Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 07-08-2017 20:32:30

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 493

0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

cooltext254176200235321.gif

Bonsoir.
  Pour rentrer dans le vif du sujet voici un vidéo de démonstration qui permet de voir comment j'obtiens en quelques secondes la clef de ma box SFR avec reaver 1.6.1
lien vidéo youtube

  Nous avons déjà parlé dans le forum de l'option -p rénovée que nous avons publié dans reaver 1.6.1.
Et je vous ai aussi parlé de l'impact de cette trouvaille sur le paysage WiFi en Espagne:  0 day crack WPS vs ZTE avec Reaver 1.6b et un PIN "null"
  Ceci dit vu l'importance de cette faille je pense qu'il est nécessaire de bien tout expliquer pas à pas.
 

Modèle affecté

    Il m'a été possible de tester la faille uniquement sur des modèles NB6V (NB6V-FXC-r0).
    Les routers que j'ai testés avaient pour début d'adresse mac 24:95:04 et ce rang d'adresse mac appartient à SFR si on jette coup d’œil dans la liste OUI

cat /usr/share/macchanger/OUI.list | grep '24 95 04'
24 95 04 SFR

   Vous pouvez voir dans la capture d'écran qui vient le modèle tel qu'il est affiché dans la première page de l’interface de configuration web.

sfr_1.jpgsfr_2.jpg

Edit: Koala nous informe (voir réponse 2) que le modèle NVB85 est lui aussi vulnérable. Tout laisse à penser que la faille de sécurité affecte toutes les "variantes" de box SFR.   

Description de la brèche de sécurité

     Configuration WPS correcte à première vue

  C'est une faille de sécurité que l'on pourrait qualifier de "taquine", presque sournoise, voire vicieuse...
En tous cas les effets sont dévastateurs: Crack clef WPA via protocole WPS immédiat.
  Comment ce fesse? On peut dire que les clients de SFR l'ont un peu dans le popotin en effet.. C'était le moment lagaffe, fesse-popotin-zizi coincoin
  Okay, un petit subutex et ça va mieux...
...Revenons à nos moutons
Nous avons a priori une box "correctement" configurée avec le WPS (uniquement) en mode PBC 

sfr_3.jpg

 

    Attaque foudroyante avec reaver 1.6.1 et l'option -p "chaîne arbitraire"

Comme il n'y a pas de PIN configuré j'ai décidé d'essayer d'envoyer un PIN WPS avec valeur "NULL"
On pourrait parler d'un PIN "vide" ou bien d'un PIN "sans valeur définie"
  Si vous voulez en savoir plus sur ce sujet lisez l'article dans la wiki de reaver (il n'est pas long): Introducing a new way to crack WPS: Option p with an Arbitrary String

*Aparté technique:
Je rappelle aux têtes en l'air que reaver 1.6.1 n'est pas la version installée/disponible dans Kali linux. Et encore moins celle des dépôts des distribution "régulière"
Il vous faut donc l'installer en utilisant le dépôts officiel sur GitHub pour avoir la toute dernière révision en cours. 

git clone https://github.com/t6x/reaver-wps-fork-t6x.git

et pour l'installation

cd reaver* && cd src && ./configure && sudo make install

Une image vaut mieux qu'un long discours et la capture d'écran suivante vous montre le résultat d'une attaque WPS avec un PIN non définit

sfr_4.jpg

Sévérité de la brèche et contre mesure

  Il s'agit d'une faille de sécurité critique.
     C'est rapide et imparable.
Il faut absolument dés-habilite complètement le WPS depuis l’interface de configuration.
Je donne les pas à suivre pour ceux qui ne savent pas comment faire.
      1)  Entrez dans l'interface de configuration de votre routeur. Vous devez mettre

192.168.1.1

          dans la barre de navigation URL de votre navigateur web
      2) Allez à "WiFi". Il vous sera demandé d'appuyer sur le gros bouton de votre Box pendant 5 secondes
                           avec une photo du bouton en question. Suivez les instruction

      3)  Stoppez de façon définitive le WPS en le mettant sur OFF
  Et il est très vivement conseillé de changer la clef WPA après avoir éteint le WPS.  Avec Une clef de 12 caractères ou plus qui mélange lettres majuscules, minuscules, chiffres et caractères spéciaux.

