Urlaubs Hack oder warum man keinem fremden Wifi trauen sollte.

Urlaubszeit ist Hacking Zeit!

Kaum auf dem Campingplatz angekommen fängt der Urlaub auch schon an. Es ist wunderbar warm und es ist ein schönes Gefühl neben der Monitorbräune etwas echte Sonne abzubekommen. Zuallererst wird der Bus aufbauen und das Vorzelt einrichten. So wie bei vermutlich allen anderen Campern auch abläuft. Nächster Schritt ein kühles Bier und den Abend genießen.

Dann kribbelt es aber auch schon in den Fingern. Stand in der Buchung nichts von WLAN am Platz? Also Flyer vom Platz geschnappt und schnell nach einem Wifi Passwort gesucht. Tada gut versteckt aber vorhanden. Gleich einloggen und mit dem Handy scannen, ob man den andere Devices anpingen kann.

Aber nein es war eine Fritzbox mit Gastnetz an der ich mich gerade eingebucht habe. LANGWEILIG!!!! Oh, aber was ist das? Ein Gerät antwortet, ein Repeater Accesspoint!  OK Handy weglegen und doch mal das Notebook nutzen.

Das WLAN-Signal des Repeaters sollte sogar stärker senden als das der Fritzbox. Ich konnte mich zum Repeater aber nicht verbinden, sondern wurde immer nur an der Fritzbox angemeldet. Das Signal der Fritzbox war aber so schlecht, dass ich es z. B. in meinem Bus oder auf dem Klo nicht nutzen konnte… No go!!!

Also mit nmap nochmal genauer geschaut, wie das Netzwerk so aussieht. Die FB 192.168.179.1 blockte ihr Webinterface im Gastnetz und man konnte nicht viele Infos bekommen. Der Repeater tauchte mit der IP 192.168.179.31 auf und gab ein paar Infos mehr zum Besten. Geräte Typ, genutzte Webserver Software, usw. Also im Gegensatz zur FB eine Menge Infos.

Derjenige, der das Netz aufgebaut hat, hat den AP also einfach ganz stumpf an den Gastnetz Lan Port der Fritzbox gehängt. Und dann mit derselben SSID und Passwort eingerichtet. Gut für mich, so konnte ich auch das Gerät komplett erreichen. Mit allen Diensten, die es so anbot, Webinterface etc.

OK es war in Wavlink (noch nie gehört) aber ein kurzes Googeln nach Wavlink und Exploit brachte folgendes Ergebnis.

Es gab also mal ein Backdoor in den Geräten von Wavlink. Und gleich der erste Link war ein Proof of Concept Exploit. Schauen wir doch mal, ob das Gerät davon betroffen ist. Oh, und wieder mal Glück gehabt, alles funktioniert auf Anhieb.

Ein Blick ins aktuelle Verzeichnis zeigt ein Script: „ExportSettings.sh“ Dieses Beinhaltete den Befehlt „ralink_init“. Ein Aufruf mit Parameter „-h“ Zeigt das man die aktuelle Config aus dem nvram anzeigen lassen kann. Also noch mal jetzt so: „ralink_init rt2860_nvram_show“ und schon sah man die gesamte Konfiguration incl. Passwort für das Webinterface.

Kurz ins Webinterface eingegeben, um zu prüfen, ob es tatsächlich das richtige war und siehe da. Es war das richtige. Über die Shell startete ich dann mal gleich das Gerät neu und jetzt war es auch wieder möglich sich an dem Accesspoint anzumelden.

Ende vom Lied ich habe noch etwas herum probiert. Man konnte jetzt z. B. eigene Binares nachladen und ausführen oder Telnet aktivieren. So war das „Arbeiten“ etwas einfacher als über den Exploit.

Am Ende habe ich alle wieder sauber hinterlassen und für mich war klar VPN in fremden WLANS ist Pflicht.

OK sauber nicht, ich konnte mir nicht verkneifen noch eine HTML Seite im Webinterface zu ergänzen.