Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Уже по этому признаку можно точно сказать, что точка не левая.

    Просто забудьте про JumpStart и используйте Router Scan для подключения по WPS.
     
    Genrix-936 and USER_X like this.
  2. 10NG0

    10NG0 New Member

    Joined:
    19 Jun 2018
    Messages:
    19
    Likes Received:
    0
    Reputations:
    0
    У меня проблемы в Router Scan с Pixie Dust Attack.
    Вопрос: Функция Obtain key with WPS может работать если адаптер не может входить в режим мониторинга и инжектить?
    вроде писали, что работает и так, мол это не зависит от этого, но все-таки.
    **************************************************************************
    WPS 1.0 на TД есть, еще почему-то не от одной ТД WPS PIN через Pixie dust не нашлось.

    к которым доступ я находил через pin, я в ручную тыкал WPS Pin Companion, если был пин в списке я его брал, а потом через JumpStart подключался к сети.


    Code:
    [*] Audit started at 2018.11.16 08:28:00 (UTC+04:00).
    [*] Associating with AP...
    [+] Associated with 1C:BD:B9:BF:6E:88 (ESSID: dlink-46).
    [*] Trying pin "84358127"...
    [*] Sending EAPOL Start...
    [*] Received Identity Request.
    [*] Sending Identity Response...
    [*] Received WPS Message M1.
    [*] E-Nonce: F2169DB3E0ED0860E8155C3F4B201958
    [*] PKE: 39338CCA7FA5246202C4ED592AD3511A836F41F5A55501A6352CD04F8757E81BA08A0EAF9E283182B96F18054192E4DEAE482055CBC7A594C6910D7C00EF95E661BE0ED21BE5B248670912B56434B866E293AD1C9EED784F8AB79B46672366478A68DE2B933412690381F2700E028AD2655C9C78C681A90B164A605FD903E31E0E3D24A51E15F39DC1C101A5942B3AA9EC055268095663F9FC7EEEF83C82638F3FF5899EC8CB2EB2BE014E1A95F19262AC1ACB94AF34DF4D01716C6EC5143CEE
    [*] Manufacturer: D-Link
    [*] Model Name: DIR-300
    [*] Model Number: DIR-300
    [*] Serial Number: 00000000
    [*] Device Name: DIR-300
    [*] Sending WPS Message M2...
    [*] PKR: D687A72A8988BF2383B34A13086E0E873B8B1769B5951FD48CC091525C4D97A10CC60904ECF76CF82D49C5D3CD103DABB418FB494DF23B780945888152AE74AD1118893757F471B27F15788F9AE78731207E47AE85507560105A855496A0944B664CC2ADC5DBC5072F50ACC465F97BDA00DACD14B10BD6461E6924BD95F2B59B5B69F767B5629A715FF52C784090ED246A6DFF166AE08A467319EE5A0C23B6E8629C26F6BC34ABDC67DB90D1B99F86CB53F06EFFB82AD7627B648895F5B64152
    [*] AuthKey: D3E5B125B53E8BCB8B2A3EBCC6C75AFC6682382BD8EE5CF8C4711BA8A46ABD26
    [*] Received WPS Message M3.
    [*] E-Hash1: 037C2A8D8757E8DDFD9D08C0454A0DB0C3B8AA168EE0727EF95248473AC54005
    [*] E-Hash2: D60296267A713DC337B34333F641DF0D57D53697E4F5811876BAAF75EA149BF9
    [*] Sending WPS Message M4...
    [-] Request timed out.
    [*] Sending WPS Message M4...
    [-] Request timed out.
    [*] Sending WPS Message M4...
    [-] Session timed out.
    [*] Starting Pixie Dust attack...
    [-] Pixie Dust PIN not found.
    [*] Trying pin "84358127"...
    [*] Sending EAPOL Start...
    [*] Received Identity Request.
    [*] Sending Identity Response...
    [-] Request timed out.
    [*] Sending Identity Response...
    [-] Request timed out.
    [*] Sending Identity Response...
    [-] Session timed out.
    [*] Trying pin "84358127"...
    [*] Sending EAPOL Start...
    [*] Received Identity Request.
    [*] Received Identity Request.
    [*] Sending Identity Response...
    [-] Request timed out.
    [*] Sending Identity Response...
    [-] Request timed out.
    [*] Sending Identity Response...
    [-] Session timed out.
    [*] Trying pin "84358127"...
    [*] Sending EAPOL Start...
    [*] Received WPS Message M1.
    [*] Received Identity Request.
    [*] Sending WPS Message M2...
    [-] Request timed out.
    [*] Sending WPS Message M2...
    [-] Request timed out.
    [*] Sending WPS Message M2...
    [-] Session timed out.
    [*] Trying pin "84358127"...
    [*] Sending EAPOL Start...
    [*] Received Identity Request.
    [*] Sending Identity Response...
    [*] Received WPS Message M1.
    [*] Sending WPS Message M2...
    [*] Received WPS Message M3.
    [*] Sending WPS Message M4...
    [-] Request timed out.
    [*] Sending WPS Message M4...
    [-] Request timed out.
    [*] Sending WPS Message M4...
    [*] Sending WPS Message M4...
    [*] Audit stopped at 2018.11.16 08:30:16 (UTC+04:00).
     
  3. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    В прикреплённом логе D-Link DIR-300, он к Pixie Dust не уязвим, и его придётся перебирать полным перебором.

    Насчёт других устройств ничего не могу сказать, нужны логи.
    Удалите JumpStart, он может конфликтовать с RS. Подключаться по пину можно и нужно тем же способом (через Router Scan).
     
    USER_X and 10NG0 like this.
  4. 10NG0

    10NG0 New Member

    Joined:
    19 Jun 2018
    Messages:
    19
    Likes Received:
    0
    Reputations:
    0
    я через JS могу точечно пробовать по одной штуке PIN, заходить в точку.

    А в RS какие-то трудности. Вот мне выдается через WPS GEN 15 штук PIN, может RS мне их перебрать как-то или же нет?
    Может у меня настры в "more" не правильные. В OBTAIN KEY with WPS Он у меня тупо в 1 пин до победного долбится и все, а другие 14 из листа даже не трогает.
    У меня точка не пробиваемая, единственный вариант это пробовать перебирать WPS PIN к ней, так как режим мониторинга чип не держит и хендшейк невозможен.
    Тем более wps на ТД включен, но неизвестен.
    А он либо не создан для перебора (obtain key with wps), либо я что-то делаю не так.

    sets

    [​IMG]
     
  5. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Ну а кто мешает список пинов очистить, и записать туда один? Список то редактируемый. :)
     
    USER_X, quite gray, Toroid and 2 others like this.
  6. glestwid

    glestwid New Member

    Joined:
    30 Dec 2010
    Messages:
    91
    Likes Received:
    1
    Reputations:
    0
    День добрый, подскажите чем WPS 2.0 отличается от WPS 1.0 , и есть ли там Pixie уязвимость ?
     
  7. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Кардинальных отличий нет, 2.0 блокируется быстрее. Уязвимость присутствовать может.
     
    quite gray likes this.
  8. CRACK211

    CRACK211 Elder - Старейшина

    Joined:
    16 Sep 2009
    Messages:
    1,047
    Likes Received:
    1,127
    Reputations:
    11
    Нашел такую команду и видео. Может кто попробовать на tp-link
    Всё очень просто
    -T, --m57-timeout=<seconds>
    -d, --delay=<seconds>
    -t, --timeout=<seconds>
    команда примет такой вид
    reaver -i mon0 -b 00;11;11;11;11;11 -c 12 -vv -m57-timeout=20 --delay=20 --timeout=20
    советую в комплексе использовать очень важная команда --delay. Остальные для успокоение души.
    п.с советую начать не с 20, а с 50 или 100
    читайте мануалы к программам, вот что я вам скажуhttps://yadi.sk/i/dNudz5D9jKzpT
     
    quite gray likes this.
  9. quite gray

    quite gray Banned

    Joined:
    8 Dec 2016
    Messages:
    370
    Likes Received:
    1,612
    Reputations:
    3
    Блокируются быстрее и надолго, либо до перезагрузки роутера владельцем. К атаке PixieDust уязвимы лишь некоторые от производителей Broadcom, Ralink, Realtek (из личного опыта).
     
  10. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Что-то мне подсказывает, что для этих роутеров уже есть алгоритм на 3WiFi. Потребуется только BSSID и серийник (можно взять из заголовков WPS).
     
    quite gray likes this.
  11. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Серийный номер устройства, в Router Scan в соответствующей колонке будет в таблице Wireless.
    Не нашёл ESSID на 3WiFi по этому маку. Там есть близко стоящие точки, но это другие.
    Исходя из вышесказанного, по-моему вы неправильно пин вычислили.
     
    quite gray likes this.
  12. quite gray

    quite gray Banned

    Joined:
    8 Dec 2016
    Messages:
    370
    Likes Received:
    1,612
    Reputations:
    3
    А из-под Kali можно такую атаку реализовать?
     
    #4452 quite gray, 18 Dec 2018
    Last edited: 18 Dec 2018
  13. Triton_Mgn

    Triton_Mgn Elder - Старейшина

    Joined:
    6 Jul 2015
    Messages:
    3,673
    Likes Received:
    5,797
    Reputations:
    51
    quite gray likes this.
  14. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Варианта два:
    45523540 либо 38662683

    [​IMG]

    Впрочем, есть вероятность, что они не подойдут (проверял на соседних устройствах по макам).
     
    quite gray likes this.
  15. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Без понятия, для этой штуки вообще регистрация не нужна, это же оффлайн генератор.

    Может быть проблема в браузере телефона.
     
    quite gray likes this.
  16. Felis-Sapiens

    Felis-Sapiens Reservists Of Antichat

    Joined:
    21 Jul 2015
    Messages:
    616
    Likes Received:
    3,833
    Reputations:
    171
    Давно ещё, почти сразу как был сделан онлайн генератор 3WiFi WPS PIN, мной было замечено, что для старых моделей D-Link генератор выдаёт много вариантов Static PIN. Это значило, что среди роутеров с близким BSSID встречались пины, повторяющиеся минимум пару раз.
    Используя базу, выяснил, что используется достаточно ограниченный набор пинов (поначалу пришёл к цифре 5000, но потом увидел, что в отдельных случаях может быть и больше). Более того эти пины образуют последовательность.
    Т.е. если у какого-то роутера пин из этой последовательности, то чтобы найти пин у другого роутера с близким BSSID, нужно:
    • посчитать разницу BSSID и разделить её на 2 (или на 3 у 320-х, что свидетельствует против идеи, что пин генерируется по BSSID)
    • добавить эту разницу к номеру в последовательности известного пина, при необходимости взять остаток по модулю 5000 (чаще других, но не всегда так). Хотя если разница больше 5000, вероятность не угадать возрастает - зачастую модели идут вперемешку.
    • взять пин из последовательности, соответствующий полученному числу.
    Время от времени я возвращался к этим D-Link, дополнял последовательность, подсказывал пины тем, кто спрашивал, ... Последний раз я остановился на том, что у некоторых старых ASUS (например, 14:DA:E9:7A:* ASUS RT-G3) большая часть пинов не попадают в эту последовательность, однако отдельные попадают и прекрасно ложатся в описанную выше схему (только делить разницу BSSID нужно на 4) (сегодня @binarymaster подкинул ещё информацию для размышления по ним).

    Алгоритма я не знаю. Если он есть, то основан не на BSSID, а скорее на SN.
    Пока вышеизложенное было реализовано @binarymaster в онлайн генераторе, за что ему большое спасибо.
    Некоторые модели/прошивки из базы с данными пинами
    Code:
    D-Link DIR-300, hardware: rev A1, firmware: 1.04,1.05,1.05Beta
    D-Link DIR-300, hardware: Bx, firmware: 1.04_SZT,2.01-2.06,2.11,2.12
    D-Link DIR-300NRU rev.B5,B5/B6,B6,B7
    D-Link DIR-320, hardware: rev 2B1, firmware: 1.00,1.02,1.10,1.20,1.21,1.22
    D-Link DIR-412, firmware: 1.02,1.05,1.10WW,1.14WW
    D-Link DIR-456U, firmware: V1.00ONG
    D-Link DIR-600, hardware: Bx, firmware: 2.xx
    D-Link DIR-600, hardware: C1, firmware: 3.01,3.02,3.05
    D-Link DIR-605L, hardware: B2, firmware: 2.01MT
    D-Link DIR-610, firmware: 1.00,1.01,1.01ME,1.02
    D-Link DIR-610, hardware: a1, firmware: 1.01
    D-Link DIR-610N+, firmware: 1.00,1.01
    D-Link DIR-615
    D-Link DIR-615, firmware: 1.01VG,17.02
    D-Link DIR-615, hardware: Q2, firmware: 17.02
    D-Link DIR-620
    D-Link DIR-645, hardware: A1, firmware: 1.00,1.01,1.02,1.03,1.04,1.05,1.06
    D-Link DIR-815, firmware: 1.00,2.00,2.02,2.03
    D-Link Beeline D150L
    D-Link GO-RT-N150, hardware: A1, firmware: 1.00,1.01,1.02
    D-Link GO-RT-N150, hardware: B1, firmware: 2.00
    D-Link GO-RT-N150, hardware: C1, firmware: 3.00
    D-Link DWR-112, hardware: A1, firmware: 1.04WW
    D-Link DAP-1522, hardware: B1, firmware: 2.00,2.02,2.07
    D-Link DAP-1525, firmware: 2.00
    KEEBOX W150NR

    Если у кого ещё остались поблизости такие роутеры, можете потестировать.

    Сама последовательность пинов в прикреплённом файле.
    #algorithm #dlink #seq
     

    Attached Files:

    Monohrom, 4Fun, Kakoluk and 14 others like this.
  17. CRACK211

    CRACK211 Elder - Старейшина

    Joined:
    16 Sep 2009
    Messages:
    1,047
    Likes Received:
    1,127
    Reputations:
    11
    когда то давно я писал об этом. Но может появились новые идеи и агоритмы и новые люди которые может быть смогут победить TP-Link/))))! Не дают они мне покоя (((
    нашел одну страность))) надеюсь вам понравится) обратил внимание на то что в роутерах тп -лин мас отличающийся последним oct то разница между пином равна в сумме 28ми. вот пример из базы

    60:E3:27:82:1B:9C 99716073
    60:E3:27:82:1B:F6 92370722
    60:E3:27:82:1B:2E 82899851
    60:E3:27:82:08:6A 84415318
    60:E3:27:82:08:CE 43083879

    минусуем от большого меньшее
    99716073-92370722=7345351=7+3+4+5+3+5+1=28
    99716073-82899851=16816222=1+6+8+1+6+2+2+2=28
    84415318-43083879=41331439=4+1+3+3+1+4+3+9=28
    то есть получается последний oct равен 28 от наивысшего?
    я правильно понял?
    то есть как я понял зная пин от
    60:E3:27:82:08:CE можно угадать пин для 60:E3:27:82:08:6A прибавляя числа чья сумма равна 28,



    43083879+01234567(в сумме равно 28)=44318446 не подходит(
    43083879+41331439(в сумме равно 28)=84415318 подходит))) ура


    еще Сообщение TOX1C
    https://forum.antichat.ru/threads/310835/page-205#post-4105807


     
    Kakoluk, Af5G4337, USER_X and 2 others like this.
  18. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Эээ... зачем ты проводишь математические операции с контрольными суммами? :eek:
     
    USER_X and Triton_Mgn like this.
  19. CRACK211

    CRACK211 Elder - Старейшина

    Joined:
    16 Sep 2009
    Messages:
    1,047
    Likes Received:
    1,127
    Reputations:
    11
    Может она не контрольная ) может пин генерируется полностью ) все 8 цифр ) что бы все отбрасывали последнюю цифру ) а она нужна ) может хитрость такая )
     
    Triton_Mgn likes this.
  20. hydra

    hydra Elder - Старейшина

    Joined:
    24 Jul 2015
    Messages:
    3,333
    Likes Received:
    36,348
    Reputations:
    67
    Что-то похожее встречается и у D-Liink.

    MTS_Router_009845 06473921 58: D5:6E:A2:FC:AB
    MTS_Router_007864 72757925 58: D5:6E:6E:CF:A3
    MTS_Router_011939 06641443 58: D5:6E:A2:3F: DB
    MTS_Router_011933 06640965 58: D5:6E:A2:3F:E3
    MTS_Router_011932 06640880 58: D5:6E:A2:40:03
     
    CRACK211 likes this.