El post que buscas se encuentra eliminado, pero este también te puede interesar

Contraseña - Password / Router Amper BHS ASL-26555

Anuncios

Existen varios post por internet donde salen distintas contraseñas para acceder al menu del router amper bhs asl-26555_cl que entrega o cambia actualmente movistar en Chile. Mi problema era que ninguna clave funcionaba, necesitaba abrir puertos y estos canallas te cobran por eso!!.
Pero encontre, por internet, una pagina que te muestra tu NOMBRE DE USUARIO (USERNAME) y CONTRASEÑA (PASSWORD) actuales. (incluso yo la cambie y mostraba la clave actualizada), ya que este router tiene una "vulnerabilidad" o backdoor.

Asi que les dejo la pagina del link donde muestra su nombre de usuario y contraseña (es una pag propia para cada router)
http://192.168.1.1:8000/APIS/returnJSON.htm

MAS INFO
La vulnerabilidad de la que vamos a hablar nos permite control total sobre el dispositivo con permisos de administrador. Es curiosa por su forma de ser y porque haya pasado desapercibida.

Como hemos dicho antes, la forma de gestionar el router es a través de un panel web con autenticación que corre en el puerto 8000. La sorpresa es que en el mismo servidor web tenemos un directorio llamado /APIS/, que no requiere autenticación. Nos devuelve error 404 cuando lo visitamos, pero si sabemos los nombres de los ficheros que tiene podemos hacer llamadas a los mismos.

Nos permite hacer diferentes llamadas para leer prácticamente toda la información de la configuración. Hay una llamada especial, con el nombre returnJSON.htm, que nos devuelve los credenciales del administrador.

$ curl http://192.168.1.1:8000/APIS/returnJSON.htm
{
"RETURN":{
"success": true,
"errorDescription": "ERROR_GENERAL"
},
"USER":{
"USERNAME": "admin",
"PASSWORD": "adm1n_passw0rd_exposed"
}

Con ésto podemos autenticarnos en el panel web y gestionar el dispositivo.

Dado que dicha API no está documentada por ningún lado y no requiere autenticación, da la sensación de que el fallo es en realidad un backdoor que se dejó el fabricante original para poder acceder a información del dispositivo aunque no se conozcan los credenciales.

Hay que añadir que con la configuración que carga Movistar en los routers, nadie fuera de nuestra red interna o de las redes de Movistar puede utilizar esto, ya que el servicio no es accesible por red sin contar esas dos excepciones.



Y la pagina de donde lo saque y pueden obtener mas info (los creditos a esta pagina, yo solo difundo para los q tuvieron mi problema y no darles plata facil a los de movistar, por un servicio - lo de abrir puertos- q mundialmente es gratis )
http://www.securitybydefault.com/2012/08/nuevos-routers-asl-26555-de-movistar.html

Salu2

Anuncios

8 comentarios - Contraseña - Password / Router Amper BHS ASL-26555

@Wladytheone +1
funciono a la primera, muchas gracias
@xuiz1445
Buena viejo Gracias ^_^
@gba741
Funciona a la perfeción graaacias por el dato
@aic00
buenisima!!!gracias.