Foro Wifi-libre.com

Fulldisclosure WPA TRENDnet : Una exclusividad WiFi-libre

  Ya conocéis a TRENDnet gracias al hilo Algoritmo PIN TEW-818DRU (ac1900) y TEW-828DRU (ac3200) de TRENDnet
  Por los que no han leído este tema : TRENDnet es un fabricante californiano de dispositivos de redes (switches, cameras, routers etc...)
  Gracias a una gama de productos muy completa y competitiva se ha transformado en una multinacional con fuerte crecimiento y se ha convertido en unos de los lideres norte-americano en este mercado
  TRENDnet destaca por su oferta amplia en modelos wifi de "alta velocidad" de doble y triple banda "a/c + b/g/n"

En este tema voy a desvelar como generar la lave WPA por defecto de los routers TRENDnet.
Me focalizaré (como en el tema sobre TRENDnet WPS) en los dos últimos modelos ya que son los mas chulos y los mas "potentes" (y hay que mirrar por adelante y no por atrás)
Como veréis el sistema es sencillo y se puede aplicar a los modelos mas viejos.
  Haré estos días una nueva versión de tdn.sh que unificará las brechas WPS y WPA y tendrá soporte para más modelos

  Pero lo primero es lo primero y es dar los detalles sobre este "algoritmo" muy malo.
Llamar lo "algoritmo" es casi pecado pero no pasa nada si eres agnóstico o ateo, es la ventaja, no tienes regalos de comuniones pero puedes pecar.
 
 
Veamos esto con unos primeros datos :

Cadena fija previsible en la contraseña (primera mitad)

La primera cosa que salta a la vista es que el inicio del pass WPA es simplemente el modelo.
Sabemos de inmediato los tres primeros dígitos de la contraseña WPA por defecto.
Tenemos a este momento un pass tipo 818XYYXXXXX   
Dónde los X son números y los Y son letras.
Ya la han cagado bastante porque tenemos  :

26² (2 letras mayúsculas)  x  10⁶ (6 números) = 676 000 000 llaves posibles

Representaría más o menos una semana de brute force con una velocidad de 1000 llaves/segundos (nos es mucho)
Con una tarjeta potente vídeo potente que supera las 100 000 llaves/segundos hablamos de una hora de brute force

pass wpa = modelo + final serial

Si nos fijamos en la segunda parte del pass WPA vemos también de inmediato que el final de la contraseña es igual al final del numero de serie. Sin adelantar nos demasiado podemos suponer que las letras "RG" no cambian y esto nos deja con un brute force sobre 6 números
Hablamos por lo tanto de 10⁶ posibilidades, es decir 1 000 000 llaves posible (un millón de llaves)
Al alcance de cualquier duo-core con sus 600/llaves segundos ( menos de media hora de brute force )
¡Jaque!

segunda captura:

Es un poco borrosa, se siente, los datos vienen de este vidéo :

He tenido suerte ya que los dos routers son unidades "muy cercanas" y permiten confirmar que el serial (y por lo tanto el final del pass WPA) va incrementando de uno en uno (era previsible pero es bueno confirmarlo) 
  Podemos constatar que la atribución de las MAC se hace siguiendo este patrón: 

• bssid 2.4 Ghz = mac LAN + 1

• bssid 5 Ghz = mac LAN +5 = bssid 2.4 Ghz + 4

  Con lo cual deducimos que cada router tiene "reservado"por lo menos un rango de 6 direcciones mac.
  Así que tenemos a cada nueva unidad un crecimiento de uno en uno (en base decimal) del numeró de serie por un lado y por otro lada un crecimiento de 6 en 6 (en base hexadecimal) de las macs.
Podriamos incluso relacionar el bssid con el numero de serie del router y dar su llave WPA por defecto, es cuestión de tener un par de datos
   por ejemplo tenemos aquí a este routeur:

• bssid 2.4 Ghz = D8:EB:97:AD:EC:5D / serial-final pass = 00428 - ver photo review

Faltaría ahora tener unos datos completos más para sentenciar del todo (bssid + serial) y dar la lave WPA exacta por lo menos con 999999 modelos potenciales,
Datos que tenía guardados  pero que no vuelvo a encontrar
Mañana será otro día...

Un sistema de cifrado que se extiende a toda la gama, por ejemplo el modelo ac1750 tiene su llave WPA por defecto así :

Vemos la raíz en inicio y dos letras como s caracteres fijos y podemos hacer un brute force sobre los 6 números
Añadir que el essid por defecto nos devuelve el modelo y no he podido mirar en unos probes.
A lo mejor dan el modelo y serial

Para tener una idea de las raíces comunes de cada modelo solo tenemos que ir a la pagina de los emuladores y hacer click en "mostrar la llave WPA" 

Tendríamos que crear un diccionario con brute force de números dónde hay los 6 ceros y dejar lo demás fijo
Para generar tal diccionario con crunch lo haríamos así :

crunch 11 11 -t 818%RG%%%%%

Hablamos de solo 11 megabytes de diccionario, un crack factible con un Pentium 2

Iré puliendo este tema,
Si encuentras datos completos en youtube, amazon etc... por favor colocas aquí en un post para que vayamos afinando esto
   ¡Buenas noches!