Toon posts:

Wie 'o Wie weet dit raadsel

Pagina: 1
Acties:

Onderwerpen

Vraag


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
De vraag is heel simpel

Waarom heeft mijn router een 'dienst' draaien op een eigen IP adres binnen het netwerk, welke toegankelijk is via SSH (port 22) en wordt hier een app op herkent door nmap genaamd 'discord.io' achter poort nummer 1900. Hier zou een RTSP protocol achter zitten.

Het gaat om een TPLink Archer C58 die middels een DHCP de apparaatjes hun eten geeft. Deze router staat op zijn beurt weer voor een gare router/modem van tele2 die nu slechts dient als modem. ADSL dus.

Tele2 router: 192.168.1.1
C58: 192.168.0.1

gekke host: 192.168.0.64

en die gekke host heeft dus de volgende poorten met services:

22 SSH, open
53 DNS? open
80 HTTP filterd
1900 RTSP discord.io

Als ik probeer in te loggen via SSH met de inlog gegevens werkt dat, maar krijg ik geen console. Ze zeggen iets over een app ofzo die je kan connecten op je router en daar zou dan die poort voor zijn, maar het zit me voor mijn gevoel niet lekker.

Wie 'o Wie kan mij meer vertellen over deze geheimzinnige hoedanigheid.

Met vriendelijke groet.

Beste antwoord (via Verwijderd op 25-08-2017 13:40)


  • D-Three
  • Registratie: Oktober 2001
  • Laatst online: 28-09 22:06
Verwijderd schreef op vrijdag 25 augustus 2017 @ 13:06:
Inderdaad jongens goed gezien. Opeens is de gekke host verplaatst van 0.64 naar 1.64 ... wtf is hier aan de hand
Als het subnetmask 255.255.255.0 is, dan zou het ip adres 192.168.1.64 van jouw tele 2 modem moeten zijn en niet van jouw tp-link router.

edit:
Is dit niet gewoon het IP-adres die jouw router gekregen heeft van jouw tele2 modem? WAN-side dus.

[ Voor 13% gewijzigd door D-Three op 25-08-2017 13:37 ]

Alle reacties


Acties:
  • +1 Henk 'm!

  • g0tanks
  • Registratie: Oktober 2008
  • Nu online

g0tanks

Moderator CSA
Discord is een voice/text chat app, gebruik je het ook?

Ultrawide gaming setup: AMD Ryzen 7 2700X | NVIDIA GeForce RTX 2080 | Dell Alienware AW3418DW


Acties:
  • +2 Henk 'm!

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Ten eerste: die titel is echt zeer nutteloos. Laat 'm voortaan de lading dekken.

Ten tweede: dat nmap zegt dat 't discord.io is, is alleen maar omdat nmap een databaseje heeft met tcp/1900 > discord.io. Het kan net zo goed iets heel anders zijn.

All my posts are provided as-is. They come with NO WARRANTY at all.


Acties:
  • +1 Henk 'm!

  • Oogje
  • Registratie: Oktober 2003
  • Niet online
En als je in je router kijkt bij de DHCP leases staat dit adres ook uitgegeven? Met een mac-adres erbij?

Any errors in spelling, tact, or fact are transmission errors.


Acties:
  • +1 Henk 'm!

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Het MAC-adres ervan kun je ook gewoon in je ARP-tabel opzoeken, daar heb je je router niet voor nodig.

Helaas is 't vervolgens zonder managed switches lastig om te ontdekken aan welke switchpoort dat MAC-adres dan hangt.

[ Voor 37% gewijzigd door CyBeR op 25-08-2017 04:00 ]

All my posts are provided as-is. They come with NO WARRANTY at all.


Acties:
  • +1 Henk 'm!

  • MaffeMaarten
  • Registratie: December 2006
  • Laatst online: 08:53
Kan je letterlijk posten wat je terug krijgt als je via ssh inlogt? (Heb je die tekst zelf al in google geknald?)

Acties:
  • +1 Henk 'm!

  • Mattie112
  • Registratie: Januari 2007
  • Laatst online: 30-09 16:18
Maar heeft je router (.0.1) nou SSH open? Of één van je devices (0.64)?

3780wP (18x 210wP EC Solar) | 2x Marstek Venus E (5.12kWh)


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Jongens bedankt voor de reacties:

Als ik inlog via SSH met foutieve inlog data dan zegt putty bij voorbaat, verkeerde gegevens. Als ik inlog met de inlog data van de webapp (192.168.0.1) dan wordt ik doorgelaten, maar vrijwel direct daarna krijg ik:

https://i.imgur.com/xggBIBp.png

Ik gebruik zelf geen discord.

