          _____                     _ _____ _                            
         /  ___|                   | /  ___| |                           
         \ `--. _ __   ___  ___  __| \ `--.| |_ _ __ ___  __ _ _ __ ___  
          `--. \ '_ \ / _ \/ _ \/ _` |`--. \ __| '__/ _ \/ _` | '_ ` _ \ 
         /\__/ / |_) |  __/  __/ (_| /\__/ / |_| | |  __/ (_| | | | | | |
         \____/| .__/ \___|\___|\__,_\____/ \__|_|  \___|\__,_|_| |_| |_|
               | |                                                       
               |_|                                                       
                        _                               
                       | |                              
                       | |__  _   _ _ __   __ _ ___ ___ 
                       | '_ \| | | | '_ \ / _` / __/ __| 
                       | |_) | |_| | |_) | (_| \__ \__ \        #2
                       |_.__/ \__, | .__/ \__,_|___/___/
                               __/ | |                  
                              |___/|_|  
 

    -- [ SpeedStream bypass part 2


Encore une fois je revient a l'attaque sur le speedstream 5200 et leur
quipe de merde. Aprs une vulnrabilit qui dump la config , ainsi que
les passwords en clair, j'ai trouver un autre moyen de bypasser leur
protection de merde pour la configuration. Bon ici ce ne sera pas de
pouvoir acceder au ftp ni au login et au pass mais de completement
dsactiver la scurit sur le modem. Je donnerai ici toutes les maniere
possible de configurer le modem/router sans etre forcer de se logger en
administrateur.

Pour les incultes qui ne savent pas encore unlocker leur modem (soit
dit en passant, apres ma technique ont n'en aura plus rien a foutre) il
y a ici une belle page sur un forum qui explique exactement comment faire
cela en 2 petites tapes:
http://www2.dslreports.com/forum/remark,11490618~mode=flat

Vous pouvez l'essayer mais cela est falcultatif. Toutes les techniques
seront prsente histoire de se faire une tite dmz quand ont est dans une
compagnie ou encore du port fowarding ou de completement dsactiver le
firewall interne (si activ). 
Pour expliquer un peu la situation:
Le modem quand l'unlock est activ nous permet de voir des pages html pour
le configurer, ces pages html ne sont accessibles seulement si notre
addresse ip est valid par le modem. Je vous voit venir avec votre spoofing
lol mais non n'essayer pas j'ai dja essayer et cela ne donne absolument rien.
Continuont, les pages html contienne des bouton pour valider les choix que
nous avont fait dans l'interface donne a chaque page. Mais ou vont se logger
ces configurations, dans des scripts cgi. AHHHHHHHHH vous me voyez venir la
^^'. La restriction est seulement bas sur l'ip mais que pour les pages html,
et non pour la validation des scripts cgi. Mon dieu qu'il sont con !!!
ok pour vous le dmontrer je vais vous fournir un exemple bien concret avec
l'explication qui suit.

Maintenant que vous savez vous mettre en admin sur votre modem vous savez
que cette page existe, http://xxx.xxx.xxx.xxx/adscfg.htm qui reprsente
"Attack Detection System Configuration". Quand vous y acceder en admin (avec
la bonne ip) vous avez des ti checkbox pour enabler les options de votre
choix, et aussi pour les disabler ^^'. Imaginont que vous travailler dans une
entreprise et que vous voulez completement killer ce firewall mais que vous
ne posseder pas les droit d'acceder a la page web demande. Il vous suffit
de valider vos variable dans la page cgi y correspondant. Pour notre exemple
la page est ici: http://xxx.xxx.xxx.xxx/adscfg.cgi nous avont bien regarder
la source et nous avont rcuprer la variable adsMonNone et sa valeur "t"
qui soit dit en passant veut dire: Enable Attack Detection System = true
nous ont veut carrement le dissabler, rien de plus facile tapper cette requete:
http://xxx.xxx.xxx.xxx/adscfg.cgi?adsMonNone=f le f tant pour false.
vous recevrez un message disant a peu pres ceci: Form Input - Accepted 
Attack Detection System configuration saved
et vous pourez scanner avec nmap avec la mthode que vous voulez, c'est pas
beau ca. Voila pour la dsactivation de la scurit totale du modem.

Je vous ai fait une table avec toute les variables pour la configuration du
firewall ci-dessous.


 -----------------------------------------------------------------------------------------
|     Pages     |   Variables   |        Dfinitions        |     Valeurs des variables   |
 -----------------------------------------------------------------------------------------
|  adscfg.cgi   |  adsMonNone   | Active ou dsactive le FW |  t (activ) f (dsactiv)   |
|                -------------------------------------------------------------------------
|               |    AllMon     | Active ou dsactive toute |  t (activ) f (dsactiv)   |
|               |               |     les options du FW     |                             |
|                -------------------------------------------------------------------------
|               |               |  Active ou dsactive le   |                             |
|               |    AllLog     |  logging pour toute des   |  t (activ) f (dsactiv)   |
|               |               |    activit de Hacking    |                             |
|                -------------------------------------------------------------------------
|               |               |  Option du firewall pour  |                             |
|               |  monSameAddr  |      Same Source and      |  t (activ) f (dsactiv)   |
|               |               |    Destination Address    |                             |
|                -------------------------------------------------------------------------
|               |               |  Option du firewall pour  |                             |
|               |  logSameAddr  | le logging de Same Source |  t (activ) f (dsactiv)   |
|               |               |  and Destination Address  |                             |
|                -------------------------------------------------------------------------
|               |  monSrcBcast  |  Option du firewall pour  |  t (activ) f (dsactiv)   |
|               |               |  Broadcast Source Address |                             |
|                -------------------------------------------------------------------------
|               |               |  Option du firewall pour  |                             |
|               |  logSrcBcast  |  le logging de Broadcast  |  t (activ) f (dsactiv)   |
|               |               |      Source Address       |                             |
|                -------------------------------------------------------------------------
|               | monBadSrcAddr |  Option du firewall pour  |  t (activ) f (dsactiv)   |
|               |               | LAN Source Address On WAN |                             |
|                -------------------------------------------------------------------------
|               |               |  Option du firewall pour  |                             |
|               | logBadSrcAddr |       le logging de       |  t (activ) f (dsactiv)   |
|               |               | LAN Source Address On WAN |                             |
|                -------------------------------------------------------------------------
|               | monInvalidFrag|  Option du firewall pour  |  t (activ) f (dsactiv)   |
|               |               | Invalid IP Packet Fragment|                             |
|                -------------------------------------------------------------------------
|               |               |  Option du firewall pour  |                             |
|               | logInvalidFrag|       le logging de       |  t (activ) f (dsactiv)   |
|               |               | Invalid IP Packet Fragment|                             |
|                -------------------------------------------------------------------------
|               |   monTcpNull  |  Option du firewall pour  |  t (activ) f (dsactiv)   |
|               |               |          TCP NULL         |                             |
|                -------------------------------------------------------------------------
|               |   logTcpNull  |  Option du firewall pour  |  t (activ) f (dsactiv)   |
|               |               |   le logging de TCP NULL  |                             |
|                -------------------------------------------------------------------------
|               |   monTcpFin   |  Option du firewall pour  |  t (activ) f (dsactiv)   |
|               |               |          TCP FIN          |                             |
|                -------------------------------------------------------------------------
|               |   logTcpFin   |  Option du firewall pour  |  t (activ) f (dsactiv)   |
|               |               |   le logging de TCP FIN   |                             |
|                -------------------------------------------------------------------------
|               |  monTcpXmas   |  Option du firewall pour  |  t (activ) f (dsactiv)   |
|               |               |         TCP Xmas          |                             |
|                -------------------------------------------------------------------------
|               |  logTcpXmas   |  Option du firewall pour  |  t (activ) f (dsactiv)   |
|               |               |   le logging de TCP Xmas  |                             |
|                -------------------------------------------------------------------------
|               | monTcpFragPkt |  Option du firewall pour  |  t (activ) f (dsactiv)   |
|               |               |   Fragmented TCP Packet   |                             |
|                -------------------------------------------------------------------------
|               |               |  Option du firewall pour  |                             |
|               | logTcpFragPkt |       le logging de       |  t (activ) f (dsactiv)   |
|               |               |   Fragmented TCP Packet   |                             |
|                -------------------------------------------------------------------------
|               | monTcpFragHdr |  Option du firewall pour  |  t (activ) f (dsactiv)   |
|               |               |   Fragmented TCP Header   |                             |
|                -------------------------------------------------------------------------
|               |               |  Option du firewall pour  |                             |
|               | logTcpFragHdr |       le logging de       |  t (activ) f (dsactiv)   |
|               |               |   Fragmented TCP Header   |                             |
|                -------------------------------------------------------------------------
|               | monUdpFragHdr |  Option du firewall pour  |  t (activ) f (dsactiv)   |
|               |               |   Fragmented UDP Header   |                             |
|                -------------------------------------------------------------------------
|               |               |  Option du firewall pour  |                             |
|               | logUdpFragHdr |       le logging de       |  t (activ) f (dsactiv)   |
|               |               |   Fragmented UDP Header   |                             |
|                -------------------------------------------------------------------------
|               | monIcmpFragHdr|  Option du firewall pour  |  t (activ) f (dsactiv)   |
|               |               |   Fragmented ICMP Header  |                             |
|                -------------------------------------------------------------------------
|               |               |  Option du firewall pour  |                             |
|               | logIcmpFragHdr|       le logging de       |  t (activ) f (dsactiv)   |
|               |               |   Fragmented ICMP Header  |                             |
|                -------------------------------------------------------------------------
|               |               |  Option du firewall pour  |                             |
|               |  monUdpBomb   |    Inconsistent UDP/IP    |  t (activ) f (dsactiv)   |
|               |               |      header lengths       |                             |
|                -------------------------------------------------------------------------
|               |               |  Option du firewall pour  |                             |
|               |  logUdpBomb   |       le logging de       |  t (activ) f (dsactiv)   |
|               |               |    Inconsistent UDP/IP    |                             |
|               |               |      header lengths       |                             |
|                -------------------------------------------------------------------------
|               |               |  Option du firewall pour  |                             |
|               |  monIpZeroLen |      Inconsistent IP      |  t (activ) f (dsactiv)   |
|               |               |      header lengths       |                             |
|                -------------------------------------------------------------------------
|               |               |  Option du firewall pour  |                             |
|               |  logIpZeroLen |       le logging de       |  t (activ) f (dsactiv)   |
|               |               |      Inconsistent IP      |                             |
|               |               |      header lengths       |                             |
 -----------------------------------------------------------------------------------------
|  FwLevel.cgi  |               |                           |          0 (off)            |
|               |               |                           |          1 (Low)            |
|               |   fwNewLevel  |  Niveau de configuration  |         2 (Medium)          |
|               |               |        du firewall        |          3 (High)           |
|               |               |                           |    4 (ICSA 3.0a Compliant   |
|               |               |                           |         5 (Custom)          |
 -----------------------------------------------------------------------------------------
|  FwSnooze.cgi |    fwSnooze   |     Snooze interval       |        0 (Disable)          |
|                -------------------------------------------------------------------------
|               |   fwSnooze &  |   Snooze interval & set   |        1 (enable) &         |
|               |fwSetSnoozeTime|  the Snooze time interval |    <input text (minutes>    |
|                -------------------------------------------------------------------------
|               |   fwSnooze &    | Snooze interval & reset |        2 (reset) &          |
|               |fwResetSnoozeTime| the Snooze time interval|    <input text (minutes>    |
 -----------------------------------------------------------------------------------------


mot de la fin:
J'espere que vous avez aprcier cet article et que vous enculez encore plus
bell et leur imbcilite :) 

P.S. Il existe biensur d'autre form cgi permettant de configurer bien d'autre
     options dbiles mais cela ne sera pas aborder dans cet article. Trouver les
     (ca peut prendre du temps ^^') Certaines configuration peuvent tre bonne
     quand l'administrateur a mis des filtres sur les ip pour que son rseau soit
     construit comme bon lui semble. Ou encore quand vous attaquer de l'extrieur
     du rseau et que voulez mettre une addresse statique (no-ip, dyndns, etc)
     Innovez et aillez de la patience. Mais c'est a tester absolument.

Article crit par Night_Fall pour n0name
Greetz to all n0name crew, que je considre comme mes freres tous autant qu'ils soit :)

    -- [ night_fall