Acceso Administrador ZTE F660 Entel Bolivia FO

EDIT: @root ha logrado dejar el ZTE F660 en “bridge mode” para los que tengan mejores routers. Se viene otro post pronto, si quieren que les avisemos a su correo, créense una cuenta y activen las notificaciones.

Empezaremos inaugurando el foro — con algo que nosotros no teníamos planeado. Pero lo mostraremos rápido.
Tengo un punto de Fibra Óptica de Entel en mi casa, buscando abrir unos puertos vi que la interfaz está bloqueada y no se podía acceder a la cuenta de administrador, que se supone puede abrir los puertos.

En resumen, @root le hizo algo a mi router (algo de dnsmasq me dijo) y la consiguió. Ahora la pongo para el beneficio de la comunidad:

Usuario: admin
Password: 4FR0D!74@#2015

Llamé a Entel el viernes y me dijeron que no puedo y que debo pagar 2000 Bs/2 Mb para IPs públicas, pero yo no necesito IPs públicas, sólo un servicio de Internet funcional.

Me di cuenta que se ha puesto de moda cerrar los accesos de los routers de casa — hace años yo podía entrar a mi línea ADSL de Entel y abrir puertos a gusto (épocas de Dota), pero ahora me parece malo que no se puedan hacer esas cosas, siento que son restricciones arbitrarias (acceso admin al router del usuario ha existido desde el inicio, recién es donde se ha ido cerrando por motivos económicos).

Si desean agradecer a alguien pueden hacerlo a @root, sobre el tema estoy interesado en seguir profundizando.
Disfruten el aporte, pueden comentar si desean en éste hilo.

Hola a todos

Hoy he llamado al call-center de Entel, para reportar una vulnerabilidad del firmware (la password de admin salió gracias a dos bugs de dnsmasq fresquitos!), me pasaron con “área tecnica” pero ellos no entendían nada, bla bla bla pérdida de tiempo nomás (al menos los bugs no son sencillos de explotar, tendría que hacerlo un pentester medianamente experimentado)

Parece que a los señores de Entel no les importan mucho estos temas, y si esto es realmente así, me daría cosas usar su servicio D’:

Por suerte no rompí el router de @jam y me gustó jugar con el ZTE. Esta es una de las pocas veces que me animo a jugar con cosas Linux no-x86, esperamos poderles traer más cosas sobre este router que parece que los de Entel lo usan bastante, (en un principio pensé que usaban Huawei)

Hola buenas estaba buscando sobre la técnica que usaste para acceder al ZTE y según veo es que usaste la techica dnsmasq y veo que eso es para montar un servidor dns y no entiendo cual es la vulneravilidad que usaste si me podrías dar más información seria de mucha utilidad

Hola chicos, primero que nada gracias por el aporte por que como usuarios de fibra hogar creo que tenemos derecho a abrir puertos para nuestros servicios de entretenimiento, una pregunta, supongo que el vector de ataque fue que mediante dnsmasq hacer que el router les pase la informacion del servidor TR-069?? ya que hay un exploit nuevo de Dataleak entonces si mareamos al router para hacerle pensar que somos el servidor TR-069 en teoría este nos pasaría el nombre de usuario y contraseña del mismo, es correcto?? podrías por favor @root explicarnos un poco como se realiza el vector de ataque, obviamente con fines didácticos, gracias!

Saludos gente, yo estoy entre que quiero y no quiero irme a 3N-T3L.
Estuve visistando su multicentro y como me esperaba la persona que me atendio creo que me dijo puras “mentiras”. Le pregunte si tenia limitaciones la fibra con programas P2P (respuesta: Ninuga), pero si no hay un upnp en el router pues de adorno estaran los programas p2p… tambien le pregunte si el IPTV lo podia “poner” en mi confiable PC (respuesta: por su parte, lo puede hacer)… jajaja que chango este que me atendio.

Leia por ahi que los router son o zt3 o guaywey, los zt3 segun lei con 4 puertos rj45, y creo que esta es la limitante de porque te ofrecen solo 3 accesos de IPTV en la conexion, INTER+3IPTV… (pense que era porque verificaban los feeds o ancho de banda por udp)., asi que en teoria creo si sabes las vlan (y demas configuraciones de 0nT), y logras poner el bendito zt3 (u otro) en modo bridge podrias distribuir el iptv a otros dispisitivos.
Sin embargo tambien vi por ahi que los equipos clientes sbt iptv de 3nt3l tienen encriptacion VeraCrypt, por lo que de nada te servida “abrir” la configuracion de las vlan, seguirias viendo “rayas y hormigas” en cualquier otro cliente iptv que no sea el oficial.

En fin, segun san google (que no hay mucha info), al parecer 3n-t3l no te da un internet tan libre.

