Tutoriales
Programación
C ++
Seguridad
Bugs-Exploits
Web
Wireless
Ingeniería Inversa
Tools
Auditorías Web
Linux
Distros
Windows
Tips-Soluciones
Noticias
Ciencia
Sitios
ThoughtsByMichelle
ChocolatesEBÜ
Contacto
4uxx
Feeds
Hola amig@s, hace ya un año y medio casi, se dio a conocer el 0day del poderoso sistema inalámbrico Airos de Ubiquiti Networks, dicha vulnerabilidad tuve oportunidad de verla gracias al excelente post de Nineain en el blog de Blackpoit, dando un detallado estudio de la vulnerabilidad así como su posterior explotación como se pueden dar cuenta en ese excelente blog. El todo poderoso Shodan nos proporcionó muchos servidores a nivel mundial con dicho sistema inalámbrico el cual probamos en su momento.
Haciendo una pequeña cita del post en Blackpoit sobre la explicación de dicho 0day:
¿Qué es un AirOS y que 0day es este?AirOS es un sistema operativo avanzado, creado por Ubiquiti, capaz de manejar un sistema Wireless, enrutamiento y mínimas características ips y seguridad. Un sistema operativo para routers que busca la sencillez y la facilidad, siendo muy intuitivo, mas información en: http://www.ubnt.com/.Hablemos un poco del hardware. Las CPU's de los sistemas AirOS son procesadores mips (Microprocessor without Interlocked Pipeline Stages). Es una arquitectura que consume muy pocos recursos y tiene una funcionalidad aceptable. Al ser de arquitectura distinta a la de los PC's convencionales (generalmente de 32 o 64 bits), si queremos compilar algo para mips, necesitamos recurrir a la crosscompilación, es decir, compilar un programa/servicio para una arquitectura distinta a la máquina en la que estamos trabajando. Tras muchas pruebas, recurrimos a Buildroot, una utilidad de uclib que permite desde compilar el toolchain hasta herramientas típicas y básicas, una imagen de sistema, etc.El 0day afectaba al archivo admin.cgi, el cual es capaz de mostrar el panel “Device Administration Utility” que contiene:
- Un Uploader.
- Un Chmod.
- Un Downloader.
- Una Shell.
Nunca imaginé que un año y medio después a cientos de kilómetros de mi hogar me encontraría con una red con dicha arquitectura wireless... y menos que tuviese no 1 si no 3 de 6 Rocket M2 de Airos Ubiquiti vulnerables en red jejejeje .... Bien simplemente pues probando con el típico método de tomar prestada dicha red me di cuenta ya que mi módem de CLARO TIENE UNA MIERDA DE COBERTURA! y necesitando redes estables para cualquier eventualidad que pueda suceder, hice lo que cualquiera con dicha necesidad haría y es pues tuve que usar los tradicionales métodos para obtener claves de redes wifi xD! tomando así unas cuantas y entre ellas dicha red con Airos, pues bien haciendo uso de nuestro querido NMAP pude darme cuenta de cuantos Airos habían en una de las redes prestadas jejejejeje.
Con esto quiero decir que mi única intención no es el típico parásito de las redes que no solo roban si no también buscan la forma de joder al dueño de dicha red, simplemente tener internet ( es imposible en estos días quedarse sin el mismo en mi defensa ) xD pues me acordé de dicha vulnerabilidad vista como repito año y medio antes y me dije ¿Por qué no? jejeje y así procediendo a los métodos que muy amablemente habían creado me dí a la tarea de ver si todos eran vulnerables.
En un principio ya conectado a dicha red le hice su escaneo con nmap, arrojando las IP's con Ubiquiti...
muestro algunas de las que me arrojó:
Veamos el panel de login original de Airos...
Y si es vulnerable me devolverá el panel de admin...
Y bueno ya con eso pues probando a ver cuales de ellos eran vulnerables a dicho 0day.... Tomando en cuenta que son 5 con Airos observemos cuales de las IP's me arrojaron la vulnerabilidad :
Como podemos observar las IP's 20, 25 y 12 son vulnerables o mejor dicho los Airos en dichas IP's, mientras que la 5, 6 y me hizo falta la 4 están libres de dicho 0day, ya que tienen su firmware actualizado y parcheado...
De aquí el dilema ¿ Prosigo o me da igual? neeee Prosigamos jajajajaja con el Script que Nineain proporcionó para subir el dropbear con la pass ya crosscompilada para cambiar las claves de acceso, he de decir que no eran las que vienen por defecto "user: ubnt pass: ubnt".... aunque una de ellas nuestro amigo John the Ripper nos hizo el favor de desencriptar ( cabe mencionar que la password era rídicula 123trebol [-_-] ...)" ajajajaja y con dicho script pues me hice del control total como administrador por medio de consola esto lo hice con cada uno de los que eran vulnerables....
Estuve explorando un poco mas a fondo y con el escaneo de nmap también me dio la máquina "main" que es la que está conectada directamente 24 hrs para prestar el servicio a otros usuarios... Esta PC tiene un sistema Windows XP con puerto 445 abierto... y encima de eso NO lo tiene parcheado D: imaginarán pues tuve el impulso de ver su PC y a la larga fue muy bueno, porque con lo que descubrí en dicha máquina pude constatar lo siguiente:
- Es un sub-distribuidor de internet a muy bajo costo para personas con escasos recursos, cobrando al mes aproximadamente 9 dolares por una velocidad que oscila entre 128 a 256 kbps a 40 clientes aprox.....
- Aunque dicho "sub-distribuidor" tiene una velocidad en teoría de 5mb regula mediante software para los clientes por el consumo de banda ancha como era de suponerse....
