Уязвимость в протоколе Wi-Fi Protected Setup

Был у меня такой случай , точно так же пропадал WPS после нескольких пинов . Короче, подсунул я Linset - не клюнул. Я тогда глушить начал точку мдк3 , клиент подумал, что его хакнули и поменял пароль на более "сложный" . Снова поймал хеншейк и готово ...))

 

Добрый день.
А никто не пробовал реверсить тп-линки?
Насколько я понял, если не ошибаюсь, обработкой пина - занимает сам httpd...
Сам то в программировании не очень, тем более в ассемблере.

Тут чел. реверсит.

Spoiler: ссылка

http://www.devttys0.com/blog/

прошивка wr841nv9_ru_3_16_9_up_boot(150209).bin

Spoiler: часть кода httpd asm

LOAD:00474A94 # =============== S U B R O U T I N E =======================================
LOAD:00474A94
LOAD:00474A94
LOAD:00474A94 .globl swWlanWpsSetDefPIN
LOAD:00474A94 swWlanWpsSetDefPIN: # CODE XREF: LOAD:00465CF4p
LOAD:00474A94 # DATA XREF: LOAD:00465CECo ...
LOAD:00474A94
LOAD:00474A94 var_38 = -0x38
LOAD:00474A94 var_30 = -0x30
LOAD:00474A94 var_2C = -0x2C
LOAD:00474A94 var_C = -0xC
LOAD:00474A94 var_8 = -8
LOAD:00474A94 var_4 = -4
LOAD:00474A94
LOAD:00474A94 lui $gp, 0x59
LOAD:00474A98 addiu $sp, -0x48
LOAD:00474A9C la $gp, unk_58A1F0
LOAD:00474AA0 sw $ra, 0x48+var_4($sp)
LOAD:00474AA4 sw $s1, 0x48+var_8($sp)
LOAD:00474AA8 sw $s0, 0x48+var_C($sp)
LOAD:00474AAC sw $gp, 0x48+var_38($sp)
LOAD:00474AB0 la $t9, swWlanGetVidxByRealIdx
LOAD:00474AB4 move $s1, $a1
LOAD:00474AB8 move $a1, $zero
LOAD:00474ABC jalr $t9 ; swWlanGetVidxByRealIdx
LOAD:00474AC0 move $s0, $a0
LOAD:00474AC4 lw $gp, 0x48+var_38($sp)
LOAD:00474AC8 move $a1, $v0
LOAD:00474ACC la $t9, ucWlanWpsSetDefPIN
LOAD:00474AD0 nop
LOAD:00474AD4 jalr $t9 ; ucWlanWpsSetDefPIN
LOAD:00474AD8 move $a0, $s0
LOAD:00474ADC lw $gp, 0x48+var_38($sp)
LOAD:00474AE0 nop
LOAD:00474AE4 la $t9, swIsSysModeChange
LOAD:00474AE8 nop
LOAD:00474AEC jalr $t9 ; swIsSysModeChange
LOAD:00474AF0 nop
LOAD:00474AF4 lw $gp, 0x48+var_38($sp)
LOAD:00474AF8 bnez $v0, loc_474B50
LOAD:00474AFC addiu $a1, $sp, 0x48+var_30
LOAD:00474B00 la $t9, ucWlanWpsConfigGet
LOAD:00474B04 move $a0, $s0
LOAD:00474B08 jalr $t9 ; ucWlanWpsConfigGet
LOAD:00474B0C move $a2, $s1
LOAD:00474B10 lw $v0, 0x48+var_2C($sp)
LOAD:00474B14 li $v1, 1
LOAD:00474B18 lw $gp, 0x48+var_38($sp)
LOAD:00474B1C bne $v0, $v1, loc_474B50
LOAD:00474B20 nop
LOAD:00474B24 la $t9, swWlanGetVidxByRealIdx
LOAD:00474B28 move $a0, $s0
LOAD:00474B2C jalr $t9 ; swWlanGetVidxByRealIdx
LOAD:00474B30 move $a1, $s1
LOAD:00474B34 lw $gp, 0x48+var_38($sp)
LOAD:00474B38 nop
LOAD:00474B3C la $t9, wlanWpsDynSet
LOAD:00474B40 nop
LOAD:00474B44 jalr $t9 ; wlanWpsDynSet
LOAD:00474B48 move $a0, $v0
LOAD:00474B4C lw $gp, 0x48+var_38($sp)
LOAD:00474B50
LOAD:00474B50 loc_474B50: # CODE XREF: swWlanWpsSetDefPIN+64j
LOAD:00474B50 # swWlanWpsSetDefPIN+88j
LOAD:00474B50 lw $ra, 0x48+var_4($sp)
LOAD:00474B54 lw $s1, 0x48+var_8($sp)
LOAD:00474B58 lw $s0, 0x48+var_C($sp)
LOAD:00474B5C jr $ra
LOAD:00474B60 addiu $sp, 0x48
LOAD:00474B60 # End of function swWlanWpsSetDefPIN
LOAD:00474B60
LOAD:00474B64
LOAD:00474B64 # =============== S U B R O U T I N E =======================================

