[anm]

Ciao, scusa, potresti dirmi come hai risolto?

[8nano]

in realtà i firmware sono presenti da un pezzo sul repository qui....

@Ansuel nel repository la cartella Askey è vuota...

Ciao, scusa, potresti dirmi come hai risolto?

Ho risolto che ho avuto l'accesso con admin ma telnet è chiuso e non c'è verso di cambiare utente con diritti root, es lanadmin o FASTGate. Firm ver. 00.67

Codice: [Seleziona]

ACCEPT     tcp  --  192.168.0.0/16       anywhere             tcp dpt:ssh
ACCEPT     tcp  --  127.0.0.0/8          anywhere             tcp dpt:ssh
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  192.168.0.0/16       anywhere             tcp dpt:telnet
ACCEPT     tcp  --  127.0.0.0/8          anywhere             tcp dpt:telnet
DROP       tcp  --  anywhere             anywhere             tcp dpt:telnet

Con l'utente admin non si riesce neanche a terminare i servizi (kill), magari non usando telnet ma rimanendo sulla seriale almeno per modificare il DNS.
Firmware con telnet ancora aperto non li ho trovati...

[8nano]

Ci siamo io e MisterFTTH, come due particelle di sodio...

[FrancYescO]

Il metodo di privilege escalation dopo aver fatto l'accesso con utente admin è descritto nelle slide postate prima, in breve mi pare usi il comando sh -l

[8nano]

Ciao, grazie per l'intervento.
Una volta loggato con admin, il router mi fa accedere alla shell tramite il comando sh, attenzione il comando sh -l dovrebbe chiedere l'autenticazione ma nel mio caso non lo fa.
Praticamente ho la shell ma non mi richiede l'autenticazione.
Posso inserire le regole per l'iptables
posso montare il filesystem (ubisf)
Non ho accesso al telnet...Ho anche provato a rilanciare il servizio (telnetd) (magari non serve se lavoro con la seriale)
Non sono riuscito a buttare giù il servizio DNS.

Non ho ancora provato a scrivere dei file es iptables e firewall

[FrancYescO]

echo $(telnetd) lo hai provato?
echo $(ls) ?

Se non hai gli stessi risultati delle slide (e già che sh -l non funziona penso sia così) direi che sei su un firmware troppo nuovo e patchato, con un po di impegno forse si riesce a trovare un'altra escalation, ma per semplicità ti direi in primis di cercare di replicare quello che accade in quelle slide.

hai provato a lanciarci addosso un nmap? guardando le slide è l'unico modo che abbiamo per fare un matching delle versioni (e nemmeno affidabile dato che difficilmente aggiornano librerie "di contorno" nei firmware, quindi saranno sempre uguali anche nei piu nuovi)
    Linux 2.6.X|3.X
    mini_httpd 1.27
    MiniUPnPd 1.6

[8nano]

Codice: [Seleziona]

# /usr/sbin/rc_task telnetd restart
Jan-01 01:25:28 rc_task: Restart telnetd
# echo $(telnetd)
telnetd:error:580.434:oalMsg_initWithFlags:115:connect to /var/smd_messaging_server_addr failed, rc=-1 errno=2
telnetd:error:580.435:cmsMdm_initWithAcc:185:must pass in msgHandle
telnetd:error:580.435:main:534:Could not initialize MDM, ret=9003

# echo $(ls)
bin bootfs data debug dev etc hotspot include lib libexec linuxrc mnt opt proc run sbin share statusapi sys tmp usr var web webs

Il firmware non è neanche così nuovo, è la 00.67 con la .87 ancora si entra.


Aggiornamento, Entrato con SSH.
ssh [email protected]

Sono riuscito ad avere l'accesso via ssh, le prime credenziali sono lanadmin, su sh è FASTGate...
Che poi 'sto FASTGate non lo vedo:

Codice: [Seleziona]

# cat /etc/passwd
admin:$1$FHWaid3B$vFyw91DvQZTDegFWLn64M.:0:0:Administrator:/:/bin/sh
support:$1$7pc/NAub$5qzppJEC5qhc.mI5OYSUV/:0:0:Technical Support:/:/bin/sh
user:$1$VO8.8yVA$n6AIUOzrPnVuL5DR/Wi0R0:0:0:Normal User:/:/bin/sh
nobody:$1$87Zykg2O$Xb108bj3MlwCAxXFsdctm.:0:0:nobody for ftp:/:/bin/sh
lanadmin:$1$EU6LH8cA$CnBB02d6d6vLzMNrc08Ww1:0:0:SSH User:/:/bin/st_shell



