Observa telecom AW4062 ese gran (des)conocido.

¿Qué tal mis queridos lectores ? Hace muchísimo tiempo que no escribo nada (tampoco es que sirva para mucho … ¿o sí? en fin)  y visto lo que sucedió la última vez –que por si no lo recuerdan– liberé de forma didactica el proceso de creación de claves por defecto de los routers comtrend para movistar y jazztel (WLAN_XXXX)  dando así como resultado una proliferación masiva de aplicaciones para “robar wifi al vecino” conectarse a internet everywhere (gracias por mencionarme en todas ellas), he decidido volver con algo igual de didáctico pero menos apetitoso, o no…

Como consecuencia de lo anteriormente comentado, los nuevos routers que se han ido instalando han cambiado sutancialmente la forma de generar la clave por defecto de la red wifi, y en concreto vamos a hablar de lo que ha caido en mis manos, un AW4062 fántastico oye. Por si alguien anda perdido “esos que tiene la mac 001915″.

He de decir que esta vez se han lucido un poco más, he tenido primero que lidiar con el firmware, ya que a primera vista no encontraba ningún bug para acceder a una shell mediante su “cli” (command line interface) pero vayamos por partes.

Este cacharro está basado en linux, como viene siendo de costumbre, en concreto :

Booting
Press ‘ESC’ to enter BOOT console…
Using Int. PHY
Decompress file… ok!

Linux version 2.6.19 (root@hp.tecom.intra) (gcc version 3.2.3-1.2.8) #475 Mon Apr 19 15:35:31 CST 2010
CPU revision is: 0000ff00

Blabla…

Llava un puerto serie interno, que es clave para investigar un poco con él. Lo descubrí al “brickearlo” mientras buscaba la intefaz JTAG ya que jugando con el firmware me lo cargé momentaneamente. Con un MAX232 y unos condensadores puedes conectarlo al puerto serie. Velocidad 115200 bps :-)

El firmware se compone de 3 partes, cabezera, sistema de ficheros y kernel. Utiliza squashfs y lzma para el rootfs y el kernel respectivamente. La cabezera es de 64bytes y guarda información y hasta aquí voy a leer…

Una vez extraido el sistema de ficheros, podemos jugar con los ejecutables, incluso emularlos con qemu-mips pero lo más indicado es prepararse un toolchain para mips y tirar de gdb.

Pero para poder meterle “cosas” al router necesitamos poder generar nuestro propio firmware. Es aquí donde empieza mi investigación, veamos la cabezera.

Los primeros 64 bytes son la cabezera en la que se codifican varios datos importantes y a continuación comienza la signatura para el sistema de archivos squashfs.

El sistema de archivos contiene esta estructura:

bin/  dev/  etc/  home/  lib/  mnt@ proc/ sbin@  sys/  tmp@  usr/  var/

dev,mnt,proc,sys,tmp y var son creados en caliente y es donde los datos que nos pueden interesar están, luego no es muy útil el firmware por si solo, tampoco nos valen las emulaciones, por lo que hay que buscar la forma de acceder al router mendiante shell.

Además por si fuera poco, el contenido de bin es escaso, sobre todo si quieres realizar un dumpeo de la memoría ram, o del propio rtl8671hb o memoría ram.

CreatexmlConfig  configd ifconfig mpoad startup LoadxmlConfig  cp  igmpproxy msh tc ShowStatus cpu inetd  netlogger  telnetd UDPserver cwmpClient  init ps tftpd [ dnsmasq iptables qc traceroute adslctrl ebtables iptables-batch reboot udhcpc arp echo iwcontrol rm udhcpd auth ethctl iwpriv route udpechoserver bash@ expr  kill routed updatedd boa flash login sarctl updateddctrl brctl flatfsd ls sh vsntp busybox ftp mini_upnpd slogd wdg cat ftpd mkdir snmpd wpa_default catch help mount spppctl wscd cli httpd mpoactl  spppd

También tiré de strings y en efecto, dio buenos resultado, pero no tan fáciles como con los comtrend. Así pues, si quería investigar en consecuencia primero tendría que modificar el firmware de router, para ello he creado un pequeño set de utilidades que me permiten extraer de un firmware todo, modificarlo y volverlo a empaquetar, mirad:

He tenido que modificar las utiliades de squashfs (con soporte lzma) y además con ayuda de ingeniería inversa, la consola serie, e IDA ver cómo está implementando el checksum en el firmware para crear un “joiner” que une los binarios del sistema de archivos squash y el kernel y le añade la cabezera y el checksum calculado.

et voilá, firmware creado y listo para meter al router. Veamos más del router. Este utiliza un fastidioso “cli” que he intentado reventar buscarle fallos y como a los treinta minutos no salía nada, desistí. Por otro lado implementa un sistema de identificación que guarda los datos en /var/passwd pero como comenté antes, todo esto lo hace en caliente. Tampoco sirve de mucho buscarle fallos al cli ya que de todas maneras tienes que modificar el sistema de archivos para poder debuggear correctamente. Pero bueno esto es bastante subjetivo, hay caminos para todo.

¿Pero dónde está el dichoso algoritmo?

