Wie 'o Wie weet dit raadsel

Vraag

vrijdag 25 augustus 2017 01:46

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

De vraag is heel simpel

Waarom heeft mijn router een 'dienst' draaien op een eigen IP adres binnen het netwerk, welke toegankelijk is via SSH (port 22) en wordt hier een app op herkent door nmap genaamd 'discord.io' achter poort nummer 1900. Hier zou een RTSP protocol achter zitten.

Het gaat om een TPLink Archer C58 die middels een DHCP de apparaatjes hun eten geeft. Deze router staat op zijn beurt weer voor een gare router/modem van tele2 die nu slechts dient als modem. ADSL dus.

Tele2 router: 192.168.1.1
C58: 192.168.0.1

gekke host: 192.168.0.64

en die gekke host heeft dus de volgende poorten met services:

22 SSH, open
53 DNS? open
80 HTTP filterd
1900 RTSP discord.io

Als ik probeer in te loggen via SSH met de inlog gegevens werkt dat, maar krijg ik geen console. Ze zeggen iets over een app ofzo die je kan connecten op je router en daar zou dan die poort voor zijn, maar het zit me voor mijn gevoel niet lekker.

Wie 'o Wie kan mij meer vertellen over deze geheimzinnige hoedanigheid.

Met vriendelijke groet.

Beste antwoord (via Verwijderd op 25-08-2017 13:40)

vrijdag 25 augustus 2017 13:32

D-Three

Verwijderd schreef op vrijdag 25 augustus 2017 @ 13:06:
Inderdaad jongens goed gezien. Opeens is de gekke host verplaatst van 0.64 naar 1.64 ... wtf is hier aan de hand

Als het subnetmask 255.255.255.0 is, dan zou het ip adres 192.168.1.64 van jouw tele 2 modem moeten zijn en niet van jouw tp-link router.

edit:
Is dit niet gewoon het IP-adres die jouw router gekregen heeft van jouw tele2 modem? WAN-side dus.

[ Voor 13% gewijzigd door D-Three op 25-08-2017 13:37 ]

Alle reacties

vrijdag 25 augustus 2017 02:01

Acties:

+1 Henk 'm!

g0tanks

Moderator CSA

Discord is een voice/text chat app, gebruik je het ook?

Ultrawide gaming setup: AMD Ryzen 7 2700X | NVIDIA GeForce RTX 2080 | Dell Alienware AW3418DW

vrijdag 25 augustus 2017 03:32

Acties:

+2 Henk 'm!

CyBeR

💩

Ten eerste: die titel is echt zeer nutteloos. Laat 'm voortaan de lading dekken.

Ten tweede: dat nmap zegt dat 't discord.io is, is alleen maar omdat nmap een databaseje heeft met tcp/1900 > discord.io. Het kan net zo goed iets heel anders zijn.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 25 augustus 2017 03:57

Acties:

+1 Henk 'm!

Oogje

En als je in je router kijkt bij de DHCP leases staat dit adres ook uitgegeven? Met een mac-adres erbij?

Any errors in spelling, tact, or fact are transmission errors.

vrijdag 25 augustus 2017 04:00

Acties:

+1 Henk 'm!

CyBeR

💩

Het MAC-adres ervan kun je ook gewoon in je ARP-tabel opzoeken, daar heb je je router niet voor nodig.

Helaas is 't vervolgens zonder managed switches lastig om te ontdekken aan welke switchpoort dat MAC-adres dan hangt.

[ Voor 37% gewijzigd door CyBeR op 25-08-2017 04:00 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 25 augustus 2017 08:38

Acties:

+1 Henk 'm!

MaffeMaarten

Kan je letterlijk posten wat je terug krijgt als je via ssh inlogt? (Heb je die tekst zelf al in google geknald?)

vrijdag 25 augustus 2017 09:50

Acties:

+1 Henk 'm!

Mattie112

Maar heeft je router (.0.1) nou SSH open? Of één van je devices (0.64)?

3780wP (18x 210wP EC Solar) | 2x Marstek Venus E (5.12kWh)

vrijdag 25 augustus 2017 12:50

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Jongens bedankt voor de reacties:

Als ik inlog via SSH met foutieve inlog data dan zegt putty bij voorbaat, verkeerde gegevens. Als ik inlog met de inlog data van de webapp (192.168.0.1) dan wordt ik doorgelaten, maar vrijwel direct daarna krijg ik:

https://i.imgur.com/xggBIBp.png

Ik gebruik zelf geen discord.

