Foro Wifi-libre.com

¡Buenas tardes zap!

Una razón más para ponerse las pilas....

  De mi lado me fue a buscar en el sitio "speedtouch/thomson/technicolor" ( este : speedtouch.ca)y he bajado esta imagen: thomson TG784 --> version 8.2.7.7
  Desgraciadamente no conozco la extensión "*.bli" y no he conseguido "descomprimir" o abrir el fichero para echar un ojo.   
He probado con binwalk y dos o tres cosas más para binarios de firmware pero no han reconocido el fichero y no he conseguido nada.
Sería muy interesante poder echarle un ojo.
  De paso he visto que Zyxell parece ser también otra marca que pertenece a thomson/technicolor.

  Luego me han permitido acceder a un TG784n v3 de Jazztell

  Lo primero que he mirrado es la estructura del numero de serie.

Lo que no cambia

Recuerdo que en el algoritmo "stkey" todo se hace en base del numero de serie
La primera mitad del serial tiene esta estructura : CP YY WW

1. CP - tal cual, la letra C y la letra P

2. YY - la decena y la unidad del año (Year) de fabricación de la unidad (para kevin deviune era 06 de 2006)

3. WW - el número de la semana (Week) en el año (para Kevin Devine era la la decimoquinta semana del año - mes de abril )

Reencontramos exactamente la misma estructura en inicio :

Lo que cambia

  Estructura stkey: PP XXX (CC)

1. PP - Un código de "fabrica". En el caso de kevin devine era JT. Con el TG784 que he podio estudiar tenemos a SA. Veremos con mas datos si es un codigó de fabrica o no.

2. XXX - una cadena porpia a cada unidad. En formato hexadecimal y que debíamos convertir a decimal para generar la llave WPA. Con nuestro TG784 v3 tenemos aquí a letras mayúsculas - no limitades a la les letras hexadecimales.

3. (CC) - estos dígitos se ponían de lado en el algoritmo stkey y son otro código de fabrica "genrico". Con el technicolor  no los tenemos

  Conclusión : cambia la segunda mitad del numero de serie y parece que tenemos una cadena que tenemos que entender como un conjunto propio a cada unidad producida.

  Hagamos una prueba a ver si hay suerte. Imaginemos que se aplica la misma formula y hacemos un brute force.
En el ejemplo de Kevin Devine se obtiene la contraseña (y el essid) pasando CP0615313039 a SHA-1
Hagamos lo mismo con mis datos, debemos hacer un brute force sobre seis desconocidas (rojos) decimales, no es mucho.
Primero genero un diccionario con las cadenas posibles

crunch 12 12 -t CP1402%%%%%% -o /home/kcdtv/Bureau/TGtest.txt 

Luego compruebo que el SHA-1 de cada cadena no contenga el essid / el pass

while read line ; do echo -n $line | sha1sum | awk '{print $1}' | grep a127c7 ; done < /home/kcdtv/Bureau/TGletras.txt

Con el bucle while leo el diccionario linea a linea y gracias a los pipe paso por sha-1 cada liña y compruebo con grep si contiene o no el essid
Si tenemos una coincidencia es que han usado exactamente lo mismo que en el caso stkey
A ver is hay mucha suerte...
...Que lento es bash ...
Ya comentare algo cuando se acaba...

Muchas gracias... voy a mirrar esto
de momento he obtenido una ocurrencia del essid ... pero en inicio de cadena SHA-1 (en lugar del final) y sin ocurrencias del pass.
Hay un problema : 13Mb de diccionario que no se han acabado de pasar y me gustaría probar uno de 3,136 GB ... Definitivamente hay que hacer algo en C para generar sha-1 y todo sería muy rápido. Bash no vale para esto
La ocurrencia (essid)

A ver si tenemos otra que nos de el pass también

edit :

Ya Confirmamos algo gracias a tus datos: la estructura del serial es así

CPYYWWXXXXX

1. CP - tal cual

2. YY - unidad y decena del año de producción

3. WW - la semana del año

4. XXXXX - 5 letras mayúsculas - no hay ningún código de serie en esta parte, son propias a cada modelo

edit 2 :
Otra información importante, una diferencia significativa.
   con stkey no hay relación directa bssid -essid (el essid se genera con el pass) al igual que con los routers de Meo
   con jazztell fin essid = fin bssid
O usan un algoritmo diferente o no dan mas el essid porque permite deducir el pass y usan el mismo algoritmo (poco probable que sean tan malos pero... todo es posible) .

Buenas tardes
  Jaztell tampoco tiene un firmware en acceso libre...
De paso he visto que nuestro modelo de technicolor esta también empleado en Italia por uno de los principales ISP del país : fastweb.
Technicolor TG784N v3 @ fastweb

  Por lo del tema de conseguir sacar algo del firmware a lo mejor se puede conseguir algo gracias a telnet...
  Algo curioso con el technicolor jazztell es que no tenemos en la interfaz web algo más que esto para el WPS:

  por telnet si pasamos por el "menu" podemos configurar el PIN

  y en linea de comandos podemos ver el fichero de configuración del WPS (activado, sin estar bloqueado)

  En unos momentos probare con reaver

¡Funciona!

Obtendremos directamente la PMK en lugar del pass WPA y podremos conectarnos :

Estamos conectados :

  Entonces podemos buscar también el algoritmo del PIN WPS.
Solo se puede cambiar por telnet...
Lo único que se puede hacer por la interfaz de configuración es deshabilitar el WPS y el router ni siquiera saldrá en wash. 
Por lo tanto, si el router sale en wash, es casi seguro que el PIN es el puesto por defecto.
 
  he mirado rápido si no teníamos algo inspirado del algoritmo "WPSPIN" convirtiendo la mac a decimal pero no he visto nada relevante.

Ultima edición por kcdtv (04-10-2015 21:39:25)

Hoy he tenido algo de tiempo para estudiar un poco más este caso.
Comparto con vostr@s un descubrimiento muy interesante por telnet...

  Al inicio no había prestado mucha atención a esta opción : env

  Un error : Son variables de entorno...

  Con el comando list podemos obtener un listado con todas las variables de entorno... Veamos que obtenemos

Tenemos a varios juegos de variables de WL0 a WL3
Lo que nos interesa son las WL0.
Es interesante ver la relación con los puntos de acceso con essid TNCAP (podréis encontrarlos en marruecos)
No se si sirve de algo pero pongo aquí unos datos TNCAP cortesía de unsuns06

Routor: TD5130
SSID: TNCAP9388E8
WPA-Key: 580C05A631
WPS-Pin:90467912
Admin-Pass: kcfx
MAC: 0018E79388E8
SN: 1150A1D05173
GW: DSLBE5130MAE1

Routor: TD5130
SSID: TNCAP948BE4
WPA-Key: 079A40DEFB
WPS-Pin: 37017422
Admin-Pass: et3p
MAC: 0018E7948BE4
SN: 1150A1D18433
GW: DSLBE5130MAE1

Routor: TD5130
SSID: TNCAP96C99F
WPA-Key: F3D70D3689
WPS-Pin: 12456789
Admin-Pass: 00jr
MAC: 0018E796C99F
SN: 1201A1D08658
GW: DSLBE5130MAE1

Routor: TD5130
SSID: TNCAPA4CAFF
WPA-Key: 5E00C7B723
WPS-Pin: 71095837
Admin-Pass: efop
MAC: 0018E7A4CAFF
SN: 1211A1D03863
GW: DSLBE5130MAE1

Routor: TD5130
SSID: TNCAP936D45
WPA-Key: 4E35E2A17A
WPS-Pin: 90427145
Admin-Pass: 2ggr
MAC: 0018E7936D45
SN: 1150A1D03750
GW: DSLBE5130MAE1

Routor: TD5130
SSID: TNCAP938028
WPA-Key: 3BC2B03785
WPS-Pin: 15061591
Admin-Pass: x0ym
MAC: 0018E7938028
SN: 1150A1D04725
GW: DSLBE5130MAE1

Routor: TD5130
SSID: TNCAP941A8D
WPA-Key: 842B159901
WPS-Pin: 79489515
Admin-Pass: sthh
MAC: 0018E7941A8D
SN: 1150A1D12630
GW: DSLBE5130MAE

a ver si la noche es inspiradora... muchas cosas por asimilar y probar...

edit uno

_BOARD_SERIAL_NBR=1402SAQVA
_PROD_SERIAL_NBR=CP1402SAQVA

Confirmada la estructura del serial con los dos primeros dígitos que son una especie de "numeró de producción" (PROD)
El 1402 corresponde sin dudas a la fecha de producción 2014 y mes de febrero (02) y SAQVA permiten de identificar concretamente de que tarjeta madre se trata (BOARD)

Me llama mucho la atención esta variable

_WL0_BASE52_SERIAL=pZV7Z6jxZzNTb

Por el uso de BASE52 , algo nuevo si nos referimos a stkey (la estructura del serial es fundamentalmente la misma) y una pista nueva por probar
Interesante

¡Buenas noches Cardi!
No me sorprende mucho : Por mi barrio (en barcelona) la fibra jazztell ha llegado mucho mas tarde que la fibra telefónica o OnO.
Tampoco "veo" muchos Jazztel_XXXXXX por los aires (este modelo) .
Lo que "esta de moda" ahorita alrededor son los JAZZTEL_XXXX (y los X pueden ser mayúsculas o minúsculas y no se limitan a los caracteres hexadecimales)
Dos routers (malos) de ZTE.
Antes se entraba en ellos como en un molino con PIN WPS 12345670 pero arreglaron  la brecha en una actualización
El pass WPA es mas chungo que con el technicolor porque se usan letras mayúsculas y minúsculas (no se si usa números también) .
Molaría estudiarlos....  Abriré un tema un día de estos.
Visto que la brecha WPS esta colmatada sería muy interesante mirar la generación del pass WPA por defecto...
Es una lastima que no tengas un technicolor para jugar tu también : Es bastante divertido pasearse por el menú telnet (muy practico, sin entrar comandos ) para rebuscar cosas con los credenciales dejados para los técnicos.

De paso :
Para descifrar base52 podemos emplear el programa de atomaka : atomaka/base52

De paso 2 :
Algo muy interesante en lo visto ayer es la variable WLO_SSID_SERIAL

_WL0_SSID_SERIAL=DAEF3A

Es una cadena hexadecimal diferente del fin bssid (igual que el essid) y podría intervenir en la generación del pass por defecto...
Una pista interesante.

buenas... 
he tenido un error al instalar el programa.(con xubuntu 14.10)
He instalado rake y ruby que no tenía instalados.
problema : cuando ejecuto el comando

gem install base52

La consola se queda pillada y veo un mensaje de error diciéndome que no encuentra bse52 en los ... repositorios
No he buscado más por falta de tiempo... no se que habrá pasado... la ayuda de base52 es muy sucinta, solo da este comando para i9nstalr...  no conozco ruby.   Miraré esto cuando pueda,

No estoy familiarizado con ruby y sus "gemas", no sabría que decirte al respecto...

ERROR:  Could not find a valid gem 'base52' (>= 0) in any repository

esto es adónde llego... supongo que si esperaría algo más tendría las sugestiones

Es el mismo link... 
¿Otra vez borracho - o que?
Por esto no te veíamos últimamente, estas por ahí de juergas hasta las tantas cada día...
Este USER...

Mas en serio : Si tienes una alternativa estoy interesado... si no voy a tener que hacer un convertidor yo mismo y no me apetece mucho...

Otra pregunta : ¿No tendrías a un usuario que te ha mandado datos de estos y que no tiene problemas en compartirlos?
O - aún mejor - ¿No tienes acceso a uno de estos? Para que le eches un ojo mediante telnet, a lo mejor se me ha escapado algo o ves algo, con tu instinto de desarrollador de live...

¡Buenas noches (día para ti )!

  Este tema es un tema de investigación, no es un tema para asesoramiento en ataque WPS.
Para responderte :
Revdk3 : Se basa en el uso de mdk3 y mas precisamente en el ataque de hundimiento EAPOL. De momento solo un modelo de router ha sido reportado como vulnerable. No es el TG 784n v3
pixie dust : No es vulnerable .

  Para poder llevar un ataque WPS exitoso no hay otra que mandar el PIN WPS por defecto visto que el router tiene un mecanismo de defensa que se dispara después tres intentos infructuosos
  El PIN lo puedes averiguar por telnet o mirar simplemente en la etiqueta de tu router.

  No conocemos otra forma y por esto se ha abierto este hilo : para intentar deducir el algoritmo de generación WPA y/o WPS

  Si quieres ayudarnos sería interesante que nos digas :
    Que ISP usa este tipo de router
    Cual es el essid por defecto
  Y por supuesto vendrían de perla los datos completos (bssid, serial, pass WPA, pin WPS)

  Entiendo por como formulas tu pregunta (me puedo equivocar) que el router no es tuyo y que desconoces el pass y el PIN
  Si es así no podríamos ayudarte ya que la "intrusión" o el uso ilegitimo de contraseñas son faltas-delitos en España (probablemente en Chile también)
De todo modo en el estado actual del conocimiento... simplemente no podemos ayudarte ya que no sabemos como se generan el PIN o la contraseña WPA
saludos y bienvenid@ a wifi-libre

Siento la tardanza, estaba yo también de juerga por ahí. 

Pues si.
Una vez me tope con base 11 o 12, no me acuerdo, y luego vi que había un montón de movidas desde los EEU con base 11 (o 12)  por historias de medidas antiguas que usan solo ahi
Por lo de la base52 esta muy poca documentada... pero el compadre idontcar3 ha compartido con nostr@s la solución ( aqui )
  se llama basehash y lleva multiples bases incluyendo la base52
Ayer miraba una serie medio mala dónde una "hacker" de 17 años se burlaba de una tia del FBI de 35 tacos porque usaba un exploit en perl en lugar de python.
  Asi que voy a ser guay y usar hashlib

hasta luego pirata