Llave WPA por defecto Cisco DPC3925 Telecable, Megacable etc...

kcdtv · 18-12-2016 15:11:08

Cisco DPC3935: LLave WPA por defecto fácil de derivar...

No se si se acordaran de estos temas:
* Routers Ubee, Cisco y Technicolor de la operadora UPC de Hungría
* cisco_psk.py para routers Ubee, Technicolor y Cisco de UPC
El generador presentado (cisco_psk.py) en dicho tema permite hacer un brute force contra varios PA del ISP húngaro UPC
Son routers DOCSIS 3.0 y uno de los modelos afectados es el Cisco EPC3925,.
Para generar la llave WPA por defecto se trata de combinar el bSSID con el numero de serie del dispositivo y de pasar la cadena obtenida por md5
El bSSID es por definición publico (broadcasted) y el numero de serie se compone de diez números.
Ademas empieza por 26, lo que nos deja con 10⁷ posibilidades.
Y aunque no empezaria por 26 serian solo 10⁹ posibilidades, un brute force al alcance de cualquier ordenador.

Hoy vamos a ver como hacer un brute force rápido contra un Cisco DPC3925
Antes de seguir adelante un saludo amistoso al usuario wizzhard de crack-wifi.com por aportar datos y interpelar nuestra curiosidad...
Os dejo aquí parte de su mensaje.
Esta en francès pero los datos presentados hablan de si mismo.
Primero tenéis el eSSID por defecto, luego el bSSID y luego el Pass WPA

Mes amis et moi aussi autorisent que je les partages, ils étaient d’ailleurs sur le c*l lorsque j'ai attrapé un handshake sur leur réseau ( plus facile avec le dico quand on connait la clé) et que je leur ai montré cracké leur passphrase.
1AC244 : dc:fe:07:20:51:a7 : 278942151
FE16CA : 30:b5:c2:a1:10:55 : 265426561
A6BDEC : 20:25:64:5e:12:2a : 268259727
24B2CE : c0:7c:d1:ed:fd:2d : 278325817
et les deux derniers regardé bien la correspondance :
8BA00E : e0:69:95:38:3f:df : 232016885
8B96EA : e0:69:95:31:46:85 : 232016238

WPA passphrase d'origine routeur CISCO @ crack-wifi.com

Mirando esto he pensado de inmediato

Llave WPA por defecto = Numero de serie = 9 cifras

Saltaba a la vista...
Buscando un poco por la red he podido confirmar esto gracias a nuestros pinches mejicanos (más precisamente gracias a los huevones de Megacable)

México

Cisco DPC3925 @ megacable
No se puede pedir más big_smile
Ojala los ISP españoles se inspirarían de sus homologas mejicanos y explicarían en detalles como se genera la llave por defecto de sus routers.
El amigo whizzard vive en una isla francófona, no se cual exactamente, Martinica, tahiti... En todos casos el principal proveedor de Internet de su isla emplea el cisco a saco

España

Buscando un poco mas por la web veo que este router esta también utilizado aquí en España por la tele-operadora Telecable
Miremos junto la guía para usuario...

Guía del usuario para el Cable módem Router Wifi con adaptador telefónico del modelo Cisco EPC3925 ( y DPC3925) 8x4 DOCSIS 3.0

Conclusión

Una llave WPA por defecto de nueve números es como no poner llave por defecto.
Peor aún ya que puede dar a los usuarios la ilusión de estar protegidos.
Desde una perspectiva ofensiva se puede estar seguro que la llave empieza por 2.
Porque no habrá cien millones de estas cosas sueltas por el mundo... Con 8 cifras son ya 99 999 999 unidades posibles
Crack de la llave WPA en una linea

crunch 9 9 -t 2%%%%%%%% | aircrack-ng <ruta_hacía_handshake> -e <eSSID> -w-

Con una CPU decente hablamos de una decena de horas de brute force y con un i7-6700K se hace en una hora.
¿Alguien ha pedido brechas wifi para estas navidades? Los reyes se han adelantado...

Koala · 18-12-2016 16:57:44

¿Alguien ha pedido brechas wifi para estas navidades? Los reyes se han adelantado..

La fuerza me ha contestado desde un galaxy secreto tongue

martim · 18-12-2016 20:34:48

Mes amis et moi aussi autorisent que je les partages, ils étaient d’ailleurs sur le c*l lorsque j'ai attrapé un handshake sur leur réseau ( plus facile avec le dico quand on connait la clé) et que je leur ai montré cracké leur passphrase.

1AC244 : dc:fe:07:20:51:a7 : 278942151
FE16CA : 30:b5:c2:a1:10:55 : 265426561
A6BDEC : 20:25:64:5e:12:2a : 268259727
24B2CE : c0:7c:d1:ed:fd:2d : 278325817

et les deux derniers regardé bien la correspondance :

8BA00E : e0:69:95:38:3f:df : 232016885
8B96EA : e0:69:95:31:46:85 : 232016238

La mac 30:b5:c2 es un router tp-link

kcdtv · 19-12-2016 10:46:00

Deduzco que eres wizzhard (soy un verdadero Sherlock Holmes tongue )
Gracias otra vez (a ti y a tus [email protected]) por compartir estos datos muy útiles y llamativos (y explícitos) smile
Una cosita de paso: Procuremos hablar castellano en wifi-libre para que todo el mundo se entienda wink
Tengo un par de preguntas:
- ¿En que isla vives y cual es la tele-operadora que usa este modelo de Cisco?
- ¿Podrías pasarme un fichero de captura con unos PROBES Beacon?
- En las guías dicen que el WPS esta activado con PIN 12345670... ¿ Podrías comprobarlo?
Gracias de antemano y gracias otra vez por este regalito de navidades, koala esta contento big_smile

Koala · 19-12-2016 12:57:23

@ martim o wizzhard que es igual tongue

tienes que probar lo que te dice kcdtv (fais les tests que kcdtv te propose si tu veux qu'on puisse aller plus loin) pero es una buena noticia por seguro, no pensaba que la brecha iva a venir de cisco.

Gracias para compartir cool ... y me parece que tengo que pedir mas cosas a papa noel en esta temporada big_smile

Ultima edición por Koala (19-12-2016 12:57:53)

Betis-Jesus · 19-12-2016 23:24:37

el tema de Cisco DPC3925 me suena, en su momento creo recordar recibi datos de este router, tengo bastante datos de la redes telecable y de mexicoya que gran parte de mi usuario registrado es de mexico interesando por la vulneralidades de ZTE ZXHN H108N que a final este soporte los es eliminado.

haber si tengo un tiempo y miro con calma los datos recibido ya que los tengo en msql

carl0os · 20-12-2016 22:16:19

hola me podrían ayudar para registrarme en la pagina de donde esta el enla de de wpa key de router cisco de megacable por al final de la pregunta no le entiendo y es el unico paso que me hace falta para el rgistro.

Koala · 20-12-2016 23:22:05

Hola carl0os

La pagina esta en uno de esos url:
Pagina de administracion
Pagina de administracion 2

Si nunca de esos 2 anda, con linux:

arp -a

Windows --> buscar --> cmd --> y entra eso

IPCONFIG/ALL

kcdtv · 22-12-2016 00:35:54

carl0s, por favor, mandanos un probe o un M1
es simple, en una consola

sudo airmon-ng start wlan0

luego

sudo airodump-ng wlan0mon --bssid <bssid ap> --channel <numero_canal> -w loquesea

en otra consola

sudo reaver -i wlan0mon -b <bssid> -c <canal>

dejas un par de segundo, cierras las dos consolas, y nos pasas el paquete loquesea.cap
si algo no te ha quedado claro lo dices;
gracias de antemano

PD: Bienvenid@ al foro smile

Tema	Respuestas	Vistas	Ultimo mensaje
Extracción de firmware LiveBox 2.1 Arcadyan ARV7520CW22 por Patcher	17	3648	Hoy 11:09:07 por kcdtv
Pegado: Pegado:: Todo sobre al algoritmo WPS Livebox Arcadyan (Orange-XXXX) por kcdtv	12	525	Hoy 10:44:53 por kcdtv
WPS en Technicolor TC7230 ( vodafoneXXXX y vodafoneXXXX-5G ) por kcdtv	6	688	Hoy 10:36:00 por kcdtv
NaranjaMekanika (nmk): Generador PIN por defecto livebox 2.1 y Next por kcdtv	14	697	Hoy 10:22:26 por kcdtv
Actualiza la version de PHP por favy87	10	186	Ayer 00:22:51 por USUARIONUEVO

Foro Wifi-libre.com

Anuncio

#1 18-12-2016 15:11:08