Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. V777

    V777 Elder - Старейшина

    Joined:
    12 May 2015
    Messages:
    1,326
    Likes Received:
    3,181
    Reputations:
    24
    Был у меня такой случай , точно так же пропадал WPS после нескольких пинов . Короче, подсунул я Linset - не клюнул. Я тогда глушить начал точку мдк3 , клиент подумал, что его хакнули и поменял пароль на более "сложный" . Снова поймал хеншейк и готово ...))
     
  2. public-09

    public-09 Member

    Joined:
    5 Aug 2015
    Messages:
    1
    Likes Received:
    6
    Reputations:
    0
    Добрый день.
    А никто не пробовал реверсить тп-линки?
    Насколько я понял, если не ошибаюсь, обработкой пина - занимает сам httpd...
    Сам то в программировании не очень, тем более в ассемблере.

    Тут чел. реверсит.

    прошивка wr841nv9_ru_3_16_9_up_boot(150209).bin
    LOAD:00474A94 # =============== S U B R O U T I N E =======================================
    LOAD:00474A94
    LOAD:00474A94
    LOAD:00474A94 .globl swWlanWpsSetDefPIN
    LOAD:00474A94 swWlanWpsSetDefPIN: # CODE XREF: LOAD:00465CF4p
    LOAD:00474A94 # DATA XREF: LOAD:00465CECo ...
    LOAD:00474A94
    LOAD:00474A94 var_38 = -0x38
    LOAD:00474A94 var_30 = -0x30
    LOAD:00474A94 var_2C = -0x2C
    LOAD:00474A94 var_C = -0xC
    LOAD:00474A94 var_8 = -8
    LOAD:00474A94 var_4 = -4
    LOAD:00474A94
    LOAD:00474A94 lui $gp, 0x59
    LOAD:00474A98 addiu $sp, -0x48
    LOAD:00474A9C la $gp, unk_58A1F0
    LOAD:00474AA0 sw $ra, 0x48+var_4($sp)
    LOAD:00474AA4 sw $s1, 0x48+var_8($sp)
    LOAD:00474AA8 sw $s0, 0x48+var_C($sp)
    LOAD:00474AAC sw $gp, 0x48+var_38($sp)
    LOAD:00474AB0 la $t9, swWlanGetVidxByRealIdx
    LOAD:00474AB4 move $s1, $a1
    LOAD:00474AB8 move $a1, $zero
    LOAD:00474ABC jalr $t9 ; swWlanGetVidxByRealIdx
    LOAD:00474AC0 move $s0, $a0
    LOAD:00474AC4 lw $gp, 0x48+var_38($sp)
    LOAD:00474AC8 move $a1, $v0
    LOAD:00474ACC la $t9, ucWlanWpsSetDefPIN
    LOAD:00474AD0 nop
    LOAD:00474AD4 jalr $t9 ; ucWlanWpsSetDefPIN
    LOAD:00474AD8 move $a0, $s0
    LOAD:00474ADC lw $gp, 0x48+var_38($sp)
    LOAD:00474AE0 nop
    LOAD:00474AE4 la $t9, swIsSysModeChange
    LOAD:00474AE8 nop
    LOAD:00474AEC jalr $t9 ; swIsSysModeChange
    LOAD:00474AF0 nop
    LOAD:00474AF4 lw $gp, 0x48+var_38($sp)
    LOAD:00474AF8 bnez $v0, loc_474B50
    LOAD:00474AFC addiu $a1, $sp, 0x48+var_30
    LOAD:00474B00 la $t9, ucWlanWpsConfigGet
    LOAD:00474B04 move $a0, $s0
    LOAD:00474B08 jalr $t9 ; ucWlanWpsConfigGet
    LOAD:00474B0C move $a2, $s1
    LOAD:00474B10 lw $v0, 0x48+var_2C($sp)
    LOAD:00474B14 li $v1, 1
    LOAD:00474B18 lw $gp, 0x48+var_38($sp)
    LOAD:00474B1C bne $v0, $v1, loc_474B50
    LOAD:00474B20 nop
    LOAD:00474B24 la $t9, swWlanGetVidxByRealIdx
    LOAD:00474B28 move $a0, $s0
    LOAD:00474B2C jalr $t9 ; swWlanGetVidxByRealIdx
    LOAD:00474B30 move $a1, $s1
    LOAD:00474B34 lw $gp, 0x48+var_38($sp)
    LOAD:00474B38 nop
    LOAD:00474B3C la $t9, wlanWpsDynSet
    LOAD:00474B40 nop
    LOAD:00474B44 jalr $t9 ; wlanWpsDynSet
    LOAD:00474B48 move $a0, $v0
    LOAD:00474B4C lw $gp, 0x48+var_38($sp)
    LOAD:00474B50
    LOAD:00474B50 loc_474B50: # CODE XREF: swWlanWpsSetDefPIN+64j
    LOAD:00474B50 # swWlanWpsSetDefPIN+88j
    LOAD:00474B50 lw $ra, 0x48+var_4($sp)
    LOAD:00474B54 lw $s1, 0x48+var_8($sp)
    LOAD:00474B58 lw $s0, 0x48+var_C($sp)
    LOAD:00474B5C jr $ra
    LOAD:00474B60 addiu $sp, 0x48
    LOAD:00474B60 # End of function swWlanWpsSetDefPIN
    LOAD:00474B60
    LOAD:00474B64
    LOAD:00474B64 # =============== S U B R O U T I N E =======================================

    Расспаковыннй httpd и WpsCfgRpm.html
    http://rghost.net/8MZ7QMqst
     
    Vikhedgehog, TOX1C, Payer and 3 others like this.
  3. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,236
    Likes Received:
    26,249
    Reputations:
    148
    Сначала решил действовать тем же методом - утром окучил капризную точку mdk3, через 3 минуты сетка пропала из эфира насовсем))) Вечером она вдруг ожила...)))
    После чего, вспомнив недавний пост Payer 'а (ОГРОМНЕЙШЕЕ СПАСИБО!!!)

    https://forum.antichat.ru/threads/424494/page-18#post-3876044

    , решил не морочиться с рукопожатиями и губительным для wps reaver' ом, а воспользовался связкой JumpStart&Dumpper.
    И... ВУАЛЯ!!!
    Всё сработало, всё получилось, все молодцы!


    Всем Откликнувшимся Большое Человеческое Спасибо!!!

    P.S.: Пин 44344801 оказался верным, а с паролем: hivyi_9856se воевать пришлось бы долго!)))
     
    #2643 erwerr2321, 6 Aug 2015
    Last edited: 6 Aug 2015
    Payer likes this.
  4. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,236
    Likes Received:
    26,249
    Reputations:
    148
    Доброго времени суток!

    Очень интересует DE:71:44:4A:47:F9

    Что это? И с чем его едят?
     
  5. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Это точка доступа стандарта Wi-Fi Direct телевизора Samsung SmartTV. По пин коду не смогу ничего подсказать, т.к. ни разу не удавалось получить доступ.
     
  6. safinruslan

    safinruslan New Member

    Joined:
    18 Feb 2013
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Ни одна из этих точек по данному закону не пробилась. Видимо перешиваются роутеры периодически или есть какая-нить географическая привязка...
     
    #2646 safinruslan, 8 Aug 2015
    Last edited: 8 Aug 2015
  7. Anton91x

    Anton91x Member

    Joined:
    15 May 2015
    Messages:
    18
    Likes Received:
    8
    Reputations:
    0
    Samsung wifi direct пароли восьмизначные цифровые. Смело ловите handshake и по словарю...
     
    resident148 likes this.
  8. zved

    zved New Member

    Joined:
    13 Jul 2015
    Messages:
    13
    Likes Received:
    1
    Reputations:
    0
    reaver зацикливается:
    Sending EAPOL START request
    WARNING: Receive timeout occured
    Ключ -t не помогает. Что может быть? Цель по маку фильтрует?
     
