WPS modo PIN livebox fibra: Talón de aquilea de las MiFibra-XXXX

kcdtv · 02-07-2017 00:48:44

WPS modo PIN livebox fibra: Talón de aquilea de las redes MiFibra-XXXX

Quiero lanzar con este hilo una investigación sobre el patrón empleado para generar el PIN por defecto de estas redes.
Seguro que te has cruzado con una de ellas y que su eSSID te ha llamado la atención: MiFibra-XXXX y MiFibra-XXXX-5G
Son las livebox de doble banda construidas por Arcadyan y que emplean Orange y Jazztel (Jazange o orantel ya que son lo mismo ahora)
Es muy probable que hayan elegido este nuevo tipo de eSSID para que haya paz en su matrimonio y que ninguna de las partes se siente infravalorada.
El modelo exacto es el PRV3399B-B-LT
Tranquil@: Tampoco me acordaré big_smile )
Lo llamaremos "livebox fibra"

En las paginas de jazztel y orange.sobre el dispositivo no mencionan a ningún momento el WPS en modo PIN (ver Router Livebox fibra)
Solo evocan el modo PBC.
Si miramos una etiqueta no aparece ningún PIN.
Tampoco se puede ver, configurar o deshabilitar desde la interfaz de gestión.
A primera vista todo invita a pensar que no hay WPS en modo PIN sobre este modelo.

No obstante...
Un escaneo con airodump-ng enseña una configuración WPS que no es "PBC only":

Si probamos un PIN vemos que el WPS está configurado del todo con un PIN definido.

Podéis ver que recibo un NACK tras mandar mi M4 (primera mitad no acertada)
No se puede romper con un PIN en blanco.
El PIN no es 12345670
El router está protegido por un sistema de bloqueo eficaz (no como en la livebox next).
El primer bloqueo durará un minuto y se disparará después tres intentos.
El segundo bloqueo intervendrá después un solo PIN y será eterno (muy muy largo)
Pero...
...Si se consigue dar con la primera mitad (no se activará el bloqueo si pasamos el M5) en 4 intentos redondos se pueden crackear.

El chipset wifi es un broadcom.
No es vulnerable a un ataque pixie dust.
Con las livebox precedentes era claro que cada modelo tenía su propio PIN
En este caso, dónde las cosas no son nada claras, tenemos bastante probabilidades para que se use un(os) PIN genéricos Broadcom.
No es lógico que arcadyan haya hecho un algoritmo para generar un PIN individual que no se usa.
¿Ley de murphy? big_smile

EDIT: ¡ TENEMOS BRECHA ! ir al mensaje #5 para los detalles

EDIT 2: DESDE 25 SETIEMBRE WPS EN MODO PIN DESHABITADO. LIVEBOX FIBRA NO VULNERABLE

Ultima edición por kcdtv (09-07-2017 14:13:00)

Nolose · 02-07-2017 08:40:02

Kc, un familiar dispone de uno de estos, estuve trasteando con él para ver que tal era la seguridad de éste, y... Voilà, pude sacar el PIN WPS.

Mediante el PIN, en pocos segundos se recupera la contraseña sin problema, pero tal como indicas en el post, es imposible verlo en la configuración, ni nada relacionado con él...

En mi caso la MAC era - > E0:51:63

Si necesitáis más datos, los puedo aportar sin problema.

PD. El PIN era 8467XXXX (cumple regla de checksum)

Ultima edición por Nolose (02-07-2017 08:48:59)

kcdtv · 02-07-2017 17:39:11

Muchas gracias por confirmar que no estamos persiguiendo a una... Quimera. big_smile
Si no te molesta mandarme los datos completos por privado te lo agradezco mucho. smile

Edit:
Coloco aquí un link de mucho interés: Livebox Fibra (@ lafibra.info)
No conocía el foro "lafibra.info".
Es una comunidad relativamente nueva y comparable a la nuestra (3 años de existencia, 500 miembros).
Hay temas muy buenos ahí. Recomiendo darse una vuelta por su foro. smile
En su tema sobre Livebox Fibra tenemos a a datos muy interesantes

Primero: unos datos compartidos por jaboboyw (gracias a el):

- Un escaneo (hecho desde la red local) con nmap

$ nmap -A 192.168.1.1

Starting Nmap 7.40 ( https://nmap.org ) at 2017-05-14 10:50 ope
Nmap scan report for 192.168.1.1
Host is up (0.013s latency).
Not shown: 992 closed ports
PORT     STATE SERVICE     VERSION
21/tcp   open  ftp         ProFTPD 1.3.5a
53/tcp   open  domain      dnsmasq 2.75
| dns-nsid:
|_  bind.version: dnsmasq-2.75
80/tcp   open  http        DD-WRT milli_httpd
|_http-server-header: httpd
|_http-title: Login
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
443/tcp  open  ssl/http    DD-WRT milli_httpd
|_http-title: Login
| ssl-cert: Subject: commonName=orange.es/organizationName=Orange/countryName=ES
| Not valid before: 2016-05-23T05:39:20
|_Not valid after:  2031-05-22T05:39:20
445/tcp  open  netbios-ssn Samba smbd 3.0.37 (workgroup: WORKGROUP)
6969/tcp open  tcpwrapped
8080/tcp open  http        DD-WRT milli_httpd
|_http-server-header: httpd
|_http-title: Login
MAC Address: E4:3E:D7:B2:AC:5B (Arcadyan)
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.13
Network Distance: 1 hop
Service Info: OSs: Unix, Linux; Device: WAP; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_clock-skew: mean: 8s, deviation: 0s, median: 8s
|_nbstat: NetBIOS name: LIVEBOXFIBRA, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb-os-discovery:
|   OS: Unix (Samba 3.0.37)
|   NetBIOS computer name:
|   Workgroup: WORKGROUP\x00
|_  System time: 2017-05-14T11:51:10+02:00
| smb-security-mode:
|   account_used: guest
|   authentication_level: share (dangerous)
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_smbv2-enabled: Server doesn't support SMBv2 protocol

