Crack llaves WPA en routers Zhone (axtel) y Ubee (cablecom) de México (Pagina 1) / Estudio de algoritmos y búsqueda de la nueva brecha / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 04-05-2017 00:48:07

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,918

Crack llaves WPA en routers Zhone (axtel) y Ubee (cablecom) de México

Llaves WPA por defecto muy inseguras en:
  - Routers del fabricante Zhone con eSSID por defecto AXTEL-XXXX de la tele-operadora axtel
  - Routers del fabricante Ubee con eSSID por defecto CablecomXXXX de la tele-operadora Cablecom 

 
Paseando por el foro Underc0de he caído en este tema: Patron WPA2 cablecomxxxx [MEXICO]
  Me ha llevado al articulo "fuente":

cablecom_1.jpg

  El articulo es del 2014.
Explica muy bien el patrón pero no dice precisamente cuáles son los modelos afectados.
. Zhone y Ubee son de estos fabricantes que trabajan principalmente directamente con unas tele-operadores o unos profesionales, venta "al mayor".
  No significa que sus productos sean muy buenos... ¿Baratos? Supongo que sí. Algo a su favor han de tener. 
  Para resumir los elementos en pocas palabras.

Llave WPA en formato WEP (ubee de cablecom)

logocablecom.png

- Los routeurs afectados venían protegidos por defecto con cifrado WEP 64bits.
Lo que han hecho durante el paso de WEP a WPA; es emplear la llave WEP por defecto como llave WPA por defecto.
  Hablamos por lo tanto de una llave de 10 caracteres hexadecimales.
Tiene cierto sentido cara al usuario ya que es "la misma llave".
  Pero es en si una decisión muy mala porque no sigue las recomendaciones más básicas sobre la fortaleza de las contraseñas:
  Una longitud mínima de 12 caracteres utilizando todo tipo de caracteres ascii (no solo los 16 dígitos hexadecimales)
Siendo así el ataque por fuerza bruta "artesanal", aunque sea con una buena tarjeta vídeo, es aún poco factible.
  Su formato sí que hace estos PA vulnerables a un ataque "Rogue AP WEP a la Koala"* (si la victima pica y entra la llave WPA en su gestor de redes)
    *ver "Una historia de Rogue AP": El PDF de koala traducido al español

Routers Ubee "cablecom"
Llave WPA = llave WEP  = dirección MAC "ethernet" sin los dos primeros dígitos

  Ejemplo ficticio:
  Un router con dirección  mac ethernet 00:11:22:33:44:55
  Nos da como llave 1122334455
  La "mac Ethernet" es diferente del bSSID (la dirección mac WiFi) y el autor no ha encontrado una relación permitiendo definir la mac etehrnet (la llave) gracias al bSSID.
  Sabemos que en una dirección mac los 6 primeros dígitos (primera mitad) son fijos (parte OUI que permite identificar el fabricante) y es la segunda parte que diferencia el modelo (en este caso tiene dos mac) en cuestión.
  Conocemos entonces los 4 primeros dígitos del pass WPA.
Resumiendo: 
Con un routeur con bSSID 00:11:22:33:44:55
Tenemos como llave WPA por defecto 1122XXXXXX
Los "X", los caracteres desconocidos, son 6 caracteres hexadecimales.
   Son en total 16⁶ posibilidades.
Un ataque de fuerza de bruta completo son por lo tanto 16 777 216 llaves pro comprobar.
     - 7 horas de crack con una CPU básica (600 k/s),
     - Un cuarto de hora con un i7-6700K  (17 000 K/s)
     - Menos de 1 minutos con una GTX1080 (400 000 K/s)

Crack inmediato si se conoce el eSSID por defecto

  Segundo punto: Si conocemos el eSSID por defecto podemos reducir  el brute force en un segundo o menos cúal sea nuestra CPU,
El eSSID por defecto se forma con el nombre de la empresa y los 4 últimos dígitos de la dirección mac
Para un routeur con essid CablecomAABB y bSSID 00:11:22:XX:XX:XX
La contraseña WPA es  1122XXAABB
Tenemos entonces un crack sobre dos dígitos hexadecimales. Son 16² = 256 contraseñas posibles

Routers Zhone "axtel"

