Уязвимость в протоколе Wi-Fi Protected Setup

Не ассоциируется, пропал wps.

 

Вот написал генератор:
Пин генерируется без контрольной суммы!

http://rghost.ru/private/59981204/f8afbed5e8764358c761a39185edd36d
PASS- ник

 

BC:F6:85:CB:6F:7A
BCF685CB6F7A
wsp pin: '69475221'
wpa psk: '*'
ap ssid: '*'
D-Link DIR-615

алгоритм не сработал, а за софт спасибо.

з.ы.
есть вопрос или просьба, собрать в отдельной теме или посте все известные алгоритмы генерации впс из мака.

 

Выше я приводил совпадения для алгоритма D-Link. Так вот в нем я увеличивал BSSID на 1.
А вот совпадения по тому-же алгоритму но BSSID не увеличивал:

Code:

D-Link DIR-651
D-Link DAP-1155, hardware: A1, firmware: 1.00
D-Link DAP-1155, hardware: A1, firmware: ver1.00
D-Link DAP-1360, hardware: B1, firmware: 2.11
D-Link DAP-1360, hardware: B1, firmware: 2.13
TRENDnet TEW-432BRP
TRENDnet TEW-651BR
TRENDnet TEW-652BRP
TRENDnet TEW-731BR

Code:

00:14:D1:23:XX:XX   00:14:D1:52:XX:XX   00:14:D1:6D:XX:XX
00:14:D1:6E:XX:XX   00:14:D1:A4:XX:XX   00:14:D1:A9:XX:XX
00:14:D1:AC:XX:XX   00:14:D1:B6:XX:XX   00:14:D1:B7:XX:XX
00:14:D1:B8:XX:XX   00:14:D1:B9:XX:XX   00:14:D1:BC:XX:XX
00:14:D1:BD:XX:XX   00:14:D1:BE:XX:XX   00:14:D1:D1:XX:XX
00:14:D1:D4:XX:XX   00:14:D1:D5:XX:XX   00:14:D1:D7:XX:XX
00:14:D1:D8:XX:XX   00:14:D1:D9:XX:XX   00:14:D1:E0:XX:XX
00:14:D1:E2:XX:XX   00:18:E7:BE:XX:XX   1C:7E:E5:23:XX:XX
28:10:7B:B7:XX:XX   28:10:7B:C2:XX:XX   84:C9:B2:37:XX:XX
84:C9:B2:42:XX:XX   84:C9:B2:5C:XX:XX   B8:A3:86:4A:XX:XX
B8:A3:86:51:XX:XX   B8:A3:86:53:XX:XX   B8:A3:86:70:XX:XX
B8:A3:86:84:XX:XX   CC:B2:55:B1:XX:XX   D8:EB:97:10:XX:XX
D8:EB:97:12:XX:XX   D8:EB:97:13:XX:XX   D8:EB:97:14:XX:XX
D8:EB:97:1F:XX:XX   FC:75:16:64:XX:XX

Добавил BSSID+0 в генератор и обновил ссылку.

 

dir-615 ревизии Е4, подобрался правильный пин в поле essid+1

Двачую, и ещё бы неплохо впилить в программу эти алгоритмы, попутно приписав, к какому роутеру что использовать. Ну и в прогу добавить сканер сетей, сделать из нее продвинутое подобие dumpper. А ещё круче - переписать софт под андроид, заместо малофункционального WPSPIN. Цены программе не будет.

 

Обнаружил, что некоторые ASUS используют алгоритм NIC-32, т.е. последние 32 бита мак адреса (BSSID).

Например:
50:46:[5D:12:34:56] = 1474134[0]

Конкретные названия моделей уточнить пока не могу, т.к. в своей базе их не храню, а надо бы...

 

Вот что я нашел:

Code:

ASUS RT-N13U Rev.B1
D-Link DIR-300
EDIMAX BR6428GN
EDIMAX BR6428NS

Code:

00:07:26:3E:XX:XX   00:07:26:41:XX:XX   00:07:26:4A:XX:XX
00:07:26:5F:XX:XX   00:1F:1F:EE:XX:XX   00:1F:1F:F8:XX:XX
10:BF:48:4A:XX:XX   10:BF:48:4B:XX:XX   2C:AB:25:0B:XX:XX
2C:AB:25:0F:XX:XX   2C:AB:25:3D:XX:XX   2C:AB:25:54:XX:XX
2C:AB:25:55:XX:XX   2C:AB:25:57:XX:XX   2C:AB:25:5A:XX:XX
2C:AB:25:5D:XX:XX   2C:AB:25:61:XX:XX   2C:AB:25:68:XX:XX
2C:AB:25:69:XX:XX   2C:AB:25:F8:XX:XX   2C:AB:25:FD:XX:XX
50:46:5D:A5:XX:XX   50:46:5D:AE:XX:XX   50:46:5D:AF:XX:XX
50:46:5D:B0:XX:XX

 

Действительно, в моделях ASUS RT-N13U Rev.B1 встречается как классический перевод NIC из 16 в 10 систему, так и перевод последних четырех пар из мак-адреса (NIC+последняя пара от OUI). В других моделях Асус (в своих данных) больше такого подхода не нашел.
Мак-адреса, в которых обнаружен такой подход, начинаются с
10:BF:48
14A:E9
30:85:A9
50:46:5D
F4:6D:04
Причем у них могут встречаться и произвольно заданные пины (не по правилу).

 

Это потому что если последняя пара от UOI > 0F то подходит 32 бита, если UOI <= 0F подходит 32 и 28 бита. Если UOI = 00 то подходит 32, 28, и 24 бита.

 

Вот еще начала мак-адресов у моделей ASUS RT-N13U Rev.B1
20:CF:30 - только NIC 16->10, а не OUI(2)+NIC
C8:60:00 - тут у OUI последние 00, так что методы совпадают
E0:CB:4E - только NIC 16->10

 

Да, кстати по поводу ASUS'ов.

Vikhedgehog давно постил здесь ссылку на хабр, где были намёки на WPS пин код и переменную secret_code в NVRAM.

Выяснил, что секретный код и есть WPS пин (переменные wsc_device_pin и secret_code одинаковы).

Причём, при инициализации прошивки секретный код считывается из /dev/mtd0, следовательно этот код задают на производстве роутера. О том, каким образом он генерируется, остаётся только гадать.

 

А ннасчет тп-линков кто-нибудь знает, что и как там генерируется? У них пин-код прошит на флешке ещё при производстве, но может в прошивке где-то лежит алгоритм.

 

TP-Link'и могут сами генерировать пин код при сбросе настроек. Не знаю, насколько он рандомный, но знаю точно, что он менялся на одном и том же роутере.

Кстати, так получилось, что я вдохновился одновременно с пользователем VladimirV, и тоже написал свой WPS PIN генератор

сцылкО (пароль - название форума)

Использует 14 алгоритмов генерации + 6 статичных пинов. Также умеет "подсказывать" PIN по OUI мак адреса.

Планирую интегрировать эту штуку в Router Scan, чтобы ещё можно было автоматом находить используемые алгоритмы генерации пина разными моделями роутеров.

UPD:
Добавил часто встречающиеся пины из поста ниже, спасибо!

UPD 2:
Добавил ещё OUI для Huawei, и ещё несколько улучшений.

 

Вот постаянные пины которые мне известны:

Code:

=0000000  =1086411  =1110582
=1227918  =1234567  =1416980
=1562469  =1708421  =1883648
=2017252  =2085483  =2138203
=3195719  =3561153  =3786522
=3887260  =4626484  =6232714
=6817554  =7622990  =9566146
=9995604

В файлике BSSID PIN Model
http://rghost.ru/private/59989004/f8575c09a318f17404e8711a75625da8

 

сцылкО (пароль - название форума)
ничего не получается, ведь название форума Уязвимость в протоколе Wi-Fi Protected Setup или я не прав.

 

спасибо

 

ввёл, открылось пустое поле

 

не большая подсказка, в пароле 8-мь знаков.

 

to binarymaster
По моему все что я находил раньше HEX24->DEC-2465792 попадает под 32, 28, 24 бита.

 

добавлял и точку, и тире, по англ и есть 8 знаков. не пойму