BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Fijo

Longitud y caracteres que Euskaltel usa en contraseñas VoIP para sacarla con hashcat

1
inthedark

Me he pasado a R recientemente con fibra y fijo y estoy peleándome con el tema de configurar la línea VoIP SIP que ponen para el fijo. El caso es que no parece que vayan a facilitar los datos, así que tengo que recurrir a sacarlo por las malas.

Estoy intentando varias posibilidades, pero una que quiero explorar es la de intentar romper el hash MD5 que usa para la autenticación. Haciendo una captura de tráfico se sacan fácilmente los datos, pero la contraseña está hasheada y hay que romperla. Sé a ciencia cierta que en otras empresas del grupo MásMóvil la contraseña SIP tiene exactamente 8 caracteres (mayúsculas, minúsculas y números). Esto con un ordenador potente se rompe en unas pocas horas, pero no he tenido suerte (ver post del foro de Digi: Actualizo el 'script' anterior corrigiendo algunos fallos.…).

En otras operadoras (como Digi hasta hace un par de años) el formato es distinto. Es tu número de teléfono y luego unos pocos caracteres a mayores. La pregunta es, ¿alguien ha conseguido (de la forma que sea) ver alguna vez una contraseña de VoIP de Euskaltel/R y sabe el formato que tiene (longitud, caracteres utilizados, etc)? Con esta información se puede dirigir el ataque con hashcat para que sea factible. Hacerlo por fuerza bruta sin ningún tipo de "pista" es impracticable por encima de 9 caracteres de longitud.

inthedark

Añado más info, por completar el tema:

El router que me han puesto es el Zte ZXHN H298Q, versión de firmware V7.0 V7.0.0C6_EKT. Tengo la password del usuario "admin".

Tiene habilitado SSH (es decir, acepta la conexión) pero no entro ni con el usuario "normal" ni con el de administrador. Telnet no tiene. Y lo más extraño, no veo que tenga la función de exportar configuración, no sé si estará oculta de alguna forma… pero aparentemente no está. Solo está la opción de actualizarle el firmware (ojo, que siempre se puede aprovechar para hacer downgrade y meter un firmware que tenga alguna vulnerabilidad), aunque temo que si le cambio el firmware, se va a borrar de la memoria del router la preciada clave SIP que está ahí escondida.

Una de las cosas a las que sí tengo acceso es la configuración de TR-069. Puedo apuntarlo a un servidor que controle yo, y es posible (no lo he podido probar todavía) que pueda hacerle que me muestre su configuración actual.

Y poco más por ahora, mucha frustración con las operadoras que te cobran por un servicio pero no te dejan utilizarlo como tu quieres.

🗨️ 5
isb

Si lo quieres para usar un router neutro y conservar el fijo, pero no tienes como requisito configurar un adaptador, fíjate en la configuración WAN del H298Q. En casa de un familiar que tiene RACCtel (que a la práctica es Euskaltel) a través de NEBA con ese mismo router, hay unas cuantas configuraciones que están todas activadas simultáneamente, entre ellas una DHCP sin VLAN. Y parece que el router usa aquella con la que consigue conectividad.

Tienen un router neutro (conectado a la ONT con la VLAN 20 y DHCP). Hice la prueba de conectar la WAN del H298Q a una toma LAN del router neutro y funciona bien el fijo. Es decir, WAN del neutro a la ONT, y WAN del H298Q a una LAN del neutro, sin cambiar ninguna configuración.

🗨️ 2
inthedark

La idea no es mala si lo que buscas es usar un teléfono analógico, pero lo que quiero es configurar una centralita VoIP. Necesito la clave sí o sí.

🗨️ 1
isb
1

En ese caso está claro que necesitas la clave. Yo ahí ya no puedo ayudar.

andressis2k

Si lo apuntas a un servidor tr069 podrás leer todos los parámetros, pero no las contraseñas (ni wifi, ni SIP).

En todo caso, probaría a capturar el tráfico entre su ACS y el router, reseteando para forzar una nueva carga de todos los parámetros

🗨️ 1
inthedark

Buenas.

Capturar el tráfico entre el router y el ACS con un mitmproxy fue mi primera opción, pero en R no sirve de nada, ya que el router no se descarga la configuración del ACS al arrancar, si no que es el ACS el que se conecta al router y le sube la config. Si reseteo de fábrica el router, se pierde la config y tengo que esperara a que venga un técnico a casa. Ese proceso de que el ACS le suba la config al router lo tiene que lanzar un técnico, a través de una plataforma web que tienen para eso.

Estuve trasteando con apuntarlo a un TR069 que monté yo en local, conseguí habilitarle por ejemplo el acceso por telnet y SSH, pero me lleva a una CLI limitada, no consigo bajar al Linux que tiene por debajo para poder sacarme el db_user_config.xml como mencionan en otros hilos sobre este equipo (y otros Zte similares).

Tengo todavía alguna idea más que no he probado, como intentar conectar el router a la ONT a través de un switch con port mirroring, e intentar llamar al SAT y que lancen el proceso de provisión a ver si pudiera capturar ese tráfico (por lo que he visto en la comunicación con mi ACS local, las conexiones desde el router al ACS son cifradas, pero en el sentido contrario es HTTP normal)… pero me da muchísima pereza tener que de nuevo llamar al 1449 y conseguir hablar con alguien que entienda lo que le estoy pidiendo…