In de router staat niets over de extra host op 192.168.1.64, ook als alle extra toeters en bellen zijn uitgeschakeld is de host nog steeds online.

Ikzelf heb het gevoel dat ik op een backdoor ben gestuit welke slechts voor enkelen toegankelijk zou moeten zijn. of denk ik nu teveel in alu hoedje?

[ Voor 13% gewijzigd door Verwijderd op 25-08-2017 12:52 ]


Acties:
  • +1 Henk 'm!

  • efan
  • Registratie: Januari 2001
  • Niet online
Verwijderd schreef op vrijdag 25 augustus 2017 @ 12:50:
Jongens bedankt voor de reacties:

Als ik inlog via SSH met foutieve inlog data dan zegt putty bij voorbaat, verkeerde gegevens. Als ik inlog met de inlog data van de webapp (192.168.0.1) dan wordt ik doorgelaten, maar vrijwel direct daarna krijg ik:

https://i.imgur.com/xggBIBp.png

Ik gebruik zelf geen discord.

In de router staat niets over de extra host op 192.168.1.64, ook als alle extra toeters en bellen zijn uitgeschakeld is de host nog steeds online.

Ikzelf heb het gevoel dat ik op een backdoor ben gestuit welke slechts voor enkelen toegankelijk zou moeten zijn. of denk ik nu teveel in alu hoedje?
je gebruikt het verkeerde ip adres , geen 0.64 :X

Acties:
  • +1 Henk 'm!

  • dlocorotondo
  • Registratie: November 2010
  • Laatst online: 30-09 16:50
Jouw screenshot zegt iets anders namelijk 192.168.1.64...Dit maakt het raadsel wel leuker 8)

[ Voor 8% gewijzigd door dlocorotondo op 25-08-2017 12:56 ]


Acties:
  • +1 Henk 'm!

  • basdej
  • Registratie: Augustus 2010
  • Laatst online: 01:40

basdej

OutSystems Consultant

Instaleer Fing op je android telefoon en laat hem scannen naar apparaten.

Hoi.


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Inderdaad jongens goed gezien. Opeens is de gekke host verplaatst van 0.64 naar 1.64 ... wtf is hier aan de hand

Acties:
  • +1 Henk 'm!

  • dlocorotondo
  • Registratie: November 2010
  • Laatst online: 30-09 16:50
Doe eens dit: nmap -sV --version-intensity 5 192.168.1.64, hiermee zie je meteen welk OS het betreft. Sluit misschien het een en ander uit.

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
dlocorontondo

Dit is het resultaat

Starting Nmap 7.60 ( https://nmap.org ) at 2017-08-25 13:16 W. Europe Daylight Time

Nmap scan report for 192.168.1.64

WARNING: Service 192.168.1.64:1900 had already soft-matched rtsp, but now soft-matched sip; ignoring second value

Host is up (0.00s latency).

Not shown: 996 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh Dropbear sshd 2011.54 (protocol 2.0)

53/tcp open domain dnsmasq 2.62

80/tcp filtered http

1900/tcp open rtsp

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel


Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 50.72 seconds

Acties:
  • +1 Henk 'm!

  • efan
  • Registratie: Januari 2001
  • Niet online
Verwijderd schreef op vrijdag 25 augustus 2017 @ 13:17:
dlocorontondo

Dit is het resultaat

Starting Nmap 7.60 ( https://nmap.org ) at 2017-08-25 13:16 W. Europe Daylight Time

Nmap scan report for 192.168.1.64

WARNING: Service 192.168.1.64:1900 had already soft-matched rtsp, but now soft-matched sip; ignoring second value

Host is up (0.00s latency).

Not shown: 996 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh Dropbear sshd 2011.54 (protocol 2.0)

53/tcp open domain dnsmasq 2.62

80/tcp filtered http

1900/tcp open rtsp

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel


Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 50.72 seconds
heb je niet ergens een arduino or raspberry in je netwerk hangen?

Acties:
  • +1 Henk 'm!

  • dlocorotondo
  • Registratie: November 2010
  • Laatst online: 30-09 16:50
Ok lijkt op jouw TP Link router: https://www.sec-consult.c...ure_vulnerability_v10.txt

Deze heeft waarschijnlijk ook een beveiligingslek...

