Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra
💡

Cómo obtener la contraseña/password SIP de Adamo, por dSStripanteL

dSStripanteL
12

Cómo ya os dije, si lo lograba lo compartiría con todos vosotros, pues aquí tenéis :) Muchas gracias a todos !!!

UPDATE: Routers Inteno EG200 con firmware EG200-WU7P1U_ADAMO3.16.9-190920_1412 o superiores

Tras la investigación, Adamo fue alertada de la vulnerabilidad con número CVE-2019-13140 y parcheó el bug para evitar que la clave 3DES (la que desencripta el fichero de aprovisionamiento XXXXXXXXXXXX.enc) se pudiera obtener vía web (aparece NA en su lugar).

na.png

Gracias a nuestro compi @Julz es posible seguir disponiendo de la clave 3DES, extrayéndose de manera física por la vía USB-TTL. Sabemos que este método, al necesitar de más instrumentación, delicadez y peligro que puede llegar a acarrear, es algo más engorroso que hacerlo todo por software, pero si realmente necesitas este parámetro (porque es tuyo, y te pertenece 😉) ¡Estás en buenas manos!

Checklist; ¿Qué necesito?

dsd-tech-usb-ttl-ftdi-ft232rl.jpg

Será necesario que los extremos finales de los cablecitos que conecten a la interfaz serie del router, sean del tipo “macho” en lugar de “hembra” o bien, podéis hacer como hice yo (se observa en la siguiente foto), quitar los alambritos de esos que suelen venir en los cierres de pan de molde, para que lo veáis mejor, pongo una foto de donde saqué los míos. Los hay con un grosor más endeble, los de esta foto son perfectos (con ayuda de unas tijeras y alicates, se sacan sin problema):

molde.png
  • El cliente PuTTY para hacer la conexión serie contra el router. Lo configuraremos a 115200 de velocidad e introduciremos el número del puerto COM sacado del administrador de dispositivos de Windows, tal que:
admin-devices.png
  • Paciencia y hacer las cosas con cariño 😊

¡Vamos al lío!

  • Identificación de los orificios TX (transferencia), RX (recepción) y GND (ground o masa): Lo tenemos más fácil que en otros routers, porque… ¡Están fuera! Si, no hace falta abrirlo. Se ubican en un lateral:
eg200-serial.jpg

Son 4; arriba-izquierda tenemos el TX, arriba-derecha el RX, abajo-izquierda 3.3V y abajo-derecha el GND:

eg200-serial-tx-rx-gnd-3v.png

No se os ocurra, bajo ningún concepto, conectar nada al orificio de 3.3V de voltaje (marcado en rojo en la foto). El adaptador USB-TTL ya da de por sí el voltaje necesario por su RX y TX. También es importante verificar antes el voltaje que proporciona el USB-TTL, algunos pueden configurarse para 5V o 3.3V, en mi caso tiene un “jumper” para establecer el voltaje deseado, éste tiene que estar a 3.3.

  • Con el router apagado, pinchamos los cablecitos a los orificios:
inteno-eg200-serial.jpg

Recordad que el RX de vuestro USB-TTL es el TX del router, así el TX de USB-TTL es el RX del router. Tiene su lógica, según la referencia de donde se mire, si USB transfiere (TX), router recibe (RX), si router transfiere (TX), USB recibe (RX). Con el que no se tendrá lio alguno es con el GND (masa o tierra).

  • Arrancamos PuTTY con la configuración descrita anteriormente en checklist (Serial, COMX y 115200) y pulsamos en Open para abrir la terminal:
putty.png
  • Encendemos el router, y si todo va bien veréis lo siguiente:
HELO
CPUI
L1CI
HELO
CPUI
L1CI
4.1605-1.0.38-118.3-INT1.5
DRAM
----
PHYS
STRF
400H
PHYE
DDR3
SIZ4
SIZ3
DINT
USYN
LSYN
MFAS
LMBE
RACE
PASS
----
ZBSS
CODE
DATA
L12F
MAIN
----
LZND
OKBL
RDDN
LZOK


Base: 4.16_05
CFE version 1.0.38-118.3-INT1.5 for BCM963268 (32bit,SP,BE)
Build Date: Tue Dec 31 19:19:19 CEST 2019 (inteno@bs1)
Copyright (C) 2000-2015 Broadcom Corporation.

Boot Strap Register:  0x1ff97bf
Chip ID: BCM63168D0, MIPS: 400MHz, DDR: 400MHz, Bus: 200MHz
Main Thread: TP0
Memory Test Passed
Total Memory: 268435456 bytes (256MB)
Boot Address: 0xb8000000

NAND ECC BCH-4, page size 0x800 bytes, spare size used 64 bytes
NAND flash device: MXIC MX30LF1G08AA, id 0xc2f1 block 128KB size 131072KB
getInMemNvramData: valid=2 sector=2 seqNum=1 iVersion=4
isUbiFlashLayout: is_ubi=1
getRootFSPartStartEndBlock: ix=0, start_blk=4, end_blk=44
getTagFromPartition: imageNumber=1 seq=005
getRootFSPartStartEndBlock: ix=1, start_blk=44, end_blk=84
getTagFromPartition: imageNumber=2 seq=004
Board IP address                  : 192.168.1.1:ffffff00  
Host IP address                   : 192.168.1.100  
Gateway IP address                :   
Run from flash/host/tftp (f/h/c)  : f  
Default host run file name        : vmlinux  
Default host flash file name      : bcm963xx_fs_kernel  
Boot delay (0-9 seconds)          : 3  
Boot image (0=latest, 1=previous) : 0  
Default host ramdisk file name    :   
Default ramdisk store address     :   
Board Id (0-45)                   : EG200R0  
Number of MAC Addresses (1-32)    : 8  
Base MAC Address                  : XX:XX:XX:XX:XX:XX  
PSI Size (1-128) KBytes           : 48  
Enable Backup PSI [0|1]           : 0  
System Log Size (0-256) KBytes    : 0  
Auxillary File System Size Percent: 0  
DSL Annex [A|B|X]                 : X  
Main Thread Number [0|1]          : 0  
WLan Feature                      : 0x00  
Voice Board Configuration (0-1)   : Si32260_LCQC  
Partition 1 Size (MB)             :   
Partition 2 Size (MB)             :   
Partition 3 Size (MB)             :   
Partition 4 Size (MB) (Data)      : 4MB  

*** Press any key to stop auto run (3 seconds) ***

Tenéis unos 3 segundos para detener el arranque y entrar en CFE (Common Firmware Environment). Púlsese Enter y aparecerá el prompt del sistema CFE>

  • Invocamos el siguiente mandato/comando: dn 0x0 2

Esto nos hará un volcado de la memoria de las primeras 2 páginas, que es donde se encuentra nuestra querida 3DES.

  • Vamos bajando ahora hasta dirigimos a la dirección 00000910: la clave se encuentra entre esa dirección y la 00000920:
00000910: XXXXXXXX XXXXXXXX XXXXXXXX YYYYYYYY    XXXXXXXXXXXXYYYY

00000920: YYYYYYYY YYYYYYYY YYYYYYYY 00000000    YYYYYYYYYYYY....

Las Y de la última columna, hacen referencia a tu clave 3DES en formato ASCII, fíjese que contempla 16 caracteres, no obstante, las Y del resto de columnas, son la composición de la clave en hexadecimal. Recuerda que debes de usarla en su modo hexadecimal (32 caracteres, sin espacios), no haría falta pues, utilizar Notepad++ (por ejemplo) u otro método.

Y eso es (casi) todo, apagar el router, quitar su corriente, quitar los cablecitos… Puedes descifrar ya tu aprovisionamiento con OpenSSL, cómo se indica en el vídeo o más abajo en los posts de este mismo hilo.

Todo esto es mérito de @Julz sin él no hubiera llegado a descubrir este nuevo método.

BONUS TRACK: Para cualquier firmware de Inteno EG200

He encontrado el password de la SIP en claro, eso significa que no será necesario pasar por el “revelado”, no hará falta ni descargarse el aprovisionamiento ni usar OpenSSL para desencriptar nada, pues el router… ¡Nos lo pone en bandeja!