Tambien vi como, un usuario de otro operador en el exterior, pudo conseguir los datos de su 0nT de su proveedor (igual o parecido al de 3nt3l), pero via “puerto serial” (con un simple conversor ttl-USB (que tengo uno asi que estoy tentado a 3n-t3l por este detalle), pero no se si alguien se animo a abrir la cajita magica que te da 3nt3l ??? sera que tiene el puerto serial abierto ???
(busquen naseros en san google)

En todo caso, las actualizaciones remotas ellos si las pueden hacer para todo, desde el 0nT y los STB IPTV, pero no creo que las hagan cada semana; tampoco creo que los 0nT los hayan cazado con sus MAC a sus equipos “aguas arriba”, ya que seria una “tarea de hormiga” para todos sus posibles clientes por lo que colocar un 0nT de otra marca “creo” si es posible (pero claro para eso si o si necesitas todos los datos del 0nT de 3nt3l). Seria bueno que sigamos compartiendo info de este servicio, si al fin de mes me animo a contratar el servicio pues les estare informando si es posible usar el puerto serial.

Saludos.

@tuxgentoo usé un bug parecido al CVE-2017-14491 para obtener una shell, los bugs de buffer overflow son ya tradicionales en Sistemas, hay más bugs relacionados pero el dnsmasq del ZTE es una versión muuy limitada y no los he probado.
No puedo ofrecer código ni PoCs, lo siento (de todas maneras no son la gran cosa)

@cchelo No, solo quería una shell y colarme a la partición de datos (usaría telnet pero hay una regla DROP en el firewall para el servicio, además dnsmasq corre sobre root de todas maneras).

TL;DR: estás en lo cierto con el TR-069.

Hay dos sesiones PPPoE en el router: una de internet y otra del TR-069, en un inicio tenía entendido de que lo hacían como AXS todo por la misma línea, pero si realmente hacen sesiones PPPoE aparte, eso abre posibilidades interesantes (y probablemente ilegales, si tienes el router en modo puente, uno no necesitaría estar jugando con el TR-069 si no es por hacer pentesting que los de la ISP no van a agradecer DX).

Pero sí, posiblemente TR-069 no usa firmas digitales o cifrado, se puede probar una única conexión temporal por PPPoE y emular un cliente que le pida la configuración, donde vendrían los datos necesarios, incluyendo las claves (muy probablemente en un bloque XML ya que estas configuraciones no son estándares). No sé nada sobre ésto, si lo consigues sería genial compartirlo

Por otro lado sospecho que, aunque se le hagan cambios muy profundos al router, reseteándolo puede volver a la config original de la ISP (modo router con su TR-069 bien puesto y su Wi-Fi con el nombre original). Si alguien me puede confirmar esto sería genial n.n

@jabberwocky no somos hackforums tampoco black hats que conste que les he reportado a ellos algunos bugs y nunca me han dado respuesta. Y si, los ejecutivos solo quieren que contrates, a mi me dijeron que su wifi es el más fuerte (fui a averiguar, uno de mis familiares quiere contratar el servicio en la casa, me conviene así juego con el router)

Lo del IPTV ni idea la verdad, supongo habrá algún tipo de DRM así otros receptores IPTV no funcionarían, si existe éste DRM pues no creo que sirva ninguna configuración del router para aumentar más clientes IPTV que no hayan logrado entrar al contrato.

Lo del puerto serial es probable que funcione (ojo yo no lo vi) pero igual vi en foros españoles que se puede neutralizar con una actualización de firmware. De todas maneras @jam parece no tener quejas de su servicio, puedes contratar sólo internet y probar (él usa Tigo Star para TV).

Lo que veo sugiere que:

1. No actualizan el firmware desde 2015
2. Si hay admin centralizada para IPTV pues probablemente pueden encontrar ovejas negras tan fácil como reordenar una columna de Excel
3. Por lo que vi no hay DRM en el internet excepto algunos códigos que parecen genéricos y estándares, quizás si se pueda usar el internet con un router pro o receptor de fibra propio, me parece muy interesante intentarlo
4. Desde que uno logra una shell como root ya puede hacer lo que quiera (creo saber cómo destruir al cliente TR-069, en estos días lo quiero probar y así publicar un tutorial para activar el modo puente)
5. El router usa memorias NAND y la partición principal parece r/w (wtf), hay que tener cuidado con lo que se borra. Igual sería genial ver si hay firmware de Entel disponible para instalar, por si uno borra algo importante.

Hola root,

Espero tu post de como colocarlo en modo puente. Aunque ando curioso si con eso efectivamente se cortaria el VozIP (sin mas equipos en la red claro)

• El wifi de este equipo al parecer es malisimo, comparada con opciones de tplink o asus, asi que bueno otra “mentirilla” de los ejecutivos.

