[bevi192]

Ciao,

Ho provato un po’ a giochicchiare con questo FGA seguendo le informazioni trovate qua e la.
Il modello che mi è arrivato è dotato del firmware 219 e su tale firmware la procedura descritta nella discussione relativa al DGA non funge.
Perciò per prima cosa ho pensato di effettuare un downgrade via TFTP ad una versione meno recente (216 per iniziare). Il boot tramite TFTP l’ho fatto avviando il router da spento, tenendo premuto il tasto reset, e con lo stesso router collegato al mio mac tramite uno switch, in modo che il mac veda il link up.
Ovviamente ero sulla bank 2 quindi ho dovuto forzare un failboot.
Ero convinto di capitare su una versione di firmware vulnerabile, invece niente da fare. Inserendo vari tipi di opzioni (netbios name, netbios aliases, commenti, nuove share, etc), a massimo sono riuscito a rompere temporaneamente samba, ma nessuna opzione sembra essere “accettata”.
Confermo che manca il supporto ai FS linux, però il supporto ad HFS+ c'è, infatti creando un link alla root in una partizione HFS e cercando di montarlo, mi ritrovo con un problema di permessi e non di file/directory non trovata.

NB: fare il failboot “alla cieca” è stato praticamente impossibile, quindi mi son deciso ad aprirlo e ho trovato una seriale bella e pronta. Sfortunatamente il login da seriale è disabilitato. Ah, e con sorpresa il firmware che ho trovato sul bank 1 era il 209 anziché il 216 che mi sembrava fosse stato flashato correttamente tramite TFTP.

[LuKePicci]

Ok, quindi mi confermi che anche su versione vecchia EXT2/3 sono disabilitati, ma che effettivamente si riesce a rompere samba sfruttando quella vulnerabilità. Sai per caso se è previsto che l'fga possa funzionare anche usando una delle porte ethernet come wan?

[bevi192]

Rompere Samba rendendolo non funzionante si, romperlo rendendolo bucato no.
Appena riesco cerco i sorgenti CGI magari dell’ultima versione del DGA per vedere se si riesce a mandare qualche stringa ad hoc. Anzi, non trovo l’OSCK, qualcuno lo ha estratto per caso?

[LuKePicci]

Eh no, per estrarlo servirebbe prima entrarvi. Perciò ti tocca andare alla cieca. Prima di bucarlo, prova a iniettare nel file Idi samba, con lo stesso trucco, delle configurazioni innocue ma di cui puoi apprezzare l'esito. Tipo, invece di iniettare l'abilitazione dei symlink prova semplicemente a rimpiazzare il workgroup con qualcosa di nuovo e ad aggiungere una nuova riga che lo reimposta una seconda volta a qualcos'altro ancora. Se funziona, cioè se la seconda riga con secondo workgroup se la digerisce, allora vuol dire che comunque abbiamo pieno controllo sul file di config di samba. A quel punto basta fare delle prove su un DGA che ho io per capire come ficcargli una configurazione completa per fargli condividere direttamente la root, invece che abilitare I symlink della penna.

Per sommi capi, quello che passi dall'interfaccia web di fastweb finisce in un comando
uci set samba.workgroup='WORKGROUP \
altre config di samba \
\
[sezione config samba]'

Tale per cui il file /etc/config/samba va a contenere una option workgroup fatta allo stesso modo che poi viene copiata nel file /etc/smb.conf al posto della stringa contenente il workgroup.

Per farti un esempio, se sul DGA con ip 192.168.43.254 modifico direttamente il file /etc/config/samba in questo modo:

Codice: [Seleziona]

config samba 'samba'
option name 'FASTGATE'
option description 'Technicolor Gateway'
option configsdir '/var/etc/smb.auto'
option homes '1'
option enabled '1'
option charset 'UTF-8'
option printcap_cache_time '5'
option workgroup 'WORKGROUP\
workgroup = BUCATO'
option filesharing '0'

E senza aver collegato alcuna chiavetta usb, da shell del mio pc linux do il seguente comando ottengo:

Codice: [Seleziona]

:~$ smbclient -L //192.168.43.254 -U ciao -N
Domain=[WARGROUP] OS=[Unix] Server=[Samba 3.0.37]

        Sharename       Type      Comment
        ---------       ----      -------
        IPC$            IPC       IPC Service (Technicolor Gateway)
Domain=[BUCATO] OS=[Unix] Server=[Samba 3.0.37]

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------

Questo vuol dire che con una stringa url minimale fatta così (col giusto ip):

Codice: [Seleziona]

http://192.168.43.254/status.cgi?3g_pin=********&act=nvset&samba_enabled=1&samba_workgroup=WORKGROUP%5c%0a%09workgroup%20%3d%20BUCATO&service=usb_status
tu sul FGA dovresti ottenere il medesimo risultato. Se questo test riesce allora possiamo procedere, se fallisce allora siamo un po' "out of luck"

[porf]

Ho provato iniettare i parametri in smb mediante il link che hai postato

Codice: [Seleziona]

http://172.16.88.1/status.cgi?3g_pin=********&act=nvset&samba_enabled=1&samba_workgroup=WORKGROUP%5c%0a%09workgroup%20%3d%20BUCATO&service=usb_status
Ecco quello che mi compare aprendo l'url:

Codice: [Seleziona]

{
  "usb_status":{
    "samba_workgroup":"WORKGROUP\\\n\tworkgroup = BUCATO",
    "disk_protected":"0",
    "3g_pin":"********",
    "samba_enabled":"1",
    "disk_username":"",
    "3g_fallback":"0",
    "3g_username":"",
    "samba_share_on":"wan",
    "dlna_enabled":"0",
    "3g_timeout":"60",
    "usb_status":"end",
    "disk_password":"",
    "printserver_enabled":"0",
    "3g_connection_status":"0",
    "total_disks":0,
    "samba_server":"FASTGATE",
    "3g_apn":"",
    "3g_password":""
  }
}
Ecco il prima e il dopo di smb da una macchina linux:

Prima:

Codice: [Seleziona]

[email protected] ~ $ smbclient -L //172.16.88.1 -U ciao -N
WARNING: The "syslog" option is deprecated
Domain=[WORKGROUP] OS=[RedHat Linux] Server=[NQE 2.0]

Sharename       Type      Comment
---------       ----      -------
IPC$            IPC       IPC Service
Domain=[WORKGROUP] OS=[RedHat Linux] Server=[NQE 2.0]

Server               Comment
---------            -------

Workgroup            Master
---------            -------

Dopo

Codice: [Seleziona]

[email protected] ~ $ smbclient -L //172.16.88.1 -U ciao -N
WARNING: The "syslog" option is deprecated
Domain=[WORKGROUP] OS=[RedHat Linux] Server=[NQE 2.0]

Sharename       Type      Comment
---------       ----      -------
IPC$            IPC       IPC Service
cfg02e23c       Disk      cfg02e23c
Domain=[WORKGROUP] OS=[RedHat Linux] Server=[NQE 2.0]

Server               Comment
---------            -------

Workgroup            Master
---------            -------


[LuKePicci]

Possibile che abbiano sostituito samba con qualcos'altro?

Codice: [Seleziona]

OS=[RedHat Linux] Server=[NQE 2.0]
edit: Ciaone https://visualitynq.com/cifs-nqe

Ok allora il bug c'è ancora ma il file di config di questo NQE non so come sia fatto e non so se editandolo ci sia modo di arrivare ad editare il resto o eseguire qualcosa. Vi faccio sapere.

edit 2: pare che samba sia stato sostituito con nqe in tutte le release R18 di homeware, infatti c'è anche sulle nuove release per i modelli tim. Quindi se volete dare una occhiata alla sua implementazione per cercare una via di ingresso potete farlo iniziando da qui: https://github.com/FrancYescO/tch_firmware_extracted/blob/AGTEF_2.1.0_001/etc/init.d/nqe

[LuKePicci]

Gente ma a me pare che col nuovo server smb che hanno messo al posto di samba quell'impostazione del workgroup sostanzialmente non venga mai applicata, o sbaglio?

[bevi192]

Anche cercando di bucarlo attraverso il nome netbios la situazione non cambia.
Il massimo che sono riuscito ad ottenere è fargli rifiutare il valore inserito inserendo un po’ di apici singoli o doppi misti a caratteri di escape (in tal caso il nome netbios va in fallback ad “openwrt”).
Impostando il nome a “tizio \n\tcaio”, tramite smbclient vedo proprio il nome che va a capo e tabula tra tizio e caio.

In ogni caso, per quanto mi riguarda, sono appena riuscito a farmi mettere un ONT Huawei + mio router al posto del FGA.

[LuKePicci]

Questo è strano, a te sembra quasi comportarsi diversamente da @porf
Da smbclient vedi anche tu questa dicitura "OS=[RedHat Linux] Server=[NQE 2.0]" o appare diversamente?

