Fibra indirecta / ZTE H367A & ONT G010GP

#1
Hola a todos
Llevo bastante tiempo visitando el foro (aunque me acabo de registrar hace muy poco), lo primero felicitaros por el magnífico trabajo que habéis hecho con él, y lo segundo dar gracias a todos los que os pegáis el currazo de preparar tutoriales y ayudar a la comunidad ¡¡No se que haríamos sin vosotros !!

Os comentó un poco; hace unos días cambié del ADSL a la fibra indirecta de YOIGO (600mb, Fibra Movistar).
Cuando tenía el ADSL ya cambié el Router que YOIGO te dejaba por uno propio (me instalaron el ZTE H208 y se podía acceder al usuario ROOT por Telnet haciendo un reset, luego sendcmd y lo demás es historia....) y conseguí tener internet y telefonía funcionando con mi propio router.

Con la fibra esperaba poder hacer lo mismo, quizá complicarme un poco más la vida con el puerto serie o el método smb, pero al final sacar las claves SIP (tengo un teléfono IP nuevecito que quería probar)...
Sinceramente después de estos días creo que estaba muy equivocado.... He probado de todo y sigo como al principio....
Gracias a @Goldeneye poner el router neutro ha sido coser y cantar, pero sacar los datos SIP, es otro tema.... A mi no me han puesto el F680 y la cosa se complica...

Con la fibra indirecta (al menos en mi caso) han instalado:
Router ZTE H367A V1.0 (Firmware YOIGO V1) *Por cierto, he decir que el router no es malo, pero al estar tan capado no se puede hacer nada con él...
ONT Alcatel-Nokia G-010G-P (Rev 7)

*Voy a partir el post en dos partes, la primera con el meollo del asunto:

En primer lugar, el usuario root está inhabilitado, al menos por TELNET.
El único usuario que acepta por TELNET es admin (tampoco acepta el 1234 que se utiliza para http), y visto lo visto, probablemente la clave se genere aleatoriamente como pasaba en H208...
Además, aún haciendo un RESET y dejando el Router sin conexión, no he conseguido sacar la Pssw (luego os daré más detalles).

Una vez visto eso, no me dí por vencido.... destornillador, soldador, UART y estos son los resultados:
H367A_Total.jpg


Os inserto una captura de cerca y os detallo el orden de los pines:
H367A_detalle.jpg


VERDE: GND
AMARILLO: RX (Router) --> TX (Adaptador)
NARANJA: TX (Router) --> RX (Adaptador)

Por cierto... tenéis que soldar los terminales, no están montados....
Con esto hecho, Voilá, (Configuración de Putty para Serial: 115200 / 8 / 1 / No / No), ya tenía acceso al puerto serie, pero había un problema.... No podía loguearme de ninguna forma.

Cada vez que encendía el Router y trataba de loguearme pasaba esto:
salida_serie.jpg


Básicamente, no se puede escribir.... No sé que estoy haciendo mal, pero si intentaba escribir root, solo escribía:
r#oHoHtue
Si presionaba enter: escribía Y
Si presionaba Borrar: escribía @
Y así sucesivamente con cualquier tecla.
Probé a cambiar otras opciones de configuración de Putty (Sección Terminal>Keyboard & Features) pero no conseguí nada.

De hecho a partir de la última línea que veis en la pantalla (RegisterToLogcat), la única forma de que me pidiese el login era pulsando el botón derecho del ratón.
Además he probado desde varios ordenadores y siempre es lo mismo.
Lo peor de todo es que durante el arranque, si escribes cualquier cosa, si aparece correctamente.
De hecho, antes de cargar el kernel, te dá 3 opciones: Boot, Test y Norm, que se seleccionan pulsando 1,2 y 3 respectivamente (por defecto, sino presionas ninguna tecla en 10s entra en modo norm)
Pues bien, he conseguido entrar a boot (lo que demuestra que el 1 al menos lo reconoce antes de cargar el kernel) y a norm, pero imposible a test (pulsas el 2 y aparece en pantalla, pero se inicia en norm)
También probé a cambiar el voltage del puerto serie (3V & 5V) pero pasa exactamente lo mismo.

La verdad que al final desistí de este método (y básicamente por eso escribo este post)
¿Alguno sabe por que ocurre esto? ¿Estoy haciendo algo mal?
¿Pueden haber capado también el puerto serie por firmware? ¿Y si es así, habrá alguna opción para romperlo?

**La segunda parte del post... alternativas...
Como me gusta bastante trastear cualquier juguetito electrónico, y no tengo demasiado miedo de la terminal, pensé en sentirme un poco como Mr Robot y tirar de Kali (además llevaba tiempo queriendo probar esta distro)...
Ñeeec!! Error!!!

