Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#26 17-08-2017 08:07:55

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 540

Re : Boxon.sh: Script faille box PIN WPS "null"

_john_doe a écrit :

apt-get update pour mettre à jour tes paquets.

Et upgrade ?

sudo apt-get update && sudo apt-get upgrade -y

Sinon il y a upgrade-system qui vous fait tout en une ligne de commande cool

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#27 17-08-2017 17:33:16

Bobyco
Nouveau membre
Inscription : 11-01-2012
Messages : 5

Re : Boxon.sh: Script faille box PIN WPS "null"

Bonjour, en voila trois de plus pour SFR

NB6-FXC-r2 ==> OK
SFR_XXXX
30:7E:CB:XX:XX:XX

NB6-SER-r0 ==> OK
SFR_XXXX
00:25:15:XX:XX:XX

NB6-SER-r2 ==> OK
SFR_XXXX
E0:A1:D7:XX:XX:XX

Il n'y aurais pas une liste des modèles de box par opérateur, voir combien il y a de modèles ??

Hors Ligne

#28 24-08-2017 10:41:40

flatounet
Membre d'Or
Inscription : 05-03-2010
Messages : 330

Re : Boxon.sh: Script faille box PIN WPS "null"

ou bien sfr à fixé le probléme
ou j'ai vraiment pas de bol ..

aucun ap avec faille  trouvé avec boxon ,
et en manuel que des echecs , bbox / sfr / red by sfr

si une liste les mac de box ne fonctionent pas vous interesse roll

Dernière modification par flatounet (24-08-2017 10:43:30)

Hors Ligne

#29 24-08-2017 15:21:47

MiscL
Membre V.I.P.
Lieu : BE
Inscription : 10-06-2016
Messages : 239

Re : Boxon.sh: Script faille box PIN WPS "null"

Par curiosité je vais tester ça dans mon plat pays et vous remonterai le résultat!

En tous cas, prolifique le KCDTV


--|--   MiscL   --|--
- Accept No Limit -

Hors Ligne

#30 28-08-2017 14:41:55

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 484

Re : Boxon.sh: Script faille box PIN WPS "null"

Salut les copains!
Bon, si j'ai bien comprit la faille a été "corrigée" à peu près partout.
Ou reste il encore des modèles vulnérables à l'heure actuelle?
@ +

Hors Ligne

#31 28-08-2017 17:11:14

Henri
Membre Hyperactif
Inscription : 13-04-2014
Messages : 54

Re : Boxon.sh: Script faille box PIN WPS "null"

Bonjour,

Apparemment la faille est colmatée par la désactivation du protocole WPS sans demander leur avis aux abonnés.

Reste à savoir comment il serait possible de le ré-activer à distance ou de simuler l'action sur le bouton à distance mais c'est une autre histoire. Il faudrait pour cela mettre la main sur la spécification technique que les fournisseurs utilisent pour passer commande des box aux sous-traitants. (et arriver à en comprendre les failles)

Bonne soirée

Hors Ligne

#32 28-08-2017 17:24:59

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 540

Re : Boxon.sh: Script faille box PIN WPS "null"

Henri a écrit :

Apparemment la faille est colmatée par la désactivation du protocole WPS sans demander leur avis aux abonnés.


Désactivation total du wps j'appelle pas sa colmater une faille mais paré au plus vite sans trop se fatiguer  big_smile ils ont laissé le bouton wps fonctionnel ou pas ?

Dernière modification par koala (28-08-2017 17:25:20)

Hors Ligne

#33 28-08-2017 22:31:46

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 484

Re : Boxon.sh: Script faille box PIN WPS "null"

je n'ai pas voulu rentrer dans les détails mais c'est effectivement... ...a fucking joke. big_smile
Désactiver le WPS par commande SSH aurait du être fait en dix minutes sur toutes les boxes et le jour même.
Avec un PC de merde et un petit script bidon et une pauvre connexion adsl ça prend quelques heures.  Faites le compte vous même: 200 threads sans problèmes, 1 seconde (même pas) pour s'identifier et balancer la commande ... soit 12000 box par minutes, 640 000 boxes par heures... Tout ça a vec un seul PC caca prout.
ils n'ont qu'à me donner leur clef ssh et je m'en occupe la prochaine fois avec mon Portable, ce sera fait beaucoup plus vite lol
Ensuite la brèche est toujours là, latente.
Si vous activez le WPS; le pin NULL fonctionne toujours...
1503943682.png
Ce qu'ils ont fait c'est la phase 1 "sauve qui peut"
Et vu qu'ils proposent à leur clients de changer leur box ça veut très clairement dire qu'ils savent que ce qu'ils ont fait c'est du bricolage et qu'ils ne comptent pas régler le problème sur le fond.
Ce qui ne me semble pas si mal vu que cette box c'était pas bizzance.
bref, pour en revenir à boxon.sh...
la box télécable et la neuf box ont elles le wps éteint?
Pour répondre à ta question koala il semblerait qu'il faille activer le WPS depuis l'interface pour que le boutton soit utilisé. J'imagine qu'avec le mail qu'ils on envoyé
1504038839.png
La plupart des clients vont de toute façon se la faire changer.

