Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. USER_X

    USER_X Well-Known Member

    Joined:
    1 Oct 2016
    Messages:
    2,775
    Likes Received:
    35,003
    Reputations:
    71
    TP-LINK TL-WA701ND - not affected by WPS
     
    tamer44 likes this.
  2. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,015
    Likes Received:
    1,760
    Reputations:
    20
    TP-Link TL-Wx 7/8/9 series has no default pin generator (wps pin generation algorithm still not cracked).
    Atheros-based hardware invulnerable to pixiedust attack.

    NO chances to get wpa key via wps for this AP.

    Also, wa701nd is not a router, this is an AP. AP can't share internet, somewhere must be a root router.
     
    tamer44 likes this.
  3. tamer44

    tamer44 New Member

    Joined:
    10 Sep 2018
    Messages:
    74
    Likes Received:
    3
    Reputations:
    0
    thanks for this new information m.r (TOX1C USERX) what about the vtech router that i discussed before it has a wps but when perform pixiedust attack give me like this
    http://rgho.st/8vqYcWR62
     
  4. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,015
    Likes Received:
    1,760
    Reputations:
    20
    Cyclic M1-M2-NACK-NACK -- WPS is locked or in PBC-mode only (more likely).
     
  5. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    313
    Likes Received:
    21
    Reputations:
    0
    Пробую мгтс роутер через pixiewps, но чет не выходит

    Reaver v1.6.5 WiFi Protected Setup Attack Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

    [+] Switching wlan1 to channel 1
    [+] Restored previous session
    [+] Waiting for beacon from 78:94:B4:A7:F0:0B
    [+] Received beacon from 78:94:B4:A7:F0:0B
    [+] Vendor: Broadcom
    [+] Trying pin "29508860"
    [+] Sending authentication request
    [+] Sending association request
    [+] Associated with 78:94:B4:A7:F0:0B (ESSID: MGTS_GPON_1244)
    [+] Sending EAPOL START request
    [+] Received identity request
    [+] Sending identity response
    [+] Received M1 message
    [+] Sending M2 message
    [+] Received M1 message
    [+] Sending WSC NACK
    [+] Sending WSC NACK
    [!] WPS transaction failed (code: 0x03), re-trying last pin
    [+] Trying pin "29508860"
    [+] Sending authentication request
    [+] Sending association request
    [+] Associated with 78:94:B4:A7:F0:0B (ESSID: MGTS_GPON_1244)
    [+] Sending EAPOL START request
    [+] Received identity request
    [+] Sending identity response
    [+] Received deauth request
    [!] WARNING: Receive timeout occurred
    [+] Sending WSC NACK
    [!] WPS transaction failed (code: 0x02), re-trying last pin
    [+] Trying pin "29508860"
    [+] Sending authentication request
    [+] Sending association request
    [+] Associated with 78:94:B4:A7:F0:0B (ESSID: MGTS_GPON_1244)
    [+] Sending EAPOL START request
    [+] Received identity request
    [+] Sending identity response
    [+] Received deauth request
    [!] WARNING: Receive timeout occurred
    [+] Sending WSC NACK
    [!] WPS transaction failed (code: 0x02), re-trying last pin
    [+] Trying pin "29508860"
    [+] Sending authentication request
    [+] Sending association request
    [+] Associated with 78:94:B4:A7:F0:0B (ESSID: MGTS_GPON_1244)
    [+] Sending EAPOL START request
    [+] Received identity request
    [+] Sending identity response
    [+] Received deauth request
    [!] WARNING: Receive timeout occurred
    [+] Sending WSC NACK
    [!] WPS transaction failed (code: 0x02), re-trying last pin
    [+] Trying pin "29508860"
    [+] Sending authentication request
    [+] Sending association request
    [+] Associated with 78:94:B4:A7:F0:0B (ESSID: MGTS_GPON_1244)
    [+] Sending EAPOL START request
    [+] Received identity request
    [+] Sending identity response
    [+] Received M1 message
    [+] Sending M2 message
    executing pixiewps -e ca58311fd7670e3ab5df289152a60a9b4f08a7a764fe5fcd8db14916d32924a5c2974df235dbee8eb194e1e7d54153757d317feda2ccfd31adefa5c6138489ef3a74094a18f15305737f41f3fd868e716c20e4a52d24f0757d30a8cac5c4a02c7047600013112be7aed2f812c4b1068d7b205776d4ae704e138cb3888faf5e58b101ee03af137f9f180cc4c6ff309cd48759243de9ccde5af0cb8bdee164f61d72cff494eff921aef8c3c1e6853f60f1140bcb4c57866d2d5690c14d518d2b1c -s 213f72ab4b387fb072b81a23d53c784162e41e6a1784629ad98d5605759c7908 -z 4edd5d3887fa4afc11ae95efb9bd32eabb2a91af5100ee571037dabe4d49489e -a 9fc3f75289e25d4d358693e74ee2966fab3e1323e7f021dff51f40709c53f51b -n e82ffae4f879267d87fde5b2a84b9540 -r 46aba5645bc467b829c40d87d69c1436c3e460f989c4f51a4b8019c6243f1a94497c97afc94a2c6cda57020801f3d4f8faf5ef0252b99232616383337d12c5ee86e84d93a9017fc0a6eb140d601c7a016bd63e9ef664dc4be2cbee38f2c1096fdfa071c4673143f9909eebce20838ad79c2aa900af1bcaaca29e120a3c8c2b044e3e48506c0017bbf11c2293ffaabe15db2d8c710808a8a58b75c767480abbb835b2e448d23299eb7ba3a7d02737ce7c5e490d35a1797535a5155638e6e5e33b
    Pixiewps 1.4

    [-] WPS pin not found!

