BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra
💡

Sacando la configuración del router ZTE F680 de Pepephone para configurar uno alternativo

David Davidson

Por ciertas necesidades necesito configurar un router alternativo al facilitado por Pepephone. El asunto es intentándolo hacer por las buenas con Pepephone, insisten en que no disponen de departamento el cual me pueda facilitar la información técnica necesaria para configurar otra ONT + los parámetros necesarios de router para establecer conexión con la WAN. El router del cual dispongo es totalmente capaz de realizar las tareas de routing/switching de forma segura y sin presentar problemas de interoperabilidad con la red del operador. Aún con todo no he conseguido dichos datos.

Así que, supongo, solo me queda buscar otro operador más "colaborativo" o hacerlo a las bravas.

Por ahora puedo decir que tengo un ZTE F680 con las siguientes versiones:

  • Hardware Version: V4.0
  • Software Version: ZTEGF6804P1T6
  • Boot Loader Version: V4.0.10

A través de la puerta trasera (por llamarla de algún modo 😄 y de la cual hay innumerables posts) del sambashare (modificando el smb.conf), he conseguido acceder al / del router y revisar los archivos haciéndomee copias a través del preexec desde el origen X al punto de montaje del usb con el enlace simbólico (en mi caso /mnt/usb1_1).

Para mi sorpresa he visto que todo está bastante atado. Por ejemplo, tanto las contraseñas en el /etc/passwd como /etc/shadow llevan hasheadas en MD5 y salteadas. Algunos archivos de configuración críticos van cifrados. Los backups van cifrados.

El telnet está habilitado pero se bloquea 3 minutos cada tres intentos fallidos. He visto que el telnetd soporta hasta 5 sesiones simultáneas. Si hicieses fuerza bruta valdría con configurar 5 hilos y 2 intentos por hilo (comprobado).

Creo que la clave de conseguir algo estaría en utilizar el preexec del smb.conf para sacar algo en claro. ¿Alguna sugerencia?

Saludos.

Solospam
2

Pide a Pepephone que den los datos para configurar tu propio router + ont, será la única forma de que puedas tener todo a tu gusto...

Adquiere un router movistar UHG o un ont+router neutro que soporte VLAN... siempre puedes adquirir algun otro cacharro compatible que te de servicio... total, si tienes cualquier problema, lo que te toca usando tus dispositivos o los suyos, es darte cabezazos contra la pared hasta que le hagas un boquete o te hagas sangre, lo que primero pase.

🗨️ 3
David Davidson

Ya les he pedido los datos y me han dicho que no dan configuraciones avanzadas ni tienen departamento técnico. Increíble...

🗨️ 2
Solospam
2

No es increible... nunca tuvieron... pero misteriosamente pepephone original apenas daba problemas

BocaDePez
BocaDePez

Genera averia (desconectando latiguillo insistindo que todo está conectado) y pode PON al tecnico que vaya, incluso si te llama antes ya está...

David Davidson

En fin, por ahora se nos ha ocurrido utilizar un splitter de fibra, conectar el lado A en la toma que va hacia fuera, un puerto la ONT integrada del F680 (lado B.1) y el otro en un switch Cisco (lado B.2) e inspeccionar el tráfico redirigiéndolo a un puerto Gigabit Ethernet a través de port-mirroring y cruzar dedos para ver que tipo de tramas pasan en relación a la configuración.

🗨️ 1
BocaDePez
BocaDePez

eso no tiene sentido, el protocolo L2 que emplea el F680 en el puerto óptico es GPON, que no tiene nada que ver con Ethernet.

David Davidson
2

Hola de nuevo,

Mientras lo de la fibra se ve como me lo monto, he seguido cacharreando con la config de router.

Insistiendo con el tema de la password de root y revisándolo más detenidamente, vi que para el cifrado de las passwords del /etc/shadow (y no me preguntéis por que, pero en el /etc/passwd tambien está) se está utilizando md5crypt (vulnerable desde hace un tiempo ya: CVE-2012-3287). Sin entrar en detalles técnicos, aprovechando esto e intentando ver cómo de dificil nos lo intenta poner MásMóvil (porque es el proveedor real en mi caso), ejecuto hashcat con el diccionario de ejemplo que viene en hashcat. Para mi sorpresa, la contraseña queda descifrada...

La password de root es root. Confirmado 100%

Visto lo visto, el motivo de que no pueda entrar al router por telnet (porque habilitado está) debe estar en otro lado. Por ahora no se me ha ocurrido nada serio, pero sería interesante ver la config del servicio telnetd e iptables por si hubiera una ACL definida en algún sitio. Seguiremos informando.

🗨️ 26
mceds

La password de root es root. Confirmado 100%

3j4ad1rt

Buen trabajo.

ToooWuu
/ # grep root /etc/shadow
root:$1$qGmxLn8v$yTzaaXdb6.6QLLgS0Euz.1:12571:0:99999:7:::

¿Puedes sacar qué password es?

(es de un F680 v2 de Pepephone)

🗨️ 24
David Davidson
1

Buenos días,

Te confirmo que también es root. Es más…¡tiene el mismo salt que mi ZTE F680!😂

Haz la prueba:

Ve a (link roto)

En la casilla de input escribe:

root

y en la de salt(link roto)

qGmxLn8v

Cuando le dés al botón de Generate (Over Secure Connection) te dará tu password hasheada:

$1$qGmxLn8v$yTzaaXdb6.6QLLgS0Euz.1

Quiero aclarar que este NO es el método de obtención de passwords(pero casi, lo explico más abajo). Simplemente, si conocemos los dos factores que conforman le hash en cuestión, obtendremos con el 100% de seguridad nuestra clave en si sin tener que hacer fuerza bruta.

El método real, no dista mucho de lo que acabo de hacer arriba, es simplemente una automatización del proceso que acabo de seguir. Programas como hashcat, te permiten hacer ataques de fuerza bruta contra un hash determinado y método de cifrado determinado. Con la ayuda del diccionario de ejemplo que viene con la instalación de hashcat (que simplemente tiene un listado de las passwords más comunes que existen) puedes ser capaz de encontrar la password en cuestión de segundos:

Dictionary cache hit:
* Filename..: example.dict
* Passwords.: 129988
* Bytes.....: 1080240
* Keyspace..: 129988

Approaching final keyspace - workload adjusted.

$1$qGmxLn8v$yTzaaXdb6.6QLLgS0Euz.1:root <------- Aqui es dónde te dice que esa es la password

Session..........: hashcat
Status...........:Cracked
Hash.Type........:md5crypt, MD5 (Unix), Cisco-IOS $1$ (MD5)
Hash.Target......:$1$qGmxLn8v$yTzaaXdb6.6QLLgS0Euz.1
Time.Started.....: Sat Mar 03 10:12:39 2018 (0 secs)
Time.Estimated...: Sat Mar 03 10:12:39 2018 (0 secs)
Guess.Base.......: File (example.dict)
Guess.Queue......: 1/1 (100.00%)
Speed.Dev.#1.....:   404.9 kH/s (8.89ms) @ Accel:128 Loops:125 Thr:32 Vec:1
Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 129988/129988 (100.00%)
Rejected.........: 0/129988 (0.00%)
Restore.Point....: 98304/129988 (75.63%)
Candidates.#1....: omaewo -> zzzzzzzzzzz
HWMon.Dev.#1.....: Temp: 35c Fan: 17%

Started: Sat Mar 03 10:12:34 2018
Stopped: Sat Mar 03 10:12:40 2018************
🗨️ 23
ToooWuu

El password de este router es el conocido Zte521, así que lamento decirte que no se está usando el /etc/shadow

🗨️ 22
ToooWuu
1
🗨️ 20
ToooWuu
1
🗨️ 18
BocaDePez
BocaDePez
🗨️ 13
BocaDePez
BocaDePez
1
🗨️ 9
BocaDePez
BocaDePez
🗨️ 3
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
Josh
1
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
🗨️ 1
vukits
David Davidson

Buenas a todos,

Es posible que se pase un amigo por casa con un analizador de fibra de los buenos e intentemos echarle un vistazo a las tramas GPON antes y durante la negociación del DHCP. La fecha de esto es todavía indeterminada, pero no creo que vayamos a tardar mucho en vernos. Ya os contaré.

Por otro lado, todavía hay una cosa que no me ha quedado clara. ¿Es estrictamente necesario montar la config de la WAN Connection en el caso de la ONT alternativa? Es decir, ¿Es este dispositivo capaz de hacer de puente L2 por si solo si la config de WAN no existe?

Osea, si yo meto mi router en el puerto LAN 1, tagueo la VLAN 20 y me pongo a mandar DHCP Discover a través de la ONT, ¿Será esta capaz de encapsular ese tráfico Ethernet encima de GPON a través de GEM y vale?

Saludos.

🗨️ 4
BocaDePez
BocaDePez

Karman aquí. Me he comprado un ZTE F601 en el rastro de Valencia y le he configurado la GPON Password que en realidad es la ID de suscriptor. Reemplazas el F680 por el F601 que es únicamente ONT y en la ethernet conectas un router/equipo que mande los paquetes tageados en VLAN (20 para pepephone). A partir de ahí el DHCP funciona correctamente y tienes IP pública, y el ONT no tiene adminstración remota, no es router ni tiene interfaz/protocolo de gestión del operador. El ONT es una especie de conversor de medio, pero traduce tramas FTTH GPON a ethernet. Es importante lo de la VLAN20 ya que la VLAN1 es solo para comunicarse con el ONT y no se redirige a través de la FTTH.

🗨️ 3
David Davidson

Me he comprado un ZTE F601 en el rastro de Valencia y le he configurado la GPON Password que en realidad es la ID de suscriptor.

Hecho y validado. PON se queda en verde y en la info de la config dice Authentication Succeded.

Reemplazas el F680 por el F601 que es únicamente ONT y en la ethernet conectas un router/equipo que mande los paquetes tageados en VLAN (20 para pepephone).

Lo he probado de dos maneras: Configurando el puerto de WAN de la propia ONT (del mismo modo que mostré en el post del 9 de Marzo a las 12:42) y a través del router que tengo. Ninguna de las dos me ha funcionado. Me tengo que hacer con un adaptador ethernet USB que tenga la posibilidad de taguear el VLAN ID correspondiente y probar a través de ahí.

En cualquier caso, gracias por tu ayuda Karman. Si se te ocurre algo ya me dirás.

Saludos.

🗨️ 2
BocaDePez
BocaDePez

Yo lo probé con una maquina virtual linux. No es cosa del adaptador ethernet. En la maquina virtual linux se puede configurar una interfaz con 'vconfig add eth0 20' y te crea una eth0.20 que es la interfaz en vlan 20, luego 'dhclient eth0.20' y veras que obtiene la IP publica.

🗨️ 1
BocaDePez
BocaDePez
jlazkano

Buenas,

No se como es en Pepephone, pero en Movistar por ejemplo con el IdONT y la VLAN de internet es suficiente.

La VLAN para Pepephone creo que es la 20. Faltaria sacar el IdONT que tiene que estar en el router/ONT del proveedor.

Un saludo.

David Davidson

Buenas. He estado un tiempo sin entrar por aqui ya que he estado muy ocupado...

Lo del cambio de ONT lo tuve que dejar y, como todavía mantengo el admin nivel 1 pude desplegar la red que quería haciendo un doble NAT. Os dejo un diagrama de como lo tengo:

untitled-diagram.png