En este punto que ya nos encontramos es cuando empieza realmente la búsqueda del algoritmo que genera la clave. Por el momento no voy a contar nada más, ha sido suficiente y como conclusión y pistas, os diré que no es fácil, usa dos algoritmos encadenados y por lo que apuntan mis indicios, la entrada a dicha primera función no es la mac ni nada fácil de obtener, es un número de serie único que por el momento no voy a decir cómo obtenerlo, no es fácil. Ahora me falta probarlo todo, por que mi segundo indicio es que las funciones que generan dicha contraseña son funciones con particularidades, es decir, que no devuelven la misma salida que puede devolver en una versión estandad del algoritmo.

Tengo que seguir debuggeando entre gdb e IDA, y gracias que esta vez no sea tan fácil para todos, quien quiera algo que se lo curre.

Os dejo regalos

http://pastebin.com/7fVsXNyg el dmesg

Firmware mayberoot -> Este es mi firmware modificado, con acceso a root, la contraseña la tenéis que adivinar vosotros :P por cierto, de nada vale descomprimirlo, hay que cargarlo en el router. http://192.168.1.1/elve.html para saber si se ha cargado bien.

Saludos y hasta la próxima!

P.D: Me alegro mucho de contar un blog que alguien pueda leer sin recurrir a foros que serían como telecinco es a la televisión.

About these ads

Quant a elvecinoo

Soy un vecino de rusia
Aquesta entrada ha esta publicada en Uncategorized. Afegeix a les adreces d'interès l'enllaç permanent.

33 respostes a Observa telecom AW4062 ese gran (des)conocido.

  1. alo2913 diu:

    Coño que tio mas grande eres,cuando revientes este router te podias poner con los de vodafone que parece que son imposibles,y si no con los nuevos orange y jazztel un saludo genio y a seguir reventando compañias y que se jodan, son todas unas mamonas un saludo.

  2. shiplajon diu:

    tengo cambiado el firmware que has subido, pero como puedo entrar en el shell, como dices tu.
    cuando pongo telnet me sale un menu.

  3. alo2913 diu:

    Yo no dispongo de un vodafone sino te lo enviaria,segun dicen unos amigos que tengo que eso son imposibles de hakear que se van a quedar con las ganas,pienso que pueden tener razon porque llevan mas de un año intentadolo,tambien pienso todo tiene un punto debil saludos.

  4. toni diu:

    Monstruo.
    Vodafone dicen que se conecta por el puerto igual y tambien que han descubierto 2 vulnerabilidades ftp y web

  5. dauda.m diu:

    No seas malo y dinos el algorritmo”elvecino”porfa.Que muchos somos ignorantes,y todo lo que as expuesto nos suena a chino,asi que es imposible sacarlo para muchos,y tu eres un genio.
    Piensatelo anda.

  6. dirneet diu:

    Serias tan amable de exponer las herramientas fmk, modificadas por ti.
    Lo quisiera probar con un router vodafone.

    • elvecinoo diu:

      Por el momento no voy a poner ninguna herramienta mía. Por otro lado no he modificado nada del firmware mod kit, solo he recompilado las utilidades squashfs-tools para soporte lzma, vamos ningún misterio.

  7. alo2913 diu:

    Alguna pistilla mas!!!,con los regalos no podemos hacer gran cosa los que no tenemos herramientas,estirateeeeeeeeeeeeeee:a1cD8ashjbKTRY6612yx

  8. M4rk0 diu:

    Los rusos , son unos de los mas grandes hackers de la historia , por no decir los primeros , numerosos hackeos al gobierno americano , expertos en la clonacion de tarjetas , ataques webs ,en resumen son grandes ingenieros en el mundo de la tecnología pero no muchos se dan a conocer , creo que eres un buen informático ya descubriste el anterior algoritmo Wlan y Jazztel
    Un placer visitar tu web ojala fuera mas actualizada , por cierto ¿realmente as descubierto el algoritmo o están en ello a un investigando? un saludo

    • elvecinoo diu:

      Depende de cómo lo quieras interpretar, por el momento sé:

      -Los algoritmos standars que utiliza
      -La cadena de entrada
      -Donde está el algoritmo que lo genera todo.
      -Como funciona el firmware y cómo es su estructura.

      Me falta saber las peculiaridades de los algoritmos y la relación que hay entre la la cadena de entrada, y otros datos más comunes ( macs, essid … )

      Saludos.

  9. M4rk0 diu:

    Es increíble , esa es la gran incógnita lo genera por SSID o por Mac , El problema es que no lo genere por ninguno de ellos y sea un identificador unico del ruter no crees?

  10. 999999999 diu:

    Jajajaja… yo siempre he pensado que te mereces un curro en el FBI tio!
    Eres bueno, muy bueno!!!!

    Me quedo Observa(ndo) desde la gradas.
    Un saludo, 999999999.

  11. M4rk0 diu:

    ¿Entonces no se puede consegir un patron no?

  12. dauda.m diu:

    No se puede,almenos que lo diga elvecino o de las herramientas para descifrarlo.Pero no esta por labor,aunque quien sabe…hay muchos genios y mejores que él y ademas que conparten.

