Просмотр полной версии : Уязвимость в протоколе Wi-Fi Protected Setup
Страницы :
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
[
20]
А надо бы от 0 до "сколько не жалко" символов, и не буквы, а всё подряд (баг в прошивке вряд ли старается совать туда буквы, а длина строки в результате этого бага может очень серьёзно гульнуть, но не исключено, что строка эта из одних нулей или FF).
От 0 знаков — значит начиная с пустой строки? Разумеется, пустая строка проверяется в первую очередь. По поводу 5 и больше знаков: если не ошибаюсь, то в этом нет смысла, т.к. максимальная длина половинки пин-кода — 4 символа. К тому же, на перебор у меня ушло около 5 минут, если увеличить количество символов до 5, то выйдет больше 5 часов (моя программка однопоточная и работает на CPU).
По поводу спецсимволов ASCII: спасибо, проверю.
binarymaster
13.11.2020, 19:53
моя программка однопоточная и работает на CPU
Хороший прогресс, годный. Осталось на базе hashcat сделать, и тогда можно будет на GPU молотить.
Как насчет экспериментов непосредственно с роутером? Заработает ли WPS, если в в вебморде сгенерировать новый pin, или включить настройку по нажатию кнопки? Если ломает wps именно та конфигурация, которая якобы читается из настроек роутера.
По поводу 5 и больше знаков: если не ошибаюсь, то в этом нет смысла, т.к. максимальная длина половинки пин-кода — 4 символа
Вряд ли баг интересуется такими формальностями Он просто берёт то, что есть и пытается обработать так, как умеет.
А если исходить из того, что ПИН хранится в виде строки, то случайная запись бреда на его место может ОЧЕНЬ сильно изменить длину этой строки!..
Впрочем, столь пессимистичный случай нам всё равно не осилить. Так что я бы ограничился следующим: сперва попробовал бы строки 00 и FF разумной длины (какую сможет проглотить алго), а затем бы прогнал все варианты для 4-х цифр.
Как насчет экспериментов непосредственно с роутером?
При наличии физического доступа к железке (или к рубильнику ), надо бы её поперезагружать и сперва удостовериться, действительно ли N1=F(time), а затем собрать все возможные варианты E-Hash1 и E-Hash2 для некого N1 (к примеру, на 30-й секунде после старта) и убедившись, что их не слишком много, побрутить их все.
UP
@4Fun (https://forum.antichat.xyz/members/324235/), поглядел я свои логи, где pixi отработал в mode3, и у меня ВСЕГДА ES1=ES2, а N1 младше как минимум на секунду. Но если без бага эта точка уязвима, тогда ведь можно юзать mode3 по полной, не полагаясь на то, что N1=ES* (или Вы так и делаете?)
@4Fun (https://forum.antichat.xyz/members/324235/), поглядел я свои логи, где pixi отработал в mode3, и у меня ВСЕГДА ES1=ES2, а N1 младше как минимум на секунду. Но если без бага эта точка уязвима, тогда ведь можно юзать mode3 по полной, не полагаясь на то, что N1=ES* (или Вы так и делаете?)
Так и делал. Написал программку для генерации E-S1,2 на основе генератора случайных чисел из Realtek, нашёл seed N1, прибавлял к нему несколько секунд (от 1 до 5), поучал E-S1,2 и проверял их с помощью самописного брутфорсера. Кстати, по вашему совету расширил набор проверяемых символов до
0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMN OPQRSTUVWXYZ!"#$%&\'()*+,-./:;?@[\\]^_`{|}~ \t\n\r
Но пока что никакого результата.
VasiliyP
17.11.2020, 12:13
Можно поправить это место в бинарнике wsc
https://github.com/drygdryg/Tenda-A...Space/cbb/src/wps/rtk/src/txpkt.c#L2856-L2857
TagSize = strlen(pCtx->manufacturer);
pMsg = add_tlv(pMsg, TAG_MANUFACTURER, TagSize, (void *)pCtx->manufacturer);
на
TagSize = strlen(pCtx->pin_code);
pMsg = add_tlv(pMsg, TAG_MANUFACTURER, TagSize, (void *)pCtx->pin_code);
Там два байта всего. И вместо manufacturer будет виден pin.
Кстати, по вашему совету расширил набор проверяемых символов до
0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMN OPQRSTUVWXYZ!"#$%&\'()*+,-./:;<=>?@[\\]^_`{|}~ \t\n\r
Но пока что никакого результата.
Но я Вам советовал не совсем это, точнее даже совсем не это:
не буквы, а всё подряд (баг в прошивке вряд ли старается совать туда буквы
или
Так что я бы ограничился следующим: сперва попробовал бы строки 00 и FF разумной длины (какую сможет проглотить алго), а затем бы прогнал все варианты для 4-х цифр.
Также обратите внимание, что в моей последней цитате, вариант "затем" не перекрывает "сперва" (при желании, их можно поменять местами, но не исключить первый).
UP
На перебор всех вариантов из 4 символов, с вашей реализацией потребуется ~21 час.
Но, повторюсь, СНАЧАЛА желательно проверить строки "\x00\x00\x00\x00" и "\xFF\xFF\xFF\xFF", затем эти же строки, но длиной от 1 до, скажем, 256 символов (бОльшая длина менее вероятна и не факт, что корректно пройдёт через HMAC), и только потом приступать к полному перебору (что, скорее всего, не понадобится).
А DeltaSeed я бы пробовал в такой последовательности: 1,2,3,0,4,5...
Походу, вопрос: а как собрать pixi под Винду?
И что есть mode 2,4,5 (eCos*) и где они подробно описаны?
binarymaster
17.11.2020, 16:37
Походу, вопрос: а как собрать pixi под Винду?
MinGW.
Но, повторюсь, СНАЧАЛА желательно проверить строки "\x00\x00\x00\x00" и "\xFF\xFF\xFF\xFF", затем эти же строки, но длиной от 1 до, скажем, 256 символов (бОльшая длина менее вероятна и не факт, что корректно пройдёт через HMAC), и только потом приступать к полному перебору (что, скорее всего, не понадобится).
Попытаюсь перебрать все размещения байтов (от 0 до 255), если хватит терпения и времени Проблемка в том, что это займёт действительно много времени на одном ядре (256^1+256^2+256^3+256^4=4311810304 комбинаций), и, как говорил @binarymaster (https://forum.antichat.xyz/members/148032/), разумно было бы модифицировать Hashcat для этих целей (насколько это сложно, не знаю), но пока что у меня нет совместимого с ним железа.
Попытаюсь перебрать все размещения байтов (от 0 до 255), если хватит терпения и времени
Т.е., строки "\x00\x00\x00\x00" и "\xFF\xFF\xFF\xFF" Вы уже пробовали, и они не подошли?
разумно было бы модифицировать Hashcat для этих целей
Для каких целей? В нашем случае, когда E-Hash1=E-Hash2, достаточно ОДИН РАЗ сбрутить этот "ПИН" (точнее, халф), ибо он будет одинаковым для всех глючных устройств.
VasiliyP
17.11.2020, 20:20
Но, повторюсь, СНАЧАЛА желательно проверить строки "\x00\x00\x00\x00" и "\xFF\xFF\xFF\xFF", затем эти же строки, но длиной от 1 до, скажем, 256 символов (бОльшая длина менее вероятна и не факт, что корректно пройдёт через HMAC), и только потом приступать к полному перебору (что, скорее всего, не понадобится).