• Pues ayer estuve casi todo el dia investigando este modelo, al parecer era el mas utilizado alla por el 2014-2015 en españa, recien a finales del 2016 lo cambiaron por otro modelo, motivo por el cual creo que no hubo mas actualizaciones del 2015 para aca.

• Respecto al firm, pues si entras por el serial y ejecutas el update manual el router descarga el .bin en la carpeta /var/tmp. Hasta donde se, 3n-t3l solicito logos personalizados en el firmware en las compras publicas que hizo de estos equipos asi que el bin es unico, pero habra que probar si no sale “NOT FOUND” cuando se ejecuta este comando. Sin embargo un reset (seria igual con actualizacion para recuperar algo borrado) provoco que el router no se sincornice mas con algunos usuarios, motivo por el cual todos los datos de la fibra los tienes que tener a mano antes de hacer nada (ademas un backup de los settings del router) para dejarlo como nuevito.

• Respecto al reset (HARD reset), y como menciono arriba, hay opiniones divididas, algunos usuarios en españa reportaron que todo volvia a default del operador, pero otros indicaban que no se sincronizaba mas sus equipos. De nuevo la unica manera de habilitar algo sin que se borre por un reset normal (o corte de energia) es el puerto serial (yo creo que habilitaria el tenet por si las moscas).

• Nunca lei que cerraran el serial, si que utilizaron adaptadores con mas de 5V (el puerto serial de un pc de escritorio tiene 15V), o conectaron al revez el tx y rx del adaptador y por estos motivos no se comunicaron con el router. No creo que a estas alturas cierren el serial, pero seria bueno que nos des mas luz del kung-fu que usaste por si acaso… jejejeje

• Lo del IPTV es cierto, por mas que distibuyas la vlan a toda tu red (evitando la limitante fisica de 3 dispositivos), sin un deco autorizado pues no ves nada. Aunque puedes jugar con un emulador cam, seria usar otro kung-fu para saber los datos del aparatito stb iptv, y es algo a ciegas ya que la verdad no hay mas info en toda la red de esto. Sin emargo seria interesante que vayas a solicitar un 4 stb iptv al multicentro, haber que te dicen jejejejeje…

• Lo del acceso remoto del operador, pues segun leia tienen un puerto especifico para esto, seria bueno escanear los puertos usados por el router para ver por cual entran.

Como dije yo estoy esperando ver si me cambio a fin de mes, pero bueno lo mas que haria seria dejarlo en modo bridge (por el tema de upnp), y de ahi no creo que lo tocaria mas.

Saludos.

@root cual es el exploit que usaste?? es al puerto del dns imagino? a ver si nos puedes dar un poco mas de luces para hacer una pequeña PoC

Y al final, estimados, no pusieron alguna guía de como colocarlo en modo BRIDGE… seria muy bueno comenten que posibles configuraciones hay.

Saludos.

Si, es verdad que estamos tardando de más: he descubierto que, con el firmware de Entel del ZTE F660, no se puede hacer un bridge de verdad desde el sistema web. Hay una opción de Port Binding, pero usa un truco sucio de iptables y los paquetes que no son IP directo (o sea PPPoE y familia), no salen del ONT.

Por el momento puedo adelantar que hay firmwares customizados como el de ETB ¿Colombia? que tienen una opción llamada Layer2Bridging que sí hace lo que yo busco. Quizas el firmware original de ZTE tenga esa opción.

La shell interna tiene Cfg, parece que es posible replicar a mano Layer2Bridging manejando al crudo las configuraciones XML. Esto nadie en Internet lo hizo, he andado 100% a ciegas y hace 2 semanas maté unos archivos por idiota y el router se bloqueó.

Lo dejé apagado un día, le hice un hard reset y quedó nuevo y funcional (con el WiFi y el internet funcionando). Con eso, sospecho que el firmware que los técnicos cargan al instalar el servicio, ya viene con los datos de la cuenta admin y del TR-069.

Si alguien tiene acceso a una copia del firmware original de ZTE, sin customizar (o sea, no el firmware de Entel ni de otro proveedor), puede dejar un link y así ya dejaré de editar el mugroso Cfg a mano.

El router nos permite hacer un “bridge” parcial de lo que nos interesa: Puentear la VLAN 200 donde está el Internet, sin tocar lo demás, sea VozIP, IPTV o TR-069.

Cita root
no se puede hacer un bridge de verdad desde el sistema web. Hay una opción de Port Binding, pero usa un truco sucio de iptables y los paquetes que no son IP directo (o sea PPPoE y familia), no salen del ONT.

