Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. Isica

    Isica Member

    Joined:
    17 Oct 2018
    Messages:
    86
    Likes Received:
    81
    Reputations:
    0
    В этом диапазоне чёрт ногу сломит: тут есть и 24бит, и много популярных пинов, и целевых устройств тоже хватает.

    Но данное устройство (точнее, оба его пина или оба устройства, если их действительно два) явно целевое (а не 24бит).
     
    #4681 Isica, 29 Jun 2020
    Last edited: 29 Jun 2020
    4Fun likes this.
  2. Isica

    Isica Member

    Joined:
    17 Oct 2018
    Messages:
    86
    Likes Received:
    81
    Reputations:
    0
    Надо бы попросить Мастера глянуть, что заливал этот дивайс в базу, и по возможности связаться с этим человеком для прояснения ситуации. Ибо в базе наблюдается как минимум три разных компании среди маков, идущих подряд.
     
  3. Isica

    Isica Member

    Joined:
    17 Oct 2018
    Messages:
    86
    Likes Received:
    81
    Reputations:
    0
    Пока второй эпизод дозревает, предлагаю посмотреть третий:

    [​IMG]
    Code:
    MariaDB [Tenda]> select tenda_pin8('04:95:E6:50:04:10,,2,');
    *************************** 1. row ***************************
    tenda_pin8('04:95:E6:50:04:10,,2,'):
    |---------------------------------------------------------------------------------------------|
    |Опорные точки (ближайшие данные в базе):
    |1) 04:95:E6:50:05:88, +376,   625  пар, 110 уникальных дельт (1:5.68), 36 мажорных(вес 88.2%)
    |2) 04:95:E6:50:05:C8, +440,   640  пар, 134 уникальных дельт (1:4.78), 53 мажорных(вес 87.3%)
    |3) 04:95:E6:50:05:D0, +448,   649  пар, 150 уникальных дельт (1:4.33), 56 мажорных(вес 85.5%)
    |4) 04:95:E6:4F:FF:58, -1208,  534  пар, 101 уникальных дельт (1:5.29), 31 мажорных(вес 86.9%)
    |5) 04:95:E6:50:0D:70, +2400,  450  пар, 136 уникальных дельт (1:3.31), 43 мажорных(вес 79.3%)
    |6) 04:95:E6:50:10:20, +3088,  467  пар, 117 уникальных дельт (1:3.99), 34 мажорных(вес 82.2%)
    |7) 04:95:E6:50:10:28, +3096,  450  пар, 124 уникальных дельт (1:3.63), 36 мажорных(вес 80.4%)
    |8) 04:95:E6:50:10:30, +3104,  440  пар, 131 уникальных дельт (1:3.36), 31 мажорных(вес 77.3%)
    |---------------------------------------------------------------------------------------------|
    |После объединения осталось 655 пинов, из них 11 полностью перекрёстных.
    |Эффективность халф-оптимизации: 1.38 общая, 1.83 у перекрёстных.
    |---------------------------------------------------------------------------------------------|
    |ИТОГО: 473 фёст-халфов, 6 полно-перекрёстных (вес 57.9%, 64.4% в ТОП-8).
    |---------------------------------------------------------------------------------------------|
    1 row in set (0.90 sec)
    
    MariaDB [Tenda]> select * from tmp_TendaHalfs where Half=2400 order by n;
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    | n    | Half | X    | Xh   | m    | m1   | m2   | m3   | m4   | m5   | m6   | m7   | m8   |
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    |   70 | 2400 |    0 |    1 |    2 |    1 |    1 |    0 |    0 |    0 |    0 |    0 |    0 |
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    1 row in set (0.00 sec)
    
    MariaDB [Tenda]> select * from tmp_TendaPins where PIN=24000406 order by n;
    Empty set (0.00 sec)
    
    MariaDB [Tenda]> select * from tmp_TendaHalfs where X>2 order by n;
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    | n    | Half | X    | Xh   | m    | m1   | m2   | m3   | m4   | m5   | m6   | m7   | m8   |
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    |    1 | 9909 |    7 |    7 | 1082 |   82 |  129 |  195 |  291 |  148 |   47 |   94 |   96 |
    |    2 | 9975 |    7 |    7 |  882 |  132 |  126 |   65 |   61 |   63 |  128 |  144 |  163 |
    |    3 | 8909 |    7 |    7 |  170 |   10 |   30 |   42 |   24 |   28 |   10 |   12 |   14 |
    |    4 | 8975 |    7 |    7 |  141 |   17 |   22 |    9 |    6 |   13 |   32 |   20 |   22 |
    |    5 | 1909 |    7 |    7 |  105 |    9 |   15 |   23 |   31 |   12 |    5 |    5 |    5 |
    |    6 | 1975 |    7 |    7 |   85 |   16 |   22 |    9 |   10 |    4 |    6 |   13 |    5 |
    |    7 | 4198 |    5 |    6 |   35 |    2 |   10 |    1 |    0 |    5 |    1 |   10 |    6 |
    |    8 | 1040 |    5 |    5 |  242 |   51 |   26 |   11 |    7 |    0 |  105 |   42 |    0 |
    |    9 | 3132 |    5 |    5 |  231 |   75 |   57 |   71 |    0 |   26 |    1 |    1 |    0 |
    |   10 | 4132 |    5 |    5 |   89 |    0 |   14 |   37 |    0 |   14 |    3 |   10 |   11 |
    |   11 | 4197 |    5 |    5 |   49 |    0 |    8 |   12 |    0 |    2 |   13 |    6 |    8 |
    |   12 | 3197 |    4 |    5 |  118 |   43 |   24 |   43 |    0 |    1 |    6 |    1 |    0 |
    |   13 | 9974 |    4 |    4 |   49 |    4 |    0 |   14 |    2 |    0 |   17 |   12 |    0 |
    |   14 | 1960 |    4 |    4 |   11 |    1 |    4 |    3 |    0 |    0 |    2 |    0 |    1 |
    |   15 | 9040 |    3 |    5 |   26 |    3 |    3 |    3 |    1 |    0 |   13 |    3 |    0 |
    |   16 | 1026 |    3 |    5 |    9 |    2 |    2 |    2 |    0 |    0 |    1 |    1 |    1 |
    |   17 | 3198 |    3 |    3 |  141 |   75 |   51 |   10 |    0 |    5 |    0 |    0 |    0 |
    |   18 | 6469 |    3 |    3 |    5 |    0 |    0 |    1 |    1 |    0 |    0 |    1 |    2 |
    |   19 | 1865 |    3 |    3 |    4 |    0 |    0 |    1 |    0 |    1 |    0 |    1 |    1 |
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    19 rows in set (0.00 sec)
    
    
    Идилия, да не та!
    Халф на 70-м месте, и то чудом, а полный пин вообще не найден :oops:

    ВЫВОД:
    по-моему, существование нескольких партий дивайсов с одинаковыми маками можно считать доказанным.
     
    #4683 Isica, 29 Jun 2020
    Last edited: 29 Jun 2020
    TOX1C likes this.
  4. USER_X

    USER_X Well-Known Member

    Joined:
    1 Oct 2016
    Messages:
    2,760
    Likes Received:
    34,796
    Reputations:
    71
    Забирайте
     
    TOX1C, binarymaster, Monohrom and 2 others like this.
  5. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    67
    Likes Received:
    109
    Reputations:
    2
    Не только на этом диапазоне.
    OUI 50:0F:F5 встречаются Micro DSL Tenda, Tenda, 11N Wireless Router у которых 24 бит пин но и есть целевые тенды.

    Выходит что имеет смысл шерстить все диапазоны на которых попадаются Тенды ? Так как там может быть клон с целевым алгоритмом.

    И какой же?
     
    #4685 Monohrom, 29 Jun 2020
    Last edited: 29 Jun 2020
  6. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    67
    Likes Received:
    109
    Reputations:
    2
    Этот девайс был залит в 2018 году, в базе указано что этой у Тенды был белый ip.
    Наверняка там была открыта веб морда и на ней был дефолтный пароль или вебморда была уязвима, а может и всё сразу.
    Скорее всего Тенду зацепили когда просканировали диапазон 138.219.0.0/16
     
  7. 4Fun

    4Fun Active Member

    Joined:
    25 Jul 2018
    Messages:
    162
    Likes Received:
    209
    Reputations:
    3
    Не участвует: генератор обучен только на Tenda Realtek Router (целевой Tenda 11N) и только на 04:95:E6:*
     
  8. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,015
    Likes Received:
    1,760
    Reputations:
    20
    Второй эпизод оказался с закрученным сюжетом. Очень странно, но точка та.
    Code:
    192.168.0.1    80    143    Done    admin:<empty>    Tenda 11N Wireless Router            C8:3A:35:15:64:B0    Pentatonica    WPA2    97007941    14020322    192.168.0.1    255.255.255.0    192.168.49.125    255.255.240.0    192.168.48.2    195.225.228.1 195.225.228.2               
    
    Как так оказалось, что точка нашлась в питере, с сербским ip адресом, при этом никогда не покидая свою родную квартиру; и в момент попадания в базу 3wifi имела совершенно другой ssid (и возможно пасс), но правильную пару MAC-PIN, так и останется загадкой.

    Но перед вылазкой на местность, посмотрел в wigle что там еще есть. И кое-что нашлось.
    Роутер-путешественник, да еще и ветеран. Впервые замечен в эфире в 2012 году, побывал в ЮАР, Чечне Чехии, а под конец его угораздило оказаться в Украине.
    triple.png

    По логике вещей, там должен был быть mac2pin алгоритм, какой и рекомендует база 3wifi. Но нет.
    Code:
    192.168.0.1    80    62    Done    admin:admin    Tenda 11N Wireless Router            C8:3A:35:09:A3:78    Vlad    WPA/WPA2    Luta777555    46158604    192.168.0.1    255.255.255.0    192.168.236.85    255.255.255.0    192.168.236.1    195.225.228.2 195.225.228.3                
    Мало того, этот роутер не один такой. Порылся в базе wigle, и у этой серии роутеров, с отличающимся последним октетом, нашлось еще 3 путешественника (минимум, дальше было лень искать).

    Вывод напрашивается сам - китайская смекалочка, столкнувшись с дефицитом MAC адресов, решила использовать одни и те же адреса дважды, а может даже и трижды. Или больше?
     
    hydra, USER_X, Isica and 3 others like this.
  9. Isica

    Isica Member

    Joined:
    17 Oct 2018
    Messages:
    86
    Likes Received:
    81
    Reputations:
    0
    Трижды, как минимум.

    up
    распишу-ка здесь чуть подробнее:
    Code:
    MariaDB [Tenda]> select tenda_pin8('04:95:E6:62:F3:50,7314868,2');
    *************************** 1. row ***************************
    tenda_pin8('04:95:E6:62:F3:50,7314868,2'): PinFound,27,HalfFound,18,XPin,1,XHalf,1,Xh,1,XMax,3,XhMax,3,mPin,174,mHalf,337,Delta1,-376,MAC1,04:95:E6:62:F1:D8,Delta2,-592,MAC2,04:95:E6:62:F1:00,Delta3,616,MAC3,04:95:E6:62:F5:B8,Delta4,-784,MAC4,04:95:E6:62:F0:40,Delta5,-792,MAC5,04:95:E6:62:F0:38,Delta6,1096,MAC6,04:95:E6:62:F7:98,Delta7,1584,MAC7,04:95:E6:62:F9:80,Delta8,1608,MAC8,04:95:E6:62:F9:98
    1 row in set (1.27 sec)
    
    MariaDB [Tenda]> select * from tmp_TendaHalfs where X order by n;
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    | n    | Half | X    | Xh   | m    | m1   | m2   | m3   | m4   | m5   | m6   | m7   | m8   |
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    |    1 | 1129 |    3 |    3 | 1145 |    0 |  736 |   12 |    0 |  173 |    0 |    0 |  224 |
    |    2 | 5906 |    3 |    3 |  137 |    0 |   49 |   13 |    0 |   57 |    0 |    0 |   18 |
    |    3 | 1195 |    3 |    3 |  118 |    0 |   31 |   19 |    0 |   23 |    0 |    0 |   45 |
    |    4 | 5907 |    3 |    3 |   37 |    0 |    6 |    2 |    0 |   11 |    0 |    0 |   18 |
    |    5 | 6906 |    2 |    2 |  948 |    0 |    0 |  507 |    0 |  281 |    0 |    0 |  160 |
    |    6 | 6972 |    2 |    2 |  769 |    0 |    0 |  616 |    0 |   87 |    0 |    0 |   66 |
    |    7 | 1064 |    2 |    2 |  688 |    0 |  410 |    0 |    0 |  115 |    0 |    0 |  163 |
    |    8 | 6841 |    2 |    2 |  491 |    0 |    0 |   48 |    0 |  299 |    0 |    0 |  144 |
    |    9 | 6907 |    2 |    2 |  247 |    0 |    0 |   94 |    0 |   52 |    0 |    0 |  101 |
    |   10 | 5841 |    2 |    3 |  121 |    0 |   39 |    1 |    0 |   62 |    0 |    0 |   19 |
    |   11 | 7906 |    2 |    2 |   55 |    0 |    0 |   10 |    0 |   21 |    0 |    0 |   24 |
    |   12 | 5972 |    2 |    3 |   46 |    0 |    1 |   26 |    0 |   14 |    0 |    0 |    5 |
    |   13 | 7972 |    2 |    2 |   23 |    0 |    0 |    9 |    0 |   11 |    0 |    0 |    3 |
    |   14 | 7907 |    2 |    2 |   21 |    0 |    0 |    2 |    0 |    4 |    0 |    0 |   15 |
    |   15 | 7249 |    1 |    1 |  753 |  306 |    0 |    0 |  447 |    0 |    0 |    0 |    0 |
    |   16 | 7091 |    1 |    1 |  477 |    0 |    0 |    0 |    0 |    0 |  379 |   98 |    0 |
