Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra

Usar el teléfono fijo de Digi con otro router

BocaDePez
BocaDePez

De momento, a no ser que alguien diga lo contrario, con firmware T8 o anterior, se puede obtener el config.bin, pero al descifrarlo, no hay datos de voip de Digi. Con firmware T10 ya no es posible ni obtener el config.bin.

Se me ocurre que tal vez con un switch con port mirroring, podrías capturar los datos de voip de Digi, además de obtener el usuario y contraseña de pppoe para poder utilizar en otro router.

🗨️ 1
nfaguade

Aproveché que estaba hurgando para quitar el router, hice una llamada y capturé el tráfico con el wireshark. Vi unas cuantas cosillas, pero no consigo configurar el ATA de Grandstream que he comprado.

Hay varios paquetes que hacen referencia a "ims.digimobil.es", algunos usando los 9 dígitos del teléfono que sea (pej., haciendo una llamada del fijo a mi móvil era y 6********ims.digimobil.es), pero no consigo ver nada que haga referencia a usuario o contraseña de VoIP. He intentando usar los mismos datos que para la conexión WAN, pero nada.

Estoy pensando echarle morro y directamente llamarles a ver si me proporcionan los datos.

Supongo que somos una minoría los que tenemos fijo y hemos quitado el ZTE.

nfaguade

Los datos más interesantes que he visto:

Las IDs parecen ser el número de teléfono , el puerto que usan, así como el servidor es 100.64.17.31:5060 (esta última IP la he visto asociada a dicho puerto) y también 10.30.5.69. El user agent es ZXHN H298A V1.0/V1.0.25_DIGI.1T10.

Más allá de eso, no he visto nada relacionado con contraseña/password. He intentando usar la misma que en la conexión de internet, pero nada. O bien me está fallando algún otro parámetro de la configuración, o lo tienen oculto de alguna manera.

🗨️ 3
BocaDePez
BocaDePez

Has probado a configurar la VoIP con esos datos? me refiero a probar con la contraseña vacia, quiza solo hace falta el usuario.

🗨️ 1
nfaguade

Lo de la contraseña vacía no lo he probado. El resto de datos los he combinado de todas las maneras que se me ha ocurrido y nada. Voy a probar...

BocaDePez
BocaDePez

La contraseña y el usuario estan cifrados en un hash md5 respectivamente.

Así que toca buscar alguna vulnerabilidad en md5, utilizar fuerza bruta contra este mismo md5 o localizar el archivo con la configuracion voip en texto plano en el router.

Suerte chicos!

BocaDePez
BocaDePez

He estado investigando.

Esta mandando la "contraseña" pero con el es.wikipedia.org/wiki/Digest_access_authentication

En uno de los paquetes podemos ver:

Nonce
Cnonce
Digest authentication response.

Basicamente esta codificada, voy a buscar algun programa que intente sacarla por fuerza bruta.

BocaDePez
BocaDePez

Traigo buenas y malas noticias.

La buena es que se como romper la contraseña, la mala es que tarda más de lo que creia.

Hay un programa que se llama hashcat, esta para linux y windows.

tienes que crear un fichero con la siguiente linea:

$sip$*[URI_SERVER]*[URI_CLIENT]*[USERNAME]*[REALM]*[METHOD]*[URI_PREFIX]*[URI_RESOURCE]*[URI_SUFFIX]*[NONCE_SERVER]*[NONCE_CLIENT]*[NONCE_COUNT]*[QOP]*[DIRECTIVE]*[MD5]

que segun he configurado yo seria (no estoy 100% seguro que sea asi):

$sip$***+3491[mynum]@ims.digimobil.es*ims.digimobil.es*REGISTER*sip*ims.digimobil.es**[nonce]*[cnonce]*[nonce_count]*auth*MD5*[auth response]

El nonce cnonce auth response etc lo puedes sacar via wireshark de la peticion sip que tiene la cabecera esa de authorization.

luego lanzas el hashcat:

hashcat -a 3 -m 11400 file

file es el fichero con el hash que he puesto arriba.

Si tienes una GPU potente hasta las contraseñas de 7 caracteres va muy rapido, las de 8 me tarda en torno a 1 hora en sacarlas. De ahi para arriba seran días.

Espero que sea una contraseña de 8 caracteres sino estamos bien fastidiados.

Otra opcion seria enterarnos que forma tiene esa contraseña, que caracteres utiliza, el tamaño etc. De esta forma se puede simplificar mucho el ataque de fuerza bruta.

Estaria bien que alguien que tenga la contraseña y el paquete capturado nos lo diera para asegurarnos de que la configuracion del hashcat es correcta.

🗨️ 4
nfaguade
sin-titulo-1.png

He encontrado esto en los datos capturados, no sé si ayuda. Ya me temía yo que tuvieran el PW encriptado los muy cabritos. Otro día con más tiempo y paciencia me pondré con el hashcat.

🗨️ 2
BocaDePez
BocaDePez

No es que lo cifren porque son "cabritos", es que el protocolo SIP funciona así.

La única manera razonable de abordar vuestro problema es abrir el router y conectaros por el puerto serie.

🗨️ 1
nfaguade

No tiene, que yo haya visto.

Dani Lega90

Si alguien sube un fichero para analizarlo con el hashcat, yo tengo un par de servidores que están ociosos... jejej me ofrezco voluntario para probar con el fichero de otro

J Arnaiz

No, no parece que tenga puerto de serie, (se abre muy facil).

Y la contraseña del voip no parece sencilla, al menos yo no la he sacado con 8 caracteres o menos.

Necesitamos alguien que nos diga que tipo de contraseñas estan usando, pero no se si alguien ha sacado la contraseña del voip.

Eso o pedirsela a digi, pero no creo que nos la den.

🗨️ 4
J Arnaiz

Puedo confirmar que el formato para el hashcat es:

$sip$*ims.digimobil.es**[username]@ims.digimobil.es*ims.digimobil.es*REGISTER*sip*ims.digimobil.es**[nonce]*[cnonce]*[nonce_count]*auth*MD5*[response]

esos datos se consiguen de la peticion que ha puesto @nfaguade.

Eso si no he conseguido la password, inicio el ataque pero la pass es complicada.

He usado caracteres a-z A-Z 0-9 de hasta 8 caracteres y nada, a partir de ahi el tiempo se va de las manos, unos 2 dias para sacar la pass de 9 caracteres.

Creo que seria muy sencillo si supieramos que tipo de contraseña estan usando, el formato, longitud etc.

Por ejemplo si fuera como la del PPPoE ya la habría sacado.

Lo voy a dejar de momento, cuando tenga tiempo intento hacer algun ataque de diccionario o con algun formato que se me venga a la mente como *@digi o *@digimobil.es o lo que sea.

Si teneis la remota idea de como puede ser la pass o conoceis a alguien que la haya sacado a traves del backup del router o algo asi me dariais la vida.

🗨️ 3
BocaDePez
BocaDePez

he conseguido conectar por el puerto serial del router, pero también han cambiado los accesos habituales de login por lo que imposible también por aquí encontrar la configuración de VOIP.

Mirando un sniffeo del arranque hay una linea donde dice que tiene que buscar una palabra en cierta posicion, de longitud 10, puede ser algo...

🗨️ 1
BocaDePez
BocaDePez

Buenas, supongo que seguimos sin avances respecto al telefono.

EL user y pass del Internet parecen fáciles de sacar.

ya tengo el user y pass lo datos de VLAN = 20 y Prioridad = no se si es 1 o 0

🗨️ 2
BocaDePez
BocaDePez

Prioridad 0

BocaDePez
BocaDePez

Pero eso es para sacar el user y pass admin del router, en nuestro caso aun entrando con esos datos no están los datos del voip si no me equivoco

🗨️ 2
BocaDePez
BocaDePez

Pillas toda la carga de la configuración del router, no solo el pass del admin sino tambien los servidores SIP, las credenciales, etc.

🗨️ 1
nfaguade

Es lo mismo que tengo puesto en la imagen del principio del hilo, está encriptado.

BocaDePez
BocaDePez

A ver,

Si los datos del VoIP (SIP) resulta que NO están en la configuración del router, entonces será porque se envían via TR-069.

Podéis intentar capturas los datos de la configuración TR-069 que creo se envía justo después de reiniciar el router.

🗨️ 4
BocaDePez
BocaDePez

En el archivo config tiene que estar la password del VoIP, si alguien que lo hubiera sacado en T8 lo puede confirmar sería una ayuda

BocaDePez
BocaDePez

Hola compañero he buscado en el archivo config pero no aparece la voz ip me temo, yo tambien la estoy buscando , en cuanto al admin antes del update se sacaba sin problema ahora complicado porque ni con reset te deja poder volcar la config con el USER.

🗨️ 2
BocaDePez
BocaDePez

de momento sigo corriendo, el hascat y en otro equipo el httpbrute

teniendo la contraseña de admin se podria intentar emular un servidor tr69 y que le pidiera lo que tiene cargado al router.

o incluso al contrario. pero a mi me faltan conocimientos.

lo digo por lo que se ve en la configuracion que saque antes de actualizar pero sin aprovisionar. ahora esta encriptada y no se puede leer aunque la consigas descargar.

tambien hice la prueba de descargar la configuracion.

resetear el router y cargarle la configuracion, resultado :

no hay datos sip. es decir, si o si los carga por tr069 y no se guardan en el backup.

esto es lo que pone en el backup claro:

<DM name="URL" val="https://tr069-1.s.digimobil.es:9191/web/tr069"/>
<DM name="UserName" val="H298A-MACTODOJUNTOYENMINUSCULAS"/>
<DM name="Password" val="LAMISMAQUELADEADMIN"/>
<DM name="PeriodicInformEnable" val="1"/>
<DM name="PeriodicInformInterval" val="21900"/>
<DM name="PeriodicInformTime" val="0001-01-01T00:00:00Z"/>
<DM name="ParameterKey" val=""/>
<DM name="ConnectionRequestURL" val="7547"/>
<DM name="ConnectionRequestUsername" val="H298A-OTRAVEZLAMAC"/>
<DM name="ConnectionRequestPassword" val="LAPASS"/>
<DM name="UpgradesManaged" val="0"/>
<DM name="Event" val=""/>
<DM name="DefaultWan" val=""/>
<DM name="SessionRetryTimes" val=""/>
<DM name="SupportCertAuth" val="0"/>
<DM name="Tr069Enable" val="1"/>
<DM name="MWSURL" val="http://0.0.0.0:9090"/>
<DM name="DataModule" val="0"/>
<DM name="StringPrefix" val=""/>
<DM name="CertID" val="Auto"/>
<DM name="BoolMode" val="0"/>
<DM name="retryMinWaitInterval" val="5"/>
<DM name="RetryIntervalMultiplier" val="2000"/>
<DM name="CheckHost" val="0"/>
<DM name="ACSType" val="1"/>
<DM name="ACSURLRetry" val="300"/>
<DM name="RemoteUpgradeCertAuth" val="0"/>
<DM name="ParamTypeCheck" val="0"/>
\</Row>
🗨️ 1
BocaDePez
BocaDePez

Por lo leído en el foro la contraseña de admin es de 10 caracteres. Podrías decirnos como usar alguno de estos dos programas para sacar la contraseña de admin? si somos más los que obtenemos dicha contraseña, podremos liarnos la manta a la cabeza con lo demás. Estoy pegandome con Kali Linux y sus herramientas pero no sé exactamente como debo hacer las cosas.

BocaDePez
BocaDePez

APAÑO PREVIO A OBTENER CLAVE SIP

Cómo requisito es necesario tener la contraseña de admin.

Hasta que la fuerza bruta nos de la contraseña. Para lo cual tardará porque son entre 9 y 14 caracteres. Me he montado una solución temporal que funciona:

Montas tu router preferido. Con tus reglas y tus cositas. Que te de link. Haces un reenvío de puertos redirigiendo el 5060 y el 5004 por udp a una IP interna que te guste y tengas libre.

Conectas el ZTE de digi de su boca wan a una lan de tu router. Te conectas al ZTE por cable por una de sus 4 bocas. Cómo admin.

Desactivas el wifi . Te vas a la configuración wan y creas una nueva. No hace falta borrar la existente. Le marcas sólo SIP. Con IP estática. Que será la que has puesto en la redirección de tu router. Y aplicas. El led de internet se quedará en rojo pero el de teléfono se encenderá. Y tendrás línea.

De esta forma dejas el router de digi como si fuera un ata de dos bocas 😀

🗨️ 3
BocaDePez
BocaDePez

He configurado el forwarding de los dos puertos en el pfsense.

ff-puertos.png

he configurado una nueva conexión wan en el ZTE con ip fija y he habilitado el VOIP, pero no me funciona el teléfono.

Alguna idea ?

🗨️ 2
BocaDePez
BocaDePez

Primero tienes que tener el ZTE aprovisionamiento.

Luego enchufa la boca wan del ZTE a una lan de tu otro router.

🗨️ 1
BocaDePez
BocaDePez

Gracias

ya lo he solucionado.

El pfsense es firewall tambien y por defecto esta capando todo los puertos menos 80 y 443.

La solución ha sido habilitar la conexión de la ip el router de digi al puerto especifico de la carga telematica.

Abrir el puerto sip y RTP y no hace falta configurar ningun forward.

Diazgza

Vuelvo a ver la luz con la VoIP sip de Digi… 1 semana funcionando sin problemss …

Diazgza

En cuanto pueda subo capturas para la centralita cisco ata spa122 con la configuración con la central sip de Digi mobil.

🗨️ 6
vukits

quedamos a la espera.

muchas gracias

BocaDePez
BocaDePez
-1

Sí, sí, quedamos ala espera de que nos confirmes para aumentar a 20 caracteres el cifrado de VoIP y no podáis descifrarlo en la vida. Generando nuevas contraseñas por tr069.

🗨️ 2
vukits

prefiero pensar que Digi cambiará de politica respecto al VoIP.

🗨️ 1
sev44lora

ninguna tendria que capar tanto las cosas. Solo Movistar deja que se pueda poner un router neutro y usar su VoIP sin problemas

Spam

La contraseña la has obtenido tu o te la dio el técnico?

🗨️ 1
sev44lora

de momento sigue capado