Doe eens curl -i -H "Accept: application/json" "192.168.1.64/login/../../../etc/passwd"

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ido,

Ik wordt vermoedelijk digitaal onder schot gehouden door een oude zaken relatie met teveel verstand van computers.

Zeker weten doe ik het niet maar het zou kunnen dat het daar vandaan komt

Een andere mogelijkheid is de APP die wordt geleverd aan klanten van C58 routers

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
dlocorotondo schreef op vrijdag 25 augustus 2017 @ 13:24:
Ok lijkt op jouw TP Link router: https://www.sec-consult.c...ure_vulnerability_v10.txt

Deze heeft waarschijnlijk ook een beveiligingslek...

Doe eens curl -i -H "Accept: application/json" "192.168.1.64/login/../../../etc/passwd"
Waar doe ik dit precies? ik heb geen console :'(

Acties:
  • +1 Henk 'm!

  • MaffeMaarten
  • Registratie: December 2006
  • Laatst online: 08:53
Als je er gewoon met je browser heen gaat? Krijg je dan geen inlogpagina van het één of ander.

curl draai je gewoon op je eigen pc, waar je ook nmap gedraaid hebt.

Acties:
  • Beste antwoord
  • +1 Henk 'm!

  • D-Three
  • Registratie: Oktober 2001
  • Laatst online: 28-09 22:06
Verwijderd schreef op vrijdag 25 augustus 2017 @ 13:06:
Inderdaad jongens goed gezien. Opeens is de gekke host verplaatst van 0.64 naar 1.64 ... wtf is hier aan de hand
Als het subnetmask 255.255.255.0 is, dan zou het ip adres 192.168.1.64 van jouw tele 2 modem moeten zijn en niet van jouw tp-link router.

edit:
Is dit niet gewoon het IP-adres die jouw router gekregen heeft van jouw tele2 modem? WAN-side dus.

[ Voor 13% gewijzigd door D-Three op 25-08-2017 13:37 ]


Acties:
  • +1 Henk 'm!

  • dlocorotondo
  • Registratie: November 2010
  • Laatst online: 30-09 16:50
Als je windows als besturingssysteem gebruikt zou je curl kunnen downloaden https://bintray.com/artif...url-7.55.1-win64-mingw.7z en vervolgens naar een locatie uitpakken en via de cmd naar het mapje bin/ gaan.

cd uitpaklocatie/bin
dan curl -i -H "Accept: application/json" "192.168.1.64/login/../../../etc/passwd" moet zijn: curl -XGET 192.168.1.64/login/../../../etc/passwd

is misschien iets te technisch :P

Zoals @toxicgrave @MaffeMaarten zegt, erna toe browsen is wellicht makkelijker hehe

[ Voor 16% gewijzigd door dlocorotondo op 25-08-2017 13:48 . Reden: Commando klopte niet ]


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
MaffeMaarten,

Ik krijg dit als ik het via nmap doe: https://i.imgur.com/Bppo4IG.png

Wel kan ik naar 192.168.0.1 gaan en daar proberen, ga ik proberen

D-Three

Het rare van het hele verhaal is, is dat gisteren de rare host bereikbaar was via 192.168.0.64

en vandaag via 192.168.1.64

check:

192.168.0.1 : https://i.imgur.com/ES0BGip.png

192.168.1.1 : https://i.imgur.com/EcfTRLB.png

192.168.0.64 : https://i.imgur.com/bCNNQtb.png

192.168.1.64 : https://i.imgur.com/jwTxj0H.png en https://i.imgur.com/eKFsMsq.png

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
D-Three,

Jij bent heel goed bezig:

https://i.imgur.com/9FtQtDy.png

Acties:
  • +1 Henk 'm!

  • dlocorotondo
  • Registratie: November 2010
  • Laatst online: 30-09 16:50
Dus je hebt een Tele2 Modem die DHCP serveert aan TP link en TP link weer aan andere apparaatjes? :)

Acties:
  • +1 Henk 'm!