Notéis que tiene el servicio ftp activado y que el frimware parece ser una mod de DD-WRT.

- Sistema de ficheros del router obtenidos por ftp:

root@HARKONNEN:~/livebox-fibra# ls -hl
total 188K
drwxr-xr-x 0 root root 4,0K feb 24 09:09 bin
drwxr-xr-x 0 root root 4,0K ene  1  1970 dev
drwxr-xr-x 0 root root 4,0K may 13 19:21 etc
drwxr-xr-x 0 root root 4,0K feb 24 09:09 home
lrwxrwxrwx 1 root root   11 may 13 20:14 init -> bin/busybox
drwxr-xr-x 0 root root 4,0K feb 24 09:09 lib
drwxr-xr-x 0 root root 4,0K may 13 21:23 mnt
drwxr-xr-x 0 root root 4,0K may 13 20:15 mntfs
drwxr-xr-x 0 root root 4,0K may 13 20:17 opt
drwxr-xr-x 0 root root 4,0K may 13 21:44 proc
drwxrwxr-x 0 root root 4,0K ene  1  1970 ramdisk
drwxr-xr-x 0 root root 4,0K feb 24 09:09 ramdisk_copy
drwxr-xr-x 0 root root 4,0K feb 24 09:09 root
drwxr-xr-x 0 root root 4,0K feb 24 09:09 sbin
drwxr-xr-x 0 root root 4,0K may 13 20:53 sys
lrwxrwxrwx 1 root root   11 may 13 20:14 tmp -> ramdisk/tmp
drwxr-xr-x 0 root root 4,0K feb 24 09:09 usr
lrwxrwxrwx 1 root root   11 may 13 20:14 var -> ramdisk/var
drwxr-xr-x 0 root root 4,0K feb 24 09:09 www

Y luego tenemos a unas contribuciones de error666
- Las páginas de la interfaz de gestión

advanced_administration.htm
advanced_firewall_customize.htm
advanced_firewall_customizev6.htm
advanced_firewall.htm
advanced_internet.htm
advanced_network_configuration.htm
advanced_network_dmz.htm
advanced_network_dns.htm
advanced_network_dyndns.htm
advanced_network_nat.htm
advanced_network_ntp.htm
advanced_network_upnp.htm
advanced_notifications.htm
advanced_printer_server.htm
advanced_SPI.htm
advanced_user_remote_access.htm
fileserver.htm
filesFtpAcc.htm
files.htm
firmware_upgrade.htm
firstconnection.htm
forbidden.htm
help.htm
hidden_factory.htm
hurl_diagnostic_aclblock.htm
hurl_diagnostic_internet.htm
hurl_diagnostic_internet_start.htm
hurl_diagnostic_ptro.htm
index.htm
indexRemote.htm
inform_boot.htm
inform_upgrade.htm
internetpwd.htm
lan_portMode.htm
legal_information.htm
loginduperr.htm
loginerr.htm
login.htm
loginRemote.htm
multicast.htm
nas_addUser.htm
nas_admin.htm
nas_basic.htm
nas_sharedFolder.htm
nat.htm
network_connected.htm
network_disconnected.htm
phones.htm
softphones.htm
status_authpage.htm
status.htm
status_real.htm
support_backup.htm
support_customer.htm
support_factory.htm
support_firmware.htm
support_information_adsl.htm
support_information_ftth.htm
support_information.htm
support_information_internet.htm
support_information_lan.htm
support_information_tv.htm
support_information_usb.htm
support_information_voip.htm
support_information_wifi5G.htm
support_information_wifi.htm
support_leds.htm
support_restart.htm
support_restore.htm
sysok.htm
tc2aketru85y.htm
top.htm
topRemote.htm
urlBlocking.htm
uuw5efex42up.htm
voice_status.htm
w8uy5ku2eyug.htm
wait.htm
wifi_advanced.htm
wifi_darmowe.htm
wifi_guest.htm
wifi_main.htm
wifi_scheduling.htm
wifi_settings.htm
x6etha2ru53d.htm
yep8at3xaw49.htm
zef2kufub57e.htm
zVbhYXPj4mBziXh.htm

- Las *.cgi

cgi_authpage.js
cgi_bridged_lan.js
cgi_broadbandHidden.js
cgi_broadband.js
cgi_ddns.js
cgi_dns.js
cgi_evtlog.js
cgi_firewall.js
cgi_firmware.js
cgi_fw_access_control.js
cgi_fw_customize.js
cgi_fw_customizeV6.js
cgi_fw_dmz.js
cgi_home.js
cgi_infoFtth.js
cgi_infoInternet.js
cgi_info.js
cgi_infoLan.js
cgi_infoSip.js
cgi_infoUSB.js
cgi_infoWifi.js
cgi_lan_ipv6.js
cgi_lan.js
cgi_lan_portMode.js
cgi_leds.js
cgi_multicast.js
cgi_nas.js
cgi_nat.js
cgi_network_acl.js
cgi_network_connected.js
cgi_network_customize.js
cgi_network_disconnected.js
cgi_ntp.js
cgi_phones.js
cgi_portForwarding.js
cgi_portloopdetect.js
cgi_predefined_app.js
cgi_predefined_ipv6app.js
cgi_qos.js
cgi_qos_rule.js
cgi_qos_shaping.js
cgi_remote_access.js
cgi_remote_mgmt.js
cgi_route.js
cgi_securePassword.js
cgi_settings.js
cgi_softphones.js
cgi_status.js
cgi_sys_slid.js
cgi_sys_smtp.js
cgi_system.js
cgi_tr69.js
cgi_upnp.js
cgi_URLblocking.js
cgi_usb_dlna.js
cgi_usb_printer.js
cgi_voice_addUser.js
cgi_voiceAdvanced.js
cgi_voiceConnections.js
cgi_voiceExtensionsIN.js
cgi_voiceExtensionsOUT.js
cgi_voicePhone.js
cgi_voice_status.js
cgi_wan_iptv.js
cgi_wan.js
cgi_wan_pon.js
cgi_wan_veip_bridge.js
cgi_wan_voip.js
cgi_wifi.js
cgi_wifi_logo.js
cgi_wifi_ssid.js
cgi_wireless.js
renewPi.js

Luego tenemos a estos aporte de error666
log/stdout por puerto AJ4

NANDFLASH:
    block: 128KB(1024), page: 2KB, oob: 64Bytes
nandflash_bbt_scan_block: detect bad block marker @ 0x6000000

NVRAM(0) MAGIC checking passed!
NVRAM(0) CRC checking passed!
total 10 of NVRAM(0) entries loaded

NVRAM(1) MAGIC checking passed!
NVRAM(1) CRC checking passed!
total 11 of NVRAM(1) entries loaded

BOOTLOADER version 1.2.3 for PRV3399B_B_LT
Build Date: Mon Sep 12 19:20:19 2016 (paul_shih@BuildBed)

Chip ID: BCM68380B0 MIPS: 600MHz, DDR: 533MHz, Bus: 240MHz, RDP: 800MHz
Memory Test Passed!
Total Memory: 268435456 bytes (256MB)
*** Press any key to stop auto run (0 seconds) ***
Auto run second count down: 0
Loading secondary image ...
Finished loading 5242880 bytes
DATE    : Mon Jan  9 17:50:15 2017
VER     : v0.03.04.091
CRC     : 375DF94B
CRC OK!
Signature OK!
Decryption OK!
Decompression OK!
Code Address: 0x80010000, Entry Address: 0x8044dad0
Starting program at 0x8044dad0
D%GQuantenna Mini U-Boot
Version: v37.4.0.28 Built: Oct 26 2015 at 19:23:50
br
1G-FD
Using br device
TFTP from server 1.1.1.1; our IP address is 1.1.1.2
Filename 'u-boot.bin'.
Load address: 0x88000000
Loading: T ###############
done
Bytes transferred = 71768 (0x11858)
Boot reached stage 13
Boot reached stage 12
Valid CRC found in flash restoring env...
Boot reached stage 11
hw_config_id 65535: 'QTM840_5S3_MAC'
Cold boot
Reset status: 0x00000001

Info: data uncached: addr=0xc0000000 size=1024MB
Info: text at 0x88040000, stack at 0x88013ffc(8192), heap at 0x88000000(73728), uboot size 177840
Info: i-cache is enabled
Info: d-cache is enabled
Info: CPU freq is 500000000, dev freq is 125000000

Info: Quantenna U-Boot version:v37.4.0.28
Info: build date 'May 25 2016', time '16:28:25'

SPI flash info:
        name             : mx25l512e
        jedec_id         : 0xc22010
        sector size      : 4096
        number of sector : 16
        frequency        : 104000000
        flags            : 0x2
        lock             :
DDR_INIT: type = 16, speed = 2, size = 134217728

...

