Tech Pulse Monitor

En un articulo anterior presente una vuln que me permitía obtener las credenciales de cierto modelo de DVR. El "Exploit" se puede resumir a una unica linea con curl: $> curl "http://< dvr_host >:< port >/device.rsp?opt=user&cmd=list" -H " Cookie: uid=admin " Resulta que el hallazgo no corresponde a un vendor en particular como originalmente supuse.

DVR Login Bypass Durante un ejercicio de seguridad sin buscarlo, encontré un dispositivo tipo DVR. Este dispositivo corria  un servicio web, que inmediatamente me presentaba un formulario de autenticacion como el siguiente:  Y es justo en este punto en el que por simple impulso intente el clásico "admin:admin". fue sin pensanrlo, realmente no estaba interesado en tener un caso de éxito y mucho menos seguir intentando combinaciones.  Lo que ocurrió a continuación lo voy a usar como titulo. Un "login successful" al vuelo Efectivamente  di con las credenciales correctas. Un caso de exito que no esperaba. La situiacion me dejo pensando y me plantee a mi mismo un nuevo escenario en donde no daba con esas credenciales.  Y me puse a trabajar sobre el dispositivo pero desde el contexto de un usuario ( atacante ? ) sinb credenciales validas Recursos javascript claves para resolver el "challenge"  Revisando los distintos JS, di con una función que seteaba coo...

Cuando ya no te funciona el: "admin":"admin"

  Tratando con servicios SNMP, durante un tiempo me  plantee como poder 'Sacarle Jugo' a aquellos OID, con privilegios de escritura.  Y de esa inquietud nace lo que mas tarde nombre con el nombre de ' Cross Protocol Injection '. Pero de antes de hablar de Vulnerabilidades y otras hierbas, algunas aclaraciones: SNMP - WALK  & SET - Por norma general al dar con servicios SNMP con ' community ' como ' private ' nos encontraremos ante la POSIBILIDAD de setear ciertos string. En la mayoría de estos casos, se podrá editar aquellos campos  ubicados en los siguientes OID: iso.3.6.1.2.1.1.4.0   ( System Contact  )  iso.3.6.1.2.1.1.5.0   ( System Name     )  iso.3.6.1.2.1.1.6.0   ( System Location ) 

  Otro servicio interesante con que cuentan muchos de los dispositivos de Schneider es el SNMP. ( protocolo simple de administración de red ) Definición de wikepedia: El  Protocolo Simple de Administración de Red  o  SNMP  (del  inglés   Simple Network Management Protocol ) es un protocolo de la  capa de aplicación  que facilita el intercambio de información de administración entre dispositivos de red. Los dispositivos que normalmente soportan  SNMP  incluyen  routers ,  switches ,  servidores ,  estaciones de trabajo ,  impresoras ,  bastidores de módem  y muchos más. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.

  Uno de los primeros 'inconvenientes' que me toco durante el trayecto del research, fue sobre la aplicación web. Mas precisamente en su renderizado.  Como ya antes había comentado, la lógica de las aplicaciones web que traen muchos ( no solo PLC ) de los dispositivos de  SCHNEIDER ELECTRIC , incluyen Applets de java.