Home / Networking / Hakovanje rutera – video demonstracija

Hakovanje rutera – video demonstracija

Hakovanje rutera

Izvršićemo hakovanje jednog od najprodavanijih ADSL rutera na svetu. U pitanju je TP-Link TD-W8901G koji se koristi kako kod svih domaćih provajdera, tako i u svetu. Izvršićemo hakovanje rutera sa WAN strane, odnosno sa interneta. Ovaj model uređaja dozvoljava menadžment sa WAN strane, što ćemo iskoristiti kao tačku napada. Ukoliko imate ruter koji po default-u može da se konfiguriše samo sa LAN strane, niste ni tada 100% sigurni, pošto postoji i skripta koja menja dns-ove na ruteru i sa LAN strane.

hakovanje rutera

 

Ja sam promenio admin šifru, ja sam bezbedan 🙂

Ovom ruteru se po deafultu pristupa sa admin/admin, u ovom slučaju, korisnik je promenio password na nešto drugo, dakle, šifra više nije admin. Ovo bi već trebalo da bude dovoljno sigurno u odnosu na hiljade ovakvih rutera sa nepromenjenim admin passwordom. Svi oni su do sada sigurno hakovani. Ovaj ruter sa WAN strane ima otvoren web, telnet, ftp, TR-069, a mi ćemo napasti web servis. Pošto se WAN interfejs ovog rutera nalazi na javnoj IP adresi, on je izložen svim mogućim napadima/skriptama/hakovima… Dakle sigurnost vaše mreže zavisi isključivo od ovog uređaja.

Šta ćemo da prikažemo na klipu:

  • Pokušaj pristupa sa admin/admin
  • Probijanje šifre i ulaz na ruter
  • Prikaz hakovanog DNS servera na ruteru
  • Promena passworda za pristup ruteru
  • Ponovno hakovanje i prikaz nove lozinke

Hakovanje rutera video

Da se deca ne bi igrala

U klipu sam sakrio sve moguće IP adrese i web adrese, kako se deca ne bi zaigrala. Neću davati odgovore na pitanja, kako si hakovao, koji program itd… U klipu se vidi da je to jako jednostavno, ukoliko se poznaju ranjivosti određenih uređaja. Ceo proces se može automatizovati pomoću Python skripte, što se i radi, i ovde hakeri bukvalno jedni drugima prepravljaju DNS-ove 🙂 . Vodi se borba.

Nešto sporiji internet

Zbog korišćenja rouge dns-a hakera, koji se hostuje u ko zna kojoj zemlji, odziv i razrešavanje upita je dosta sporije u odnosu na dns server provajdera, koji je na jedan hop od vas.

Šta mi je činiti

U ovom slučaju nije problem do vas, vi ste šifru promenili. Vaš internet provajder bi trebalo da blokira dst portove 80,21,22,23… ali u tom slučaju se javlja Pera Perić kako mu ne radi kineski DVR na portu 80 🙂 . I ovo se može rešiti promenom porta na dvr-u…

Glavni problem je do ZyNOS softvera koji se nalazi u samom ruteru i koji ima sigurnosni propust. Nažalost, ovaj softver se nalazi i u nekim drugim modelima sledećih vendora: TP-Link, ZyXEL, Asus, Huawei…  TP-Link je nakon ovog skandala, koji se dogodio pre dve godine, izbacio novi firmware, koji po defaultu ima uključen ACL, koji blokira menadžment sa WAN strane.
Koliko njih je uradilo upgrade firmware-a? Gotovo niko.
Koliko njih zna da su hakovani? Gotovo niko.

Orion Telekom i „motherfu**er“ virus

Pre par meseci je hakovana gotovo cela wireless mreža Orion telekoma – najveća domaća wireless mreža. Napadnuti su na sličan način Ubiquiti uređaji, gde je svaki zaraženi klijentski Access Point ruter emitaovao SSID: Motherfu**er! Ovo je ozbiljno uzdrmalo ovog provajdera, koji možda još uvek nije uklonio sve hakovane uređaje.
Orion je napravio veliku grešku i nije štitio menadžment sa WAN strane. Ubiquiti je najveći proizvođač opreme za kućni wifi, ali i on ima sigurnosni propust u svom AirOS-u.

Hakovanje DNS-ova i sa LAN-a

Postoji i način da hakuju ruteri i sa LAN strane. Više o tome ovde.
Provera da li vaš ruter može biti hakovan sa LAN-a.

1. Open a browser and log in to your router
2. Navigate to the DHCP settings and note the DNS servers (it may be 0.0.0.0, which means that it uses the DNS server from your router’s upstream internet connection)
3. Open a new browser tab and visit the following URL (you may have to adjust the IP addresses if your router isn’t using 192.168.1.1):
http://192.168.1.1/userRpm/LanDhcpServerRpm.htm?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=8.8.4.4&dnsserver2=8.8.8.8&Save=%B1%A3+%B4%E6
If your router is vulnerable, this changes the DNS servers to 8.8.4.4 and 8.8.8.8 (the two IP addresses from Google Public DNS). Please note that the request also reverts the DHCP IP range and lease time to the default value.
4. Go back to the first tab and reload the DHCP settings in the router web interface
5. If you see the servers 8.8.4.4 and 8.8.8.8 for primary and secondary DNS, your router is vulnerable.
6. Revert the DNS settings to the previous settings from step 2
7. If your router is vulnerable, you may also upgrade it to the latest firmware and check whether it is still vulnerable.

