Foro Wifi-libre.com

Crippled : Un generador que permite recuperar la llave WPA de varios routers de marca Arris (+ Motorola) Belkin y Ubee

Antes de todos un saludo a Hosehead1 del foro aircrack-ng. Sin el no les podría hablar de crippled: la rama github que le contiene fue borrada.
Por suerte Hosehead1 había hecho un clon entero de la rama y lo ha colocado en el foro aircrack-ng:

• Respuesta #6 "WPA Wordlists - any suggestions" @ forum aircrack-ng

Crippled es un script en python que usa dos brechas:

1. Una genrador para routers Belkin que explota lo desvelado por Numlock. Para mas detalles leer : Como se genera la llave WPA por defecto de numerosos modelos Belkin

2. Una debilidad en el "nivel de entropia" en el password por defecto de routers Arris y Ubee de la cuál hablamos aquí : Como se genera la llave WPA por defecto de los ARRIS DG860A

  Como comenté la rama GitHub que pertenecía a "GuerrillaWarfare" esta borrada y la herramienta abandonada.
No es un gran problema porque unas simples lineas con crunch nos permiten hacer lo mismo

  No voy a volver sobre el generador para routers belkin, mirrar el link puesto mas arriba, punto 1, para los detalles sobre la brecha.
También podéis echarlo un ojo a este generador en bash : blk.sh : Generador de llaves por defecto de los routers Belkin

Veamos mas de cerca lo que nos propone criplled para los routers Arris y Ubee

Generador para
   -  DDW365, DDW3611, DDW3612, DWG875, DVW3201B y U10C022 de Ubee
   -  SBG6580, TG852G y TG1672G de  Ariss

Siempre usando una brecha como la descrita en : Como se genera la llave WPA por defecto de los ARRIS DG860A
A saber

                  pass wpa = nombre modelo + 4 o 6 caracteres hexadecimales desconocidos

Si  conocemos el eSSID por defecto, los dos últimos caracteres del pass serán los mismos que los dos últimos caracteres del eSSID por defecto.
  Un crack casi inmediato si el eSSID es el por defecto
Unas pocas horas si el eSSID ha sido cambiado (algo como una hora con un i7 )

  Fijaros en esta captura :
     Tenemos un router con eSSID DG860A42 y la contraseña es DG860AC12742
  El generador va a hacer un ataque de fuerza bruta sobre estas cuatro desconocidas.

A continuación podéis ver los patrones empleados

• DDW365  - DDW365[XXXX]XX

• SBG6580 - SBG6580[XXXX]XX

• U10C022 - U10C022[XXXX]XX

• DDW3611 - DDW3611[XXXX]XX

• DDW3612 - DDW3612[XXXX]XX

• TG852G  - TG852G[XXXX]XX

• DWG875  - DWG875[XXXX]XX

• TG1672G - TG1672G[XXXX]XX

• DVW3201B - DVW3201B[XXXX]XX

Para los dos últimos parece ser necesario un brute force sobre todos los dígitos (parece que el truco del fin essid no funciona siempre)

  No es necesario instalar o usar el script para forjarse o pasarse al vuelo una lista que siga este patrón (por ejmplo lo podemos hacer con crunch)
¿Porque no?

Probando crippled

Bajamos (gracias a Hosehead1) la rama github : Crippled-Masterplus.rar
Descomprimimos el archivo *.rar
Contiene una copia de la pagina html, oras cosas y la rama github clonada en formato *.zip
Descomprimimos con

unzip Crippled-master.zip 

Luego abrimos una consola en le directorio que se ha creado y lanzamos el script con

python crippled

Obtenemos así la yuda :

Crippled | GuerrillaWarfare - https://github.com/GuerrillaWarfare
Usage    | Crippled [options] [command]

 Options:
  -b        : Declare a BSSID
  -e        : Declare an ESSID

 Commands:
  belkin : Returns all possible keys (if any) from the modules/belkin.py algorithm.
  help   : Show this message again.
  modem  : Returns all possible keys from the modules/modem.py algorithms.

  No es muy complicado. criplled + opción + comando
Como opciones debemos entrar el eSSID (-e) o el bSSID (-b)
Podemos elegir entre dos comandos :

1. belkin : generador belkin que enseña unas cuentas contraseñas directamente en consola

2. modem : genera el diccionario a medida para los routers Arris y Ubee 

   Ejemplo de uso :

 python crippled -e DDW36500 modem

  Son modelos bastante viejos pero no he visto en ninguna parte un tema o un ful disclosure sobre esta brecha.
  Hubiera sido una pena que se pierde.

¡Hasta la próxima!