Foro Wifi-libre.com

Crackeando la Livebox 2.1 de arcadyan technologies
       con el script Orange.sh de 1camaron1

La livebox 2.1 empezó a ser implementada en España por 2012.
  La empresa Orange decidí cambiar de industrial y contratar la firma arcadyan technologies para sacar su serie de livebox 2.1.  Pidió el modelo ARV7519RW22-A-LT.  Se entrega al cliente "remarcado"  con el nombre "Astoria Network". No se presisamente a que corresponde, parece ser una estructura que hace firmware de códigos libre... Astoria network - livebox 2.1
frimware de la livebox  2.1 (u-boot-1.1.5_Orange7519.zip)   
  Si son ellos (Astoria) quien se encargaron del algoritmo para  generar las llaves WPA por defecto, la sentencia es clara y contundente : La cagaron, y no poco.
  La livebox 2.1 es un Punto de Acceso b/g/n a 300Mbps gracias a su chipset MIMO 2T2R. Tiene 128MB de memoria RAM DDR2 así que un memoria Flash NOR de 32MB.   
  Es un modelo que se sigue implementando hoy (con la misma debilidad en la llave WPA por defecto).
  Sera probablemente reemplazada por la livebox 3.1 (de arcadyan también) que ya empieza a aparecer en nuestro paisaje wifi, sobre todo visible en banda "a"( son pocos aún los modelos  a utilizar estas frecuencia, los canales son bien despejados) 
  Con la livebox 3.1 la llave WPA por defecto parece más robusta.
  En todos casos hablamos de un modelo muy común hoy en día en los hogares españoles ya que es el único modelo que ha empleado orange (tercera operadora del país) durante varios años (y que les quedara unos cuantos aún por distribuir)
  Es un punto de acceso bastante correcto, más que esto, diría "bastante bueno";  pero con un alcance relativamente débil a mi gusto.
Esto es irremediable : Esta equipada de antenas internas, como todas las box.  El enfoque esta estúpidamente más puesto en el diseño que en el rendimiento WFi. Y tampoco el diseño es una maravilla : la livebox es muy voluminosa y algo cutre.
  Tiene un puerto USB ( bien ) y LAN Gigabit.
Solo le falta el PoE y conectores para antenas externas para ser un punto de acceso realmente chulo por ser distribuido por una tele-operadora. 
 
  Estos son recortes de fotos que había tomado para presentar un punto de acceso de entrada de gama con antenas externas y lo había comparado a una livebox 2.1
  Así que veis la livebox con cachos de otro router...

  No pongo más fotos; no hay nada mas parecido a una livebox 2.1 que una livebox 2.0 o una livebox 1.1.
  Un poco mas de información :
       Guía configuraciones avanzadas (orange)
       Nuevo router multimedia Livebox (revista de www.redeszone.net) 
       

Crackeando orange con 1camaron1

  Es después la resaca de fin de año  2012 que 1camaron1 lanzó Orange.sh ( heroicamente, a pesar de una tremenda resaca ).
Se notaba que "le tenía ganas" a la livebox que le había entregado recientemente su proveedor de acceso a la red.
Estos son los datos de su livebox:

• Orange-9C62

• Versión de Firmware:         00.95.005 (09.03.2012-18:10:13)

• Versión del Boot:               v0.70.01

• Versión del Módem ADSL:  5.4.1.10.1.1A

• Dirección MAC de LAN:      50:7E:5D:2F:9C:63

• Dirección MAC de WiFi:      50:7E:5D:2F:9C:64

• Dirección MAC de WAN:     50:7E:5D:2F:9C:62

• Versión de Hardware:        01

• Número de Serie:             J235012961

• Clave Wifi:                       56F6C7A5

• Model Name:                    ARV7519RW22-A-LT

• HW Version:                     R01

• WPS                                88401386

  La cosa es que la llave WPA por defecto es de solo 8 caracteres usando lo que parecía ser un juego de caracteres hexadecimal.
A demás de tener el WPS mode PIN habilitado por defecto
  Hay espacio para encontrar una brecha y esto motivó 1camaron1: Si se confirma que el juego de caracteres esta limitado a los símbolos del sistema  hexadecimal el brute force es posible.
 
  La primera versión del script orange.sh es una astuta combinación de 8 bucle "for" abiertos recursivamente para generar todas las contraseñas y con la posibilidad de crackear el handshake al vuelo mediante un pipe  con aircrack-ng.
  Cosa que se puede hacer con crunch u otro generador pero el interés era de aprender a hacer en algunas liñas algo nosotros mismos, sin necesidad de programas externos ni tener que guardar voluminosos diccionarios

#!/bin/bash
#
for A in 4 B C D E F 1 2 3 4 5 6 7 8 9 0                        
do
for B in 1 B C D E F 1 2 3 4 5 6 7 8 9 0
do
for C in 4 B C D E F 1 2 3 4 5 6 7 8 9 0
do
for D in 3 B C D E F 1 2 3 4 5 6 7 8 9 0
do
for E in 5 B C D E F 1 2 3 4 5 6 7 8 9 0
do
for F in A B C D E F 1 2 3 4 5 6 7 8 9 0
do
for G in A B C D E F 1 2 3 4 5 6 7 8 9 0
do
for H in A B C D E F 1 2 3 4 5 6 7 8 9 0
do
echo $A$B$C$D$E$F$G$H
done
done
done
done
done
done
done
done

8 caracteres hexadecimales son 16⁸ posibilidades, es decir 4 294 967 296 llaves.
4 294 967 296 son pocas llaves para una buena tarjeta vídeo que supera las 100.000 llaves y plega la historia en menos de doce horas
Pero para el duo-core de 1camaron1 o el mio ( 600 passphrase/segundos) es aún un poco "too much" : aproximadamente 80 días.

Primer descubrimiento (jaque) y primer  falso positivo (no es mate)

  Llegan las primeras llaves.
  Se confirma la limitación del juego de carecteres al sistema hexadecimal.
  ¡Hemos vencido! O digamos más bien que orange nos los regalo ... 
En todos casos 1camaron1 acababa de dar en el clavo con Orange.sh: como lo intuía las llaves eran hexadecimales y por lo tanto rompibles.   
  Teníamos tres o cuatro datos con varios inicio de bssid, los pass en hexadecimal rompibles en unos ochenta días con nuestros ordenadores (unas horas con GPU potente). La etapa siguiente era lógicamente democratizar el brute force de la livebox, que no sea solo el privilegio de la clase dominante.
  Había que reducir de la forma que sea el ataque...

  Como ya nos lo habían puesto muy facíl los de orange, nos pusimos a soñar cuando 8carlos8 (gracias a el por su colaboración) nos hizo llegar sus datos

Si os fijéis el inicio bssid es similar a la de la livebox de 1camaron1 y los dos pass WPA empiezan con 56.
Pensábamos que lo teníamos echo ya que con dos caracteres conocidos el brute force no era nada con 16⁶ posibilidades
Pero era lo que llaman un "falso positivo". Las probabilidades de tener dos datos que empiezan con 56 eran de 1 sobre 32. Y es lo que tocó, muy pronto llegaron otros datos con mismo inicio de bssid y la lave empezaba de forma totalmente distinta. 

Segundo descubrimiento : Jaque y mate

  80 días y pico de brute force es mucho tiempo : por ejemplo es el tiempo que se necesita para dar la vuelta al mundo en balón.
Desgraciadamente no dábamos con la forma de relacionar serial/bssid/essid con el pass o parte de el.
Creo que se usa un tipo de semilla para llegar al pass WPA.
Sea por la razón que sea, no hay relación aparente.
El sueño de poder reducir el ataque prediciendo parte del pass se aleja de forma ineluctable.

  Y es a este momento que 1camaron1 decid darle la vuelta a la tortill.
  Nuestras posibilidades son 16⁸ dónde ⁸ es el numero de caracteres desconocidos. Nos empeñamos a diminuir este numero para bajar las posibilidades... ¿Y si miramos lo que pasa con el 16 (que es el juego de caracteres, los 16 y símbolos de la base 16 )?
  ¡Bingo!
  1camaron1 se da cuenta de que unos caracteres nunca salen en los pass.
Tenemos ya una decena de datos lo que permite descartar unos falsos positivos groseros como el con el cual nos habíamos topado. 
Por una razón aún oscura, inexplicable, las llaves WPA de 8 dígitos son constituidos por un juego de once caracteres a dentro de la tabla hexadecimal.
  Se usan solamente
2 3 4 5 6 7 9 A C E F

  No se podía pedir más : tenemos 11⁸ posibilidades y es justo lo que hacía falta para poder cracker la livebox 2.1 con cualquier ordenador en unos tiempos aceptables

  Pasamos de  4 294 967 296 posibilidades a  214 358 881.
  De 80 días a  99 horas de crack con nuestros queridos duo core de la edad de piedra.
  Con la ayuda de Coeman76 y sus códigos mágicos Orange.sh ha ido evolucionando, incluyendo novedades y opciones de crack reducido con alta probabilidad de acierto gracias a la limitación de ocurrencias y repeticiones. Con un poco de suerte el promedio medio del ataque se encuentra considerablemente disminuido, casi de mitad (exagerando un poco).

Ver la vida en naranja con orange.sh

  Orange.sh esta publicado bajo licencia GNU Linux y es obra de 1camaron1; con colaboración para escritura del código de coeman76 de lampiweb, de antares_145 de crack-wifi.com y de yo mismo.
  Sin olvidar los créditos a todos los usuarios de lampiweb y más allá que aportaron datos, participaron en los hilos para reportar fallos, sugerencias etc..     
  Como lo indica su extensión *.sh orange.sh es un script en bash que se ejecuta en consola y viene empaquetado en formato *.zip.
  Una vez descargado (pongo los links en breve) lo descomprimimos. Hay que situarse en el directorio dónde tenemos el archivo descargado, por ejemplo :

cd /home/kcdtv/Descargas/

  Y usamos unzip + nombre archivo para descomprimir sencillamente el archivo

unzip Orange1.8-64.zip
Archive:  Orange1.8-64.zip
  inflating: Orange1.8-64/Orange.sh  
  inflating: Orange1.8-64/readme.sh  
  inflating: Orange1.8-64/orange     
  inflating: Orange1.8-64/LICENSE.txt  
  inflating: Orange1.8-64/speedtest.sh  

Se ha creado un directorio  Orange1.8-64 que contiene el script principal (orange.sh), una ayuda (readme.sh ), un generador escrito en C (orange), la licencia y speedtest.sh (un script para evaluar el tiempo de ataque con sus recursos)   
  hay que situarse en el directorio que contiene el script, el que acabamos de crear. Escribimos en la misma terminal

cd Orange1.8-64

  Y ahora para lanzar el script solo haría falta invocar bash + Orange.sh

bash Orange.sh 

  Pero antes de lanzar el script hay que poner el handsaheke de la red a auditar en la carpeta Orange1.8-64

  El script existe también en versión GUI y el funcionamiento es el mismo (situarse/descomprimir/situarse/lanzar el script con bash)
 

kcdtv@Z1Z1coincoin:~/Descargas/Orange1.8-64$ cd /home/kcdtv/Descargas/
kcdtv@Z1Z1coincoin:~/Descargas$ unzip /home/kcdtv/Descargas/GUI-Orange-64.zip
Archive:  /home/kcdtv/Descargas/GUI-Orange-64.zip
  inflating: GUI-Orange-64/readme.txt  
  inflating: GUI-Orange-64/orange    
  inflating: GUI-Orange-64/GUI-Orange.sh  
kcdtv@Z1Z1coincoin:~/Descargas$ cd GUI-Orange-64
kcdtv@Z1Z1coincoin:~/Descargas/GUI-Orange-64$ bash GUI-Orange.sh

  A continuación una captura de pantalla; a la izquierda el script y a la derecha la GUI.

Y los links de descargas

• Orange 1.8 -  32 bits

• Orange 1.8 - 64 bits

• GUI orange - 32 bits

• GUI orange - 64 bits

• Orange Tree - 32 bits

• Orange tree - 64 bits

Más detalles en el hilo Script diccionario para Orange-XXXXde lampiweb (les advierto de que el sitio  requiere registro para ver la totalidad de los temas y pide que se desactive adblock, de todo modo el readdme y la ayuda en consola deberían sobra para resolver vuestras tras dudas y tenéis a este hilo para hacer preguntas )

Los retos que quedan

  Aunque el ataque WPA es viable puede ser largo según el tipo de material y cualquier recorte sería bienvenido. La meta última sería llegar a encontrar el algoritmo de generación de la lave WPA.
Unas pistas a explorar :
  - Desasemblar y analizar el firmware publicado por "Astoria Network". (frimware de la livebox  2.1 (u-boot-1.1.5_Orange7519.zip))
  - Buscar en los archivos de patentes. Puede sonar absurdo pero es así que wottan encontró el algoritmo de generación de la llave WPA de las Easy box de arcadyan.
  - Examinar datos y jugar con ellos.
Los datos de mi livebox son estos :
+  eSSID:                                          Orange-7307   (con "O" mayúscula en "Orange" )
+  bSSID:                                          1C:C6:3C:90:73:07                                           
+  Serial Number                              J223155543                                                       
+  WPA passphrase                           EAA6A922                                                                 
+  Model name of manufacturer         ARV7519RW22-A-LT                                           
+  HW version                                    R01                                                                 
+  FW vwrsion                                    V00.95.005                                                                   

En la revista de redeszones citada en inicio vemos perfectamente los datos en la foto de la pegatina
 
Si tienes unos datos y quieres participar los puedes colocar aquí para estudios.

  El WPS esta activado por defecto. Pero el brute force WPS contra este PA es muy, muy tedioso.
No es tanto porque el router esta configurado con el "AP rate limit" (bloqueo del WPS para x tiempo después unos cuantos intentos fallidos ) pero porque el WPS esta implementado como el culo y es muy difícil mandar y recibir correctamente los mensajes "M". A veces los errores de programación sirven de algo...
No obstante es posible con un poco de tacto en nuestra liña de comando reaver comprobar un PIN y obtener la llave WPA.

  edit
  Con las ultimas versiones del firmware se nota una franca mejora del WPS.
El ataque con reaver se hace bien, los PINes se procesan correctamente.
   Para no "despertar" el bloqueo del WPS se debe simplemente mandar un PIN cada 30 segundos.
  Por lo tanto debemos añadir -d 30 (delay 30 segundos) a nuestra linea de ordenes reaver.

sudo reaver -i <interfaz> -b <bSSID> -d 30 -vv

  El tiempo máximo del ataque con estos parámetros supera los tres días.
  Si no usamos el delay el bloqueo es de 20 minutos y el tiempo máximo del ataque sería cerca de una semana
   
   La cosa para mejorar todo esto sería entonces seguir los pasos de  Stefan Viehböck sobre la easybox de arcadyan (Vodafone EasyBox Default WPS PIN Algorithm Weakness) encontrando la forma de generar el PIN por defecto de la livebox 2.1 española.