  9. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Если ассоциация перед этим прошла успешно, то вряд ли фильтрует по маку. Скорее сигнал не доходит, либо залочилась.
     
  10. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    367
    Likes Received:
    163
    Reputations:
    19
    На некоторых дешевых роутерах WPS через некоторое время умирает. Помогает перезагрузка. Сам с таким иногда сталкивался, в частности у TP-LINK (после длительного взлома или атаки mdk3). Еще вроде на нетгирах, которые работают по старому лок-алгоритму (не лочатся при медленном переборе, но вылет после ~1000 пинов).
     
    zved likes this.
  11. zved

    zved New Member

    Joined:
    13 Jul 2015
    Messages:
    13
    Likes Received:
    1
    Reputations:
    0
    Да, действительно, оказалось, что точка глюканула. Причем, не реагировала на правильный wifi-пароль. Первый раз такое вижу.
     
    #2651 zved, 13 Aug 2015
    Last edited: 13 Aug 2015
  12. icyclopys

    icyclopys Member

    Joined:
    11 Jul 2012
    Messages:
    112
    Likes Received:
    80
    Reputations:
    2
    90:F6:52:41:28:E6 - как думаете что за точка? Сижу штурмую уже который час.
     
  13. VladimirV

    VladimirV Well-Known Member

    Joined:
    1 Apr 2013
    Messages:
    1,130
    Likes Received:
    6,150
    Reputations:
    57
    TP-LINK TL-WR741N
     
  14. icyclopys

    icyclopys Member

    Joined:
    11 Jul 2012
    Messages:
    112
    Likes Received:
    80
    Reputations:
    2
    Пин не подскажешь? :D
     
  15. djamv

    djamv Member

    Joined:
    16 Oct 2012
    Messages:
    129
    Likes Received:
    45
    Reputations:
    0
    Для tp-link нет стандартных пинов. Если перебор идет, тебе повезло. Старая прошивка попалась.
     
    VladimirV, binarymaster and icyclopys like this.
  16. icyclopys

    icyclopys Member

    Joined:
    11 Jul 2012
    Messages:
    112
    Likes Received:
    80
    Reputations:
    2
    Ну вот смотри еле-еле. 14 second/pin. Но я с Asus EEE PC 701 бручу.

    А вообще, точка не единственная. Моя задача наштурмовать любую точку в зоне радиуса)
    Еще есть:
    40:4A:03:AC:11: D4
    EE:43:F6:09:6F:88
    90:F6:52: D3:0B:CA - тут чую что этот же TP-Link по первым символам.
     
  17. djamv

    djamv Member

    Joined:
    16 Oct 2012
    Messages:
    129
    Likes Received:
    45
    Reputations:
    0
    #2657 djamv, 13 Aug 2015
    Last edited: 13 Aug 2015
  18. icyclopys

    icyclopys Member

    Joined:
    11 Jul 2012
    Messages:
    112
    Likes Received:
    80
    Reputations:
    2
  19. megafon

    megafon New Member

    Joined:
    31 Aug 2011
    Messages:
    18
    Likes Received:
    0
    Reputations:
    0
    Ericsson казахтелекомовские кто нить пробовал ломать? Сети обычно из 4х символов названия

    Заходил в панельку у парочки, у обоих wps mode: pbc(По кнопке как я понял) Их вообще нет смысла пытать пинами?
     
    #2659 megafon, 13 Aug 2015
    Last edited: 13 Aug 2015
  20. djamv

    djamv Member

    Joined:
    16 Oct 2012
    Messages:
    129
    Likes Received:
    45
    Reputations:
    0
    Выбери точку ниже EE:43:F6:09:6F:88, переключи в режим генерации пинов для всех точек (Todas las redes) и попробуй.
     
    binarymaster likes this.