Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. Isica

    Isica Active Member

    Joined:
    17 Oct 2018
    Messages:
    255
    Likes Received:
    224
    Reputations:
    1
  2. Isica

    Isica Active Member

    Joined:
    17 Oct 2018
    Messages:
    255
    Likes Received:
    224
    Reputations:
    1
    Да, и у меня по 8 векторам не находится даже халф (по крайней мере, без танцев с бубном).
     
  3. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    Это 2 абсолютно разные устройства, с одинаковым MAC адресом. Поскольку это разные устройства, выпущенные в разное время, в разных партиях, и с разным первым устройством в серии, то поменялась и "точка отсчета" у пин-кодов и MAC адресов, поэтому пин разный.

    Тем временем, удалось вскрыть первую точку с помощью экспериментального генератора. Еще одна победа.

    И еще кое-что. В прошивках adsl роутеров, а может и не только в них, по вот этой ссылке можно найти дебаг информацию. Все на китайском, но это не проблема с яндексовским переводчиком
    http://IP_роутера/svn_log.html
    Работает только после авторизации.
     
    Monohrom, 4Fun, CRACK211 and 2 others like this.
  4. Isica

    Isica Active Member

    Joined:
    17 Oct 2018
    Messages:
    255
    Likes Received:
    224
    Reputations:
    1
    Это доказано?
     
  5. Isica

    Isica Active Member

    Joined:
    17 Oct 2018
    Messages:
    255
    Likes Received:
    224
    Reputations:
    1
    Сделал выборку всех популятных пинов у Тенд:
    Code:
    MariaDB [Tenda]> select concat(lpad(PIN,7,0),CRC) PIN8,count(*) n,count(distinct(OUI)) nOUIs,count(distinct(Model)) nModels, group_concat(distinct(OUI)) OUIs from TendaAll where Model like '%Realtek%' group by PIN8 having n>nOUIs*2 order by n desc,OUIs;
    +----------+-----+-------+---------+-------------------------------------+
    | PIN8     | n   | nOUIs | nModels | OUIs                                |
    +----------+-----+-------+---------+-------------------------------------+
    | 29294176 | 478 |     4 |       5 | 04:95:E6,D8:32:14,CC:2D:21,C8:3A:35 |
    | 69790980 |   9 |     1 |       4 | C8:3A:35                            |
    | 64274959 |   7 |     3 |       5 | C8:3A:35,58:D9:D5,08:40:F3          |
    | 10396797 |   4 |     1 |       2 | C8:3A:35                            |
    | 26707693 |   4 |     1 |       2 | C8:3A:35                            |
    +----------+-----+-------+---------+-------------------------------------+
    5 rows in set (0.88 sec)
    
    MariaDB [Tenda]> select concat(lpad(PIN,7,0),CRC) PIN8,count(*) n,count(distinct(OUI)) nOUIs,count(distinct(Model)) nModels, group_concat(distinct(OUI)) OUIs from TendaAll group by PIN8 having n>nOUIs*2 order by n desc,OUIs;                          +----------+------+-------+---------+----------------------------------------------------------------+
    | PIN8     | n    | nOUIs | nModels | OUIs                                                           |
    +----------+------+-------+---------+----------------------------------------------------------------+
    | 25086164 | 6994 |     1 |       1 | C8:3A:35                                                       |
    | 35806691 | 5173 |     1 |       1 | C8:3A:35                                                       |
    | 45304347 | 3004 |     2 |       1 | C8:3A:35,50:0F:F5                                              |
    | 00000000 | 2167 |     4 |       3 | 00:B0:0C,C8:3A:35,50:0F:F5,D8:32:14                            |
    | 29294176 |  478 |     4 |       5 | C8:3A:35,D8:32:14,CC:2D:21,04:95:E6                            |
    | 12345670 |  421 |     1 |       2 | C8:3A:35                                                       |
    | 43196036 |  300 |     1 |       1 | C8:3A:35                                                       |
    | 63491838 |  289 |     1 |       1 | C8:3A:35                                                       |
    | 71294987 |  239 |     1 |       1 | C8:3A:35                                                       |
    | 63410372 |  227 |     1 |       1 | C8:3A:35                                                       |
    | 42315445 |  179 |     1 |       1 | C8:3A:35                                                       |
    | 40235448 |  169 |     1 |       1 | C8:3A:35                                                       |
    | 12345678 |  155 |     2 |       1 | C8:3A:35,50:0F:F5                                              |
    | 74250226 |  126 |     1 |       1 | C8:3A:35                                                       |
    | 65446225 |  109 |     1 |       1 | C8:3A:35                                                       |
    | 37293499 |  100 |     1 |       1 | C8:3A:35                                                       |
    | 89075104 |   91 |     1 |       1 | C8:3A:35                                                       |
    | 22923165 |   85 |     2 |       1 | C8:3A:35,04:95:E6                                              |
    | 21015434 |   84 |     1 |       1 | C8:3A:35                                                       |
    | 27334737 |   83 |     1 |       1 | C8:3A:35                                                       |
    | 09278325 |   65 |     1 |       1 | C8:3A:35                                                       |
    | 57695310 |   55 |     1 |       1 | C8:3A:35                                                       |
    | 15864710 |   51 |     1 |       1 | C8:3A:35                                                       |
    | 32654554 |   50 |     1 |       1 | C8:3A:35                                                       |
    | 14100185 |   45 |     1 |       1 | C8:3A:35                                                       |
    | 33599526 |   40 |     7 |       6 | CC:2D:21,D8:32:14,E8:65:D4,50:0F:F5,50:2B:73,04:95:E6,C8:3A:35 |
    | 03436165 |   38 |     1 |       1 | C8:3A:35                                                       |
    | 03974247 |   38 |     1 |       1 | C8:3A:35                                                       |
    | 25563818 |   37 |     1 |       2 | C8:3A:35                                                       |
    | 40234083 |   35 |     1 |       1 | C8:3A:35                                                       |
    | 19967899 |   33 |     1 |       1 | C8:3A:35                                                       |
    | 43015368 |   30 |     1 |       1 | C8:3A:35                                                       |
    | 10396797 |   26 |     1 |       3 | C8:3A:35                                                       |
    | 96789384 |   26 |     1 |       1 | C8:3A:35                                                       |
    | 54858404 |   25 |     1 |       1 | C8:3A:35                                                       |
    | 10150047 |   24 |     1 |       1 | C8:3A:35                                                       |
    | 26850122 |   24 |     1 |       1 | C8:3A:35                                                       |
    | 50542208 |   24 |     1 |       1 | C8:3A:35                                                       |
    | 42349686 |   23 |     1 |       1 | C8:3A:35                                                       |
    | 45793769 |   23 |     1 |       1 | C8:3A:35                                                       |
    | 36507634 |   22 |     1 |       1 | C8:3A:35                                                       |
    | 42987840 |   20 |     1 |       1 | C8:3A:35                                                       |
    | 58595282 |   20 |     1 |       1 | C8:3A:35                                                       |
    | 66094982 |   19 |     1 |       1 | C8:3A:35                                                       |
    | 15338549 |   18 |     1 |       1 | C8:3A:35                                                       |
    | 16356641 |   18 |     1 |       1 | C8:3A:35                                                       |
    | 28626305 |   18 |     1 |       1 | C8:3A:35                                                       |
    | 35688624 |   18 |     1 |       2 | C8:3A:35                                                       |
    | 56805734 |   18 |     1 |       1 | C8:3A:35                                                       |
    | 03436080 |   17 |     1 |       1 | C8:3A:35                                                       |
    | 39201331 |   17 |     1 |       1 | C8:3A:35                                                       |
    | 52962349 |   17 |     1 |       1 | C8:3A:35                                                       |
    | 60432544 |   17 |     1 |       1 | C8:3A:35                                                       |
    | 71496030 |   17 |     1 |       1 | C8:3A:35                                                       |
    | 89478486 |   17 |     1 |       1 | C8:3A:35                                                       |
    | 26579474 |   16 |     1 |       1 | C8:3A:35                                                       |
    | 42694243 |   16 |     1 |       1 | C8:3A:35                                                       |
    | 43033935 |   16 |     1 |       1 | C8:3A:35                                                       |
    | 83940743 |   16 |     1 |       1 | C8:3A:35                                                       |
    | 25777390 |   15 |     1 |       1 | C8:3A:35                                                       |
    | 45445941 |   14 |     1 |       1 | C8:3A:35                                                       |
    | 47497726 |   14 |     1 |       2 | C8:3A:35                                                       |
    | 34524664 |   12 |     1 |       1 | C8:3A:35                                                       |
    | 62071598 |   12 |     1 |       1 | C8:3A:35                                                       |
    | 91163974 |   12 |     1 |       1 | C8:3A:35                                                       |
    | 98652884 |   12 |     1 |       1 | C8:3A:35                                                       |
    | 16518568 |   11 |     1 |       1 | C8:3A:35                                                       |
    | 56936858 |   11 |     1 |       1 | C8:3A:35                                                       |
    | 87654321 |   11 |     1 |       1 | C8:3A:35                                                       |
    | 16238381 |   10 |     1 |       1 | C8:3A:35                                                       |
    | 42298885 |   10 |     1 |       1 | C8:3A:35                                                       |
    | 69790980 |   10 |     1 |       5 | C8:3A:35                                                       |
    | 06966409 |    9 |     1 |       1 | C8:3A:35                                                       |
    | 28096931 |    9 |     1 |       1 | C8:3A:35                                                       |
    | 58898932 |    9 |     1 |       1 | C8:3A:35                                                       |
    | 11223344 |    8 |     1 |       1 | C8:3A:35                                                       |
    | 19120225 |    8 |     1 |       1 | C8:3A:35                                                       |
    | 24060592 |    8 |     1 |       1 | C8:3A:35                                                       |
    | 88323206 |    8 |     1 |       1 | C8:3A:35                                                       |
    | 01234567 |    7 |     1 |       1 | C8:3A:35                                                       |
    | 12850716 |    7 |     1 |       1 | C8:3A:35                                                       |
    | 14151743 |    7 |     1 |       1 | C8:3A:35                                                       |
    | 17159685 |    7 |     1 |       1 | C8:3A:35                                                       |
    | 20362027 |    7 |     1 |       1 | C8:3A:35                                                       |
    | 23186330 |    7 |     1 |       1 | C8:3A:35                                                       |
    | 41472644 |    7 |     1 |       2 | C8:3A:35                                                       |
    | 43138616 |    7 |     1 |       1 | C8:3A:35                                                       |
    | 64274959 |    7 |     3 |       5 | C8:3A:35,08:40:F3,58:D9:D5                                     |
    | 10928806 |    6 |     1 |       2 | C8:3A:35                                                       |
    | 31129220 |    6 |     1 |       1 | C8:3A:35                                                       |
    | 40982311 |    6 |     1 |       1 | C8:3A:35                                                       |
    | 54024052 |    6 |     1 |       1 | C8:3A:35                                                       |
    | 60113757 |    6 |     1 |       1 | C8:3A:35                                                       |
    | 64717159 |    6 |     1 |       1 | C8:3A:35                                                       |
    | 73206903 |    6 |     1 |       1 | C8:3A:35                                                       |
    | 73598831 |    6 |     1 |       1 | C8:3A:35                                                       |
    | 98765432 |    6 |     1 |       1 | C8:3A:35                                                       |
    | 99158019 |    6 |     1 |       1 | C8:3A:35                                                       |
    | 14293122 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 14739118 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 16759657 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 23818637 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 27637685 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 28172697 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 32867206 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 33699288 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 36697168 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 41409169 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 41768631 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 44229375 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 44374570 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 45243967 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 49893144 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 51243890 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 57585789 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 61021730 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 75587772 |    5 |     1 |       1 | C8:3A:35                                                       |
    | 10203040 |    4 |     1 |       1 | C8:3A:35                                                       |
    | 11685364 |    4 |     1 |       1 | C8:3A:35                                                       |
    | 12279180 |    4 |     1 |       2 | C8:3A:35                                                       |
    | 14997846 |    4 |     1 |       1 | C8:3A:35                                                       |
    | 15397560 |    4 |     1 |       1 | C8:3A:35                                                       |
    | 26707693 |    4 |     1 |       2 | C8:3A:35                                                       |
    | 47506077 |    4 |     1 |       1 | C8:3A:35                                                       |
    | 78256224 |    4 |     1 |       1 | C8:3A:35                                                       |
    | 93055222 |    4 |     1 |       1 | C8:3A:35                                                       |
    | 00818322 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 10552728 |    3 |     1 |       2 | C8:3A:35                                                       |
    | 11111111 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 12344321 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 14580222 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 15391629 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 15893765 |    3 |     1 |       2 | C8:3A:35                                                       |
    | 17377126 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 19216801 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 20030889 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 24912648 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 27070918 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 27626566 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 34258125 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 39719041 |    3 |     1 |       2 | C8:3A:35                                                       |
    | 39923349 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 41132647 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 42392163 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 44181444 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 47090323 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 48018821 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 48051927 |    3 |     1 |       3 | C8:3A:35                                                       |
    | 53335043 |    3 |     1 |       2 | C8:3A:35                                                       |
    | 67139835 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 71521978 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 74333097 |    3 |     1 |       2 | C8:3A:35                                                       |
    | 76223488 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 85756854 |    3 |     1 |       1 | C8:3A:35                                                       |
    | 22104151 |    3 |     1 |       1 | D8:32:14                                                       |
    +----------+------+-------+---------+----------------------------------------------------------------+
    155 rows in set (2.22 sec)
     
    Думаю, пригодится.
     
  6. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    83
    Likes Received:
    132
    Reputations:
    2
    Это статика но это очень любопытно. Эта статика находится на целевых Тендах. Очень похоже на Броадкомовскую статику но только здесь Realtek. И эта статика проявляется на различных прошивках.
    Tenda Realtek Router, firmware: 1.1.0
    Tenda Realtek Router, firmware: V12.01.01.42_multi
    Tenda 11N Wireless Router
    Tenda Realtek Router, firmware: V12.01.01.29_multi
    Tenda Realtek Router, firmware: V12.01.01.39_multi
    Tenda Realtek Router, firmware: V12.01.01.48_multi
    Это стандартный пинкод от Реалтека. Он прописан по умолчанию
    Это стандартный пинкод кнопки WPS PBC
     
    #4726 Monohrom, 8 Jul 2020
    Last edited: 8 Jul 2020
  7. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    83
    Likes Received:
    132
    Reputations:
    2
    Вот так и Броадкомовская статика получилась.
    Вот такого не видел. Есть пример таких роутеров?
    Так переиспользование мак адресов. Причем минимум трижды.
    Это вполне можно обьяснить. На картинке D-Link DSL-2640NRU на котором броадкомовская статика. На наклейке пинкод не написан.
     

