elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  curiosiando con mi router, sera esto un bug?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: curiosiando con mi router, sera esto un bug?  (Leído 2,497 veces)
0x3c

Desconectado Desconectado

Mensajes: 108


learning, making mistakes, having fun


Ver Perfil
curiosiando con mi router, sera esto un bug?
« en: 14 Marzo 2013, 05:43 am »

Hola hace ya un tiempo que no posteaba nada y solo me dedicaba a entrar al foro de vez en cuando....bueno hace ya un tiempo, algo asi antes de febrero, estaba aburrido y decepcionado por que no tenia conexión a internet...el problema, el router parecia conectarse y desconectarse o al parecer se estaba reiniciando cada cierto tiempo por lo que la senal se caia y me sacaba de internet..

Quise investigar que era lo que pasaba asi que como siempre hago para trabajar con redes puse a andar wireshark para ver que sucedia y esto fue lo que encontre:

****************************************************************************************
[1]-->mi router estaba enviando paquetes SSDP[https://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol]

[2]-->no solo era mi router tambien lo estaba haciendo otra IP en mi red [Location:http://10.0.0.7:2869/upnphost/udhisapi.dll?content=uuid:491edc4f-388c-4235-a391-bb0642861f38\r\n]

[3]-->los paquetes SSDP tenian cabezeras http [NOTIFY * HTTP /1.1 - M-SEARCH * HTTP/1.1]

[4]-->todos ivan a la misma direccion y puerto[239.255.255.250:1900]
****************************************************************************************

Todos los que me conocen saben lo curioso que soy y podrian adivinar que sera lo siguiente que pasara..

Primero: use nmap para escanear el router como parecia ser el origen del problema y encontre unos puertos abiertos:
Código:
-------------------------------------
Scanning 10.0.0.1 [1000 ports]
Discovered open port 443/tcp on 10.0.0.1
Discovered open port 21/tcp on 10.0.0.1
Discovered open port 80/tcp on 10.0.0.1
Discovered open port 23/tcp on 10.0.0.1
Discovered open port 8085/tcp on 10.0.0.1
--------------------------------------

como no se de memoria cuales son los servicios que corren en cada puerto[a excepcion del 21,23 y 80] busque informacion sobre el puerto 8085, pero los resultados no me convencieron, algunos decian que se usa para correr un VMWare server? que si audio/video? naaaah! asi que volvi a mirar el fingerprint de Nmap para ver que podia encontrar:

No se si an visto los 'Service Fingerprints' de Nmap pero mirarlos es un poco dificil asi que tuve que limpiarlo[quitarle todos lo \x20] para poderlo leer de mejor manera...y resultaron ser cabezeras http:

Código:
GetRequest,16E,"HTTP/1\.0 401 Unauthorized\r
Server:Apache\r\n
Pragma: no-cache\r\nCache-Control: max-age=0, must-revalidate\r\nConnection: close\r\nContent-type: text/html\r\nWWW-Authenticate: Basic realm=\"Thomson Gateway\"\r\n\r\n
<HEAD>
<TITLE>401 Authorization Required</TITLE>
</HEAD>
<BODY>
<H1>401 Authorization Required</H1>
Browser not authentication-capable or authentication failed.
</BODY>

Código:
HTTPOptions,155,"HTTP/1\.0\ 400 Bad Request
Server: Apache
Pragma: no-cache
Cache-Control: max-age=0, must-revalidate
Connection: close
Content-type: text/html
<HEAD>
<TITLE>400 Bad Request</TITLE>
</HEAD>
<BODY><H1>400 Bad Request</H1>
Your clientsent a query that this server could not nunderstand.
<P>Reason: Invalid or unsupported method.<P>
</BODY>

y me di cuenta que debia ser un servidor.....

segundo: busque informacion en google sobre la dichosa DLL que aparecia en la direccion que estaba enviando la otra IP de mi red, ya que esa IP era de un host windows a primera instancia pense que se trataba de alguna infeccion..

la mejor descripcion de para que sirve la encontre en ingles...

Código:
After discovery of existing network devices, the UPnP Device Host, along with the udhisapi.dll module, does the following:

1. Announce the device in accordance to UPnP's discovery protocol.

2. Respond to queries for the device's description.

3. Route control requests to the part of the device's code that implement its functions.

4. Maintain event subscriptions to services that the device provides.

5. Send event notifications to subscribers when the state of the device's service changes.

..la funcion numero uno[anunciar el equipo en concordancia con el protocolo de descubrimiento UPnP me dejo mas preguntas que respuestas...si es un protocolo de anuncion de equipos, por que lo hace una pc?, por que mi router debe hacerlo tantas veces? y por que la conexión se pierde cuando esta haciendo ese proceso? loooooooooool me estaba poniendo loco.

Aparte HD Moore y un equipo de personas[http://www.itnews.com.au/News/330477,researchers-warn-of-widespread-upnp-bugs.aspx]  habian descubierto un fallo en UPnP, esto me tenia nervioso, por que pense que quiza alguien estaba jugando con mi router y posiblemente podria haber interceptado algo de informacion..

Pero decidi escanear mi router el cual resulto negativo a la prueba de UPnP de rapid7[http://upnp-check.rapid7.com/]

Pero el problema persistia y ya hasta sudaba la frustracion...


he aqui la razon por la que este post se ha hecho tan largo, decidi mirar algunos paquetes interceptados por Wireshark de nuevo, econtrandome con la siguiente direccion..http://10.0.0.1:80/igd.xml por supuesto decidi hecharle un ojo usando firefox.

En esa direccion pude encontrar referencia a otros archivos de extension .XML los que me parece son los archivos de configuracion del router un Thomson TG580, o acaso me estoy equivocando?

mis preguntas para terminal este post:
1- no es peligroso que los routers tengan sus archivos de configuracion acesibles atravez de un browser?
2-que se puede lograr accediendo estos archivos?


saludos


En línea

Si Vis Pacem, Para Bellum.

Another Legend Has Fallen
HdM


Desconectado Desconectado

Mensajes: 1.674



Ver Perfil
Re: curiosiando con mi router, sera esto un bug?
« Respuesta #1 en: 14 Marzo 2013, 10:19 am »

Hola.

Echa un vistazo:

http://www.dragonjar.org/hacking-de-redes-upnp-parte-i.xhtml

http://www.upnp-hacks.org/upnp.html

Saludos.


En línea

- Nice to see you again -
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sera posible esto?
Hacking Mobile
#Borracho.- 4 3,620 Último mensaje 10 Noviembre 2005, 12:49 pm
por #Borracho.-
sera verdad esto
Foro Libre
cotin 7 2,340 Último mensaje 9 Junio 2010, 22:58 pm
por La Muertع Blancα
que cifrado sera esto? MD5?
Criptografía
rub'n 5 2,992 Último mensaje 2 Marzo 2014, 21:33 pm
por Gh057
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines