Al igual que el hilo de cómo sustituir el router de Digi, vamos a ver si entre los interesados de por aquí logramos sacar toda la información pertinente para poder usar el fijo de Digi sin el router que dan.
Estos son los datos que he sacado metiendo al wireshark entre el Zte y la ONT:
De momento, a no ser que alguien diga lo contrario, con firmware T8 o anterior, se puede obtener el config.bin, pero al descifrarlo, no hay datos de voip de Digi. Con firmware T10 ya no es posible ni obtener el config.bin.
Se me ocurre que tal vez con un switch con port mirroring, podrías capturar los datos de voip de Digi, además de obtener el usuario y contraseña de pppoe para poder utilizar en otro router.
Aproveché que estaba hurgando para quitar el router, hice una llamada y capturé el tráfico con el wireshark. Vi unas cuantas cosillas, pero no consigo configurar el ATA de Grandstream que he comprado.
Hay varios paquetes que hacen referencia a "ims.digimobil.es", algunos usando los 9 dígitos del teléfono que sea (pej., haciendo una llamada del fijo a mi móvil era y 6********ims.digimobil.es), pero no consigo ver nada que haga referencia a usuario o contraseña de VoIP. He intentando usar los mismos datos que para la conexión WAN, pero nada.
Estoy pensando echarle morro y directamente llamarles a ver si me proporcionan los datos.
Supongo que somos una minoría los que tenemos fijo y hemos quitado el ZTE.
Los datos más interesantes que he visto:
Las IDs parecen ser el número de teléfono , el puerto que usan, así como el servidor es 100.64.17.31:5060 (esta última IP la he visto asociada a dicho puerto) y también 10.30.5.69. El user agent es ZXHN H298A V1.0/V1.0.25_DIGI.1T10.
Más allá de eso, no he visto nada relacionado con contraseña/password. He intentando usar la misma que en la conexión de internet, pero nada. O bien me está fallando algún otro parámetro de la configuración, o lo tienen oculto de alguna manera.
Has probado a configurar la VoIP con esos datos? me refiero a probar con la contraseña vacia, quiza solo hace falta el usuario.
Lo de la contraseña vacía no lo he probado. El resto de datos los he combinado de todas las maneras que se me ha ocurrido y nada. Voy a probar...
La contraseña y el usuario estan cifrados en un hash md5 respectivamente.
Así que toca buscar alguna vulnerabilidad en md5, utilizar fuerza bruta contra este mismo md5 o localizar el archivo con la configuracion voip en texto plano en el router.
Suerte chicos!
He estado investigando.
Esta mandando la "contraseña" pero con el es.wikipedia.org/wiki/Digest_access_authentication
En uno de los paquetes podemos ver:
Nonce
Cnonce
Digest authentication response.Basicamente esta codificada, voy a buscar algun programa que intente sacarla por fuerza bruta.
Traigo buenas y malas noticias.
La buena es que se como romper la contraseña, la mala es que tarda más de lo que creia.
Hay un programa que se llama hashcat, esta para linux y windows.
tienes que crear un fichero con la siguiente linea:
$sip$*[URI_SERVER]*[URI_CLIENT]*[USERNAME]*[REALM]*[METHOD]*[URI_PREFIX]*[URI_RESOURCE]*[URI_SUFFIX]*[NONCE_SERVER]*[NONCE_CLIENT]*[NONCE_COUNT]*[QOP]*[DIRECTIVE]*[MD5]
que segun he configurado yo seria (no estoy 100% seguro que sea asi):
$sip$***+3491[mynum]@ims.digimobil.es*ims.digimobil.es*REGISTER*sip*ims.digimobil.es**[nonce]*[cnonce]*[nonce_count]*auth*MD5*[auth response]
El nonce cnonce auth response etc lo puedes sacar via wireshark de la peticion sip que tiene la cabecera esa de authorization.
luego lanzas el hashcat:
hashcat -a 3 -m 11400 file
file es el fichero con el hash que he puesto arriba.
Si tienes una GPU potente hasta las contraseñas de 7 caracteres va muy rapido, las de 8 me tarda en torno a 1 hora en sacarlas. De ahi para arriba seran días.
Espero que sea una contraseña de 8 caracteres sino estamos bien fastidiados.
Otra opcion seria enterarnos que forma tiene esa contraseña, que caracteres utiliza, el tamaño etc. De esta forma se puede simplificar mucho el ataque de fuerza bruta.
Estaria bien que alguien que tenga la contraseña y el paquete capturado nos lo diera para asegurarnos de que la configuracion del hashcat es correcta.
He encontrado esto en los datos capturados, no sé si ayuda. Ya me temía yo que tuvieran el PW encriptado los muy cabritos. Otro día con más tiempo y paciencia me pondré con el hashcat.
No es que lo cifren porque son "cabritos", es que el protocolo SIP funciona así.
La única manera razonable de abordar vuestro problema es abrir el router y conectaros por el puerto serie.
No tiene, que yo haya visto.
Si alguien sube un fichero para analizarlo con el hashcat, yo tengo un par de servidores que están ociosos... jejej me ofrezco voluntario para probar con el fichero de otro
No, no parece que tenga puerto de serie, (se abre muy facil).
Y la contraseña del voip no parece sencilla, al menos yo no la he sacado con 8 caracteres o menos.
Necesitamos alguien que nos diga que tipo de contraseñas estan usando, pero no se si alguien ha sacado la contraseña del voip.
Eso o pedirsela a digi, pero no creo que nos la den.
Puedo confirmar que el formato para el hashcat es:
$sip$*ims.digimobil.es**[username]@ims.digimobil.es*ims.digimobil.es*REGISTER*sip*ims.digimobil.es**[nonce]*[cnonce]*[nonce_count]*auth*MD5*[response]
esos datos se consiguen de la peticion que ha puesto @nfaguade.
Eso si no he conseguido la password, inicio el ataque pero la pass es complicada.
He usado caracteres a-z A-Z 0-9 de hasta 8 caracteres y nada, a partir de ahi el tiempo se va de las manos, unos 2 dias para sacar la pass de 9 caracteres.
Creo que seria muy sencillo si supieramos que tipo de contraseña estan usando, el formato, longitud etc.
Por ejemplo si fuera como la del PPPoE ya la habría sacado.
Lo voy a dejar de momento, cuando tenga tiempo intento hacer algun ataque de diccionario o con algun formato que se me venga a la mente como *@digi o *@digimobil.es o lo que sea.
Si teneis la remota idea de como puede ser la pass o conoceis a alguien que la haya sacado a traves del backup del router o algo asi me dariais la vida.
he conseguido conectar por el puerto serial del router, pero también han cambiado los accesos habituales de login por lo que imposible también por aquí encontrar la configuración de VOIP.
Mirando un sniffeo del arranque hay una linea donde dice que tiene que buscar una palabra en cierta posicion, de longitud 10, puede ser algo...
Yo documenté aquí cómo conectar con el puerto serie interno: Hola, pues yo al router ZTE le he intentado meter el firmware…
Se puede iniciar el modem en modo Boot, actualizar el firmware y acceder a unos comandos.
¡A ver si conseguimos avanzar un poco con el tema de la contraseña SIP!
no iban nada mal... mira: Router Neutro. Lo mínimo que debes saber: Obtener tus datos SIP (VoIP)
Saludos!
Buenas, supongo que seguimos sin avances respecto al telefono.
EL user y pass del Internet parecen fáciles de sacar.
ya tengo el user y pass lo datos de VLAN = 20 y Prioridad = no se si es 1 o 0
Prioridad 0
No es difícil si tienes un poco de conocimientos:
¿Habeís probado esto?
Como conseguir admin del router Sercomm H500-s de Vodafone después de la telecarga
Con el wireshark entre el router y la ONT, apaga la ONT, resetea el router a fábrica, enciende la ONT y espera hasta tener salida a Internet, luego analiza la captura del wireshark, los datos deberían estar por algún lado...
Pero eso es para sacar el user y pass admin del router, en nuestro caso aun entrando con esos datos no están los datos del voip si no me equivoco
Pillas toda la carga de la configuración del router, no solo el pass del admin sino tambien los servidores SIP, las credenciales, etc.
Es lo mismo que tengo puesto en la imagen del principio del hilo, está encriptado.
A ver,
Si los datos del VoIP (SIP) resulta que NO están en la configuración del router, entonces será porque se envían via TR-069.
Podéis intentar capturas los datos de la configuración TR-069 que creo se envía justo después de reiniciar el router.
En el archivo config tiene que estar la password del VoIP, si alguien que lo hubiera sacado en T8 lo puede confirmar sería una ayuda
Hola compañero he buscado en el archivo config pero no aparece la voz ip me temo, yo tambien la estoy buscando , en cuanto al admin antes del update se sacaba sin problema ahora complicado porque ni con reset te deja poder volcar la config con el USER.
de momento sigo corriendo, el hascat y en otro equipo el httpbrute
teniendo la contraseña de admin se podria intentar emular un servidor tr69 y que le pidiera lo que tiene cargado al router.
o incluso al contrario. pero a mi me faltan conocimientos.
lo digo por lo que se ve en la configuracion que saque antes de actualizar pero sin aprovisionar. ahora esta encriptada y no se puede leer aunque la consigas descargar.
tambien hice la prueba de descargar la configuracion.
resetear el router y cargarle la configuracion, resultado :
no hay datos sip. es decir, si o si los carga por tr069 y no se guardan en el backup.
