"Pixie Dust" ataque de fuerza bruta offline para generar el PIN valido

kcdtv · 11-03-2015 20:28:24

"Pixie Dust" (polvo de hada) :

deducción del PIN WPS con brute force de los hashes emitidos en un M3

¡No! ... El polvo de hada no es la nueva droga de síntesis que se ha puesto de moda en las fiestas de cumpleaños de colegialas.
Es el nombre mágico que ha dado Dominique Bongard a su método novedoso y "misterioso" para generar el PIN por defecto de dispositivos con chipset wifi broadcom y ralink (que sepamos...)
Pongo "misterioso" entre comillas porque el método esta explicado de forma bastante detallada. No obstante el investigador Suizo ha preferido no librar código "POC" (prueba de concepto) para realizar el ataque.
Pero ha dejado bastante elementos para que se pueda reproducir (y codificar).
Así que el amigo soxrok2212 se ha puesto las pilas en el foro de Kali Linux.

Antes de todo quiero felicitarle y sobre todo dar le las gracias por exponer sus avances de forma publica, pedagogica y detallada en este hilo del foro de Kali linux :
WPS Pixie Dust Attack (Offline WPS Attack)

Ha hecho lo más duro : Entender las operaciones matemáticas para calcular el PIN. Queda codificarlas.

Principios del ataque pixie dust

En este documento ( offline_bruteforce attack on wps) vemos los grandes rasgos del ataque
Les recuerdo ( o no ) que la identificación en protocolo PIN WPS se articula alrededor de un juego de "preguntas-respuestas" llamadas "Mx"

Enrollee -> Registrar: M1 = Version || N1 || Description || PKE
Enrollee <- Registrar: M2 = Version || N1 || N2 || Description || PKR [ || ConfigData ] || HMAC_AuthKey(M1 || M2*)
Enrollee -> Registrar: M3 = Version || N2 || E-Hash1 || E-Hash2 || HMAC_AuthKey(M2 || M3*)
Enrollee <- Registrar: M4 = Version || N1 || R-Hash1 || R-Hash2 || ENC_KeyWrapKey(R-S1) || HMAC_AuthKey (M3 || M4*)
Enrollee -> Registrar: M5 = Version || N2 || ENC_KeyWrapKey(E-S1) || HMAC_AuthKey (M4 || M5*)
Enrollee <- Registrar: M6 = Version || N1 || ENC_KeyWrapKey(R-S2) || HMAC_AuthKey (M5 || M6*)
Enrollee -> Registrar: M7 = Version || N2 || ENC_KeyWrapKey(E-S2 [||ConfigData]) || HMAC_AuthKey (M6 || M7*)
Enrollee <- Registrar: M8 = Version || N1 || [ ENC_KeyWrapKey(ConfigData) ] || HMAC_AuthKey (M7 || M8*)

Si el PIN empleado es correcto se usaran 8 mensajes "M"
Un momento clave es el paso de M4 a M5.
Para que sea posible se necesita tener la primera mitad valida del PIN WPS.
Si no tenemos la primera mitad correcta no iremos más allá que un M4

Lo interesante con el ataque "polvo de hada" es que se baza en los datos que contienen un M3.
Concretamente significa que es un método efectivo con cualquier PIN que probamos, valido o no. cool
El sistema de defensa del protocolo conocido en reaver como "AP rate limit" (bloqueo del WPS después unos cuantos PIN ilegitimos) no sirve de nada ya que con un solo M3 podremos derivar el PIN legitimo.

Veamos esto más de cerca:

La brecha reside en el hecho de que el resultado que da el "Pseudo Random Number Generator" empleado para cifrar la llave publica es predecible (no es bastante aleatorio)
soxrok2212 les propone este video mjuy instuctivo sobre los PRNG:

Pseudorandom number generators

La idea central es que para que se considere como "seguro" un sistema de semillas tiene que hacer "no viable" el brute force de los caminos que genera esta semillas. (reproducir los caminos aleatorios o "pseudo" aleatorios hasta dar con una coincidencia). El concepto de lo que es seguro o no es igual si consideramos una llave WPA: Si nuestra lave es superior a 12 digtos y mezcla símbolos se considera segura porque es casi imposible encontrarla. Tenemos más probabilidades de ganar al loto. Se considera segura porque es una perdia de tiempo hasta para el ordenador el más potente del mundo a la hora actual. .
Si es de 8 cifras ya no lo es porque una simple PC primer precio de supermercado hace un brute force en unas horas.

Volvemos a nuestro protoclo WPS y a la brecha pixie dust. La situación es la siguiente

El Generador de números pseudo-aleatorios para formar la llave publica sigue el patrón

 g^AB mod p

dónde g es nuestro generador pseudo-aleatorio
dónde A es un numero privado usado por el "enrolle" (el punto de acseso)
dónde B es un numero privado usado por el "registar" (el cliente)
dónde mod p significa "módulo" tal y como se entiende en Aritmética modular

Analizando los paquetes M1
y M2
averiguamos :

La versión publica de la PKR utilizada por el registar y que se calcula así : g^B mod p
Le lave publica llamada PKE utilizada por el enrollee y que se calcula así : g^A mod p

Y con el M3

Obtenemos a E-Hash1 que emplea la función de hash "HMAC" para cifrar los datos entre paréntesis que siguen : ( E-S1, PSK1, PKE, PKR )
En paralela tenemos a E-Hash2 que sigue el mismo modelo y se hace con (E-S2, PSK2, PKE, PKR)

Lo muy extraño de la historia es que aunque el PIN este divido en dos mitades se trata la primera y la segunda mitad en el M3. Lo que hace posible averiguar el PIN entero sin tener que pasar por el M4-M5. pam
Tenemos a nuestras dos cadenas que teóricamente son encriptadas para que no podamos descifrar las. Pero....
Ya tenemos a dos desconocidas con los M1 y M2 ya que emiten en claro la PKE y la PKR
Nos queda por averiguar en el caso de E-Hash1 la desconcida PSK1 (el valor de la primera mitad del PIN valido) y la desconocida E-S1 (que hace de vector de inicialización de 128 bits generado justo después de la PKE).
Y para E-Hash2 lo que desconocemos : PSK2 (la segunda mitad del PIN) y E-S2 (otra "nonce", una cadena unica y por lo tanto diferente de E-S1.)
Si somos capaces de averiguar los E-S1 y 2 haciendo un brute force del estado del PRGN (determinar la semilla empleada por la análisis de los caminos posibles uno a uno) nos quedamos con una sola desconocida, respectivamente la primera y la segunda mitad del PIN
Podemos por lo tanto efectuar un ataque de fuerza bruta generando los E.hash que corresponden a los 10000 PSK1 (primera mitad del PIN) y los 1000 PSK2 (segunda mitad del PIN) posibles .
Cuando obtenemos una coincidencia es que el PSK1 o PSK2 empleado es el bueno.

Ahora que sabemos todo esto queda hacer un código para realizar el ataque
Este código tiene que llevar un proceso de autenticación WPS hasta el M3 para obtener los E-hashes. Luego tiene que calcular el PRNG para hacer los diccionarios de brute force sobre PSK1 y PSK2
La parte inyección de "Raw paquet" es la más compleja
La parte brute force y calculo del modúlo requiere menos conocimiento.

Respecto al calculo del modulo, soxrok2212 nos explica los detalles con un ejemplo concreto en este post : respuesta 24#

Un tema caliente y prometedor... Seguro que uniendo fuerzas llegamos a algo...

kcdtv · 19-03-2015 17:48:38

Los tengo un poco desatendidos estos días, lo siento, pero es para una buena razón.

Sin tardar más una captura de pantalla que hará historia.

No es que no teníamos fe... pero somos un poco como santo toma y es siempre mejor ver lo con sus ojos big_smile
La captura es cortesía de wiire del foro kali linux ( cf. nuestro hilo de refrencia : WPS Pixie Dust Attack (Offline WPS Attack) )

Si os fijeís se han usado ES1 y ES2 con valor "0"

detallo un poco esto para que quede claro.
Dominique hace su demostración sobre el caso de chipstes boradcom.
Por los caules (no sabemos cuales exactamente) se requiere un brute force sobre el wps.registrar_nonce. para derivar ES-1 y ES-2 (y luego podemos derivar la primera y la degunda mitad del PIN - PK1 y Pk2)
Brute force posible debido al uso de una función "()random" insegura en el proceso de intercambio de llave deffie hellman (ver primer post)

Dominique evoca tambin en un segundo tiempo los chipset ralink. La histora es divertida, el hombre se pone a estudiar el caso y no consigue levar su ataque sobre el "estado del PNRG" ( es decir averiguar ES-1 y ES-2).
Piensa que la gente de ralink son muy fuertes hasta que le da por probar lo que parece una inmensa tontera, ES1 = ES2 = 0
ES estúpido porque el sistema de semilla y el protocolo Diffle-Hellman usan potencias y raices y multiplicaciones.
Si multiplicamos por 0 y dividimos por 0 el resultado es siempre... 0.
Asi que si se usa 0 como "numero magico" para "randomisar" las cadenas generadas ...la hemos cagado por completo
Sabemos que en este caso el reultado es iempre 0 para las dos ES...
No nos hace falta brute force de la semila y solo tenemos que hacer el brute force sobre el HMAC256 ( el M3 )

Hasta hoy no teníamos claro al 100% de que era así.
Y hoy tenemos nuestro primer ataque ofcial pixie dust levado contra un chipset Ralink montado en un routeur tp-link

La revolución esta en marcha....

En el hilo de Kali os podéis procurar el PoC de wire - link directo : pixiewps
En el hilo de crack-wifi.com os podéis procurar el PoC de Spaw - link directo PoC tshark.sh
guia instalación rapída t-shrak:
```
$ wget https://raw.githubusercontent.com/qolund/derp/master/test/pixie/tshark.sh
$ chmod +x tshark.sh
$ bash tshark.sh monfichier.pcap
```
Pixie Dust attack : participez à la recherche avec vos échantillons !

a nivel de chipset suspetibles de ser vulnerables usando es-1 y es-2 = 0 :
sabemos de momento que es un "chipset ralink / modelo tp-link" y según lo que veo tenemos como primeros modelos afectados

TP-LINK TD-W8901N v1 TE7TDW8901NV1 bgn RT63365E 2 MiB 8 MiB RT5390
TP-LINK TD-W8951ND v5 TE7TDW8951NDV5 bgn RT63365E 2 MiB 8 MiB RT5390R
TP-LINK TD-W8961NB v3.0 bgn RT63365E 2 MiB 8 MiB
TP-LINK TD-W8961ND v3.x TE7TDW8961NDV3 bgn RT63365E 64 MiB
TP-LINK TD-W8968 v2 TE7TDW8968V2 bgn RT63365E 8 MiB 64 MiB

por lo tanto el chipset wifi incriminado es el RT5390 que se monta con un RT63365E (CPU+internet)
esto serán unos "unviersal repeater"

la wiki devi nos da una lista no exhaustiva de 15 dispositvos :

Type FCC ID Manuf Manuf. mdl CPU1 CPU1 clock speed FLA1 RAM1 WI1 chip1 WI1 MIMO PHY modes OUI OUI (Eth) Est. year
ASUS DSL-N14U wireless router
dsl modem RT63365 500 MHz 16 MiB 64 MiB RT5392 2x2:2 bgn
Eltel ET-5300 wireless router
dsl modem Comtrend AR5302 RT63365E 500 MHz 8 MiB 32 MiB RT5390HL 1x1:1 bgn F8:8E:85 F8:8E:85
Movistar TA04G-TF1DJ wireless router
dsl modem RS3TA04GFT1 DareGlobal RT63365E 16 MiB 2x2:2 bgn FC:B0:C4 FC:B0:C4 2014
TP-LINK TD-W8151N v4 access point
dsl modem TE7TDW8151NV4 TP-LINK RT63365E 1x1:1 bgn 2014
TP-LINK TD-W8901N v1 wireless router
dsl modem TE7TDW8901NV1 RT63365E 2 MiB 8 MiB RT5390 1x1:1 bgn A0:F3:C1
E8:94:F6 A0:F3:C1
E8:94:F6 2013
TP-LINK TD-W8901N v2 wireless router
dsl modem TE7TDW8901NV2 RT63365E 1x1:1 bgn 2014
TP-LINK TD-W8951ND v5 wireless router
dsl modem TE7TDW8951NDV5 TP-LINK RT63365E 2 MiB 8 MiB RT5390R 1x1:1 bgn 2012
TP-LINK TD-W8951ND v6 wireless router
dsl modem TE7TDW8951NDV6 TP-LINK RT63365E 2 MiB 8 MiB MT7601E 1x1:1 bgn 2014
TP-LINK TD-W8961NB v3.0 wireless router
dsl modem TP-LINK RT63365E 2 MiB 8 MiB 2x2:2 bgn 2013
TP-LINK TD-W8961ND v3.x wireless router
dsl modem TE7TDW8961NDV3 RT63365E 64 MiB 2x2:2 bgn 2013
TP-LINK TD-W8968 v2 wireless router
dsl modem TE7TDW8968V2 TP-LINK RT63365E 8 MiB 64 MiB 2x2:2 bgn 2013
TRENDnet TEW-718BRM wireless router
dsl modem XU8TEW718BRM AMIT RT63365E 32 MiB RT5390H 1x1:1 bgn 2013
ZyXEL AMG1202-T10B wireless router
dsl modem I88AMG1202T10B TP-LINK RT63365E bgn FC:F5:28 FC:F5:28 2013
ZyXEL P-1302-T10B wireless router
dsl modem I88AMG1302T10B TP-LINK RT63365E 32 MiB 2x2:2 bgn 2013
ZyXEL P-6101C wireless router
dsl modem I88P6101C MitraStar RT63365E RT5390H 1x1:1 bgn 2012

