`s podian asignarse "por barrios"¨"

Si bueno, normalmente eso pasa , pero no es algo fijo ni una ley. Pero es muy muy común entre los ISP. Pero de todos modos si necesitas algo de eso, no puedes confiarte.

Sí y está todo bien explicado.

Un saludo, esperamos más cosas así en el foro!

Se me ocurre atacar furtiva y masivamente los routers con arp poisoning para infectar equipos por ejemplo.
Si tienes aceso a la parte de dentro de la red es realtivamente facil atacar.

Saludos

Buen post. Yo tampoco sabia que algunos ISP asignan las IP's por barrios, esta noche veré si mi proveedor lo hace xD

Si no fuera así sería muy difícil que alguno de esos localizadores que se encuentran en la red funcionen :P

Saludos

Gracias a todos por el feedback


Como ha dicho D4N93R, es mas una costumbre que una ley, no tiene por que ser siempre es asi. Lo que no se es por que se hace de esta forma,, supongo que sera por comodidad de gestion o algo asi.  Igual alguien que haya currado por alli nos puede sacar de dudas...

Cierto, no se me habia ocurrido. Supongo que eso explica tambien su fiabilidad, digamos relativa XD
Si, no es mala opcion. El envenenamiento arp requiere estar dentro de la lan si no me equivoco no?

Asi es :)

Saludos

sigo echando un ojo a las posibles opciones (en el router de mi amigo aprovechando que me deja, los otros mejor no trastear con ellos no vayamos a tener un disgusto xD)

Estoy mirando lo que comente del DMZ, que nunca lo habia probado en la practica, a ver si podeis aclararmelo vosotros:

(http://s2.subirimagenes.com/otros/previo/thump_5455704captjhgkura.jpg)

Por lo que veo seria tan simple como ponerlo en enable, escoger uno de los pcs conectados al router y darle a ok para que el pc quedara atacable desde internet como si estuviera siendo atacado desde la red interna.

Hay algo que estoy pasando por alto? Afectaria esta configuracion a la posibilidad de usar el router del resto de los pcs de la LAN?

En realidad cambia según el ISP, por ejemplo el mío no hace eso.
Por otro lado, hice un escaneo a mi rango de ips y la verdad que no encontré nada interesante..

http://foro.elhacker.net/hacking_wireless/taller_victhor_iquesty_tras_el_router_que-t309259.0.html

El DMZ sería muy buena solución, o si no ir abriéndole los puertos que nos interesan (ej Netbios) para ser más silenciosos.

Buen post!

Gracias y esto da pie a muchísimas ideas  :rolleyes:

Gracias por ese link, habia buscado algo del estilo pero no encontre nada  :P

Que grande ese hombre, creo recordar haber leido articulos suyos hace ya años en revistas y siempre hace descubrir algo nuevo...

Estimados, Buenas tardes (por lo menos en Argentina  :P).. Yo tambien hace años paso por el foro leyendo y curiosando..
En este caso participo para aclararles un poco respecto a los ip por zonas...

Les comento trabajo en un ISP de argentina. La realidad de asignaciones de IP como bien saben son pool's dinamicos de IP conectadas a un Router (el encargado de relizar el encaminamiento de paquetes en capa 3). Ese es el porque la mayoria de los ISP manejan rangos de IP dependiendo del Router de acceso, tecnologia, etc.

Como extra les comento q algunos proveedores administran su redes con Isolation para que los clientes no se vean entre si. Otros no.

En cuanto a lo publicado por Rolo.. Te comento que con ese ataque logrando acceso al router podes hacer muchas cosas. Como bien dijiste la principal es ir habilitando el DMZ a diferentes host y ver.. Probar los puertos altos que normalmente abren nuestros queridos P2P. o el mismo MSN...

Bueno solo eso por ahora..

Un saludo grande a toda esta comunidad!!! ;-) ;-) ;-)

Exacto lord_venon.

Por ejemplo tampoco aplica con el ISP Comcast. En el cual me asigna el rango con equipos en bien lejos,  por lo que la localización por IP a mi no me funciona xP

muy bueno sin palabras jeje

Pues a mi no me queda tan claro, no entiendo como puede escanear IP de routers en un rango si se supone que cada router forma parte de una Red local independiente no?
Ademas tampoco entiendo de que le sirve la IP externa para realizar un SCAN a un router al que no puede acceder si este tiene firewall y rechaza las conexiones.Con que IP se conecta al router? con la externa? por via wifi???

Sera por mi falta de conocimientos pero a mi me parece muy confuso... Si alguien entiende mis preguntas(ya que igual me equivoco y estoy preguntando algo sin sentido) que me heche una mano porque vamos... me quede KO!

mmh.. Vaya siento que te haya liado, a ver si puedo aclararte las dudas:


A ver, un router cumple una doble funcion: Por un lado, administra su propia red local interna, para los ordenadores de una casa, un trabajo, etc. Y ademas, actua de "puente"  entre esa red e internet.

Visto desde dentro, hay una red local que está en el rango 192.168.1.*. En esa red está el router,en la ip 192.168.1.1 ; Y  ademas, todos los pcs de dentro de mi casa tendran cada uno su propia ip interna.

Mi pc tendra una, el portatil de mi padre otra, el iphone de mi hermano otra, etc. Esa red interna solo es visible para los que esten conectados a ella.

Peeero, desde fuera, es decir de cara a internet, el router tiene otra ip diferente, la ip externa. Y detras de esa ip externa, que es 1 sola, esta TODA la red interna del router.

Es decir, de cara a internet todos los ordenadores que estan conectados a mi router son la misma ip. Puedes hacer la prueba, mira tu ip externa en alguna web desde 2 ordenadores diferentes dentro de tu casa y veras que sale la misma direccion, porque de cara a internet son la misma ip, la del router que os esta haciendo de "puente" con internet.

Si no te queda claro, piensa en ello como si la red interna fuera una casa: Por dentro, tiene una habitacion diferente para cada uno de los habitantes de la familia, pero por fuera (internet) si alguien quiere mandar una carta la mandara al buzon,  sea para la persona que sea. Da igual que te manden una carta a ti o a tu padre, iria todo al mismo buzon. Pues aqui es igual, todo lo que te manden desde internet va al router, da igual para que ordenador sea.

Entonces, si la direccion ip EXTERNA de mi router es, pongamos por ejemplo 89.43.234.53, y yo hago un escaneo en el rango cercano, me podria encontrar con que por ejemplo la ip de al lado 89.43.234.54 es de un router de un vecino mio, y detras de esa ip externa se encontrara tooda su red interna. Ese escaneo se esta haciendo desde internet, claro, por eso aparecen las ips externas.




Estamos usando la ip externa y desde internet, cada uno en su casa, en esto el wifi no tiene nada que ver.

Los routers tienen firewalls y rechazan conexiones que vayan a determinados puertos, por eso por ejemplo no podemos conectar con un troyano si hay un router de por medio. Peero, no todos los puertos estan cerrados y rechazando conexiones, muchas veces (como en este caso) los routers tienen algun puerto abierto para que los dueños puedan conectarse a ellos y configurarlos.

 En nuestro caso, como se ve en la imagen que puse, habia 3 puertos abiertos para ello:

(http://img19.imageshack.us/img19/7290/69629552.jpg)


Asi que simplemente hemos entrado.


Para que no se conecte todo el que le de la gana, cuando intentes conectar te pide un password, y en este caso hemos tenido la suerte de que tenia el password por defecto asi que no nos ha hecho falta nada mas.

Si los dueños hubieran tenido mas cuidado y hubieran puesto un password mas seguro, en ese caso tendriamos que probar a buscar algun exploit que nos sirviera para atacar el router o algo asi.

Pero en definitiva, para aclararte, el hecho de que exista un router con firewall no significa que sea invulnerable. Lo que es "invulnerable" desde internet son los pc que estan detras del router en su red interna, porque el router esta en medio haciendo de barrera entre ellos e internet... pero el router en si mismo si que es vulnerable.

Espero que asi quede mas claro, si no me he explicado bien o te queda alguna duda pregunta sin compromiso que para eso estamo aqui  ;D

OK. Lo de tener acceso al router está claro... Pero después ahora que estoy pensando la verdad es que no me parece tan facil conseguir una shell remota de algun host...
Había pensado en el ataque al puerto 445 con el metasploit y el exploit ms06_netapi... pero está reparcheado...
El resto suele usar fallos en software ( adobe, flash, java...).

La pregunta es: cual sería entonces el paso siguiente si se quiere obtener una shell de los equipos que están en LAN??? (y busco algo seguro como seria el ms06_netapi sino estuviese reparcheado... no cosas como exploits de java, adobe y company)

Un saludo

PD: tampoco me vale autopwn o pasar el escaner de puertos al msf... Quiero hacer las cosas por algo y no lanzar la metralleta de exploits por ver.... Hay que ponerse retos!!!

Hombre eso ya seria desviarse mucho del tema del tutorial, pero de todas formas...

Lo que estas pidiendo, si te he entendido bien, es una tecnica que permita introducirse en cualquier pc con seguridad, y que ademas no sea un escaneo automatico...

Pues no creo que tengas suerte, si existiera algo asi seria como para perder la fe en la seguridad informatica, aparte de que precisamente lo interesante de esto es que cada pc es un mundo xD

He de decirte que pienso al contrario que tu. El que tu no conozcas ninguna tecnica que te permita eso no quiere decir que no exista. Que desde luego que existen infinidad de tecnicas. En lo que si tienes razon es en que cada maquina es un mundo.

No soy ningun experto, asi que no puedo afirmar que no lo haya, pero...

- sin analisis de vulnerabilidades previo (porque tiene que servir para todos o una inmensa mayoria)
- sin que este muy parcheado...
- que funcione a ciegas y sin automatizar
- sin que use fallos de software instalado (como vulnerabilidades del adobe)
- que de acceso completo al equipo
- que se lance desde red local, sin acceso fisico al equipo

No creo que haya algo asi en el dominio publico, hasta que me lo muestren, me doy al escepticismo xD

Ahora, que si alguien conoce algo asi, yo soy el primero que va a estar encantado de leer sobre el tema  ;D

es posible ingresar a la maquina luego de acceder al router? es posible modificar el soft del router? es posible inducir a que se ejecute codigo en la maquina, sin tener que recurrir a una vulnerabilidad del tipo desbordamiento de pila o por el estilo?

Si tu consigues entrar a un router, puedes ver la lista de DHCP y ver clientes conectados. Despues es cuestion de mapear puertos hacia una IP interna y ver que encuentras. Lo mimso para un exploit remoto. Abres el puerto en cuestion hacia la ip interna y voila.


Tambien decir que por lo menos los router que tengo acceso legal (mi casa, novia, amigos, etc) tiene la config del router para que solo pueda administrarse internamente. Esta desactivada la opcion desde internet. Son routes de telefonica y de ONO.

Lo primero ya lo ha respondido wactor, y por ahi en este mismo hilo hay un link a una serie de tutoriales para ello. Para modificar el soft del router, este lleva un sistema de actualizacion por tftp, subes el firmware modificado y se instala. Ahora, sobre ayuda para modificar el firmware pregunta a otro, porque lo que es yo la verdad es que ni p**a idea  :-[

Me ha servido, post actualizado y con cosillas significativas para aprender.

Gracias.

Por cierto, tiraré de lo que dices a ver si encuentro explicación, porque cuando  investigo mi IP de mi casa, pues, sea cual sea el mecanismo que utilice, me da que estoy en Madrid y no, no estoy en Madrid o fue coincidencia.

 No es que tenga demasiada importancia, sino que me llama la atención o mas bien me provoca curiosidad. Suponía que eran cosas de Telefónica, pero en fin, trastearé un poco cuando llegue a casa.