En mi caso, lo encontré en la partición que parece ser la de “backup” o respaldo, la partición llamada “mtd_lo”.

Podéis probar invocando: dn 0x3144000 1

Y se sitúa en:

03144320: 72656769 73746572 203d3e20 7564703a    register => udp:
03144330: 2f2fUUUU UUUUUUUU 2e766f69 702e6164    //UUUUUU.voip.ad
03144340: 616d6f2e 65734039 312e3132 362e3232    amo.es@91.126.22
03144350: 342e393a PPPPPPPP PPPPPPPP 3aUUUUUU    4.9:PPPPPPPP:UUU
03144360: UUUUUU2e 766f6970 2e616461 6d6f2e65    UUU.voip.adamo.e
03144370: 73407369 70302fUU UUUUUUUU UU2e766f    s@sip0/UUUUUU.vo
03144380: 69702e61 64616d6f 2e65732e 2e2e2e2e    ip.adamo.es.....

Donde U hace referencia al usuario y P a la contraseña SIP, son 8 dígitos, mayúsculas, minúsculas y números quizá… la mía no tiene.

El formato es:

register => |TRANSPORT|://|USER|@|DOMAIN|:|SECRET||AUTHUSER|@|PROVIDER||PORT|/|CONTACT_USER|

Aquí si interesa cogerla en ASCII 😉

Be Good, Be HACKERS!

Corocotta
1

Solo puedo decir... FELICIDADES

Por mi parte como no tengo fijo pues no me vale para nada, pero seguro que hay bastante gente que le saca partido.

Saludos

BocaDePez
BocaDePez
1

Contraseña sip obtenida :)

Muchas gracias.

🗨️ 1
dSStripanteL

Me alegra un montón de que te haya funcionado :)
Gracias a ti!

javiertres

Muchisimas Gracias por tu esfuerzo

BocaDePez
BocaDePez

Esto podría servir para sacar los datos del GPON y usar un ZTE F680 por ejemplo, para usar un solo aparato en vez del ONT+inteno?

Por cierto, no tengo telefono contratado, asi que no ncesito los datos SIP

🗨️ 1
dSStripanteL

Te refieres a si en el fichero Provisioning.conf se encuentra la clave GPON? Ojala… allí hay info de las reglas, configuración de firewall y sobretodo del VoIP, pero nada sobre la ONT.

Yo creo que para obtener ese dato deberá hacerse via USB-TTL, abriendo la ONT buscar el TX, RX… A menos que se conozca algún otro método para acceder!

Yo estuve a punto de probar via USB-TTL para el Inteno (era mi último recurso), pero al final lo logré por otra via.

CincuentaPQuince

Que buena noticia.

Me uno a las preguntas de los compañeros, no tengo teléfono contratado,y me gustaría substituir el Router + ONT por uno con todo incluido, como el de Masmovil (ZTE F680)

🗨️ 1
BocaDePez
BocaDePez

para poder poner un router integrado hay que averiguar como entrar a la ont y sacar el password gpon, normalmente van por telnet, pero a saber que user puede tener.

Aeri

Muy buen trabajo y gracias por compartirlo, sin embargo no entiendo bien que haces en el primer paso, es decir el cómo obtienes el dumpeo que abres con wireshark.

¿Capturas el tráfico entre el router y la ONT en el momento del arranque y si es así como lo haces?

Saludos.

🗨️ 39
dSStripanteL
2

Nada, ya ves yo encantado de compartir :) !

Sí es cierto que la captura del principio puede dar lugar a dudas, sobre todo si no se está acostumbrado a tratar con este embojo “empaquetado” jeje. El fichero/dumpeo no es fresco, quiero decir que fue capturado varios días atrás. En él, pretendo demostrar de donde saco yo ese enlace que contiene el fichero encriptado con extensión .enc del aprovisionamiento (nada es porque sí, ni la magia es mágica!). Pero no es mandatorio que te hagas con la captura de ese tráfico (al menos que hagan cambios en el servidor y el enlace también sea distinto…, o bien lo capen).

Por ahora, y a día de hoy, necesitarás “dos piezas” de este rompecabezas si quieres hacerte con la password de la SIP por esta vía.

  1. El archivo encriptado que tiene como nombre la MAC de tu router (todo mayúsculas y sin los dos puntos) con extensión .enc XXXXXXXXXXXX.enc.
  2. La key/llave 3DES, que es única y exclusiva de cada router del usuario

Esta última clave triple DES, puedes conseguirla por otra vía, digamos que más fácil/directo o de manera más “perezosa”. Eso puedes hacerlo en tu equipo y bajo tu navegador preferido, ya da igual que sea bajo Linux, Windows… De hecho, todo puedes hacerlo en un Windows, lo de hacerlo en Kali Linux, es para darle más gancho al tema, más vidilla, normalmente este tipo de videos suelen ser un poco “sosos” o aburridillos, yo quiero o pretendo darle un aire más molón, un poco al estilo Mr. Robot 😉.

Pues eso (que me voy desviando del camino! jeje). Abres wireshark, y capturas en tu interfaz, ya estés por cable o por wifi, luego haces login vía web a la web del router (ya sabemos que el usuario es user y la password la clave wifi que viene por defecto) y ya está, wireshark debería de capturarte el paquete websocket, de la petición que contiene la clave 3DES (y la auth… que también me llamó la atención, pero ya pasé… me ha quitado muchas horas de sueño todo esto xd necesito vacaciones! jeje).

Si te interesa “ponerte en el medio como el jueves” para saber de que están hablando router & ONT, puedes usar un TAP cómo el que yo emplee o bien puedes usar tu propio equipo, un portátil mismamente con una tarjeta de red secundaria (USB a 3.0 para que sea compatible con giga). A mi personalmente, me gusta más emplear un TAP por ser más limpio y más “silencioso”. Pero no te creas que es tan trivial, que me llegó a rayar un ratito largo eh? xD Tienes que tener en cuenta que sí empleas un TAP (como el Throwing Star LAN) la negociación va a 100 en lugar de 1000 o giga, es bueno que fuerces tus interfaces de red a 100 para que no tarde tanto en funcionar tu “chiringuito”. Y harán falta 3 cables de red adicionales. 1 más para que de router a ONT pueda “atravesar” al TAP. Y los otros 2, para capturar la “ida” y la “vuelta” ya que, envió y recepción no van en un solo cable.

Tenéis disponible un documento en inglés donde explico un poco todo con algo más de detalle.

Un fuerte abrazo

🗨️ 38
CincuentaPQuince

Unqa pregunta, sería posible que copiases los comandos que pasas al la consola del navegador, para poder copiar y pegar? modificando el password y el session id,claro

🗨️ 26
dSStripanteL
1

Claro que si compi :) sin problema!

Necesitaremos dos piezas clave, tu fichero de aprovisionamiento .enc y la clave para desencriptar-lo (la key 3DES).

1. Obteniendo el fichero de aprovisionamiento
Descargar desde (link roto) donde XXXXXXXXXXXX es la MAC de tu router, todo mayúsculas y sin los dos puntos. Puedes obtener la MAC haciendo un ping al router (192.168.1.1) y luego hacer un arp -a bajo cmd (recuerda quitar los dos puntos! :P).