esto es lo que pone en el backup claro:
<DM name="URL" val="https://tr069-1.s.digimobil.es:9191/web/tr069"/>
<DM name="UserName" val="H298A-MACTODOJUNTOYENMINUSCULAS"/>
<DM name="Password" val="LAMISMAQUELADEADMIN"/>
<DM name="PeriodicInformEnable" val="1"/>
<DM name="PeriodicInformInterval" val="21900"/>
<DM name="PeriodicInformTime" val="0001-01-01T00:00:00Z"/>
<DM name="ParameterKey" val=""/>
<DM name="ConnectionRequestURL" val="7547"/>
<DM name="ConnectionRequestUsername" val="H298A-OTRAVEZLAMAC"/>
<DM name="ConnectionRequestPassword" val="LAPASS"/>
<DM name="UpgradesManaged" val="0"/>
<DM name="Event" val=""/>
<DM name="DefaultWan" val=""/>
<DM name="SessionRetryTimes" val=""/>
<DM name="SupportCertAuth" val="0"/>
<DM name="Tr069Enable" val="1"/>
<DM name="MWSURL" val="http://0.0.0.0:9090"/>
<DM name="DataModule" val="0"/>
<DM name="StringPrefix" val=""/>
<DM name="CertID" val="Auto"/>
<DM name="BoolMode" val="0"/>
<DM name="retryMinWaitInterval" val="5"/>
<DM name="RetryIntervalMultiplier" val="2000"/>
<DM name="CheckHost" val="0"/>
<DM name="ACSType" val="1"/>
<DM name="ACSURLRetry" val="300"/>
<DM name="RemoteUpgradeCertAuth" val="0"/>
<DM name="ParamTypeCheck" val="0"/>
\</Row>Por lo leído en el foro la contraseña de admin es de 10 caracteres. Podrías decirnos como usar alguno de estos dos programas para sacar la contraseña de admin? si somos más los que obtenemos dicha contraseña, podremos liarnos la manta a la cabeza con lo demás. Estoy pegandome con Kali Linux y sus herramientas pero no sé exactamente como debo hacer las cosas.
APAÑO PREVIO A OBTENER CLAVE SIP
Cómo requisito es necesario tener la contraseña de admin.
Hasta que la fuerza bruta nos de la contraseña. Para lo cual tardará porque son entre 9 y 14 caracteres. Me he montado una solución temporal que funciona:
Montas tu router preferido. Con tus reglas y tus cositas. Que te de link. Haces un reenvío de puertos redirigiendo el 5060 y el 5004 por udp a una IP interna que te guste y tengas libre.
Conectas el ZTE de digi de su boca wan a una lan de tu router. Te conectas al ZTE por cable por una de sus 4 bocas. Cómo admin.
Desactivas el wifi . Te vas a la configuración wan y creas una nueva. No hace falta borrar la existente. Le marcas sólo SIP. Con IP estática. Que será la que has puesto en la redirección de tu router. Y aplicas. El led de internet se quedará en rojo pero el de teléfono se encenderá. Y tendrás línea.
De esta forma dejas el router de digi como si fuera un ata de dos bocas 😀
He configurado el forwarding de los dos puertos en el pfSense.
he configurado una nueva conexión WAN en el Zte con IP fija y he habilitado el VoIP, pero no me funciona el teléfono.
Alguna idea ?
Primero tienes que tener el ZTE aprovisionamiento.
Luego enchufa la boca wan del ZTE a una lan de tu otro router.
Gracias
ya lo he solucionado.
El pfsense es firewall tambien y por defecto esta capando todo los puertos menos 80 y 443.
La solución ha sido habilitar la conexión de la ip el router de digi al puerto especifico de la carga telematica.
Abrir el puerto sip y RTP y no hace falta configurar ningun forward.
Hola @nfaguade
, puedes probar tu captura con mi proceso?
Router Neutro. Lo mínimo que debes saber: Obtener tus datos SIP (VoIP)
Saludos.
Vuelvo a ver la luz con la VoIP sip de Digi… 1 semana funcionando sin problemss …
En cuanto pueda subo capturas para la centralita cisco ata spa122 con la configuración con la central sip de Digi mobil.
quedamos a la espera.
muchas gracias
Sí, sí, quedamos ala espera de que nos confirmes para aumentar a 20 caracteres el cifrado de VoIP y no podáis descifrarlo en la vida. Generando nuevas contraseñas por tr069.
prefiero pensar que Digi cambiará de politica respecto al VoIP.
ninguna tendria que capar tanto las cosas. Solo Movistar deja que se pueda poner un router neutro y usar su VoIP sin problemas
La contraseña la has obtenido tu o te la dio el técnico?
de momento sigue capado