    [*] Time taken: 7 s 833 ms

    Они не уязвимы или надо 1.2 версией пробовать ?
     
  6. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,534
    Likes Received:
    9,510
    Reputations:
    118
    Судя по логу плохой уровень приёма сигнала (точка тебя плохо слышит).
     
  7. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    313
    Likes Received:
    21
    Reputations:
    0
    Да, но ведь в конечном итоге пакеты m1,m2,m3 получены для рассчета pixiewps утилиты. Или ты про то, что эти сами данные могут из-за плохого сигнала идти с ошибками и ривер это не показывает в логе ?
    С опцией force сразу выходит и также пишет, что не найден.
    Стоял ловил awus036nha + openwrt gl-ar300m с остановки. Было -77 сигнал при скане.
     
  8. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,534
    Likes Received:
    9,510
    Reputations:
    118
    Нет, я про то, что при плохом сигнале трудно добиться, чтобы точка последовательно ответила на все пакеты до победного M7.

    Данные с ошибками не придут, проверки выполняются на уровне протокола 802.11.
    То, что точка неуязвима к pixie dust, это понятно сразу.
     
  9. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    313
    Likes Received:
    21
    Reputations:
    0
    Да но это и не требовалось, если бы пин нашелся, я бы тогда поискал где место получше сигнала там.
    Читал этот пост https://forum.antichat.ru/threads/310835/page-170#post-3975181
    А известно какие модели мгтсов ломаются пихиевпс, так как там пассы обычно сложные и если не ломается впс, то проще других наловить.
     
  10. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,534
    Likes Received:
    9,510
    Reputations:
    118
    Только старые RV6688BCM. И у них ещё часто пустой пин.
     
    quite gray and TOX1C like this.
  11. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    313
    Likes Received:
    21
    Reputations:
    0
    Было бы еще круто табличку моделей этих роутеров и маков их для изучения.
     
  12. Andrey9999

    Andrey9999 Elder - Старейшина

    Joined:
    23 May 2012
    Messages:
    2,085
    Likes Received:
    17,113
    Reputations:
    58
    00:0e:8f:xx:xx:xx 94:4a:0c:xx:xx:xx d4:21:22:xx:xx:xx
     
    quite gray likes this.
  13. Gashek

    Gashek Well-Known Member

    Joined:
    16 Feb 2017
    Messages:
    220
    Likes Received:
    739
    Reputations:
    13
    У МГТС на Broadcom сейчас в основном распространены следующие станции (AP)
    - SERCOMM RV6699 двухдиапозонник 2.4/5Ггц
    - SERCOMM RV6688 2.4Ггц, (хз, мож кому и везло ломать с пустым pin, но мне чёт ни как, возможно это зависит от прошивки устройства)
    и дело даже не в 5-ти попытках подбора или в том числе pixie dust, после чего вышеуказанные устройства сразу уходят в lock,
    а в том, что по дефолту возможность подключения по pin попросту отстутсвует и этот функционал можно только активировать зайдя в вебморду
    [​IMG]

    На мой взгляд, есть 3 решения этого вопроса:

    - см. на карте или пользоваться поиском на ресурсе 3wifi.stascorp.com
    - поймать хендшейк и разместить его в платном разделе подбора паролей, т.к. опять же по дефолту пароль в 99,9% будет не простой
    - поднимать "фейк AP"

    binarymaster
    разьясни, please
    на счет SERCOMM RV6688/BCM (~ ревизии, прошивки, версии)
    thank you in advance
     
    quite gray likes this.
  14. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,534
    Likes Received:
    9,510
    Reputations:
    118
    Не в курсе, есть ли там какие-то аппаратные ревизии.

    "SERCOMM RV6688BCM" обычно именно в таком виде отдаёт название устройства в заголовках WPS, устройств без "BCM" я не наблюдал в природе.

    Что касается прошивок. Раньше года 2 назад на них были нормальные 8-значные пин коды, которые вскрывались через Pixie Dust. Потом через некоторое время (на том же устройстве) стал подходить только пустой пин, при этом в веб интерфейсе стоял по прежнему старый пин, и я полагаю так провайдер попытался "исправить" уязвимость получения пароля по пину.
     
  15. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    313
    Likes Received:
    21
    Reputations:
    0
    А можно ли за одну попытку проверить на пустой пин и на наличие уязвимости pixiewps ? То есть я хочу в ривер задать опции типа так -K -p "" и если с пином угадал, чтобы он не прервался на m1-m3 пакетах, а продолжил получение m5-m7. Будет ли так ривер с опцией -K себя вести ?
     
  16. hydra

    hydra Well-Known Member

    Joined:
    24 Jul 2015
    Messages:
    2,263
    Likes Received:
    20,632
    Reputations:
    30
    Чё мешает попробовать?;)
     
    binarymaster likes this.
  17. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    313
    Likes Received:
    21
    Reputations:
    0
    Отсутствие мгтса под рукой)
     
  18. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,015
    Likes Received:
    1,760
    Reputations:
    20
    Нет, не будет. Если pixie атака ничем результативным не завершится, подбор пина остановится с ошибкой "PIN not found".
     
  19. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,534
    Likes Received:
    9,510
    Reputations:
    118
    С reaver такое не прокатит, как уже TOX1C написал выше. А вот с Router Scan вполне, поскольку он запускает атаку Pixie Dust только после неудачной транзакции WPS.
     
    quite gray, Payer, Triton_Mgn and 2 others like this.
  20. tamer44

    tamer44 New Member

    Joined:
    10 Sep 2018
    Messages:
    74
    Likes Received:
    3
    Reputations:
    0
Loading...