directo me fijo en que hay un bssiod que se usa en españa (pertenece a comtrend, no vamos a hacer ahora un histórico de todos los modelos de comtrend y sus brechas conocidas, sería todo un tema)

y si por extensión pensamos que podemos volver a encontrar esta brecha en otros chipset ralink, les dejo soñar echando un ojo esta lista...
wiki-devi ralink

atim · 19-03-2015 21:19:59

Buenas;

Sin duda un gran avance, y lo mas asombroso es que al parecer solo se necesita el m3 si no lo he entendido mal. Lastima que solo funcione en los tp-link .
No estaría demás algún video tutorial explicando el proceso de instalación y los pasos a seguir para realizar pruebas con otros routers.

Un saludo.

P.D. Aproximadamente cuanto tiempo llevaría realizar un ataque de este tipo?

Ultima edición por atim (19-03-2015 21:23:46)

kcdtv · 19-03-2015 23:36:24

Sin duda un gran avance, y lo mas asombroso es que al parecer solo se necesita el m3 si no lo he entendido mal.

Has perfectamente entendido y , como bien lo dices, es lo más "asombroso" del asunto.
Preciso, por si no ha quedado claro, que funciona con cualquier PIN que lanzamos, bueno o malo ya que no necesitamos ir más allá del M3 tongue
Yo también me quede - y sigo - asombrado.

Lastima que solo funcione en los tp-link .

Tampoco esto se sabe amigo... de momento se ha probado con éxito sobre este modelo.
Yo ni he tenido tiempo de probar y la noticia ha salido hace unas horas...

Esta claro que lo de "llave secreta" que es igual a 0 para las dos mitades de PIN,,, No lo vamos a encontrar en todas partes...
Pero; para decirlo así; cualquier router con chipset Ralink es "sospechoso."
Y visto lo que suelen hacer los fabricantes de routers tengo bastante claro que la lista va a engordar... no creo que Comtrend o zyxell se hayan complicado mucho mas la vida que tp-link.
¿Apostamos algo? big_smile tongue

No estaría demás algún video tutorial explicando el proceso de instalación y los pasos a seguir para realizar pruebas con otros routers.

Haré probablemente un video para celebrar la brecha y tener algo de material vídeo para el foro.
Es una buena idea
No de inmediato porque estamos en plena fase de desarrollo.
también hay que hacerlo, editarlo, y esto con mi ordenador no esta ganado.... yikes
Pienso montar un script para mi (porque no voy a estar abriendo paquetes wifi a mano todo el tiempo) así que lo dejare aquí cuando estará hecho. Al modo wpspin, super linear con menus y entrar 1,2 o 3

P.D. Aproximadamente cuanto tiempo llevaría realizar un ataque de este tipo?

este en concreto (ES1 = ES2 = 0 ) es muy poco.
Había hecho un código semejante en bash (mucho mas lento que C) para ver la viabilidad del proceso y estos son los resultados simulando un brute force completo sobre la primera mitad :

un minuto en bash son unos segundos en C y el ataque es máximo minuto y pico con bash (y utilisando opensll para genrar los HMAC que es muy lento )
una vez que tienes el M3 lo tendrás en un minuto o poco más, el tiempo de que el script habre los paquetes, extrae la información y hace el calculo
y luego se necesitara unos segundos para lanzar un PIN
será muy rapìdo.
Y si la gente tiene prisa hay forma de hacer lo con pyrit y usar la GPU. Con una tarjeta potente sería inmediato cool

atim · 20-03-2015 11:42:45

¿Apostamos algo?

No apuesto porque seguro que perdería smile

Será cuestión de cuando tengamos las herramientas y sepamos como realizar el ataque ir probando e ir recopilando datos para saber cuantos router tienen este tipo de vulnerabilidad.
Entiendo que como el m3 lo da casi de inmediato, en el caso de obtener mediante el ataque el pin valido se podría utilizar sin problemas antes de que el router quede bloqueado por la introducción de 2 o tres pines erróneos.

Sin duda este post es prometedor y dará mucho que hablar.

kcdtv · 20-03-2015 17:33:14

Entiendo que como el m3 lo da casi de inmediato, en el caso de obtener mediante el ataque el pin valido se podría utilizar sin problemas antes de que el router quede bloqueado por la introducción de 2 o tres pines erróneos.

Incluso, según dominique bogart y sorcoxx112, si no mandamos el M4; llegar hasta el M3 no contaría como intento.
Esto no lo tengo muy claro (sigo en mi liña de lo que no veo no me lo creo del todo) pero si es así... Es un triunfada total ya que no gastaríamos ni un solo intento para conocer el PIN.
Se puede "truncar" reaver o bully para que no mande el M4

Será cuestión de cuando tengamos las herramientas y sepamos como realizar el ataque ir probando e ir recopilando datos para saber cuantos router tienen este tipo de vulnerabilidad.

puedes realizar el attaque con el script de wite.
tienes primero que lanzar airodump-ng y reaver (Buly, wpsconect) para recoger el trafico mientras mandas un PIN.
Una vez hecho abres el fichero de captura y mirras en los M
copias y pegas los valores que te pide el script en C que son largas cadenas que tienes en los M.
es tedioso pero se hace
De todo modo pronto pondré algo aquí si no es este fin de semana será lunes.

kcdtv · 26-03-2015 15:23:43

Hago un pequeño "re-post" para informar sobre el estado del arte
Hemos hecho unos avances significativos este fin de semana y estos días (hoy mismo a horas indecentes) .
Ya tenemos nuestros primeros modelos atacados y vencidos con nuestras manitas y nuestros códigos chapuceros y parcheados...
Abro un hilo a parte en nuestro sub-foro para recopilación de modelos afectados por una brecha WPS. (ya se, el WPS es una brecha en si,).
Hay más modelos derivados pero hasta que no tenga confirmación detallada....
.... Lo que les puedo decir es que hay más y que habrán más. cool
Desgraciadamente no les puedo dejar un PoC ya que parte del código (y seamos claro, la más importante) es obra de wiire.
Ha retirado su código PoC de la circulación ya que esta trabajando para hacer algo más completo.
De todo modo no va a pasar mucho tiempo antes de que salga algo, Varios códigos están en corsos...

A nivel teórico y practico: las dos brechas desveladas por Dominque Bogart, contra chipset ralink y boradcom, parecen estar entendidas del todo y son groseramente codificadas.

* La brecha Ralink (ataque "ES-0"):
No tiene misterios ya que sabemos el valor utilizado para formar los ES-1 y ES-2.
Lo "bonito" del asunto es que parece afectar indiscriminadamente a ... todos los chipsets Ralink. tongue
Lo "bonito" es que esta a un nivel tan básico de implantación que los ISP no miran estos detalles en sus firmware.
El falló viene antes de todo de los fabricantes de chipsets.
Y luego se puede culpar a los fabricantes de routers por no verificar estos tipos de fallos.

* La brecha Broadcom (attaque "()random" ) :
SE ha podido definir un intervalo viable para un brute force del estado del PRNG que da resultados sobre varios modelos. No sabemos con certeza si este intervalo es el optimó.
Es aún demasiado pronto para poder evaluar cuál es la proporción de chipsets broadcom afectados.

Queda trabajo por adelante :
* Investigar más el caso broadcom
* Estudiar el caso realteck (prometedor wink )
* Crear un flow wps a medida que sea perfectamente adaptado a la situación para obtener la "auth key" ( y sigo sin tener muy claro que conseguiremos pasar desaparecidos del todo parrando al M3 o que esto funcione con así con todos dispositivos)
* El escaneo a medida da un poco por saco también... cada fabricante hace un poco lo que quiere en lo que anuncia en los probes y es difícil establecer reglas comunes

En todos casos la " primavera pixie dust " se avecina... cool

atim · 27-03-2015 22:44:18

Desgraciadamente no les puedo dejar un PoC

Que pena, me habia hecho ilusiones para estar cacharreando esta semana santa jejeje...

Esperaremos espectantes " nunca es tarde si la dicha es buena".

En todos casos la " primavera pixie dust " se avecina... cool

Me gusta la primavera. big_smile

kcdtv · 28-03-2015 11:20:09

El fin de semana accaba de empezar... big_smile .
hay un reaver que se esta montando y será mucho mejor que con bully (y se desarolla en "open source", accessible para tod@s y hecho de forma abierta).
stay connected...

atim · 28-03-2015 17:45:31

Buenas;

Ya hay circulando por la red un script que lo hace todo el solito y muy facil de utilizar.

He comprobado bastantes router y solo dos ha resultado positivo y me ha dado el pin. Uno es el HG566a del cual ya esta en la lista, el otro es uno nuevo y se trata del
D-Link GO-RT-N150 , que casualmente el pin wps y la wpa son igual.
Este último creo que no estaba afectado por la antigua vulnerabilidd ( que alguien me corrija si estoy equivocado) del wpspin, por lo cual ha sido un avance nuevo.

Un saludo.

Ultima edición por atim (28-03-2015 17:53:22)

kcdtv · 29-03-2015 01:33:09

Excelente. smile
Si quieres puedes poner un enlaze aqui de la herramienta, no hay nigunos problemas.(si es de codigo libre o common creative o algo del palo, si es un logicial crackeado mejor no en el foro publico)

atim escribió:

D-Link GO-RT-N150

No sale en la lista de modelos afectados con el generador para PIN D-Link y no me suena para nada. smile
sería interesante si me pasarías el paquete de capturas para que examine los probes y actualiza el hilo de dispositvos vulnerables con toda la información inetresante.
¡Enhorabuena!
Sin duda una première, el festival empieza. cool
Me parece que son muy pocos los chipset ralink que nos vamos a encontrar "de serie" en españa.
El HG566a es sin duda el dispositivo con chipset ralink que fue lo más implentado.
Muchos broadcom... será interesante jugar con la heramienta completa que incluira el brute force del estado del PRNG.
hasta pronto wink

jorose1987 · 29-03-2015 10:58:08

Gran noticia kcdtv y excelente trabajo el realizado por vosotros. A la espera de más novedades. ¿Alguien sabe dónde se encuentra publicada la herramienta que según comenta el usuario atim ya está circulando por Internet?

Un saludo y gracias.

atim · 29-03-2015 11:44:36

Buenos dias;

kcdtv Hoy 01:33:09 escribió:

No sale en la lista de modelos afectados con el generador para PIN D-Link y no me suena para nada.

Yo hice la prueba con el wpspin para ver si el pin que me daba era el bueno y no era, por lo tanto entiendo que no es vulnerable a wpspin y si es vulnerable a pixie.

sería interesante si me pasarías el paquete de capturas para que examine los probes y actualiza el hilo de dispositvos vulnerables con toda la información inetresante.

Pues resulta que al ejecutar el script desde ubuntu me daba un error de librerías o algo así y lo hice desde un live cd por lo que alterminar los datos se perdieron, pero no te preocupes luego vuelvo a repetir la prueba y me aseguro de guardarlos.
Por cierto, me imagino que tendría que lanzar airodump con un filtro para ese bssid y con la opción -w y despues lanzar el script y se quedarían todos los paquetes guardados en un .cap no es asi?

la heramienta completa que incluira el brute force del estado del PRNG

esta herramienta incluirá mas routers, el ataque será también offline y será mas largo?

jorose1987 Hoy 10:58:08 escribió:

¿Alguien sabe dónde se encuentra publicada la herramienta que según comenta el usuario atim ya está circulando por Internet?

Si yo podría poner el enlace pero prefiero que lo haga kcdtv por el tema de la fuente y los créditos que tengo algunas dudas.

Un saludo.

kcdtv · 29-03-2015 14:15:21

atim escribió:

Pues resulta que al ejecutar el script desde ubuntu me daba un error de librerías o algo así y lo hice desde un live cd por lo que alterminar los datos se perdieron, pero no te preocupes luego vuelvo a repetir la prueba y me aseguro de guardarlos.

