rigacci.org

User Tools

Site Tools

Trace: Router ADSL Thomson TG585 v7
doc:appunti:hardware:thomson_tg585

This is an old revision of the document!

Table of Contents

Router ADSL Thomson TG585 v7

Router ADSL fornito con la connessione Tiscali OfficeOne.

Portscan e telnet remoto

Per impostazione predefinita ha la porta telnet aperta sulla wan. La connessione come admin viene rifiutata dalla wan, ma nei log ho trovato questo strano messaggio:

Info 00:16:54 LOGOUT User logged out on TELNET (85.190.0.3)
Avvertenza 00:16:42 IDS scan parser : tcp syn scan: 85.190.0.3 scanned at least 20 ports at 94.33.x.x. (1 of 1) : 85.190.0.3 94.33.x.x 0060 TCP 51175→1027 [S…..] seq 2901216082 win 5840
Info 00:08:16 CONFIGURATION mbus igd sync successfull
Info 00:07:59 CONFIGURATION mbus atomic sync successful
Info 00:06:37 WIRELESS interface turned off.
Info 00:01:01 GRP Default destination is routed via gateway 94.33.x.x2
Avvertenza 00:01:01 PPP link up (Internet) [94.33.x.x]
Info 00:01:00 PPP CHAP Chap receive success : authentication ok
Info 00:01:00 PPP CHAP Receive challenge (rhost = c72g1.fi-atm2)

Cioè subito dopo un port scan si ha un messaggio di logout, senza però il relativo login.

Intercettando con tcpdump il port-scan e il successivo tentativo di telnet, è risultato un tentavivo con login cisco. Probabilmente il tentativo di login bruto (senza rispettare il timing) manda in confusione il logging del Thomson, in realtà il login non è avvenuto.

Disabilitare il telnet lato wan

Per disabilitare il telnet lato eseguire il comando: 

service system ifdelete name = TELNET group = wan

In questo modo il servizio telnet non sarà più in ascolto sulla porta wan.

Command Line Interface

È possibile configurare il router via telnet (indirizzo predefinito 192.168.1.254), nome utente admin e la password impostata da interfaccia web (default: admin).

È disponibile la tab-completion, sia sui comandi che sugli argomenti del comando. Con help si ha l'elenco dei comandi disponibili, è possibile chiedere help sullo specifico comando. È possibile “entrare” in un gruppo di comandi, per uscirne si usa il comando .. (due punti).

Ad esempio: 

{admin}=>xdsl
{admin}[xdsl]=>help
Following commands are available :

info             : Displays status information about modem
config           : Modify/Display dsl configuration
maxspeed         : Set ATM Default Maximum Speed.
version          : Display xdsl version information.

Following command groups are available :

debug

{admin}[xdsl]=>info
Modem state:                             up
Up time (Days hh:mm:ss):                 0 giorni, 5:47:55
xDSL Type:                               ADSL2+
Bandwidth (Down/Up - kbit/s):            4991/351
{admin}[xdsl]=>..
{admin}=>

Dopo aver modificato la configurazione bisogna salvarla con il comando saveall.

Per vedere le impostazioni correnti della ridirezione porte (DNAT): 

{admin}=>nat maplist
Idx Type Interface       Outside Address                Inside Address                 Use
  1 NAT  Internet        94.33.x.x:8                   127.0.0.1:8                    0
  2 NAPT Internet        94.33.x.x:22                  192.168.1.2:22                 2
  3 NAPT Internet        94.33.x.x:23                  192.168.1.2:23                 0
  4 NAPT Internet        94.33.x.x:80                  192.168.1.2:80                 0
  5 NAPT Internet        94.33.x.x:51005               127.0.0.1:51005                0
  6 NAPT Internet        94.33.x.x                     unmapped                       4

Per vedere tutte le informazioni (ad esempio il tipo di protocollo): 

nat maplist expand=enabled

Per aggiungere una regola (l'outside_address è l'indirizzo IP pubblico del router): 

nat mapadd intf=Internet type=napt outside_addr=94.33.x.x inside_addr=192.168.1.2 
    protocol=tcp outside_port=5666 inside_port=5666

Un range di porte si indica ad esempio con: 

nat mapadd intf=Internet type=napt inside_addr=192.168.1.2
    protocol=udp outside_port=5000-5100 inside_port=5000-5100

Se non si specifica l'outside_addr viene utilizzato any.

Per eliminare una regola: 

nat mapdelete intf=Internet index=7

Backdoor Tiscali

È possibile salvare la configurazione del router da interfaccia web, viene salvato un file (nome suggerito user.ini) che è un file di testo leggibile. In questo modo si scopre che esistono altri due account oltre ad admin, chiamati tiscali e tech: 

[ mlp.ini ]

[ mlpuser.ini ]
add name=admin password=_CYP_f7b2993185f755d2212840328001bb2f role=Administrator hash2=30d4e1db8c587e04a5de34c5b1d9ac37 defuser=enabled
add name=tiscali password=_CYP_b4ac14ca81359f9cd76da5a37e81cccd role=root hash2=22a266864d1dcbd4aca2bfbd5a8009f5 defremadmin=enabled
add name=tech password=_CYP_c86ed78095dbd279b97bbae4b21621fb role=TechnicalSupport hash2=c317f7fc60ce5c1a3f8b89049e6f50c0

La password che segue il prefisso _CYP_ è l'hash md5 della password stessa, che è possibile calcolare come segue: 

echo -n "pippo123" | md5sum -
f7b2993185f755d2212840328001bb2f  -

Esistono alcuni siti che tentano di recuperare la password in chiaro dall'hash, ad esempio http://passcracking.com/. Purtroppo le due password di servizio Tiscali non sono incluse nel database.

Per cambiare password da riga di comando: 

user config name=admin password=_CYP_f7b2993185f755d2212840328001bb2f

Tuttavia l'utente admin non può cambiare la password per l'utente tiscali o tech.

doc/appunti/hardware/thomson_tg585.1280840686.txt.gz · Last modified: 2010/08/03 15:04 by niccolo