    Attached Files:

    TOX1C and 4Fun like this.
  8. Triton_Mgn

    Triton_Mgn Elder - Старейшина

    Joined:
    6 Jul 2015
    Messages:
    3,657
    Likes Received:
    5,792
    Reputations:
    51
    Можно взять пару роутеров с авито для тестов, готов скинуться
     
    TOX1C, munki, Monohrom and 3 others like this.
  9. CRACK211

    CRACK211 Elder - Старейшина

    Joined:
    16 Sep 2009
    Messages:
    1,050
    Likes Received:
    1,128
    Reputations:
    11
    я тоже готов поддержать . могу купить . только скажите какая точно модель нужна
     
    TOX1C, munki, Monohrom and 3 others like this.
  10. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    83
    Likes Received:
    132
    Reputations:
    2
    Под влиянием открытий последних дней мы с @4Fun занялись изучением генерации пин-кодов в роутерах TP-LINK по специальной кнопке в веб-интерфейсе и сделали несколько выводов:
    1) Мак адрес не участвует в генерации пин-кодов
    2) Пин-коды генерируются на основе текущего времени, и более ни на чём не основываются, кроме времени;
    3) время, на котором они основываются, локальное, то есть timestamp, но зависящий от часового пояса (в старых прошивках) — в новых прошивках (с голубой веб-мордой) за основу взят самый обычный UTC timestamp.

    Для потверждения наших выводов мы провели эксперимент:
    Взяли две разные модели роутеров от TP-LINK на базе Atheros: TL-WR740N v6 и TL-WR741ND v4.
    Синхронизировали на них время, часовые пояса и начали генерировать пин-коды через веб-морды с помощью кнопок "Создать новый пин-код", при этом нажимая их одновременно. Так проделали три раза и получили 3 пары совпадающих пин-кодов. Вы можете наблюдать их ниже, котрольные суммы пин-кодов отброшены.
    Code:
    TL-WR740N v6   TL-WR741ND v4
    2752101         2752101
    3120642         3120642
    9544919         9544919
    

    После мы решили проделать аналогичные действия на новых роутерах TP-LINK на базе Mediatek (с голубыми веб-мордами): TL-WR840N v4 и TL-WR841N v13
    И тоже получили 3 пары совпадающих пин-кодов:
    Code:
    TL-WR840N v4     TL-WR841N v13
    2786309           2786309
    2067563           2067563
    3089540           3089540
    

    За этими двумя экспериментами последовал ряд других, в ходе которых мы заметили, что:
    1) у старых роутеров TP-LINK на базе чипов Atheros timestamp, который участвует в генерации пинкода, привязан к часовому поясу;
    2) у новых роутеров TP-LINK на базе MediaTek для генерации пин-кода используется классический юниксовый timestamp, не привязанный к часовому поясу, то есть количество секунд с 1 января 1970 года по UTC.

    Для того чтобы окончательно удостовериться в увиденном, мы написали пару скриптов для синхронной генерации пин-кодов на двух роутерах TP-Link (работают как нажатие кнопки в веб-морде, по сути): https://mega.nz/file/fnpU1SDS#2RpEv2vk-OJBoQrEgbuMKuPmCJ1tiWOTFqVSo9uqLIU
    В архиве:
    main_green_basic.py — для роутеров TP-LINK с зелёным веб-интерфейсом и базовой аутентификацией
    main_blue.py — для роутеров TP-Link с голубым веб-интерфейсом и форм-авторизацией
    Оба скрипта работают только с парой идентичных роутеров. IP-адреса и авторизация роутеров настраивается в файле config.json. Для запуска требуется Python 3.6 и выше и модуль requests.
     
    #4730 Monohrom, 9 Jul 2020
    Last edited: 9 Jul 2020
    aberkroft, TOX1C, swanbg and 9 others like this.
  11. 4Fun

    4Fun Elder - Старейшина

    Joined:
    25 Jul 2018
    Messages:
    496
    Likes Received:
    709
    Reputations:
    11
    В продолжение исследования генерации пинов в роутерах TP-LINK прикладываю программку, написанную, глядя на декомпилированный псевдокод функции wlanWpsGenNewPIN, и генерирующую пин-коды старых TP-LINK (с зелёным веб-интерфейсом) на основе времени: https://mega.nz/file/j3RkRCgL#SwrRatgPlj83NdBwi0oPr-_D_XOgmqWTZhjWp6HqU5k
    upload_2020-7-10_15-19-50.png
    Принцип работы прост: генератор случайных чисел инициализируется временем в секундах в качестве зерна (seed), после чего генерируется случайное число, из которого извлекаются младшие разряды посредством взятия остатка от деления на 10000000 — получается семизначный пин без чексуммы.
    В архиве исходник и исполняемый файл для Linux x86, скомпилированный с использованием GCC 10.1.0 + GNU C library.
    Также прикладываю видеодемонстрацию восстановления пинов, сгенерированных ранее через веб-интерфейс роутеров, с помощью этой программки (записывал без подготовки — видео получилось долгим и кое-где неточности):
     
    hydra, TOX1C, Monohrom and 4 others like this.
  12. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    Вероятные - ZTE ZXV10 H108L с его 94229882 и Totolink N150RT / N300RT с их 99956042
    Как пинкод прописан на самом деле, понятия не имею. Только лишь догадки и предположения.
    Имелись в виду тенды с попадающейся статикой.
    Можно считать, что доказано, но не для всех роутеров. В примере с найденным укртелекомовским роутером:

    Известный роутер и его серийник
    У искомого роутера, 50:0f:f5:67:8e:e0 - серийник должен быть ...46 001207
    У опорного роутера, 50:0f:f5:67:84:00 - предполагаемый серийник ...46 000860
    50:0F:F5:67:69:30 - должен быть первым в партии. В выгрузке из базы, несколько роутеров из предыдущей 45 партии, отлично гармонируют с целевым роутером. Т.е. в начале партии пинкод не сбрасывается. И это будет справедливо для всей серии этих роутеров, начиная с 50:0F:F5:66... (судя по тому, что есть в базах wigle, 3wifi и по местности в эфире) и заканчивая 50:0F:F5:68..., или какой там окажется последним.

    А вот большой ручной датасет, с целевыми и нецелевыми устройствами.

    Code:
    SERIAL NUMBER           MACADDR              WPSPIN
    E067101 36 29 004487    C8:3A:35:1F:C9:58    59997283
    E067101 36 44 000487    C8:3A:35:66:F0:B0    14645433
    
    E068101 05 22 000670    C8:3A:35:1A:13:68    16548787
    E068101 05 25 000213    C8:3A:35:42:7A:F8    63155822
    E068101 05 49 000643    C8:3A:35:1C:9A:00    75527129
    E068101 05 49 005270    C8:3A:35:1D:2A:98    79489850
    E068101 06 19 008677    C8:3A:35:3E:9A:70    49664171
    E068101 15 41 001749    C8:3A:35:37:8E:F0    25373400
    E068101 15 43 011696    C8:3A:35:0C:6D:C8    20990800
    E068101 16 19 015618    C8:3A:35:5C:3D:E0    16510180
    E068101 16 19 019281    C8:3A:35:5C:B0:58    28131106
    E068101 16 19 019453    C8:3A:35:5C:B5:B8    60628992
    E068101 16 21 000489    C8:3A:35:18:2F:60    30321045
    E068101 27 07 011267    C8:3A:35:05:1B:C0    16950726
    E068101 36 29 002568    C8:3A:35:05:C8:00    74613168
    E068101 36 53 000052    C8:3A:35:83:94:48    51819729
    E068101 36 53 000482    C8:3A:35:83:A1:B8    33061900
    E068201 07 47 010238    C8:3A:35:81:35:98    19799773
    E068201 27 23 004594    C8:3A:35:97:40:A8    23833142
    E068201 27 33 017902    C8:3A:35:DF:03:C8    35775539
    E068201 37 42 016204    04:95:E6:3F:0A:18    43400010
    E068201 37 46 019261    04:95:E6:6D:8E:F8    68880163
    E068201 37 48 015810    04:95:E6:8D:DB:88    54184360
    E068201 68 12 003081    E8:65:D4:6E:5B:C0    33245140
    E068201 68 12 008501    E8:65:D4:6F:05:20    56781793
    E068201 78 49 009026    50:0F:F5:8E:B4:58    87487398
    E068201 89 10 003156    D8:32:14:39:FA:98    15353764
    E068201 89 31 004363    58:D9:D5:35:65:B0    49207255
    
    E072101 25 43 010544    C8:3A:35:0D:4C:D8    15379849
    E072101 25 43 016733    C8:3A:35:0E:0E:40    96940297
    E072101 36 45 003442    C8:3A:35:88:2D:48    50310326
    E072201 07 46 000332    04:95:E6:62:EC:28    14544620
    E072201 07 46 010329    04:95:E6:66:83:70    37292362
    E072201 07 48 004848    04:95:E6:96:8F:D8    86742412
    E072201 07 48 009307    04:95:E6:97:1B:30    66691419
    E072201 07 48 012724    04:95:E6:97:85:F8    65017999
    E072201 18 01 000819    E8:65:D4:0C:D3:50    15515124
    E072201 28 16 008993    E8:65:D4:B1:FC:68    34789094
    E072201 39 01 001760    50:0F:F5:D2:13:A8    29529292
    
