Cómo lograr acceso de administrador en el router NuCom NC-DS224WTV
Este tutorial explica como acceder con la cuenta de Administrador (admin) en el router NuCom NC-DS224WTV aprovechando ciertas vulnerabilidades de seguridad. De todos modos, es muy posible que estas mismas vulnerabilidades estén presentes en otros modelos de router que compartan el mismo interfaz web.
A diferencia de un anterior tutorial que publiqué en esta misma web, este nuevo método no obliga a modificar la contraseña original para el usuario administrador.
¿Qué vulnerabilidades explota este método?
Este método saca partido de dos vulnerabilidades de seguridad presentes en este router.
La primera es que cualquier cuenta de usuario tiene la posibilidad de leer la contraseñas encriptadas con algoritmo de hash SHA256 de todos las cuentas de usuario existentes si accede a la pantalla de modificación de su propia contraseña.
La segunda consiste en que el proceso de identificación de usuario envía al router el hash SHA256 de la contraseña en vez de la propia contraseña.
Requisitos
Para llevar a cabo este proceso es necesario disponer del nombre de usuario y contraseña de una cuenta con acceso al router. Típicamente la operadora facilita a sus clientes una cuenta de usuario y contraseña con muy pocos privilegios para al menos poder gestionar la LAN, conectividad Wifi, etc. Con esa cuenta será suficiente.
Además hay que contar con un navegador web que cuente con menú de desarrollador con capacidad para depurar código Javascript. Este tutorial utiliza Firefox.
Hackeo paso a paso
Accederé primero al router con la cuenta sin privilegios (llamada user en mi caso) y una vez conocido el hash SHA256 de la contraseña del usuario administrador (admin), accederé con la cuenta de este último.
Paso 1: Averiguar el resumen de la contraseña de admin
Acceder a la pantalla de identificación e introducir usuario y contraseña de la cuenta sin privilegios… Lo más probable es que la URL a escribir sea en la barra de direcciones del navegador sea http://192.168.1.1.
Llegaremos a la pantalla de información del router.
En el menú de la izquierda pulsar sobre Management → Account Management → Passwords
Para leer la contraseña del usuario administrador, pulsar F12 para abrir el menú de desarrollador. Pulsar sobre la pestaña Depurador. En el árbol de ficheros de la izquierda pulsar sobre page/management/mngt_password.shtml. Esto mostrará el código de ese fichero HTML.
Observar como en la línea 31-32 hay información muy interesante: el resumen SHA256 de la contraseña del usuario admin es esa cadena 64 caracteres. Apuntarla.
Cerrar sesión.
Paso 2: Acceder como admin
En la pantalla de identificación escribir admin como nombre de usuario y algo en el campo de Password.
A continuación pulsar F12. Ir de nuevo a la pestaña Depurador y visualizar el código del fichero /page/login/login.html. Poner un punto de ruptura en la línea que dice form.submit() que en mi caso está en la línea 92 de ese fichero. Para poner el punto de ruptura hay que pulsar sobre el número de línea que se muestra a la izquierda. Notarás que hay punto de ruptura porque aparecerá un triángulo azul en ese número de línea.
Pulsar el botón Login.
La ejecución del guión quedará detenida en la línea 92, justo antes de que el navegador envíe los datos del formulario al router.
En este punto hay que cambiar a la pestaña Consola, escribir la línea siguiente y pulsar Enter:
document.forms[1].password.value='la cadena de 64 caracteres apuntada en el paso anterior'
Volver a la pestaña Depurador y pulsar F8, o pulsar el botón en forma de triángulo de play para que la ejecución del guión continúe.
Enhorabuena, has accedido al router como usuario Administrador.
Fin del tutorial.