[RICERCA] FASTGate ZTE ZXHN H388Q

  • 142 Risposte
  • 2899 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2008
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #15 il: 13 Maggio 2020, 20:34 »
tch-exploit usa cwmp, e quello c'è di sicuro e puoi usarlo tranquillamente. Però se l'implementazione del client CWMP non è fallata come quella di tch da CWMP non hai modo di ottenere accesso come root. Bisogna vedere come è fatto il data-model di ZTE, cosa vi espone in più rispetto allo standard, che formato hanno i vendor config file, se i firimware sono firmati, ecc...

Telnet si può usare, la password credo sia sempre la stessa di sempre ma non è detto che dalla shell di quell'utente si riesca a farne il root, o che quella shell sia utile a qualcosa.

Offline ilsalvopss

  • Nuovo Iscritto
  • *
  • 35
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #16 il: 13 Maggio 2020, 20:37 »
Conoscendo subnet e credenziali direi di si; potrebbe essere interessante far passare il link ONT-FASTGate da uno switch con port mirroring, resettare il gate e fare un bel tcpdump, magari le credenziali arrivano tramite cwmp

Offline ilsalvopss

  • Nuovo Iscritto
  • *
  • 35
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #17 il: 13 Maggio 2020, 20:40 »
la password credo sia sempre la stessa di sempre

dici che posso trovarla da qualche parte?  :)

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2008
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #18 il: 13 Maggio 2020, 20:56 »
Arrivano tramite cwmp solo nei modelli di cpe che non ce le hanno preconfigurate. Il 4131 le ha preconfigurate, basta che le cerchi nei file del firmware.

Se fail il traffic dump post-reset come hai detto mandamelo in pvt così lo confronto a quello dei tch. Vedrai arrivare impostazioni voip, shaping, wow-fi e forse qualche certificato. Se vedi anche arrivare una rpc cwmp di download per un Vendor config file è una gran cosa, così possiamo vedere in che formato sono e che comandi potremmo impartirgli al di là di quello a cui CWMP ha accesso sul data-model.

Offline lorenzocanalelc

  • Membro Anziano
  • ***
  • 360
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #19 il: 14 Maggio 2020, 10:42 »
Impostando il DHCP di tch-exploit con la subnet 59.0.121.0/24 si riesce effettivamente ad accedere alla CLI sia da Telnet che da SSH, sembra che la CLI sia quella default ZTE (Riporta "WELCOME TO THE WORLD OF CLI" che è la stessa cosa che spunta sul ZXHN H108N che si trova facendo alcune ricerche). Nonostante ciò provando varie combinazioni (lanadmin/lanpasswd, FASTGate/Testplant123, root/public, root/root, admin/admin, root/zte) nessuna viene accettata, in più mentre ad esempio sull'H108N riportava BAD USERNAME in caso di username sbagliato qua non riporta niente, solo permesso negato, altro piccolo problema ogni 3 tentativi ti blocca per 60 secondi....
P.S. Purtroppo questo funziona soltanto quando il router non è provvisionato per me, perché avendo adsl dopo il provvisioning non cerca più la wan in lan 4
EDIT: Se qualcuno è interessato ho il firmware in formato .bin
« Ultima modifica: 14 Maggio 2020, 17:44 da lorenzocanalelc »

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2008
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #20 il: 14 Maggio 2020, 23:31 »
Io sono interessato

Offline lorenzocanalelc

  • Membro Anziano
  • ***
  • 360
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #21 il: 15 Maggio 2020, 00:02 »
Hai un dm

Offline ilsalvopss

  • Nuovo Iscritto
  • *
  • 35
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #22 il: 15 Maggio 2020, 02:33 »
Sono interessato anch'io

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2008
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #23 il: 15 Maggio 2020, 06:55 »
E' un Mediatek MT7615 o simile, linux 4.4.115

Offline lorenzocanalelc

  • Membro Anziano
  • ***
  • 360
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #24 il: 15 Maggio 2020, 10:45 »
Ho notato che collegandolo in cascata al mio DGA4131 in bridge mode il nel router ZTE si configura il WOW-Fi, quindi immagino che gli arrivi la configurazione, a questo punto facendo un traffic dump post-reset è possibile recuperare le credenziali telnet secondo voi?

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2008
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #25 il: 15 Maggio 2020, 10:59 »
Te lo ripeto, dipende, nei vecchi modelli in cui non erano hardcodate le credenziali per lanadmin così gli arrivavano, ma nei nuovi sono incluse nel firmware. Ad ogni modo fatti comunque un giro in quei messaggi, sono sempre interessanti e potrebbero dirti ben oltre le semplici credenziali.

Offline ilsalvopss

  • Nuovo Iscritto
  • *
  • 35
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #26 il: 16 Maggio 2020, 01:27 »
una parte interessante del dialogo cwmp potrebbe essere:

Offline FrancYescO

  • VIP
  • *****
  • 2381
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #27 il: 16 Maggio 2020, 11:12 »
provato a fare un decode base64? vista così mi sembra essere una loro backdoor per accedere all'interfaccia web da quella porta 8443, ovviamente solo da quei range di ip

Offline ilsalvopss

  • Nuovo Iscritto
  • *
  • 35
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #28 il: 16 Maggio 2020, 11:41 »
provato a fare un decode base64?

coppia di credenziali
Codice: [Seleziona]
fastgate:[email protected]
edit:
@lorenzocanalelc vedi un po' se le suddette valgono anche per il "WORLD OF CLI"
« Ultima modifica: 16 Maggio 2020, 11:43 da ilsalvopss »

Offline lorenzocanalelc

  • Membro Anziano
  • ***
  • 360
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #29 il: 16 Maggio 2020, 11:52 »
No, avevo già provato non portano a niente, ho anche provato altre credenziali di altri ZTE
Codice: [Seleziona]
root:H367N$Extra,Opti0ns1234$%
root:Extra,Opti0ns4321%$
root:ZTE$Extra,Opti0ns1234$%
root:H388Q$Extra,Opti0ns1234$%
zte:zte
ma nessuna sembra funzionare, non so neanche se l'username root sia giusto perché non viene restituito nessun messaggio tra username e password (Cosa che succedeva nei modelli vecchi di ZTE dicendo %BAD USERNAME), anche la porta 8443, nonostante sia aperta in quelle subnet non mostra niente, riporta 404, nonostante i file della webgui nudi e crudi siano raggiungibile con i nomi dei file (ex. https://[IPMODEMSULLAWAN]:8443/views/advanced.html riporta effettivamente quella pagina html) non è possibile fare l'accesso via gui... Ipotizzo sia colpa di qualche bug della GUI Fastweb trapiantata su questo firmware. Ho notato anche che abilitando la protezione disco non riesco più ad accedere in quanto le credenziali impostate nella webgui non vengono accettate (ma questo potrebbe anche essere un problema del mio mac)

EDIT: Questo ci potrebbe aiutare? https://www.exploit-db.com/exploits/47654
« Ultima modifica: 16 Maggio 2020, 12:00 da lorenzocanalelc »