rigacci.org

User Tools

Site Tools

Trace: Router ADSL Thomson TG585 v7
doc:appunti:hardware:thomson_tg585

This is an old revision of the document!

Table of Contents

Router ADSL Thomson TG585 v7

Router ADSL fornito con la connessione Tiscali OfficeOne.

Portscan e telnet remoto

Per impostazione predefinita ha la porta telnet aperta sulla wan. La connessione come admin viene rifiutata dalla wan, ma nei log ho trovato questo strano messaggio:

Info 00:16:54 LOGOUT User logged out on TELNET (85.190.0.3)
Avvertenza 00:16:42 IDS scan parser : tcp syn scan: 85.190.0.3 scanned at least 20 ports at 94.33.x.x. (1 of 1) : 85.190.0.3 94.33.x.x 0060 TCP 51175→1027 [S…..] seq 2901216082 win 5840
Info 00:08:16 CONFIGURATION mbus igd sync successfull
Info 00:07:59 CONFIGURATION mbus atomic sync successful
Info 00:06:37 WIRELESS interface turned off.
Info 00:01:01 GRP Default destination is routed via gateway 94.33.x.x2
Avvertenza 00:01:01 PPP link up (Internet) [94.33.x.x]
Info 00:01:00 PPP CHAP Chap receive success : authentication ok
Info 00:01:00 PPP CHAP Receive challenge (rhost = c72g1.fi-atm2)

Cioè subito dopo un port scan si ha un messaggio di logout, senza però il relativo login.

Intercettando con tcpdump il port-scan e il successivo tentativo di telnet, è risultato un tentavivo con login cisco. Probabilmente il tentativo di login bruto (senza rispettare il timing) manda in confusione il logging del Thomson, in realtà il login non è avvenuto.

Disabilitare il telnet lato wan

Per disabilitare il telnet lato eseguire il comando: 

service system ifdelete name = TELNET group = wan

In questo modo il servizio telnet non sarà più in ascolto sulla porta wan.

Command Line Interface

È possibile configurare il router via telnet (indirizzo predefinito 192.168.1.254), nome utente admin e la password impostata da interfaccia web (default: admin).

È disponibile la tab-completion, sia sui comandi che sugli argomenti del comando. Con help si ha l'elenco dei comandi disponibili, è possibile chiedere help sullo specifico comando. È possibile “entrare” in un gruppo di comandi, per uscirne si usa il comando .. (due punti).

Ad esempio: 

{admin}=>xdsl
{admin}[xdsl]=>help
Following commands are available :

info             : Displays status information about modem
config           : Modify/Display dsl configuration
maxspeed         : Set ATM Default Maximum Speed.
version          : Display xdsl version information.

Following command groups are available :

debug

{admin}[xdsl]=>info
Modem state:                             up
Up time (Days hh:mm:ss):                 0 giorni, 5:47:55
xDSL Type:                               ADSL2+
Bandwidth (Down/Up - kbit/s):            4991/351
{admin}[xdsl]=>..
{admin}=>

Dopo aver modificato la configurazione bisogna salvarla con il comando saveall.

Per vedere le impostazioni correnti della ridirezione porte (DNAT): 

{admin}=>nat maplist
Idx Type Interface       Outside Address                Inside Address                 Use
  1 NAT  Internet        94.33.x.x:8                   127.0.0.1:8                    0
  2 NAPT Internet        94.33.x.x:22                  192.168.1.2:22                 2
  3 NAPT Internet        94.33.x.x:23                  192.168.1.2:23                 0
  4 NAPT Internet        94.33.x.x:80                  192.168.1.2:80                 0
  5 NAPT Internet        94.33.x.x:51005               127.0.0.1:51005                0
  6 NAPT Internet        94.33.x.x                     unmapped                       4

Per vedere tutte le informazioni (ad esempio il tipo di protocollo): 

nat maplist expand=enabled

Per aggiungere una regola (l'outside_address è l'indirizzo IP pubblico del router): 

nat mapadd intf=Internet type=napt outside_addr=94.33.x.x inside_addr=192.168.1.2 
    protocol=tcp outside_port=5666 inside_port=5666

Un range di porte si indica ad esempio con: 

nat mapadd intf=Internet type=napt inside_addr=192.168.1.2
    protocol=udp outside_port=5000-5100 inside_port=5000-5100

Se non si specifica l'outside_addr viene utilizzato any.

Per eliminare una regola: 

nat mapdelete intf=Internet index=7

Backdoor Tiscali

Salvando la configurazione del router da interfaccia web viene creato un file di nome user.ini. Si tratta di un file di testo, aprendolo si scopre che esistono altri due account oltre ad admin, chiamati tiscali e tech: 

[ mlp.ini ]

[ mlpuser.ini ]
add name=admin password=_CYP_f7b2993185f755d2212840328001bb2f role=Administrator hash2=30d4e1db8c587e04a5de34c5b1d9ac37 defuser=enabled
add name=tiscali password=_CYP_b4ac14ca81359f9cd76da5a37e81cccd role=root hash2=22a266864d1dcbd4aca2bfbd5a8009f5 defremadmin=enabled
add name=tech password=_CYP_c86ed78095dbd279b97bbae4b21621fb role=TechnicalSupport hash2=c317f7fc60ce5c1a3f8b89049e6f50c0

La password che segue il prefisso _CYP_ è l'hash md5 della password stessa, che è possibile calcolare come segue: 

echo -n "pippo123" | md5sum -
f7b2993185f755d2212840328001bb2f  -

Esistono alcuni siti che tentano di recuperare la password in chiaro dall'hash, ad esempio http://passcracking.com/. Purtroppo le due password di servizio Tiscali non sono incluse nel database.

Per cambiare password da riga di comando: 

user config name=admin password=_CYP_f7b2993185f755d2212840328001bb2f

Tuttavia l'utente admin non può cambiare la password per l'utente tiscali o tech.

doc/appunti/hardware/thomson_tg585.1280840743.txt.gz · Last modified: 2010/08/03 15:05 by niccolo