No core dump generated
[   20.420000] qdrv_radar_is_rdetection_required: ERROR - channel not yet set
[   20.470000] Build name:            v37.4.0.62.1
[   20.475000] Build revision:        45030
[   20.480000] Build type:            SDK
[   20.485000] Build timestamp:       1479324866
[   20.490000] Platform ID:           432
[   20.490000] Hardware ID:           QV840
[   20.495000] Hardware revision:     bbic4_rev_a2
[   20.500000] Band:                  5GHz
[   20.505000] Kernel version:        2.6.35
[   20.510000] Calibration version:   disabled
[   20.515000] DC/IQ cal version:     V8.1
[   20.515000] Power cal version:     V8.1
[   20.520000] MuC firmware:          qtn_driver.qtn_ruby.0.bin
[   20.525000] DSP firmware:          rdsp_driver.0.bin
[   20.530000] AuC firmware:          auc_driver.0.bin
[   20.535000] MAC address 0:         e4:3e:be:ef:88:64
[   20.540000] MAC address 1:         00:00:00:00:00:00
[   20.545000] U-Boot version:        v37.4.0.28
Carrier ID 0, uboot update flag 0
complete
[   21.105000] MuC: Update MU debug flag from 0x20000000 to 0x00000000
[   21.105000] MuC: MU enabled
[   21.105000] AuC: Update mu flag : 0x00000000. Max delay = 0
radar start with regulatory eu
Stopping MAUI service
MAUI Service started....
Starting ntpclient
/scripts/cmdloop starting /sbin/qharvestd, at 21:13:50 up 1 min, load average: 0.33, 0.14, 0.05
qharvestd[notice]: qharvestd v1.27 started
cat: can't open '/etc/custom/device-id': No such file or directory
qharvestd[info]: rest for 120s (120s 0ms after adjustment)
[  134.560000] qdrv_radar_is_rdetection_required: ERROR - channel not yet set
[  134.560000] MuC: ioctl_power_save, level: 0 -> 5
qharvestd[info]: start oauth processing at 200.614096855
qharvestd[info]: target: https://qharvest-prod.quantenna.com/api/auth/token
qharvestd[info]: request: { "username": "1054|e4:3e:be:ef:88:64", "password": "0000", "grant_type": "password", "scope": "device" }
qharvestd[error]: curl_easy_perform(): Empty reply from server

qharvestd[info]: finish oauth processing at 262.303742771 (in 66639ms)
qharvestd[info]: poll_request: exponential backoff scale is 3
qharvestd[info]: next poll_request will be in 15 seconds
qharvestd[info]: rest for 15s (0s 0ms after adjustment)
qharvestd[info]: start oauth processing at 267.309620067
qharvestd[info]: target: https://qharvest-prod.quantenna.com/api/auth/token
qharvestd[info]: request: { "username": "1054|e4:3e:be:ef:88:64", "password": "0000", "grant_type": "password", "scope": "device" }
qharvestd[error]: curl_easy_perform(): Unknown SSL protocol error in connection to qharvest-prod.quantenna.com:443

qharvestd[info]: finish oauth processing at 338.514272291 (in 61004ms)
qharvestd[info]: poll_request: exponential backoff scale is 4
qharvestd[info]: next poll_request will be in 23 seconds
qharvestd[info]: rest for 23s (0s 0ms after adjustment)
qharvestd[info]: start oauth processing at 328.519580191
qharvestd[info]: target: https://qharvest-prod.quantenna.com/api/auth/token
qharvestd[info]: request: { "username": "1054|e4:3e:be:ef:88:64", "password": "0000", "grant_type": "password", "scope": "device" }
qharvestd[error]: curl_easy_perform(): Empty reply from server

qharvestd[info]: finish oauth processing at 391.321434571 (in 65703ms)
qharvestd[info]: poll_request: exponential backoff scale is 5
qharvestd[info]: next poll_request will be in 50 seconds
qharvestd[info]: rest for 50s (0s 0ms after adjustment)
qharvestd[info]: start oauth processing at 391.325444051
qharvestd[info]: target: https://qharvest-prod.quantenna.com/api/auth/token
qharvestd[info]: request: { "username": "1054|e4:3e:be:ef:88:64", "password": "0000", "grant_type": "password", "scope": "device" }
qharvestd[error]: curl_easy_perform(): Unknown SSL protocol error in connection to qharvest-prod.quantenna.com:443


> fqharvestd[info]: start oauth processing at 464.46567354
qharvestd[info]: target: https://qharvest-prod.quantenna.com/api/auth/token
qharvestd[info]: request: { "username": "1054|e4:3e:be:ef:88:64", "password": "0000", "grant_type": "password", "scope": "device" }
g
> qharvestd[info]: response: { "access_token": "rTdTETG644DFdsfsfsvfg083lxnlkdjfcDFTTsdjldsljd037dsFSDAHfder9937Sfdsfthfvcxlshgfzjzjk836jd9dhaGTGDaiidcsYslkkhs082dsdDDewda34dwddsDDe32gj633gbsfGD", "scope": "device", "expires_in": 86400 }
qharvestd[info]: finish oauth processing at 464.86533678 (in 868ms)
qharvestd[info]: start poll_request processing at 464.743508298
qharvestd[info]: Cause Register: e0000010 : 00000009
qharvestd[info]: carrier_id: 0
qharvestd[info]: SSID_str: MiFibra-8861-5G
qharvestd[info]: SSID_str: Invitado-8861
qharvestd[info]: health_flags: 0
qharvestd[info]: target: https://qharvest-prod.quantenna.com/api/poll
qharvestd[info]: request: { "version": 3, "mac_addr": "e4:3e:be:ef:88:64"", "timestamp": "2017-02-31 23:52:28", "current_firmware_version": "37.4.0.62n432-1.27", "wifi_mode": "ap", "uptime": 3565, "reboot_cause": 1, "carrier_id": 0, "region": "es", "interfaces": [ { "name": "wifi0", "physical": "wifi0", "bssid": "e4:3e:be:ef:88:64"", "ssid": "MiFibra-8861-5G", "channel": 60, "bw": 80, "protocol": 16 }, { "name": "wifi1", "physical": "wifi0", "bssid": "e4:3e:be:ef:88:64"", "ssid": "Invitado-8861" } ] }
qharvestd[info]: response: { "poll_url": "https:\/\/qharvest-prod.quantenna.com\/api", "poll_enable": true, "poll_interval": 14400, "upgrade_enable": false, "upgrade_interval": 86400, "config_enable": true, "config_interval": 42300, "log_assoc_table_enable": false, "log_assoc_table_interval": 86400, "log_phy_stats_enable": false, "log_phy_stats_interval": 86400, "log_messages_enable": true, "log_messages_interval": 10800, "log_vsp_strms_enable": false, "log_vsp_strms_interval": 86400, "log_scs_report_current_enable": false, "log_scs_report_current_interval": 86400, "log_scs_report_all_enable": false, "log_scs_report_all_interval": 86400, "log_scs_report_autochan_enable": false, "log_scs_report_autochan_interval": 31536000, "log_vsp_stats_enable": false, "log_vsp_stats_interval": 86400, "config_vsp_enable": false, "config_vsp_interval": 86400, "log_gather_info_enable": false, "log_gather_info_interval": 86400, "log_scan_enable": true, "log_scan_interval": 14400, "bidicmd_enable": true, "bidicmd_interval": 300, "log_capabilities_enable": false, "log_capabilities_interval": 86400, "dynamic_polling_enable": false, "dynamic_polling_interval": 0, "dynamic_polling_smooth": 0.000000, "log_bundled_stats_enable": true, "log_bundled_stats_interval": 7200, "wss_url": "https:\/\/qharvest-prod.quantenna.com:8443\/", "dynamic_polling_thresholds": { "cnt_sp_fail": 0, "cca_idle": 0, "cnt_lp_fail": 0, "rssi": 0, "cca_int": 0, "tx_phy_rate": 0 }, "log_bundled_stats_delay": 6276, "config_vsp_delay": 49464, "log_capabilities_delay": 49472, "log_scs_report_autochan_delay": 49460, "log_scs_report_all_delay": 49458, "log_gather_info_delay": 49466, "log_vsp_strms_delay": 49454, "log_phy_stats_delay": 49450, "bidicmd_delay": 270, "log_scs_report_current_delay": 49456, "log_messages_delay": 6252, "log_scan_delay": 6268, "poll_delay": 14400, "config_delay": 18846, "upgrade_delay": 49444, "log_assoc_table_delay": 49448, "dynamic_polling_delay": null, "log_vsp_stats_delay": 49462 }
qharvestd[info]: response.redirect_url same as config.base_url
qharvestd[info]: poll_request: [was]enabled=[-1]1, delay=14400, interval=14400, timeout=14400
qharvestd[info]: config_request: [was]enabled=[0]1, delay=18846, interval=42300, timeout=18846
qharvestd[info]: log_gather_info_request: [was]enabled=[0]0, delay=49466, interval=86400, timeout=0
qharvestd[info]: log_messages_request: [was]enabled=[0]1, delay=6252, interval=10800, timeout=6252
qharvestd[info]: config_vsp_request: [was]enabled=[0]0, delay=49464, interval=86400, timeout=0
qharvestd[info]: log_message_vsp_strms_request: [was]enabled=[0]0, delay=49454, interval=86400, timeout=0
qharvestd[info]: log_message_vsp_stats_request: [was]enabled=[0]0, delay=49462, interval=86400, timeout=0
qharvestd[info]: log_message_scs_report_all_request: [was]enabled=[0]0, delay=49458, interval=86400, timeout=0
qharvestd[info]: log_message_scs_report_autochan_request: [was]enabled=[0]0, delay=49460, interval=31536000, timeout=0
qharvestd[info]: log_scan_request: [was]enabled=[0]1, delay=6268, interval=14400, timeout=6268
qharvestd[info]: upgrade_request: [was]enabled=[0]0, delay=49444, interval=86400, timeout=0
qharvestd[info]: check_health: [was]enabled=[0]0, delay=0, interval=0, timeout=0
qharvestd[info]: log_capabilities_request: [was]enabled=[0]0, delay=49472, interval=86400, timeout=0
qharvestd[info]: log_bundled_stats_request: [was]enabled=[0]1, delay=6276, interval=7200, timeout=6276
qharvestd[info]: got new bidicmd_url: https://qharvest-prod.quantenna.com:8443/
qharvestd[info]: finish poll_request processing at 565.118835926 (in 254ms)
qharvestd[info]: next poll_request will be in 14400 seconds
qharvestd[info]: rest for 6252s (6251s 746ms after adjustment)
qharvestd[info]: reschedule in 500ms
qharvestd[info]: start log_bidicmd_request processing at 465.626643598
qharvestd[info]: Connected to https://qharvest-prod.quantenna.com:8443/
qharvestd[info]: finish log_bidicmd_request processing at 466.643776222 (in 500ms)
qharvestd[info]: rest for 6251s (6250s 500ms after adjustment

Ahora viene la perla.....
Información obtenida mediante J5:

NANDFLASH:
    DEVICE ID: 0x98f18015f2, size: 131072KB, type: SLC
    block: 128KB(1024), page: 2KB, oob: 64Bytes
nandflash_bbt_scan_block: detect bad block marker @ 0x6000000

NVRAM(0) MAGIC checking passed!
NVRAM(0) CRC checking passed!
total 10 of NVRAM(0) entries loaded

NVRAM(1) MAGIC checking passed!
NVRAM(1) CRC checking passed!
total 11 of NVRAM(1) entries loaded

BOOTLOADER version 1.2.3 for PRV3399B_B_LT
Build Date: Mon Sep 12 19:20:19 2016 (paul_shih@BuildBed)

Chip ID: BCM68380B0 MIPS: 600MHz, DDR: 533MHz, Bus: 240MHz, RDP: 800MHz
Memory Test Passed!
Total Memory: 268435456 bytes (256MB)
Board IP address        192.168.1.1
Board IP netmask        255.255.255.0
Gateway IP address      0.0.0.0
Server IP address       192.168.1.99
Boot image (1 or 2)     2
Temp boot (0, 1 or 2)   0
Boot countdown delay (0 to 3)   0
GPON serial number      41-52-4C-54-63-69-88-69
GPON password           30-32-33-33-38-39-36-39-57-62
Serial number           ARLT63698869
MAC address number      4
MAC address base        E4-3E-BE-EF-88-61
Wireless SSID   8861
Wireless key    ubotDE39
Wireless WPS pin        66889922
Admin password  ubotDE39
Hardware version        R02
Manufacturing mode (0 or 1)     0
*** Press any key to stop auto run (0 seconds) ***
Auto run second count down: 0
Loading secondary bootram ...
Decryption OK!
Decompression OK!
Entry at 0x8b500000
Starting program at 0x8b500000

Fijaros en la secuencia esta que vale ojo.
GPON serial > GPON password > numero de serie > bSSID > eSSID > wireless key > wireless PIN

GPON serial number 41-52-4C-54-63-69-88-69
GPON password 30-32-33-33-38-39-36-39-57-62
Serial number ARLT63698869
MAC address number 4
MAC address base E4-3E-BE-EF-88-61
Wireless SSID 8861
Wireless key ubotDE39
Wireless WPS pin 66889922
Admin password ubotDE39

Numero de serie- bssid -essid y PIN están relacionados cool
Tenemos la posibilidad de deducir un algoritmo basado en el bssid para calcular el PIN
La misión es posible.

LDASTING · 03-07-2017 21:30:32

La mía es esta ARLT70309771

kcdtv · 09-07-2017 16:11:39

Brecha WPS severa en las redes 5Ghz de las "livebox fibra": PIN genérico 12345670 habilitado por defecto

Breve recordatorio:

La "liveboxfibra" es un PRV3399B-B-LT (de Arcadyan) con soporte para estándar ac empleado actualmente tanto por Jazztell que por Orange
Tiene por defecto dos redes activadas:
- Una red b/g/n con eSSID por defecto MiFibra-XXXX (dónde los X son caracteres hexadecimales)
- Una red ac con eSSID por defecto MiFibra-XXXX-5G (dónde los X son caracteres hexadecimales)
El protocolo WPS en modo PIN está habilitado por defecto en ambas redes
El WPS de la red b/g/n está configurado con un PIN por defecto no genérico. Tiene el sistema de bloqueo WPS habilitado y este está correctamente configurado: El router bloquea el WPS muchísimo tiempo después unos cuantos PIN erróneos. El ataque WPS de fuerza bruta contra la red 2.4Ghz no es viable. Tampoco es vulnerable a un ataque pixie dust

la brecha: La red ac (5Ghz) viene con el PIN 12345670 configurado por defecto

Es el usuario LDASTING quien ha reportado la brecha aquí (gracias a el wink )

Impacto y grado de severidad

Explotar la vulnerabilidad es de lo más trivial y recuperar la llave WPA de la red "ac" se hace literalmente en un par de segundos.

El impacto de la brecha es aún mayor sabiendo que se emplea por defecto la misma llave para cifrar la red 2.4Ghz y para obtener privilegios de administración en la interfaz de gestión del router.

Contra medida

Reiniciar a nivel de fabrica, desactivar la red 5Ghz, cambiar la contraseña WPA de la red 2.4Ghz y cambiar los credenciales para acceder a la interfaz de configuración.

Patcher · 10-07-2017 07:38:23

Felicitaciones a ambos, buen trabajo. No esperaba que se hallase una vulnerabilidad en estos routers de forma tan rápida.

Debiéramos actualizar también el hilo con el listado de pines genéricos https://www.wifi-libre.com/topic-626-ba … izada.html

¿Podemos saber las MAC afectadas?

Ultima edición por Patcher (10-07-2017 07:44:18)

kcdtv · 10-07-2017 09:13:16

Felicitaciones a ambos, buen trabajo. No esperaba que se hallase una vulnerabilidad en estos routers de forma tan rápida.

Yo tampoco lol
Sigo alucinando... big_smile

Debiéramos actualizar también el hilo con el listado de pines genéricos

Si... Lo tengo descuidado tongue .... Hay varias cosas que no he puesto.
Podemos poner los bSSID que tengamos aquí y los meteré en la base de datos
Esto es lo que tengo:

e0:51:63
e4:3e:d7

LDASTING · 10-07-2017 09:19:18

Hay muchas más pon mejor todas las livebox fibra ya que hay muchas macs
48:8D:36

Ultima edición por LDASTING (10-07-2017 09:28:00)

Patcher · 10-07-2017 10:08:02

Para añadirlo a la base de datos de Waircut son necesarias las MAC o el modelo tal y como se anuncia en los probes. He visto en una de las imagenes de LADASTING que el modelo se anuncia como "QV840 432" ¿Es correcto, todos se anuncian así?.

LDASTING · 10-07-2017 10:13:14

SI es ese

Xavi · 10-07-2017 10:44:09

Buenas, soy nuevo en el foro, mi pregunta es, si tu adaptador no trabaja en la banda de los 5 Ghz no sería posible probar dicho pin, verdad? Porque al hacer un escaneo no sale ninguna red 5G, incluida la mía.

Ultima edición por Xavi (10-07-2017 10:45:03)

Patcher · 10-07-2017 11:27:40

Xavi escribió:

Buenas, soy nuevo en el foro, mi pregunta es, si tu adaptador no trabaja en la banda de los 5 Ghz no sería posible probar dicho pin, verdad? Porque al hacer un escaneo no sale ninguna red 5G, incluida la mía.

Eso es algo básico, para scanear o conectarse a una red de 5GHz es necesario un adaptador para esa frecuencia.

LDASTING · 10-07-2017 11:35:31

Patcher escribió:

Para añadirlo a la base de datos de Waircut son necesarias las MAC o el modelo tal y como se anuncia en los probes. He visto en una de las imagenes de LADASTING que el modelo se anuncia como "QV840 432" ¿Es correcto, todos se anuncian así?.

Pero ese es el chip quantenna
El modelo del router es este
Arcaydan PRLV3399B_B_LT

kcdtv · 10-07-2017 11:50:51

¿Es correcto, todos se anuncian así?.

Nope....
BSS e0:51:63

	WPS:	 * Version: 1.0
		 * Wi-Fi Protected Setup State: 2 (Configured)
		 * AP setup locked: 0x01
		 * Response Type: 3 (AP)
		 * UUID: 9c7bbd46-d701-3557-eefe-fd1da0fea9bf
		 * Manufacturer: Arcadyan
		 * Model: Arcadyan
		 * Model Number: 123456
		 * Serial Number: 1234
		 * Primary Device Type: 6-0050f204-1
		 * Device name: PRV3399B_B_LT
		 * Config methods: Label, Display
		 * RF Bands: 0x1
		 * Unknown TLV (0x1049, 6 bytes): 00 37 2a 00 01 20

Información suplementaria disponible desde la interfaz en Parámetros del sistema

número de serie ARLT7060XXXX
versión middleware AR_LBFIBRA_sp-00.03.04.104(Fri Feb 24 17:09:45 2017)
versión de bootloader 1.2.3-ES (Mon Sep 12 19:20:19 2016)
versión de hardware ARLTLBFIB2.0.0

iiKings · 10-07-2017 16:01:49

Hola a todos.

Llevaré un par de dias trasteando y mirando sobre redes mifibra-xxxx, estuve siguiendo este hilo desde el principio.
Sinceramente, al ver estas redes lo primero que vino a mi mente fue suponer que era imposible, pero lo habeis conseguido, mis respetos!

Muchas felitaciones al equipo de wifi-libre.

kastell · 24-07-2017 15:16:23

Hola, en primer lugar, felicitaciones por haber llegado a estas conclusiones tan rápidamente y haber descubierto este fallo tan grave respecto a estas redes.
El caso es que yo he llegado a esa conclusión por mi mismo, sin haber leído nada, me ha dado por probar con la red de 5Ghz después de varios bloqueos largos en la de 2ghz y "voilá" me encontré con la sorpresa de que esa banda llevaba el primer pin, el más sencillo con lo que ello acarrea.

Pero el caso es que leyendo vuestro post, veo claramente que hay una relación muy concreta entre el nombre de la red, el número de serie y la mac, por lo que creo que será muy posible sacar un algoritmo para calcular el pin por defecto de cada router en la banda de 2Ghz, realmente es lo que ahora me interesa más, ya que la penetración es sencilla a través de la banda de 5Ghz.

Haber si algún, "gurú" consigue sacar un algoritmo para calcular el pin por defecto, y los poseedores de este tipo de redes, deberían seguir a raja tabla las indicaciones que han descrito en este post, para salvaguardar su seguridad.

Saludos y enhorabuena por el foro, soy nuevo por aquí.

LDASTING · 24-07-2017 18:27:26

Yo al principio no me creía pero lo intente y descubrí una brecha de seguridad en la banda 5 ghz

kcdtv · 25-07-2017 18:38:07

Buenas tardes kastell (y bienvenido al foro) smile

Haber si algún, "gurú" consigue sacar un algoritmo para calcular el pin por defecto,

Generalmente esta postura no es muy "productiva". tongue
A lo mejor si hechas un poco de carne en el asador compartiendo tus teorías y ideas, aunque sean erroneas, puedes inspirar y dar ganas de buscar contigo y los otros participantes en el hilo el algoritmo. smile
Es efectivamente un reto muy interesante encontrar este algoritmo por varios motivos.
- Primero porque la red 5GHz puede estar apagada.
- Segundo porque es muuuuuuy probable que sea el mismo que para la livebox NEXT y las livebox 2.1
El brute force PIN es factible contra estos modelos pero es muy largo debido a la necesidad de hacer una pausa de 30 segundos entre cada PIN para no despertar el bloqueo del WPS
Tener un generador de PIN por defecto para aracdyan livebox seria un puntazo...

Zipmalossi · 19-09-2017 11:53:01

Hola me podrias indicar la manera dd hackear mifibra? Me llegan varias a la casa pero no se como se hackear lo e intentado con wifilax me podrías decir que comandos poner? Hola me podíais decir paso a paso como hackear mi fibra?

Patcher · 19-09-2017 13:51:04

@Zipmalossi, te has equivocado de foro aquí no se da soporte a la intrusión en redes ajenas... Ni tampoco enseñamos a leer...

kcdtv · 19-09-2017 15:10:12

Patcher escribió:

Ni tampoco enseñamos a leer...

lol
@ Zipmalossi
Si sería paranoico pensaría que vienes a hacer el troll tan tu "pregunta" es... tongue
Prefiero pensar que no has leído el tema (ni ninguno otro en el foro) y que cuando te has registrado has aceptado las normas sin tampoco leerlas.
Debes hacerlo y cambiar tu actitud sino las cosas "no van a fluir"... wink

Coronel · 20-09-2017 15:31:12

Donde vivo hace poco que Orange ha instalado fibra óptica y han empezado a poner routers Mifibra-XXXX, por el momento no tengo ningún adaptador para redes 5 Ghz pero sí una tablet y un smartphone Android que funciona a 2,4 y 5 Ghz. Con Android no puedo cambiar el PIN WPS así que no puedo utilizarlo para acceder a estas redes, la cuestión no es esa. Unas 3 o 4 redes de Mifibra-XXXX tienen el 5 Ghz deshabilitado, no creo que tantos usuarios tengan conocimientos para deshabilitarlo. Es un problema de Android o realmente están deshabilitados? Puede que Orange haya reaccionado y lo está deshabilitando, si alguien tiene un smartphone Android con wifi 5 Ghz, por favor verificar si lo detecta el móvil. Gracias.

kcdtv · 20-09-2017 16:46:39

Puede que Orange haya reaccionado y lo está deshabilitando,

No. Si Orange reaccionaría deshabilitaría el wps no deshabilitaría toda la red. big_smile

no creo que tantos usuarios tengan conocimientos para deshabilitarlo.

¿Crees que hace falta un master del MIT para hace esto? tongue

semaforo verde = activado semarofo rojo = desactivado.

Si usas el gestor de redes para escanear es normal que no te salgan todas las redes y sabiendo que las redes ac llegan menos lejos que las redes bgn... Podrás deducir tú mismo lo que está probablemente pasando y el porqué.
Te recuerdo amistosamente que aquí no damos soporte a la intrusión... wink

Coronel · 20-09-2017 16:56:50

Te agradezco la respuesta, ya sé que no se da soporte a intrusión, para mucha gente acceder al router le da "miedo" porque creen que lo pueden romper y no saben que es 2,4 y 5 Ghz.

kcdtv · 20-09-2017 18:28:28

Te puedes encontrar de todo.
Pero un ISP no deshabilita toda la red para apagar el WPS.
Técnicamente supone el mismo esfuerzo...
...¿Y te imaginas el lío?
.La gente paga por ejemplo 129,95€ al mes para "fibra óptica "500 Mbps simétricos "Orange Love familia" + tres tarjetas SIM , 24GB + la liga"-... ¿Y de repente cortan la red rápida sin darles explicaciones? Los barrios estarían en llamas big_smile
La box se actualiza automáticamente así que de todo modo serían todas las redes 5Ghz que serían apagadas, no tres.
Muy probablemente simplemente no salen en tu gestor de red (que no sirve para detectar bien las redes) por falta de señal.
La red ac llega menos lejos que la red bgn y tu chipset ac es menos sensible que tu chipset bgn.
Fíjate en tu móvil y verás que tienes menos señal para la red 5ghz que para la red 2.4Ghz de una livebox desde un mismo punto.

Tema	Respuestas	Vistas	Ultimo mensaje
¡Vienen grandes cambios! por Takomou	2	247	29-05-2023 15:25:52 por Patcher
Pegado: Pegado:: Wireless Air Cut, auditoria del protocolo wps en Windows por Patcher [ 1 2 3 … 21 ]	521	340556	10-05-2023 18:24:28 por Betis-Jesus
Hospital clinic dump por wifiyeah [ 1 2 ]	27	1264	09-05-2023 21:32:44 por kcdtv
Hacktivismo por CHARGER22	1	214	08-05-2023 19:53:26 por kcdtv
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	447	66160	22-04-2023 15:31:13 por kcdtv

Foro Wifi-libre.com

#1 02-07-2017 00:48:44