Dernière modification par kcdtv (08-08-2017 09:24:31)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 07-08-2017 20:39:59

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 579

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Et marche aussi sur les NB5 blanches ... tongue

Hors Ligne

#3 08-08-2017 07:48:00

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 493

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Pourrais tu me passer les paramètres WPS d'une réponse PROBE de ce spécimen ô ami koala?
C'est pour ma collection personnelle et pour bien répertorier les modèle affectés. Merci d'avance smile

Dernière modification par kcdtv (08-08-2017 07:48:39)

Hors Ligne

#4 08-08-2017 09:48:35

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 579

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

C'est une box d'un pote donc je peux pas te récupérer les probes, je 'lai pas a coté, par contre je lui avais fait des screens de l'interface pour lui prouver que j'y ai bien eu accès, ya la MAC, modèle etc.. en espérant que ça puisse te servir roll  j'ai un autre ami qui a la dernière box sfr by numéricable (la grosse noir) quand j'irais testé ça je te ferais une capture des probes cool


mac


tonmodèle


Bon en revoyant les screens il s'agit d'une NB4 et nons pas d'une NB5, j'avais cru sa car en général les NB5 sont blanches.

Dernière modification par koala (08-08-2017 09:50:15)

Hors Ligne

#5 08-08-2017 13:49:35

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 493

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Difficile de faire la différence entre une bouse et une autre bouse big_smile
A quand des vrais PA avec des vrais antennes et des vrais firmwares open source avec du vrais support?
  Et pas ces machins fades à la portée wifi ridicule.
De toute façon le problème n'est pas lié au modèle mais à la configuration par défaut standard des firmwares
C'est donc une faille que l'on va retrouver a priori en série sur "toute la gamme des produits SFR" big_smile

  Pour le moment on a donc:

  • modèle: NB6V-FXC-r0    bSSID: 24:95:04 / E0:A1:D7     firmware: NB6V-MAIN-R3.4.5

  • modèle: NB4-FXC-r1       bSSID: 00:17:33                            firmware: NB4-MAIN-R3.4.6

  Voici les rangs de mac de SFR:

24-95-04   (hex)		SFR
E0-A1-D7   (hex)		SFR
00-1D-16   (hex)		SFR
00-17-33   (hex)		SFR
30-7E-CB   (hex)		SFR
00-25-15   (hex)		SFR
44-CE-7D   (hex)		SFR

Dernière modification par kcdtv (08-08-2017 17:36:22)

Hors Ligne

#6 08-08-2017 13:58:47

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 579

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

En espérant compléter ces données tongue


Par contre je précise que le driver employé pour l'attaque et un rtl8187, mon atheros standard ne vaut rien coté wps.

Hors Ligne

#7 08-08-2017 14:28:58

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 493

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Mon atheros interne ne vaut pas grand chose non plus mais a été suffisant à 2-3 mètres de la box. C'est celui qui est utilisé dans  le vidéo

driverr:ath9k	
chip: Qualcomm Atheros QCA9565 / AR9565 Wireless Network Adapter

Dernière modification par kcdtv (08-08-2017 14:29:25)

Hors Ligne

#8 08-08-2017 17:13:43

Atrax
Membre Hyperactif
Inscription : 17-11-2008
Messages : 59

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Kcdtv tu peux ajouter pour SFR :

modèle: NB6V-FXC-r1    bSSID: e0:a1:d7      firmware: NB6V-MAIN-R3.4.5

Je sais pas si tu avais vu mais les Livebox sont aussi touchées !
Testé et approuvé.

Hors Ligne

#9 08-08-2017 17:18:51

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 579

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Atrax a écrit :

Je sais pas si tu avais vu mais les Livebox sont aussi touchées !
Testé et approuvé.


Intéressant ! smile quel type de livebox ? et avec quel type de driver pour l'attaque ?

Hors Ligne

#10 08-08-2017 17:34:27

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 493

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Salut Atrax!
Merci pour les données

Je sais pas si tu avais vu mais les Livebox sont aussi touchées !
Testé et approuvé.

WooW
Je n'en savais absolument rien.... tongue
J'ai juste pu tester sur du SFR, sur la box de mes parents et sur celle d'un ami du bled. C'est plutôt désertique niveau wifi là où sont mes vieux.
Pourrais tu nous en dire un peu plus sur le modèle de livebox en question?
  livebox + boxe sfr... Ça devient du lourd de chez lourd big_smile

Hors Ligne

#11 08-08-2017 17:35:16

Atrax
Membre Hyperactif
Inscription : 17-11-2008
Messages : 59

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Pour les livebox, c'est peut-être que les vieux modèles j'ai 2x une Sagemcom Livebox 3

Dernière modification par Atrax (08-08-2017 17:36:00)

Hors Ligne

#12 08-08-2017 17:42:46

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 493

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

C'est pas non plus des modèle de l'époque néandertalienne: PA dual band en version Fibre ou adsl.
Ça fait mal... big_smile