Axtel480.jpg

  En este caso la llave es de 8 caracteres hexadecimales
Es por lo tanto en si vulnerable a un ataque de fuerza bruta "ciego"
  * 3 horas con una nivida GTX1080 a 400 000 k/s
  * 60 horas con  un i7-6700K  (17 000 K/s)
  * 1988 horas con una CPU muy basica a 600 K/s. Son cerca de 3 meses de crack WPA continuo pero queda factible.
Además podemos reducir el brute force si conocemos el eSSID por defecto de la red (si el dueño no lo ha cambiado) 
Porque la segunda mitad de la llave WPA se forma utilizando los cuatro dígitos hexadecimales del eSSID
Resumiendo

  • Un router con eSSID AXTEL-1234 tiene como llave WPA por defecto XXXX1234

Es pan comido: Hablamos de 16⁴ = 65536 contraseñas WPA possibles
  * Una fracción de segundo con una GTX1080
  * 4 segundos con i7-6700K
  * menos de dos minutos con una CPU floja/antigua.
 

Explotar la brecha

  -
Podéis usar los scripts propuestos por Mackaber en su rama Git Hub

No obstante es más bien un trabajo para crunch que tenemos en Kali linux y que es disponible desde los repositorios de muchas distribuciones. (tampoco cuesta nada instalarlo en el sistema que sea)
Lo digo con todo el respecto, es que el código de los script está escrito en lenguaje perl y no es un lenguaje adaptado a este tipo de tareas (generación a toda velocidad de cadenas)
Crunch está escrito en lenguaje C y esto significa que tenemos una velocidad máxima: Nada mejor que el C para generar cadenas a toda velocidad.
Para hacer un crack al vuelo sin guardar diccionario:

  1. Router Zhone de axtel sin conocer el nombre original de la red
    Es un brute force sobre 8 dígitos hexadecimales.

    crunch 8 8 0123456789ABCDE | aircrack-ng  /ruta/fichero/captura/handshake_axtel.cap -e <nombre en uso de la red> -w-

    Debéis indicar la ruta hacía vuestro fichero de captura con el handshake y poner el nombre de la red después el argumento  "-e
    No aconsejable sin una buena CPU o una tarjeta video compatible con hashcat

  2. Routeur Zhone de axtel con su eSSID por defecto AXTEL-XXXX

    crunch 8 8 1234567890ABCDEF + + + -t @@@@XXXX | aircrack-ng  /ruta/fichero/captura/handhsake_axtel.cap -e AXTEL-XXXX -w-

    En lugar de los XXXX debéis poner los 4 dígitos del eSSID en su ordén. wink
    En este caso el crack es inmediato o casi, incluso con CPU débiles

  3. Routers Ubee de cablecom sin conocer el essid por defecto
    Utilizaremos los dígitos 3 a 6 del bssid para reducir el brute force sobre 10 dígitos.
    Nos quedamos con un ataque sobre 6 digitos hexadecimales; factible en unas cuentas horas con una CPU muy floja.
    Pillaríamos los XXXX de la dirección WiFi en este ejemplo:  00:XX:XX:33:44:55

    crunch 10 10 1234567890ABCDEF + + + -t XXXX@@@@@@@  | aircrack-ng  /ruta/fichero/captura/handhsake_cable.cap -e <nombre en uso de la red> -w-
  4. Crack router Ubee con su eSSID por defecto CablecomXXXX
    Es inmediato ya que son solo 256 posibilidades
    Con nuestro bSSID a modo de ejemplo (00:XX:XX:33:44:55) y un eSSID por defecto CablecomYYYY

    crunch 10 10 1234567890ABCDEF + + + -t XXXX@@YYYY  | aircrack-ng  /ruta/fichero/captura/handhsake_cable.cap -e CablecomYYYY -w-

  Estas dos configuraciones WPA por defecto son pésimas.
Supongo que no es así con los modelos mas modernos distribuidos por estas empresas mejicanas .
Sería interesante si alguien de México nos diera más detalles sobre los modelos afectados y nos diga si se emplean mucho o si son escasos hoy en día.
  ¡Hasta la próxima brecha!

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Temas similares

Tema Respuestas Vistas Ultimo mensaje
Pegado:
Pegado:: crack-keys por crash  [ 1 2 3 4 ]
83 3467 Ayer 20:02:26 por kcdtv
0 19 Ayer 19:57:47 por kcdtv
0 57 23-04-2018 20:11:53 por kcdtv
72 34415 22-04-2018 04:14:53 por skynet777
1 73 21-04-2018 16:30:26 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: fwayla
Usuarios registrados conectados: 0
Invitados conectados: 5

Estadisticas de los foros

Número total de usuarios registrados: 983
Número total de temas: 1,047
Número total de mensajes: 10,178

Máx. usuarios conectados: 69 el 15-10-2017 09:23:21