Desde ubuntu lo más probable es que te falte instalar libpcap0.8-dev

 sudo apt-get install libpcap0.8-dev

(necesaria tanto para reaver que para bully)

atim escribió:

Por cierto, me imagino que tendría que lanzar airodump con un filtro para ese bssid y con la opción -w y despues lanzar el script y se quedarían todos los paquetes guardados en un .cap no es asi?

exactamente wink

esta herramienta incluirá mas routers, el ataque será también offline y será mas largo?

El ataque será similar pero tendrá una fase más (offline). la diferencia de tiempo será mínima, un par de segundos más...
Para el ataque "ralink" sabemos el valor de las cadenas ES-1 y ES-2
Para el ataque broadcom debemos hacer un brute force sobre estos dos elementos para conseguirlos.
Debería ser imposible... pero conocemos la función que usaron prara generar las cadenas "aleatorias" que entran en juego para encriptar los datos (en algunos modelos, y son muchos).
Y el problema es que el generador de números aleatorios que emplearon no es bastante "aleatorio" y que el resultado es previsible (y por lo tanto reversible)
incluirá más routers y boradcom es un fabricante más común - por aquí por lo menos,.

Si yo podría poner el enlace pero prefiero que lo haga kcdtv por el tema de la fuente y los créditos que tengo algunas dudas.

Don't worry, no pasa nada, wink

atim · 29-03-2015 15:16:12

Desde ubuntu lo más probable es que te falte instalar libpcap0.8-dev

Si ese concretamente fué el error que me salió, aunque lo raro es que tengo instalado reaver y me funciona bien. Luego pruebo a instalarla con apt-get haber que pasa.

Por otro lado ya he vuelto a relizar la prueba con el router D-link y he guardado los datos en un .cap y una imagen tambíen.

He abierto el .cap y he visto que vienen todos los datos del router como marca, modelo, serial,mac asi como también en "Vendor" aparece RalinkTE que me imagino que será el chips que lleva. Dime como te los hago llegar y te los mando. Un saludo.

Edito: He probado a instalar libpcap0.8-dev pero me dice que ya tengo la versión mas reciente.

Ultima edición por atim (29-03-2015 16:03:18)

kcdtv · 29-03-2015 16:26:19

GEnial !
Muy bien estos probes de los chipsets Ralink : te informan del todo. smile
mira, tienes una función "subidas" para subir archivos :

y luego puedes insertar el vinculo del archivo que has subido

y luego puedes poner lo aqui o en el jardin secreto o me lo pasas por MP (llegara a mi mail)

¡estupendo!
Uno más big_smile

jorose1987 · 29-03-2015 17:01:43

atim, ¿puedes subir el script de la herramienta para realizar unas pruebas?

Un saludo.

atim · 29-03-2015 17:42:33

jorose1987 escribió:

atim, ¿puedes subir el script de la herramienta para realizar unas pruebas?
Un saludo.

Mandame un mensaje a mi correo y te respondo de inmediato.

jorose1987 · 29-03-2015 18:10:26

atim escribió:

jorose1987 escribió:
atim, ¿puedes subir el script de la herramienta para realizar unas pruebas?
Un saludo.
Mandame un mensaje a mi correo y te respondo de inmediato.

Gracias atim, te he mandado un mensaje a tu correo electrónico.

Saludos.

atim · 29-03-2015 21:03:19

Os dejo el enlace del post de seguridad wireless donde está el script en cuestión para que lo probeis;

http://foro.seguridadwireless.net/local … attack%29/

Gracias a 5.1 , Dudux y a todos los que han hecho o colaborado en este script.

La verdad es que he probado muchos y solo dos modelos han resultado positivos y la novedad es que uno de ellos no estaba afectado por la antigua vulnerabilidad del wpspin y si por esta ultima del pixie dust.

Ultima edición por atim (29-03-2015 21:17:48)

jorose1987 · 29-03-2015 22:15:07

Gracias atim por tu aportación del enlace al script de esta nueva herramienta.

Yo también la he probado pero sin éxito en las F8:D1:11 de TP-LINK que bloquean el WPS a los pocos intentos probados por PIN. Sí ha funcionado en las MAC´s 9C:C1:72 y 68:A0:F6 pero eran también vulnerables con el algoritmo de ZaoChunsheng. Seguiré haciendo más pruebas y os comento.