No soy un experto en informatica, asi que no estoy seguro a que te refires con paquetes que no sean pppoe ???. El que otro router gestione el pppoe ya dejaria a todos los clientes detras de este nuevo router tengan acceso a internet “plano y llano”, o estoy mal informado?

Es cierto puedes crear un BRIDGE del vlan200 (previamente borrando el internet 200) asociando al LAN1, y otro router gestione el pppoe por este LAN1 (y bueno recien me anime a firmar contrato con la FTTH de 3nt3l y empece a “urgar” este zt3), asi no pierdes el V0Z1P y conservas el 1PTV.

Cita root
Lo dejé apagado un día, le hice un hard reset y quedó nuevo y funcional (con el WiFi y el internet funcionando). Con eso, sospecho que el firmware que los técnicos cargan al instalar el servicio, ya viene con los datos de la cuenta admin y del TR-069.

Pues la verdad que vi que el firmware deja colocar 2 archivos de configuracion, uno FACTORY CONFIG (creo se llama asi), y otro USER CONFIG, esto con la intencion de que el OPERADOR via telefonica pueda arreglar cualquier metida de pata del usuario tan solo apretando el botoncito de atras, jejeje…

Algo que me parece muy curioso, es que la conexion del ONT (zt3), que supuestamente es GIGABIT, al conectarse con my edgerouter (ubiquiti) despues de unos segundos/minutos aparece como 100mbps (pierde su condicion GIGABIT???), estoy usando un cable cat7, asi que no pues “PLOP”…!!!
Tambien me parece “curioso” con respecto al 1PTv, que el router te de supuestamente GIGABIT en esos puertos (LAN2, LAN3, LAN4), y que sus stb sean 100mbps… no pues otro “PLOP”…!!! que “desperdicio” de ancho de banda.

Respecto al firmware, la verdad no vi nunca publicado uno que sea FACTORY DEFAULT, creo que es mas factible comprarse un ONT de ebay que vienen nuevitos de fabrica (que anda por los 300 bs creo), pero claro para que “aguas arriba” te den de alta este nuevo ONT debe dejar “editar” el SERIAL NUMBER para que cuadre con el de 3nt3l. La verdad lei algo de eso en internet, pero no creo que me vaya a comprar un nuevo ONT =) para probar.

Saludos.

Buenas James0, podrías compartir por favor cómo poner en modo bridge

Hola, tengo una duda , soy un chico que deseaba abrir puertos para crear un servidor de un juego y asi jugar con mis amigos desde sus casas y bla bla bla (jaja no me juzgen) ,me di cuenta que el router que nos da Entel tiene restringida esa opcion , lei toda la discusion y estoy maravillado de todo lo que hablan me senti como un bebe en una mesa de adultos , mi pregunta es, ahora con el password y el usuario que @root nos facilito puedo abrir puertos , si lo hago entel me llamara la atencion??? me va a querer cobrar un monto de dinero por abrir un puerto para mi servidor??? , disculpen la pregunta tonta y la ignorancia. Gracias.

Edit: Felicitaciones a los creadores de esta pagina estoy asombrado.

estamos en las mismas alguna solución

Buenos días, alguien logro abrir puerto 80 de estos desgraciados totalmente funcional?

Gracias…

Hola saben cual es el acceso de administrador en los ONT de Entel?

Quiero comentarles que he podido poner el router en BRIDGE y obtener por CLI la password de la PPPoE… con esto hice el marcado desde otro router y funciona bien. Lo malo de entel es que la IP pública está detrás de un NAT, por lo que es imposible configurar un DYNDNS o un portforwarding.

Lo que si he podido hacer, es acceder a mi ip publica de la red de entel, desde otros enlaces entel, así que he podido levantar VPN entre oficinas que tienen enlaces Entel.

Si alguien necesita ayuda con esto, me puede escribir [email protected]

Buenas noches, gracias por admitirme en este foro, tenia tiempo sin poder acceder a la configuración del router que me proporciono ENTEL ZTE F660.
Navegando por Internet llegue a este foro y la solución la encontré de entrada. Agradezco que hayan proporcionado el usuario y contraseña de este modelo de router.
Siendo sincero tengo conocimiento muy escaso sobre estos temas, sin embargo cada día se aprende algo nuevo. Nuevamente gracias.

Buenos días a todos,

Alguien a podido conectar Internet e Iptv en el mismo equipo, es decir tener internet y television con el mismo cable de red.

Lo que se desea es conectar un switch y llevar a otros lugares para poder conectarse y tener ambos servicios

Como puedo abrir puertos ? e intentado por port forwarding y nada creo.
Creo q es bloqueo del ips directo
Configurando modo BRIDGE se soluciona ???
Y cual es la manera correcta de hacerlo
Gracias de antemano