Zašto mi hakuju DNS i kako da se odbranim?

Ukoliko bude bilo interesovanja, napisaću drugi deo ovog članka 🙂

About Miloš

Ljubitelj računarskih mreža i interneta. Voljan da pomogne drugima :) Zaljubljenik u sve što ima veze sa mrežama, komunikacijama i bezbednošću na mreži. Cisco i MikroTik sertifikovani inženjer. Obožava digitalnu fotografiju. Zaprati na tviteru @milosbeo
  • ADSL provajder

    TP-Link ADSL rutere koristimo već godinama i iskustva su sasvim pristojna. Pomenuti problem je vezan za chip set i dobro je poznat. Jeste najvećim delom rešen, ali ne sasvim. Pogađa praktično SVE proizvođače ADSL rutera, ne samo TP-Link i kada je otkriven jeste izazvao paniku među provajderima. TP-Link je čak prvi izbacio novi firmware, neki drugi proizvođači to nisu uradili ni do danas.

    Tekst je pohvalan da bi korisnici bili oprezniji i radili povremeno upgrade firmwarea. Mada svaki odgovoran ISP će se pobrinuti da to uradi sam za svoje korisnike. Zatvaranje pojedinih portova je zaista dilema jer ima korisnika koji ih koriste…

    • Slazem se, kod biznis korisnika treba ostaviti otvorene portove, ali kod fizickih lica nema potrebe, mnogi provajderi u poslednje vreme ni ne dele javne IP adrese. U poslednje vreme, uglavnom ruteri sa ovim čipsetom budu hakovani sa LAN strane zbog zaraženih Android telefona. Jedini lek je zatvaranje firewall-a (ACL) kompletno i LAN i WAN stranu.

  • Bosko

    Sve je to lepo, ali da bi upste mogao pristupiti ruteru kao admin moras vec biti povezan na tu mrezu, tj. znati sifru za pristup. Ne vidim nikakvu svrhu menjanja imena mreze ili sifre, time bi bio otkriven napad, a moze se resiti prostim resetovanjem rutera, tj. vracanjem na fabricke postavke.

    • Zdravo,

      Apsolutno ne mora biti povezan na ruter da bi mogao da pristupi samom ruteru. Ovo je moguće i sa interneta, a s’ obzirom da imaš prilično siguran stav da ovo što je napisano nije adekvatno, prilažem exploit-e koji su sada već zakrpljeni, jer mi ipak nismo hakerska škola 🙂
      https://www.exploit-db.com/exploits/12298/
      https://www.exploit-db.com/exploits/37425/
      https://www.exploit-db.com/exploits/38663/
      Da ne pričam o TP-Linku čija je rupčaga u software-u ugorzila rad celog Beotela pre nekog vremena. Da je tako kako ti pišeš, hakeri bi osim upadanja u kompove morali da počnu da upadaju u stanove.

    • Dejan

      Zdravo,

      Apsolutno ne mora biti povezan na ruter da bi mogao da pristupi samom ruteru. Ovo je moguće i sa interneta, a s’ obzirom da imaš prilično siguran stav da ovo što je napisano nije adekvatno, prilažem exploit-e koji su sada već zakrpljeni, jer mi ipak nismo hakerska škola 🙂
      https://www.exploit-db.com/exploits/12298/
      https://www.exploit-db.com/exploits/37425/
      https://www.exploit-db.com/exploits/38663/
      Da ne pričam o TP-Linku čija je rupčaga u software-u ugorzila rad celog Beotela pre nekog vremena. Da je tako kako ti pišeš, hakeri bi osim upadanja u kompove morali da počnu da upadaju u stanove.

    • Ovo je demonstriran pristup sa WAN strane, ali ovo delimicno moze da se zastiti access listom – internet provajder blokira port 80. Pojavio se nakon ovoga hack koji isto postavlja rouge dns-ove sa LAN-a preko zarazenih Android uredjaja. Tako da dzaba sto provajder blokira WAN, kad Android hakuje sa LAN-a.

  • Mr-x

    to je samo moguce u lanu hakovanje to je sve za malu decu ako ste na ADSL ruterima i na linuxu nemate cega da se bojite jedino samo da se ne zamerite nekoj hakerskoj grupi koji su recimo iskusni a ova objava ovde sto je izbacena to je samo nesto najmanje ako se kacite komsiji na wi fi inace nema cega da se bojite srecno 🙂

  • Veoma dobar clanak, na zalost jako mnogo ljudi nije svesno da se na ovako „banalan“ nacin kradu podaci korisnika online bankarskih portala i raznih drugih sajtova. Zato ljudi pazite koje sajtove posecujete, uvek proverite da li je to stvarno taj sajt ili kopija koja ceka da vam uzme podatke.

  • Miloš Lukić

    Slucaj od pre par dana kod Oriona xD

    • da, da… Ubiquiti se nalazi na 192.168.1.20. Nisam znao da ga detektuje anti virus/malware softver.

      • I’d rather post as a guest

        Gde je drugi deo ovog članka? Kako da se odbranim?

Scroll To Top