2. La llave 3DES
Nos comunicaremos vía sockets.
- Abrimos la web del router
- Usamos las herramientas del desarrollador, para invocar pulsar F12, y situarse en la pestaña de la consola (yo he usado Firefox, pero debería de funcionar igual con Chrome…).
- Creamos el WebSocket:

var superSocket = new WebSocket("ws://192.168.1.1/", "ubus-json")

- Creamos el log para que nos muestre las respuestas por cada petición

superSocket.onmessage = function (event) {console.log(event.data)}

- Pedimos obtenir un id de sesion, con los mismos datos de acceso que se usan en el login de la web del router.

superSocket.send(JSON.stringify({"jsonrpc":"2.0","method":"call","params":["00000000000000000000000000000000","session","login",{"username":"user","password":"wifis-password"}],"id":666}))

- En la respuesta, el valor del parámetro que dice “ubus_rpc_session” hace referencia a tu id de sesión, lo copiaremos para usarlo en la siguiente llamada.
- Pedimos información del sistema de nuestro router

superSocket.send(JSON.stringify({"jsonrpc":"2.0","method":"call","params":["tu-id-de-sesion-aqui","router.system","info",{}],"id":999}))

- Copiamos el valor de la clave, bajo des, son 16 digitos que tendrás que pasarla a hexadecimal, puedes hacerlo facilmente con notepad++ (o via web, como en ascii2hex.com que creo que sale en Mr.Robot, pero no me gusta... a saber donde van a parar tus datos, o quizá no.. pero para estas cosas prefiero hacerlas en local). En notepad++ pegáis la llave, se selecciona y nos vamos a Plugins – Converter – ASCII -> HEX y ahí la tendrás en formato hexadecimal apta para el siguiente paso.
- Utilizaremos openssl para descifrar tus “provisiones”, desde tu sistema operativo favorito:

openssl enc -d -des-ede -nosalt -K tu-clave-pasada-ya-en-hexadecimal -in XXXXXXXXXXXX.enc -out XXXXXXXXXXXX.tar.gz

- Ahora lo descomprimimos con, 7zip por ejemplo, y tendrás un archivo llamado Provisioning.conf En la última línea se encuentra la pass de tu SIP.

Importante: No seáis malos intentando descifrar aprovisionamientos que no os pertenecen, eso sí que ya podría ser delictivo. Esto es para que cada uno recoja lo suyo.

Nota para Adamo: Se que podéis llegar a leer todo esto. Yo personalmente, estoy muy contento con vuestro servicio y calidad, sólo quería un parámetro que me pertenece, esto no es nada personal ni en contra vuestra ni por ningún aspecto de competencia ni nada que se asemeje. Cómo veis, acceder al router cómo admin y demás no es de mi interés. De veras, si me hubierais dado la password de principios, casi seguro que no hubiera hecho falta todo este esfuerzo.

🗨️ 25
Xevi López
🗨️ 23
Xevi López
🗨️ 21
Julz
🗨️ 1
Xevi López
🗨️ 7
Julz
🗨️ 6
Xevi López
🗨️ 5
Julz
🗨️ 1
Xevi López
🗨️ 1
Xevi López
🗨️ 8
Xevi López
🗨️ 6
Xevi López
🗨️ 4
Julz
Xevi López
🗨️ 1
Julz
Aeri

Perfecto, muchas gracias, había pensado que era necesaria obtener esa captura.

¿Ahora solo nos queda un método para sacar el IDONT Password y deshacernos del router de Adamo, comentaste que lo obtuviste de otra forma pero entiendo que un técnico simpático es la solución verdad?

Saludos.

🗨️ 10
dSStripanteL

El técnico me dio algunas pistas de la password SIP, y no me “timó” así que se puede decir que la gente de Adamo engañar no engaña :P Pero también me “picó” (o me motivó) al decirme que había otras formas de obtener los parámetros, que si miras por internet y sabes un poco del tema que lo sacas… Y yo, pero si ya he mirado por internet y no hay nada… el post de entrar como admin pero ya no va… No irá por ahí la cosa? A lo que me dijo, no… no va por ahí pero que más info no me podía dar.

Ya fue un dato bueno saber que la pass SIP tiene 8 dígitos, a lo que añado que en mi caso se compone de minúsculas y mayúsculas, pero no hay números, será que no me ha tocado ninguno? Quizás… Ya me diréis si alguno quiere compartirnos esa info, si coincidimos con que somos a-z, A-Z o existe la posibilidad de además poder tener 0-9.
Al tener el router Inteno EG200 (ojo, EG no DG según el manual oficial, que viene a ser lo mismo, pero sin puerto ADSL y con uno menos de RJ-11) ya se puede prescindir de él. Para la ONT, al estar separado, creo yo que si lo haces por hardware, con un USB-TTL y un multímetro (como los que se ven sostenidos en mis manos al principio del video) podría ser que suene la “flauta”…

Tienes experiencia en eso? Yo no, y no parece difícil, creo que no hay que tomarlo como una cirugía precisa, pero hay que tener cuidadín de que la punta del “lápiz” no haga cortocircuito! Que si te quedas sin ONT… estás más jodido que una lombriz intentando hacer el pino ;P

🗨️ 9
Aeri
1
🗨️ 8
BocaDePez
BocaDePez
1
🗨️ 6
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Muchas gracias por el video y el minitutorial que has escrito mas abajo, ya tengo mi clave sip gracias a ti. Ahora me surge una duda, y es que tengo un sistema de wifi mesh el cual me funciona perfectamente conectado a la ont directo y configurandole la vlan 603, pero no me funciona el telefono (logicamente) y buscando por internet he dado con este tema.

No se muy bien como formular esta pregunta pero creo que se entendera.

¿Hay algun "aparato" que solo sirva para tener el telefono separado del router? es decir tener la ont de fiberhome, ese aparato para el telefono y un router neutro o wifi mesh como es mi caso, y asi poder meter el inteno en su caja. Gracias

🗨️ 12
dSStripanteL
2

¡Gracias a ti compi! :) Me alegra mucho ver que os funciona y que queráis exprimir sus funciones.

Tu pregunta es muy clara y tiene respuesta afirmativa. Para aclarar las cosas, he hecho un par de “dibujitos” con dos posibles sugerencias de configuración (o presentación, cómo las que solemos ver en platos, postres… :P). Cómo nota, todo esto esta basado en el router que estoy usando yo, un Synology RT2600ac pero no quiere decir, que se limite a funcionar sólo con este “aparato”, se puede emplear otros dispositivos, si estos cuentan con sus capacidades para soportar la configuración que Adamo brinda.

En la sugerencia 1: Se utiliza el Inteno como adaptador ATA y así poder usar un teléfono convencional (esos con su clavija rj11). En este caso, si solo quieres usar tu fijo habitual, no necesitarás de la password de la SIP.

rt2600ac-inteno-eg200-case1.png

En la sugerencia 2: Aquí sí podrías prescindir del Inteno (pese a sus buenos “Intentos” :P) y guardarlo en su cajita (consejo: cuídala/lo ;) ). Y usar un cliente SIP o un teléfono pero dotado de SIP “puro y duro” vamos con su clavija RJ45. Aquí, el puerto 4 del Synology (en este caso) está sin tagear, lo que significa, que el dispositivo que conectes pasara a estar en esa red exclusiva (VLAN 630) pero el dispositivo conectado, no necesita “distinguirse” como tal (ya que no se trata de una troncal o trunk). El dispositivo que conectes, si está en DHCP, debe de darte una IP del tipo 172.18.X.X y si usas un PhonerLite, en el “Bonus Track” del vídeo verás lo sencillo que es su configuración en modo de asistente.

rt2600ac-inteno-eg200-case2.png

Nota: La configuración de las VLAN corresponde al panel vía web del synology router.

Espero que sea útil esta info y haya sido lo suficientemente entendible ¡las redes pueden llegar a complicarse muy mucho! Jeje

Un fuerte abrazo

🗨️ 11
BocaDePez
BocaDePez
1

Buenas Gerard:

Lo primero, darte las gracias por tu esfuerzo y dedicación, da gusto ver como lo haces paso a paso, y lo bien que explicas todo.

Lo segundo, estaba pensando en pillarme algun router, entre el netgear xr500 y el asus rt-ax88u basicamente, y usarlo como en la sugerencia 1, dejando al Inteno solo para el telefono, ya que el que tengo es convencional, y dejando al router nuevo que gestione el resto de las conexiones, pc, htpc y nas, ya que creo que lo hara de forma mas eficiente que el Inteno, que le veo un poco flojo. El caso es que no estoy muy seguro de cuales son las caracteristicas tengo que mirar en la web del router para que me permita hacer lo de la sugerencia 1, como el RT2600ac, ¿que permita hacer vlan en los puertos?

Saludos

🗨️ 1
dSStripanteL
1

Muy buenas;

Muchísimas gracias :) Me encabezoné porque no comprendía que algo tan sencillo como un dato mío tuviera tanta complicación… Y ojo, es bueno que sea difícil, es más, debería de ser imposible (en un mundo perfecto) pero a cambio, que te faciliten la password por la vía más correcta que toque (porque es tuyo, y "pagarás" por ello).

Sobre los routers que comentas:

Le eché un ojo a las especificaciones, y ciertamente no deja claro si pueden "taggear" los puertos para que los "barcos" fluyan a sus anchas. Como al Inteno no "podemos" tocarlo, es necesario que el nuevo router permita poner un puerto en modo trunk/taggeado.

No he tenido un Asus ni un Netgear. Sí sé que los Asus se les puede meter el sistema "merlin", pero claro, es tener las ganas de meterle mano a buen fondo, no es algo que sea complicado, pero no nos engañemos, su tiempo se necesita si lo quieres hacer con cautela y no dejarlo como "ladrillo".

Yo sí jugué con un router buffalo (para sustituir el router de Movistar en su día) que le metí el sistema Gargoyle (basado en OpenWRT) y allí tienes libertad total para "taggear" o "untaggear", etc.

Es una pena que cada router sea un laberinto en lo que a funciones avanzadas se refiere… Quizá uno de los mejores “chismes” para poder hacerlo todo, sería un Surf SOHO de Pepwave. Esto lo vi aquí routersecurity.org/pepwavesurfsofo.php , las experiencias las cuenta Michael Horowitz que empezó a preocuparse por la seguridad de los routers al ver las vulnerabilidades que surgían…

La verdad es que yo, al adquirir el Synology RT2600AC tampoco las tenía todas! También han ido actualizando “cosillas”. Me decanté por él porque tengo un NAS también Synology y estoy contento en general.

Un saludo y fuerte abrazo

BocaDePez
BocaDePez

Hola, si se usa la sugerencia 1, el router de Adamo, que se usaria para usar el telefono convencional por el RJ11, tambien podria usarse para navegar al conectar a su wifi o a los puertos ethernet?

O no seria posible, dado que el trafico de ese puerto de de red del RT2600, el trafico va por la VLAN 630 y solo se podria usar para dar el servicio de VoIP?

Saludos

🗨️ 6
Xevi López
1

Perdon, no estaba logeado al postear la pregunta

Hola, si se usa la sugerencia 1, el router de Adamo, que se usaria para usar el telefono convencional por el RJ11, tambien podria usarse para navegar al conectar a su wifi o a los puertos ethernet?

O no seria posible, dado que el trafico de ese puerto de de red del RT2600, el trafico va por la VLAN 630 y solo se podria usar para dar el servicio de VoIP?

Saludos

🗨️ 5
BocaDePez
BocaDePez
1
🗨️ 2
BocaDePez
BocaDePez
BocaDePez
BocaDePez
1

Muy buenas a todos,

Muchas gracias dSStripantel por tu esfuerzo y sobre todo por compartirlo con la comunidad,el vídeo ha quedado genial,yo finalmente lo hice entero en windows, pero ha quedado muy "Hacker" :)

Bueno simplemente quiero añadir mi granito de arena a esas pruebas que la gente esta haciendo.El fin de esta explicación es conseguir quitar totalmente el router de adamo DG200 que no la ont...y poner el router "decente" que uno quiera y que el teléfono siga funcionando....con este método no se puede poner el EG200 como sip , hay que hacer otra configuración.

De esta manera vamos a tener llamada en espera,conexiones de voz mucho mucho mas rapidas,mejor calidad de sonido, contestar una llamada si se esta hablando,hacer 2 llamadas simultaneas,mientras una linea habla la otra puede recibir y hacer llamadas....vamos como si fuera una centralita pero sin sobrecoste.

Mi hardware:
Router: Asus RT-AC68U (amazon)
Sip Adapter: Linksys pap2t (amazon)

Lo primero que necesitamos es configurar nuestro router creando las nuevas vlans:

image.png

En el puerto 1,conectaremos nuestros dispositivos para Internet y en el puerto 2 conectaremos el "sip"
El puerto wan del router "asus" directamente a la ONT de adamo.
Y en el SIP en el phone 1 conectamos nuestro teléfono,linea, base inalambrica...vamos lo que tengamos.

Así de simple internet ya estaría funcionando, lo bueno es que por defecto el asus al montar las VLAN las monta Untagged que es justo lo que necesitamos.

Ahora vamos a por la SIP,lo ponemos en advance view

Vamos a la pestaña Regional y cambiamos los siguientes valores:

  • Dial Tone: 425@-19;10(*/0/1)
  • Busy Tone: 425@-19;10(.2/.2/1)
  • Reorder Tone: 425@-19;10(.2/.2/1)
  • Ring Back Tone: 425@-19;*(1.5/3/1)
  • Hook Flash Timer min: 0.06
  • Hook Flash Timer min: 0.2

Esto es para que el sonido del tono sea el que tenemos en España, el todo de linea, comunicando etc...y el hook flash timer es para que la tecla R de nuestro teléfono funcione, permitiendo poder poner llamadas en espera y coger llamadas mientras hablamos.

Ahora vamos a configurar "las" lineas, nos vamos a la pestaña Line 1:

  • Line Enable: yes
  • NAT Mapping Enable: no
  • NAT KeepAlive Enable: yes
  • NAT Keep Alive Dest: $PROXY
  • SIP Port: 30000
  • SIP 100REL Enable: yes
  • Proxy: 91.126.224.9
  • Outbound Proxy: 91.126.224.9
  • Use Outbound Proxy: yes
  • User ID: **********.voip.adamo.es
  • Password: ***********
  • Preferred Codec: G729a
  • Dial Plan: (112S0|[689]xxxxxxxxS0|*x.|00[1-9]x.)

Ahora cambiamos el Sip del puerto 2 al puerto 4 del router, lo reiniciamos y la luz del Phone 1 ya debería encenderse, por que ya tendríamos la linea funcionado con sus correspondientes servicios activados.

Enhorabuena!!!!

Ahora para sacarle mas partido a la SIP yo lo que he hecho es aprovechar la linea 2, de esta forma si alguien esta hablando por la linea 1 , la linea 2 seguiría funcionado igual, con el mismo numero de teléfono e incluso si alguien llama estando la linea 1 ocupada sonaría la 2 y se podría contestar.

La configuración es la misma en la pestaña line 2 que en la 1.

  • Line Enable: yes
  • NAT Mapping Enable: no
  • NAT KeepAlive Enable: yes
  • NAT Keep Alive Dest: $PROXY
  • SIP Port: 30000
  • SIP 100REL Enable: yes
  • Proxy: 91.126.224.9
  • Outbound Proxy: 91.126.224.9
  • Use Outbound Proxy: yes
  • User ID: **********.voip.adamo.es
  • Password: ***********
  • Preferred Codec: G729a
  • Dial Plan: (112S0|[689]xxxxxxxxS0|*x.|00[1-9]x.)

Lo único malo es que habría que poner 2 bases inalambricas de 2 teléfonos a las 2 lineas. Si tenéis unos gigaset compráis por wallapop unos teléfonos con bases y dejáis esas bases de "servidores" y por 10 € asunto apañado.

Lo he intendado explicar lo mejor posible, espro que al que lo pruebe le funcione todo a la primera!!!

Un saludo a todos y muchas gracias por la comunidad sobre todo a ti dSStripantel.

Talixme.

Scssd

Muchas gracias por la explicación tan buena.

Yo confirmo que con el router Asus AC68U (que en apariencia es igual a ese synology) no he sido capaz de conseguir la sugerencia 1. Supongo que porque el Asus no permite montar las VLAN tagged, las monta untagged directamente y no da opción alguna. Con lo cual, internet tenía (por cierto, a peores valores que conectando el Asus a través del puerto 4 del inteno) pero no conseguía que el tlf funcionase (conectado al puerto 4 del Asus).