А DeltaSeed я бы пробовал в такой последовательности: 1,2,3,0,4,5...
Вы же можете попросить у 4Fun хеши, и самостоятельно проверить эти идеи.
VasiliyP
18.11.2020, 00:55
Попробую в скором времени, в первую очередь их, разумеется.
Спасибо за совет, сделал: пропатчил бинарник wscd, глядя на исходники, нашёл смещение от pCtx для пин-кода и заменил им смещение manufacturer.
Лучше ориентироваться на первый вызов strlen() в send_wsc_M1() и send_wsc_M3(). А не на структуры в исходниках. Там два числа 0xae43(manufacturer) и 0xadb4(pin) для прошивки версии V2.2.41694, до патча wscd md5: d7bd12a5304c4d28a96e70a853ccbee4
Но возникла проблема при запаковке прошивки: на этом роутере SquashFS, причём не простая, а с вендорскими патчами от Realtek: для распаковки добрые люди создали набор патчей для unsquashfs, а вот чтобы запаковать, я использую обычную mksquashfs, и в итоге роутер не принимает прошивку, где ФС запакованна ею.
Firmware mod kit вроде бы распаковывает / запаковывает, но там еще в конце есть контрольная сумма, которую надо пересчитать. Алгоритм такой-же как здесь (id хидеров другие): https://forum.antichat.ru/threads/480969/#post-4422553 Я бы предложил сначала просто распаковать, запаковать не модифицируя, пересчитать crc, залить в роутер, если всё ок - заливать патченную.
VasiliyP
18.11.2020, 12:48
У меня такой результат, предлагаю для сверки с вашим: https://0x0.st/i5VS.7z .
У меня такой результат, предлагаю для сверки с вашим: https://0x0.st/i5VS.7z .
Сверил wscd в вашей прошивке с пропатченным мною — MD5 совпадают.
Перепаковал прошивку, только заменив wscd, собрал с помощью squqashfs-2.1 из firmware-mod-kit (я вижу, вы тоже этой же версией запаковали) — размер образа squashfs вышел на 400 КиБ больше, чем оригинальный. Перепакованная прошивка: https://transfiles.ru/07i03
Вижу, что у вас размер перепакованной ФС близок к оригинальной, как вы её запаковывали?
VasiliyP
18.11.2020, 14:35
Запаковывал firmware-mod-kit. У вас просто образ squqashfs получился, а в прошивке ещё хидеры должны быть, как в оригинале, и firmware-mod-kit должна была об этом позаботится. У меня так, во всяком случае.
Походу, заметил в pixi странную фичу: Seed ES1 зачем-то ищется в обе стороны от Seed N1 (а не только вперёд), что вдвое замедляет работу:
[DEBUG] src/pixiewps.c: 948:main(): Debugging enabled
[DEBUG] src/pixiewps.c: 951:main(): Mode is auto (no --mode specified)
[DEBUG] src/pixiewps.c: 977:main(): Modes: 3 (RTL819x), 0 (), 0 (), 0 (), 0 ()
[DEBUG] src/pixiewps.c:1128:main(): Trying with E-S1: 10d4d83e4e9a19b97470e4d14515c3a2
[DEBUG] src/pixiewps.c:1128:main(): Trying with E-S1: 10d4d83e4e9a19b97470e4d14515c3a2
[DEBUG] src/pixiewps.c:1245:main(): * Mode: 3 (RTL819x)
[DEBUG] src/pixiewps.c:1278:main(): Start: 1606071849 (Sun Nov 22 19:04:09 2020 UTC)
[DEBUG] src/pixiewps.c:1281:main(): End: 0 (Thu Jan 1 00:00:00 1970 UTC)
[DEBUG] src/pixiewps.c: 117:crack_thread_rtl(): Seed N1 found (1604666682)
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666682
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666683
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666681
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666684
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666680
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666685
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666679
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666686
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666678
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666687
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666677
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666688
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666676
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666689
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666675
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666690
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666674
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666691
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666673
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666692
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666672
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666693
[DEBUG] src/pixiewps.c: 389:find_rtl_es1(): Trying Seed E-S1: 1604666671^C
Это баг, или такое где-то бывает нужно?
@VasiliyP (https://forum.antichat.xyz/members/172247/), @4Fun (https://forum.antichat.xyz/members/324235/)
Коль уж патчите прошивку, хорошо бы сделать, чтобы M5 отправлялся при любом (невалидном) пине, и посмотреть точный ES1
если вы перебираете полный диапазон дат, в качестве старта выбирается дата, несколько выше текущей
Да, но это утверждение из другой оперы: диапазон дат (заданный ключами --force, --[c]statr/end или +-сутки по умолчанию) используется только при поиске seed-N1.
А seed-ES1 всегда, независимо от параметров, ищется в диапазоне (seed-N1 +- MODE3_TRIES), т.е., +- 10 минут.
Так что мой вопрос "это баг, или фича?" остаётся в силе и сводится к вопросу:
[B]существуют ли в природе дивайсы, у которых seed-ES1
VasiliyP
21.11.2020, 18:44
вопрос "это баг, или фича?"
https://github.com/wiire-a/pixiewps/issues/63
https://github.com/wiire-a/pixiewps/issues/63
Здесь боролись за расширение диапазона (увеличили константу MODE3_TRIES), и эффект был достигнут, но опять же, в директном направлении. А о целесообразности направления ретроградного там вроде ни слова. Или я невнимательно прочитал?
PS
Поскольку такое поведение явно предусмотрено авторами, тогда это уже не баг, а идеоголическая ошибка. Что не снимает вопроса.
VasiliyP
21.11.2020, 20:56
Здесь боролись за расширение диапазона (увеличили константу MODE3_TRIES), и эффект был достигнут, но опять же, в директном направлении. А о целесообразности направления ретроградного там вроде ни слова.
Это одно и то же. Если роутер может перевести время вперёд, точно так же он может его перевести и назад. Разве это не очевидно?
Update:
Или я невнимательно прочитал?
To overcome this problem a small window of seeds forward in time and one backwards (clocks can skew in either direction), should be tested for E-S1 and E-S2. Currently, such window exists but only in the future for a small number of seconds
@VasiliyP (https://forum.antichat.xyz/members/172247/), благодарю, теперь всё ясно
<div class="quote">
СНАЧАЛА желательно проверить строки "\x00\x00\x00\x00" и "\xFF\xFF\xFF\xFF", затем эти же строки, но длиной от 1 до, скажем, 256 символов (бОльшая длина менее вероятна и не факт, что корректно пройдёт через HMAC), и только потом приступать к полному перебору
</div>
Попытаюсь перебрать все размещения байтов (от 0 до 255), если хватит терпения и времени
Занялся этим сам.
Проверил:
1) все монотонные строки (из одного повторяющегося символа) длиной от 1 до 2048 байт;
2) все комбинации длиной 1, 2 и 3 символа;
3) все комбинации из 4 символов в пределах +4 секунд от N1;
4) psk=0
Больше идей нет. Теперь надежда только на прошивку.
Наконец попался netis с багом как у асусов, у которых wps в тегах отключен, а фактически работает, и после первой попытки подключения wps теги появляются. Это netis WF2419E_RU с прошивкой 3.5.42541.
Ну что Вы тут?)что нового в этой ветке за эти годы произошло?)
erwerr2321
30.11.2020, 19:10
Ну что Вы тут?)что нового в этой ветке за эти годы произошло?)