  13. Pablo diu:

    Hola “elvecinoo” quiero ante todo darte enormemente las gracias por el trabajo que has realizado. Tu firmware me ha funcionado a la primera y ahora puedo hacer wake-on-lan.

    Resulta que recien recibido instalé y configuré mi router, cual es mi sorpresa, que después de configurar todos los puertos (11), dyndns, wifi, etc. quiero entrar por Telnet para añadir una entrada estática en la tabla ARP y me encuentro con ese pufo de interfaz !!! rebusqué por todo internet y ya me veía cambiando de router (con el trabajo de configurar todo de nuevo)

    Metí tu firmware ya como medida desesperada, actualizó bién, pero pensé que no porque la configuración no había cambiado. Intenté acceder a a http://192.168.1.1/elve.html y BINGO!
    Lo demás fué pan comido ¡ gracias a ti ! login como root, arp -s y LISTO!

    Hasta aquí mi odisea de 3 horas para configurar un p*** router. “Movistar, juntos os jodemos más”

  14. AlexAltea diu:

    Hace un par de meses estaba enfrascado con los Huawei HG532c (los Jazztel_XX). Es similar a este que comentas; el firmware utiliza SquashFS + LZMA. Pero he cambiado de ISP, y se me ha ido este router al garete. Ya tengo las carpetas y alguna que otra cosa curiosa en /etc/defaultcfg.xml
    Pero para seguir avanzando ¿es imprescindible tener el router? Por otra parte hablas de que la emulación no sirve en estos casos, pero ¿acaso es la emulación de routers posible? (me refiero a que si conoces alguna plataforma que permita eso). Ya, se que la respuesta esta en Google, pero es imposible distinguir la calidad cuando el 99% de los resultados lo ocupan páginas mediocres.

    • elvecinoo diu:

      Olvidate del os xml, ahí no hay nada. Imprescindible no es nada, pero muchas de las configuraciones y cosas interesantes se crean en caliente, y hay librerías con llamadas al sistema propias del router, que te devuelve información que de ninguna otra manera la tendrás.

      qemu-mips por ejemplo, ejecuta binarios para mips.

      Efectivamente, ya sabes dónde está la respuesta.

  15. 999999999 diu:

    Vecinoo… en Lampi dicen haber hallado el algoritmo y parece que ya estan haciendo una herramienta para sacar la Key por defecto.

    No se te nombra, pero estoy seguro que fué con tu firmware.
    A ver si te dedican unas líneas al menos, sinó te las dedico yo para que se sepa bien quien logró extraerlo del router… ya que sin un “manitas” como tú, hoy no habría NADA!.

    Ahora los Vodafone tio, los Vodafone!! Jajajajaja.
    Un saludo, 999999999.

  16. Teo diu:

    Y, en términos muy sencillos -pues entiendo poco de lo que explicas-:
    1) En general, ¿qué te parece este router?
    2) ¿Mejor que el Comtrend, dlink, Linkisys, Zyxel, o del montón?
    3) ¿Tiene mucho margen de mejora vía nuevos firmwares o no?

    Saludos.

    • elvecinoo diu:

      1) Un router interesante, va con linux, y con ello todo lo que implica.
      2) A priori no.
      3) Sí, más o menos como todos, en cuestión de añadir nuevos programas, no como los livebox pero sí.

      Saludos.

  17. pufff diu:

    eres patético, tio. Deberias de dedicar tu enorme talento a otras cosas en vez de enseñar a robarle al vecino. Que pena que no descubra yo que alguien quiere robarme ancho de banda porque se iba a cagar de la que le podria caer.

    Fdo: Ingeniero Informatico. Experiencia de 12 años. Actual Responsable de Informatica en una empresa de alto nivel.

    • elvecinoo diu:

      Pasándo por alto tu pequeño ad hominem — quizá no has leído bien el blog — ; ya que eres responsable de informática de una empresa de alto nivel, podrías proponerme alguna suculenta oferta de trabajo dónde pueda explotar mi “enorme talento”.

      Fdo: Ingeniero como tú –queda muy bien, sí, aunque a mi me la trae al aire–, pero sólo soy actualmente responsable de vivir mi vida, ya ves tú, qué triste.

      Bona tarda.

    • Pablo diu:

      Hola, ante todo. No es por nada, pero de estas cosas también se aprende. Para ser ingeniero eres bastante mal educado, deberías sacarte una diplomatura en modales y formas. Buenas tardes.

  18. RUFIAN diu:

    Puffff, tu comentario si ke es PATETICO!!! Por no hablar de que me pareces algo fantasmilla con toda tu experiencia incluida…..

  19. Robby diu:

    holaaa el que se meta con el vecinoo lo matooo vecino lo mas grandee la emvidia es grande si no quieren opinar mejor callenzee

Comenta lo que quieras...

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Canvia )

Twitter picture

You are commenting using your Twitter account. Log Out / Canvia )

Facebook photo

You are commenting using your Facebook account. Log Out / Canvia )

Google+ photo

You are commenting using your Google+ account. Log Out / Canvia )

Connecting to %s