    E076101 05 39 002034    C8:3A:35:0F:C1:60    59582106
    E076101 15 45 000798    C8:3A:35:35:96:00    86420877
    E076101 25 21 000162    C8:3A:35:5A:33:C8
    
    E161301 62 50 000361    C8:3A:35:55:D4:60    56249286
    
    E164A01 02 12 004664    C8:3A:35:15:AB:90    14201769
    E164A01 02 12 004815    C8:3A:35:15:B0:48    14213847
    
    E166601 23 12 000278    C8:3A:35:F2:70:F0
    
    E167301 32 12 000438    C8:3A:35:21:C4:E0    22130884
    
    E180201 02 10 000814    C8:3A:35:54:CA:C8    55569361
    E180202 24 08 001118    C8:3A:35:00:45:48    11258698
    
    E181201 02 12 000486    C8:3A:35:5E:80:00    61931527
    E181201 04 12 000178    C8:3A:35:1A:77:B0    17345767
    
    E188A11 02 12 001574    C8:3A:35:18:58:40    15954565
    E188A11 02 12 002969    C8:3A:35:18:83:D8    16066168
    E188A11 12 49 003799    C8:3A:35:3D:82:78    40310961
    E188A11 12 49 003987    C8:3A:35:3D:88:58    40326009
    E188A11 32 51 000263    C8:3A:35:13:5F:10    12695201
    
    E191301 05 33 005182    C8:3A:35:2F:59:50    13584894
    E191301 12 44 002408    C8:3A:35:33:2C:30    33536484
    E191301 12 44 004024    C8:3A:35:33:5E:B0    33665764
    E191301 32 49 001349    C8:3A:35:40:2E:B0    42062561
    E191301 32 49 004903    C8:3A:35:40:9D:C0    42346883
    E191301 33 16 006701    C8:3A:35:36:A7:78    35818168
    E191301 63 33 003752    C8:3A:35:52:ED:20    54346567
    E191301 63 33 005292    C8:3A:35:53:1D:40    54469761
    E191301 84 34 006715    C8:3A:35:07:9A:60    44097660
    
    E302401 07 33 000485    C8:3A:35:DC:D0:C0
    
    E393101 76 35 000165    50:2B:73:09:D0:A8    39458261
    E393101 76 35 000307    50:2B:73:09:D5:18    17350839
    E393101 76 35 000420    50:2B:73:09:D8:A0    13248703
    E393101 15 49 001580    C8:3A:35:4F:E1:E0    41181546
    E393201 17 41 000278    04:95:E6:37:0F:70
    E393201 17 48 008299    04:95:E6:8F:1F:B0
    E393201 28 38 000343    50:0F:F5:18:7F:10
    
    E394101 96 36 002457    50:2B:73:0B:6D:C8    90934261
    E394201 07 45 001940    04:95:E6:6B:BA:58
    E394201 17 41 000184    04:95:E6:37:1C:20
    E394201 39 46 000363    04:95:E6:2A:F4:B8
    
    E633101 06 06 008689    C8:3A:35:2F:7A:88    15855602
    E633101 15 42 006425    C8:3A:35:4E:F5:B0    43128266
    E633101 36 45 007289    C8:3A:35:87:21:68    18465235
    E633101 36 45 008046    C8:3A:35:87:39:10    18155891
    E633101 47 07 010009    C8:3A:35:0B:9F:E8    97846505
    E633301 27 38 006772    04:95:E6:20:78:28    25252194
    E633301 37 45 008630    04:95:E6:61:63:48    10609972
    E633301 37 45 010802    04:95:E6:61:A7:28    18908428
    
    По какому наркоманскому принципу распределяются MAC адреса, пока не понятно.
    Все упирается в ручную обработку, и в то, что это барахло популярностью не пользуется, и на барахолках его мало. Еще и не в каждом объявлении есть фото с наклейкой, а если и есть, то не всегда полное или четкое.

    *******

    Тем временем, битва генератора и роутеров идет со счетом 9:6 не в пользу тенды.

    По паролям статистика очень неутешительна. 4 абсолютно небрутабельных пароля, 2 осилила бы платная ветка, один потенциально нашелся бы, и один 100% был бы сбручен (+ еще один зачет - укртелекомовский роутер, послуживший всему началом).
    У тенды 2 случая - непопад по первой половине пинкода, остальные 4 - отсутствие валидных данных в базе.
     
    #4732 TOX1C, 10 Jul 2020
    Last edited: 11 Jul 2020
    hydra, Isica, 4Fun and 2 others like this.
  13. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    83
    Likes Received:
    132
    Reputations:
    2
    По идее у них тоже не должно быть наклейки с пинкодом. У этих Тенд
     
  14. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    Вариант, имеющий место быть. Одна из точек, в ручной выгрузке, действительно из таких.
    С отличающимся последним октетом, в 3wifi действительно есть только 2 точки, как раз из static pin кодом.
    E076101 25 21 000162.jpg
    Давно искал повод запостить эту картинку, а тут как раз появилась возможность.

    Два айфона. При этом настолько дешевый роутер, насколько это возможно. Сэкономили везде, где только можно было - даже половину этикетки пропечатали в пластике корпуса. А оставшееся напечатали на термоэтикетке из супермаркета.

    Но самое смешное не это - человек с двумя айфонами, непонятно нахера оказавшимися в кадре, пытается этот роутер продать на интернет-барахолке. Я не понимаю этого.
    Посмотрел еще по этим Tenda N3, чаше всего попадается на диапазонах именно этот статический пин - 25086164
     
  15. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    83
    Likes Received:
    132
    Reputations:
    2
    Эта тенда на базе Броадкома если верить этому сайту:
    https://remont-aud.net/dump/planshety_i_ehl_knigi/tenda_n3/59-1-0-5916

    Так что вполне возможно что на ней тоже броадкомовская статика сгенерированая алгоритмом. Тот вывод что показал @binarymaster где совпадают пинкоды и роутеры его можно продолжать и продолжать. Он не совсем полный.
     
    binarymaster and 4Fun like this.
  16. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    83
    Likes Received:
    132
    Reputations:
    2
    Я проверил на всякий случай в поисках констант. Пин-коды вшиты в прошивки роутеров.
    Пин-код для ZTE ZXV10 H108L находиться здесь: squashfs-root/bin/cspd.
    Для Totolink N150RT и N300RT пин-код можно найти вот тут: squashfs-root/bin/flash
    Ниже скриншоты находок. Прошивки брал с сайтов вендоров.
     

    Attached Files:

    binarymaster, hydra and 4Fun like this.
  17. Isica

    Isica Active Member

    Joined:
    17 Oct 2018
    Messages:
    255
    Likes Received:
    224
    Reputations:
    1
    Увы, но в данном случае, ваши "опечатки" оказались стратегическими, т.к. в этом диапазоне перемешаны устойства с чётными и нечётными маками (походу, похоже на "белый реюзинг" маков), причём чётные--это Realtek, а нечётные--'Micro DSL Tenda'.
    А мой генератор разносит чёт и нечёт по разным категориям (эксперименты показали, что это оправдано), т.е., для нечётного MAC будут искаться только нечётные опорные точки.
     
  18. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    Фактически, MAC адреса у них только четные, какие и написаны на этикетках, и к каким приведен рассчет серийников.
    1.png
    2.png

    udp: нашлась причина упорного непарса роутерсканом некоторых устройств
    Снимок.PNG
     
    #4738 TOX1C, 12 Jul 2020
    Last edited: 12 Jul 2020
    hydra and Isica like this.
  19. Isica

    Isica Active Member

    Joined:
    17 Oct 2018
    Messages:
    255
    Likes Received:
    224
    Reputations:
    1
    Вот ещё один яркий пример (чёрно-жёлтого) реюзинга маков:
    Code:
    MariaDB [Tenda]> select tenda_pin8('04:95:E6:53:68:B0');
    *************************** 1. row ***************************
    tenda_pin8('04:95:E6:53:68:B0'):
    |----------------------------------------------------------------------------------------------|
    |Опорные точки (ближайшие данные в базе):
    |1) 04:95:E6:53:65:A0, -784,    1437 пар, 105 уникальных дельт (1:13.7), 72 мажорных(вес 97.7%)
    |2) 04:95:E6:53:65:20, -912,    1328 пар, 140 уникальных дельт (1:9.49), 90 мажорных(вес 96.2%)
    |3) 04:95:E6:53:64:50, -1120,   1289 пар,  78 уникальных дельт (1:16.5), 43 мажорных(вес 97.3%)
    |4) 04:95:E6:53:64:48, -1128,   1226 пар,  79 уникальных дельт (1:15.5), 54 мажорных(вес 98.0%)
    |5) 04:95:E6:53:64:38, -1144,   1195 пар,  59 уникальных дельт (1:20.3), 34 мажорных(вес 97.9%)
    |6) 04:95:E6:53:64:28, -1160,   1207 пар,  78 уникальных дельт (1:15.5), 49 мажорных(вес 97.6%)
    |7) 04:95:E6:53:64:08, -1192,   1181 пар,  92 уникальных дельт (1:12.8), 68 мажорных(вес 98.0%)
    |8) 04:95:E6:53:63:A0, -1296,   1201 пар,  92 уникальных дельт (1:13.1), 57 мажорных(вес 97.1%)
    |----------------------------------------------------------------------------------------------|
    |После объединения осталось 523 пинов, из них 0 полностью перекрёстных (MaxX=3).
    |Эффективность халф-оптимизации: 2.20.
    |----------------------------------------------------------------------------------------------|
    |ИТОГО: 238 фёст-халфов, 0 полно-перекрёстных.
    |----------------------------------------------------------------------------------------------|
    1 row in set (1.33 sec)
    