  • D-Three
  • Registratie: Oktober 2001
  • Laatst online: 28-09 22:06
Verwijderd schreef op vrijdag 25 augustus 2017 @ 13:38:
MaffeMaarten,

Ik krijg dit als ik het via nmap doe: https://i.imgur.com/Bppo4IG.png

Wel kan ik naar 192.168.0.1 gaan en daar proberen, ga ik proberen

D-Three

Het rare van het hele verhaal is, is dat gisteren de rare host bereikbaar was via 192.168.0.64

en vandaag via 192.168.1.64

check:

192.168.0.1 : https://i.imgur.com/ES0BGip.png

192.168.1.1 : https://i.imgur.com/EcfTRLB.png

192.168.0.64 : https://i.imgur.com/bCNNQtb.png

192.168.1.64 : https://i.imgur.com/jwTxj0H.png en https://i.imgur.com/eKFsMsq.png
Bereikbaar? Op die screenshot van 192.168.0.64 zie ik net staan host down.
Maar links in het venster staat wel 192.168.1.64 :P

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Inderdaad dlocorotondo

en die DCHP van de tele2 heeft gewoon het 1.64 gereserveerd aan de TP link en dat was de host die ik dus per ongeluk had gevonden met SSH 8)7 8)7 8)7 8)7

[ Voor 5% gewijzigd door Verwijderd op 25-08-2017 13:43 ]


Acties:
  • +1 Henk 'm!

Verwijderd

Topicstarter
dlocorotondo schreef op vrijdag 25 augustus 2017 @ 13:34:
Als je windows als besturingssysteem gebruikt zou je curl kunnen downloaden https://bintray.com/artif...url-7.55.1-win64-mingw.7z en vervolgens naar een locatie uitpakken en via de cmd naar het mapje bin/ gaan.

cd uitpaklocatie/bin
dan curl -i -H "Accept: application/json" "192.168.1.64/login/../../../etc/passwd" moet zijn: curl -XGET 192.168.1.64/login/../../../etc/passwd

is misschien iets te technisch :P

Zoals @toxicgrave @MaffeMaarten zegt, erna toe browsen is wellicht makkelijker hehe
Ondanks het inmiddels bekend is heb ik toch even gedaan, puur om de nieuwsgierigheids kriebels te krabbe, maar hij geeft een timeout helaas https://i.imgur.com/Uo1u2Hf.png

Acties:
  • +1 Henk 'm!

  • D-Three
  • Registratie: Oktober 2001
  • Laatst online: 28-09 22:06
dlocorotondo schreef op vrijdag 25 augustus 2017 @ 13:42:
Dus je hebt een Tele2 Modem die DHCP serveert aan TP link en TP link weer aan andere apparaatjes? :)
Heb ik ooit ook nog gedaan, vandaar dat plots mijn licht ging branden ;) En in principe een dubbele firewall ;) Maar het had wel wat problemen om van buitenaf mijn NAS te kunnen benaderen dus intussen wel beter opgelost (zie hieronder) ;)
Verwijderd schreef op vrijdag 25 augustus 2017 @ 13:43:
Inderdaad dlocorotondo

en die DCHP van de tele2 heeft gewoon het 1.64 gereserveerd aan de TP link en dat was de host die ik dus per ongeluk had gevonden met SSH 8)7 8)7 8)7 8)7
Ondersteunt jouw modem PPPoE passtrough? Dan kan je jouw tp-link router instellen op PPPoE en daar jouw login en paswoord invullen. Dan maakt de router direct verbinding (krijg je een extern IP) en wordt jouw tele2 modem/router enkel als modem gebruikt.

Deze constructie gebruik ik thuis nu ook en het router-gedeelte van de modem gebruik ik zelfs ook nog. Daar hangen nu wat toestellen aan die wel een internetverbindin hebben maar die ik niet noodzakelijk op mijn intern netwerk hoef/wil.

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Interessant. Ikzelf heb slechts 1 pc'tje en 1 telefoon aan het interne. Wel heb ik een klein poweredge'je staan die wellicht nog naar het publiek gericht moet dmv publieke ip

Maar je gelooft het nooit, dat tele2 ding. hoe basaal ie ook is, er zit een functie om een willekeurig ip binnen de dhcp het externe ip te geven.

werkt als een tiet

dus ik hoef alleen maar het verkeer van die poort op de TP link door te loodsen en klarie

Acties:
  • +1 Henk 'm!

  • dlocorotondo
  • Registratie: November 2010
  • Laatst online: 30-09 16:50
Verwijderd schreef op vrijdag 25 augustus 2017 @ 13:52:
[...]


Ondanks het inmiddels bekend is heb ik toch even gedaan, puur om de nieuwsgierigheids kriebels te krabbe, maar hij geeft een timeout helaas https://i.imgur.com/Uo1u2Hf.png
Dan is alles oke! 8)
Pagina: 1