El libre pensamiento para un internet libre
No estas registrado.
Vídeo de demostración
vídeo previamente publicado aquï: 0 Day crack ZTE Jazztell explotando nueva vulnerabilidad PIN
Jazztel ha exclusivamente empleado estos modelos durante años después elegir ZTE como proveedor de hardware en lugar de Comtrend y Technicolor
Diría que los primeros PA de este tipo han aparecido por mi barrio en 2012-2013
Se distinguen fácilmente de los Comtrend porque su eSSID por defecto gasta 4 dígitos ascii (JAZTELL_XXXX) mientras que los Comtrend o Technicolor tienen 4 o 6 caracteres hexadecimales.
Al contrario; los routers ZTE F660 y ZTE F680 no son vulnerables.
El ZTE F680 tiene soporte "ac": Son menos comunes que los modelos vulnerables.
Si tu adaptador wifi es de doble banda los distingues enseguida porque emiten dos redes
El eSSID de la red ac es el mismo que el eSSID de la red b/g/n añadiendo "_5G" al final
JAZZTEL_XXXX en frecuencias de 2.4 GHz y JAZZTEL_XXXX_5G en frecuencias de 5GHz
Si es un FTE 660 o si tu WiFi es unicamente b/g/n se pueden distinguir mirando los paquetes PROBE,
Veremos cómo en el manual, es muy fácil.
En sus inicios estos tres modelos venían con el PIN 12345670 activado por defecto
Es la peor configuración posible ya que reaver las crackeaba con un solo intento: 12345670 es el PIN que manda reaver primero.
Captura del 2014:
Tenían además una puerta trasera ya que los técnicos de Jazztel solían "olvidarse" una cuenta con derechos de administrador
user: avanzado
pass: avanzado
Eran probablemente los PA los más inseguros en 2014-2015.
La cosa cambió en 2015: Jazztel actualizó todos los firmwares y el PIN 12345670 no estaba habilitado. (Y la cuenta avanzado:avanzado fue deshabilitada)
Un ataque brute force no daba resultado, no conseguíamos comprobar un solo PIN...
Lo mismo que hoy en día.
Si intentas hacer un ataque de fuerza bruta no llegarás a ninguna parte:
El router manda un M5 (primera mitad supuestamente acertada) cuál sea el PIN que mandes
Y podrías probar todos los PIN posibles y siempre tendrás un M5 pero nunca tendrás el M7-M8 => llave WPA.
¿Por qué? Sigas leyendo...
Hemos hablado aquí de esta idea hace meses atrás: Crack WPS mandando un PIN "en blanco" (null)
Recuerdo que para tener el WPS en modo PIN correctamente configurado un fabricante debe (en teoría):
Habilitar el WPS
Configurar un PIN que cumple con la regla checksum
Es lo que estipula la wifi-aliance en su especificación del WPS
En la practica hemos visto que todo es posible y que los fabricantes se saltan las reglas.
Por ejemplo los routers pueden tener un PIN por defecto "no conforme".
Es decir un PIN que no respectan la regla Checksum (el Amper WLAN_XXXX por ejemplo)
En este caso la configuración WPS se ha hecho así:
BusyBox vv1.9.1 (2014-02-08 20:26:13 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.
# nvram show | grep wps_device_pin
size: 2659 bytes (30109 left)
wps_device_pin=
#
Tenemos a una variable wps_device_pin que está declarada.
El valor atribuido es ... nada. Es decir NULL (nulo)
El WPS está habilitado sin PIN definido: Una configuración que sale del guión de la Wifi-Alliance.
Para recuperar la llave en estos casos se debe mandar un PIN en blanco.
Cosa que podéis hacer con reaver desde la versión 1.6.b. con la opción -p mejorada.( "-p with arbitrary string")
-p, --pin=<wps pin> Use the specified pin (may be arbitrary string or 4/8 digit WPS pin
La opción permite mandar la cadena que sea en lugar de un PIN WPS conforme (8 dígitos y el ultimo es una suma de comprobación de los siete anteriores)
se hace con
-p ""
o
-p ''
* Podemos mandar un PIN que no cumple la regla del checksum para estos routers que no cumplen la regla
* Podemos mandar un PIN en blanco para crackear los puntos de acceso que tienen su PIN definido sin valor
* Podemos mandar "¡Quiero la llave WPA!".... Desgraciadamente no suele dar resultados, ni siquiera con un "Por favor"
Puede ser lo que queréis.
De paso doy las gracias a binnarymaster para proponer y codificar esta mejora de la opción -p "con cadenas arbitrarias" . (ver Add arbitrary string PIN feature )
Notad que el fantástico Wireless Air Cut para Windows amigo de nuestro amigo Patcher es también capaz de mandar un PIN en blanco y aprovechar esta brecha.
* Por lo que es de hacerlo desde Windows con waircut les invito a consultar el hilo dedicado: Wireless Air Cut, auditoria del protocolo wps en Windows
Lo hago desde Kali pero los pasos valen para cualquier distribución basada en debian.
Instalar la dependencia:
sudo apt install libcap-dev aircrack-ng
Si no está hecho ya instalas git:
sudo apt install git
Descargas la rama GitHub
git clone https://github.com/t6x/reaver-wps-fork-t6x.git
Situarse en el directorio que se acaba de crear para alojar el código fuente
cd /reaver-wps-fork-t6x*/src/
Compilar
./configure && make
Instalar
sudo make install
Sí tienes reaver ya instalado no pasa nada: Instalando reaver 1.6.1 lo "actualizarás"
Activar el modo monitor con airmon-ng
sudo airmon-ng wlan0
Escanear con airodump-ng empleando los parámetros --wps et --manufacturer
Obviamente el parámetro --wps es importante para escanear el WPS.
El parámetro --manufacturer nos viene de perla porque vemos al instante si los PA son ZTE.
sudo airodump-ng wlan0mon --manufacturer --wps
Una vez que aparece el objetivo parramos el escaneo con ctrl+c
Copiamos el bSSID para pegarlo en nuestra linea de orden reaver
sudo reaver -i wlan0mon -b <bSSID> -vv -p ""
Si no estamos en buenas condiciones es recomendable fijar el canal para que reaver lo detecte el objetivo y aumentar levemente el tiempo de time out para que reaver espere un poco más la respuesta del router
sudo reaver -i wlan0mon -b <bSSID> -c <nºcanal> -t 8 -T 8 -vv -p ""
Insistir.
Veis en el vídeo que el ataque puede requerir varios intentos.
A estas alturas tenemos claro que vale solo para los Jaztell ZTE.
El problema es que con el escaneo airodump-ng no podemos saber si estamos en presencia de un modelo soportado (H108N, H218N o H298N) o de un modelo no soportado (F660 y F680)
Para distinguirlos:
Si llegamos más lejo que el M2 es que está a priori vulnerable.
Con un ataque sobre F660 y F680 nunca obtenemos el M3:
Para tener lo más claro que el agua,
Pasamos en modo managed
airmon-ng stop wlan0mon
Obtenemos la información emitida en los PROBE.
Para ello solo tenemos que copiar el bSSID del dispositivo que nos tiene intrigado en la linea que sigue:
iw wlan1 scan | grep -E "bSSID|Model Number" | grep -A 1 "BSSID"
Veremos en un instante si es un F660 o un F680 y por lo tanto si no es vulnerable:
Si llevas un tiempo machacando el router y que no obtienes nada aunque sea vulnerable, deja lo reposar un rato y vuelve a intentarlo.
"Lo bueno" es que no se bloquea.
Jazztel se despide de la escena wifi ibérica saliendo por la puerta grande, dejando a cienes de miles de routers hackeables en unos segundos.
Si tienes un NH198N, un ZH218N o un ZH298N poco puedes hacer para impedir el crack.
La interfaz web está capada y desconozco la contraseña de Jazztel (no la dan) para abrir una sesión telnet con derechos de administrador.
Sería la única forma que se me ocurre para poder deshabilitar del todo el WPS en modo PIN.
La vulnerabilidad se podría explotar en otros routers,
Específicamente contra los modelos que mandan sistemáticamente un M5 (pimera mitad supuestamente acertada) cuando probamos el PIN que sea.
Este comportamiento errático y ilógico indica que un PIN nulo está configurado.
Desconectado
Hola.
Suelo ser un espectador asiduo que finalmente me inscribí.
Tegno dos vicisitudes por las que se verá que solo soy un usuario aficionado, una es por el estupendo programa Waircut, he probado ponerle "" y aunque no me dió nada funcionó.
La segunda es acerca si en el wifislax se puede usar el reaver 1.6 o he de usar Kali o Debian.
Gracias por todo.
Ultima edición por spainderman (08-07-2017 16:41:20)
Desconectado
sólo soy usuario..
Yo también.
una es por el estupendo programa Waircut, he probado ponerle "" y aunque no me dió nada funcionó.
Patcher te dirá algo pero tampoco el asunto es muy complicado.
waircut hace lo mismo que reaver 1.6.1, y es capaz de mandar un PIN vació.
No hay dudas sobre ello.
Ahora si no te ha funcionado para recuperar la lave en un caso concreto puede ser por las razones evocadas más arriba
La primera cosa en caso de dudas es bien identificar el modelo
iw <interface> scan | grep -E "bSSID|Model Number" | grep -A 1 "BSSID"
Y por supuesto lo de estar en buenas condiciones para mandar el PIN y procesare la respuesta.
No ayuda si hay clientes conectados.
Sobre tu segunda vicisitud ;
Los comandos dados valen para todos los Sistema Operativos basados en Linux excepto
1) la instalación de las dependencias
sudo apt install libcap-dev aircrack-ng
.
2) la instalación de git
sudo apt install git
Puedes ver que se usa el comando "apt" para instalar los programas.
Este comando es especifico a las distribuciones basadas en debian (Kali Linux, Ubuntu etc.. etc.. )
En tu caso no te hace falta instalar aircrrack-ng o libcap-dev: Tu sistema lleva reaver (y aircrack-ng); las dependencias están cumplidas.
No es mala idea documentarse un poco rápidito sobre los comandos que lees, para aprender.
Por ejemplo lo de compilar y instalar con
cd /ruta/carpeta/contenedora>/
./configure
make
(sudo) make install
Es lo más universal que hay y te valdrá para todos los sistemas linux-UNIX que quieres; desde openWRT hasta los servidores de la NSA.
Te cunde buscar un articulo (hay miles) sobre "compilar y instalar con make" y echarle un ojo.
Bienvenido al foro
Desconectado
Muchas gracias kcdtv, había eliminado mis preguntas pues pensaba que lo propio era que me buscase yo mismo esas respuestas.
No me esperaba el tiempo que le has dedicado.
Las que tengo a la vista son dos 44:F4:36, una con el bssid explicado, JAZZTEL_XXXX y la otra modificado. No tienen 5G.
Yo en casa veo mas canales wifi que de tv, me obligan a ello y no recibo nada por ello.
Probaré lo que me indicas. Hasta otra.
Ultima edición por spainderman (08-07-2017 16:43:26)
Desconectado
abía eliminado mis preguntas pues pensaba que lo propio era que me buscase yo mismo esas respuestas.
No hacía falta.
Para volver a tu caso:
El inicio de bSSID que pones confirma que es un "ZTE Jazztel"
[email protected]:~$ cat /var/lib/ieee-data/oui.txt | grep 44F436
44F436 (base 16) zte corporation
[email protected]:~$
Hace falta mirrar en los PROBES entonces...
Si lo haces con waircut tienes la información WPS PROBE en el cuadro superior de la derecha
Y con linux la linea de comando iw scan con pipe
A veces hay que hacer lo varias veces para poder ver la información.
o en casa veo mas canales wifi que de tv, me obligan a ello y no recibo nada por ello.
Me gustaría tener los mismos derechos que en Estados Unidos y poder disparar a todas estas ondas cuando pisan mi propriedad
Desconectado
Ya lo he comprobado, F 660. El caso es que no emiten en 5G, sólo tienen una señal.
Me queda instalar el reaver cosa que iré haciendo, yo el w95 me lo acabé cuando tenía 24 y ahora ya que casi los doblo y se nota...
Estupendo foro, es lo mínimo que se puede decir.
Saludos.
Me gustaría tener los mismos derechos que en Estados Unidos y poder disparar a todas estas ondas cuando pisan mi propriedad
Pues sí, allí, puedes ir armado si llevas el arma a la vista, creo que en NY no existe esa ley.
Si pones en VOSE un western de Hollywood de hasta los ´60 +/- probablemente oigas hablar a los indios en su segunda lengua natal, el español.
Ciudad Galvez es Galveztown
En fin, sólo era un apunte.
Ultima edición por spainderman (08-07-2017 19:01:37)
Desconectado
El caso es que no emiten en 5G, sólo tienen una seña
Upss.... Tienes toda la razón del mundo: No es de doble banda.
¿Pero entonces escupe el modelo en los PROBE verdad?
¿Si haces el escaneo con iw te devuelve el modelo.?
Deduzco que sí pero para estar seguro...
Pues sí, allí, puedes ir armado si llevas el arma a la vista, creo que en NY no existe esa ley.
Sí, lo que decía era caricatural... En colorado puedes llevar porros en la calle, en Texas son armas... La cosa cambia mucho de un estado a otro.
Desconectado
¿Si haces el escaneo con iw te devuelve el modelo.?
Deduzco que sí pero para estar seguro...
iw me responde
SSID JAZZTEL_XXXX
ZTE F660
Desconectado
Hola.