BocaDePez
BocaDePez
1

Felicidades y muchas gracias por el video!

Tengo unas dudas..

¿Se puede sacar los datos del Sip y del password solamente de la Ont que viene por separado? ¿O tiene que ser del router+ ont integrado? Estaba pensando cambiar la Ont y poner una de Ubiquiti .

Un saludo!

🗨️ 56
BocaDePez
BocaDePez
2

Ya me han instalado adamo y os informo, la history es

1. La password de la ONT es la direccion mac, es decir no lleva password PON, se identifican por direccion mac, (parte buena para los tecnicos, es mas facil y rapido; parte mala, cambiando la mac por fuerza bruta o con una ont que lo permita puedes hacerte pasar por otro abonado dentro de la misma OLT si aciertas la mac de otro usuario o si la sabes.

2. No dan la password del root del puñetero router, es una m.. no puedes cambiar ni el rango lan del dhcp y mucho menos, en parte solucionado porque he pedido ip fija y me la han asignado al puerto 4, en donde pondre un firewall y de hay al server, pero una m tener que hacer todo esto.

No he cogido telefono porque prefiero algo VoIP, pero en la provision famosa esta que auto descarga sacada por DSStripanteL, esta el password root?, ya que no he tenido tiempo pa ponerme a ello, o me tengo que desmontar y entrar por puerto serie a consola?, o peor si esta capado tambien, desoldar la puñetera memoria y meterla a programador para leer todo a lo bestia?

Saludos.

🗨️ 55
dSStripanteL

Very interesting history :D !
Lo de la MAC de la ONT es un buen datazo, muchísimas gracias por compartirlo, así que, no vale la pena de acceder vía terminal, teniendo su “caja” original por ejemplo (si da palo mirar debajo del FiberHome) donde venía el chisme, es suficiente para hacerte con la MAC.

Lo de la pass del root, es otro parámetro muy llamativo, y que va... no aparece en el ficherin del aprovisionamiento :( Lo de la SIP ya me llevó meses… (sólo tenía como objetivo sacar eso entre ceja y ceja) iba descartando hasta que me tope con este método (aventuras varias entre seguir rastros, probando vulnerabilidades que ya estaban corregidas, y seguir probando…), pero estuve en un tris de “meterme en el ajo” vía USB-TTL, me compre lo necesario, lo que… no estoy nada lucho en ese rollete! :P Subí una foto aquí de como es por dentro, tú sabes cómo identificar la consola/serie ahí? Aquí esta del hilo:
El amigo Inteno DG200A-AC ha decidido lucir un poquitín su…
Me equivoque poniéndole el nombre a la foto, no es el DG200… es el EG200 (viene a ser prácticamente lo mismo).

Si deseas meterte en la aventura hardweril, mucha suerte compi, es bueno conocer esa parte.
Y oye, lo de desoldar la memoria suena muy heavy! Pero si sabes y/o tienes experiencia adelante, yo no tengo agallas para eso, al ser mi único “conejillo de indias” si me quedaba sin él, hubiera sido un fiasco de los mayores :S.
Ah! Y si lo logras, compártelo porfa con nosotros, te lo agradeceremos mogollón :)

Un saludo y fuerte abrazo

🗨️ 42
BocaDePez
BocaDePez
1

Actualiso 2.0:

Nada en la provision no esta, he probado a hacer login con el auth, tambien a probar el modo failsafe de openwrt pero no entra, lo que si entra es en modo flash, pero para eso se necesita el archivo .bin con el firmware, mas alante hare pruebas con una ont jawei y con el hgu de vomi aer si puedo hacerlas sincronizar probando la mac de varias maneras.

De todas formas todos los inteno por lo visto tienen el mismo pw de root/admin, o eso les he sacado a los de soporte :P

Aer si entre todos podemos que nos conviene, sobre todo a los que sabemos configurar bien y nos gusta tener controlados los puertos y los temitas de seguridad, que lo de no saber no me hace mucha gracia, luego viene lo que viene.

Lo unico que me queda es entrar por rs232 ttl, no lo he abierto, las patas se sacan y tiene tornillo o va a presion?.

La ultima es ir a por la flash y entrar en root como si fuera un pendrive, pero casualidad no tengo ese zocalo peeeero me sale mas barato que comprar otro router.

🗨️ 41
BocaDePez
BocaDePez
1
🗨️ 39
BocaDePez
BocaDePez
1
🗨️ 38
BocaDePez
BocaDePez
1
🗨️ 3
BocaDePez
BocaDePez
1
🗨️ 2
BocaDePez
BocaDePez
1
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
1
🗨️ 30
BocaDePez
BocaDePez
1
BocaDePez
BocaDePez
🗨️ 27
BocaDePez
BocaDePez
🗨️ 26
BocaDePez
BocaDePez
🗨️ 2
Julz
1
Julz
🗨️ 19
BocaDePez
BocaDePez
🗨️ 18
Julz
1
🗨️ 16
Julz
🗨️ 14
Julz
🗨️ 12
Julz
BocaDePez
BocaDePez
🗨️ 1
Corocotta
🗨️ 6
Corocotta
xerpi
🗨️ 3
BocaDePez
BocaDePez
🗨️ 1
Corocotta
BocaDePez
BocaDePez
BocaDePez
BocaDePez
1
🗨️ 1
Julz
🗨️ 1
CincuentaPQuince

He probado loguearme como admin/"direccion mac" y root/"direccion mac", pero nada.

Va la mac tal cual, sin los ":", no? Por telnet tampoco podia

ont.jpg
🗨️ 11
Julz

No la mac no es, es en la etiqueta el que empieza por FHTTxxxx, en hex, ese es el SN. Si lo editas en el ZTE, tendras acceso.

No consigo ejecutar el xploit, que software tiene tu inteno?, me da error el script.

🗨️ 10
Julz
🗨️ 8
Julz
Julz
🗨️ 2
Julz
Alferez
🗨️ 1
Tars
1

Buenas,

Antes de nada felicitar a dSStripanteL por las excelentes explicaciones. También estoy buscando mi password SIP. Yo dispongo de fibra de Adamo pero veo que mi router es el antiguo que viene con la ONT incluida (Zhone 2426) y no tengo claro si es posible realizar lo mismo. Con mi usuario user no veo ninguna configuración SIP por ninguna parte, imagino que lo han capado.

Mi modelo es: adamo.es/manuales

🗨️ 3
dSStripanteL
1

Muchas gracias Tars! Lo hago con toda pasión y cariño :D

Pues en ese chisme, al no tenerlo bajo mi mando, no sé cómo funca :S
Igual puedes probar, sacando la MAC de tu router y probar a ver si al menos se “aprovisiona” como los DG/EG200 routers nuevos.. de Inteno¿
inteno-provisioning.adamo.es/XXXXXXXXXXXX.enc
Donde XXXXXXXXXXXX es tu mac del router, sin los dos puntos y todo mayúsculas, a ver a ver... Luego si en algún lugar te parece ver cómo una especia de clave de 16 dígitos, ese sería la clave “DES”

En el foro ví que se habla de numerosas combinaciones para acceder al router, pero parece que las van cambiando?
Oye y sino… pedir que te lo cambien, por rendimiento o wifi.. jeje por probar… :P

Un saludo y fuerte abrazo

🗨️ 1
Tars
1

Muchas gracias de nuevo por la información dSStripanteL, intentaré lo que comentas. No obstante, yo creo que lo mejor es cambiar al DG/EG200 de Inteno.

BocaDePez
BocaDePez
2

Fredrik Gillstrom (@AdamoTelecom) approves this.

Necesitamos más vídeos como este en BA y ganas de aportar como @dSStripanteL.

🗨️ 1
BocaDePez
BocaDePez

Originalmente asi era la filsofia de adamo, solo que ahora que ha crecido, todo capado pa no liarse.