He probado varios métodos, y estoy en las mismas:
He tirado de Medusa e Hydra para intentar un poco de fuerza bruta, pero no parecen reconocer correctamente el login success, porque arrojan multitud de login válidos, tanto por Telnet como por Http, que obviamente no funcionan (sino estaría escribiendo un tutorial y no haciéndoos preguntas).
Probablemente se debe a mi inexperiencia con estas herramientas, además no sé si Hydra o Medusa tienen opciones para dejar las sesiones exitosas abiertas, y hay tengo un handicap grande.

Después encontré una herramienta muy chula que se llama Router Exploit.
La verdad, era el que mejor resultados dio, pero tampoco conseguí romperlo....

En primer lugar, no daba falsos positivos en los intentos de login, solo sacó dos login de más de 1500 combinaciones en 3 intentos (superadmin y super user), el problema es que no mantenía la sesión abierta, y al intentar entrar por otro terminal no podía acceder con esas claves (por lo que sigo intuyendo que tiene algún tipo de generación aleatoria).
Además cuando le pasé el autodescubridor (autopwn), solo lanzó 10 vulnerabilidades, y simplemente eran vulnerabilidades que no era capaz de confirmar.
Cuando las configuré y lancé una a una, ninguna estaba abierta.

En un intento desesperado, probé a usar una VPN privada que tengo y a atacar desde el lado WAN (estoy fuera del CGNAT) a mi propia IP Pública (obviamente la del router, no la del VPN ;)) pero al hacer un NMAP descubrí que estaría atacando directamente al CISCO de MASMOVIL, y eso ya me parecieron palabras mayores para sacar simplemente los datos SIP.

Y básicamente eso es todo, perdonad que haya escrito un post tan largo, pero quería dar todos los detalles posibles, primero para ayudar a cualquiera que esté como yo con la Fibra indirecta, y para que los que sabéis de estos temas de verdad (y no un novato como yo) pueda ayudar sabiendo por donde van los tiros.

Como nota al pie de página... también tiré de destornillador con la ONT (leí en otra web que a veces esos cacharros no encriptan los datos GPON, y son visibles por el log del puerto serie, sin necesidad de siquiera entrar a la shell.... ERROR, en este caso nada), y conseguí sacar los pines GND y TX(Router), el RX del Router no lo busqué por que no tenía intención alguna de loguearme:

ONT-G010GP-Total.jpg

ONT-G010GP-detalle.jpg


Y básicamente eso es todo, espero que podamos sacar un magnifico tutorial para este Router....
Un saludo a todos y muchas gracias por compartir conocimientos de forma desinteresada!!

Pd: si algún programador de ZTE lee esto .... GOOD JOB MAN!! (but we'll crack it anyway... :p)
 
Última edición:
#8
Ningún alma caritativa que haya podido echar un vistazo al tema??
Hola. Yo tengo ese router y ONT, instalado por pepephone, que es la misma empresa que Yoigo y Masmovil.
Me fastidiaba lo capado que estaba, pues yo soy de los que exprimen el router, ya que trabajo en casa y le pido bastante. Le dejé por imposible y puse de nuevo mi Asus N55U-D1 (nótese el D1, aunque es muy viejo, aún hoy salen firmwares para él, inexplicable).

Un fin de semana con tiempo, decidí dar otra oportunidad al ZTE, y entré fácilmente como admin/admin simplemente encendiéndolo sin conectarlo a la ONT. Una vez dentro, eliminé el TR069, y todo lo que pudiera volver a dejarme con el usuario 1234 pelao. Y nada más, tengo acceso a todo el router.

He probado a resetearlo conectado a la ONT y vuelve a caparse, pero simplemente cargando un backup hecho estando "descapado" vuelve a descaparse.

Es muy rápido, aunque tiene la pega de no tener wifi de invitados.

En la web de ZTE sigue por la version 1. ¿Sabes si hay firmware nuevo para él?
 
#9
Hola,
Me acaban de instalar este router de ZTE ZXHN H367A + un ONT de Nokia G-010-GP de Pepephone.
No he sido capaz de acceder como administrador con ninguna de las contraseñas que se comentan por ahí.
Únicamente conseguí acceder como usuario con 1234/1234 pero en el primer acceso me llevó a una pantalla para cambiar la contraseña sin más opciones. Así es que actualmente le tengo con 1234/micontraseña.
También he visto que habilitando el servidor FTP, se puede acceder (por FTP) con admin/admin. Sin embargo, la carpeta inicial está vacía y no me permite cambiar a otra (de las conocidas en linux).
No sé si esto último sirva de algo...
Saludos.
JP
 
