Fulldisclosure WPA TRENDnet (Pagina 1) / Estudio de algoritmos y búsqueda de la nueva brecha / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 05-08-2015 00:35:52

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,058

Fulldisclosure WPA TRENDnet

Fulldisclosure WPA TRENDnet : Una exclusividad WiFi-libre

tdnet1.jpg

  Ya conocéis a TRENDnet gracias al hilo Algoritmo PIN TEW-818DRU (ac1900) y TEW-828DRU (ac3200) de TRENDnet
  Por los que no han leído este tema : TRENDnet es un fabricante californiano de dispositivos de redes (switches, cameras, routers etc...)
  Gracias a una gama de productos muy completa y competitiva se ha transformado en una multinacional con fuerte crecimiento y se ha convertido en unos de los lideres norte-americano en este mercado
  TRENDnet destaca por su oferta amplia en modelos wifi de "alta velocidad" de doble y triple banda "a/c + b/g/n"

En este tema voy a desvelar como generar la lave WPA por defecto de los routers TRENDnet.
Me focalizaré (como en el tema sobre TRENDnet WPS) en los dos últimos modelos ya que son los mas chulos y los mas "potentes" (y hay que mirrar por adelante y no por atrás)
Como veréis el sistema es sencillo y se puede aplicar a los modelos mas viejos.
  Haré estos días una nueva versión de tdn.sh que unificará las brechas WPS y WPA y tendrá soporte para más modelos

  Pero lo primero es lo primero y es dar los detalles sobre este "algoritmo" muy malo.
Llamar lo "algoritmo" es casi pecado pero no pasa nada si eres agnóstico o ateo, es la ventaja, no tienes regalos de comuniones pero puedes pecar.
 
 
Veamos esto con unos primeros datos :

tdnet2.jpg

Cadena fija previsible en la contraseña (primera mitad)

La primera cosa que salta a la vista es que el inicio del pass WPA es simplemente el modelo.
Sabemos de inmediato los tres primeros dígitos de la contraseña WPA por defecto.
Tenemos a este momento un pass tipo 818XYYXXXXX   
Dónde los X son números y los Y son letras.
Ya la han cagado bastante porque tenemos  :

26² (2 letras mayúsculas)  x  10⁶ (6 números) = 676 000 000 llaves posibles

Representaría más o menos una semana de brute force con una velocidad de 1000 llaves/segundos (nos es mucho)
Con una tarjeta potente vídeo potente que supera las 100 000 llaves/segundos hablamos de una hora de brute force

pass wpa = modelo + final serial

Si nos fijamos en la segunda parte del pass WPA vemos también de inmediato que el final de la contraseña es igual al final del numero de serie. Sin adelantar nos demasiado podemos suponer que las letras "RG" no cambian y esto nos deja con un brute force sobre 6 números
Hablamos por lo tanto de 10⁶ posibilidades, es decir 1 000 000 llaves posible (un millón de llaves)
Al alcance de cualquier duo-core con sus 600/llaves segundos ( menos de media hora de brute force )
¡Jaque!

segunda captura:

tdnet3.jpg

Es un poco borrosa, se siente, los datos vienen de este vidéo :

He tenido suerte ya que los dos routers son unidades "muy cercanas" y permiten confirmar que el serial (y por lo tanto el final del pass WPA) va incrementando de uno en uno (era previsible pero es bueno confirmarlo) 
  Podemos constatar que la atribución de las MAC se hace siguiendo este patrón: 

  • bssid 2.4 Ghz = mac LAN + 1

  • bssid 5 Ghz = mac LAN +5 = bssid 2.4 Ghz + 4

  Con lo cual deducimos que cada router tiene "reservado"por lo menos un rango de 6 direcciones mac.
  Así que tenemos a cada nueva unidad un crecimiento de uno en uno (en base decimal) del numeró de serie por un lado y por otro lada un crecimiento de 6 en 6 (en base hexadecimal) de las macs.
Podriamos incluso relacionar el bssid con el numero de serie del router y dar su llave WPA por defecto, es cuestión de tener un par de datos smile
   por ejemplo tenemos aquí a este routeur:

  • bssid 2.4 Ghz = D8:EB:97:AD:EC:5D / serial-final pass = 00428 - ver photo review

Faltaría ahora tener unos datos completos más para sentenciar del todo (bssid + serial) y dar la lave WPA exacta por lo menos con 999999 modelos potenciales,
Datos que tenía guardados  pero que no vuelvo a encontrar tongue
Mañana será otro día...

Un sistema de cifrado que se extiende a toda la gama, por ejemplo el modelo ac1750 tiene su llave WPA por defecto así :
8.jpg
Vemos la raíz en inicio y dos letras como s caracteres fijos y podemos hacer un brute force sobre los 6 números
Añadir que el essid por defecto nos devuelve el modelo y no he podido mirar en unos probes.
A lo mejor dan el modelo y serial big_smile

Para tener una idea de las raíces comunes de cada modelo solo tenemos que ir a la pagina de los emuladores y hacer click en "mostrar la llave WPA" 

tdnet5.jpg

Tendríamos que crear un diccionario con brute force de números dónde hay los 6 ceros y dejar lo demás fijo
Para generar tal diccionario con crunch lo haríamos así :

crunch 11 11 -t 818%RG%%%%%

Hablamos de solo 11 megabytes de diccionario, un crack factible con un Pentium 2 big_smile

Iré puliendo este tema,
Si encuentras datos completos en youtube, amazon etc... por favor colocas aquí en un post para que vayamos afinando esto
   ¡Buenas noches!

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 05-08-2015 02:05:44

dynyly
Usuario

Registrado: 19-04-2015
Mensajes: 205

Re: Fulldisclosure WPA TRENDnet

gracias
tongue:P:
por seguir enseñando tutos

Desconectado

#3 05-08-2015 09:51:37

Betis-Jesus
Very Important Usuario

Registrado: 29-03-2015
Mensajes: 185
Página Web

Re: Fulldisclosure WPA TRENDnet

como siempre un tutoría impecable bien redactado, tiene madera de escrito.

creo que esto los hablarte ya en su momento, o yo me estoy liando ya con tanto algoritmo similares son tanto los que ya hay que abra que hacer una herramienta a modo de memoria de recordatorio de todos los algoritmo que ya conocemos para tenerlo a modo de consulta a mi alguno de los algoritmo se me esta olvidado

Desconectado

#4 05-08-2015 13:21:13

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,058

Re: Fulldisclosure WPA TRENDnet

Betis escribió:

creo que esto los hablarte ya en su momento,

Buenas Betis
Si; lo he comentado por privado en su tiempo; hace unos meses atrás. wink

Betis escribió:

abra que hacer una herramienta a modo de memoria de recordatorio de todos los algoritmo que ya conocemos para tenerlo a modo de consulta

Es unas muy buena idea.
Vendría bien algo sencillo de código abierto para tener lo todo bajo mano
Una una buena noticia : he encontrado otros datos de un tew818dru aquí

tnet6.jpg

lo que nos da :
  8182RG01215  =   D8:EB:97:AF:41:34 
  8184RG00428  =   D8:EB:97:AD:EC:50
Mala noticia :
  No hay una relación directa simple entre MAC y numero de serie.

Si te gustan las enigmas y los juegos pues aquí tienes uno para divertirte, big_smile

Desconectado

#5 14-08-2015 18:37:34

Betis-Jesus
Very Important Usuario

Registrado: 29-03-2015
Mensajes: 185
Página Web

Re: Fulldisclosure WPA TRENDnet

pero esto ya los hablemos en su momento en el grupo de trabajo donde estábamos, y que dimo como genera la clave de mismo, aunque no se llego a crear una herramienta para este router por todos el lio y que a final no se le presto la atención debida para genera la herramienta.

Desconectado

#6 31-08-2015 16:49:26

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,058

Re: Fulldisclosure WPA TRENDnet

Esto era uno de mis trabajos "en corso" que no quería publicar a este momento.
En parte por lo de que hablas pero también porque me faltaban muchos datos aún y solo tenía al TEW-818DRU (el del algoritmo  PIN TRENDnet) listo.
Y no tenía duda en que me iba a encuentrar cosas similares en los otros modelos que, excepto el 828DRU,  son mas viejos.

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Temas similares

Tema Respuestas Vistas Ultimo mensaje
11 90 Hoy 15:55:34 por kcdtv
Pegado:
Pegado:: Belgrano Windalo por Patcher
3 64 Hoy 15:32:01 por kcdtv
11 179 Hoy 00:44:17 por Patcher
Hola! por Ike
3 34 Ayer 22:36:24 por Flashed
0 16 Ayer 19:25:20 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: Ike
Usuarios registrados conectados: 0
Invitados conectados: 8

Estadisticas de los foros

Número total de usuarios registrados: 356
Número total de temas: 618
Número total de mensajes: 4,237

Máx. usuarios conectados: 45 el 12-04-2016 12:02:20