In de router staat niets over de extra host op 192.168.1.64, ook als alle extra toeters en bellen zijn uitgeschakeld is de host nog steeds online.

Ikzelf heb het gevoel dat ik op een backdoor ben gestuit welke slechts voor enkelen toegankelijk zou moeten zijn. of denk ik nu teveel in alu hoedje?

[ Voor 13% gewijzigd door Verwijderd op 25-08-2017 12:52 ]

vrijdag 25 augustus 2017 12:54

Acties:

+1 Henk 'm!

efan

Verwijderd schreef op vrijdag 25 augustus 2017 @ 12:50:
Jongens bedankt voor de reacties:

Als ik inlog via SSH met foutieve inlog data dan zegt putty bij voorbaat, verkeerde gegevens. Als ik inlog met de inlog data van de webapp (192.168.0.1) dan wordt ik doorgelaten, maar vrijwel direct daarna krijg ik:

https://i.imgur.com/xggBIBp.png

Ik gebruik zelf geen discord.

In de router staat niets over de extra host op 192.168.1.64, ook als alle extra toeters en bellen zijn uitgeschakeld is de host nog steeds online.

Ikzelf heb het gevoel dat ik op een backdoor ben gestuit welke slechts voor enkelen toegankelijk zou moeten zijn. of denk ik nu teveel in alu hoedje?

je gebruikt het verkeerde ip adres , geen 0.64

vrijdag 25 augustus 2017 12:54

Acties:

+1 Henk 'm!

dlocorotondo

Verwijderd schreef op vrijdag 25 augustus 2017 @ 01:46:

gekke host: 192.168.0.64

Jouw screenshot zegt iets anders namelijk 192.168.1.64...Dit maakt het raadsel wel leuker

[ Voor 8% gewijzigd door dlocorotondo op 25-08-2017 12:56 ]

vrijdag 25 augustus 2017 12:58

Acties:

+1 Henk 'm!

basdej

OutSystems Consultant

Instaleer Fing op je android telefoon en laat hem scannen naar apparaten.

Hoi.

vrijdag 25 augustus 2017 13:06

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Inderdaad jongens goed gezien. Opeens is de gekke host verplaatst van 0.64 naar 1.64 ... wtf is hier aan de hand

vrijdag 25 augustus 2017 13:14

Acties:

+1 Henk 'm!

dlocorotondo

Doe eens dit: nmap -sV --version-intensity 5 192.168.1.64, hiermee zie je meteen welk OS het betreft. Sluit misschien het een en ander uit.

vrijdag 25 augustus 2017 13:17

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

dlocorontondo

Dit is het resultaat

Starting Nmap 7.60 ( https://nmap.org ) at 2017-08-25 13:16 W. Europe Daylight Time

Nmap scan report for 192.168.1.64

WARNING: Service 192.168.1.64:1900 had already soft-matched rtsp, but now soft-matched sip; ignoring second value

Host is up (0.00s latency).

Not shown: 996 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh Dropbear sshd 2011.54 (protocol 2.0)

53/tcp open domain dnsmasq 2.62

80/tcp filtered http

1900/tcp open rtsp

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 50.72 seconds

vrijdag 25 augustus 2017 13:24

Acties:

+1 Henk 'm!

efan

Verwijderd schreef op vrijdag 25 augustus 2017 @ 13:17:
dlocorontondo

Dit is het resultaat

Starting Nmap 7.60 ( https://nmap.org ) at 2017-08-25 13:16 W. Europe Daylight Time

Nmap scan report for 192.168.1.64

WARNING: Service 192.168.1.64:1900 had already soft-matched rtsp, but now soft-matched sip; ignoring second value

Host is up (0.00s latency).

Not shown: 996 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh Dropbear sshd 2011.54 (protocol 2.0)

53/tcp open domain dnsmasq 2.62

80/tcp filtered http

1900/tcp open rtsp

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 50.72 seconds

heb je niet ergens een arduino or raspberry in je netwerk hangen?

vrijdag 25 augustus 2017 13:24

Acties:

+1 Henk 'm!

dlocorotondo

Ok lijkt op jouw TP Link router: https://www.sec-consult.c...ure_vulnerability_v10.txt

Deze heeft waarschijnlijk ook een beveiligingslek...

