PROGMAQ ZTE ZXHN H218N/H298N EXPLOIT

#1
Lo prometido es deuda, y aquí dejo un programa realizado en java (funciona en Windows, Linux, Mac...) para obtener los diferentes usuarios y cuentas SIP del router H218N proporcionado por Jazztel.

Requisitos:
  • Router ZTE ZXHN H218N / H298N modelo JAZZTEL
  • Máquina virtual JAVA instalada
Ejecución:
Para ejecutarlo, debéis abrir una consola y escribir el siguiente comando:
Código:
java -jar pm-exploit-zte.jar
Parámetros:
Por regla general, no será necesario especificar ningún parámetro.
Si se ha cambiado la IP del router o la contraseña actual no es "jazztel:jazztel", debéis ejecutarlo de esta manera:
Código:
java -jar pm-exploit-zte.jar [IP-ROUTE] [USUARIO] [CONTRASEÑA]
Información:
La búsqueda de exploit es una operación tediosa y que por regla general requiere mucho tiempo de investigación. Aunque yo ya disponía de mi clave SIP, quería realizar un programa simple para que cualquiera pudiera obtener estos datos de forma cómoda, sin necesidad de HUB y fuerza bruta.
No pido nada a cambio, pero con un simple gracias dejado en los comentarios de este post, sabré que mi tiempo invertido ha merecido la pena.

Descarga:
https://progmaq.org/pm-exploit-zte.jar
 
#4
Yo ya tenía los Passwords ... pero decirte que eres el puto amo ... que sencillez ¡¡¡¡.

Lo he probado con el mío y está todo correcto ;-) .

Muchas gracias ¡¡¡



Pd: Por casualidad... no tendrás algo para la Voip y una Raspberry "en modo fácil" como esto X-DDD . Llevo varios días y lo voy a dejar por imposible.

Pd2: y encima eres de Huelva ¡¡¡¡ ... como yo :) .
 
#6
Re:

kew dijo:
Muchas gracias.......

Esto no funcionaria en un 298 verdad .....?

Saludos.
No dispongo de ese modelo, aunque tenía entendido que se podía obtener con el archivo de BACKUP desde el propio router y luego hacer uso del programa offzip.

Si ya no funciona ese método, me podrías mandar un privado con los datos de acceso a tu router y ver si es posible hacer un exploit.
 
#8
Re: PROGMAQ ZTE ZXHN H218N EXPLOIT

ProgMaq dijo:
Lo prometido es deuda, y aquí dejo un programa realizado en java (funciona en Windows, Linux, Mac...) para obtener los diferentes usuarios y cuentas SIP del router H218N proporcionado por Jazztel.
Gracias por las horas que has invertido desinteresadamente en esto!

Se puede reutilizar el exploit para modificar la configuración voip y usar el ZTE con otro proveedor?
 
#10
Re: PROGMAQ ZTE ZXHN H218N EXPLOIT

apedales dijo:
ProgMaq dijo:
Lo prometido es deuda, y aquí dejo un programa realizado en java (funciona en Windows, Linux, Mac...) para obtener los diferentes usuarios y cuentas SIP del router H218N proporcionado por Jazztel.
Gracias por las horas que has invertido desinteresadamente en esto!

Se puede reutilizar el exploit para modificar la configuración voip y usar el ZTE con otro proveedor?
Seguramente, aunque sería necesario desactivar el TR-069 para que no nos machaquen la configuración.
 
#11
Fantástico, ProgMaq.

Mi más sincera enhorabuena por tu trabajo y por compartirlo con la comunidad.

Por cierto, ¿llegaste a obtener algún tipo de respuesta oficial por parte de Jazztel cuando reportaste la vulnerabilidad hace unos días?


Un saludo.
 
#12
Re:

Slennox dijo:
Fantástico, ProgMaq.

Mi más sincera enhorabuena por tu trabajo y por compartirlo con la comunidad.

Por cierto, ¿llegaste a obtener algún tipo de respuesta oficial por parte de Jazztel cuando reportaste la vulnerabilidad hace unos días?


Un saludo.
De momento ninguna, aunque menos me esperaba yo, ya que me respondieron al mensaje indicando que darían "parte".

El exploit que uso en ese programa no es peligroso, pero el que yo reporte, permite que cualquiera desde la WAN pueda acceder remotamente a una shell del router como usuario ROOT.

¿Qué significa esto?

- Se podría observar los datos no cifrados que viajan por nuestro router y los equipos conectados a este.
- Se podría inutilizar el router con tan solo eliminar la memoria flash del dispositivo.
- Se podría obtener los datos SIP y realizar llamadas, con la sorpresa al usuario cuando llegue la factura telefónica.