    MariaDB [Tenda]> select * from tmp_TendaHalfs where X>1 order by n;
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    | n    | Half | X    | Xh   | m    | m1   | m2   | m3   | m4   | m5   | m6   | m7   | m8   |
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    |    1 | 6647 |    3 |    3 | 1010 |    0 |    0 |    7 |  332 |    0 |    0 |  446 |  225 |
    |    2 | 6582 |    3 |    3 |  801 |    0 |    0 |   30 |  356 |    0 |    0 |  259 |  156 |
    |    3 | 9353 |    3 |    3 |  638 |   90 |   16 |    0 |    0 |  147 |  385 |    0 |    0 |
    |    4 | 6581 |    3 |    3 |  601 |    0 |    0 |   22 |   59 |    0 |    0 |   73 |  447 |
    |    5 | 7582 |    3 |    3 |  391 |    0 |    0 |  260 |   69 |    0 |    0 |   54 |    8 |
    |    6 | 5065 |    3 |    3 |  387 |   91 |  254 |    0 |    0 |    2 |   40 |    0 |    0 |
    |    7 | 7581 |    3 |    3 |  370 |    0 |    0 |  312 |   18 |    0 |    0 |   17 |   23 |
    |    8 | 5130 |    3 |    3 |  314 |   53 |   97 |    0 |    0 |  133 |   31 |    0 |    0 |
    |    9 | 9287 |    3 |    3 |  311 |  118 |   26 |    0 |    0 |    2 |  165 |    0 |    0 |
    |   10 | 7647 |    3 |    3 |  287 |    0 |    0 |  125 |   62 |    0 |    0 |   73 |   27 |
    |   11 | 5064 |    3 |    3 |   50 |   15 |   32 |    0 |    0 |    2 |    1 |    0 |    0 |
    |   12 | 8353 |    2 |    2 |  836 |    0 |   59 |    0 |    0 |  737 |   40 |    0 |    0 |
    |   13 | 6065 |    2 |    2 |  483 |  397 |   28 |    0 |    0 |    0 |   58 |    0 |    0 |
    |   14 | 6130 |    2 |    2 |  363 |  284 |   12 |    0 |    0 |    0 |   67 |    0 |    0 |
    |   15 | 9288 |    2 |    2 |  279 |   61 |   13 |    0 |    0 |    0 |  205 |    0 |    0 |
    |   16 | 3359 |    2 |    2 |  175 |    0 |    0 |   51 |  101 |    0 |    0 |   23 |    0 |
    |   17 | 5647 |    2 |    2 |  100 |    0 |    0 |    0 |   24 |    0 |    0 |   33 |   43 |
    |   18 | 3424 |    2 |    2 |   86 |    0 |    0 |   13 |   49 |    0 |    0 |   24 |    0 |
    |   19 | 5582 |    2 |    2 |   86 |    0 |    0 |    0 |   32 |    0 |    0 |   26 |   28 |
    |   20 | 8288 |    2 |    2 |   80 |    0 |   61 |    0 |    0 |    1 |   18 |    0 |    0 |
    |   21 | 5581 |    2 |    2 |   72 |    0 |    0 |    0 |    9 |    0 |    0 |    4 |   59 |
    |   22 | 6064 |    2 |    2 |   58 |   50 |    5 |    0 |    0 |    0 |    3 |    0 |    0 |
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    22 rows in set (0.00 sec)
    
    PS
    Искал реальную точку. Теперь погляжу, какой вариант подойдёт...
    up
    А поглядеть не представляется возможным--у точки отключён wps.
    Но может её сбрутят...
     
    #4739 Isica, 13 Jul 2020
    Last edited: 14 Jul 2020
    hydra and TOX1C like this.
  20. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    А мои вчерашние эксперименты с выгрузкой и фильтрами
    показали, что стоит разносить по разным категориям не только разные устройства (на базе realtek в одну категорию, на базе broadcom в другую), и не только устройства с разными bssid, а и устройства одинаковой модели с разными прошивками.

    Пользователи обычно никогда не прошивают роутеры, а в этом диапазоне неплохое месиво версий прошивок. Одновременно с конвеера роутеры с разными прошивками обычно не идут. Осталось только разобраться, пустили ли в серию еще роутеров, втупую присваивая им существующие адреса (т.е. существуют дубли), или китайцы обнюхались испарениями от пластика и паяльной пасты, и додумались еще до чего-то
    Снимок.PNG

    Две разные серии можно заметить даже глазами, по непрерывной правильной цепочке роутеров от 63:68 и до 64:50 и по затесавшимся между ними странными роутерами.

    Интересно, что если заменить 0 и 1 на 8 и 9, подвох глазом будет сложно заметить.

    И что-то мне подсказывает, что у реальной точки прошивка будет совпадать с прошивкой тех устройств, на основе которых подсчитался pin.
     
    hydra and 4Fun like this.