К некоторым моделям Тенд можно посчитать wps пин мы точно уверены что для F3, F9, N301 может ещё какие модели уязвимы, прошу сообщество помочь с разгадкой алгоритма он линейный но с неизвестной примесью, попытки узнать примесь не увенчались успехом потому что мы не смогли реверснуть прошивки которые базируются на eCos и Реалтек. Пока что мы может посчитать правильный пин только для целевой Тенды только если у нас есть в базе (3wifi ) Тенды со схожими BSSID( только два последние байты мака могут отличаться).

Привожу ниже пример расчёта:

Допустим, нужно вычислить пин-код для 04:95:E6:99:5A:C8

Отбрасываем последний байт, отправляем в 3WiFi запрос на поиск 04:95:E6:99:5A* . Если 3WiFi возвращает что-то продолжаем. В данном случае вернётся это (чек-суммы отброшены):

04:95:E6:99:5A:E0 1738293

04:95:E6:99:5A0 1346981

04:95:E6:99:5A:B8 1694348

04:95:E6:99:5A:C0 1890132

Берём из списка самые ближние BSSID к целевому (04:95:E6:99:5A:C0, 04:95:E6:99:5A0), вычисляем между ними и целевым (04:95:E6:99:5A:C8) расстояния и их знак (плюс или минус). В данном случае расстояние между 04:95:E6:99:5A:C8 и 04:95:E6:99:5A:C0 — -8, а между 04:95:E6:99:5A:C8 и 04:95:E6:99:5A0 — +8

Далее, используя таблицу сопоставления расстояний, смотрим по ней расстояния между пин-кодами, соответствующие расстоянию 8 между BSSID из пин-кодов вычитаем/прибавляем эти расстояния и получаем, как минимум 2 возможных пин-кода.

Tenda OUI:

C8:3A:35*

04:95:E6*

00:B0:0C*

50:0F:F5*

E8:654*

CC:2D:21*

5895*

B8:3A:08*

D8:32:14*

50:2B:73*

08:40:F3*

Сейчас потихоньку пишется онлайн-генератор, который на основе данных из базы будет генерировать пин-код, но данных по нужным Тендам очень мало в 3WiFi. Если алгоритм будет разгадан, он будет передан проекту 3wifi, и им смогут пользоваться все.

Если кто имеет желание помочь то нужно:

1) Заливать Тенды в базу https://3wifi.stascorp.com для будущего онлайн генератора что бы данных было больше для расчёта wps пина.

2) Помощь или совет как реверсить прошивки на eCos и Реалтеке мы пытались но не смогли.

3) У вас есть в наличии роутер Тенда модели F3, F9, N301 и программатор для проверки наличия алгоритма в прошивке

Пример#2 именно с него всё и началось данные подошли к реальной Тенде которая после взятия была залита в базу

Есть целевой роутер к которому нужно найти пин wps 04:95:e6:3d:40:18 в базе нахожу максимально похожий мак 04:95:e6:3d:40:30 получаю разность в десятиричной системе 24

ищу похожие маки у которого отличается только последне два символа (байта)

04:95:e6:3d:40:30 - 04:95:e6:3d:40:18 (перевод в десятичную систему) = 48-24= разность 24

Начал искать в 3WiFi роутеры, 5 чисел мак-адреса которых совпадают, а последние отличаются на 24.

24 разность

04:95:E6:3E:88:B8 75589073 (пины wps)

04:95:E6:3E:880 81457489

24 разность

04:95:E6:48:81:40 64320069

04:95:E6:48:81:58 70846393

24 разность

04:95:E6:3F:40:A8 89595800

04:95:E6:3F:40:C0 96122136

Далее я взял 7 цифр пин-кода каждой пары и вычислил между ними разность

Пример для первой пары:

8145748-7558907=586841

Для двух последних разность совпадает = 652633

Для второй:

7084639-6432006=652633

Для третей:

9612213-8959580=652633

И таких совпадений много было

После чего я взял 7 цифр пин-кода с близким к мак-адресу целевого роутера (04:95:e6:3d:40:30) (5827241)

И вычел из них полученные разности

5827241-652633=5174608

5827241-586841=5240400

51746087 верный пин к 04:95:e6:3d:40:18

52404009 не верный пин

У Реалтеков своя модифицированная ос под себя (eCos) ещё и своя архитектура для дешёвых моделей некая Lexra на форуме OpenWrt пишут, что Lexra — это модифицированная компанией Realtek архитектура MIPS это всё осложняет.

Вот здесь о чипе Realtek на Lexra: https://forum.openwrt.org/t/solved-support-for-rtl8881a-m/11876/2

Спасибо, посмотрим но тут проблема в том что пина может и не быть в прошивке поэтому и нужна Тенда в наличии и программатор что бы это подтвердить или опровергнуть

Прошу помощи в тестировании онлайн-генератора пин-кодов для роутеров Tenda. Если у вас есть поблизости точки Tenda, нужно скачать генератор, сгенерировать им список пин-кодов для какого-нибудь целевого BSSID и по возможности проверить все предложенные пин-коды на целевой точке и отписаться, если какой-либо подошёл.

Техническая информация: генератр автоматизирует процесс вычисления пин-кодов на основе пин-кодов роутеров, BSSID которых близки к целевому. Близкие BSSID ищутся в 3WiFi; вычисления основаны на таблице сопоставления расстояний между BSSID и пин-кодами. Таблица доступна по ссылке: https://dropmefiles.com.ua/W954C8AD3

Требования для запуска: Python 3.5 или выше, модуль Requests (инструкция по установке в README.txt).

Генератор:https://github.com/drygdryg/TendaOnlinePIN

Точка запаролена, пустой пин выдаёт Key is empty, как понимать ?

так и понимать wps отключен

подумай ещё раз

https://ibb.co/wZmHthf

Где ты прочитал "пустой пин"? Он выдал пустой ключ. Это баг прошивки, с этим ничего не сделаешь, придётся хендшейк ловить.

Но я бы ещё попробовал пин в качестве пароля, на некоторых точках подходит.