Hacking de “la Fonera” /2

Lunedì, 27 Novembre 2006 at 12:34 (FON, Guide, La Fonera, News, Operating System, Progetti che seguo..., Rete)

Fon MovementDato che molti dei miei pochi visitatori leggono il post Hacking de “La Fonera” ho deciso di didicare un più ampio post all’argomento in qui viene meglio spiegato tutto il percorso. Come detto La Fonera è stata sprotetta due volte, la prima da due ragazzi tedeschi, erano riusciti ad inettare del condice tramite l’intrefaccia web di configurazione. I tipi sapendo che il router riceve da download.fon.com sulla porta 1937 i dati di configurazine e dalla pagina personale fon si può impostare il SSID ha ben pensato di iniettare del codice. Tutte le spiegazioni passo passo sono sul suo sito, ma questo buco è stato tempestivamente corretto da Fon e renso inapplicabile.
La seconda volta da come detto nel post precedente da BingoBommel che è riuscito ad effettuare una injection tramite l’intrefacia web in locale, cioè senza connettersi al sito Fon. Come spiegato nel sul post bisogna creare due pageni html, che utilizzano il metodo form per inviare il campo “wifimode” all’indirizzo del router http://192.168.10.1/cgi-bin/webif/adv_wifi.sh. Una volta cliccato su accept vi verrà chiesta utente e password, quelli di default cioè admin, admin. Il browser vi visualizzerà il codice html della pagine di amministrazione della fonera e in cima verrò visualizzato accesso negato, ma ciò non riguarda la buona riuscita dell’hack, quindi andate avanti. Pagina con il form STEP1.
Successivamente usate questa pagine per il secondo form e andate avanti, vi si presenterà lo stosso codice di priam qundi ignorate e collegatevi tramite ssh alla fonere, usate utente root e passwd quella per utilizzata prima. Eccoci siamo inside. Per non essere risbattuti furi c’è bisogno di effetuare qualche modifica, per prima cosa rinominare dropbear

mv /etc/init.d/dropbear /etc/init.d/S50dropbear

Successivamente bisogna abilitare le connessioni ssh, bisogna quindi modificare il file /etc/firewall.user
vi /etc/firewall.user

editare le righe

### Open port to WAN
## -- This allows port 22 to be answered by (dropbear on) the router
# iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 22 -j ACCEPT
# iptables -A input_rule -i $WAN -p tcp --dport 22 -j ACCEPT

decommentando le due righe con iptables, ora basta riavviare La Fonera e vi si presenta la possibilità di modificare ciò che volete.

3 Commenti

  1. xAGiBel ha detto,

    Giovedì, 11 Gennaio 2007 a 16:19

    Ho sviluppato una patch definitiva per il firmware 0.7.1-r2 che include tra l’altro:
    - Aggiunta di nano e pico
    - Aggiunta di un server ftp
    - Accesso ad ssh
    - Blocco degli aggiornamenti automatici
    - Aggiornamento automatico dell’orario
    - Accesso al pannello di configurazione anche per le connessioni wired (non più solo per quelle senza fili)
    - Aggiornamento del firmware da 0.7.1-r1 a 0.7.1-r2.
    - Chiusura della falla al webserver che permette di eseguire codice arbitrario sulla macchina (e potrebbe rendere la fonera un bel mattoncino -.-’’)

    Per il momento non so dove pubblicare la patch, quindi apprezzerei volentieri offerte di hosting a riguardo (il file è di 200kb!)

    Grazie a tutti e buona giornata!
    BiGAlex

  2. caccolangrifata ha detto,

    Venerdì, 12 Gennaio 2007 a 0:18

    se vuoi puoi mandarmi il file lo provo e poi magari vedo dove metterlo per farlo scaricare. naturalmente dedicerò anche un post. magari se mi dai anche qualche generalità

  3. cobra82 ha detto,

    Giovedì, 15 Febbraio 2007 a 19:12

    Ciao a tutti,

    sto cercando di fare il download sul mio pc (windows xp) del file thinclient direttamente da fon. per far questo ho installato OpenSSH visto che DROPBEAR per win nn esiste (o non lo ho trovato). Quindi ho digitato da prompt:

    echo “mode=’cron’ wlmac=’XX:XX:XX:XX:XX:XX’ mac=’XX:XX:XX:XX:XX:XX’ fonrev=’2′ firmware=’0.7.1′” | ssh -T -p 1937 -i c:\key openwrt@download.fon.com > newscript.txt

    si connette al server download.fon.com e mi restituisce:
    “Enter passphrase for key ‘c:\key’:”

    qualunque valore digiti non va’ bene (ovviamente non conosco quello giusto, ma non credo che esista visto che la stessa istruzione su SLAX con dropbear funzionava! Dopo 3 tentativi mi dice:
    “Password:”
    altri 3 tentativi ed alla fine mi restituisce
    “Permission denied (publickey,keyboard-interactive).”

    Qualcuno ha idea di come fare? Dove sto sbagliando?

    Saluti
    cobra82

Pubblica un Commento