Saludos.

Gabriela

Me alegro de que te sirva  ;D

Que yo sepa los sistemas de geolocalizacion usan esta misma base teorica como comento NovLuker. En cuanto a por que falla en tu caso, pues igual esta cita de un texto que encontre en un blog te sirve como explicacion:




Esa entrada del blog era de hace unos 3 años, pero supongo que la cosa sigue igual en algunas zonas...

Esto mismo sucede no solo en routers/pcs hogareñas, sino en servidores web, si encontras un servidor vulnerable, es muy probable que en la misma comañia existan otros con la misma vulnerabilidad. Es un concepto simple pero poderoso.

Puede ser por el proxy transparente del canguronet, que mucha gente tiene activado sin darse cuenta (si no has pedido que te lo den de baja, lo tienes activo)

rolo91, quizá por ahí van los tiros. Se agradecen las opiniones para ir cerrando o satisfaciendo curiosidades.


Uxio. No, no he pedido baja alguna. ¿Sería conveniente hacerlo? Y en su caso, por qué. No veo que tenga ningún filtro de páginas.

Soy toda ojos.  :D

Gabriela.

Edito: ya estuve trasteando, como desactivarlo ( San Google).

No tiene filtro de páginas, pero te cobran por él al mes, además que no puedes usar servicios como megavídeo o megaupload ya que "compartes" tu IP con otra gente.

Para saber si tienes canguronet activo entra a www.cualesmiip.com y mira si la conexión va a través de proxy. Escribí en mi blog hace tiempo del tema.

Nos vemos

hace 2 años comence un proyecto con un amigo con estos routers vigor2100, resulta que por defecto tienen abierto el puerto 21 y 23, que hay en el 21? los archivos de configuracion.

comenzamos a desarrollar un programa en c# con la idea de:

1º descargaba el fichero de configuracion alojado en el ftp
2º parseaba la informacion incluida en el archivo (esta en texto plano), essid,bssid, tipo de cifrado, direccionamiento ip LAN, key wireless (si, incluida WPA)
3º conectaba por telnet y extraia el bssid
4º lanzaba consulta a skyhook wireless para consultar las coordenadas del router y asi geolocalizarlo.

¿resultado? podias hacerte una base de datos de redes wifi de toda tu ciudad, geolocalizadas en una bbdd e incluso teniamos la idea de hacer un mash-up con google maps.

al final nunca lo acabamos pero aun lo tengo por aqui, si necesitais mas informacion aqui estoy :P

no hace falta ir tan lejos... se pueden usar dst-nat , o bien ruteo estático para redirigir  paquetes hacia nuestro host y luego analizarlos con wireshark o lo que mas nos guste! :D

saludos

ayudame por favor, no entiendo como hisiste para abrir la ventana de la segunda imagen ,donde decis q el router ya es nuestro .=S



muchas gracias

me explicarias mas detalladamente los pasos por favor?

Abres el navegador, y pones la ip acabada en :8080.

Pero sinceramente, si no sabes como acceder a un router por hhtp mejor no toques nada (ni ajeno ni propio) hasta empollar un poco de teoria o te acabaras cargando algo...

mi duda es la siguiente y busq la respuesta pero no la encontre xD
la ip de todos los routers no es la misma? o sea yo vi varias personas q ponen como saber la ip y desde el CMD en win xp les sale lo mismo a todos. y si pongo eso en ves de entrar al de otro entro al mio. corrijanme si me equivoco xD
entonces yo tengo q poner la ip dinamica del router al q quiero entrar? o sea la q le sale a la victima cuando entra en www.cualesmiip.com por ejemplo?



                                  muchas gracias por responder  ;-)

La ip que es la misma es la interna, y esa solo vale para tu propia red (192.168.1.1), que siempre sera TU router.


La ip externa (que no puede o no ser dinamica) es la que se usa para acceder desde internet. Y si, esa es la que sale cuando consultas cual es tu ip en alguna pagina.

ok muchas gracias  ;D