Estherilla

A título de curiosidad, y esto más bien para @Josh , el vídeo no se ve. Sólo se ve un hueco vacío. Usando otro navegador sí. No sé si será por el AdBlock.

Nosferatu85r
1

Buenos dias compañeros!

Para conectar el Usb con los pines, tiene que ser al Router conectado a la Ont, o solamente al Router y el Cable de la fibra desconectado?

🗨️ 1
dSStripanteL

Buenas compi!

Creo que de momento la intención es poder saber la pass de Admin/root o bien darle “el cambiazo”, entonces, no debería ser requisito el que esté la ONT conectada, digo yo… ! :S

Un saludo y fuerte abrazo

Talixme
1

Muy buenas a todos,

Muchas gracias @dSStripanteL por tu esfuerzo y sobre todo por compartirlo con la comunidad,el vídeo ha quedado genial,yo finalmente lo hice entero en windows, pero ha quedado muy "Hacker" :)

Bueno simplemente quiero añadir mi granito de arena a esas pruebas que la gente esta haciendo.El fin de esta explicación es conseguir quitar totalmente el router de adamo DG200 que no la ont...y poner el router "decente" que uno quiera y que el teléfono siga funcionando....con este método no se puede poner el EG200 como sip , hay que hacer otra configuración.

De esta manera vamos a tener llamada en espera,conexiones de voz mucho mucho mas rapidas,mejor calidad de sonido, contestar una llamada si se esta hablando,hacer 2 llamadas simultaneas,mientras una linea habla la otra puede recibir y hacer llamadas....vamos como si fuera una centralita pero sin sobrecoste.

Mi hardware:
Router: Asus RT-AC68U (amazon)
Sip Adapter: Linksys pap2t (amazon)

Lo primero que necesitamos es configurar nuestro router creando las nuevas vlans:

image.png

En el puerto 1,conectaremos nuestros dispositivos para Internet y en el puerto 2 conectaremos el "sip"
El puerto wan del router "asus" directamente a la ONT de adamo.
Y en el SIP en el phone 1 conectamos nuestro teléfono,linea, base inalambrica...vamos lo que tengamos.

Así de simple internet ya estaría funcionando, lo bueno es que por defecto el asus al montar las VLAN las monta Untagged que es justo lo que necesitamos.

Ahora vamos a por la SIP,lo ponemos en advance view

Vamos a la pestaña Regional y cambiamos los siguientes valores:

  • Dial Tone: 425@-19;10(*/0/1)
  • Busy Tone: 425@-19;10(.2/.2/1)
  • Reorder Tone: 425@-19;10(.2/.2/1)
  • Ring Back Tone: 425@-19;*(1.5/3/1)
  • Hook Flash Timer min: 0.06
  • Hook Flash Timer min: 0.2

Esto es para que el sonido del tono sea el que tenemos en España, el todo de linea, comunicando etc...y el hook flash timer es para que la tecla R de nuestro teléfono funcione, permitiendo poder poner llamadas en espera y coger llamadas mientras hablamos.

Ahora vamos a configurar "las" lineas, nos vamos a la pestaña Line 1:

  • Line Enable: yes
  • NAT Mapping Enable: no
  • NAT KeepAlive Enable: yes
  • NAT Keep Alive Dest: $PROXY
  • SIP Port: 30000
  • SIP 100REL Enable: yes
  • Proxy: 91.126.224.9
  • Outbound Proxy: 91.126.224.9
  • Use Outbound Proxy: yes
  • User ID: **********.voip.adamo.es
  • Password: ***********
  • Preferred Codec: G729a
  • Dial Plan: (112S0|[689]xxxxxxxxS0|*x.|00[1-9]x.)

Ahora cambiamos el Sip del puerto 2 al puerto 4 del router, lo reiniciamos y la luz del Phone 1 ya debería encenderse, por que ya tendríamos la linea funcionado con sus correspondientes servicios activados.

Enhorabuena!!!!

Ahora para sacarle mas partido a la SIP yo lo que he hecho es aprovechar la linea 2, de esta forma si alguien esta hablando por la linea 1 , la linea 2 seguiría funcionado igual, con el mismo numero de teléfono e incluso si alguien llama estando la linea 1 ocupada sonaría la 2 y se podría contestar.

La configuración es la misma en la pestaña line 2 que en la 1.

  • Line Enable: yes
  • NAT Mapping Enable: no
  • NAT KeepAlive Enable: yes
  • NAT Keep Alive Dest: $PROXY
  • SIP Port: 30000
  • SIP 100REL Enable: yes
  • Proxy: 91.126.224.9
  • Outbound Proxy: 91.126.224.9
  • Use Outbound Proxy: yes
  • User ID: **********.voip.adamo.es
  • Password: ***********
  • Preferred Codec: G729a
  • Dial Plan: (112S0|[689]xxxxxxxxS0|*x.|00[1-9]x.)

Lo único malo es que habría que poner 2 bases inalambricas de 2 teléfonos a las 2 lineas. Si tenéis unos gigaset compráis por wallapop unos teléfonos con bases y dejáis esas bases de "servidores" y por 10 € asunto apañado.

Lo he intendado explicar lo mejor posible, espro que al que lo pruebe le funcione todo a la primera!!!

Un saludo a todos y muchas gracias por la comunidad sobre todo a ti @dSStripanteL.

Talixme.

🗨️ 30
dSStripanteL
1

Oleee que currado @Talixme crack!! Eso es lo que mola, aprovechar legalmente las cosas con los aparatejos que a cada uno más le guste! :D .

Muchísimas gracias a ti, yo no sabía eso de la R (¿será la rellamada no?) del Hook Flash Timer y lo del sonido del tono como en España, eso quiere decir que según como sea el sonido se puede saber de qué país? Muy interesante!
Y muy bien explicado todo y con dibujito included :) .

Me alegro que te haya gustado el vídeo, eso pretendía jeje un toque “hacker” cómo mejor hemos sabido, inspirado en parte de la serie Mr.Robot.

Un fuerte abrazo

🗨️ 29
Talixme
1

Voy a aprovecharme de ti un poco mas :) a ver si se te ocurre algo:

Estoy intentando usar el movil por wifi para usarlo como cliente de voip. Con el router de adamo funciona perfectamente, me conecto por wifi y me valido sin problemas.El problema viene con el asus, ni por wifi ni por cable me deja acceso a la vlan 630, solo el puerto que este conectado físicamente tiene acceso. Lo curioso es que el de adamo si comparte la vlan tanto por wifi como por cable. Se te ocurre alguna config que me este comiendo? Muchas gracias @dSStripanteL.

🗨️ 28
Julz
1

Vaya aventuras con el Inteno!, si mirais al cielo y veis uno volando como spider cerdo de los simpson, es el mio.

Resulta que el router tiene "reglas" que no se ven pero estan, con todos los puertos abiertos, dmz, etc. hasta la hora de ahora, es decir 5.15am, y desde la tarde..., me ha vuelto loco para poder conectarme a mi servidor con una VPN SSTP/IPSec, error error error... reconfigurar todo, cambiar certificados, probado de todo, error error y error.

Al final pienso, no tendra algun p. filtrado que no aparece pero "esta", como en otros routers, que abres puertos pero hay unas opciones para dar paso a conexiones vpn, las marcas y ya.

Pues al final me harto y quito el inteno, configuro vlan 603 en la tarjeta de red, conecto y pruebo... Resultado? Funciona.

Resumen, todo un dia perdido por que no dejan entrar como admin, no se si saben, pero esto me pasa en una empresa y propongo cambio de operador ipsofacto, perdiendo adamo un cliente porque piensan que asi es mejor. Las demas no te dan los datos, pero si te dejan entrar y sacarlos. Y si el contrato es de empresa, te los dan todo toditos llamando a soporte sin terminar de decir "necesit" -Apunta es: xxx.

P.D: Me recomendais algun router potente pero barato?, ando k.o para buscar ya. No necesito que tenga wifi ya que el ap esta en otro sitio, no me sirve que tenga wifi en el sitio que esta. Si es con un SFP, para la wan mejor.