СЕРЖ, ё-моё, ну наконец-то, сколько лет, сколько зим!
Ты там чё, как сам, где пропадал то?
Давай, рассказывай!
Пацаны тут уже заскучали по твоим знаменитым эссе и интересным вопросам!
ну что нового в мире wps?я так почитал,нового ничего не решили...
erwerr2321
30.11.2020, 19:12
ну что нового в мире wps?я так почитал,нового ничего не решили...
ну ты уж прости...
ну ты уж прости...
та да....я думал решили что то,а нет...всё так же)
ну что нового в мире wps?я так почитал,нового ничего не решили...
Первое, что вспомнилось:
- D-Link 5K sequence (предсказание пин-кодов к старым моделям D-Link)
- Экспериментальный генератор пин-кодов к некоторым роутерам Tenda
- Аудит WPS из Linux без режима мониторинга
А в общем, было много разных экспериментов, не все удачные.
Первое, что вспомнилось:
D-Link 5K sequence:
https://forum.antichat.ru/threads/310835/page-224#post-4271407
Экспериментальный генератор пин-кодов к некоторым роутерам Tenda:
https://forum.antichat.ru/threads/310835/page-233#post-4393225
Аудит WPS из Linux без режима мониторинга:
https://forum.antichat.ru/threads/429033/page-13#post-4360058
А в общем, было много разных экспериментов, не все удачные.
та читал....но Tenda вообще не интересует,у меня в радиусе одни TP линки,а они то собаки лочатся навсегда)
erwerr2321
30.11.2020, 19:25
та читал....но Tenda вообще не интересует,у меня в радиусе одни TP линки,а они то собаки лочатся навсегда)
покупай у @VasiliyP (https://forum.antichat.xyz/members/172247/) багу
китайцы не хотят платить, мож ты возьмёшь?!
покупай у @VasiliyP (https://forum.antichat.xyz/members/172247/) багу
китайцы не хотят платить, мож ты возьмёшь?!
а чего они не хотят?бабок нет?)
erwerr2321
30.11.2020, 19:35
а чего они не хотят?бабок нет?)
да жадные то шо
СЕРЖ, ё-моё, ну наконец-то, сколько лет, сколько зим!
Ты там чё, как сам, где пропадал то?
Давай, рассказывай!
Пацаны тут уже заскучали по твоим знаменитым эссе и интересным вопросам!
так чего сами вопросы не придумывали?)
кто опробывал вот это?- Аудит WPS из Linux без режима мониторинга
я установил,попробовал,непон ял различия между обычным pixi,ну разве что типа без перевода карты в мод,так а толк с этого,что без перевода в мод?чем лучше или хуже то?
ты расслабился. неважный вопрос. старайся лучше.
я установил,попробовал,непон ял различия между обычным pixi,ну разве что типа без перевода карты в мод,так а толк с этого,что без перевода в мод?чем лучше или хуже то?
Основной плюс в том, что можно запустить на устройствах, где режим мониторинга не поддерживается (хороший пример — рутированные Android-смартфоны со встроенным в SoC Wi-Fi). Также в сравнении с Reaver OneShot имеет встроенный генератор пин-кодов (на основе генератора 3WiFi), что в некоторых случаях ускоряет получение пароля: Pixie Dust запускается с первым сгенерированным пин-кодом, и если он подходит, то Pixiewps не запускается.
Основной плюс в том, что можно запустить на устройствах, где режим мониторинга не поддерживается (хороший пример — рутированные Android-смартфоны со встроенным в SoC Wi-Fi). Также в сравнении с Reaver OneShot имеет встроенный генератор пин-кодов (на основе генератора 3WiFi), что в некоторых случаях ускоряет получение пароля: Pixie Dust запускается с первым сгенерированным пин-кодом, и если он подходит, то Pixiewps не запускается.
ну...а если поддерживаются устройства?)я с ноута,как то привычней,чем какие то там телефоны или планшеты).Ну и всё равно....с OneShot та же проблема,если wps залочен то как бы и всё.....ну а если не залочен,то залочится ж)Вот если б OneShot не лочил точки,или работал бы с залочеными,вот это бомба была б,а так те же яйца....).У меня просто в эфире одни TP-LNK,и если локнулись,то навсегда.....и никакие средства не берут,так видимо ещё не придумали,что б снимать лок,хотя так читаешь,бывало у людей,что с mdk как то перезагружали точку....в моих случаях так ни одну не перезагрузил.....другой бы способ...
Monohrom
03.12.2020, 00:27
другой бы способ.
Исходные коды туполинков доступны и они достаточно подробны.
fire-dance
03.12.2020, 01:26
Исходные коды туполинков доступны и они достаточно подробны.
Как думаешь можно чего придумать с исходников, найти дыру в локе или чего ещё, да и какой язык с++ ?
Monohrom
03.12.2020, 01:32
Как думаешь можно чего придумать с исходников, найти дыру в локе или чего ещё
Тут можно что-то сказать только после просмотренных исходников.
какой язык с++ ?
Си
а кто пробовал VMR-MDK,эффект есть какой то?
Исходные коды туполинков доступны и они достаточно подробны.
А WR740N v5.0 где-то есть?
Monohrom
03.12.2020, 02:43
А WR740N v5.0 где-то есть?
https://static.tp-link.com/resources/gpl/branch_hornet_linux.rar
А вообще здесь всё.
https://www.tp-link.com/ru/support/gpl-code/
я вот не нашёл TP-LINK TL-WR845N 1.0,тут лок навсегда уже)
короче нужно как то обход лока решать,и тогда всё отлично будет....
fire-dance
03.12.2020, 08:26
Тут можно что-то сказать только после просмотренных исходников.
Си
Я правда не знаю потому спрашиваю можно ли записать сигнал роутера о команде перезагрузки на определенную модель и попробовать подать сигнал без админа, но я так понимаю что права выдает роутер, я на примере сигнализации для машин спрашиваю ведь именно так угоняют тачки.
CRACK211
03.12.2020, 09:19
короче нужно как то обход лока решать,и тогда всё отлично будет....
Вам надо к ВасилийП обратиться он умеет это дело обходить ,) настроете у себя удаленный сервер и он все сделает )
Piligrim740
03.12.2020, 11:06
на примере сигнализации для машин спрашиваю ведь именно так угоняют тачки.
KEELOQ на многих сигналках.
Так там не записывают сигнал, там из пакета, выдирают ключ.
В последствии этот ключ благополучно записывается в eeprom.
А команды уже прописаны в кодграббер.
Естественно после взлома алгоритма
Китаёзы хорошо декапсулируют процессоры сигналок.
Monohrom
03.12.2020, 19:51
Я правда не знаю потому спрашиваю можно ли записать сигнал роутера о команде перезагрузки на определенную модель и попробовать подать сигнал без админа, но я так понимаю что права выдает роутер, я на примере сигнализации для машин спрашиваю ведь именно так угоняют тачки.
Об этом варианте не думал, хз.
можно ли записать сигнал роутера о команде перезагрузки
Это что за сигнал такой? По-моему, такого не бывает.
Я правда не знаю потому спрашиваю можно ли записать сигнал роутера о команде перезагрузки на определенную модель и попробовать подать сигнал без админа, но я так понимаю что права выдает роутер, я на примере сигнализации для машин спрашиваю ведь именно так угоняют тачки.