Desde mi punto de vista, es muy recomendable usar un router neutro, más un ATA para no perder el teléfono y dejar este router en un cajón.
 
#13
Re: PROGMAQ ZTE ZXHN H218N EXPLOIT

Impresionante, muchas gracias.
A mí me ha dado error al ejecutarlo sin parámetros:

>>>>>>>>>>>>>>>>><<<<<<<<<<<<<<<<<
>>> PROGMAQ ZTE ZXHN H218N EXPLOIT <<<
>>>>>>>>>>>>>>>>><<<<<<<<<<<<<<<<<

(1/7) Identificandome en el servidor WEB [OK]
(2/7) Definiendo ruta para alojar backup [OK]
(3/7) Activando los servicios necesarios [OK]
(4/7) Generando copia actual del sistema [OK]
(5/7) Petición de backup al servidor WEB [OK]
(6/7) Descargando datos generados en XML [ERROR]
java.net.ConnectException: Connection refused: connect
at java.net.DualStackPlainSocketImpl.connect0(Native Method)
at java.net.DualStackPlainSocketImpl.socketConnect(Unknown Source)
at java.net.AbstractPlainSocketImpl.doConnect(Unknown Source)
at java.net.AbstractPlainSocketImpl.connectToAddress(Unknown Source)
at java.net.AbstractPlainSocketImpl.connect(Unknown Source)
at java.net.PlainSocketImpl.connect(Unknown Source)
at java.net.Socket.connect(Unknown Source)
at java.net.Socket.connect(Unknown Source)
at sun.net.ftp.impl.FtpClient.doConnect(Unknown Source)
at sun.net.ftp.impl.FtpClient.tryConnect(Unknown Source)
at sun.net.ftp.impl.FtpClient.connect(Unknown Source)
at sun.net.ftp.impl.FtpClient.connect(Unknown Source)
at sun.net.www.protocol.ftp.FtpURLConnection.connect(Unknown Source)
at sun.net.www.protocol.ftp.FtpURLConnection.getInputStream(Unknown Sour
ce)
at main.Main.download(Main.java:144)
at main.Main.start(Main.java:51)
at main.Main.main(Main.java:22)



Al ejecutarlo así (con el usuario estándar que te dá jazztel):

D:\Temp>java -jar pm-exploit-zte.jar 192.168.1.1 avanzado avanzado

ya me ha funcionado.
Gracias de nuevo!.
 
#15
Re: PROGMAQ ZTE ZXHN H218N EXPLOIT

Bueno. Ayer lo probé.

No puedo decir mas que muy fácil, muy rápido y todo perfecto.

El configurar luego el software para usar los teléfonos, ya es otra historia, pero la obtención de los datos necesarios para ello es de matrícula.

Un diez para ProgMaq
 
#16
Mil gracias en nombre de todo el foro. Es una maravilla disponer de algo así, simplemente para que podamos tener número fijo con la fibra.

Gracias de nuevo.
 
#17
Re: Re:

ProgMaq dijo:
kew dijo:
Muchas gracias.......

Esto no funcionaria en un 298 verdad .....?

Saludos.
No dispongo de ese modelo, aunque tenía entendido que se podía obtener con el archivo de BACKUP desde el propio router y luego hacer uso del programa offzip.

Si ya no funciona ese método, me podrías mandar un privado con los datos de acceso a tu router y ver si es posible hacer un exploit.
Yo tengo los datos que fueron sacados con offzip, pero ese método ya no
funciona con los nuevos firmwares al igual que el 218.

Saludos.
 
#18
Re: Re:

kew dijo:
ProgMaq dijo:
kew dijo:
Muchas gracias.......

Esto no funcionaria en un 298 verdad .....?

Saludos.
No dispongo de ese modelo, aunque tenía entendido que se podía obtener con el archivo de BACKUP desde el propio router y luego hacer uso del programa offzip.

Si ya no funciona ese método, me podrías mandar un privado con los datos de acceso a tu router y ver si es posible hacer un exploit.
Yo tengo los datos que fueron sacados con offzip, pero ese método ya no
funciona con los nuevos firmwares al igual que el 218.

Saludos.
Te he mandado un privado.
 
#19
Un técnico oficial de Jazztel de este foro se ha puesto en contacto conmigo sobre el exploit que afecta a la seguridad de este router.

Le he comentado en que se trata el fallo y como solucionarlo.
Espero tener respuestas pronto.
 
Arriba