Dernière modification par kcdtv (29-08-2017 21:34:16)

Hors Ligne

#34 28-08-2017 23:02:57

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 540

Re : Boxon.sh: Script faille box PIN WPS "null"

Kcdtv a écrit :

Pour répondre à ta question koala il semblerait qu'il faille activer le WPS depuis l'interface pour que le boutton soit utilisé

Bon va falloir passer a la vitesse supérieur si l'utilisateur ne peut plus utiliser le pbc aussi facilement qu'avant...

Hors Ligne

#35 28-08-2017 23:35:03

sklerder
Membre Actif
Inscription : 14-08-2017
Messages : 31

Re : Boxon.sh: Script faille box PIN WPS "null"

Hello !

Je ne sais ce qu'il en est côté SFR, mais sur ma LB3, en activant la méthode "code PIN" sur celle-ci et en mettant un code PIN non null, ça semble éviter la vulnérabilité (au bout de 3 tests, que ce soit en "PIN null" ou avec un "Pin non null", l'AP passe en verrouillage au bout de trois tentatives) ...

Hors Ligne

#36 29-08-2017 08:15:49

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 540

Re : Boxon.sh: Script faille box PIN WPS "null"

Quand t'appui sur ton bouton wps tu peux te connecter avec ta livebox ou pas ?

Hors Ligne

#37 29-08-2017 09:08:20

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 484

Re : Boxon.sh: Script faille box PIN WPS "null"

Je ne sais ce qu'il en est côté SFR, mais sur ma LB3, en activant la méthode "code PIN" sur celle-ci et en mettant un code PIN non null, ça semble éviter la vulnérabilité

Houlala... Tu n'as pas compris la vulnérabilité big_smile
Chez sfr aussi si tu active le WPS et configure un PIN il te faut envoyer ce PIN comme sur n’importe-quelle box. 
@ Koala:
Ne t'en fais pas trop pour l'attaque PBC... Les fabricants de matos et les FAI ainsi que winodz etc... vont continuer à penser "WPS PBC is safe".  On reste sur du phishing avec ta technique donc "techniquement" ce n'est pas le protocole que l'on met en cause mais l'utilisateur.

Dernière modification par kcdtv (29-08-2017 20:41:16)

Hors Ligne

#38 29-08-2017 17:45:01

sklerder
Membre Actif
Inscription : 14-08-2017
Messages : 31

Re : Boxon.sh: Script faille box PIN WPS "null"

Bonsoir.

Si, la vulnérabilité, je l'ai comprise, mais je n'ai peut-être pas bien expliqué ce que je voulais faire (et c'est peut-être normale dans le fonctionnement WPS) :
- Activation du WPS par code PIN sur la LibeBox, avec le code PIN généré par la box.
- Essai de récupération de la clé par la méthode "PIN null" : KO
- Au bout de 3 tentatives, lockage de l'AP.
Ce que je voulais dire par là, c'est qu'il aurait pu suffire, chez Orange, de forcer le WPS par le code PIN de la box.

Mais ça perd de son intérêt, puisque Orange est en train de déployer le firmware correctif ...

Hors Ligne

#39 29-08-2017 17:47:04

sklerder
Membre Actif
Inscription : 14-08-2017
Messages : 31

Re : Boxon.sh: Script faille box PIN WPS "null"

koala a écrit :

Quand t'appui sur ton bouton wps tu peux te connecter avec ta livebox ou pas ?

Oui, mais dans ce cas, tu tombes sur l'association normale ...

Hors Ligne

#40 29-08-2017 18:17:28

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 540

Re : Boxon.sh: Script faille box PIN WPS "null"

sklerder a écrit :

Oui, mais dans ce cas, tu tombes sur l'association normale ...

Oui normal, c'est ce que je voulais savoir merci.

Hors Ligne

#41 29-08-2017 20:25:49

sklerder
Membre Actif
Inscription : 14-08-2017
Messages : 31

Re : Boxon.sh: Script faille box PIN WPS "null"

En fait (je ne sais si c'était le cas auparavant), le fait d'appuyer sur le bouton d'association désactive le code PIN de la LiveBox (on ne peut le voir que dans l'interface Web "WiFi Avancé").

Je précise aussi par rapport à ta question :

koala a écrit :

Quand t'appui sur ton bouton wps tu peux te connecter avec ta livebox ou pas ?

Un client "normal", oui.
Si le sens de ta question était de savoir si l'association WPS était possible, c'est oui smile
Je n'ai pas essayé de faire fonctionner le bouton d'association avec WPS désactivé par les menus ...

Hors Ligne

#42 29-08-2017 20:55:21

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 484

Re : Boxon.sh: Script faille box PIN WPS "null"

Merci pour l'info...  C'est bien vrai que tout cela est confus (si ils expliquaient ce qu'ils faisant se me serait pas le cas.)  et j'aurais du m'imaginer que je ne te comprenais pas.
Les livebox vont continuer à utiliser le PBC pour la bonne et simple raison que les décodeurs orange se connectent par PBC.
Le PBC et un mode de connexion considéré comme sûr et qui est en vogue.  Tous les industriels du secteur l'ont adopté: Windows le propose en premier, les télés samsung, LG ne jurent que par ça (WPS P2P), tous les routeurs qui sortent on le WPS,...
Les FAI sont à mon avis un peu obligés de suivre et je ne vois pas le PBC disparaître de si tôt.
edit.... Pour en revenir au script qui n'est là que pour recenser des modèles vulnérable, il serait tout de même bon de pouvoir vérifier ce qui se passe avec NEUF et l'autre truc.
NEUF c'est SFR maintenant?

Dernière modification par kcdtv (29-08-2017 20:58:36)

Hors Ligne

#43 29-08-2017 21:19:30

sklerder
Membre Actif
Inscription : 14-08-2017
Messages : 31

Re : Boxon.sh: Script faille box PIN WPS "null"

Aux dernières nouvelles, oui, NEUF et SFR ne font qu'un (avant que ça devienne Altice ?).

Le script devrait préciser" potentiellement vulnérable", non ?
Tu vas avoir, au moins quelues temps, des box (au moins LB3) "corrigées" et d'autres "non corrigées", et, pour ce que j'ai pu noter, aucun changement dans les probes neutral

Hors Ligne

#44 29-08-2017 21:32:38

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 484

Re : Boxon.sh: Script faille box PIN WPS "null"

Le script devrait préciser" potentiellement vulnérable", non ?

Tout du moins... Les sfr sont encore vulnérable si l'utilisateur habilite le WPS ce qui reste très improbable surtout après qu'ils aient en plus reçu le mail. On parle vraiment d'une probabilité minuscule big_smile
Je corrigerai le readme et le script ces jours-ci lorsqu'on aura l'info sur neuf et l'autre

Hors Ligne

#45 29-08-2017 21:42:46

sklerder
Membre Actif
Inscription : 14-08-2017
Messages : 31

Re : Boxon.sh: Script faille box PIN WPS "null"

Je verrais bien du rouge pour SFR/neuf jusqu'à correction, et de l'orange pour Orange wink

Perso, ça me va comme c'est, je me fais de toute façon mon idée moi-même ...
Ce sont les SK qui risquent de poser des questions smile

Dernière modification par sklerder (29-08-2017 21:46:18)

Hors Ligne

#46 15-09-2017 14:24:52

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 484

Re : Boxon.sh: Script faille box PIN WPS "null"

version 1.1 (la dernière):
  Aucun changement dans le code si ce n'est la sortie en console ("pourraient être vulnérables" au lieu de "vulnérables").
  Et quelques retouches dans le readme.txt pour faire part de l'évolution de la situation.
  ¡ @ plus !

Hors Ligne

#47 Aujourd'hui 20:32:52

sklerder
Membre Actif
Inscription : 14-08-2017
Messages : 31

Re : Boxon.sh: Script faille box PIN WPS "null"

Bonsoir.

Vu smile

A ma connaissance, le firmware correctif chez Orange n'a pas encore fini d'être diffusé, mais les remontées utilisateur sont probalement en-dessous de la vérité wink

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
Épinglée :
Épinglée :: 0day Crack Box SFR NB6V en deux secondes par PIN "NULL" par kcdtv  [ 1 2 3 13 ]
301 78067 Aujourd'hui 20:28:18 par sklerder
Hostbase V0.9 rogue AP script par koala  [ 1 2 3 4 5 ]
115 6339 14-09-2017 03:55:04 par disquette
22 971 27-08-2017 09:02:50 par Deniz
0 611 19-08-2017 14:01:56 par Morojgovany
16 3561 17-08-2017 15:20:10 par Fab955

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.131 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]