Fibra

💡

Sacando la configuración del router ZTE F680 de Pepephone para configurar uno alternativo

David Davidson 19 febrero 2018 17:09 ✎

⋮

Por ciertas necesidades necesito configurar un router alternativo al facilitado por Pepephone. El asunto es intentándolo hacer por las buenas con Pepephone, insisten en que no disponen de departamento el cual me pueda facilitar la información técnica necesaria para configurar otra ONT + los parámetros necesarios de router para establecer conexión con la WAN. El router del cual dispongo es totalmente capaz de realizar las tareas de routing/switching de forma segura y sin presentar problemas de interoperabilidad con la red del operador. Aún con todo no he conseguido dichos datos.

Así que, supongo, solo me queda buscar otro operador más "colaborativo" o hacerlo a las bravas.

Por ahora puedo decir que tengo un ZTE F680 con las siguientes versiones:

Hardware Version: V4.0
Software Version: ZTEGF6804P1T6
Boot Loader Version: V4.0.10

A través de la puerta trasera (por llamarla de algún modo 😄 y de la cual hay innumerables posts) del sambashare (modificando el smb.conf), he conseguido acceder al / del router y revisar los archivos haciéndomee copias a través del preexec desde el origen X al punto de montaje del usb con el enlace simbólico (en mi caso /mnt/usb1_1).

Para mi sorpresa he visto que todo está bastante atado. Por ejemplo, tanto las contraseñas en el /etc/passwd como /etc/shadow llevan hasheadas en MD5 y salteadas. Algunos archivos de configuración críticos van cifrados. Los backups van cifrados.

El telnet está habilitado pero se bloquea 3 minutos cada tres intentos fallidos. He visto que el telnetd soporta hasta 5 sesiones simultáneas. Si hicieses fuerza bruta valdría con configurar 5 hilos y 2 intentos por hilo (comprobado).

Creo que la clave de conseguir algo estaría en utilizar el preexec del smb.conf para sacar algo en claro. ¿Alguna sugerencia?

Saludos.

Solospam 19 febrero 2018 19:08

⋮

Pide a Pepephone que den los datos para configurar tu propio router + ont, será la única forma de que puedas tener todo a tu gusto...

Adquiere un router movistar UHG o un ont+router neutro que soporte VLAN... siempre puedes adquirir algun otro cacharro compatible que te de servicio... total, si tienes cualquier problema, lo que te toca usando tus dispositivos o los suyos, es darte cabezazos contra la pared hasta que le hagas un boquete o te hagas sangre, lo que primero pase.

✖

David Davidson 19 febrero 2018 21:10

⋮

Ya les he pedido los datos y me han dicho que no dan configuraciones avanzadas ni tienen departamento técnico. Increíble...

✖

Solospam 19 febrero 2018 23:22

⋮

No es increible... nunca tuvieron... pero misteriosamente pepephone original apenas daba problemas

BocaDePez 15 julio 2019 18:49

⋮

Genera averia (desconectando latiguillo insistindo que todo está conectado) y pode PON al tecnico que vaya, incluso si te llama antes ya está...

David Davidson 20 febrero 2018 10:17

⋮

En fin, por ahora se nos ha ocurrido utilizar un splitter de fibra, conectar el lado A en la toma que va hacia fuera, un puerto la ONT integrada del F680 (lado B.1) y el otro en un switch Cisco (lado B.2) e inspeccionar el tráfico redirigiéndolo a un puerto Gigabit Ethernet a través de port-mirroring y cruzar dedos para ver que tipo de tramas pasan en relación a la configuración.

✖

BocaDePez 3 marzo 2018 10:40

⋮

eso no tiene sentido, el protocolo L2 que emplea el F680 en el puerto óptico es GPON, que no tiene nada que ver con Ethernet.

David Davidson 2 marzo 2018 17:49

⋮

Hola de nuevo,

Mientras lo de la fibra se ve como me lo monto, he seguido cacharreando con la config de router.

Insistiendo con el tema de la password de root y revisándolo más detenidamente, vi que para el cifrado de las passwords del /etc/shadow (y no me preguntéis por que, pero en el /etc/passwd tambien está) se está utilizando md5crypt (vulnerable desde hace un tiempo ya: CVE-2012-3287). Sin entrar en detalles técnicos, aprovechando esto e intentando ver cómo de dificil nos lo intenta poner MásMóvil (porque es el proveedor real en mi caso), ejecuto hashcat con el diccionario de ejemplo que viene en hashcat. Para mi sorpresa, la contraseña queda descifrada...