Suelo ser un espectador asiduo que finalmente me inscribí.
Tegno dos vicisitudes por las que se verá que solo soy un usuario aficionado, una es por el estupendo programa Waircut, he probado ponerle "" y aunque no me dió nada funcionó.
La segunda es acerca si en el wifislax se puede usar el reaver 1.6 o he de usar Kali o Debian.Gracias por todo.
Para enviar un pin vacío con waircut no has de poner "" o '', ni siquiera un espacio, debes dejar la casilla vacía, no escribas nada en ella o borra su contenido si lo tuviera. Eso es todo.
Desconectado
@ spainderman
Visto.
Gracias por confirmarlo, he corregido el primer post.
@ LDASTING
Se ve que MásMóvil usa el ZTE H208N, otro modelo ZTE pero muy parecido al H108N y el H298N..., podría ser.
Se ve que usan también otro modelo de doble banda y no sé lo que es.
Desconectado
El de doble banda es f680 de Jazztel
Desconectado
¡Hola! Gracias por vuestro trabajo, me estaba saliendo humo porque veia que con el modelo de router correcto no acababa de dar la clave se quedaba colgado en el M6 pasando al M5 de nuevo y asi sucesivamente, despues trasteando con el tiempo y de nuevo sin solucion, perooo al final he visto cual era el problema y era la opcion del pin fantasma el cual se puede añadir de dos formas con: -p "" o -p '' , pues bien utilizando wifislax 4.12 y con el ultimo reaver disponible el 1.6.1, la opcion -p "" (la de las comillas dobles) no conseguia acabar el proceso, en el momento que la he cambiado por la opcion -p '' (la de las comillas simples) lo ha terminado al instante y en el primer intento..
Creo que lo mejor seria solo poner una opcion para que no pase esto.
Un saludo y gracias
Ultima edición por pastilla (11-07-2017 11:12:38)
Desconectado
la opcion del pin fantasma
Entonces llama a los cazafantasmas.
No existe ninguno PIN fantasma es un PIN con valor "nulo" (PIN NULL). Se dice en el titulo y está explicado.
Es mejor llamar las cosas por su nombre en lugar de usar las metáforas estúpidas que te encuentras en los (peores) vídeos de youtube
la opcion -p "" (la de las comillas dobles) no conseguia acabar el proceso, en el momento que la he cambiado por la opcion -p '' (la de las comillas simples) lo ha terminado al instante y en el primer intento..
Simples o dobles comillas hacen exactamente lo mismo ya que son separadores para poder delimitar el fin y el inicio de un valor
No has entendido la opción; hay una sola opción -p.
No está pensada unicamente para mandar un PIN sin valor definido, está pensada para mandar el valor que quieres.
Desconectado
la opcion -j del nuevo wash y grep dice el modelo "rapidamente"
wash -i mon0 -j | grep JAZZTEL
el modelo exacto lo pone en la parte "wps_device_name" y en algunos tambien es la parte "wps_model_name"
del F680 parece que hay 2 versiones, "wps_device_name" : "ZXHN F680 V2.0"
y despues de un rato todos los F680 que veo que son bastantes son V2.0
y despues de una hora o todos F660 o F680 en fin.
aqui decias que en los probes salian 2 modelos distintos
https://www.wifi-libre.com/topic-824-0- … html#p6467
puede ser que una compañia use user-agents? alguna lo hace?
segun wash la 44:F4:36 es un F660 como se decia que daba iw un poco mas arriba.
kcdtv ahora todas tus cosas las haces con kali only no?
que tal los gatos?
te pregunto cosas para que no te aburras xD
Desconectado
Para ver los routers (antiguamente) vulnerables es más seguro así
wash -i <inetrfaz> -j | grep -E 'ZXHN H108N|ZXHN H218N'
Los detectarás incluso si se ha cambiado su eSSID por defecto
Notarás el uso de -E con grep y es para poder interpretar varias expresiones regulares a la vez.
Sino los de la serie F6XX nunca han sido vulnerables.
puede ser que una compañia use user-agents? alguna lo hace?
No veo cúal podría ser la relación con los parámetros extendidos WPS de las respuestas probe.
Estos se configuran en el firmware, Te habrás probablemente dado cuenta que cada uno hace un poco lo que sale de los huevos a la hora de rellenar los campos
kcdtv ahora todas tus cosas las haces con kali only no?
No.
Uso Kali cuando atiendo el foro pero tengo en un "trialboot" y tengo otras computadoras que ni tienen kali.
Solo me falta instalar la nueva "red star" de los coreanos del norte. Espero que venga con cromos de kin jong ill 2
Desconectado
Para ver los routers (antiguamente) vulnerables es más seguro así
wash -i <inetrfaz> -j | grep -E 'ZXHN H108N|ZXHN H218N'
si asi detecta los 108 y los 218 para que le pones el -j ??
Los detectarás incluso si se ha cambiado su eSSID por defecto
asi tambien poniendo el principio de mac donde las x, lo que se llama buscar por mac que ahora tambien se puede hacer con wash, antes no
airodump-ng -d XX:XX:XX:00:00:00 -m FF:FF:FF:00:00:00 mon0 --wps
con wash de otra manera claro
Notarás el uso de -E con grep y es para poder interpretar varias expresiones regulares a la vez.
wai a ver si va mas rapido
Sino los de la serie F6XX nunca han sido vulnerables
yap
Te habrás probablemente dado cuenta que cada uno hace un poco lo que sale de los huevos a la hora de rellenar los campos
por eso mismo algunos son datos absurdos,
desde que sony metia rootkits me lo creo todo.
mas me referia con la que haces los experimentos que te funcionan todos, a mi con la mia me funcionan la mitad, kali supongo, me tengo que bajar una weekend de esas xD
con la red star llevas años, aprende koreano joder que no cuesta tanto xD
Ultima edición por d1k0w0ns (05-10-2017 04:40:42)
Desconectado
si asi detecta los 108 y los 218 para que le pones el -j ??
Sin el j no se sabe el modelo: Está en las respuestas probe,
Desconectado
me imaginaba que seria eso pero asi va demasiado lento prefiero buscar por mac sabiendo cual es claro.
Desconectado
Tenemos a una lista de bssid conocidos visto que son aquellos routers que tenían hasta 2014 el PIN 12345670 habilitado por defecto:
ZXHN_H108N + ZXHN H218N + ZXHN H298N | ZTE | JAZZTEL_XXXX
F8:03:8E F8:1B:FA F8:27:C5 F8:E1:CF F8:ED:80 F8:7F:35 20:89:86 20:89:86 54:22:F8 A0:EC:80 F0:84:C9
A lo mejor faltan unos inicios de bssid porque nadie ha mandado mas datos cuando configuraron el PIN con una variable NULL.
Desconectado
Jazztel se despide de la escena wifi ibérica saliendo por la puerta grande, dejando a cienes de miles de routers hackeables en unos segundos.
.
a donde se van?
pero esos del 2014 seran la brecha del 12345670,
los de esta que yo sepa son los 2C:95:7F pero le han anulado el wps asi que no se han ido muy lejos si siguen fixeando
Desconectado
a donde se van?
Jaztell es ahora propriedad de Orange y ahora los clientes de jazztell reciben "livebox fibra" de Orange cuando se les instala el router.
Han efectivamente deshabilitado progresivamente el WPS en gran parte de los PA vulnerables pero no en todos:
A estas alturas los que no tienen el WPS deshabilitado no lo tendrán.
Desconectado
Según he estado leyendo en algunas webs parece un problema común. Soy un poco novato en esto, creeis que cambiando la contraseña podré aumentar la seguridad o me recomendáis hacer alguna acción más?
Gracias de antemano!
Ultima edición por Angel1989 (16-06-2019 18:25:54)
Desconectado
El firmware ha sido parcheado así que la brecha ya no se puede explotar. Puedes probar de tu lado, no es complicado.
Es aconsejable modificar la contraseña WPA de todo modo porque muchos datos se sacaron y están sueltos en la naturaleza... No cuesta nada cambiarla.
Desconectado
Tema | Respuestas | Vistas | Ultimo mensaje |
---|---|---|---|
Error de inicio en entorno gráfico por Hunter310#
|
24 | 15004 | 20-06-2022 12:22:19 por kcdtv |
15 | 2718 | 10-06-2022 09:13:42 por kcdtv | |
0 | 218 | 02-06-2022 10:05:09 por kcdtv | |
TP-Link Backup Decryption Utility por kcdtv
|
0 | 207 | 31-05-2022 18:44:34 por kcdtv |
¡Aircrack-ng 1.7 ya está disponible! por kcdtv
|
1 | 527 | 13-05-2022 08:46:52 por Koala |
Ultimo usuario registrado: Asakuras
Usuarios registrados conectados: 0
Invitados conectados: 10
Número total de usuarios registrados: 2,317
Número total de temas: 1,587
Número total de mensajes: 15,139
Atom tema feed - Impulsado por FluxBB