Saludos.

kcdtv · 29-03-2015 22:40:29

Aunque estén vulnerables a una brecha conocida es muy interesante saber el chipset, el modelo etc...
Estamos montando una base de datos "a nivel mundial" roll big_smile con sorcoxk y la idea sería llegar también a tener a un escaneo como wash pero más completo (un "nuevo wash") que identifique automáticamente los dispositivos vulnerables.
Mirare si puedo pilar unos PROBES de estos modelos dando un paseo, sino sería d.p.m. si me podías pasarlo o los colocas en el hilo Modelos afectados por brecha pixie dust Ralink (ataque "ES-0") y voy actualizando el hilo

@ atim

atim escribió:

Edito: He probado a instalar libpcap0.8-dev pero me dice que ya tengo la versión mas reciente.

entonces será otra dependencia supongo... ¿Has probado todas las puestas en este tema? :
Instalar reaver wps en ubutnu 14.10 (y derivados)
Si no te funciona no dudes en hacer un post en el hilo del manual y mirare el error.
saludos

DJROCKER · 29-03-2015 22:53:59

Gracias atim por el script ya lo vi en su momento en seguridad wireless, mañana lo ojearé con mas tiempo, para ver como reacciona

Ultima edición por DJROCKER (29-03-2015 22:55:33)

5.1 · 29-03-2015 23:04:44

atim escribió:

Os dejo el enlace del post de seguridad wireless donde está el script en cuestión para que lo probeis;
http://foro.seguridadwireless.net/local … attack%29/
Gracias a 5.1 , Dudux y a todos los que han hecho o colaborado en este script.
La verdad es que he probado muchos y solo dos modelos han resultado positivos y la novedad es que uno de ellos no estaba afectado por la antigua vulnerabilidad del wpspin y si por esta ultima del pixie dust.

Un saludos a todos, eso lo primero.

Quisiera puntualizar una cosa, soy el autor del script en bash para automatizar el proceso, pero eso es lo único que hace el script, facilitar el ataque, es decir, casi nada, el verdadero merito lo tienen otros con sus conocimientos y su trabajo, no quiero atribuirme nada que no me corresponda.

Así que las gracias para Dominique Bongard, kcdtv, wiire, dudux , etc ....

tongue

Por cierto kcdtv, ¿ has visto esto ? http://xn--mric-bpa.fr/blog/blackjack.html

Ultima edición por 5.1 (29-03-2015 23:07:51)

kcdtv · 29-03-2015 23:46:47

Buenas noches 5.1
Muchas gracias por el aporte smile
Tampoco me merezco ningunos créditos
El quien ha removido todo con mucho empeño y fe para que se desarrolle algo en base de lo desvelado por Bogart es soxrok2212. No ha parrado, y no parra big_smile no se cuando duerme el chico

Por cierto kcdtv, ¿ has visto esto ? http://xn--mric-bpa.fr/blog/blackjack.html

Si lo he visto; es del amigo spawn de crack-wifi.com : Pixie Dust attack : participez à la recherche avec vos échantillons !
Hay un error de concepto, lo explica, pero la idea es brillante.
Si miramos las cosas con altura solo hemos rascado en superficie con el brute force PIN y el brute force de los hashes con los M1>M3... ¿quid del p2p o Upnp? ¿quid de la posibilidad como cliente de configurar el PA? .. ¿no hay flow explotables, brechas posibles?
El WPS no ha desvelado todos sus "encantos"
saludos

Tema	Respuestas	Vistas	Ultimo mensaje
WPA2: roto con KRACK. ¿Ahora que? por Virkon [ 1 2 ]	26	7780	15-03-2023 16:57:32 por kcdtv
Pegado: Pegado:: AWITAS. Ataque a WPS con rogueAP potegido con WPA por javierbu [ 1 2 ]	34	3812	12-03-2023 18:24:22 por Guybrush92
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	436	63612	07-03-2023 12:35:27 por kcdtv
iwd;¿El demonio WiFi Linux qué lo cambiara todo? por kcdtv	0	423	23-02-2023 17:09:39 por kcdtv
Pegado: Pegado:: Base de datos WPSPIN (original) open source actualizada por kcdtv [ 1 2 3 4 5 ]	114	258655	19-02-2023 17:36:14 por chuchof

Foro Wifi-libre.com

Anuncio

#1 11-03-2015 20:28:24