Роутер перезагружается командой внутри админки, через командный шелл и/или http запрос. Перехватить это дело можно только внутри сети, т.е. нужно иметь пароль от wifi.
А перехватив пасс на доступ в админку, какие либо монипуляции с перезагрузкой можно сделать уже стандартным методом.
Иначе не получится.
fire-dance
04.12.2020, 00:15
Роутер перезагружается командой внутри админки, через командный шелл и/или http запрос. Перехватить это дело можно только внутри сети, т.е. нужно иметь пароль от wifi.
А перехватив пасс на доступ в админку, какие либо монипуляции с перезагрузкой можно сделать уже стандартным методом.
Иначе не получится.
допустим я знаю пароль и записываю сигнал уже с правами админа или запрос http на определенную модель и потом уже подаю сигнал без админа на ту же модель, я вас понял что права выдает роутер но ет теоретически понятно но практически кто либо побывал?
допустим я знаю пароль и записываю сигнал уже с правами админа или запрос http на определенную модель и потом уже подаю сигнал без админа на ту же модель, я вас понял что права выдает роутер но ет теоретически понятно но практически кто либо побывал?
То, что вы описываете, не более, чем фантазия. Потому домашние Wi-Fi роутеры — это очень сложные устройства, в них заложено множество различных алгоритмов и протоколов, они работают на разных уровнях (см. модель OSI и стек TCP/IP), есть сеансы и различные проверки подлинности. Повторить такое нельзя не то, что на уровне радиоканала (физическом), это невозможно повторить даже на 3 уровне модели OSI (где ходят пакеты), т.к. в WPA есть шифрование, основанное на временных ключах, и множество других хитрых алгоритмов, проверяющих корректность данных между отправителем и получателем и проверяющих обе стороны на подлинность.
Даже будучи в сети, нельзя втупую прокрутить записанные запросы в сторону роутера, даже если они записаны с того же роутера. Мешают заголовки в tcp пакетах, мешают cookies. Роутер просто отбросит это.
netis WF2419E_RU с прошивкой 3.5.42541
И еще одна версия прошивки для этого роутера багованная - 3.5.42503.
Заметил такой нюанс - если остановить подключение по wps посреди процесса, например после М2 пакета, заголовки wps не появятся, и неважно сколько попыток подключения было до этого. Если дать процессу дойти до М4 пакета и ошибок, и сразу остановить подключение - заголовки появляются всегда.
И еще одно, если ривер сыпет ошибками failed to associate, стоит проверить, есть ли вообще подключение к роутеру, например с паролем попробовать подключиться. Если винда выдает ошибку "несовпадение ключа безопасности" - подключение есть и wps отключен, можно не мучить точку.
fire-dance
04.12.2020, 18:44
Спасибо всем за ответы, спросил просто по незнанию.
Нужно искать хорошего специалиста на СИ, тогда он смог бы посмотреть на исходники и нашел бы чего)
что то никак ничего нового пока не находят,по обходу или игнора лока точек,скажем залочилась,а всё равно каким то методом перебирает пины.
Кто в курсе--пожалуйста, подскажите, где бы взять датасеты под mode 4 и 5? (нужны для отладки модифицированного pixi).
binarymaster
16.12.2020, 02:04
Кто в курсе--пожалуйста, подскажите, где бы взять датасеты под mode 4 и 5? (нужны для отладки модифицированного pixi).
Лично я ни разу не встречал, есть смысл спросить у разработчиков напрямую в гитхабе.
Есть вероятность, что как таковых данных и нет, они просто брали рандомные прошивки роутеров, получали их исходный код каким-либо образом, и затем анализировали реализации ГПСЧ в них. Для уязвимых генераторов добавляли алгоритм.
@binarymaster (https://forum.antichat.xyz/members/148032/)
Настоятельно рекомендую добавить в 3wifi информацию о том, как выглядит устройство "c воздуха". В идеале--сырой ProbeResp (возможно, с обнулённым TimeStamp, во избежание ненужных дублей).
Ведь корреляция этих данных с выхлопом RS.dll, позволит гораздо точнее идентифицировать модель устройства в полевых условиях и выбирать оптимальный вектор атаки.
binarymaster
17.12.2020, 00:34
Настоятельно рекомендую добавить в 3wifi информацию о том, как выглядит устройство "c воздуха". В идеале--сырой ProbeResp (возможно, с обнулённым TimeStamp, во избежание ненужных дублей).
А как их собирать? Router Scan выгружает только отчёты сканирования.
В оффлайн генераторе есть частично такая информация, но она пока не используется.
А как их собирать?
Как ни странно, всё тем же "продвинутым способом" от XP Он как раз получает пакет, представляющий собой симбиоз Беакона и Пробе (или чистый Beacon, если драйверу карты (пока) не удалось поймать ProbeResp).
binarymaster
21.12.2020, 23:39
Как ни странно, всё тем же "продвинутым способом" от XP Он как раз получает пакет, представляющий собой симбиоз Беакона и Пробе (или чистый Beacon, если драйверу карты (пока) не удалось поймать ProbeResp).
Я не по технической части спрашиваю, мой вопрос носит чисто организационный характер. 3WiFi не очень подходит для сбора такой информации, поскольку это база отчётов RS, а отчёты RS это отчёты обработки веб интерфейсов роутеров.
С организационной точки зрения реализовать это так же сложно, как например выгрузку паролей, добытых беспроводным аудитом без парсинга веб интерфейса.
а отчёты RS это отчёты обработки веб интерфейсов роутеров.
Так что же (кроме религии) мешает Вам расширить это понятие?
3WiFi не очень подходит для сбора такой информации
ИМХО, как раз напротив, очень даже подходит! Ибо задачу по установлению корреляции между двумя разными источниками данных решать гораздо легче, когда данных из одного источника собрано уже предостаточно. Тогда даже единичные данные из другого источника могут пролить свет на всю серию, весь OUI и т.д.
С организационной точки зрения реализовать это так же сложно, как например выгрузку паролей, добытых беспроводным аудитом без парсинга веб интерфейса.
Что-то я в упор не вижу с этим ни каких сложностей
Думаю купить роутер,
RS хорошо справляется со многими , так же как и Reaver или через Kali Linux.
Взломать так то, всё можно, главное инструмент найти.
Просто не хочу купить, а потом выкинуть.
Посоветуйте. Зарания СПАСИБО !
Посоветуйте
Берите те роутеры, которые поддерживают открытые прошивки (OpenWrt, DD-WRT). Проверить поддержку OpenWrt, просто загуглив. Также постарайтесь выбрать модель, у которой минимум 8 МиБ ПЗУ и 64 МиБ оперативной памяти: это позволит OpenWrt ещё долгое время обновляться. Советую смотреть характеристики железа на WikiDevi и на OpenWrt techref.
Посоветуйте. Зарания СПАСИБО !
Если неохота разбираться с выбором и с прошивками, берите Zyxel Keenetik, они сейчас просто keenetik называются. Стоят довольно дорого, но свою цену оправдывают полностью. Роутерскан их одолеть не мог и не сможет, прошивки регулярно обновляются.
Всем ! СПАСИБО !
Вот этот буду брать, по вашим советам.
Keenetic OMNI KN-1410
Abzal999
07.03.2021, 18:05
Всем Привет
Можете дать пин коды на эти :
B0:BE:76:CD:32:32 TP-Link TL-WR840N 6.0
20:988:0684 Realtek RTL8xxx EV-2010
Abzal999
07.03.2021, 18:07
20:988:0684
B0:BE:76:CD:32:32 TP-Link TL-WR840N 6.0
Уязвим к Pixie Dust.
20:988:0684 Realtek RTL8xxx EV-2010
Возможно, уязвим к Pixie Dust.
OneShot (Linux) или Router Scan (Windows) вам в помощь.
Abzal999
07.03.2021, 19:42
Уязвим к Pixie Dust.
Возможно, уязвим к Pixie Dust.
OneShot (Linux) или Router Scan (Windows) вам в помощь.
Я пробовал роутер скан но увы не взломал может есть еще советы ?
Я пробовал роутер скан но увы не взломал может есть еще советы ?
Можете прислать сюда журнал о ходе атаки в Router Scan — попробую помочь или объяснить, почему вы терпите неудачу с этими сетям.
Abzal999
08.03.2021, 21:15
Можете прислать сюда журнал о ходе атаки в Router Scan — попробую помочь или объяснить, почему вы терпите неудачу с этими сетям.
ну я взломал первую а вторую 20:988:0684 Realtek RTL8xxx EV-2010 никак ним могу и вопросик как отправить ход атаки для вас ?
как отправить ход атаки для вас ?
Скопировать содержимое поля, где отображается информация о ходе атаки (в окне беспроводного аудита), загрузить на https://paste.ubuntu.com/ и прислать ссылку сюда.
Этим постом хочу окончательно закрыть вопрос о переиспользовании (дублировании) MAC-адресов компанией Tenda в их роутерах.
- Возможность работы с многострадальным диапазоном C8:3A:35, с которым сейчас нельзя ничего сделать из-за горы нецелевых устройств, дублей, статических пинов, и невалида. 17 мегабайт полезных данных, лежит мертвым грузом.
C8:3A:35:02:F2:F8 1634243 - похоже на потенциальный дубль, после 17 идти 16 никак не может.
По какому наркоманскому принципу распределяются MAC адреса, пока не понятно.
SURPRISE, MOTHERFUCKER
Дубль мак адреса. Этого счастья не хватало
Ответ: Tenda это однозначно делают, причём довольно активно, и сейчас я попытаюсь объяснить, как пришёл к такому умозаключению.
В ходе использования программки geomac, я опробовал её на разных BSSID как из моего города, так и с разных уголков мира. И я заметил, что местоположение роутеров Tenda из моего города часто находит только Яндекс Локатор, при этом их очень редко находит Google и Apple. Хочу заметить, что я живу в одной из стран СНГ, и Яндекс Локатор имеет наибольшее количество данных именно о территориях СНГ (т.к. здесь наибольшее количество пользователей Яндекса), и, скажем, Google и Apple имеют гораздо большее количество данных о местоположении по другим странам мира, чем Яндекс Локатор.
Я задумался, почему так, ведь Google и Apple отлично справляются с поиском роутеров других производителей (к примеру, TP-Link) в моём городе, а роутеры Tenda находит только Яндекс Локатор. Очень скоро я догадался, что это происходит потому, что Tenda вторично (и третично, возможно) использует одни и те же MAC-адреса в своих роутерах, и причина, по которой Google и Apple не возвращают данные по ним в моём городе заключается в том, что Google и Apple видят роутеры с такими же MAC-адресами в других частях мира, и поэтому просто считают их дублями и либо не сохраняют в своей базе, либо не могут дать мне однозначный ответ касательно их местоположения.
Почему же Яндекс Локатор находит их? Видимо, потому, что у Локатора большой охват пользователей в СНГ, но относительно небольшой в других частях мира, и он редко фиксирует в других частях мира точки-дубли тех точек, которые находятся в моём городе, и поэтому выдаёт данные по моему городу, т.к. не считает точки доступа Tenda дублями.
У меня возник логичный вопрос: зачем Tenda занимаются переиспользованием адресов? Я не знаю ответа, но догадываюсь, что это делается в целях экономии OUI, для того, чтобы меньше покупать новых блоков MAC-адресов у организации IEEE.
Самое грустное в этом то, что китайцы из Tenda могут дублировать MAC-адреса на роутерах совершенно разных поколений и моделей, что вставляет палки в колёса как моему генератору, так и кампании по исследованию генерации пин-кодов в роутерах Tenda в общем.
Простите за длиннопост и долгие объяснения, я плохо умею рассуждать в письменной форме.
Забегая вперёд, хочу сказать, что работаю над исследованием PRNG в этих роутерах: выяснил, что в роутерах с прошивками eCos не используется стойкий рандом, поэтому пытаюсь разгадать примеси, которые там используются, чтобы хоть как-то усложнить атаку на обычный rand() из libc, взятый там за основу.
Abzal999
13.03.2021, 19:13
Скопировать содержимое поля, где отображается информация о ходе атаки (в окне беспроводного аудита), загрузить на https://paste.ubuntu.com/ и прислать ссылку сюда.
Audit started at 2021.03.13 21:12:11 (UTC+06:00).
Associating with AP...
[+] Associated with 20:988:0684 (ESSID: Olzhas).
Trying pin "12345670"...
Sending EAPOL Start...
Received Identity Request.
Sending Identity Response...
Received WPS Message M1.
E-Nonce: B415A02996D852192B860AD0B9314474
PKE: D0141B15656E96B85FCEAD2E8E76330D2B1AC1576BB026E7A3 28C0E1BAF8CF91664371174C08EE12EC92B0519C54879F2125 5BE5A8770E1FA1880470EF423C90E34D7847A6FCB4924563D1 AF1DB0C481EAD9852C519BF1DD429C163951CF69181B132AEA 2A3684CAF35BC54ACA1B20C88BB3B7339FF7D56E09139D77F0 AC58079097938251DBBE75E86715CC6B7C0CA945FA8DD8D661 BEB73B414032798DADEE32B5DD61BF105F18D89217760B75C5 D966A5A490472CEBA9E3B4224F3D89FB2B
Manufacturer: Realtek Semiconductor Corp.
Model Name: RTL8xxx
Model Number: EV-2010-09-20
Serial Number: 123456789012347
Device Name: Wireless Router
Sending WPS Message M2...
PKR: ADD4E8D0471BDD5425CBD20DA449BCEA69E3CB102A2D59A8F0 BBD84121FFAAA40E3C2924738E777557AE3E35DF508E7EBC60 306A3F5FEBBCCCA9744A05E62021A25E4E2B75F9C99952B5EF 7BE95EC5C44F9B74FCF7B4EDF0963BCE8F8743BAB034629C7B 1050C624E04313449ADC032DFDC82BC34F64C977DF3A5319A5 C2B86F543B333A25BB8A95F55BDFBC5A3EEB4934EDA6F97622 B2DA7A6D580F6AE9AECC188F702201A0833F5778E63C4A67EA 538559DAF6A6D49D24E1A535C6F527B98D
AuthKey: 044A79EA20DFDE0A3B94591FDBB5A84D2B389487AE712D4925 295885AC5F2050
Received WPS Message M3.
E-Hash1: AE42D4430A39685E260D498106D8D9B1DB80C81771C3EEFCD0 765167260D025E
E-Hash2: BE4963A8B27695389A76D931176B3EBDF65ED31A3A3AEDD4AE 01275184A9FB52
Starting Pixie Dust attack...
[-] Pixie Dust PIN not found.
[-] Request timed out.
Sending WPS Message M2...
Received WPS Message M3.
Sending WPS Message M4...
Received WSC NACK.
[-] Error: Wrong PIN code.
Sending WSC NACK...
EAP session closed.
Audit stopped at 2021.03.13 21:12:22 (UTC+06:00).
@Abzal999 (https://forum.antichat.xyz/members/353657/) по логу видно, что сеть, скорее всего, не уязвима к Pixie Dust. По MAC-адресу определить модель не удалось, вполне возможно, что это роутер на Realtek Linux SDK той версии, в которой используется сильный рандом для генерации случайных чисел E-Nonce, E-S1, E-S2.
Этим постом хочу окончательно закрыть вопрос о переиспользовании (дублировании) MAC-адресов компанией Tenda в их роутерах.
Подтверждаю! Соседский роутер Tenda тоже далеко в Росии,а по факту в Украине)
и как мне дальше быть ?
Искать другие способы восстановление пароля (не связанные с уязвимостями WPS). Например, захват рукопожатия.
Abzal999
22.03.2021, 00:10
Искать другие способы восстановление пароля (не связанные с уязвимостями WPS). Например, захват рукопожатия.
4C:F2:BF:31:E5:BC можете пин сказать?
erwerr2321
22.03.2021, 00:15
4C:F2:BF:31:E5:BC можете пин сказать?
Нет. Ловите ХШ и вам скорее всего помогут в ТУТ!
работаю над исследованием PRNG в этих роутерах: выяснил, что в роутерах с прошивками eCos не используется стойкий рандом, поэтому пытаюсь разгадать примеси, которые там используются,
Если есть возможность подавать произвольные данные на вход генератора, то может просто создать табличку всех вариантов SEED (для всех секунд)?
Подскажите как сбить wps lock?
Если роутер будет перезапущен wps lock снимется?
И на всех ли роутерах он снимается после перезагрузки?
erwerr2321
09.04.2021, 15:06
Подскажите как сбить wps lock?
Дудосить точку mdk3/4 до потери сознания ( но те что падают, теперь редко встречается )
Деаусить 24/7 клиентов и таким образом заставить хозяина ребутнуть роутер.
Сделать вылазку к электрощиту и щёлкнуть нужный автомат на 3-5 сек.
Если роутер будет перезапущен wps lock снимется?
И на всех ли роутерах он снимается после перезагрузки?
В большинстве случаев wps разлочится после ребута.
Но встречаются новые модели/прошивки, где замок может снять только одмэн из вэбморды.
В большинстве случаев wps разлочится после ребута.
Понятно, спасибо за разъяснение. А ещё такой вопрос:
Пробую взлм через reaver с использованием известного pinа, регулярно получаю ошибки вида WARNING: Failed to associate.
Это просто просто неудачная ассоциация или это предупреждение касается всего процесса?
Просто я уже давно нахожусь в состоянии: 90.91% complete
Подскажите плз, роутер R4C xiaomi 002, пробую перебор (пиксидаст не работает) reaver циклится на первом пине - в чём может быть дело? StasM в принципе уже отвечал по этому роутеру (только брут хеша WPA) - хотелось понять, там защита от перебора пина? Т.е. на что похоже, возможно есть варианты подобрать параметры reaver на перебор пина?
[+] Waiting for beacon from 9C:9D:7E:6F:43:E5
[+] Received beacon from 9C:9D:7E:6F:43:E5
[+] Vendor: RalinkTe
[+] Trying pin "12345670"
[+] Associated with 9C:9D:7E:6F:43:E5 (ESSID: Xiaomi_43E3)
[+] Sending EAPOL START request
[+] Received identity request
[+] Sending identity response
[!] Found packet with bad FCS, skipping...
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[!] WARNING: Receive timeout occurred
[+] Sending WSC NACK
[!] WPS transaction failed (code: 0x02), re-trying last pin
[+] Trying pin "12345670"
[+] Associated with 9C:9D:7E:6F:43:E5 (ESSID: Xiaomi_43E3)
[+] Sending EAPOL START request
[+] Received deauth request
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
там защита от перебора пина?
Там предустановленного пин-кода нет в принципе, поэтому его и не перебрать. Подключение только нажатием на кнопку.
Там предустановленного пин-кода нет в принципе, поэтому его и не перебрать. Подключение только нажатием на кнопку.
Спасибо, хотел ещё уточнить на будущее - airodump-ng выдаёт по поводу wps: 2.0 LAB DISP KPAD - вероятно какой-то из маркеров определяет, что перебор пина невозможен, не в курсе?
На самом деле, это лишь общие определения(есть поиск): https://test.antichat.xyz/threads/310835/page-196#post-4053538
Всё зависит от прошивкописателя. Часто(не всегда), home-made(кастомные прошивки провайдеров) содержат дырки которые можно эксплуатировать.
Вероятно, это не ваш конкретный случай.
Если только .. "TOX1C" не безпруфно наёб(что, в вполне возможно!).
Nullīus in verba
Спасибо.
что, в вполне возможно!
А кому-то удавалось роутеры от xiaomi через wps вскрыть? Хоть на заводских прошивках, хоть с прошивкой от asus (padavan), неважно. У меня пока что на всех облом был, с разными моделями, начиная от r1cm (mi router mini) и заканчивая какими-то супер вундервафлями за 100+ долляров.
binarymaster
05.09.2021, 01:26
А кому-то удавалось роутеры от xiaomi через wps вскрыть? Хоть на заводских прошивках, хоть с прошивкой от asus (padavan), неважно. У меня пока что на всех облом был, с разными моделями, начиная от r1cm (mi router mini) и заканчивая какими-то супер вундервафлями за 100+ долляров.
https://forum.antichat.ru/posts/4463173 (вторая часть сообщения)
Спасибо за ответы, просто на вс. случай - может кому пригодится для экспериментов - вышеупомянутая модель похоже перезагружается (сбрасывается блокировка wps, так же меняется канал), если натравить mdk с опцией a (DoS) - за всё время единственный роутер, на котором это сработало. Жаль толку нет..
scorpiuscip
19.01.2022, 00:25
узнал модель модема
ESSID: UPC8653595
BSSID: 34:2C:C4:B6:62:83 (Compal Broadband Networks, Inc.)
Кто-нибудь знает, какой у него пин?
VasiliyP
19.01.2022, 01:27
ESSID: UPC8653595
BSSID: 34:2C:C4:B6:62:83 (Compal Broadband Networks, Inc.)
Для такого роутера есть генератор паролей (не пинов!).
https://github.com/routerkeygen/routerkeygenPC
scorpiuscip
19.01.2022, 02:09
с этим не работает
teqilkka199707
19.06.2022, 15:01
Добрый времени суток господа!
Помогите подобрать PIN уже неделю с ним мучаюсь 1C:3B:F3:F3:4D:22 роутер TL-WR820N
Привет братан, можешь помочь мне найти пин-код wps для этой сети, я не нашел способ его найти. Это роутер типа д305. это сетевая информация
Тенда_04FD30
CC:2D:21:04:FD:30
Это файл аутентификации
https://transfiles.ru/eqc4f
Пожалуйста, мне нужна твоя помощь, братан, пожалуйста, ответь как можно скорее
to.Index
22.11.2022, 10:27
Привет народ, очень бы хорошо стало если поделитесь пинами от какой нибудь из этих точек. часа в 3 дня вырубится инет
4C:5E:0C:1C:72:42 MikroTik-38034
C0:4A:00:BF:92:26 2_flow
04:BF:6D:0D:49:EC Keenetic-4586
74A:88:31:58:C4 ZyXEL
2 18208665
3 00000000 08708922
4 23382350 38441714
попробуй эти правда вероятность около нуля
hello how are you ,I have routers that not responsible to obtain handshake the routers are
64:70:02:ED:6E:8C
64:70:02:ED:86:50
98:48:27:37:8A:2D
C8:3A:35:49:0C:40
I am using the following commands and the adapter is edup 8523 with chip Ralink RT3070.
sudo airmon-ng check kill
sudo airmon-ng start wlan1
sudo airmon-ng
sudo airodump-ng wlan1mon
sudo airodump-ng -w hack1 -c 13 --bssid 64:70:02:ED:6E:8C wlan1mon
sudo aireplay-ng --deauth 0 -a 64:70:02:ED:6E:8C wlan1mon
are the commands wrong ? the adapter ? I am sure there is clients connected to router
Nussknacker
24.11.2022, 04:14
hello how are you ,I have routers that not responsible to obtain handshake the routers are
64:70:02:ED:6E:8C
64:70:02:ED:86:50
98:48:27:37:8A:2D
C8:3A:35:49:0C:40
I am using the following commands and the adapter is edup 8523 with chip Ralink RT3070.
sudo airmon-ng check kill
sudo airmon-ng start wlan1
sudo airmon-ng
sudo airodump-ng wlan1mon
sudo airodump-ng -w hack1 -c 13 --bssid 64:70:02:ED:6E:8C wlan1mon
sudo aireplay-ng --deauth 0 -a 64:70:02:ED:6E:8C wlan1mon
are the commands wrong ? the adapter ? I am sure there is clients connected to router
Какое отношение ваш пост и команды теперь имеют к уязвимости WPS?
Там есть что почитать о командах.
https://github.com/t6x/reaver-wps-fork-t6x
goginnm12
02.12.2022, 18:16
надеюсь что пишу в правильную тему.
у кого есть возможность написать в гитхабе и не сложно отзовитесь.
собтвенно нужно написать в предложения сюды:
https://github.com/drygdryg/OneShot/discussions/
следующее:
добавить опцию сохранения в файл помимо даты, имени точки, мака, пароля и пина ещё и получаемую информацию о модели устройства и версии прошивки. возможно в отдельный файл. (для дальнейшего анализа)
при работе скрипта в темруксе забивается временными файлами директория /data/data/com.termux/files/home/.suroot/.tmp/
изменить (или дать возможность выбора) структуры сохранения данных в файл stored.csv с дата,мак,имя,пин,пасс на дата,мак,пин,имя,пасс(возмо но модель устройства и версию прошивки из первого пункта)
для решения второго вопроса использую такую команду для запуска:
sudo rm -rf /data/data/com.termux/files/home/.suroot/.tmp/{,.} && sudo python /data/data/com.termux/files/home/OneShot/oneshot.py -i wlan0 --iface-down -K -w --mtk-wifi -F -l -r
Monohrom
11.12.2022, 17:27
добавить опцию сохранения в файл помимо даты, имени точки, мака, пароля и пина ещё и получаемую информацию о модели устройства и версии прошивки. возможно в отдельный файл. (для дальнейшего анализа)
Как временное решение проблемы: https://github.com/drygdryg/wigle_companion/blob/main/README_ru.md
goginnm12
12.12.2022, 15:46
Как временное решение проблемы: https://github.com/drygdryg/wigle_companion/blob/main/README_ru.md
пробовал эту штуку. фиксирует только точки с впс, пишет в sqlite, что не большая проблема.
основная цель моего вопроса - получения отклика роутера (модель, версия) в формате как у ваншота для дальнейшего анализа с какими данными роутеры поддаются, а с какими нет.
следующий возникший вопрос - сбор данных (на базе термукса) со всех видимых и не видимых точек, а так же информации о клиентах, которые подключаются к этим точкам.
moklrokov
26.12.2022, 16:19
Привет
Подскажите пожалуйста пин к TP Link
5c:a6:e6:2a:de:8f
Похоже, забросили wps, но зря.
Zyxel взломал легко.
Несколько точек отдают wps, но pixie не находит пин.
У pixie есть ключи:
-7, --m7-enc : Recover encrypted settings from M7 (only mode 3)
-5, --m5-enc : Recover secret nonce from M5 (only mode 3)
Возможно, с этими ключами найдется пин, только как получить M5 и M7?
Возможно, с этими ключами найдется пин, только как получить M5 и M7?
Сообщение M5 невозможно получить, не зная первой половины пин-кода (первых 4 цифр). Сообщение M7 невозможно получить, не зная второй части пин-кода (последних 4 цифр).
Упомянутые вами ключи утилиты Pixiewps позволяют восстановить пароль из зашифрованных сообщений WPS, когда пин-код уже известен.
Источник: cпецификация протокола WPS.
CRACK211
21.08.2023, 00:00
Ребят, такой вопрос. Если у меня есть доступ к веб морде злого TL-WR841N, чьи WPS алгоритмы нигде не просчитываются и не висят списком.
То могу я как-то для себя просчитать их, зайдя на веб и там зарандомить себе кучу WPS от этого роутера, сохранив их. (использовать для других так
когда то давно я писал об этом. Но может появились новые идеи и агоритмы и новые люди которые может быть смогут победить TP-Link/))))! Не дают они мне покоя (((
нашел одну страность))) надеюсь вам понравится) обратил внимание на то что в роутерах тп -лин мас отличающийся последним oct то разница между пином равна в сумме 28ми. вот пример из базы
60:E3:27:82:1B:9C 99716073
60:E3:27:82:1B:F6 92370722
60:E3:27:82:1B:2E 82899851
60:E3:27:82:08:6A 84415318
60:E3:27:82:08:CE 43083879
минусуем от большого меньшее
99716073-92370722=7345351=7+3+4+5+3+5+1=28
99716073-82899851=16816222=1+6+8+1+6+2+2+2=28
84415318-43083879=41331439=4+1+3+3+1+4+3+9=28
то есть получается последний oct равен 28 от наивысшего?
я правильно понял?
то есть как я понял зная пин от
60:E3:27:82:08:CE можно угадать пин для 60:E3:27:82:08:6A прибавляя числа чья сумма равна 28,
43083879+01234567(в сумме равно 28)=44318446 не подходит(
43083879+41331439(в сумме равно 28)=84415318 подходит))) ура
еще Сообщение TOX1C
https://forum.antichat.ru/threads/310835/page-205#post-4105807
Обнавлю вдруг кто из новеньких попробует
в роутерах тп -лин мас отличающийся последним oct то разница между пином равна в сумме 28ми.
Сперва надо бы проверить, всегда ли оно так.
Впрочем, сам по себе этот факт мало что даёт. Но поглядеть любопытно: возможно, найдутся другие закономерности.
А чтобы поглядеть, нужна выборка двух-трёх целых OUI TP-Link (желательно со всеми полями, что есть в базе, включая ID, лог/пасс, подсеть и модель).
PS
Походу, лично мне любопытен OUI CC:32:E5, дабы подобрать пин к реальному устройству.
подскажите пожалуйста, примерный WPS PIN (или первые 4 цифры) для такого роутера
Обратитесь к VasiliyP (https://forum.antichat.xyz/members/172247/)--он умеет укрощать эти устройства.
libvernow
17.01.2024, 00:52
нужна помощь в определении pin, pixie не срабатывает, а грубый брут очень долго идёт, точка блочится после 3-х неверно введенных кодов, а хш удалось словить пока только от двух половин ключа 1 и 3, но этого мало для подбора wpa2
ESSID: YadAs
BSSID: B0:BE:76:3E:BD:C1
роутер TP-Link Archer C5 (rev 4.0)
libvernow
26.01.2024, 11:34
подскажите кто знает, как обойти лок wps?
кроме VasilyP это может кто-то объяснить?
подскажите кто знает, как обойти лок wps?
кроме VasilyP это может кто-то объяснить?
Увеличить временной интервал между PIN , но это не точно, в reaver:
--delay=
Либо, перебирать минимум известных PIN от подобных Туполинков.
Самое злодейство, это DOS Точки доступа каким нибудь MDK3 , после лока , для ее перезагрузки владелцем.
Но кмк, это уже перебор, ибо у меня когда - то, так сосед новый роутер себе купил, который не лочился и поддался wps.
Но, теперь мне за это стыдно
libvernow
26.01.2024, 13:57
Самое злодейство, это DOS Точки доступа каким нибудь MDK3 , после лока , для ее перезагрузки владелцем.<br/>
Но кмк, это уже перебор, ибо у меня когда - то, так сосед новый роутер себе купил, который не лочился и поддался wps.<br/>
Но, теперь мне за это стыдно
нда, это уже какие-то крайности, членовредительством заниматься как-то не хочется, к тому же ещё и без адекватной на то причины
Увеличить временной интервал между PIN , но это не точно, в reaver:<br/>
--delay=<секунды>
к сожалению увеличение интервала ни к чему не приводит, ставил 10 минут между пинами, после третьего всё равно лок, пробовать ставить интервал ещё больше, похоже нецелесообразно, поскольку это уже будет скажем 15 мин Х 3 = 45 мин, по сути уже почти тот же час получится, через который точка и так разлочивается, короче галиматья какая-то с этим WPS
Либо, перебирать минимум известных PIN от подобных Туполинков.
была такая идея, но увы, смысла в этом мало, поскольку как известно, все эти туполинки используют полный диапазон пинов грубо говорят от 00000000 до 99999999, то есть это практически нереально найти где-то похожую точку с известным пином который подойдёт к моей цели
в любом случае, спасибо за ответ... а то чаще всего, вместо ответов от кого-либо порой просто тишина и молчание
подскажите кто знает, как обойти лок wps?
кроме VasilyP
Вообще-то, @VasilyP (https://forum.antichat.xyz/members/302630/) умеет укрощать лишь некоторые конкретные модели, а не все Туполинки подряд.
В общем же случае, обойти лок невозможно.
Более того, некоторые точки лочатся не до ребута, а навсегда (пока владелец не снимет лок).
Однако в большинстве случаев, ребут (или рубильник) помогает. Так что есть смысл проверить точку на устойчивость к флуду MDK--авось ребутнётся
кто-то сталкивался с прошивками, где пин меняется динамически и рандомно, сразу, при блокировке точки, из-за ввода неверных комбинаций?
в теории есть такие прошивки на каких-то роутерах, или это миф?
С учётом того, что на большинстве роутеров WPS Pin на брюхе указан, рандом смена Pin вряд-ли существует .
Сам такого точно не встречал.
или это миф?
Или это глюк.
DSL2650NRU
25.04.2024, 22:49
кто-то сталкивался с прошивками, где пин меняется динамически и рандомно, сразу, при блокировке точки, из-за ввода неверных комбинаций?
в теории есть такие прошивки на каких-то роутерах, или это миф?
Лично видел, как пин код поменялся. И это было на каком то древнем длинке.
кто-то сталкивался с прошивками, где пин меняется динамически и рандомно, сразу, при блокировке точки, из-за ввода неверных комбинаций?
в теории есть такие прошивки на каких-то роутерах, или это миф?
1. Да. Некоторые "Static"-пины на самом деле генерятся рандомно и могут меняться при ребуте точки на ± несколько секунд. Это обсуждалось здесь (https://forum.antichat.xyz/posts/4398350/) (у таких точек обычно нет пина "на брюхе").
2. Если пин не нашелся после полного перебора, первым делом, рекомендую вспомнить о пустом пине
Добрый день. Помогите пожалуйста с пином на роутер Netis BC:E0:01:BF:87:B3.
pixie 1.4 не берет. В роутерскэн пин не предлагается.
Лови хэндшейк
Да в том то и дело, что handshake не получается поймать. Не могу отключить клиента, расстояние 150 м где то, антенна панельная 15db, адаптер tp link 722n, расположенный прямо на антенне.
Да в том то и дело, что handshake не получается поймать. Не могу отключить клиента, расстояние 150 м где то, антенна панельная 15db, адаптер tp link 722n, расположенный прямо на антенне.
Лови и поймаешь.
Поскольку @VasiliyP (https://forum.antichat.xyz/members/172247/) исчез, спрошу здесь: умеет ли кто-то ещё обходить лок WPS на TP-LINK TL-WR740N 5.0?
Поскольку @VasiliyP (https://forum.antichat.xyz/members/172247/) исчез, спрошу здесь: умеет ли кто-то ещё обходить лок WPS на TP-LINK TL-WR740N 5.0?
Попробуйте запеленговать в какой квартире/доме (частном) находится роутер и в подъездном электрощитке (на столбе/фасаде) выключить и включить электричество. Роутер перезагрузится и можно пытать его дальше. Единственное условие счетчик с атоматом должен быть в общем доступе.
Подскажите пожалуйста, может быть есть инструмент/скрипт автоматизирующий эксплуатирование данной уязвимости(работающий на подобии hcxdumptool, чтобы можно было например гулять, а он сам собирал пароли). Спасибо.
zloy_dyadya
22.08.2024, 08:21
Всем доброго времени суток. Интересуют модели роутеров, которые уязвимы к пустому пину, есть ли на форуме или в другом месте их список ? Зарание спасибо за помощь.
pta53-68bis
07.09.2024, 00:32
Всем доброго времени суток. Интересуют модели роутеров, которые уязвимы к пустому пину, есть ли на форуме или в другом месте их список ? Зарание спасибо за помощь.
Вы знаете, из того, что попадается мне в последний год-полтора, уязвимы по пинам только ТП-линки. И то, если не залочены, что естественно.
пропадание питания не снимает блокировку сетапа. Питанием можно лишь снять лок с пина, залоченного неудачными попытками.
На истину не претендую. Т.к. рассказываю лишь о частном случае поисков подхода к окружающему вайфай пространству.
Иногда помогает хендшейк, иногда (очень редко) айргеддон с его злым двойником (с перехватывающим порталом).
Для злого двойника нужен близкий источник сигнала, а это только близкие соседи, а это некошерно ( лично для меня ).
Рутерскан - я его толком не знаю, чтобы комментировать. Логинов\паролей по широкому поиску бывает масса, но мне они как зайцу стопсигнал. А узкий поиск - есть ньюансы, да и современные провайдеры могут задницу надрать, если активно сканить сети.
У меня у самого накопилось пару десятков хендшейков, которые словарь на 12 Гб не осилил. А больший ставить, по опыту, что не открылось rockyou и предварительным поиском по сложным клавиатурным комбинациям, то лишь в одном случае из -+ 50 будет найдено в 12 Гб словаре.
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot