Como se genera la contraseña WPA de los ARRIS DG860A

kcdtv · 31-08-2015 19:05:37

Como se genera la llave WPA por defecto de los ARRIS DG860A

El Arris DG860A es un viejo conocidos de los aficionados al crack WiFi ya que su algoritmo PIN fue encontrado por Justin OBERDORF y desvelado en este tema:

ARRIS DG860A WPS PIN Generator (@ Packet Storm)

Hoy podemos leer en el foro aircrack-ng una respuesta en un hilo que contiene una información muy interesante:

Hosehead1 escribió:

Hello nooby22, I feel your pain! lol
I saw an access point named something like:
DG860AB1
I found that the default password was like this:
DG860A1CAAB1
In such cases you can make a small wordlist containing all the default passwords for routers starting with DB860A with "Cripple-Master". It also works on more than just the ARRIS model mentioned above! Check it out:
github.com/GuerrillaWarfare/Crippled

ver : WPA Wordlists - any suggestions (respuesta 2)

WoW, cool
Esto tiene muy buena pinta así que he buscado un poco en la red y encontré esta etiqueta con datos bien visibles:

Desgraciadamente no tengo el bSSID pero vemos claramente que hay un patrón muy sencillo con una estructura de lave que no es sin recordar las de los routers TRENDnet (Fulldisclosure WPA TRENDnet)
La primera mitad de la llave WPA es simplemente el nombre del modelo (y sale en el eSSID por defecto big_smile ).
Así que las contraseñas por defecto de un Arris tienen todas esta estructura :

DG860AXXXXXX

Dónde las X son caracteres hexadecimales mayúsculas (16 posibilidades)
Tenemos por lo tanto 6 desconocidas con un juego de caracteres de 16 símbolos.
Lo que nos da 16⁶ combinaciones posibles = brute force completo con 16 777 216 contraseñas
Un brute force de un poco más de 7 horas y media con una CPU básica como la mía (600 keys/segundos)
Un i7 con sus 5000 key/segundos acaba con esta tarea en menos de una hora...

Y esto no es todo : Podemos ver claramente que el final del pass es igual al final de del ESSID por defecto.
Si el essid por defecto esta en uso tendríamos un brute force sobre 4 caracteres.

DG860AXXXXEE

Dónde los X son desconocidas y los E son los dos últimos dígitos del eSSID en su orden.
Si conocemos el eSSID por defecto solo tendríamos que probar 65 536 contraseñas. big_smile
Un poco mas de un minuto con mi computadora de poco recursos, un poco mas de 10 segundos con un i7.

Y podemos imaginar/temer que arris haya hecho lo que realmente sería uno de los peores algoritmos de la historia: Que nuestras 6 desconocidas son simplemente... el final del bSSID.
Muchos modelos de routers hacen su eSSID por defecto con el final del bSSID.
O con el final de una mac del router que podemos adivinar haciendo "bSSID + 1" o "bSSID + 2".
En este caso se podría generar la contraseña por defecto con un simple scan wireless.

Si encuentras unos datos de este router pon los aquí wink

¡Hasta pronto!

--------------------------------------------- edit ------------------------------------

Una foto más, es borrosa pero se ve que se sigue el patrón : DG860A - 4 desconocidas - Dos últimos dígitos del eSSID

Me iba a olvidar de lo más importante :

¡Thank You Hosehead1!

Betis-Jesus · 31-08-2015 19:29:31

se esta descubriendo mas vulnerabilidad sobre esto route de arris entre ello el route TG862 y el ZTE ZXHN H108N aunque este ultimo es conocido pero el TG862 es muy nuevo wps-bj soporte esto dos router que devuelve la clave por defecto haber si tengo y puedo explica el algoritmo de TG862 ya que el de ZTE ZXHN H108N es conocido y es sencillo aunque no es comun en españa en realidad son router amper solo que cambiado el fimwares de mismo

kcdtv · 31-08-2015 19:37:44

Aquí en Barcelona el ZTE ZXHN H108N esta bastante empleado por jazztell
Tenían durante un tiempo el WPS activado con PIN 12345670 y el acceso a la pagina de configuración no era protegido por credenciales... Esto era una masacre. big_smile
Han deshabilitado el WPS con una actualización hace mas de un año atràs.
Por lo que es de la llave WPA por defecto de este modelo ZTE esta cambiada por una que pone jazztell, muy difícil de petar ya que mezcla mayúsculas, minúsculas y números.

Betis-Jesus · 01-09-2015 11:52:22

yo implemente el algoritmo anterior de ZTE ZXHN H108N, entonces por los que tu me dice ya no sirve por la nueva actualización de frmwares

kcdtv · 01-09-2015 12:35:00

No sirve para los puestos en servicio por jazztell.
Pero será útil para los que no son "retocados" por jazztell.
He podido constatar que es un modelo muy empleado en Grecia por una tele-operadora y me parece que no "retocaban" la llave por defecto generada por el fabricante
Espero leer pronto una presentación en tu web big_smile

Betis-Jesus · 02-10-2015 20:18:06

no te preocupe que cualquier cosa que publique o descubra tendra aqui la excusiva

es estado un poco ausente, conectándome poco en internet, es estado un poco chungo de salud, un poco tambien quemado, sera que me estoy haciendo viejo y ya no rindo como ante. pero bueno ya voy yendo a la normalidad o eso espero y estare dando guerra mientra pueda.

kcdtv · 04-10-2015 20:18:00

Recuperate bien smile
Pues, hablando de guerra, necesitaría que me heches una mano en C para esta historia : leer un texto, pasar cada linea a SHA-1 y comprobar ocurrencias
bash con mi ordenador de poco recursos tarda demasiado y necesito algo de velocidad para generar SHA-1 en masa.

Betis-Jesus · 26-02-2016 23:08:45

es estado un rato en tu web y leyendo por aqui y por alla tambien es leido el tema que me comenta de sha-1 no ser si los a solucionado mañana te responde a tema. debo de decirte que va por buen camino pues casi todos los que a echo en python es facilemente convertible en C

kcdtv · 27-02-2016 00:06:52

Siiiiiiiiiiiiiiii mas velocidad con C. smile

Betis-Jesus · 27-02-2016 13:01:00

vale esta tardes si puedo me paso por aqui y te comento. porque es seguro que tenga visita ya saber familiar a pasar el fin de semana en casa.

martim · 11-12-2018 10:43:08

Buenas,si sabe algo de router Arris fibra con la mac 2C:A1:7D?Saludos

kcdtv · 11-12-2018 15:14:39

Aquí no funcionamos así. smile El tema es para hablar del "algoritmo" (más bien un chiste que un algoritmo) para este modelo concreto. No desvíes los hilos. wink
Si quieres abrir un tema nuevo para lanzar una investigación lo mínimo es venir con algo de datos concretos. No sabemos ni siquiera de que modelo hablas... Lo único que sabemos es que no es un DG860A, así que tu pregunta es de lo más offtopic.

Tema	Respuestas	Vistas	Ultimo mensaje
¡Vienen grandes cambios! por Takomou	2	167	Hoy 15:25:52 por Patcher
Pegado: Pegado:: Wireless Air Cut, auditoria del protocolo wps en Windows por Patcher [ 1 2 3 … 21 ]	521	339990	10-05-2023 18:24:28 por Betis-Jesus
Hospital clinic dump por wifiyeah [ 1 2 ]	27	1242	09-05-2023 21:32:44 por kcdtv
Hacktivismo por CHARGER22	1	205	08-05-2023 19:53:26 por kcdtv
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	447	66090	22-04-2023 15:31:13 por kcdtv

Foro Wifi-libre.com

#1 31-08-2015 19:05:37