Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Hackeando Routers OLO SWC-9100 y SWU-9100 Por Nox
Hackeando Routers OLO SWC-9100 y SWU-9100 Por Nox
routers OLO
SW(C|U)-9100
por Josu Rojas a.k.a Nox
http://www.noxsoft.net
Introduccin
El siguiente escrito detalla las vulnerabilidades encontradas en routers
Seowon Intech WiMAX usados por la compaa OLO de modelos SWC9100 y SWU-9100.
Reporte de algunas vulnerabilidades:
http://www.kb.cert.org/vuls/id/431726
OLO es una empresa que brinda internet usando tecnologa WiMax, comenz
a mediados del 2012 (agosto/septiembre segn su cuenta de facebook creada
en esa fecha).
Routers
OLO fijo
El router movil:
OLO Movil
La salida es la siguiente:
drwxrwxrwt
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
-rwxr-xr-x
2
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
root
300
19272
15348
24812
26004
10824
34244
73636
13716
17832
55324
56576
15704
75420
38324
27388
21880
13640
16436
22008
42428
26232
25928
30104
19896
83772
13756
16592
88336
15440
50620
33216
18224
88032
30540
17028
28788
33328
26636
46564
194764
20224
Feb
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
Sep
8
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
11
04:23
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
09:42
cgi-system
cpe_upgrade.cgi
cpe_upgrade_ing.cgi
ddns.cgi
diagnostic.cgi
diagnostic_info.cgi
dmz_port_forwarding.cgi
firewall.cgi
frameset.cgi
if_mtu.cgi
lanconfig.cgi
login.cgi
message.cgi
multi_wifi.cgi
multi_wifi_filter.cgi
multi_wifi_status.cgi
ota.cgi
ota_popup_message.cgi
pppoe_test.cgi
pw.cgi
qos.cgi
reboot.cgi
result_message.cgi
switch_status.cgi
timezone.cgi
top_menu.cgi
upgrade.cgi
upnp.cgi
voip_account.cgi
voip_account_info.cgi
voip_general.cgi
voip_line.cgi
vpn.cgi
vpn_setting.cgi
wccm_info.cgi
wccm_status.cgi
wccm_syslog.cgi
wccm_wimax_state.cgi
web_connection.cgi
wifi_dhcp.cgi
wizard.cgi
wlan.cgi
Al probar cada ruta se puede encontrar opciones del router que te permiten
realizar cambios sin necesidad de estar autenticado. Para tal accin program
un script en PHP usando CURL, leyendo de un fichero TXT, la lista de todos
los CGI y luego comprobando que el status code sea 200, de esa manera
sabr en cul de todos los CGI me permite visitar la URL sin autenticacin.
Sin embargo este SCRIPT no contempla variables de cada CGI que es
necesario para una ejecucin exitosa de su funcin.
Analizando los CGI con IDA me pude percatar que algunos de estos solo
necesitan pasarle las variables correspondientes para comenzar su ejecucin
de sus funciones, este es otro fallo ms de seguridad que obviaron al
programar, pero de esto hablaremos ms adelante.
En la siguiente imagen se muestra la salida del cdigo en PHP comentado en
el prrafo anterior, enfatizando las impresiones de color rojo, ya que estos
muestran las rutas que devolvieron el status code 200.
Reboot.cgi
Para los CGI en este router le es indiferente las variables que necesita para
realizar su funcin, se enven por POST o GET.
Inyeccin de comandos
Luego de tomar dicho valor lo concatena con otra cadena para realizar la
ejecucin, llamando a la funcin System. Como es bien sabido, para poder
ejecutar dos comandos conjuntamente, se le puede agregar al final el ; y el
comando a ejecutar. Y sin mayor problema tenemos una ejecucin de
comandos con todos los privilegios, porque el usuario es root por defecto .
Demo: http://www.youtube.com/watch?v=7y1qsk9OpwM