    |   17 | 7026 |    1 |    1 |  433 |    0 |    0 |    0 |    0 |    0 |  250 |  183 |    0 |
    |   18 | 7314 |    1 |    1 |  337 |  151 |    0 |    0 |  186 |    0 |    0 |    0 |    0 |
    |   19 | 7315 |    1 |    1 |  173 |   75 |    0 |    0 |   98 |    0 |    0 |    0 |    0 |
    |   20 | 6249 |    1 |    1 |  146 |   40 |    0 |    0 |  106 |    0 |    0 |    0 |    0 |
    |   21 | 7092 |    1 |    1 |  106 |    0 |    0 |    0 |    0 |    0 |   15 |   91 |    0 |
    |   22 | 6026 |    1 |    1 |   95 |    0 |    0 |    0 |    0 |    0 |   60 |   35 |    0 |
    |   23 | 6091 |    1 |    1 |   87 |    0 |    0 |    0 |    0 |    0 |   74 |   13 |    0 |
    |   24 | 8249 |    1 |    1 |   82 |   44 |    0 |    0 |   38 |    0 |    0 |    0 |    0 |
    |   25 | 9129 |    1 |    1 |   60 |    0 |   41 |    0 |    0 |    0 |    0 |    0 |   19 |
    |   26 | 7157 |    1 |    1 |   59 |    0 |    0 |    0 |    0 |    0 |   32 |   27 |    0 |
    |   27 | 6314 |    1 |    1 |   57 |   15 |    0 |    0 |   42 |    0 |    0 |    0 |    0 |
    |   28 | 8026 |    1 |    1 |   56 |    0 |    0 |    0 |    0 |    0 |   24 |   32 |    0 |
    |   29 | 8091 |    1 |    1 |   52 |    0 |    0 |    0 |    0 |    0 |   39 |   13 |    0 |
    |   30 | 8314 |    1 |    1 |   49 |   26 |    0 |    0 |   23 |    0 |    0 |    0 |    0 |
    |   31 | 7841 |    1 |    1 |   40 |    0 |    0 |    0 |    0 |   19 |    0 |    0 |   21 |
    |   32 | 9064 |    1 |    1 |   39 |    0 |   30 |    0 |    0 |    0 |    0 |    0 |    9 |
    |   33 | 1130 |    1 |    1 |   34 |    0 |   13 |    0 |    0 |    0 |    0 |    0 |   21 |
    |   34 | 8092 |    1 |    1 |   24 |    0 |    0 |    0 |    0 |    0 |    5 |   19 |    0 |
    |   35 | 1194 |    1 |    1 |   20 |    0 |    0 |    7 |    0 |   13 |    0 |    0 |    0 |
    |   36 | 8315 |    1 |    1 |   18 |    7 |    0 |    0 |   11 |    0 |    0 |    0 |    0 |
    |   37 | 6315 |    1 |    1 |   17 |    6 |    0 |    0 |   11 |    0 |    0 |    0 |    0 |
    |   38 | 6092 |    1 |    1 |   16 |    0 |    0 |    0 |    0 |    0 |    2 |   14 |    0 |
    |   39 | 6157 |    1 |    1 |   14 |    0 |    0 |    0 |    0 |    0 |   10 |    4 |    0 |
    |   40 | 8157 |    1 |    1 |   11 |    0 |    0 |    0 |    0 |    0 |    4 |    7 |    0 |
    |   41 | 1289 |    1 |    1 |    5 |    0 |    0 |    0 |    0 |    0 |    4 |    1 |    0 |
    |   42 | 9130 |    1 |    1 |    2 |    0 |    1 |    0 |    0 |    0 |    0 |    0 |    1 |
    |   43 | 7730 |    1 |    1 |    2 |    1 |    0 |    0 |    1 |    0 |    0 |    0 |    0 |
    |   44 | 1626 |    1 |    1 |    2 |    0 |    0 |    0 |    0 |    0 |    1 |    1 |    0 |
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    44 rows in set (0.00 sec)
    
