У меня такое ощущение, что алгоритм устроен так: сначала вычисляется основание (предпологаю, оно вычисляется на основе OUI, то есть первых трёх байтов мака), а потом вычисляется шаг (по-другому разность) на основе NIC. Это предположение как раз объясняет то, почему у MAC-адресов с одинаковым NIC, но разными OUI разные пин-коды: основание отличается.
Нашёл интересное место в выгрузке Spoiler: Скриншот Видно, что шаг пин-кодов равен шагу BSSID, в связи с этим есть предположение, что его величина зависит от OUI (первых трёх байтов BSSID), ведь таких маленький шагов не встречается, к примеру, среди 04:95:E6* Хотя, может быть, такое не встречается среди 04:95:E6*, потому что там гораздо меньше записей в 3WiFi.
Возможно ли запускать прошивки роутеров на MIPS-эмуляторе? Это избавило бы от необходимости искать алгоритм wps для каждой конкретной модели роутера. Просто запускаем прошивку на эмуляторе с нужным BSSID и узнаем сгенерированный пин.
В выгрузку попали некорректные данные, это mac2pin алгоритм, с генерацией от LAN MAC (он в роутере и прописан, BSSID генерируется от него). Spoiler: pix Для тенды f3, и может быть других тенд на броадкоме, с "генерацией" все просто. У них в памяти есть 3 области - одна с заводским файлом конфигурации, две других области - это пользовательский конфиг и его бекап. В заводском конфиге прописан MAC и PIN. Насколько я понял, при зажатой кнопке сброса роутер загоняет заводской конфиг в зону с пользовательским, и идет на перезагрузку. <-- ЭТИ СЛОВА КАК 100% ИСТИНУ НЕ ВОСПРИНИМАТЬ!!! С дешевым реалтеком все сложно, нестандартный набор инструкций и нет рабочего дизассемблера для него. С дорогим реалтеком, и дорогими двухдиапазонными тендами - ac6 ac9 ac10 и т.д. все должно быть легче. В этой статье автор потрошил немного другой девайс, но на том же процессоре https://habr.com/ru/post/460591/ В базе их нет и не будет, доступ снаружи включается только тогда, когда сменен пасс админа, да и не все из них парсятся. А алгоритм с виду похож на искомый.
Обновил выгрузку: отфильтровал левые данные (спасибо TOX1C за то, что указал на mac2pin), добавил новые записи из 3WiFi. Важное замечание: среди MAC-адресов с OUI C8:3A:35 встречается множество роутеров, у которых левые статические пин-коды, не подходящие под искомый алгоритм; к сожалению, я пока не смог их отфильтровать. Выгрузка, разделённая по OUI: https://mega.nz/#!au4ByIaI!FPxLo19HtUQWm-jSnqoA3X2GQkETLNPoL2f4j_L2cnI Вся выгрузка, отсортированная по BSSID: https://mega.nz/#!arwngYoQ!KIzaiK2UfcoWQXWRa6SEUgwQFkL_GV-u6fG6pu7STKY Отсортировано по NIC: https://mega.nz/#!mj4RRIRa!VYzPuviweHbcQHY9QcFfZ4JMu1NNicOua543G4XpKg4 Отсортировано по пин-коду: https://mega.nz/#!H35jRIab!G7moMCPqI1vHsTAbjdC2HGnLu-UXRPff1ZbqdvqwgIo Отсортировано по BSSID и пин-коду: https://mega.nz/#!KmpzFYRZ!qU9S3XGUS7ZbU0jziWFQ3AxvliVB4N5RPTDmvBC1X80 Отсортировано по NIC и пин-коду: https://mega.nz/#!fq5j1AYT!ml60K1DD2wRa_uy_jZoDZ93efnJGQpj8FDCWq-hyAQQ
Похоже, что все роутеры Tenda с BSSID, оканчивающимися на нечётную цифру (как правило, 0+1 или 8+1), при генерации пин-кода используют MAC-адерс WAN, который на единицу меньше BSSID. Примеры таких роутеров: 04:95:E6:00:35:39 (WAN MAC: 04:95:E6:00:35:38) 04:95:E6:00:35:41 (WAN MAC: 04:95:E6:00:35:40) 04:95:E6:00:35:79 (WAN MAC: 04:95:E6:00:35:78)
Или LAN MAC, для некоторых ADSL роутеров характерно. Положняк таков - реальные MAC адреса оканчиваются только на 0 или 8, других нет вовсе. Или немножко не так - берется сразу весь MAC адрес, и путем неизвестных операций с его частями, большое число, коим является мак адрес, превращается в число поменьше. Причем алгоритм сформирован так, чтобы для одной партии роутеров, сгенерировались все возможные комбинации пинкодов - от 0 до 9. А не как раньше было, когда для серии роутеров с отличием в последнем октете, первые 3 цифры пина не менялись. А тут взял в руки 2 роутера - а там пины различаются значительно - рандом, господа Максимум, за который алгоритм прокрутит весь пул возможных пинкодов от 0 до 9 - 51 роутер (если сдвигать постоянно на 195528). Минимум - не берусь гадать, бывают срывы последовательности. В теории - что-то около 30. Похоже на партию, которую отгружает завод. С нулём тоже не все так просто - алгоритм принципиально отказывается генерировать пинкоды с ведущими нулями - вместо них он пользуется 1. После срыва или переполнения, отсчет начинается с 1 и потом снова идут пины с 1. И только после этого начинаются пины на 2, 3, и т.д. Сейчас я пытаюсь понять, как из всех возможных вариаций для неизвестного пина, выбрать правильный. Восстановить недостающие в базе данные можно, но пока что далеко не для всех случаев.
Формулу видели в таблице, которую я давно скидывал? При расчёте пина явно берётся остаток по модулю 10^7. С этим тоже всё просто - если сгенерированный пин меньше 10^6, к нему прибавляется 10^6. Для значений в таблице, я это уже подкорректировал.
Hi binary master ,,,,thanks for your reply ,,,your words forced me to do all of my best to hack the password for this network unfortunately all the pins are not valid the correct pin is not listed and it was (50408054) the router type is (TD-W8960N) I want to tell you that for more than 1.5 year I am trying to hack this network without any result I performed evil twin attack against him more than 17 times but he did not even connect to the new network using the evil twin attack I forced him to change the SSID & the password but unfortunately he left his home so I did not catch the handshake for more than 20 days ,,,,on 12.08.2019 I found that he changed the SSID and password again and i catched it what I am going to say that for every user do not lose hope patience is a virtue thanks
Свежая выгрузка с базы, уже отсортирована эта выгрузка очищена от всех левых устройств https://dropmefiles.com.ua/WYXUCek4
В основном, в выгрузке встречаются роутеры, у которых разница в MAC адресе между двумя роутерами составляет 8 бит. Но попадаются и роутеры, у которых эта разница 16 бит. И у них между PIN кодами такой же сдвиг, как и у "восьмибитных" роутеров. Хотя, если к некоему основанию потом добавляется сдвиг, который высчитывается из MAC адреса, и приводится к неким допустимым шагам сдвига, сдвиг у них должен быть одним из тех, который будет "через роутер" у "восьмибитных". Очень редко, между ними затесывается роутер, с совсем не тем пинкодом, что у соседних роутеров. Получается, что алгоритм, ответственыый за генерацию PIN кодов, и MAC адреса генерирует. Ну не может же быть так, что в качестве входного аргумента у генератора, служит MAC адрес предыдущего роутера. Или MAC и PIN генерируются от совсем другого основания - серийного номера роутера например; от для рождения китайца, который алгоритм сочинял, или от фазы луны... Или пары MAC и PIN создаются сразу же, для всей серии выпускаемых роутеров, и независимо друг от друга. Живой пример такого случая есть - это статическая последовательность PIN кодов у старых роутеров DIR-300, DIR-320 и т.д. Дальше бред и ахинея, можно не читать. Алгоритм работает с шестнадцатиричными данными, в диапазоне 0x000000 и 0xFFFFFF. Этот диапазон разбит на 2 секции, чтобы нагенерированное можно было представить десятеричным значением - для диапазона возможны 16 млн значений. И у него есть 2 переполнения: десятеричное, когда 9 сменяется на 1, и шестнадцатиричное - когда 6 сменяется на 1 (то, что я посчитал за срыв). Судя по данным, которые взяты из выгрузки 3wifi, если взять те последовательности PIN кодов, и попытаться их изобразить на графике, то получается некая хрень, похожая на аппроксимированную синусоиду, или что-то такое. Spoiler: pic Синусоида приведена только для наглядности, дабы показать ход PIN кодов в последовательности, не нужно к ней привязываться. Не покидает ощущение, что алгоритм работает по принципу подбора "ближайшего к заданному". На всем диапазоне от 0x000000 0xFFFFFF расставлены числа с равным интервалом, например 0x20000, 0x40000, 0x60000 и т.