Hors Ligne

#13 08-08-2017 18:02:04

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 579

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Bon c'est décidé il faut que je me cale une aprem de pentest spécial WPS big_smile

Hors Ligne

#14 08-08-2017 20:16:03

t0t0r
Nouveau membre
Inscription : 08-08-2017
Messages : 5

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

44-CE-7D   (hex)             SFR
30-7C-B2   (hex)             Livebox

On peut ajouter celles ci sur la liste (:

Dernière modification par t0t0r (08-08-2017 20:16:58)

Hors Ligne

#15 08-08-2017 20:48:06

Atrax
Membre Hyperactif
Inscription : 17-11-2008
Messages : 59

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Livebox 18:62:2C
Livebox 40:C7:29
Livebox 30:7C:B2 (confirmation de t0t0r)
C'est que de la Livebox 3

Hors Ligne

#16 08-08-2017 20:55:11

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 579

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Atrax a écrit :

C'est que de la Livebox 3

C'est bon sa tongue

A tout hasard, quelqu'un a essayé avec une carte compatible en 5GHz sur les nouvelles Bbox et le réseau en 5GHz ? sait on jamais...

Dernière modification par koala (08-08-2017 20:55:41)

Hors Ligne

#17 09-08-2017 07:32:21

GreyBird
Membre Radioactif
Inscription : 06-09-2015
Messages : 67

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Allez un petit récap' ! tongue

SFR :

-24-95-04
-E0-A1-D7
-00-1D-16
-00-17-33
-30-7E-CB
-00-25-15
-44-CE-7D


Livebox :

-30-7C-B2
-18-62-2C
-40-C7-29
-F0-82-61
-2C-39-96



C'est du bon tout ça, pas encore testé de mon côté, je vous tient au jus

EDIT : j'ai ajouté les lignes d'Atrax

Dernière modification par GreyBird (09-08-2017 16:04:43)

Hors Ligne

#18 09-08-2017 09:28:12

_john_doe
Membre Actif
Inscription : 11-07-2017
Messages : 39

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

J'ai une sagemcom Numericable mais basculé SFR.
Suis en vacances.
Je test et poste le retour test à mon retour pour alimenter la liste des box faillibles ou pas.

Hors Ligne

#19 09-08-2017 10:26:48

Atrax
Membre Hyperactif
Inscription : 17-11-2008
Messages : 59

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Pour les Livebox, on peut ajouter :
F0:82:61
2C:39:96

Hors Ligne

#20 09-08-2017 10:57:32

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 579

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Je propose qu'en plus de donner les MAC vulnérables, on se partage aussi les ssid,S/N et clés (dans la mesure ou le propriétaire est d'accord).

On a que peu de donnée sur les innombrables box que l'on a en France cool

<HS>mon tp-link 1043nd sous ddwrt avec la conf par défaut n'est pas vulnérable tout simplement car le wps est désactivé par défaut et pourtant c'est du dd-wrt... je dis ça si jamais un de ces monsieurs des telecom passe qu'il prenne note tongue</HS>

Hors Ligne

#21 09-08-2017 15:54:17

GreyBird
Membre Radioactif
Inscription : 06-09-2015
Messages : 67

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Je suis en train d'essayer de coder un truc en bash.

D'après un fichier contenant les 3 premiers octets OUI des MAC que l'on connait, avec une liste obtenue par wash l'idée serai d'obtenir une liste des MAC ciblées par la faille.


Je galère surtout pour retourner le tout de manière propre.

Avec un

wash -i wlanXmon > wash

puis un

cat wash | sed '1,2d' | awk -F ":" '{print $1":"$2":"$3}' > bssid

on obtient la liste des MAC de wash, uniquement les 3 premiers octets et bien triés, le tout dans le fichier bssid.
Imaginons maintenant que nous ayons les 3 premiers octets des AP vulnérables dans un fichier "vuln"

C'est là que les choses se compliquent (pour ma part en tout cas).

J'ai pensé parcourir les 2 fichiers avec 2 boucles FOR, en mettant une condition d'égalité mais c'était lourd et ça ressemblait à du bricolage.

J'ai trouvé la possibilité de faire un

comm -2 bssid  vuln

J'arrive alors à un truc comme ça

	00:17:33
00:19:70
	00:25:15
00:37:B7
08:3E:5D
18:1E:78
	24:95:04
2C:B0:5D
	30:7C:B2
40:5A:9B
40:65:A3
	40:C7:29
8C:F8:13
98:DE:D0
A0:21:B7
A0:AB:1B
B8:26:6C
B8:26:6C
B8:26:6C
C0:D9:62
E4:5D:51

L'idée serai alors de relever les numéro des lignes avec une tabulation (les lignes qui match avec le fichier vuln), de reporter ces numéros sur le fichier wash (contenant le scan du wash -i originel) et de mettre des belles couleurs sur le tout !
J'y ai quand même cogité tout l'aprem mais je crois que mes connaissances en bash s'arrêtent là.