    MariaDB [Tenda]> select * from tmp_TendaHalfs where X order by m1+m4 desc;
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    | n    | Half | X    | Xh   | m    | m1   | m2   | m3   | m4   | m5   | m6   | m7   | m8   |
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    |   15 | 7249 |    1 |    1 |  753 |  306 |    0 |    0 |  447 |    0 |    0 |    0 |    0 |
    |   18 | 7314 |    1 |    1 |  337 |  151 |    0 |    0 |  186 |    0 |    0 |    0 |    0 |
    |   19 | 7315 |    1 |    1 |  173 |   75 |    0 |    0 |   98 |    0 |    0 |    0 |    0 |
    |   20 | 6249 |    1 |    1 |  146 |   40 |    0 |    0 |  106 |    0 |    0 |    0 |    0 |
    |   24 | 8249 |    1 |    1 |   82 |   44 |    0 |    0 |   38 |    0 |    0 |    0 |    0 |
    |   27 | 6314 |    1 |    1 |   57 |   15 |    0 |    0 |   42 |    0 |    0 |    0 |    0 |
    |   30 | 8314 |    1 |    1 |   49 |   26 |    0 |    0 |   23 |    0 |    0 |    0 |    0 |
    |   36 | 8315 |    1 |    1 |   18 |    7 |    0 |    0 |   11 |    0 |    0 |    0 |    0 |
    |   37 | 6315 |    1 |    1 |   17 |    6 |    0 |    0 |   11 |    0 |    0 |    0 |    0 |
    |   43 | 7730 |    1 |    1 |    2 |    1 |    0 |    0 |    1 |    0 |    0 |    0 |    0 |
    |    1 | 1129 |    3 |    3 | 1145 |    0 |  736 |   12 |    0 |  173 |    0 |    0 |  224 |
    |   38 | 6092 |    1 |    1 |   16 |    0 |    0 |    0 |    0 |    0 |    2 |   14 |    0 |
    |   29 | 8091 |    1 |    1 |   52 |    0 |    0 |    0 |    0 |    0 |   39 |   13 |    0 |
    |   11 | 7906 |    2 |    2 |   55 |    0 |    0 |   10 |    0 |   21 |    0 |    0 |   24 |
    |    2 | 5906 |    3 |    3 |  137 |    0 |   49 |   13 |    0 |   57 |    0 |    0 |   18 |
    |   39 | 6157 |    1 |    1 |   14 |    0 |    0 |    0 |    0 |    0 |   10 |    4 |    0 |
    |   21 | 7092 |    1 |    1 |  106 |    0 |    0 |    0 |    0 |    0 |   15 |   91 |    0 |
    |   12 | 5972 |    2 |    3 |   46 |    0 |    1 |   26 |    0 |   14 |    0 |    0 |    5 |
    |    3 | 1195 |    3 |    3 |  118 |    0 |   31 |   19 |    0 |   23 |    0 |    0 |   45 |
    |   40 | 8157 |    1 |    1 |   11 |    0 |    0 |    0 |    0 |    0 |    4 |    7 |    0 |
    |   31 | 7841 |    1 |    1 |   40 |    0 |    0 |    0 |    0 |   19 |    0 |    0 |   21 |
    |   22 | 6026 |    1 |    1 |   95 |    0 |    0 |    0 |    0 |    0 |   60 |   35 |    0 |
    |   13 | 7972 |    2 |    2 |   23 |    0 |    0 |    9 |    0 |   11 |    0 |    0 |    3 |
    |    4 | 5907 |    3 |    3 |   37 |    0 |    6 |    2 |    0 |   11 |    0 |    0 |   18 |
    |   41 | 1289 |    1 |    1 |    5 |    0 |    0 |    0 |    0 |    0 |    4 |    1 |    0 |
    |   32 | 9064 |    1 |    1 |   39 |    0 |   30 |    0 |    0 |    0 |    0 |    0 |    9 |
    |   23 | 6091 |    1 |    1 |   87 |    0 |    0 |    0 |    0 |    0 |   74 |   13 |    0 |
    |   14 | 7907 |    2 |    2 |   21 |    0 |    0 |    2 |    0 |    4 |    0 |    0 |   15 |
    |    5 | 6906 |    2 |    2 |  948 |    0 |    0 |  507 |    0 |  281 |    0 |    0 |  160 |
    |   42 | 9130 |    1 |    1 |    2 |    0 |    1 |    0 |    0 |    0 |    0 |    0 |    1 |
    |   33 | 1130 |    1 |    1 |   34 |    0 |   13 |    0 |    0 |    0 |    0 |    0 |   21 |
    |    6 | 6972 |    2 |    2 |  769 |    0 |    0 |  616 |    0 |   87 |    0 |    0 |   66 |
    |   34 | 8092 |    1 |    1 |   24 |    0 |    0 |    0 |    0 |    0 |    5 |   19 |    0 |
    |   25 | 9129 |    1 |    1 |   60 |    0 |   41 |    0 |    0 |    0 |    0 |    0 |   19 |
    |   16 | 7091 |    1 |    1 |  477 |    0 |    0 |    0 |    0 |    0 |  379 |   98 |    0 |
    |    7 | 1064 |    2 |    2 |  688 |    0 |  410 |    0 |    0 |  115 |    0 |    0 |  163 |
    |   44 | 1626 |    1 |    1 |    2 |    0 |    0 |    0 |    0 |    0 |    1 |    1 |    0 |
    |   35 | 1194 |    1 |    1 |   20 |    0 |    0 |    7 |    0 |   13 |    0 |    0 |    0 |
    |   26 | 7157 |    1 |    1 |   59 |    0 |    0 |    0 |    0 |    0 |   32 |   27 |    0 |
    |   17 | 7026 |    1 |    1 |  433 |    0 |    0 |    0 |    0 |    0 |  250 |  183 |    0 |
    |    8 | 6841 |    2 |    2 |  491 |    0 |    0 |   48 |    0 |  299 |    0 |    0 |  144 |
    |    9 | 6907 |    2 |    2 |  247 |    0 |    0 |   94 |    0 |   52 |    0 |    0 |  101 |
    |   28 | 8026 |    1 |    1 |   56 |    0 |    0 |    0 |    0 |    0 |   24 |   32 |    0 |
    |   10 | 5841 |    2 |    3 |  121 |    0 |   39 |    1 |    0 |   62 |    0 |    0 |   19 |
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    44 rows in set (0.00 sec)
    
