Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,551
    Likes Received:
    9,572
    Reputations:
    119
    Было бы неплохо записать видео-пруф с такой точкой (желательно через Router Scan), поскольку я их ещё не встречал, но опыт с этим было бы полезно иметь.
     
  2. Isica

    Isica Member

    Joined:
    17 Oct 2018
    Messages:
    86
    Likes Received:
    81
    Reputations:
    0
    А они-то откуда его берут?
    Я как-то привык смотреть состояние wps непосредственно в ProbeResp (походу, Beacon частенько умалчивает о wps).
    А RS под XP обычно вообще ни чего не показывает, а при аудите, на все без исключения точки кричит 'WPS seems to be disabled' (что не мешает работе).
     
    4Fun likes this.
  3. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,029
    Likes Received:
    1,780
    Reputations:
    20
    По возможности, когда-нибудь запишу и живое видео, но в этот раз придется довольствоваться чем есть.

    Подобное замечено на роутерах ASUS RT-N10E / RT-N10LX. Очень редко у точки появляется wps сам по себе, но большую часть времени он "отключен". В beacon и probe response тегов wps нет. Но стоит только подключиться к такой точке через wps с помощью reaver с ключиком -L, и случится то, чего не ожидали.
    Кстати, после такой... эммм... кхм... грубости, у точки теги появляются, и она видится как сеть с поддержкой wps.

    Важно - у таких глючных точек, в веб-интерфейсе wps всегда включен.
    Пруфы в личке.
     
    Isica, binarymaster, Monohrom and 2 others like this.
  4. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,029
    Likes Received:
    1,780
    Reputations:
    20
    Точка сдалась от первого предложенного. Я надеялся, что там будет заводской пароль, но нет, там небрутабельный пасс, еще и сменен пароль администратора (пароль от сети не подошел), так что узнать что за девайс, и какая у него прошивка не вышло.
    Снимок2.PNG

    Нет, не сработало. Прикрепил к посту скрин того, что происходит.
     

    Attached Files:

    Isica, hydra, ms13 and 2 others like this.
  5. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,551
    Likes Received:
    9,572
    Reputations:
    119
    Использовать ключ сети в качестве пароля к админке пробовали?

    Ближайший похожий пароль в базе 3WiFi: Ornstein1Q321
     
    hydra likes this.
  6. vlad1995

    vlad1995 New Member

    Joined:
    11 Mar 2020
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    Ребят чем можно попробовать получить пароль от роутера Ростелеком adsl на чипе rtl8671, reaver не берет.
     
  7. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,029
    Likes Received:
    1,780
    Reputations:
    20
    Пробовал в первую очередь, не подошел. И этот из 3wifi тоже не подошел.
    Пока что насобиралось 2 интересные точки, к которым есть доступ по сети, но нет ни wps pin, ни пароля администратора. С этими роутерами, остается только ждать, пока найдут уязвимости.
     
    binarymaster and hydra like this.
  8. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,029
    Likes Received:
    1,780
    Reputations:
    20
    https://antichat.com/threads/281655/page-159#post-4308470
    А иногда попадаются 8char mixedcase + digits пароли
    ac18.JPG
    Качество картинки неважное, но нашлась только такая.
    Для начала неплохо бы составить словарь всех возможных паролей, благо используются популярные английские слова длиной 4 и 5 букв и 3 цифры. Причем набор слов довольно ограниченный, если судить по тому, что нашлось в 3wifi

    неплохо бы получить выгрузку с паролями, встречающимися на роутерах tenda, состоящих из 8, 9 или 10 прописных букв подряд, и 3 цифр после них.
     
    Monohrom, 4Fun, Isica and 1 other person like this.
  9. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    69
    Likes Received:
    114
    Reputations:
    2
    Будет очень странно если через DeltaMAC можно будет найти правильный пин-код и пароль. И выходит что у Netgear такая же логика генерации пароля как у Тенд но свои слова. Нужно поискать Нетгиры которые подходят под целевой алгоритм :)
     
    #4809 Monohrom, 4 Aug 2020
    Last edited: 4 Aug 2020
  10. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,029
    Likes Received:
    1,780
    Reputations:
    20
    Похожа суть, но не логика. Неясно даже, по какому принципу у нетгиров эти пароли формируются, т.е. генератора нет, только словари.
    Самое смешное, что у нетгиров пароли со смыслом, т.е. состоят из прилагательного и существительного, разной длины + 3 цифры.
    У китайцев же тупо 2 слова, длиной 4 или 5 букв + 3 цифры.
    Дизайн у топовых моделей, почти подчистую спизжен у роутеров серии nighthawk. И удешевлен, куда ж без этого.

    К слову, заимствовать чужие наработки, в том числе и у нетгира китайцы очень любят. На буржуйском форуме порекомендовали искать зацепки к тп-линковскому алгоритму wps именно со стороны нетгира, а почему?
    [​IMG] [​IMG]
    Сделали самостоятельно, ну правда.
     
    binarymaster, hydra, CRACK211 and 2 others like this.
  11. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    69
    Likes Received:
    114
    Reputations:
    2
    На каком форуме? Ссылка есть ? Почему нетгир? Даже если алгоритм сворованый у нетгира то каким образом они его узнали? Как по мне такие алгоритмы явно не должны светить на весь мир.

    Всего может быть 10 млн комбинаций пин-кодов, так что пин-коды на различных моделях от разных вендорах могут совпадать. Это осложняет поиск.
     
    4Fun likes this.
  12. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,029
    Likes Received:
    1,780
    Reputations:
    20
    Ссылка утеряна несколько лет назад, и кажись это было на hackforums. Предположили, что netgear, из-за внаглую сворованного веб-интерфейса, и некоторой вероятности того, что помимо веб-интерфейса украли еще что-то. Форум этот - подобие нашего ХАКЕР.РУ, так что к информации оттуда я серьезно не относился бы.

    У нетгиров алгоритм может быть и похож на тенду, только беда в том, что их очень мало в 3wifi.

    Их вполне хватает, как оказалось. Надо будет изучить поподробнее и эти устройства.
     
    #4812 TOX1C, 5 Aug 2020
    Last edited: 5 Aug 2020
  13. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    69
    Likes Received:
    114
    Reputations:
    2
    Интерфейс своровать я ещё понимаю, но своровать алгоритм он значит есть в прошивке или я чего-то не понимаю
    Даже если у нетгиров подобный алгоритм то это мало чем помогло бы.

    Я не очень понимаю что искать в целовом алгоритме для Тенд. У меня изначально была надежда найти первые Тенды в партии и посмотреть на их пин-коды, DeltaMAC, возможно что-то ещё, в рассчёте на то что будет что-то интересное. Переиспользование мак адресов это осложняет.
    Рытьё в прошивках дало мало толка - там ничего я не нашёл, возможно плохо искал. Кстати целевые тенды которые на eCos они не только на Lexra. Есть ещё версии на MIPS которыем можно покопать в дизасме.

    Если у кого есть идеи в каком направление копать под этот алгоритм то делитесь идеями.
     
    TOX1C and 4Fun like this.
  14. Isica

    Isica Member

    Joined:
    17 Oct 2018
    Messages:
    86
    Likes Received:
    81
    Reputations:
    0
    Думаю, стоит поковырять, дабы окончательно удостовериться, вшит ли там пин в виде константы (ибо в противном случае, он обязан генерироваться).

    Х.з., может в Нетгирах и есть?

    1. Найти две максимально длинные SolidChain (можно не совсем Solid) из разных партий (с разными точками начала отсчёта) и проанализировать пересечения между ними (если таковые будут иметь место) на предмет совпадения всей последовательности с момента пересечения.

    2. Найти хотя-бы одну длинную SolidChain и исследовать периоды флуктаций различных битов-довесков (в надежде на их взаимонезависимость).
     
    #4814 Isica, 6 Aug 2020
    Last edited: 6 Aug 2020
    TOX1C likes this.
  15. Isica

    Isica Member

    Joined:
    17 Oct 2018
    Messages:
    86
    Likes Received:
    81
    Reputations:
    0
    Тогда надо бы сделать выборку по Нетгирам и попробовать скормить её нашим генераторам для Тенды (походу, есть надежда, что буржуи побрезговали реюзать маки).
    Code:
    00:09:5B        Netgear
    00:0F:B5        Netgear
    00:14:6C        Netgear
    00:18:4D        Netgear
    00:1B:2F        Netgear
    00:1E:2A        Netgear
    00:1F:33        Netgear
    00:22:3F        Netgear
    00:24:B2        Netgear
    00:26:F2        Netgear
    00:8E:F2        Netgear
    04:A1:51        Netgear
    08:02:8E        Netgear
    08:36:C9        Netgear
    08:BD:43        Netgear
    10:0C:6B        Netgear
    10:0D:7F        Netgear
    10:DA:43        Netgear
    14:59:C0        Netgear
    20:0C:C8        Netgear
    20:4E:7F        Netgear
    20:E5:2A        Netgear
    28:80:88        Netgear
    28:C6:8E        Netgear
    2C:30:33        Netgear
    2C:B0:5D        Netgear
    30:46:9A        Netgear
    38:94:ED        Netgear
    3C:37:86        Netgear
    40:5D:82        Netgear
    44:94:FC        Netgear
    44:A5:6E        Netgear
    4C:60:DE        Netgear
    50:4A:6E        Netgear
    50:6A:03        Netgear
    6C:B0:CE        Netgear
    74:44:01        Netgear
    78:D2:94        Netgear
    80:37:73        Netgear
    84:1B:5E        Netgear
    8C:3B:AD        Netgear
    9C:3D:CF        Netgear
    9C:C9:EB        Netgear
    9C:D3:6D        Netgear
    A0:04:60        Netgear
    A0:21:B7        Netgear
    A0:40:A0        Netgear
    A0:63:91        Netgear
    A4:2B:8C        Netgear
    B0:39:56        Netgear
    B0:7F:B9        Netgear
    B0:B9:8A        Netgear
    BC:A5:11        Netgear
    C0:3F:0E        Netgear
    C0:FF:D4        Netgear
    C4:04:15        Netgear
    C4:3D:C7        Netgear
    CC:40:D0        Netgear
    DC:EF:09        Netgear
    E0:46:9A        Netgear
    E0:91:F5        Netgear
    E4:F4:C6        Netgear
    E8:FC:AF        Netgear
    F8:73:94        Netgear
    
     
    #4815 Isica, 6 Aug 2020
    Last edited: 6 Aug 2020
    TOX1C likes this.
  16. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    69
    Likes Received:
    114
    Reputations:
    2
    Я посмотрю в нетгирах. Если роутеры прошиваются на заводе то буржуи из нетгир должны на завод давать и утилиту для генерации пин-кодов, по идее . На заводе можно своровать или скопировать утилитку.
     
    TOX1C and 4Fun like this.
  17. Isica

    Isica Member

    Joined:
    17 Oct 2018
    Messages:
    86
    Likes Received:
    81
    Reputations:
    0
    Подробный разбор DeltaPIN_8

    1. Первое приближение.
    Для наглядности, пока отбросим младшие 3 цифры дельты, т.е., разберём DeltaHalf_8 (что не совсем корректно, но, тем не менее, познавательно).

    Вот все обнаруженные варианты:
    Code:
    +-----------+---------+------+
    | DeltaHalf | Signed_ | n    |
    +-----------+---------+------+
    | 0195      | +195    | 1954 |
    | 0261      | +261    |  814 |
    | 0196      | +196    |  193 |
    | 9195      | -805    |   47 |
    | 4418      | -5582   |   30 |
    | 9261      | -739    |   29 |
    | 1195      | -8805   |   25 |
    | 0326      | +326    |   11 |
    | 1261      | -8739   |   10 |
    | 4483      | -5517   |    9 |
    | 4484      | -5516   |    6 |
    | 1196      | -8804   |    3 |
    | 9196      | -804    |    3 |
    | 9419      | -581    |    1 |
    | 0327      | +327    |    1 |
    | 9858      | -142    |    1 |
    | 8884      | -1116   |    1 |
    +-----------+---------+------+
    17 rows in set (0.00 sec)
    
    (два полседних варианта я считаю случайным вбросом).
    Как видим, положительных дельт всего 5. И минимальную из них (+195) можно считать основой, а все остальные есть основа+довесок (довески могут быть сложными--состоять из нескольких битов, и разбираться с ними следует на полных, а не на халф-дельтах).
    Идём дальше: дельты 1195,1196 и 1261, а также 9195,9196 и 9261 есть частные случаи для 195, 196 и 261 соответственно, природа которых мне известна (могу рассказать подробнее).
    Таким образом, истинно-отрицательных дельт у нас всего три: 4418, 4483 и 4484 (и, похоже, ещё 9419).

    (продолжение следует)
     
    TOX1C, hydra and Monohrom like this.
  18. Monohrom

    Monohrom Active Member

    Joined:
    26 Jan 2020
    Messages:
    69
    Likes Received:
    114
    Reputations:
    2
    Радует что дефолтные пароли не совсем уж уникальные у Тенд. У нетгиров такая же ситуация
     

    Attached Files:

    TOX1C, hydra and 4Fun like this.
  19. 4Fun

    4Fun Well-Known Member

    Joined:
    25 Jul 2018
    Messages:
    235
    Likes Received:
    303
    Reputations:
    4
    Это так не работает. Если пин-код вшит в прошивку – он статичный. Иначе он может быть вшит в раздел загрузчика или в так называемую NVRAM. Но если взять прошивку с сайта производителя (не дамп, считанный программатором с флеш-памяти), то в ней не получится найти эти данные, т. к. если пин-код записывается в какой-либо из разделов, то делается это на заводе индивидуально для каждого устройства.

    Что касается части целевых устройств, которые я смог загрузить в Ghidra: это модели на eCos и SoC Realtek RTL8196E: N301, F3, F9, F300 и FH456.
    Хочу сказать пару слов о том, как загрузить прошивку такой Тенды в Гидру.
    Получение образа
    Есть 2 варианта:
    1) зайти на официальный сайт, выбрать модель и перейти в раздел загрузок;
    2) искать образы (и, что важно, дампы флеш-памяти) на просторах интернета.
    Распаковка
    При анализе binwalk'ом видна примерно такая картина:
    2020-08-06_12-01.png
    Распаковываем прошивку (binwalk -e) и определяем архитектуру CPU (RTL8196E — это MIPS 32 big endian):
    upload_2020-8-6_12-7-7.png
    И чтобы окончательно убедиться, что перед нами исполняемая часть eCos, анализируем её binwalk'ом. Должна выглядеть примерно так (начинается с eCos excetion handler):
    upload_2020-8-6_12-9-54.png
    Если работаете с дампом флеш-памяти, а не с образом с сайта производителя, то при распаковке будет другая картина (появится ещё несколько частей):
    upload_2020-8-6_12-13-7.png
    В таком случае берите участок, сжатый с LZMA, который имеет больший размер. Ну а также для подстраховки проанализируйте его инструкции, чтобы определить архитектуру (binwalk -Y): должна быть MIPS 32 BE.
    Загрузка в Ghidra
    Создайте новый проект, перетащите файл исполняемой части eCos в окно Гидры и, когда появится окошко, выберите Language MIPS:BE:32:default:default
    upload_2020-8-6_12-27-1.png
    upload_2020-8-6_12-29-12.png
    Нажмите ОК, запустите анализ, дождитесь окончания анализа (это может занять около 15 минут).
     
    TOX1C, bluelife, Monohrom and 4 others like this.
  20. Isica

    Isica Member

    Joined:
    17 Oct 2018
    Messages:
    86
    Likes Received:
    81
    Reputations:
    0
    Или в так-называемый Non-vol и т.п. И для прояснения ситуации, само-собой, желательно иметь полный дамп.

    3) слить дамп самому
     
Loading...