ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Сейчас залью скорее всего дампы с данными из 3wifi вида мак- пин может кто-то тоже что-то увидит

Сортировка по пину

https://dropmefiles.com.ua/y62N7YB39

по NIC и PIN:

https://dropmefiles.com.ua/wEXBe6mc

По BSSID и PIN

https://dropmefiles.com.ua/2cfkPe

По OUI и PIN

https://dropmefiles.com.ua/LwSRZNaEX

Сортировка по перевёрнутому NIC (1,2,3,6,5,4)

https://dropmefiles.com.ua/HGfN

Во это сортировка приоритетно по предпоследнему байту

https://dropmefiles.com.ua/4LEA3XHNBR

Если у кого есть желание купить роутер для тестов то алгоритм такой:

1. Купить роутер любой из этих моделей: F3, F9, N301.

2. Сделать снимок микропрограммы роутера из флешки SPI (NVRAM), воспользовавшись программатором.

3. Найти значение заводского MAC-адреса в снимке и изменить его на произвольное (возможно, с таким же OUI, как у заводского).

4. Прошить флешку получившейся микропрограммой.

5. Запустить роутер и сбросить его настройки до заводских.

6. Узнать, изменился ли заводской WPS пин-код.

7. Если пин-код изменился – составить список MAC-адресов для исследования и сгенерировать файлы микропрограммы с MAC-адресами из списка. Почерёдно прошивать микропрограммы и записывать получившиеся WPS пин-коды.

Возможно ли запускать прошивки роутеров на MIPS-эмуляторе? Это избавило бы от необходимости искать алгоритм wps для каждой конкретной модели роутера. Просто запускаем прошивку на эмуляторе с нужным BSSID и узнаем сгенерированный пин.

Обновил выгрузку: отфильтровал левые данные (спасибо TOX1C за то, что указал на mac2pin), добавил новые записи из 3WiFi. Важное замечание: среди MAC-адресов с OUI C8:3A:35 встречается множество роутеров, у которых левые статические пин-коды, не подходящие под искомый алгоритм; к сожалению, я пока не смог их отфильтровать.

Выгрузка, разделённая по OUI:

https://mega.nz/#!au4ByIaI!FPxLo19HtUQWm-jSnqoA3X2GQkETLNPoL2f4j_L2cnI

Вся выгрузка, отсортированная по BSSID:

https://mega.nz/#!arwngYoQ!KIzaiK2UfcoWQXWRa6SEUgwQFkL_GV-u6fG6pu7STKY

Отсортировано по NIC:

https://mega.nz/#!mj4RRIRa!VYzPuviweHbcQHY9QcFfZ4JMu1NNicOua543G4X pKg4

Отсортировано по пин-коду:

https://mega.nz/#!H35jRIab!G7moMCPqI1vHsTAbjdC2HGnLu-UXRPff1ZbqdvqwgIo

Отсортировано по BSSID и пин-коду:

https://mega.nz/#!KmpzFYRZ!qU9S3XGUS7ZbU0jziWFQ3AxvliVB4N5RPTDmvBC 1X80

Отсортировано по NIC и пин-коду:

https://mega.nz/#!fq5j1AYT!ml60K1DD2wRa_uy_jZoDZ93efnJGQpj8FDCWq-hyAQQ

Похоже, что все роутеры Tenda с BSSID, оканчивающимися на нечётную цифру (как правило, 0+1 или 8+1), при генерации пин-кода используют MAC-адерс WAN, который на единицу меньше BSSID.

Примеры таких роутеров:

04:95:E6:00:35:39 (WAN MAC: 04:95:E6:00:35:38)

04:95:E6:00:35:41 (WAN MAC: 04:95:E6:00:35:40)

04:95:E6:00:35:79 (WAN MAC: 04:95:E6:00:35:78)

Или LAN MAC, для некоторых ADSL роутеров характерно. Положняк таков - реальные MAC адреса оканчиваются только на 0 или 8, других нет вовсе.

Или немножко не так - берется сразу весь MAC адрес, и путем неизвестных операций с его частями, большое число, коим является мак адрес, превращается в число поменьше. Причем алгоритм сформирован так, чтобы для одной партии роутеров, сгенерировались все возможные комбинации пинкодов - от 0 до 9. А не как раньше было, когда для серии роутеров с отличием в последнем октете, первые 3 цифры пина не менялись. А тут взял в руки 2 роутера - а там пины различаются значительно - рандом, господа

Максимум, за который алгоритм прокрутит весь пул возможных пинкодов от 0 до 9 - 51 роутер (если сдвигать постоянно на 195528).

Минимум - не берусь гадать, бывают срывы последовательности. В теории - что-то около 30. Похоже на партию, которую отгружает завод.

С нулём тоже не все так просто - алгоритм принципиально отказывается генерировать пинкоды с ведущими нулями - вместо них он пользуется 1. После срыва или переполнения, отсчет начинается с 1 и потом снова идут пины с 1. И только после этого начинаются пины на 2, 3, и т.д.

Сейчас я пытаюсь понять, как из всех возможных вариаций для неизвестного пина, выбрать правильный. Восстановить недостающие в базе данные можно, но пока что далеко не для всех случаев.

Формулу видели в таблице, которую я давно скидывал? При расчёте пина явно берётся остаток по модулю 10^7.

С этим тоже всё просто - если сгенерированный пин меньше 10^6, к нему прибавляется 10^6. Для значений в таблице, я это уже подкорректировал.

Hi binary master ,,,,thanks for your reply ,,,your words forced me to do all of my best to hack the password for this network unfortunately all the pins are not valid the correct pin is not listed and it was (50408054) the router type is (TD-W8960N) I want to tell you that for more than 1.5 year I am trying to hack this network without any result I performed evil twin attack against him more than 17 times but he did not even connect to the new network using the evil twin attack I forced him to change the SSID & the password but unfortunately he left his home so I did not catch the handshake for more than 20 days ,,,,on 12.08.2019 I found that he changed the SSID and password again and i catched it what I am going to say that for every user do not lose hope patience is a virtue

thanks

Свежая выгрузка с базы, уже отсортирована эта выгрузка очищена от всех левых устройств

https://dropmefiles.com.ua/WYXUCek4