    MariaDB [Tenda]> select * from tmp_TendaHalfs where X order by m6+m7 desc;
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    | n    | Half | X    | Xh   | m    | m1   | m2   | m3   | m4   | m5   | m6   | m7   | m8   |
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    |   16 | 7091 |    1 |    1 |  477 |    0 |    0 |    0 |    0 |    0 |  379 |   98 |    0 |
    |   17 | 7026 |    1 |    1 |  433 |    0 |    0 |    0 |    0 |    0 |  250 |  183 |    0 |
    |   21 | 7092 |    1 |    1 |  106 |    0 |    0 |    0 |    0 |    0 |   15 |   91 |    0 |
    |   22 | 6026 |    1 |    1 |   95 |    0 |    0 |    0 |    0 |    0 |   60 |   35 |    0 |
    |   23 | 6091 |    1 |    1 |   87 |    0 |    0 |    0 |    0 |    0 |   74 |   13 |    0 |
    |   26 | 7157 |    1 |    1 |   59 |    0 |    0 |    0 |    0 |    0 |   32 |   27 |    0 |
    |   28 | 8026 |    1 |    1 |   56 |    0 |    0 |    0 |    0 |    0 |   24 |   32 |    0 |
    |   29 | 8091 |    1 |    1 |   52 |    0 |    0 |    0 |    0 |    0 |   39 |   13 |    0 |
    |   34 | 8092 |    1 |    1 |   24 |    0 |    0 |    0 |    0 |    0 |    5 |   19 |    0 |
    |   38 | 6092 |    1 |    1 |   16 |    0 |    0 |    0 |    0 |    0 |    2 |   14 |    0 |
    |   39 | 6157 |    1 |    1 |   14 |    0 |    0 |    0 |    0 |    0 |   10 |    4 |    0 |
    |   40 | 8157 |    1 |    1 |   11 |    0 |    0 |    0 |    0 |    0 |    4 |    7 |    0 |
    |   41 | 1289 |    1 |    1 |    5 |    0 |    0 |    0 |    0 |    0 |    4 |    1 |    0 |
    |   44 | 1626 |    1 |    1 |    2 |    0 |    0 |    0 |    0 |    0 |    1 |    1 |    0 |
    |    1 | 1129 |    3 |    3 | 1145 |    0 |  736 |   12 |    0 |  173 |    0 |    0 |  224 |
    |   20 | 6249 |    1 |    1 |  146 |   40 |    0 |    0 |  106 |    0 |    0 |    0 |    0 |
    |   11 | 7906 |    2 |    2 |   55 |    0 |    0 |   10 |    0 |   21 |    0 |    0 |   24 |
    |    2 | 5906 |    3 |    3 |  137 |    0 |   49 |   13 |    0 |   57 |    0 |    0 |   18 |
    |   30 | 8314 |    1 |    1 |   49 |   26 |    0 |    0 |   23 |    0 |    0 |    0 |    0 |
    |   12 | 5972 |    2 |    3 |   46 |    0 |    1 |   26 |    0 |   14 |    0 |    0 |    5 |
    |    3 | 1195 |    3 |    3 |  118 |    0 |   31 |   19 |    0 |   23 |    0 |    0 |   45 |
    |   31 | 7841 |    1 |    1 |   40 |    0 |    0 |    0 |    0 |   19 |    0 |    0 |   21 |
    |   13 | 7972 |    2 |    2 |   23 |    0 |    0 |    9 |    0 |   11 |    0 |    0 |    3 |
    |    4 | 5907 |    3 |    3 |   37 |    0 |    6 |    2 |    0 |   11 |    0 |    0 |   18 |
    |   32 | 9064 |    1 |    1 |   39 |    0 |   30 |    0 |    0 |    0 |    0 |    0 |    9 |
    |   14 | 7907 |    2 |    2 |   21 |    0 |    0 |    2 |    0 |    4 |    0 |    0 |   15 |
    |    5 | 6906 |    2 |    2 |  948 |    0 |    0 |  507 |    0 |  281 |    0 |    0 |  160 |
    |   42 | 9130 |    1 |    1 |    2 |    0 |    1 |    0 |    0 |    0 |    0 |    0 |    1 |
    |   33 | 1130 |    1 |    1 |   34 |    0 |   13 |    0 |    0 |    0 |    0 |    0 |   21 |
    |   24 | 8249 |    1 |    1 |   82 |   44 |    0 |    0 |   38 |    0 |    0 |    0 |    0 |
    |   15 | 7249 |    1 |    1 |  753 |  306 |    0 |    0 |  447 |    0 |    0 |    0 |    0 |
    |    6 | 6972 |    2 |    2 |  769 |    0 |    0 |  616 |    0 |   87 |    0 |    0 |   66 |
    |   43 | 7730 |    1 |    1 |    2 |    1 |    0 |    0 |    1 |    0 |    0 |    0 |    0 |
    |   25 | 9129 |    1 |    1 |   60 |    0 |   41 |    0 |    0 |    0 |    0 |    0 |   19 |
    |    7 | 1064 |    2 |    2 |  688 |    0 |  410 |    0 |    0 |  115 |    0 |    0 |  163 |
    |   35 | 1194 |    1 |    1 |   20 |    0 |    0 |    7 |    0 |   13 |    0 |    0 |    0 |
    |    8 | 6841 |    2 |    2 |  491 |    0 |    0 |   48 |    0 |  299 |    0 |    0 |  144 |
    |   36 | 8315 |    1 |    1 |   18 |    7 |    0 |    0 |   11 |    0 |    0 |    0 |    0 |
    |   27 | 6314 |    1 |    1 |   57 |   15 |    0 |    0 |   42 |    0 |    0 |    0 |    0 |
    |   18 | 7314 |    1 |    1 |  337 |  151 |    0 |    0 |  186 |    0 |    0 |    0 |    0 |
    |    9 | 6907 |    2 |    2 |  247 |    0 |    0 |   94 |    0 |   52 |    0 |    0 |  101 |
    |   37 | 6315 |    1 |    1 |   17 |    6 |    0 |    0 |   11 |    0 |    0 |    0 |    0 |
    |   19 | 7315 |    1 |    1 |  173 |   75 |    0 |    0 |   98 |    0 |    0 |    0 |    0 |
    |   10 | 5841 |    2 |    3 |  121 |    0 |   39 |    1 |    0 |   62 |    0 |    0 |   19 |
    +------+------+------+------+------+------+------+------+------+------+------+------+------+
    44 rows in set (0.00 sec)
    
     
    #4689 Isica, 30 Jun 2020
    Last edited: 7 Jul 2020
    hydra and TOX1C like this.
  10. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,015
    Likes Received:
    1,760
    Reputations:
    20
    Я бы списал чудное нахождение первой части пина действительно на совпадение. Судя по серийнику, этих роутеров выпущено в партии аж 1775, и из них некоторые должны были засветиться в базе. Скорее всего, роутерскан не в состоянии вытащить информацию, или пока что эти роутеры еще не попались.

    Один из таких несканируемых роутеров мне попался в c83a35 диапазоне, и как назло я недавно удалил файл с дампом вебморды, а пин нигде не записал. И теперь роутер исчез с эфира. Если найду, то обязательно сброшу данные для проверки.

    В отличии с генерацией PIN-кодов в шестнадцатеричном диапазоне, эту теорию я смогу аргументировать
    420.jpg 307.jpg 165.jpg

    У d8a0 серийник 420, у d518 серийник 307
    между этими двумя роутерами, должно быть еще 113 роутеров
    113 х 8 = 904, перевод в шестнадцатеричный формат и получается 388
    d8a0 - 388 = d518. Все сходится.
    Между d518 и d0a8 разница 142 роутера
    142 х 8 = 1136, шестнадцатеричное значение = 470
    d518 - 470 = d0a8
    Второе попадание.

    А у первого роутера из этой серии, должен бы быть MAC 50:2b:73:09:cb:88
    Могу подсказать, почему так:
    Снимок.PNG


    Снимок22.PNG
     
    ms13, binarymaster, Monohrom and 2 others like this.
  11. Isica

    Isica Member

    Joined:
    17 Oct 2018
    Messages:
    86
    Likes Received:
    81
    Reputations:
    0
    Походу, любопытная статистика по 24бит пин:
    Code:
    MariaDB [Tenda]> select count(if(PIN=NIC10,1,null)) n24small, count(if(PIN=NIC10-10000000,1,null)) n24large from TendaAll;
    +----------+----------+
    | n24small | n24large |
    +----------+----------+
    |    17415 |        1 |
    +----------+----------+
    1 row in set (0.10 sec)
    
    
    Может у них нестандартная обработка переполнения?
     
  12. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    67
    Likes Received:
    109
    Reputations:
    2
    Вот так выглядит реализация 24 бит пина в Тендах (https://github.com/drygdryg/Tenda-AC/blob/master/bcm/src/ecos/router/tenda_httpd_ucd/wps.c)
    Code:
    iPin = ptr[3] * 256 * 256 + ptr[4] * 256 + ptr[5];
    //printf("[%c][%c][%c]\n", ptr[3] , ptr[4] ,ptr[5] );
    iPin = iPin % 10000000;
    //printf("pin=%u\n", iPin);
    checksum = ComputeChecksum( iPin );
    iPin = iPin*10 + checksum;
    sprintf(devPwd, "%08u", iPin);
    printf("eth0 mac: %s\n", if_hw);
    printf("Generate new WPS PIN = %s, oldpin= %s\n", devPwd, nvram_get("wps_device_pin"));
    nvram_set("wps_device_pin", devPwd);
     
    TOX1C, 4Fun and CRACK211 like this.
  13. Isica

    Isica Member

    Joined:
    17 Oct 2018
    Messages:
    86
    Likes Received:
    81
    Reputations:
    0
    Ну, из этого я и исходил. Но статистика--вещь упрямая!
    Выходит, просто постеснялись переступить черту? А ведь подошли совсем близко:
    Code:
    MariaDB [Tenda]> select max(NIC10) from TendaAll where (PIN=NIC10);
    +------------+
    | max(NIC10) |
    +------------+
    |    9757206 |
    +------------+
    1 row in set (0.08 sec)
    
    Впрочем, некоторые модели и так уместились целиком:
    Code:
    MariaDB [Tenda]> select count(*) n24,t2.n nAll,Model from TendaAll join (select Model,count(*) n from TendaAll group by Model)t2 using(Model) where PIN=NIC10 group by Model order by n desc;
    +-------+-------+-------------------------------------------------+
    | n24   | nAll  | Model                                           |
    +-------+-------+-------------------------------------------------+
    | 13839 | 92571 | Tenda 11N Wireless Router                       |
    |  2001 |  2001 | Tenda Wireless-N Router                         |
    |  1230 |  1230 | Tenda Wireless-N Router (rebranded)             |
    |   175 |   175 | Tenda 3G 11N Router                             |
    |     7 |   141 |                                                 |
    |    72 |    74 | Tenda 11N wireless broadband router             |
    |    59 |    59 | Tenda Wireless-N Router (Pentagram rebranded)   |
    |     1 |    42 | Tenda Realtek Router, firmware: V11.13.01.11_en |
    |    29 |    29 | Tenda Wireless-N Router (Samsung rebranded)     |
    |     1 |     4 | GoAhead-Webs (proxy server)                     |
    |     1 |     1 | Seems to be TP-LINK TL-WR740N                   |
    +-------+-------+-------------------------------------------------+
    11 rows in set (0.42 sec)
    
    , но на счёт пресловутой 'Tenda 11N Wireless Router' есть сомнения.
    И вообще, что это за "модель" такая, в которую входит куча разношерстных устройств? Почему оно так? Ранний RS не умел определять подробности?
     