Doe eens curl -i -H "Accept: application/json" "192.168.1.64/login/../../../etc/passwd"

vrijdag 25 augustus 2017 13:26

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ido,

Ik wordt vermoedelijk digitaal onder schot gehouden door een oude zaken relatie met teveel verstand van computers.

Zeker weten doe ik het niet maar het zou kunnen dat het daar vandaan komt

Een andere mogelijkheid is de APP die wordt geleverd aan klanten van C58 routers

vrijdag 25 augustus 2017 13:29

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

dlocorotondo schreef op vrijdag 25 augustus 2017 @ 13:24:
Ok lijkt op jouw TP Link router: https://www.sec-consult.c...ure_vulnerability_v10.txt

Deze heeft waarschijnlijk ook een beveiligingslek...

Doe eens curl -i -H "Accept: application/json" "192.168.1.64/login/../../../etc/passwd"

Waar doe ik dit precies? ik heb geen console

vrijdag 25 augustus 2017 13:30

Acties:

+1 Henk 'm!

MaffeMaarten

Als je er gewoon met je browser heen gaat? Krijg je dan geen inlogpagina van het één of ander.

curl draai je gewoon op je eigen pc, waar je ook nmap gedraaid hebt.

vrijdag 25 augustus 2017 13:32

Acties:

Beste antwoord ✓
+1 Henk 'm!

D-Three

Verwijderd schreef op vrijdag 25 augustus 2017 @ 13:06:
Inderdaad jongens goed gezien. Opeens is de gekke host verplaatst van 0.64 naar 1.64 ... wtf is hier aan de hand

[ Voor 13% gewijzigd door D-Three op 25-08-2017 13:37 ]

vrijdag 25 augustus 2017 13:34

Acties:

+1 Henk 'm!

dlocorotondo

Als je windows als besturingssysteem gebruikt zou je curl kunnen downloaden https://bintray.com/artif...url-7.55.1-win64-mingw.7z en vervolgens naar een locatie uitpakken en via de cmd naar het mapje bin/ gaan.

cd uitpaklocatie/bin
dan curl -i -H "Accept: application/json" "192.168.1.64/login/../../../etc/passwd" moet zijn: curl -XGET 192.168.1.64/login/../../../etc/passwd

is misschien iets te technisch

Zoals @toxicgrave @MaffeMaarten zegt, erna toe browsen is wellicht makkelijker hehe

[ Voor 16% gewijzigd door dlocorotondo op 25-08-2017 13:48 . Reden: Commando klopte niet ]

vrijdag 25 augustus 2017 13:38

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

MaffeMaarten,

Ik krijg dit als ik het via nmap doe: https://i.imgur.com/Bppo4IG.png

Wel kan ik naar 192.168.0.1 gaan en daar proberen, ga ik proberen

D-Three

Het rare van het hele verhaal is, is dat gisteren de rare host bereikbaar was via 192.168.0.64

en vandaag via 192.168.1.64

check:

192.168.0.1 : https://i.imgur.com/ES0BGip.png

192.168.1.1 : https://i.imgur.com/EcfTRLB.png

192.168.0.64 : https://i.imgur.com/bCNNQtb.png

192.168.1.64 : https://i.imgur.com/jwTxj0H.png en https://i.imgur.com/eKFsMsq.png

vrijdag 25 augustus 2017 13:40

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

D-Three,

Jij bent heel goed bezig:

https://i.imgur.com/9FtQtDy.png

vrijdag 25 augustus 2017 13:42

Acties:

+1 Henk 'm!

dlocorotondo

Dus je hebt een Tele2 Modem die DHCP serveert aan TP link en TP link weer aan andere apparaatjes?

vrijdag 25 augustus 2017 13:43

Acties:

+1 Henk 'm!

D-Three

Verwijderd schreef op vrijdag 25 augustus 2017 @ 13:38:
MaffeMaarten,

Ik krijg dit als ik het via nmap doe: https://i.imgur.com/Bppo4IG.png

Wel kan ik naar 192.168.0.1 gaan en daar proberen, ga ik proberen

D-Three

Het rare van het hele verhaal is, is dat gisteren de rare host bereikbaar was via 192.168.0.64

en vandaag via 192.168.1.64

check:

192.168.0.1 : https://i.imgur.com/ES0BGip.png

192.168.1.1 : https://i.imgur.com/EcfTRLB.png

192.168.0.64 : https://i.imgur.com/bCNNQtb.png

192.168.1.64 : https://i.imgur.com/jwTxj0H.png en https://i.imgur.com/eKFsMsq.png

Bereikbaar? Op die screenshot van 192.168.0.64 zie ik net staan host down.
Maar links in het venster staat wel 192.168.1.64

vrijdag 25 augustus 2017 13:43

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Inderdaad dlocorotondo

en die DCHP van de tele2 heeft gewoon het 1.64 gereserveerd aan de TP link en dat was de host die ik dus per ongeluk had gevonden met SSH

[ Voor 5% gewijzigd door Verwijderd op 25-08-2017 13:43 ]

vrijdag 25 augustus 2017 13:52

Acties:

+1 Henk 'm!

Verwijderd

Topicstarter

dlocorotondo schreef op vrijdag 25 augustus 2017 @ 13:34:
Als je windows als besturingssysteem gebruikt zou je curl kunnen downloaden https://bintray.com/artif...url-7.55.1-win64-mingw.7z en vervolgens naar een locatie uitpakken en via de cmd naar het mapje bin/ gaan.

cd uitpaklocatie/bin
dan curl -i -H "Accept: application/json" "192.168.1.64/login/../../../etc/passwd" moet zijn: curl -XGET 192.168.1.64/login/../../../etc/passwd

is misschien iets te technisch

Zoals @toxicgrave @MaffeMaarten zegt, erna toe browsen is wellicht makkelijker hehe

Ondanks het inmiddels bekend is heb ik toch even gedaan, puur om de nieuwsgierigheids kriebels te krabbe, maar hij geeft een timeout helaas https://i.imgur.com/Uo1u2Hf.png

vrijdag 25 augustus 2017 13:56

Acties:

+1 Henk 'm!

D-Three

dlocorotondo schreef op vrijdag 25 augustus 2017 @ 13:42:
Dus je hebt een Tele2 Modem die DHCP serveert aan TP link en TP link weer aan andere apparaatjes?

Heb ik ooit ook nog gedaan, vandaar dat plots mijn licht ging branden

En in principe een dubbele firewall

Maar het had wel wat problemen om van buitenaf mijn NAS te kunnen benaderen dus intussen wel beter opgelost (zie hieronder)

Verwijderd schreef op vrijdag 25 augustus 2017 @ 13:43:
Inderdaad dlocorotondo

en die DCHP van de tele2 heeft gewoon het 1.64 gereserveerd aan de TP link en dat was de host die ik dus per ongeluk had gevonden met SSH

Ondersteunt jouw modem PPPoE passtrough? Dan kan je jouw tp-link router instellen op PPPoE en daar jouw login en paswoord invullen. Dan maakt de router direct verbinding (krijg je een extern IP) en wordt jouw tele2 modem/router enkel als modem gebruikt.

Deze constructie gebruik ik thuis nu ook en het router-gedeelte van de modem gebruik ik zelfs ook nog. Daar hangen nu wat toestellen aan die wel een internetverbindin hebben maar die ik niet noodzakelijk op mijn intern netwerk hoef/wil.

vrijdag 25 augustus 2017 14:01

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Interessant. Ikzelf heb slechts 1 pc'tje en 1 telefoon aan het interne. Wel heb ik een klein poweredge'je staan die wellicht nog naar het publiek gericht moet dmv publieke ip

Maar je gelooft het nooit, dat tele2 ding. hoe basaal ie ook is, er zit een functie om een willekeurig ip binnen de dhcp het externe ip te geven.

werkt als een tiet

dus ik hoef alleen maar het verkeer van die poort op de TP link door te loodsen en klarie

vrijdag 25 augustus 2017 14:33

Acties:

+1 Henk 'm!

dlocorotondo

Verwijderd schreef op vrijdag 25 augustus 2017 @ 13:52:
[...]

Ondanks het inmiddels bekend is heb ik toch even gedaan, puur om de nieuwsgierigheids kriebels te krabbe, maar hij geeft een timeout helaas https://i.imgur.com/Uo1u2Hf.png

Dan is alles oke!

Pagina: 1

Reageer

Onderwerpen

Vraag

Beste antwoord (via Verwijderd op 25-08-2017 13:40)

Alle reacties