QUE POR CIERTO: Con otra ont, es decir cualquiera que no sea la que dan, he conseguido mejores test de velocidad y 2ms menos de latencia. Vamos que de traca, y eso poniendole el inteno despues.

youtube.com/watch?v=ONpDdvXoZXY

🗨️ 25
Talixme
🗨️ 24
Julz
1
BocaDePez
BocaDePez
🗨️ 21
BocaDePez
BocaDePez
🗨️ 19
BocaDePez
BocaDePez
🗨️ 17
apocalypse
🗨️ 16
BocaDePez
BocaDePez
🗨️ 15
Julz
🗨️ 14
BocaDePez
BocaDePez
🗨️ 10
BocaDePez
BocaDePez
BocaDePez
BocaDePez
🗨️ 8
BocaDePez
BocaDePez
🗨️ 7
BocaDePez
BocaDePez
🗨️ 6
BocaDePez
BocaDePez
🗨️ 5
BocaDePez
BocaDePez
🗨️ 4
BocaDePez
BocaDePez
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
Julz
Xevi López
🗨️ 2
Julz
🗨️ 1
dSStripanteL

Sin problema @Talixme ! Esperamos poder ser reaprovechables!! :D .

Creo que debería de implementarse una ruta estática.

Esto es lo que se extrae del fichero de aprovisionamiento del Inteno “/etc/config/firewall” (la parte del firewall):

config zone
	option output 'ACCEPT'
	option forward 'REJECT'
	option name 'mgmt'
	option input 'REJECT'
	option masq '1'
	option mtu_fix '1'
	list network 'POTS'

config forwarding
	option src 'lan'
	option dest 'mgmt'

Imagino, que la parte del fichero de red “/etc/config/network” (que no sé cómo estará). Tendrá esta ruta configurada:

config route
        option interface 'mgmt'
        option target '91.126.224.9'
        option netmask '255.255.255.255'
        option gateway '172.18.0.1'

Si tienes “Merlin el encantador” deberías de emplear en la interfaz de la voip que el destino a llegar sea 91.126.224.9 con su máscara 255.255.255.255 (o bien /32) y el Gateway el que coge el voip, no sé si será ese mismo 172.18.0.1.

A ver si funciona bien :)

🗨️ 1
BocaDePez
BocaDePez
Julz

Ahora se me acaba de ocurrir una cosa como siempre a estas horas raras, si podemos descifrar la provision, me imagino que tambien podemos hacer lo contrario, la cuestion es, y si en la provision metemos la orden de cambiar la password? Y luego se la servimos al router por la puerta grande, ya que todo lo que esta en la provision el router se lo come, por lo que podriamos crear nuestra config personalizada, y emularla en la wan para que cargue la nuestra

🗨️ 4
Julz

Ni caso al adjunto, esta basado en comandos UCI de openwrt, pero en linux me pierdo un poco, @dSStripanteL me da que controlas mas sobre eso. xD, la idea seria meter el comando en la provision y pegarle el swap aer que pasa, cambiando la del usuario "support" que viene de fabrica y intentar sacar la "master password" para todos.

🗨️ 2
dSStripanteL

Bueno se puede controlar hasta donde nos dejen controlar :P !

Esa idea no es para nada alocada, poca broma @Julz pero esto que planteas es interesante y puede rular a “buenas revoluciones”.
Una vez desencriptado el fichero de aprovisionamiento, se puede alterar, comprimir con .tar.gz y volver a encriptar usando el siguiente comando:

openssl enc -e -des-ede -nosalt -k $KEY -iv "0000000000000000" -in XXXXXXXXXXXX.tar.gz -out XXXXXXXXXXXX.enc

La idea es poner código en el Provisioning.conf que pueda ser ejecutado (al principio, entre medio o al final…). Veo que tiene un par de líneas que contienen “package …”.

Entonces el rollo/teoria sería algo así como:
1. Hacer un Machine-in-the-Middle.
2. Correr un servidor web, tipo apache y poner allí el fichero XXXXXXXXXXXX.enc ya modificado.
3. Hacer un DNS Spoof del host inteno-provisioning.adamo.es que apunte a la misma máquina que está haciendo el MitM (que también corre a su vez el web server).
4. Esperar a que se lo trague y que ejecute el comando malicioso.

Ahora el tema es, que comando poner y si realmente lo ejecutará como se esperaba…

🗨️ 1
CincuentaPQuince

Se podria probar un comando como touch hola.txt en /mnt/usb o samba

BocaDePez
BocaDePez

He perdido acceso admin,y el exploit del usb con shell.sh ya no funciona. Alguien mas?

BocaDePez
BocaDePez
1

Hola,

En primer lugar muchas gracias a dSStripanteL por el video, el documento y las explicaciones posteriores. Estás hecho un aténtico Mr. Robot.

Estoy teniendo problemas para bajar el .enc usando el wget y obtengo un Internal server error: (he puesto * en mi MAC pero uso la MAC del router y el User-Agent

wget (link roto) -U "EG200-WU7P1U_ADAMO3.16.0-181016_1235:UBIFS" -d

DEBUG output created by Wget 1.20.3 on linux-gnu.
Reading HSTS entries from /home/rubiobo/.wget-hsts
URI encoding = ‘UTF-8’
Converted file name '************.enc' (UTF-8) -> '************.enc' (UTF-8)
--2020-01-17 11:35:08-- (link roto)
Resolving inteno-provisioning.adamo.es (inteno-provisioning.adamo.es)... 91.126.224.22
Caching inteno-provisioning.adamo.es => 91.126.224.22
Connecting to inteno-provisioning.adamo.es (inteno-provisioning.adamo.es)|91.126.224.22|:80... connected.
Created socket 3.
Releasing 0x00007fffdf309e80 (new refcount 1).
---request begin---
GET /************.enc HTTP/1.1
User-Agent: EG200-WU7P1U_ADAMO3.16.0-181016_1235:UBIFS
Accept: */*
Accept-Encoding: identity
Host: inteno-provisioning.adamo.es
Connection: Keep-Alive
---request end---
HTTP request sent, awaiting response...
---response begin---
HTTP/1.1 500 Internal Server Error
Server: nginx/1.9.15
Date: Fri, 17 Jan 2020 10:35:13 GMT
Transfer-Encoding: chunked
Connection: keep-alive
---response end---
500 Internal Server Error
Registered socket 3 for persistent reuse.
Skipping 21 bytes of body: [Internal Server Error] done.
2020-01-17 11:35:10 ERROR 500: Internal Server Error.

Sabéis si se ha parcheado esto?

Estoy haciendo algo mal?

Muchas gracias por adelantado.

Os sigue funcionando a vosotros?

🗨️ 9
Julz

Vaya percal te estas montando, simplemente en el navegador (link roto) le das enter y se te descarga el archivo. Easy.

dSStripanteL
1

¡Muy buenas compi!

Gracias, y nada, Mr. Robot si es una muy buena inspiración para jugar con todas estas tramañas de bits :P.
Yo lo probé en una red externa y funcionó el wget con la suplantación del User-Agent. No sé si quizá en ese momento que probaste realmente estaba caído el servidor que ofrecía el ficherito .enc…
También funciona como dice @Julz y es fácil hacerlo vía navegador, pero sí el compi quería probarlo y esconder esa parte de la huella digital, está en su total derecho : )

Un fuerte abrazo
Be Good, Be Hackers

🗨️ 7
Rafa78BCN
1

Muchas gracias de nuevo a los dos.

@Julz lo he probado con el navegador y obtengo "Internal Server Error"

@dSStripanteL, lo he probado en varias ocasiones y no hay suerte. Has vuelto a probarlo recientemente? Puedo comprobar en la captura que hice con el MIM si el router de adamo si que recibe el archivo para descartar que sea un problema de su servidor?

