Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. Anton91x

    Anton91x Member

    Joined:
    15 May 2015
    Messages:
    18
    Likes Received:
    8
    Reputations:
    0
    В мае 2014 подбирал пины к роутерам WiFi-DOM.ru с включенным wps. В моей квартире ловит 6 сетей дом.ру и у 4 из них пин 12345670. Пароли были из 10 английских буков нижнего регистра, без цифр, а mac адреса начинались на cc:7b:36. Пятую точку подбирал ривером, локов не было, но из-за слабого сигнала за 24 часа перебралось всего 1000 пинов и я забил на него. Шестой залочился до перезагрузки после 10 попыток. В апреле дом.ру выпустили новую прошивку без wps. Роутеры дом.ру обновляют прошивку автоматически и на большинстве роутеров он изчез в этот же день, но по городу иногда встречаются исключения. Однако в прошивке дом.ру есть еще одна уязвимость: пароль строго привязан к ssid. В моем смартфоне сохранено много профилей сетей дом.ру, до чего я был удивлен, когда он случайно подключился к другой защищенной сети дом.ру в другом районе, когда я просто шел по улице. При нажатии кнопки reset на роутере дом.ру, устройство сбросится к заводским настройкам, сменив цифры в ssid и пароль. Первое, что приходит в голову - сбрасывать до тех пор, пока не получим ssid как у соседа (долго правда 65535 вариантов), а потом создать какой-нибудь генератор.
     
    resident148, TOX1C and 4pips like this.
  2. dragonking

    dragonking Member

    Joined:
    20 Jun 2015
    Messages:
    54
    Likes Received:
    7
    Reputations:
    0
    Может стОит распотрошить/декомпилировать прошивку роутера? Только я не знаю как это делается...
    Или посмотреть в исходники если они есть...
     
    TOX1C and resident148 like this.
  3. resident148

    resident148 Member

    Joined:
    9 May 2015
    Messages:
    53
    Likes Received:
    58
    Reputations:
    2
    Это роутеры zte h118n - полный железный аналог Интеркросс ICxETH5670NE (прошивали в оба одну и туже прошивку)
    у домру все пароли из 10-значные, редко только из букв нижнего регистра, чаще полный набор.
    эта модель мне не попадалась в руки (вообще их семь: ZTE h118n трех ревизий, ZTE h218n, Dir300rt ревизии b5, dir615 ревизий K2 и K3, Netgear wnr612ert, Netgear EVG1500 и Netgear jwnr2000)
    Это Netgear WNR612ert
    Полностью подтверждаю. Прошивку обновили у двух из трех версий роутеров зте
    Подобрал пароль к одной точке найдя пароль от точки с таким же названием, которая находилась вообще в другом регионе. Это был DLink. У некоторых моделей действительно пароль и SSID связаны, у некоторых нет. У каких - нет - еще не определил
    1.У 612-х нетгиров после сброса пароля генерируется новый пароль длиной в 26 символов. Метод - рандом (сам так и не нашел его в прошивке, но тут на форуме когда-то интересовались уже этим).
    2. Когда мы лили стоковую ЗТЕ прошивку в МТС версию - дефолтный пароль сгенерированый прошивкой ЗТЕ очень напоминал по структуре пароль от домрушных роутеров. В этих роутерах есть возможность смены мак адреса из морды (глубоко запрятана) - если сменить мак на мак жертвы и сбросить настройки - возможно будет сгенерирован новый пароль такой же как у жертвы.
    3. Согласно инструкции домру на портале для работников домру, владельцам роутеров dir615 с первой версией пароля, не более раза в месяц предлагается сменить пароль (вместо любого сайта выходит страница на которой есть кнопка - если нажать, то новые SSID и пароль придут на телефон по смс. Таким же образом, но уже вручную оператор может по вашей просьбе сбросить вам пароль - из инструкции с того же портала для домру). Вывод - некоторые пароли генерируются на RADIUS серваке
    4. По свой структуре пароли у разных моделей разные.
    точнее семь генераторов ))

    Если у кого есть неглупые вопросы по домру - милости просим ))
     
    #2623 resident148, 30 Jul 2015
    Last edited: 30 Jul 2015
    Kakoluk, TOX1C, gentux and 3 others like this.
  4. resident148

    resident148 Member

    Joined:
    9 May 2015
    Messages:
    53
    Likes Received:
    58
    Reputations:
    2
    Исходников нет. Прошивки есть у меня.
     
  5. TarZaN

    TarZaN New Member

    Joined:
    1 Aug 2015
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Помогите взломать роутер TP-Link TL-WR841N

    1) Если получиться получить пароль для подключения к wps (если смотреть из под андроид пишет доступна защищенная сеть)

    2) Если получиться после подбора или взлома пароля – получить доступ к админке

    3) В идеале вообще к самому компьютеру что бы была возможность удалить все данные (читал об уязвимости именно этих роутеров которая – дает возможность доступа к компьютеру жертвы https://xakep.ru/2012/11/21/59676/)


    Что пытался делать, это Dumpper + Jumpstart Результатов нет пароль не ломает


    Скрин того что показал Dumpper http://vfl.ru/fotos/6b3139c29445552.html

    Кстати что заметил (на скрине и сейчас кое что изминилосль - скрин я делал ну может мес назад) UUID изменился (не знаю как он меняется и из а чего) и второе WPS PIN теперь пишет Locked (хотя и старый ничего не давал)
     
    #2625 TarZaN, 1 Aug 2015
    Last edited: 1 Aug 2015
  6. atlas28

    atlas28 Active Member

    Joined:
    23 May 2015
    Messages:
    224
    Likes Received:
    173
    Reputations:
    1
    Попробуй хэндшейк поймать, мб получится подобрать пароль. Проверь, не открыта ли вебморда наружу. Если да, то RouterScan тебе в помощь.
     
  7. VladimirV

    VladimirV Well-Known Member

    Joined:
    1 Apr 2013
    Messages:
    1,130
    Likes Received:
    6,150
    Reputations:
    57
    Взломать и все стереть. Во как!
    Эти модели ломаются при помощи 'reaver' и 'mdk3'.
     
    binarymaster, atlas28 and Payer like this.
  8. vedemur

    vedemur Member

    Joined:
    12 Nov 2012
    Messages:
    105
    Likes Received:
    9
    Reputations:
    0
    Всем привет. Вопрос по PixieWPS. Согласно видео http://matthewhknight.com/how-to-setting-up-and-using-pixiewps после запуска команды airmon-ng start wlan0 получается wlan0mon. Делал всё по видео, у меня получается mon0 (вместо wlan0mon) и всегда pin not found. Но согласно видео после pin not found опять что-то делается и пароль готов. В чём может быть причина в моём случае? Заранее спасибо.
     
  9. atlas28

    atlas28 Active Member

    Joined:
    23 May 2015
    Messages:
    224
    Likes Received:
    173
    Reputations:
    1
    Имя интерфейса зависит от версии aircrack-ng. В новой версии будет wlan0mon, в более старых mon0. Попробуй запускать пикси с ключом -f, тогда есть вероятность, что пин найдется в твоем случае, но гарантий никаких нет, не все модели уязвимы.

    P. S. Старайся не копировать действия с видео, а понять принцип, так будет проще. Запуская любую программу с "--help" ты увидишь все возможные аргументы. А принцип тут в том, что запуская ривер с -K 1, ты автоматом передаешь данные с ривера на пикси. Но все то же самое можно сделать и вручную. В последней версии ривера он автоматически пытается запустить пикси с -f. В том, что доступен в репозитории кали линукса - нет, так что нужно делать это самому.
     
    quite gray, resident148 and Payer like this.
  10. vedemur

    vedemur Member

    Joined:
    12 Nov 2012
    Messages:
    105
    Likes Received:
    9
    Reputations:
    0
    Нашёл ответ-apt-get update.
     
  11. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,236
    Likes Received:
    26,249
    Reputations:
    148
    Что скажите за ec:43:f6:dc:40:b0 ?
     
  12. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    367
    Likes Received:
    163
    Reputations:
    19
    ZyXEL, скорее всего кинетик второй версии. Если есть WPS, то можно взломать.
     
    erwerr2321 likes this.
  13. VladimirV

    VladimirV Well-Known Member

    Joined:
    1 Apr 2013
    Messages:
    1,130
    Likes Received:
    6,150
    Reputations:
    57
    PIN:44344801
    ZyXEL Keenetic Giga II
    ZyXEL Keenetic II
     
    erwerr2321 likes this.
  14. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,236
    Likes Received:
    26,249
    Reputations:
    148
    http://higgs.rghost.ru/7ZwYSGvQW/image.png

    Всё верно, но на этом дело и встало(....
    Какие ещё могут быть варианты?
     
    #2634 erwerr2321, 3 Aug 2015
    Last edited: 3 Aug 2015
  15. VladimirV

    VladimirV Well-Known Member

    Joined:
    1 Apr 2013
    Messages:
    1,130
    Likes Received:
    6,150
    Reputations:
    57
    Вам не нужен PixieDust. Уберите из команды '-K1' и будет вам счастье.

    reaver -i mon1 -b ec:43:f6:dc:40:b0 -vv -c 3 -p44344801 или reaver -i mon1 -b ec:43:f6:dc:40:b0 -vv -c 3 -p44344801 -n
     
    Payer likes this.
  16. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    И ещё, учитывая, что точка вернула кучу M1 пакетов в ответ на M2 (неверная последовательность), означает, что сигнал слабый, либо сильные помехи.
     
    quite gray likes this.
  17. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,236
    Likes Received:
    26,249
    Reputations:
    148
    Ну хз, PWR -69 - 68
     
  18. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,236
    Likes Received:
    26,249
    Reputations:
    148
    Ох, я уже в этом сильно сомневаюсь...
    После 2 попыток wps на устройстве не то что залочился, а вообще пропал куда-то... В том смылсе, что wash теперь не видит, что на AP активен wps!
     
  19. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    367
    Likes Received:
    163
    Reputations:
    19
    Бывает... должен включится после ребута.
     
  20. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    у меня похожая проблема была с адсл роутерами тп линк, ривер после 1 попытки подбора пина просто вырубал впс на роутере до перезагрузки.