д. И есть алгоритм, у которого установлен константой минимальный шаг сдвига в виде 195528, и возможные добавки к нему, в виде +256, +512, +65536 (и почему-то, +1). Алгоритм пытается подобрать значение для генерируемого, как можно ближе к заданному, с переменным успехом. Spoiler: pic Этим, возможно, можно обьяснить "пилообразное" поведение добавляющего числа - докинув +65536 или чего побольше, точка окажется ближе к заданному, чем с +512, но потом приходится постоянно сдвигать следующие точки на минимальный интервал, пока заданное не "догонит" ушедшее вперед значение точки. Этим, наверное, возможно и объяснить ход pin кодов в обратную сторону. Китайцы могли сделать версию своего "Tenda Mass Production Tool"-а, в котором при ходе в обратную сторону, пин-коды тоже шли от большего к меньшему. А потом решили в этой утилите чего-то поменять, заодно и алгоритм подправили.
[QUOTE="tamer44, ... more than 1.5 year I am trying to hack this network without any result I performed evil twin attack against him more than 17 times but he did not even connect to the new network using the evil twin attack I forced him to change the SSID & the password thanks[/QUOTE] Dear tamer44, You're quite persistent. There is hundreds of networks around. Why not leave the one You're trying to get into? Do You have any prejudice to the owner of those net? For a period of 1,5 years it was good opportunity to get handshake and heat Your apartment during winter time using computer and EWSA. Sorry to be sarcastic. Kind Regards.
Всем добрый день. Попался вот такой девайс 3G/4G TL-MR6400. Интересно мнение гуру форума, подвержены ли они каким-либо обнаруженным слабостям? Собственно мне повезло, получил физический доступ к телу во время обеденного перерыва, воспользовался гидрой и получил пароль к интерфейсу, далее дело пяти минут прочитать пароль и посмотреть пин. До этого неделю пытался всеми доступными средствами - хендшейк, пароль сами внизу видите, год надо, чтобы подобрать, пикси-даст, ривер брут, рутерскан. Безуспешно. Тем не менее, любопытство не порок, хотелось бы услышать что думают более опытные участники сообщества. На всякий случай, что выудил, вдруг надо для статистики: essid: CSR&AKER BSSID: 7C-8B-CA-CC-E2-96 PIN: 84732606 psw: AkerSolutionShell Есть еще одна точка, тоже с помощью гидры получил, но по памяти не помню. Если кому интересно, дайте знать, поищу записи и выложу. ЕЕ тоже не смог вскрыть ничем, кроме гидры и нет кабеля при физическом доступе к девайсу.
Раз уж получилось достать админку, сделай доброе дело - просканируй её Router Scan'ом, и загрузи в 3WiFi.
как узнать pin зная пароль wifi ?. пациент TP-Link Archer A7v5, порт 22 открыт-пробиться не могу, RS не берёт
Коллеги, доброго времени. Что можете сказать про следующие модели роутеров Zte zxhn f680 v2.0 Linksys A03 Sercomm rv6688bcm У всех wps включен но ни reaver ни bully не могут ниче сделать. Серком блочится после 10 пина. 680ые вроде пин принимают но дальше ниче не происходит - ривер шлет один и тот же пин. Линксис ваще после первого лочится. Мдк3 не удалось роутеры ребутнуть. У кого какие есть свежие идеи новых атак?
Тааак Выражаю благодарность Бинарному мастеру. Даж не за помощь а за напоминание о том что можно снова воспользоватся РутерСкан Помню когда то давно начинал осваивать с него аудит. И он помог открыть первый доступ, потом перешел на Кали. И забыл про Рутерскан, даже не забыл, а просто использовал его в информационных целях, глянуть что за ситуация в округе. А зря. Ситуация поменялась с моих первых аудитов. И снова прошелся по точкам. Короче Серком 6688 и Empty WPS pin