🗨️ 6
Julz
1

A mi me funciona, es mas hasta fuera de la red de adamo turula. XDDD. me imagino que sabes que las ******** tienes que poner tu mac no?? (Todo junto y sin los : es decir si tu mac es AA:BB:CC:DD:EE seria como inteno-provisioning.adamo.es/AABBCCDDEE.enc) pq si no si que da el error que comentas. XD. Por cierto el user agent sera diferente desde la ultima actualizacion, copy paste desde la pagina del estado del router y lo tienes corregido.

🗨️ 4
Rafa78BCN
🗨️ 3
Julz
1
🗨️ 2
Rafa78BCN
🗨️ 1
Julz
dSStripanteL

Que hay @Rafa78BCN;
A mí cómo a @Julz, también me funciona tanto dentro de la red de ADAMO como fuera. Otra forma de cerciorarte de sí estas usando la MAC correcta, con el router de ADAMO pinchado, haces un ping al router y luego ves la MAC que tiene con el comando arp -a (sí lo haces desde un Windows).
También probé a poner en el User Agent del comando wget la versión del firmware acabado en :UBIFS bajo Kali linux versión de 2019.3 (cómo se mostraba en la captura del MiTM entre router y ONT).
Ya nos dices a ver si funciona bien :)

Un fuerte abrazo
Be Good, Be Hackers

Nosferatu85r

Estoy atascado y no se seguir mas, no se, si estare haciendo algo mal.

  1. Ya he descargado el archivo a traves de: inteno-provisioning.adamo.es/XXXXXXXXXXXX.enc
  2. Voy al F12 de la IP del Router:
var superSocket = new WebSocket("ws://192.168.1.1/", "ubus-json")
superSocket.onmessage = function (event) {console.log(event.data)}
superSocket.send(JSON.stringify({"jsonrpc":"2.0","method":"call","params":["00000000000000000000000000000000","session","login",{"username":"user","password":"wifis-password"}],"id":666}))

Y de resultado solo me sale esto {"jsonrpc":"2.0","id":666,"result":[6]}. Ya no me sale todo lo demas que sale en el video para obtener los 16 numeros esos…

🗨️ 2
BocaDePez
BocaDePez

Buenas tardes a todos, a mi a la hora de sacar los 16 digitos, en su lugar me aparece N/A… el router es el inteno

Julz

tienes el firmware nuevo, ese metodo ya no funciona, tienes que sacar la DES, mediante el puerto serie ttl

EmuAGR

Yo no soy de Adamo ni nada, pero he visto el tutorial y ha sido muy educativo. Por los comentarios veo que este método está ya parcheado.

No he podido evitar ver que el provisionamiento se hace usando la MAC del router, eso me da a entender que el router y el servidor de Adamo pueden ponerse de acuerdo en la clave de cifrado. ¿Alguien ha investigado cómo se calcula la clave a partir de la MAC?

🗨️ 2
BocaDePez
BocaDePez

Para eso necesitarias ingenieria inversa y acceso total al Firmware, complicado…

Y la otra forma seria teniendo cientos o miles de Mac y claves 3DES, aun mas difícil, ademas que no creo que vayan por ahi los tiros.

Por que que algun ingeniero de Adamo filtrase algo aun lo veo mas negro

dSStripanteL

Me alegro de que lo encuentres educativo compi 😊

Básicamente, este es el esquema de cómo lo tienen montado:

provisioning-adamo.png

Parece que la clave es exclusiva del router, hay un parámetro que aún no logro saber para que carajos lo usaran (si es que realmente lo usan), el auth que salía junto a la password WPA2 y a la clave 3DES (la que te permite descifrar tu fichero de aprovisionamiento). No sé si hacen un proceso algo “semi-manual” porque cuando te das de alta, vi al técnico anotar y repasar muy bien la MAC, tanto del router como el de la ONT.

Si deseas saber más info de esta aventura, puedes echarle un ojo al “White Paper” que me subieron en Exploit Database: exploit-db.com/docs/47397

Un saludo y fuerte abrazo!!

Julz

No hace falta el notepad ni calculadora hex, con el comando dm (creo) y un par de porrazos al enter, ya ves al lado derecho el ascii y enseguida reconoces el sn y las pass del wifi.

🗨️ 1
dSStripanteL

Tienes toda la razón compi!! No entiendo como no pude caer jeje. La columna última te lo da en ASCII y las otras están en hexadecimal… esas son las cosas que nos hacen ser humanos! :P

Un fuerte abrazo!!!

P.D.: Ya está cambiado

menosesmas

Buenas!

En primer lugar mil gracias @dSStripanteL por el tuorial y el disfrute del vídeo!

De quitarse el sombrero (rojo :-)

Estoy haciendo pruebas para extraer la SIP de un Inteno DG200 de Yoigo, el firm es de 2018, con lo que supongo que podría seguir el vídeo … pero me pareció muy interesante lo del USB-TTL y compré el adaptador.

El firm no se ha actualizado, con lo que creo que Yoigo tiene abandonados estos routers.

Todo es un poco diferente, pero similar. Entro en el CFE tras sólo 1 segundo de espera.

Al volcar la primera página de la memoria sale a partir de la dirección 000008e0 algunas claves interesantes como la contraseña WPA, el número de serie del router, y otros 2 que podrían ser la clave 3DES en la dirección que indicas 00000910… (no lo he comprobado aún si es o no, pero es prometedor)

Como he visto en el BONUS TRACK que las credenciales SIP aparecen en claro en algún lado de la memoria, ese me ha parecido el método más rápido que probar … sin embargo al volcar la dirección donde las has encontrado tú, no están ahí → dn 0x3144000 1

¿Hay alguna forma de volcar la memoria completa a través de PuTTy al PC para buscarlas ahí?, o…

¿… mejor utilizar el comando "find" del entorno CFE para buscar una cadena que sabemos que está como "register =>"?, o …

¿mejor me busco el archivo XXXXXXXXXXXX.enc y abandono el USB-TTL?

Saludos y gracias!!!

02-putty-window-01.webp
🗨️ 1
menosesmas

Bueno, pues lo encontré.

Está claro que sin vuestra ayuda @dSStripanteL y @Julz hubiera sido imposible ya que sólo con un poco más lo he conseguido encontrar las credenciales SIP en otro lado de la memoria.

Mi objetivo era ir a lo más fácil que describía @dSStripanteL como BONUS TRACK. Pero como os comentaba en mi Router Yoigo Inteno DG200 era imposible encontrarlo en la misma dirección de memoria.

Viendo los comandos del CFE hay uno que es "find" cuya sintaxis es:

find [start block] [end block] [string]

Entonces como una de las palabras a encontrar es register, según el primer post, escribo:

find 0 300 register

Que me busca la cadena de texto "register" entre los bloques de la memoria NAND del 0 al 300

Y me devuelve una lista de búsqueda, donde lo interesante es esta línea maravillosa:

found match at block 0xb9, page 0x28, offset 0x198

Ahora, en mi incapacidad informática, me imagino que el bloque 0xb9 es el bloque 185 y la página 0x28 es la página 40, convertidos desde el hexadecimal en cualquier página web.

He visto que @dSStripanteL hacía los volcados de la memoria con la orden dn 0x00000000 1 así que con un poco de paciencia he localizado la página exacta 40 del bloque 185 que aparecen con el volcado siguiente dn 0x01734000 1

Y ahí está compañeros, las credenciales SIP de Yoigo, en el formato que comentó @dSStripanteL:

01734190: 63000000 00000000 72656769 73746572    c.......register
017341a0: 203d3e20 7564703a 2f2f2b33 34TTTTTT     => udp://+34TTT
017341b0: TTTTTTTT TTTT4069 6d732e79 6f69676f    TTTTTT@ims.yoigo
017341c0: 2e636f6d 3aPPPPPP PPPPPPPP PP3a6533    .com:PPPPPPPP:e3
017341d0: 34TTTTTT TTTTTTTT TTTT4069 6d732e79    4TTTTTTTTT@ims.y
017341e0: 6f69676f 2e636f6d 40736970 302f2b33    oigo.com@sip0/+3
017341f0: 34TTTTTT TTTTTTTT TTTT0a74 00000000    4TTTTTTTTT......

Gracias por compartir!