Método crack redes NETGEARXX (WNDR3400 y otros modelos) con PSKracker

kcdtv · 29-01-2018 13:46:19

Método para ataques por diccionario contra redes "NETGEARXX" con PSKracker

¡Buenos días [email protected]! smile
Hoy vamos a hablar de un caso bastante curioso de crack WPA por diccionario.
"por diccionario".. ¡Nunca mejor dicho!
Cómo podéis ver en la captura que sigue la contraseña por defecto se hace con palabras simples que se encuentran en un diccionario de Inglés:

El pass por defecto se compone de 11 caracteres y podemos ver un patrón :

basic zoo 442

Un adjetivo de 5 letras (basic)
Un nombre de 3 letras (zoo)
Tres números (442)

Miremos a otra muestra de datos:

¡Es exactamente el mismo patrón! cool

royal owl 822

Un adjetivo de 5 letras (royal)
Un nombre de 3 letras (owl - búho en español)
Tres números (822)

Fue casualidad que los dos primeros datos completos que vea por la web sean tan similares.
Lo longitud de los adjetivos y los nombres puede variar pero el pass siempre hace 11 caracteres.
Y se sigue siempre el esquema adjetivo + nombre + números

PSKracker

Alguien llamado gearhjunkie ha estudiado este peculiar caso cruzando datos y ha elaborado un ataque rápido que da muy buenos resultados gracias a la combinación de dos wordlists hechas a medida.
soxrok2212 ha comprobado de su lado la validez del método y lo ha incluido en su herramienta para crack WPA y WPS:

PSKracker - An all-in-one WPA/WPS toolkit by soxrok2212 @ Github

Existe la posibilidad de hacer un "ataque completo" pero no es viable sin muchos recursos porque serían en total algo cómo 17GB de diccionario a repasar.
Decir que hay otras cosas muy interesantes en PSKracker pero hoy nos limitaremos a hablar de los NETGEAR.
En el directorio dict/netgear tenemos a 5 listas de palabras:

dos diccionarios cortos para adjetivos y nombres de 1kb y pico cada uno
netgear.txt que es una combinación de los dos diccionarios cortos
dos diccionarios largos que pesan unos cienes de kb

La idea es intentarlo con la wordlist netgear.txt que da buenos resultados y no es muy larga de pasar.
Desde la wiki de PSKracker se da en ejemplo de uso una linea de ordenes con hashcat

hashcat -m 2500 NETGEARXX.hccapx -a 6 netgear.txt ?d?d?d

Material afectado

Según la wiki de PSKracker se trata de los routers con eSSID por defecto NETGEARXX (los X siendo números)

Sabemos que el WNDR3400 versión 2 y 3 están afectados. Son routers N 600Mbps
La versión 1 no lo está porque no tienen pass por defecto, vienen en open.
Notad que los WNDR3400 tienen el WPS en modo PIN habilitado por defecto y es muy fácil de identificar gracias a la opción -j de wash

Hay otros modelos afectados, iré añadiéndolos sobre la marcha.

Koala · 29-01-2018 14:01:01

Que bueno eso big_smile

Voy a hacer un regalo de netgear a mi vecino tongue

dymusya · 29-01-2018 14:56:52

adoroo este foro, vaya, siempre
algo nuevo...

crash · 29-01-2018 16:27:36

yo lo vi hace un par de dias en github, jejejejeje pero no lo he probado por que no tengo ningun netgearxx

d1k0w0ns · 30-01-2018 04:50:34

kcd la mac con la que haces la prueba en tu computer en teoria es vulnerable a pixiewps.

no he visto un NETGEARXX en mi patetica vida de que pais son?
el otro dia me encontre un script de redes de marruecos.

kcdtv · 30-01-2018 10:26:47

kcd la mac con la que haces la prueba en tu computer en teoria es vulnerable a pixiewps.

Es una mac que pertenece a netgear con varios modelos posible así que no puedes saber con este único parámetro si el PA es vulnerable a pixe dust.
En este caso el chipset es un Qualcom atehros y no es vulnerable a pixe dust (ningún atheros lo es) .

no he visto un NETGEARXX en mi patetica vida de que pais son?

Netgear es de EE.UU. pero los puedes encontrar por todas partes. Los cabrones están muy bien distribuidos... Este modelo en concreto ( WNDR3400 ) te lo venden en alcampo por ejemplo.
Un dato interesante: Netgear recomienda explícitamente utilizar la configuración por defecto con su llave WPA "de fabrica". . big_smile

Your router comes preset with WPA2 or WPA security. NETGEAR recommends using the default security that comes with your router, and that you do not disable security.

How do I change the WPA settings on my Nighthawk router?
Estos son unos dispositivos potencialmente vulnerables

R6000
WNDR3700
WNDR3800
WNDR4300 (differente del WNDR3400 que ya concoemos)
WNDR4500
R7000P
R8000P
R9000

Algunos de estos modelos son routers de ultima generación con un alto nivel de prestaciones.

Parece que está diciendo: Crack me please! big_smile
Habría que poder comprobar esto....

edit: Encontré datos de un R6200.
Los Netgear que empiezan por R son los "nighthawks", es decir: La alta gama de netgear. con soporte ac. Por ejemplo este es un "DualBand AC1200 Wireless Smart Gigabit Router"
Y tenemos....

1 adjetivo de 5 palabras (silly) - un nombre de 3 palabras (bug) y 3 números con dos números iguales puestos al lado.
si encontráis datos... Empiezo a creer que podríamos hacer un diccionario siguiendo estrictamente este patrón y que podría ser una arma letal contra estos dos modelos.

soxrok2212 · 31-01-2018 20:22:56

Hola, lo siento pero mi español es horrible... hace años...

Casi todos los modelos nuevos deben usar el diccionario. También existen modelos que usan el ESSID "NETGEAR", pero no vienen con contraseñas. Con esto decido, cada con dos numeros después de "NETGEAR"... cada "NETGEARXX" usa una contraseña con 1 adjectivo, un nombre, y UNO o TRÉS numeros. También, existen algunas palabras que todavía no hemos encontrado. Debes usar "combinator" de hashcat-utils con adjective_large.txt y noun_large.txt para hacer del diccionario largo (~17GB sin numeros). Necesitaría GPUs rápidos wink En los Estados Unidos, hay un ISP "Spectrum" que usa el diccionario y usan NETGEAR y Sagemcom.

Modelos:
WNDR3400v2/v3
WNDR3700v4/v5
WNDR4500v1/v2/v3
RXXXX (R6700, R7000, y más)
Más también.

Ultima edición por soxrok2212 (31-01-2018 21:01:28)

kcdtv · 01-02-2018 08:31:26

¡Hola amigo y bienvenido a wifi-libre! smile
Gracias por tus precisiones. Pensaba al inicio que este método valdría para unos pocos modelos pero veo que nos vale para modelos de la gama Nighthawks y esto mola... smile
Aprovecho la oportunidad para dar una sintaxis para pasar el diccionario netgear.txt con aircrack-ng en lugar de hascat.

for combo in $( cat netgear.txt) ; do for num1 in 0 1 2 3 4 5 6 7 8 9 ;  do for num2 in 0 1 2 3 4 5 6 7 8 9  ; do  for num3 in 0 1 2 3 4 5 6 7 8 9 ; do  echo "$combo$num1$num2$num3"; done; done; done; done | aircrack-ng -w- -e MieSSID mihandshake.cap

Poner el handshake y el diccionario en le mismo directorio y abrir una consola en este directorio.
No olvidarse de modificar el final del comando (la parte aircrack-ng después del pipe) poniendo su eSSID después -e y el nombre de su fichero de captura con el handshake.
En total son 24 948 000 millones de contraseñas.
Máximo 6 horas si la velocidad de crack es de 1000 llaves por segundos. No es mucho y vale la pena intentarlo.
No había visto estos hilos antes de redactar el tema, están relacionado con nuestro asunto:

NETGEARXX wordlist @ xiaopan
NETGEARXX Default WPA2 Crack @ kali

Betis-Jesus · 01-02-2018 17:12:11

yo todavía no es tenido nunca un NETGEAR y todos los que es tratado por mi zona de compañero solo veo router de movistar , orange y alguno vodafones pero ningun router de NETGEAR.

en modo en que ha enfocado la contraseña adjetivo+nombre+numero se ver muy bien la relación que tiene un patrón bien definido.
aunque para mi adjetivo+nombre son los mismo longitud de 8 caracteres que esta por determinar si en nombre llevara también numero.
este diccionario es fácil de implementar permite jugar con muchas combinaciones y tener diccionario tan grande o tan pequeño como se quiere en función de esa combinaciones.

haber si vuelvo a la andada y lleno el foro de programa de generadores de diccionario jiji.

d1k0w0ns · 03-02-2018 05:46:56

kcdtv escribió:

no he visto un NETGEARXX en mi patetica vida de que pais son?

Netgear es de EE.UU. pero los puedes encontrar por todas partes. Los cabrones están muy bien distribuidos... Este modelo en concreto ( WNDR3400 ) te lo venden en alcampo por ejemplo.

mas concretamente queria decir ISP no particulares xD
algo como los usan en francia orange o algo asi mas detectable.
ademas dije NETGEARXX no Netgear smile
si es que no me lees smile

kcdtv escribió:

Un dato interesante: Netgear recomienda explícitamente utilizar la configuración por defecto con su llave WPA "de fabrica". . .

bien hecho a ver si toman ejemplo otras compañias big_smile

kcdtv · 03-02-2018 07:19:24

mas concretamente queria decir ISP no particulares xD

Los NETGEARXX son PA más bien destinados al mercado de los particulares.
Por ejemplo; Un Netgear R7000 nuevo cuesta más de 150€. El más cutre, el WNDR3400, que no es de doble banda, está a 50€ o más. Todo con diseño bonito etc... A los ISP no les interesa distribuir este material.
Hace tiempo que no veo un PA de Netgear empleado por una tele-operadora. Desde los CG3100 de ONO que era un PA DOCSIS del montón.
Ahora NETGEAR se dedica más bien al "alta gama" y están en plan "duelo a muerto" con D-link para ser los primeros en sacar el router que tiene más antenas big_smile

d1k0w0ns · 03-02-2018 21:02:09

resumiendo que mejor me voy a buscar una aguja en un pajar xD
o al alcampo xD

soxrok2212 · 04-02-2018 20:50:11

kcdtv escribió:

mas concretamente queria decir ISP no particulares xD
...el WNDR3400, que no es de doble banda...

Tengo dos WNDR3400, son doble banda smile N600 (300 + 300).

Se usan NETGEAR en EE.UU en todos lados.

kcdtv · 05-02-2018 08:13:52

Muy cierto.... Ahora me recuerdo que tenía por los aires a una red NETGEAR80-5G también : El WNDR3400 que he visto emitía en ambas bandas. big_smile

calavazo32 · 20-08-2018 15:09:52

¿Y los últimos netgear de gama alta también generan la wpa de esta forma? Que los routers netgear sean los más potentes y tecnológicos y luego tengan una vulnerabilidad así es increíble

Tema	Respuestas	Vistas	Ultimo mensaje
Pegado: Pegado:: 3º Sorteo Del Mercadillo!! por josep345 [ 1 2 ]	31	829	Ayer 09:28:09 por Patcher
Cuatro brechas en Livebox Fibra (orange y jazztel) desveladas por kcdtv	5	4973	Ayer 07:37:05 por yojanon
Crackeando más de 3 millones contraseñas WPA por segundo... por kcdtv	1	3370	17-06-2019 20:34:42 por yojanon
Averiguar la localización de una IP en consola con geoiplookup por kcdtv	1	961	17-06-2019 20:30:23 por yojanon
Comprueba rápido si una de tus cuentas ha sido comprometida por kcdtv	1	749	17-06-2019 20:28:02 por yojanon

Foro Wifi-libre.com

Anuncio

#1 29-01-2018 13:46:19