  14. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,015
    Likes Received:
    1,760
    Reputations:
    20
    Потому что в этом китайском гуано, модели нет нигде. Косвенно можно было угадать только по версии прошивки, да и то не факт что точно. У тенда реалтек такая же болезнь.

    Быстрая гуглежка нашла вот что
    https://github.com/MikimotoH/DLink_Harvester/blob/master/tenda_filelist.csv

    Список прошивок, и устройств, к которым они предназначаются. Одинаковая версия для разных устройств оптимизма не внушает, так что и по версии прошивки сложно угадать, что есть что.
     
    #4694 TOX1C, 1 Jul 2020
    Last edited: 1 Jul 2020
    hydra, Monohrom, 4Fun and 1 other person like this.
  15. Isica

    Isica Member

    Joined:
    17 Oct 2018
    Messages:
    86
    Likes Received:
    81
    Reputations:
    0
    Может стоит в ProbeResp заглядывать по возможности?
     
  16. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,015
    Likes Received:
    1,760
    Reputations:
    20
    RouterScan их если и увидит, то только через вкладку wireless audit, а не в классическом сканировании по сети. И увидит он там... То, что прикреплено, это 5 разных моделей, наверное, с разными OUI.
     

    Attached Files:

    • 1.PNG
      1.PNG
      File size:
      28.5 KB
      Views:
      32
    • 2.PNG
      2.PNG
      File size:
      18.2 KB
      Views:
      30
    • 3.PNG
      3.PNG
      File size:
      19.8 KB
      Views:
      30
    • 5.PNG
      5.PNG
      File size:
      17.8 KB
      Views:
      25
    binarymaster and 4Fun like this.
  17. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    67
    Likes Received:
    109
    Reputations:
    2
    Дефолтные настройки от Реалтека которые китайцы не поменяли(RTL8xxx и не только ) или общее название без конкретики(Tenda Wireless AP -Ecos - под этим названием куча моделей от Тенды скрываются).

    У самих китайцев из Тенды если верить исходным кодам. Рабочая среда выглядит примерно так;

    "http://192.168.100.233:18080/svn/EC...odes/Branches/NH325_old_platform/BCM5357_1X8/"

    Это примечание было найдено здесь;https://github.com/drygdryg/Tenda-AC/tree/master/rtk/userSpace

    Если кратко: у китайцев бардак.
     
    #4697 Monohrom, 1 Jul 2020
    Last edited: 1 Jul 2020
    TOX1C and 4Fun like this.
  18. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    67
    Likes Received:
    109
    Reputations:
    2
    Выгрузка с необработанными Тендами + инструменты для работы с необработанной выгрузкой(фильтрация, сортировка), а также инструменты для работы с алгоритмом(генерация дельт)
    https://mega.nz/file/TjhxjLTZ#5Jvs2WcN-krwQfhiR69_znW3JLw8GNMhhGGwkLOh2L0


     
    #4698 Monohrom, 5 Jul 2020
    Last edited: 6 Jul 2020
  19. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    67
    Likes Received:
    109
    Reputations:
    2
    Похоже что я нашёл локальную генерацию пин-кода в Тендах(не 24 бит пин), а также проверку пин-кода может натолкнет на какие то мысли. Ковырял дамп с Tenda AC9.
    Если кто захочет поковырять прошивку то проверка пина находится здесь: squashfs-root/lib/libcommon, локальная генерация пина здесь: squashfs-root/lib/libpti. На картинках псевдокод сформированный Гидрой, к нему привязыватся не стоит сильно.

    На всякий случай апну
     

    Attached Files:

    • 1.jpg
      1.jpg
      File size:
      31.2 KB
      Views:
      91
    • 2.jpg
      2.jpg
      File size:
      43.8 KB
      Views:
      79
    #4699 Monohrom, 6 Jul 2020
    Last edited: 6 Jul 2020
    Isica and 4Fun like this.
  20. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,533
    Likes Received:
    9,510
    Reputations:
    118
    Если вкратце, то эта функция просто генерирует рандомный пин через функцию srand().

    Если предположить, что псевдорандом предсказуемый, можно немного сократить время поиска пина, если знать примерную дату, когда он был сгенерирован. Также можно будет для известных пинов прогнать этот алгоритм и вычислить их даты генерации.

    Лапша ниже из умножений на 3 и магических констант - это рассчёт контрольной суммы.
     
    hydra, V777, Isica and 2 others like this.
Loading...