- De los cuales muchos tienen 2 y 3 meses sin pagar el servicio y con notas a la par de la deuda (Considerar al cliente X tuvo un contratiempo) D:....
- La mayoría de sus clientes son estudiantes de nivel primario y básico y otros para comunicarse con sus seres queridos en el extranjero...
- El equipo fue una donación de una ONG para ayuda de la comunidad ya que en el país es algo caro el servicio....
- La intención no es lucrar con dicho servicio, los pagos de clientes sirven para pagar al ISP proveedor....
Ya con esto se me quitó por completo el ímpetu de probar cositas fuera de lo legal y mi conciencia me indicó que no hay que joder a los que NO pueden por X o Y....y pues de momento ya actualicé 2 de los 3 vulnerables ya que como es de suponer el que controla dicha red no tiene suficientes conocimientos para ello( el otro todavía lo tengo vulnerable porque ando haciendo algunas pruebas con binarios xD jejejeje). Aunque me quedé con las ganas de sniffear tráfico, etc, etc pienso que hay mejores blancos en otros lados jejejejeje.
La solución a este bug es simple, es bajar los binarios del firmware desde la web oficial UBNT posterior a 5.3 y desde el panel de control actualizar y listo, claro todo eso lo tuve que hacer de madrugada para que no se dieran cuenta jejejejeje aunque es prácticamente un favor podían "patearme de la red" ( eso si lo monitorizan -_- y te desconectan) jajajajaja
Bueno con esto amig@s he de decir que cuando uno puede también hay que ayudar... no todo en la vida del under informático es "explotar, explotar y explotar...." hay que solucionar a quienes en VERDAD LO NECESITEN.... Aunque en un tutorial posterior haré uso de la explotación de la máquina de windows XP con metasploit siempre guardando la privacidad de la víctima en ese caso pues el anterior mencionado xD!!!
Saludos amig@s que estén bien, me suscribo de ustedes by 4uxx! EDITO Y ADJUNTO EL CÓDIGO DE NINEAN
20 comentarios :
Puedes explicar como conseguiste el usuario y pass con Ripper?, yo necesito sacar una pero creo que no es vulnerable... ya no se que hacer... (No es con fines ilícitos)
Gracias de antemano.
Hola amigo Soy Auxx perdón por responder hasta ahorita la Universidad me dejó fuera todo este tiempo, bien primero tienes que ver si es vulnerable tal como puse en el post pero te lo repito, hay que poner en el panel de admin ejemplo 192.168.1.1/admin.cgi/loquequieras.css o .gif o .png da igual si es vulnerable te devolverá un panel de administración, luego con el scritp que está allá arriba, pues en la terminal escribes ./airosh.sh o el nombre que le pusiste mas la IP quedaría ./airosh.sh 192.168.1.1 lo cual puedes ver en las imagenes la password del el script drop es "lol" y el usuario sería el que tiene el router, "admin", "ubnt" por ejem. Saludos
hola bro puedes hacer un tutorial de como extraer la contraseña con el john ripper
y m podrias dejar el link del Script y un tutorial de ante mano graxiiass
Ok con mucho gusto, y el link del script está en el tutorial pero con gusto te vuelvo a dar la url mas clara, http://www.blackploit.com/2011/12/0day-en-airos-acceso-como-root.html ahí está ese tutorial el cual ví hace mas de un año, pero casualmente me encontré con una red con Airos y pues... jejejeje ahora bien, con lo de John haré uno mas completo, incluyendo scripts propios para optimización personal, Saludos
Hola, e tratato de buscar, el scrip pero lamentablemente no lo encuentro por ningun lado, podria subirlo a, algun servidor?, y por cierto muy buen tutorial :P
hola que tal m podrias pasar los archivos del link esq los link ya no funcioan y eh buscado estos archivos y no los encuentro enviamelos a mi correo lamuerte4000@gmail.com de ante mano graxias
Yo tambien tuve problemas,he buscado por todos lados y los links no funcan mas si alguno puede ayudar gracias, joaca06@gmail.com
Bien en vista de los problemas con el código del exploit del airosh, lo pondré adjunto al post, saludos amigos| :D
Hola Cris, el post acaba de ser actualizado con el script pueden verle ahí mismo gracias ysaludos
Hola Xavi, el post acaba de ser actualizado con el script pueden verle ahí mismo gracias y saludos
y si ya los firmware estan actualizado y parcheado... como se puede entrar al sistema? hay otras vulnerabilidades o no? porque ingresar con /sd.css ya no funciona mas
:D Buen post, no concosia tu blog, esta muy bien!
Gracias por citar la fuente :P
Men podrias subir lo binarios de Dropbear ....please mega u otro..
A vos gracias Nineain por el post que hiciste me sirvió cuando ví esa red >_<!!
Fijate que los binarios que usé fueron los que Nineain puso en el post original, cuando yo exploté dicha red aún estaban, pero trataré de buscarlos creo que si los tengo en disco duro pero en cual.... jajajajaja igual cuando los encuentre te los subiré lo mas pronto posible a mega o mediafire, Saludos!
Tengo un AP ubiquity del que REALMENTE he olvidado la clave... ya se que puedo resetearlo, pero me he propuesto hacerlo con el exploit (asi de paso actualizaré el firmware)... cuando puedas posteas el dropbear please...
Un saludo
:3
Excelente información. Llegue aquí por la falla que hubo ayer, 16 de Marzo 2017. Quería saber más.
Buenas! El link del dropbear está caído, hay algún update del script? Tengo una antena que nadie sabe su password jajaja y quería ver si podía evitar resetearla, muchas gracias!
Publicar un comentario