ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
13.11.2020, 17:46
|
|
Постоянный
Регистрация: 25.07.2018
Сообщений: 498
Провел на форуме:
120581
Репутация:
10
|
|
Сообщение от Isica
А надо бы от 0 до "сколько не жалко" символов, и не буквы, а всё подряд (баг в прошивке вряд ли старается совать туда буквы, а длина строки в результате этого бага может очень серьёзно гульнуть, но не исключено, что строка эта из одних нулей или FF).
От 0 знаков — значит начиная с пустой строки? Разумеется, пустая строка проверяется в первую очередь. По поводу 5 и больше знаков: если не ошибаюсь, то в этом нет смысла, т.к. максимальная длина половинки пин-кода — 4 символа. К тому же, на перебор у меня ушло около 5 минут, если увеличить количество символов до 5, то выйдет больше 5 часов (моя программка однопоточная и работает на CPU).
По поводу спецсимволов ASCII: спасибо, проверю.
|
|
|
13.11.2020, 19:53
|
|
Флудер
Регистрация: 11.12.2010
Сообщений: 4,688
Провел на форуме:
997379
Репутация:
125
|
|
Сообщение от 4Fun
моя программка однопоточная и работает на CPU
Хороший прогресс, годный. Осталось на базе hashcat сделать, и тогда можно будет на GPU молотить.
|
|
|
|
13.11.2020, 21:56
|
|
Познавший АНТИЧАТ
Регистрация: 24.03.2012
Сообщений: 1,121
Провел на форуме:
418750
Репутация:
24
|
|
Как насчет экспериментов непосредственно с роутером? Заработает ли WPS, если в в вебморде сгенерировать новый pin, или включить настройку по нажатию кнопки? Если ломает wps именно та конфигурация, которая якобы читается из настроек роутера.
|
|
|
|
15.11.2020, 15:34
|
|
Active Member
Регистрация: 17.10.2018
Сообщений: 262
Провел на форуме:
90863
Репутация:
1
|
|
Сообщение от 4Fun
По поводу 5 и больше знаков: если не ошибаюсь, то в этом нет смысла, т.к. максимальная длина половинки пин-кода — 4 символа
Вряд ли баг интересуется такими формальностями Он просто берёт то, что есть и пытается обработать так, как умеет.
А если исходить из того, что ПИН хранится в виде строки, то случайная запись бреда на его место может ОЧЕНЬ сильно изменить длину этой строки!..
Впрочем, столь пессимистичный случай нам всё равно не осилить. Так что я бы ограничился следующим: сперва попробовал бы строки 00 и FF разумной длины (какую сможет проглотить алго), а затем бы прогнал все варианты для 4-х цифр.
|
|
|
|
15.11.2020, 16:41
|
|
Active Member
Регистрация: 17.10.2018
Сообщений: 262
Провел на форуме:
90863
Репутация:
1
|
|
Сообщение от TOX1C
Как насчет экспериментов непосредственно с роутером?
При наличии физического доступа к железке (или к рубильнику ), надо бы её поперезагружать и сперва удостовериться, действительно ли N1=F(time), а затем собрать все возможные варианты E-Hash1 и E-Hash2 для некого N1 (к примеру, на 30-й секунде после старта) и убедившись, что их не слишком много, побрутить их все.
UP
@4Fun, поглядел я свои логи, где pixi отработал в mode3, и у меня ВСЕГДА ES1=ES2, а N1 младше как минимум на секунду. Но если без бага эта точка уязвима, тогда ведь можно юзать mode3 по полной, не полагаясь на то, что N1=ES* (или Вы так и делаете?)
|
|
|
|
17.11.2020, 04:03
|
|
Постоянный
Регистрация: 25.07.2018
Сообщений: 498
Провел на форуме:
120581
Репутация:
10
|
|
Сообщение от Isica
@4Fun, поглядел я свои логи, где pixi отработал в mode3, и у меня ВСЕГДА ES1=ES2, а N1 младше как минимум на секунду. Но если без бага эта точка уязвима, тогда ведь можно юзать mode3 по полной, не полагаясь на то, что N1=ES* (или Вы так и делаете?)
Так и делал. Написал программку для генерации E-S1,2 на основе генератора случайных чисел из Realtek, нашёл seed N1, прибавлял к нему несколько секунд (от 1 до 5), поучал E-S1,2 и проверял их с помощью самописного брутфорсера. Кстати, по вашему совету расширил набор проверяемых символов до
Код:
0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&\'()*+,-./:;?@[\\]^_`{|}~ \t\n\r
Но пока что никакого результата.
|
|
|
|
17.11.2020, 12:13
|
|
Постоянный
Регистрация: 30.08.2011
Сообщений: 358
Провел на форуме:
66828
Репутация:
11
|
|
Можно поправить это место в бинарнике wsc
https://github.com/drygdryg/Tenda-A...Space/cbb/src/wps/rtk/src/txpkt.c#L2856-L2857
Код:
TagSize = strlen(pCtx->manufacturer);
pMsg = add_tlv(pMsg, TAG_MANUFACTURER, TagSize, (void *)pCtx->manufacturer);
на
Код:
TagSize = strlen(pCtx->pin_code);
pMsg = add_tlv(pMsg, TAG_MANUFACTURER, TagSize, (void *)pCtx->pin_code);
Там два байта всего. И вместо manufacturer будет виден pin. |
|
|
|
17.11.2020, 12:37
|
|
Active Member
Регистрация: 17.10.2018
Сообщений: 262
Провел на форуме:
90863
Репутация:
1
|
|
Сообщение от 4Fun
Кстати, по вашему совету расширил набор проверяемых символов до
Код:
0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&\'()*+,-./:;<=>?@[\\]^_`{|}~ \t\n\r
Но пока что никакого результата.
Но я Вам советовал не совсем это, точнее даже совсем не это:
Сообщение от Isica
не буквы, а всё подряд (баг в прошивке вряд ли старается совать туда буквы
или
Сообщение от Isica
Так что я бы ограничился следующим: сперва попробовал бы строки 00 и FF разумной длины (какую сможет проглотить алго), а затем бы прогнал все варианты для 4-х цифр.
Также обратите внимание, что в моей последней цитате, вариант "затем" не перекрывает "сперва" (при желании, их можно поменять местами, но не исключить первый).
UP
На перебор всех вариантов из 4 символов, с вашей реализацией потребуется ~21 час.
Но, повторюсь, СНАЧАЛА желательно проверить строки "\x00\x00\x00\x00" и "\xFF\xFF\xFF\xFF", затем эти же строки, но длиной от 1 до, скажем, 256 символов (бОльшая длина менее вероятна и не факт, что корректно пройдёт через HMAC), и только потом приступать к полному перебору (что, скорее всего, не понадобится).
А DeltaSeed я бы пробовал в такой последовательности: 1,2,3,0,4,5...
|
|
|
|
17.11.2020, 16:35
|
|
Active Member
Регистрация: 17.10.2018
Сообщений: 262
Провел на форуме:
90863
Репутация:
1
|
|
Походу, вопрос: а как собрать pixi под Винду?
И что есть mode 2,4,5 (eCos*) и где они подробно описаны?
|
|
|
|
17.11.2020, 16:37
|
|
Флудер
Регистрация: 11.12.2010
Сообщений: 4,688
Провел на форуме:
997379
Репутация:
125
|
|
Сообщение от Isica
Походу, вопрос: а как собрать pixi под Винду?
MinGW.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