#11
Hola,
Me acaban de instalar este router de ZTE ZXHN H367A + un ONT de Nokia G-010-GP de Pepephone.
No he sido capaz de acceder como administrador con ninguna de las contraseñas que se comentan por ahí.
Únicamente conseguí acceder como usuario con 1234/1234 pero en el primer acceso me llevó a una pantalla para cambiar la contraseña sin más opciones. Así es que actualmente le tengo con 1234/micontraseña.
También he visto que habilitando el servidor FTP, se puede acceder (por FTP) con admin/admin. Sin embargo, la carpeta inicial está vacía y no me permite cambiar a otra (de las conocidas en linux).
No sé si esto último sirva de algo...
Saludos.
JP
Pregunta...¿qué pretendes sacar del router? Porque si tienes pepephone (que no lleva teléfono ni tv) y tienes dos equipos por separado (ONT + Router, el que sea), la parte difícil ya la tienes hecha. Tu parte óptica la manera la ONT y ya tiene puesto el PLOAM password que necesita para conectar. Coges el Router que te han puesto, lo metes en una caja, enchufas el tuyo a la ONT, configuras la vlan 20 en el puerto WAN, tipo de conexión DHCP... y ya estás navegando.

Está muy bien lo de querer entrar a destripar el router destornillador en mano, pero de verdad hay veces que es mejor ver qué es lo que se pretende antes de tirarse a la piscina. Porque en tu caso, no lo necesitas en absoluto. Lo mismo le digo al autor del hilo, si lo único que pretende es montar la parte de navegación. Para lo que sí necesitaría destriparlo es para sacar las claves del teléfono, que es lo único que se queda en el router ZTE H367A, cuando estás en fibra indirecta. Pero no para la parte de internet.

Saludos.
 
#12
Hola,
Me acaban de instalar este router de ZTE ZXHN H367A + un ONT de Nokia G-010-GP de Pepephone.
No he sido capaz de acceder como administrador con ninguna de las contraseñas que se comentan por ahí.
Únicamente conseguí acceder como usuario con 1234/1234 pero en el primer acceso me llevó a una pantalla para cambiar la contraseña sin más opciones. Así es que actualmente le tengo con 1234/micontraseña.
También he visto que habilitando el servidor FTP, se puede acceder (por FTP) con admin/admin. Sin embargo, la carpeta inicial está vacía y no me permite cambiar a otra (de las conocidas en linux).
No sé si esto último sirva de algo...
Saludos.
JP
Realmente conectarte en modo admin con ese router es muy simple. Ya lo han dicho por aquí antes, así lo conseguí yo (tras infinidad de intentos fallidos y tiempo perdido tontamente). Basta resetearlo sin estar conectado a la ONT, y ya puedes entrar como admin/admin. Y si no quieres que el operador te sobreescriba la configuración, pues le cambias algun dato en la parte de tr069. Si alguna vez tienen que entrar en él para soporte, pues lo reseteas y ya está. Una vez acaben los diagnósticos, cargas una configuración guardada cuando eras admin, y todo vuelve a estar bajo tu control (eso de que remotamente puedan entrar en mi red, en mi disco conectado por usb... no me gusta nada). Yo he dejado de usarlo, pero cuando lo usaba seguía ese método. No entiendo el motivo de restringir tanto los paneles. Yo quería cambiar las DNS, y 4 detalles más, pero estaba tan capado... De todas formas, entrar como admin es muy facil y no hay que hacer nada "fisico" al router, porque además el router es en cesión, y no se le deberían hacer cambios más allá de los de este tipo de entrar como admin. Quizá los operadores grandes no los reclamen, pero yo pedí un cambio de router (del Huawei a este ZTE) y vinieron a llevarse el Huawei.

En realidad lo de entrar como admin seguramente fue una casualidad de alguien que hizo reset sin tener internet y vio que podia entrar como admin, no fue ninguna ingeniería inversa :)
 
#14
Una pregunta. Por mi zona es orange quien ha realizado recientemente un despliegue de fibra óptica. Resulta que también me llega cobertura masmovil y yoigo. Esta fibra sería indirecta o sol o se considera indirecta cuando es a través de NEBA de Movistar???
 
#15
Una pregunta. Por mi zona es orange quien ha realizado recientemente un despliegue de fibra óptica. Resulta que también me llega cobertura masmovil y yoigo. Esta fibra sería indirecta o sol o se considera indirecta cuando es a través de NEBA de Movistar???
Creo que tanto masmóvil como sus filiales (yoigo, pepephone) ofrecen fibra sobre red jazztel/orange, y la consideran fibra directa. Te instalarán probablemente un ZTE F680.

Saludos.
 
Arriba