ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Привет участникам состязаний.

Заинтересовался этим вопросом. Не знаю как у других, а у меня именно интерес исследователя, а не поиск сомнительной халявы.

Попробовал LiveCD ВТ5R3 Black Hat и wifislax4.4 на стареньком ноутбуке с модулем Intel 2200BG. Драйвер ipw2200 у wifislax подхватывал модуль через раз и называл его eth0, и то, если при загрузке сначала зайти в БИОС. При этом индикатор мигал, а не горел постоянно. И вроде бы модуль всё делал, но непонятки были и об уверенной работе говорить не приходилось. BT5R3 вообще не подхватывал.

Вспомнил, что у меня есть TabletPC Q1 от Самсунг. Это довольно забавное изделие с Tablet Windows XP. Именно увидев его в Apple решили всем показать, что нужно делать и выпустили iPad. Но в этом прототипе планшета есть модуль от Atheros (ath5k). Воткнул загрузочную флешку с wifislax и… там такой маленький и необычный монитор, что удалось запустить лишь консольную версию. Я впервые смотрю на Linux, но мне понравились комментарии системы типа “PCI system error (SERR) for reason b1 on CPU 0. Dazed and confused, but trying to continue…”

Понимая, что главным в процессе является wi-fi модуль, выбрал оппонента для состязания и запустил reaver в консоли. Показав, что сигнал слабый (-76-72) модуль принялся за работу. Примерно раз в 25-35 минут процесс останавливался “Failed to re-initialize interface mon0. Segmentation fault”приходилось делать airmon-ng stop mon0, потом airmon-ng start wlan0 и снова запускать reaver. Регулируя задержки запросов и паузы на завершающей стадии, через 10 часов получил на cc:5d:4e:fb:40:e2 – 64661469 и пароль. Сходил и познакомился с ZyXel Keenetic Giga, который ни разу не забанил меня за подбор и допустил к себе с ip, который я у него попросил, хотя в настройках у него сказано выдавать ip лишь из узкого диапазона, в который я не попал.

В этой теме уже говорили о том, что вторая половина mac-адреса в hex иногда коррелирует с десятичным pin устройства. Вот и у меня fb40e2 -> 16466146. Получается, что вести статистику может быть полезно, вот только почему-то уделяют внимание первой части mac адреса, которая и так уже задействована для привязки к производителю, а вторую отсекают, а она бывает интересной. Но актуальность этого уже уходит. Например TP-Link WA-901ND позволяет менять у него пин.

В сообщениях #634 и #635 уже упоминалось, что многим устройствам c начальными F8:C0:91 походит пин 99956042. У меня это самый сильный источник, причем ssid у него – название провайдера, работающего «какнадо». Видимо это модем. Клиентов у точки не видел ни разу, wps нет, а работает он круглосуточно. Как можно попробовать этот пин? Мне кажется, что устройство у одинокой женщины, которой «впарили» цифровое ТВ, а она вообще там не живет и бывает очень редко. Так что вариант входа, приводящего к изменениям настроек, никому неудобств не создаст, а потом их можно будет поправить.

Ничего себе коррелирует!

Да у тебя вообще весь пин по второй части мака вычисляется. Отборось последнюю цифру пина - контрольную сумму(вычисляется по первым семи) - и вот тебе пин. Интересное наблюдение!

PS Проверил сейчас -и действительно! Есть в пассиве один зюхель - все сходится - вторая часть мака=пин. Ну жгут же собаки, а!

Ривер с параметром -p ТВОЙ_ПИН запусти. Если пин верный - ривер должен остановиться.

Уже запускал reaver с пином – не контачит, да и не должен, т.к. нет там wps.

Достучался еще до одного ZyXEL, но модель не Keenetic судя по стартовой странице, а дальше пароль. Так вот у него никакой корреляции. 50:67:а0:с8:2b:5с – 32600087. У человека оказался пароль на wi-fi из 22-х цифр и одной буквы – привет словарям.

Приобрел модуль alfa awus036h. Источники с силой -75 стали показываться примерно как -60. Хорошая к нему утилита под разные Windows – много информации показывает, для Linux как родной. Ничего еще с ним не открыл, а вот два конфуза уже было. Стучался к точке, дошел до конца, все перебрал и не нашел пина! У другого сразу на 1234 скачок на 90%, но потом опять до конца и опять не нашел пина. Более того, заходил на точку с разных комбинаций впрямую и с помощью подстановки в лог разных значений – почти сразу прыжок на 90% (на разных комбинациях) и опять ничего. Оба раза судя по mac адресу были TRENDnet. Либо они такие хитрые, либо модуль не видит разницы в ответах.

Как же ты на него по пину заходить-то собирался?

Ну, понятное дело, что это будет работать не всегда и не везде. Но между тем, я обнаружил еще один зюхель, где это работает. Модель, к сожалению, сейчас посмотреть не могу, т.к. давно это было. Но фишка работает, и это факт. Эх, руки бы им там всем повыдергивать в этом зюхеле...вроде ж солидная контора была.

Ну, словари - это всегда лотерея

Модуль тут точно ни причем. Я конкретно с таким производителем не сталкивался, по крайней мере, на память ничего не приходит. Может быть действительно защиту так прописали, кто знает? Попробуй перебор на этих точках с помощью программы bully - это аналог reaver. В bt ее кажется нет, но очень просто собирается из исходников. Зато точно помню, что была она в сборке kali linux.

Обсуждали тут, что можно без пароля попробовать попроситься с пином через утилиту QSS for Wireless, но наверно модуль нужно иметь TP-Link и точка наверно должна уметь принимать по пину. А вообще хотел узнать у людей, которые сталкивались с устройствами с F8:C0:91 в начале, чем всё закончилось. Одному вроде бы помогли с паролем (откуда собственно и пин), потом он как-то к другим таким же подключался, а еще один сказал, что помогло ему знание пина. Вот и хочется узнать детали.

По пину можно подключаться, если включен WPS на точке. Tp-link иметь не обязательно, зато обязательно знать верный пин Это бывает нужно в случае, если reaver не может получить от точки пароль. Бывают такие точки. Перебор заканчивается, ривер пишет, что пин подобран, а пароля - нет. Вернее, вместо него показывается 64-значная буквенно-цифровая абракадабра. В этом случае единственный способ подключиться - через пин. Но на точке при этом слетают настройки SSID и пароля.

Да действительно этот PIN подходит ко всем роутерам UPVEL UR-315BN, не только с MAC F8:C0:91, но и с D4:BF:7F, разумеется на этих точках должен быть включен QSS, в этом случае можно подключаемся используя PIN, WPA ключ не нужен, его потом можно посмотреть в настройках роутера 192.168.199.1. Вчера с помощью Goyscript-Wps из WifiSlax подобрал с первой попытки PIN к роутеру ZyXEL Keenetic Lite II, для MAC EC:43:F6 такой 35737841 (он был в базе данных скрипта), исщу дефолтные PIN для MAC F8:1A:67. Никому не попадался такой?