Prima di continuare con il rilascio della terza ed ultima parte
dell’algoritmo wpa di Infostrada volevo riprendere un
attimino il discorso sulla vulnerabilità dei router
Huawei ed il suo uso a nostro vantaggio.
Leggi tutto l'articolo
Ecco una schermata di Acunetix Web Vulnerability Scanner che mostra il risultato di una scansione, come si nota dall’immagine i router affetti dal bug ROM-0 Authentication exploit hanno come sistema base il RomPager 4.07 o 4.51. Quando ci troviamo davanti una richiesta di user e password con un web banner “Echolife Home Gateway” (come immagine sotto) sappiamo che al 99% il router è affetto da questo bug.
Cliccando qui sotto è possibile scaricare il mio tool (Infostrada – Huawei DeRom) per la decodifica del file Rom-0.
Download tool Infostrada - Huawei DeRom
---PROGRAMMA CORRETTO---
RISOLTI I PROBLEMI Di COMPATIBILTA'
CON WINDOWS VISTA/7 a 32/64 bit
password archivio: infostrada
RISOLTI I PROBLEMI Di COMPATIBILTA'
CON WINDOWS VISTA/7 a 32/64 bit
password archivio: infostrada
Il file rom-0 può essere catturato e decodificato direttamente dall’applicativo oppure potete scaricarlo dal vostro browser e poi darlo in pasto al tool. Ecco come si presenta la schermata del mio programma:
L’interfaccia potrebbe sembrare un pò spartana ma vi assicuro che funziona benissimo.
Altra nota: volevo segnalare che per pura coincidenza questo tool apre anche i file di configurazione rom-0 di router di altre marche come Dlink, Tp-Link, Zyxel e Netgear(non tutti i modelli). Sto preparando un tool universale per forzare qualsiasi tipo di router sfruttando bug conosciuti e non. Vi ricordo che è severamente vietato usare l’applicativo per entrare in reti non proprie. Usare il tool solo ed esclusivamente per testare la propria rete.
Detto ciò possiamo riprendere il discorso wpa.
VI RICORDO CHE QUESTO ALGORITMO VUOLE ESSERE LA PROVA DEI MIEI STUDI E NON è AFFATTO NECESSARIO IMPLEMENTARLO IN QUALSIVOGLIA LINGUAGGIO VISTO CHE SAPENDO IL MAC WIFI ( QUINDI IL BSSID DELLA RETE) BASTA AGGIUNGERE IL “2” SENZA VIRGOLETTE DAVANTI AL BSSID ELIMINANDO I DUE PUNTI CHE SEPARANO I BYTE DEL MAC WIFI. Ad esempio se ho il mac 00:e0:4d:c8:cb:2e, la wpa sarà 200E04DC8CB2E.
Oggi vi mostrerò che per ogni mac può esserci più di un SSID diverso.
La dimostrazione pratica di quanto sto dicendo è riportata qui sotto.
InfostradaWiFi- 002560 | 00:e0:4d:90:e1:e0 |
InfostradaWiFi-002560 | c8:d5:fe:12:cc:84 |
Questi due SSID UGUALI hanno i rispettivi MAC WIFI completamente diversi… la logica di generazione è simile ma resta il fatto che sono diversi e possono esserci altrettante combinazioni per quello stesso SSID.
Come mostrato in figura dividiamo la parte numerica dell’SSID stesso in due parti.
La prima parte indicherà la serie di appartenenza del router. La seconda parte determinerà gli ultimi 3 numeri della WPA.
Il primo problema che ho dovuto affrontare è stato individuare a che serie appartenessero i vari SSID. La risposta è arrivata dopo parecchio studio ed ho scoperto che la serie di appartenenza dipende anche dai primi 3 byte del MAC WIFI.
Prima di continuare ricordo che questo metodo è valido solo per un ristretto numero di SSID (Vedi post precedenti). Presumibilmente Infostrada ha cambiato algoritmo dopo essersi accorta che questo è troppo vulnerabile.
Ho suddiviso tutti gli SSID che ho studiato in 3 range diversi. Ogni range è riportato in una tabella, per un totale di 3 tabelle. Ho chiamato “magic numbers” (che fantasia eh?) la serie numerica corrispondente a ciascun SSID riportata in rosso nelle tabelle. Procediamo con il primo range di SSID.
Questa prima tabella riepiloga i “magic numbers” per ogni SSID da InfostradaWiFi-000100 a InfostradaWiFi-000999.
Come si può notare, a seconda dei primi 3 byte del mac e dell'SSID è possibile avere un particolare numero (in rosso) che costituisce l’ottavo, il nono ed il decimo carattere della wpa. Nel caso del mac 00:E0:4D si va da 910 a 90f, mentre per il mac C8:D5:FE, ci sono due possibili sequenze numeriche:
- Da 12f a 12d (12f,12e,12d)
- Da 304 a 303
Questa seconda tabella riassume invece i “magic numbers” per ogni SSID da InfostradaWiFi-001000 a InfostradaWiFi-009999.
In questo range di SSID vengono introdotti importanti cambiamenti, alcune serie di numeri si estinguono, altre vengono richiamate senza un apparente ordine. In particolare possiamo vedere che i “magic numbers” sono molti di più rispetto alla prima tabella.
Per il MAC 00:E0:4D, notiamo che fino a InfostradaWiFi-004999 (circa), la serie di “magic numbers” inizia con 90f e termina con 90b, (90f, 90e, 90d, 90c, 90b) per poi sparire del tutto. Da InfostradaWiFi-005000 in poi (circa) la serie è rimpiazzata da 2 serie che si alternano nelle assegnazioni (non è ben chiaro come ciò avvenga, apparentemente senza un preciso algoritmo). Le 2 nuove serie sono da b6f a b6b (b6f,b6e,b6d,b6c,b6b) e l’altra da 2ff a 2fb (2ff,2fe,2fd,2fc,2fb). Mentre quest’ultima serie viene usata fino alla fine del range preso in considerazione nella tabella, la prima serie arriva fino a InfostradaWiFi-008999 (circa) e poi lascia il posto ad una nuova serie da c8d a c84 che coinvolgerà anche altri SSID di range superiori.
Nel terzo range di SSID troviamo una situazione completamente diversa:
Come sicuramente avrete notato è assente il MAC C8:D5:FE e la lista dei “magic number” (come preannunciato) va da c8d a c84, ( c8d,c8c,c8b,c8a,c89,c88,c87,c86,c85,c84).
Se torniamo a guardare con attenzione anche la seconda tabella ci rendiamo conto che il MAC C8:D5:FE sparisce prima di arrivare al terzo range e per la precisione sparisce verso l’SSID InfostradaWiFi-006999 (circa).
Dalle 3 tabelle si evince che il cambio di “magic number” avviene a cavallo di ogni SSID, cioè ad esempio tra InfostradaWiFi-001000 e InfostradaWiFi-002000. Secondo i dati raccolti il cambio avviene precisamente a 1700, a 2700, a 3700 e cosi via fino a 9700. Purtroppo non posso essere piu preciso di così. Non c’è il reale bisogno di essere pignoli, visto che come molti hanno già osservato la wpa di default è praticamente in chiaro, ma posso dire che al 90% è cosi.
Con questo metodo abbiamo appurato l’algoritmo di generazione della 3a parte della wpa.
Rimangono le ultime 2 parti.
La penultima parte è una quantità anch’essa esprimibile come serie numerica che decresce al crescere del valore numerico dell’SSID ed è espressa in valori Esadecimali. I valori vanno da 254 a 1. Dove 254 sarà per un SSID molto piccolo e 1 per un SSID più grande. I corrispondenti valori in Esadecimale saranno inseriti poi come terz’ultima e penultima cifra della wpa. Ad esempio:
1027 --> 254 --> FE (in hex)
……
1689 --> 1 --> 1 (in hex)
Purtroppo anche qui non posso essere più preciso. Sicuramente la 5a parte dell’algoritmo si occupa di fare una operazione di MOD, cioè un modulo. Praticamente sapendo che la 5 parte è un numero fisso (0,4,8,c) sicuramente sarà il resto di una operazione – appunto- tipo modulo.
Anche per la 5° parte esiste una piccola legge da seguire. Dall’SSID InfostradaWiFi-000100 a InfostradaWiFi-008999 posso dire con certezza che i numeri 0,4,8,c rispettano sempre un determinato ordine di apparizione. Per tutti gli altri SSID la storia sostanzialmente non cambia, cambiano solo i numeri che troviamo come ultima cifra della WPA cioè 2,6,a,e. Cioè anche qui troviamo un pattern con distanza 4 che indica che sicuramente l’operazione è identica come per gli altri SSID. Rimane solo da capire che ruolo ha la 5a parte di wpa nella generazione di SSID CONSECUTIVI COME QUESTI:
InfostradaWiFi-004712 --> 00:e0:4d:90:c0:8c
Fonte: pandarossa.altervista.org
salve, si potrebbe avere il link funzionante per il download del software?
RispondiEliminagrazie
il link e rotto si lo so serve un aggiornamento ok
RispondiElimina