[8nano]

L'errore era nella configurazione dell'iptabes, questa è quella che ha funzionato:

Codice: [Seleziona]

# /bin/iptables -D INPUT -i br0 -p tcp -m tcp --dport 22 -j DROP
# /bin/iptables -I ACL_FASTWEB_SSH_TELNET_LIST -s 192.168.1.0/24 -j ACCEPT
# /bin/iptables -D INPUT -i br0 -p tcp -m tcp --dport 23 -j DROP
# /bin/iptables -I ACL_FASTWEB_SSH_TELNET_LIST -s 192.168.1.0/24 -j ACCEPT

Domanda, con dd la copia dei file mtd in dev/ deve essere fatta singolarmente oppure c'è una impostazione tipo  /dev/mtd*?
P.S. sto copiando su una USB

Domanda,  per rendere fisse le modifiche al firewall si crea un wrapper rinominando l'originale firewall.sh e copiando un altro firewall.sh
Cosa inserisco nel nuovo firwall.sh?
Le stringa 'fw_script, le nuove regole per l'accesso locale'?

Grazie

[FrancYescO]

Se per questo io vedo anche lanadmin che è su st_shell, se sh -l non ti da il login come ti sei loggato su sh non l'ho capito...

comunque nel wrapper direi che ci metti prima l'esecuzione di quello originale, e subito dopo i comandi che ti fanno il remove di quello che lui blocca e a te non piace lo faccia

[8nano]

Tramite seriale, finito il boot, login con admin admin.
Comando sh -l  'apre la shell' senza autenticazione.
modifica iptables per gli indirizzi locali 192*, telnet (porta23) ssh (porta22)

Apro telnet o ssh, login lanadmin
prompt -> lancio sh e mi richiede l'autenticazione: FASTGate

P.S.
Mtd11 non me lo fa copiare, device o resource busy

[8nano]

Tutte le prove e modifiche e script non riesco a fargli caricare al boot il firewall.sh sostituito all'originale, significa che devo lavorare con la seriale.
Se firewall.sh lanciato a mano mi apre l'accesso a ssh e telnet da boot nada de nada...Sto valutando di intervenire con un editore hex direttamente sul firewall.sh originale che è un binario.

Non mi consente di variare i permessi sui file della cartella etc/ (il filesystem ubifs è montato) non credo sia importante ma l'ho notato.

Non riesco a fare il dump della mtd11 (rootfs), nandump-dd-cat, la risposta è sempre che il device è busy.

Considerato nullo l'interesse per questo gateway, credo che passerò un altro paio di giorni a cercare di trovare una soluzione poi amen. ..Anche perchè se poi diventa un fermacarte non credo che magicamente ci sia qualcuno disponibile ad aiutarmi.

[FrancYescO]

non credo con l'hex editor cambi qualcosa, immagino il problema sia proprio che non riresci a modificare in modo permanente il file firewall.sh però bho lì dalle slide non sembrava ci fossero limitazioni particolari...

[8nano]

Se non fosse permanente non potrei avere l'accesso ssh o Telnet lanciandolo a mano. Creato con vi direttamente dal gateway.  Possibile che le slide fanno riferimento ad una release, 0.47, di cui ne hanno corretto il bug principale, l'exploit via interfaccia web. La mia versione è la .67, due dopo quella difettosa. Come alternativa pensavo a inittab per lanciare lo script.
Con l'hex sostituisco un ip Fastweb con il 192.168 ecc.

[FrancYescO]

inittab lo vedo un po violento, rc.local semplicemente nemmeno riesci a modificarlo? il problema è che senza fare un wrapper ogni volta che ti si riavvia il firewall te li ritroveresti bloccati

[8nano]

rc.local non cè,  inittab c'è ma non viene utilizzato, ho messo un link nella rc3.d processa i file con ordine Sxx, xx da 0 a 99 (credo)
e così funziona...Anche se rimane il dubbio di come viene richiamato il firewall originale visto che il nome l'ho cambiato.

Nel frattempo che una soluzione sporca l'ho trovata, in mancanza di altro pensavo di ripristinare il file originale e limitare lo script ad aggiungere le regole che servono nella iptables.