La password de root es root. Confirmado 100%

Visto lo visto, el motivo de que no pueda entrar al router por telnet (porque habilitado está) debe estar en otro lado. Por ahora no se me ha ocurrido nada serio, pero sería interesante ver la config del servicio telnetd e iptables por si hubiera una ACL definida en algún sitio. Seguiremos informando.

✖

mceds 2 marzo 2018 23:02

⋮

La password de root es root. Confirmado 100%

3j4ad1rt Buen trabajo.

ToooWuu 3 marzo 2018 04:09 ✎

⋮

/ # grep root /etc/shadow
root:$1$qGmxLn8v$yTzaaXdb6.6QLLgS0Euz.1:12571:0:99999:7:::

¿Puedes sacar qué password es?

(es de un F680 v2 de Pepephone)

✖

David Davidson 3 marzo 2018 10:19 ✎

⋮

Buenos días,

Te confirmo que también es root. Es más…¡tiene el mismo salt que mi ZTE F680!😂

Haz la prueba:

Ve a (link roto)

En la casilla de input escribe:

root

y en la de salt(link roto)

qGmxLn8v

Cuando le dés al botón de Generate (Over Secure Connection) te dará tu password hasheada:

$1$qGmxLn8v$yTzaaXdb6.6QLLgS0Euz.1

Quiero aclarar que este NO es el método de obtención de passwords(pero casi, lo explico más abajo). Simplemente, si conocemos los dos factores que conforman le hash en cuestión, obtendremos con el 100% de seguridad nuestra clave en si sin tener que hacer fuerza bruta.

El método real, no dista mucho de lo que acabo de hacer arriba, es simplemente una automatización del proceso que acabo de seguir. Programas como hashcat, te permiten hacer ataques de fuerza bruta contra un hash determinado y método de cifrado determinado. Con la ayuda del diccionario de ejemplo que viene con la instalación de hashcat (que simplemente tiene un listado de las passwords más comunes que existen) puedes ser capaz de encontrar la password en cuestión de segundos:

Dictionary cache hit:
* Filename..: example.dict
* Passwords.: 129988
* Bytes.....: 1080240
* Keyspace..: 129988

Approaching final keyspace - workload adjusted.

$1$qGmxLn8v$yTzaaXdb6.6QLLgS0Euz.1:root <------- Aqui es dónde te dice que esa es la password

Session..........: hashcat
Status...........:Cracked
Hash.Type........:md5crypt, MD5 (Unix), Cisco-IOS $1$ (MD5)
Hash.Target......:$1$qGmxLn8v$yTzaaXdb6.6QLLgS0Euz.1
Time.Started.....: Sat Mar 03 10:12:39 2018 (0 secs)
Time.Estimated...: Sat Mar 03 10:12:39 2018 (0 secs)
Guess.Base.......: File (example.dict)
Guess.Queue......: 1/1 (100.00%)
Speed.Dev.#1.....:   404.9 kH/s (8.89ms) @ Accel:128 Loops:125 Thr:32 Vec:1
Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 129988/129988 (100.00%)
Rejected.........: 0/129988 (0.00%)
Restore.Point....: 98304/129988 (75.63%)
Candidates.#1....: omaewo -> zzzzzzzzzzz
HWMon.Dev.#1.....: Temp: 35c Fan: 17%

Started: Sat Mar 03 10:12:34 2018
Stopped: Sat Mar 03 10:12:40 2018************

✖

ToooWuu 3 marzo 2018 13:36

⋮

El password de este router es el conocido Zte521, así que lamento decirte que no se está usando el /etc/shadow

✖

David Davidson 8 marzo 2018 12:41

⋮

✖

ToooWuu 8 marzo 2018 14:30

⋮

✖

David Davidson 8 marzo 2018 14:39

⋮

✖

ToooWuu 9 marzo 2018 01:23

⋮

✖

David Davidson 9 marzo 2018 08:33

⋮

✖

David Davidson 9 marzo 2018 10:27

⋮

✖

David Davidson 9 marzo 2018 12:42

⋮

✖

David Davidson 15 marzo 2018 15:00

⋮

✖

BocaDePez 15 marzo 2018 20:03

⋮

✖

David Davidson 15 marzo 2018 22:22 ✎

⋮

✖

BocaDePez 16 marzo 2018 13:03

⋮

✖

David Davidson 16 marzo 2018 13:09

⋮

✖

BocaDePez 20 marzo 2018 19:10

⋮

✖

David Davidson 26 marzo 2018 15:31

⋮

✖

BocaDePez 26 marzo 2018 15:55

⋮

✖

BocaDePez 10 mayo 2018 21:02

⋮

Josh 16 marzo 2018 13:13

⋮

BocaDePez 26 marzo 2018 16:05

⋮

✖

BocaDePez 6 abril 2018 21:40

⋮

✖

BocaDePez 5 mayo 2018 20:26

⋮

BocaDePez 12 mayo 2018 13:15

⋮

✖

vukits 12 mayo 2018 13:25

⋮

David Davidson 26 marzo 2018 15:40

⋮

Buenas a todos,

Es posible que se pase un amigo por casa con un analizador de fibra de los buenos e intentemos echarle un vistazo a las tramas GPON antes y durante la negociación del DHCP. La fecha de esto es todavía indeterminada, pero no creo que vayamos a tardar mucho en vernos. Ya os contaré.

Por otro lado, todavía hay una cosa que no me ha quedado clara. ¿Es estrictamente necesario montar la config de la WAN Connection en el caso de la ONT alternativa? Es decir, ¿Es este dispositivo capaz de hacer de puente L2 por si solo si la config de WAN no existe?

Osea, si yo meto mi router en el puerto LAN 1, tagueo la VLAN 20 y me pongo a mandar DHCP Discover a través de la ONT, ¿Será esta capaz de encapsular ese tráfico Ethernet encima de GPON a través de GEM y vale?

Saludos.

✖

BocaDePez 26 marzo 2018 16:02

⋮

Karman aquí. Me he comprado un ZTE F601 en el rastro de Valencia y le he configurado la GPON Password que en realidad es la ID de suscriptor. Reemplazas el F680 por el F601 que es únicamente ONT y en la ethernet conectas un router/equipo que mande los paquetes tageados en VLAN (20 para pepephone). A partir de ahí el DHCP funciona correctamente y tienes IP pública, y el ONT no tiene adminstración remota, no es router ni tiene interfaz/protocolo de gestión del operador. El ONT es una especie de conversor de medio, pero traduce tramas FTTH GPON a ethernet. Es importante lo de la VLAN20 ya que la VLAN1 es solo para comunicarse con el ONT y no se redirige a través de la FTTH.

✖

David Davidson 26 marzo 2018 16:15

⋮

Me he comprado un ZTE F601 en el rastro de Valencia y le he configurado la GPON Password que en realidad es la ID de suscriptor.

Hecho y validado. PON se queda en verde y en la info de la config dice Authentication Succeded.

Reemplazas el F680 por el F601 que es únicamente ONT y en la ethernet conectas un router/equipo que mande los paquetes tageados en VLAN (20 para pepephone).

Lo he probado de dos maneras: Configurando el puerto de WAN de la propia ONT (del mismo modo que mostré en el post del 9 de Marzo a las 12:42) y a través del router que tengo. Ninguna de las dos me ha funcionado. Me tengo que hacer con un adaptador ethernet USB que tenga la posibilidad de taguear el VLAN ID correspondiente y probar a través de ahí.

En cualquier caso, gracias por tu ayuda Karman. Si se te ocurre algo ya me dirás.

Saludos.

✖

BocaDePez 27 marzo 2018 11:55

⋮

Yo lo probé con una maquina virtual linux. No es cosa del adaptador ethernet. En la maquina virtual linux se puede configurar una interfaz con 'vconfig add eth0 20' y te crea una eth0.20 que es la interfaz en vlan 20, luego 'dhclient eth0.20' y veras que obtiene la IP publica.

✖

BocaDePez 17 mayo 2018 20:03

⋮

jlazkano 22 mayo 2018 11:26

⋮

Buenas,

No se como es en Pepephone, pero en Movistar por ejemplo con el IdONT y la VLAN de internet es suficiente.

La VLAN para Pepephone creo que es la 20. Faltaria sacar el IdONT que tiene que estar en el router/ONT del proveedor.

Un saludo.

David Davidson 29 mayo 2018 15:55

⋮

Buenas. He estado un tiempo sin entrar por aqui ya que he estado muy ocupado…

Lo del cambio de ONT lo tuve que dejar y, como todavía mantengo el admin nivel 1 pude desplegar la red que quería haciendo un doble NAT. Os dejo un diagrama de como lo tengo: