Foro Wifi-libre.com

Estudiando el algoritmo de los dispositivos con chipset realtek vinculados con el "rtl189x project"   

    Los dispositivos estudiados son estos routers que llevan un chipset wifi realteck de la serie rtl819x.
Como hemos visto en este tema ( Backdoor permanente presente en millones de routers con chip Realtek); estos puntos de acceso tienen una puerta trasera chunga porque inamovible y activada en permanencia.
  Y en este otro tema (Binwalk : extrae en unos segundos el firmware de su router) hemos visto como gracias a binwalk podíamos extraer muy rápidamente el firmware de uno de estos routers : el Alfa Network AIP-W525H con su chipset rtl1892)

Primeras pistas en el script "startup.sh" del directorio bin

  Si miramos el firmware en detalles; podemos ver la estructura del sistema de fichero en la carpeta descomprimida

/squashfs-root/

  La carpeta squashfs-root corresponde a la raíz del sistema
  Y gracias a binwalk podemos ver todo el contenido de la carpeta bin que se compone de binarios fundamentales que encontramos en nuestras distribuciones GNU-Linux y de unos cuantos scripts sistema (con extensión *.sh)

Uno de estos script se llama "startup.sh" y como su nombre lo indica, tiene vocación a ejecutarse a cada arranque, reinicio, update, reset....

#!/bin/sh
#
# script file to startup
TOOL=flash
GETMIB="$TOOL get"
LOADDEF="$TOOL default"
LOADDEFSW="$TOOL default-sw"
LOADDS="$TOOL reset"
# See if flash data is valid
$TOOL test-hwconf
if [ $? != 0 ]; then
	echo 'HW configuration invalid, reset default!'
	$LOADDEF
fi

$TOOL test-dsconf
if [ $? != 0 ]; then
	echo 'Default configuration invalid, reset default!'
	$LOADDEFSW
fi

$TOOL test-csconf
if [ $? != 0 ]; then
	echo 'Current configuration invalid, reset to default configuration!'
	$LOADDS
fi

# voip flash check
if [ "$VOIP_SUPPORT" != "" ]; then
$TOOL voip check
fi

if [ ! -e "$SET_TIME" ]; then
	flash settime
fi

# Generate WPS PIN number
eval `$GETMIB HW_WSC_PIN`
if [ "$HW_WSC_PIN" = "" ]; then
	$TOOL gen-pin
fi

Vemos en las primeras liñas que el script esta efectivamente destinado a ejecutarse cuando se inicia el router.
Y lo más llamativo es esta condición de control en final de script :
Se declara justo después de que se define el tiempo
¿Tendremos una relación entre el tiempo y el PIN?
analizamos-la

Condición de control que genera el PIN por defecto

eval `$GETMIB HW_WSC_PIN`

eval es un comando que sirve para "evaluar una variable una ultima vez antes de usarla". Nos sirve también para declarar variables que son el resultado de comandos con indices, espacios...
Aqui nos sirve para unir y comprobar el valor de "GETMIB" adjuntado a "HW_WSC_PIN"
Si miramos las variables "constantes" declaradas en inicio de script tenemos a

TOOL=flash
GETMIB="$TOOL get"

Lo que hace que nuestra variable evaluada es el resultado de "flash get HW_WSC_PIN"
Volvemos a ello en unos segundos

  Ahora llegamos a una condición if-then-fi (ver capitulo 1 "Condición univoca "if - then - fi"" de Introducción a bash -paso4- Condiciones "if-elif-else-fi")
  Y vemos que se "activa" si el valor de HW_WSC_PIN es nulo (ver capitulo 2 "Redactar nuestra condición con operadores" de Introducción a bash -paso4- Condiciones "if-elif-else-fi") 
  Dicho de otra forma esta condición va a generar el PIN por defecto si este no existe, si  el valor de HW_WSC_PIN es "vacío", nulo.
  Para generar el PIN se requiere a un generador, "gen-pin" en nuestra orden "$TOOL gen-pin". $TOLL es "flash" (primera variable); entonces el PIN por defecto se genera así   

flash gen-pin

entonces debemos enterrarnos de lo que son

1. flash

2. gen-pin

Siempre es bueno poder contar con la ayuda de "someone else"

someone_esle es un usuario del foro kali que ha leido mi post y ha gentilmente encontrado y desensamblado la función gen-pin para ayudar.
Nos explica que para llegar a desensamblar enteramente le firmware (cosa que no había conseguido)  ha usado primero " fmk" para descomprimir lo y luego "idapro" para comprobar los ficheros así obtenidos
en wscd ha encontrado una función que corresponde a nuestro "pin-gen"

WPS Pixie Dust Attack (Offline WPS Attack)

No estoy familiarizado con MIPS pero vemos claramente un proceso que empieza por :  "la      $t9, gettimeofday" (se obtiene el tiempo y es el del primer "build")
  Luego vemos que se "randomiza" la cadena (se cambian dígitos siguiendo un patrón) : "la      $t9, srand "
Y por fin tenemos a lo que corresponde a un "printf" del PIN                                        :  " addiu   $a0, (aPinS - 0x440000)  # "PIN: %s\n""
Queda mucho por entender y averiguar pero tenemos aquí bajo los ojos una forma de generar el PIN por defecto mediante el uso de get-pin

Más elementos  gracias reversetheg@p

  A este momento sale de la nada un nuevo usuario en el foro kali, reversetheg@p.
Ha estudiado muy en detalle el primer firmware del AIPW-525H y ha averiguado muchísimas cosas.
Gran trabajo

  Primero: Empieza muy fuerte dándonos los credenciales para acceso telnet.  Si mireís en este tema : Hydra y Hydra-GTK : las potentes herramientas de código libre para ataques de contraseñas con conexión uso el AIPH-525W para mis pruebas y constato que el router tiene además de una puerta trasera el telnet habilitado :

 nmap 192.168.7.1

Starting Nmap 6.47 ( http://nmap.org ) at 2015-02-18 00:13 CET
Nmap scan report for 192.168.7.1
Host is up (0.041s latency).
Not shown: 997 closed ports
PORT   STATE SERVICE
23/tcp open  telnet
53/tcp open  domain
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 0.76 seconds

Extrañamente no se puede configurar, habilitar o lo quie sea en la interfaz de configuración. Simplemente no existe según la interfaz.
En fin, no se como lo ha hecho pero  reversetheg@p ha encontrado los credenciales :

acceso telnet asegurado con root:5up

La consola nos abre perspectivas nuevas. Podríamos por ejemplo cambiar este PIN permanente:

PIN que no podemos cambiar desde la interfaz web... o esto parecía hasta que reversetheg@p nos desvele el segundo notición del día:

Existencia de una pagina de configuración "secreta" en la interfaz web a esta dirrección http://192.168.2.1/syscmd.asp

Con mi versión de firmware (la ultima) no he tenido suerte y es probablemente un bug que han arreglados los de alfa. ( si mo equivoco la 2.a1 que ha estudiadoes de 2012-2013 y uso la 2.5 que es la ultima)

El comando wsc y flash

Y reversethjeg@p sigue dándonos información nueva detallando los procesos posibles para generar un PIN:

Podemos usar wsc de varios modos para configurar-genrar un PIN
( por ejmplo con wsc gen-pin genramos un pin "aleatorio" )
Podemos usar wsc para configurar de forma normal.
O podemos usar flash (la que se usa en el script startup.sh ... )

la diferencia entre flash y wsc es la siguiente
Flash es similar a nvram;  esto hace que lo que hacemos con flash se va guardar reboots tràs reboots
flash nos permite configurar a un nivel más profundo que con wsc

reversetheg@p nos da unos ejemplos concretos:

// get WPS pin
# flash get wlan0 HW_WSC_PIN
HW_WSC_PIN="77756886"

// generate a "random" WPS pin
# flash -gen-pin

// save a new pin manually for instance 88884444 (reboot afterwards to take effect)
# flash set wlan0 HW_WSC_PIN 88884444

// change mac address permanently on wlan0
# flash set wlan0 HW_WLAN_ADDR 00c0ca1c2014

// change mac address temporarily (untill reboot) on wlan0 (to take effect do >> ifconfig wlan0 down && ifconfig wlan0 up)
# ifconfig wlan0 hw ether 00c0ca111111

Con

flash get wlan0 HW_WSC_PIN

sabemos cual es el PIN en uso :
y podemos hacer mucho más cosas como veís en los ejemplos.
de paso podemos ver con

flash allhw

nuestro PIN :

HW_WLAN0_WSC_PIN="07760891"

Queda por entender del todo el "pingen" y las llamadas a funciones exteriores.

más en el próximo episodio