Расспаковыннй httpd и WpsCfgRpm.html
http://rghost.net/8MZ7QMqst

 

Сначала решил действовать тем же методом - утром окучил капризную точку mdk3, через 3 минуты сетка пропала из эфира насовсем))) Вечером она вдруг ожила...)))
После чего, вспомнив недавний пост Payer 'а (ОГРОМНЕЙШЕЕ СПАСИБО!!!)

https://forum.antichat.ru/threads/424494/page-18#post-3876044

, решил не морочиться с рукопожатиями и губительным для wps reaver' ом, а воспользовался связкой JumpStart&Dumpper.
И... ВУАЛЯ!!!
Всё сработало, всё получилось, все молодцы!

Всем Откликнувшимся Большое Человеческое Спасибо!!!

P.S.: Пин 44344801 оказался верным, а с паролем: hivyi_9856se воевать пришлось бы долго!)))

 

Доброго времени суток!

Очень интересует DE:71:44:4A:47:F9

Что это? И с чем его едят?

 

Это точка доступа стандарта Wi-Fi Direct телевизора Samsung SmartTV. По пин коду не смогу ничего подсказать, т.к. ни разу не удавалось получить доступ.

 

Ни одна из этих точек по данному закону не пробилась. Видимо перешиваются роутеры периодически или есть какая-нить географическая привязка...

 

Samsung wifi direct пароли восьмизначные цифровые. Смело ловите handshake и по словарю...

 

reaver зацикливается:
Sending EAPOL START request
WARNING: Receive timeout occured
Ключ -t не помогает. Что может быть? Цель по маку фильтрует?

 

Если ассоциация перед этим прошла успешно, то вряд ли фильтрует по маку. Скорее сигнал не доходит, либо залочилась.

 

На некоторых дешевых роутерах WPS через некоторое время умирает. Помогает перезагрузка. Сам с таким иногда сталкивался, в частности у TP-LINK (после длительного взлома или атаки mdk3). Еще вроде на нетгирах, которые работают по старому лок-алгоритму (не лочатся при медленном переборе, но вылет после ~1000 пинов).

 

Да, действительно, оказалось, что точка глюканула. Причем, не реагировала на правильный wifi-пароль. Первый раз такое вижу.

 

90:F6:52:41:28:E6 - как думаете что за точка? Сижу штурмую уже который час.

 

TP-LINK TL-WR741N

 

Пин не подскажешь?

 

Для tp-link нет стандартных пинов. Если перебор идет, тебе повезло. Старая прошивка попалась.

 

Ну вот смотри еле-еле. 14 second/pin. Но я с Asus EEE PC 701 бручу.

А вообще, точка не единственная. Моя задача наштурмовать любую точку в зоне радиуса)
Еще есть:
40:4A:03:AC:11: D4
EE:43:F6:09:6F:88
90:F6:52: D3:0B:CA - тут чую что этот же TP-Link по первым символам.

 

Можно еще поиграть с ключами в ривере, есть шанс, что буде быстрее.
Для EE:43:F6:09:6F:88 попробуй прогу http://zalil.su/465963 Dumpper v.70.8 . Если не ошибаюсь, это кинетик. Пасс выдаст за 2 секунды

 

Выдать то выдало, а вот этот PIN не подходит.

 

Ericsson казахтелекомовские кто нить пробовал ломать? Сети обычно из 4х символов названия

Заходил в панельку у парочки, у обоих wps mode: pbc(По кнопке как я понял) Их вообще нет смысла пытать пинами?

 

Выбери точку ниже EE:43:F6:09:6F:88, переключи в режим генерации пинов для всех точек (Todas las redes) и попробуй.