[bevi192]

Vedo il “WARNING: The “syslog” option is deprecated” ma non vedo l’informazione ne sulla versione di Samba ne sul sistema operativo, ma ho pensato fosse una caratteristica del mio OS (ho provato da una VM ubuntu lanciata al volo da Parallels)

[LuKePicci]

Questo vuol dire che nel tuo caso effettivamente sembra esserci ancora samba invece di quel NQE, il fatto che ti andasse in fallback su openwrt sembra confermare questa ipotesi. Ma allora dovreste avere due versioni firmware differenti (edit: ho riletto sopra, tu dovresti avere la 216, @porf la 219). Se questo che ho appena detto è vero allora penso ci sia qualche chance di bucare con questo metodo quello che hai tu. Ti chiedo quindi di fare la stessa prova che ha fatto @porf qui sopra e mandami gli output degli stessi comandi

[porf]

In ogni caso, per quanto mi riguarda, sono appena riuscito a farmi mettere un ONT Huawei + mio router al posto del FGA.

Come hai fatto? Semplicemente una richiesta al servizio clienti?
Hai dovuto fare configurazioni particolari sul tuo router?

[bevi192]

Ti chiedo quindi di fare la stessa prova che ha fatto @porf qui sopra e mandami gli output degli stessi comandi

Ubuntu

Codice: [Seleziona]

$ findsmb
192.168.1.254 FASTGATE
$ smbclient -L //192.168.1.254 -U guest -N
WARNING: The "syslog" option is deprecated

Sharename       Type      Comment
---------       ----      -------
IPC$            IPC       IPC Service
cfg02e23c       Disk      cfg02e23c
Reconnecting with SMB1 for workgroup listing.

Server               Comment
---------            -------

Workgroup            Master
---------            -------

Il tutto su versione software 1.0.1b - versione firmware 18.3.0307_FW_219_FGA2130.
La versione 216 ce l'ho sull'altro bank perché l'avevo installata tramite TFTP, ma quando avevo fatto le prove, il risultato era lo stesso.

[bevi192]

Come hai fatto? Semplicemente una richiesta al servizio clienti?
Hai dovuto fare configurazioni particolari sul tuo router?

Visto che al telefono non avevo avuto fortuna: dopo una buona mezz'ora in linea da Durazzo a Tirana a Catania a Sassari ho trovato un'operatrice che voleva farmi acquistare un FASTGate FGA2130FWB dicendomi che "questo modello è l'unico compatibile con la sua rete, deve acquistarlo e fornirmi il MAC address del suo modem" 
Ho provato a scrivere via FB messenger cercando di far capire al bot che volevo parlare con un umano riguardo al modem libero. Il giorno dopo mi telefonano dall'Italia chiedendomi di fornirgli il MAC del mio router e di "tenerlo attaccato alla linea". Io gli cerco di spiegare che per il GPON non è così scontato e rimaniamo di risentirci quando sarei rientrato a casa. La sera mi telefona una signorina che mi dice che è necessario un intervento tecnico "per verificare la compatibilità del mio modem" e lo fissiamo per il giorno dopo. Si presenta un tecnico OF che non sapeva neanche lui bene cosa doveva fare, fatto sta che mi porta un ONT Huawei HG8010H e via telefono con un collega lo registra assieme al MAC del mio router. Non ho dovuto configurare alcuna VLAN e il router prende l'IP pubblico tramite DHCP.

[LuKePicci]

@bevi192 ti devo chiedere di rifare la stessa cosa sull'altro banco con la 216 e da un qualche sistema che ti mostri anche il nome del workgroup e la versione come succede a me e a @porf
Non te lo chiederei se non fosse per la questione del fallback ad "OpenWrt" che hai nominato. perchè nello script del servizio NQE (il nuovo server SMB delle release che c'è anche sui tim e che puoi leggere qui) il fallback ad "OpenWrt" del workgroup non c'è, cosa che invece c'è eccome nel vecchio script di samba vulnerabile che puoi leggere qui.

A questo punto il tuo prossimo task (scusa se la metto in questi termini  sarebbe semplicemente arrivare a capire se sulla vecchia release ci sia effettivamente NQE o samba. Non occorre attivare alcun exploit da stringa per capirlo, basta che catturi quello stesso output con "Domain=[...] OS=[...] Server=[...]". Penso appaia solo su determinati client e che il tuo sia troppo nuovo per mostrarlo. Anche una scansione nmap dovrebbe mostrarti quelle stesse informazioni:

Codice: [Seleziona]

139/tcp  open     netbios-ssn Samba smbd 3.X - 4.X (workgroup: WARGROUP)
445/tcp  open     netbios-ssn Samba smbd 3.0.37 (workgroup: WARGROUP) Puoi controllare di essere nelle condizioni di leggere correttamente questi parametri anche restando sul banco attuale, e passare all'altro solo quando sei sicuro di poter leggere il risultato dell'url di test che ti avevo dato, altrimenti le prove che hai fatto non sarebbero veritiere.

PS complimenti per essere riuscito nell'impresa di farti cambiare l'ont