Si l'envie vous dit on pourrait se lancer dans un petit outil collaboratif

Dernière modification par GreyBird (09-08-2017 16:03:54)

Hors Ligne

#22 09-08-2017 16:05:52

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 579

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Bon alors je reviens d'une petite demi heure de test, les Livebox noir qui sont les Livebox play si je ne m'abuse sont bien concernés.

Mac: 40:C7:29:

Un autre test ma donné aussi la clé avec la mac: D0:84:B0:, les mac de type livebox 2 en 00:19:70 ne semblent pas affectés

Par contre j'ai essuyé des échec avec sfr sur ces macs suivantes:
44:E9:DD
40:65:A3


A confirmer de votre coté cool


Ps: GreyBird je viens de voir ton message effectivement c'est une bonne idée smile

Dernière modification par koala (09-08-2017 16:07:14)

Hors Ligne

#23 09-08-2017 16:15:48

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 493

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

L'approche par bssid n'est jamais correcte mes amis.
Ce qu'il faut faire c'est chercher le modèle exact dans les réponses PROBE si tu veux faire un tool sans failles 8sans faux positifs) .
D'où l'importance de bien noter le modèle lorsqu'on reporte un cas et montrer comment il est annoncé dans les PROBES (parmètres WPS) 
Et le version du firmware est aussi un élément à donner, non pas dans l'optique d'un éventuel script mais pour cerner la brèche avec exactitude.   
Pour ce qui est de ton idée grey bird, je te propose d'ouvrir un thème dans notre forum programation qui est fait pour ça. smile

edit.
@ koala
pour ton erreur sur la box sfr avec mac 40-65-A3, ce n'est pas du sfr...

kcdtv:~$ cat /var/lib/ieee-data/oui.txt | grep "40-65-A3"
40-65-A3   (hex)		Sagemcom Broadband SAS

utilisez wash avec l'option

 -j 

pour voir le modèle et veuillez le recopier et coller ici
1502292783.png

Dernière modification par kcdtv (09-08-2017 16:33:23)

Hors Ligne

#24 09-08-2017 16:38:08

GreyBird
Membre Radioactif
Inscription : 06-09-2015
Messages : 67

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

Par curiosité koala j'ai jeté un oeil à ta dernière vidéo.
J'ai testé moi-même ce matin sur une AP censée être vulnérable mais sans succès.
On a le même chipset si je ne m'abuse (RTL8187, sans doute une fameuse 036H big_smile).

Au risque de me faire traiter de déterreur de topic, ce problème pourrait-il être à l'origine ?
MAC qui change

L'attaque s'est bien faite avec reaver 1.6.1 issu de Git mais sans succès.

@kcdtv

Oups, rien que le mot me faire peur, je crois que je suis pas spécialement armé pour coder ce genre de truc, je suis plus un scripteur qu'un véritable développeur.

Mais en y réfléchissant, j'ai remarqué ce matin en faisant un tour avec WASH qu'il existait des NEUF_XXXX qui avait les 3 premiers octets des box SFR vulnérables, d'où l'intérêt d'éviter les faux positifs via l'analyse des PROBES

Dernière modification par GreyBird (09-08-2017 16:46:49)

Hors Ligne

#25 09-08-2017 18:15:52

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 579

Re : 0day Crack Box SFR NB6V en deux secondes par PIN "NULL"

GreyBird a écrit :

On a le même chipset si je ne m'abuse (RTL8187, sans doute une fameuse 036H big_smile).

Non c'est une bonne vielle EH monté avec l'antenne d'une 36H.. oui j'ai malheureusement préter des cartes qui ne me sont jamais revenu du coup j'ai du improviser un peu cool

Je pense pas que le problème vienne de la MAC mais plutot de la distance/interférence possible, tu as essayé sur quel mac ? je testerai au pire de mon coté aussi.


@Kcdtv merci pour ton astuce et wash smile


sfr utilise sagem ? on dirait bien d'apres cette petite recherche:

Box red de sfr


Une chose est sur la box de mon pote avec laquelle j'ai fais le 1er test a moins de 3m et avec mes 2 drivers n'a pas fonctionné.Il s'agit bien de la nouvelle sfr box by numéricable et c'est du sagem aussi:

Guide d'installation box sfr


La prochaine fois je penserais aux PROBES amigo wink

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.034 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]