¿Contraseña WPA en texto plano en los PROBEs del cliente?

sergio44 · 12-05-2016 00:05:15

porque cuando ami se bloquea el wps me dura 1 mes en bloquease

y a mucho le dura 1 minuto

y otra pregunta

cuando escaneo la redes wifi donde pone probe sale algunas veces la clave wpa

sergio44 · 12-05-2016 00:14:46

en probe algunas redes wifi teda la clave wpa automatico ya me ha pasado con dos redes me salen numeros y cuando me doy cuenta es la clave

kcdtv · 12-05-2016 00:41:56

No hay reglas sobre el bloqueo del wps.
Se puede configurar incluso para que sea infinito después tan solo un intento fallido
Lo del pass en los probes... leyenda urbana big_smile

sergio44 · 12-05-2016 01:45:57

pues no es una la leyenda urbana

medio una clave movistar wpa y una de wep en pobres escaneando la red wifi

sale de repente pero en todas las redes no sale

cuanto midio mejor dicho cuando salio la clave wpa de un movistar en pobre se queda uno pero como esto y son de 20 degitos en pobre

kcdtv · 12-05-2016 14:54:15

20 dígitos hexadecimales o ascii pueden ser muchas cosas pero en ninguno caso serán una llave WEP 64 o 128 bits que tiene estas dos longitudes posibles.
Pueden ser muchísimas cosas... Mirra los PROBES con wireshark; airodump-ng ( o un escaneo wifi ) es solo un interpretador de paquetes PROBES en vivo.
Podemos concebir que alguien haya hecho un error una vez y haya puesto una vez por error una llave dónde tenía que poner el essid; es posible.
Pero no hay fallo en el protocolo EAPOL + WPA con "llaves que aparecen de forma aleatoria de por si en las peticiones y respuestas PROBES".
Esto es imposible.
Podemos imaginar que una versión precisa de un gestor de redes añade una cadena cualquiera dónde no debería, cadena que pueden ser billones de cosas menos la contraseña WPA
Una cadena "aleatorio" fija tiene por definición contraseña llave WPA por defecto.
...Como tiene pinta de ser cualquiera parte de un paquete PROBES.
A mi también me gusta cazar unicornios... no critico. ::D
Pero vamos, si ves algo que te parece ser así lo que tienes que hacer es capturar el trafico con airdoump-ng y examinar los paquetes PROBES con wireshark.
Los puedes subir aquí y los miramos juntos. wink

dragonfly · 14-05-2016 15:06:30

Buenas

Si la cosa se alarga, quizás deberíamos abrir otro hilo...

Dicen que una imágen vale más que mil palabras...

Aparecen subrayadas tres posibles claves donde deberían aparecer ESSID's.
La primera son 20 digitos que podría corresponder perfectamente a la clave de un router MOVISTAR_XXXX
La segunda es seguro de una WLAN_XX. Como recordaresis se formaban así:
Primer digito era X, C o Z según si era de un Xavi, un Comtrend o un Zyxel. En nuestro caso una X.
Los seis digitos siguientes son del BSSID del adaptador wireless del router, en este caso E0:91:...
Los próximos 4 eran del adaptador ethernet, y los dod últimos eran del ESSID, este sería de un WLAN_98.
La tercera, no corresponde su estructura a una clave por defecto. Podría ser de una cambiada.

Resumiendo; que aparezcan claves en Probes no es una leyenda, pues si se me aparecen momentaneamente a mi, se aparecerán a otras personas. Porque? como apuntas podría ser debido a introducir la pass en un lugar equivocado.
La STATION que muestra las tres posibles claves, las dos primeras juraría que lo son, pertenece a Samsung, por lo que se puede casi afirmar que son de un teléfono con Android.

Un saludo

sergio44 · 14-05-2016 19:00:59

a que si que algunas veces sale la clave en probe estado escaneando pero ahora no me sale es cuando quiere teda la clave
medio una clave wep de 12 numeros y una de movistar

tiene que haber un fallo en pobre poreso sale la clave

kcdtv · 15-05-2016 15:58:34

El único fallo que hay en los pobres... es que no tienen dinero big_smile
No entiendo a esta gente que no va a comer en los restaurantes con tres estrellas Michelin y que prefieren comprar su comida en el dia
Sergio; son los PROBE answer (respuesta) y PROBE request (petciones), no los pobre. smile
Mejor hacemos otro hilo para hablar de la leyenda urbana. wink

sergio escribió:

una clave wep de 12 numeros

Error : Una llave WEP nunca tiene 12 dígitos de largo, son 10 o 26 dígitos hexadecimales. 5 o 13 dígitos ascii.
No es opcional, nunca verás una llave WEP de 12 dígitos porque no existe, las llaves WEP tienen un tamaño fijo.

dragonfly escribió:

Resumiendo; que aparezcan claves en Probes no es una leyenda,

Pues si es una leyenda hasta que se demuestra que son claves validas y que no fueron introducidas por error.
El día que ves un cliente conectado a un PA efectivamente y que la llave aparece en los PROBES habrás casado el unicornio y serás rico (no probe, ups, quería decir pobre).
Y aún, para estar seguro habría que saber exactamente la configuración y lo que ha hecho el usuario del teléfono
Da le la vuelta a la tortilla y piensa la cosa al revés : ¿Entonces el teléfono que ves se conectaría a dos redes (el tercero es otra cosa*); una WEP de hace 10 años atrás y una movistar, las dos con llaves por defecto?
* Lo ultimo es un serial o un dato cualquiera con fecha (2014), versión software, firmware, serial : Hay versiones algo viejas de android que ponen el serial en el apartado essid (no es nada que no puedes leer en los probes, solo que no debería estar en este sitio sino en "serial", o "software version"). No ocurre con las versiones actuales.
¿O es un script kiddie que ha probado software para dar la llave por defecto y que ha intentado todo (incluso poner la llave dónde debería poner el essid) lo que podía para conectarse gratis a una red genérica con su pass por defecto?
¿Y si sería un falló del sistema operativo, porque no se ven en todos los dispositivos y solo en pocos?
También he visto muchas cosas así, y nunca resultó ser la llave real de un PA al cuál estaba conectado el cliente.
La caza esta abierta big_smile

Si queréis entender mejor lo que puede pasar, lo que tenéis que hacer es guardar el trafico de vuestro escaneo, (opción -w) y examinar lo con wireshark (y compartir lo así [email protected] [email protected] echar un ojo wink ).
Airodump-ng solo enseña una milésima parte de lo que hay en los PROBES, y tampoco es un medio infalible, si el gestor de redes no rellena los TAGS correctamente, airodump-ng solo interpreta de forma básica.

dragonfly · 15-05-2016 16:48:12

Buenas

No creo para nada que Android escupa claves asi porque si, ni lo haga otro SO. Lo más seguro es que alguien pusiera las claves donde no debía, pero por lo que parece no debe ser un caso aislado, pues sería mucha casualidad.

Saludos

kcdtv · 15-05-2016 18:32:23

Los PROBES "raros" los he visto siempre en teléfonos con Android.
Un caso repetido era el serial que aparece dónde no tiene que parecer y esto ha prestado a mucha confusión.

No creo para nada que Android escupa claves asi porque si, ni lo haga otro SO

Tampoco digo que no pueda haber un bug en una versiones precisas y que no sean contraseña, no lo se.
De momento con lo que se tiene entre mano estamos especulando, es lo que tienen las leyendas : Algo de verdad siempre tienen pero los hechos "engordan" por falta de información segura.
Personalmente tendría mas tendencia a pensar de que si son contraseñas sería más un falló oscuro en ciertas versiones de android cuando se entra una llave no valida y que por una razón difícil de entender el gestor de redes las pasa como variable "essid conectado".
Me parece más factible que la idea que las llaves validás salgan en lugar del essid.
Porque al final, las passphrase no se usa, es solo para los humanos, lo que se usa es la PMK.
Para sacarse de duda habría que pillar los PROBE de unos cuantos dispositivos "sospechosos" para intentar sacar un patrón (versión SO, versión hardware) y luego conseguir un teléfono igual y hacer la prueba.. conectarse con llaves validas y con llaves no validas a varios PA y ver que sale en los PROBEs.
Sin olvidar que existe un error muy concebible sobre todo con pantala tactiles pequeñas : el dedo que va en en "conectarse a una red oculta" en lugar de "conectarse a una red" y el usuario con la prisas o por falta de conocimiento entra la llave en el essid que tiene que rellenar primero.
No se como estará la cosa en Android, pero con el gestor de redes XFCE-GNOME-LXE de las distribuciones GNU-Linux es bastante faćil confundirse si no prestas un poco de atención o si no tienes idea:
Se puede concebir que uno le de "a conectarse a una red oculta" que sale primero bajo los essids en lugar de seleccionar el essid para una conexión "normal" (con essid visible)
Que quede claro que he usado la palabra leyenda sin animo de ofender o menospreciar a nadie. smile
Lo dećia para que sergio entienda que son especulaciones o hipótesis y que el protocolo EAPOL no tiene falló en si que haga que salgan llaves aleatoriamente,
Si hay falló es por una versión precisión de gestor de redes-SO en su forma de redactar los PROBE.
No es un falló del protocolo EAPOL, sería un falló de su implementación por parte del fabricante-desarollador-programador-usuario.
El protocolo de por si, el juego de preguntas-respuestas PROBE no tiene este falló en su concepción y esta mas que controlado desde... que existe el wifi.

Tema	Respuestas	Vistas	Ultimo mensaje
Debian stretch y las tarjetas externas por Koala	4	68	Ayer 21:00:55 por Koala
La pantalla se congela tras escribir contraseña por Vala220805	7	169	Ayer 16:54:46 por kcdtv
Pegado: Pegado:: 2ª Sorteo Del Mercadillo por josep345 [ 1 2 ]	44	1586	Ayer 16:53:17 por kcdtv
Pegado: Pegado:: Shutter : El compañero ideal para sus capturas de pantalla. por kcdtv	2	967	Ayer 16:03:32 por kcdtv
PoC hostbase.rb RogueAP con WPA2 capturando WPS pbc por javierbu	5	619	17-10-2018 18:15:16 por javierbu

Foro Wifi-libre.com

Anuncio

#1 12-05-2016 00:05:15