Patron redes WLAN_XXXX WPA

[victorgaru2]

he encontrado esta pagina donde hay un router y su etiqueta, para quien quiera trastear. están la,,,essid,,modelo, marca del router,tipo de seguridad (WPA)y contraseña pero la mac no está,,si os sirve para algo bien,,y sino, borrar esto...

http://www.redeszone.net/routers/comtrend-ar-5381u-de-jazztel-review-del-nuevo-modem-router-con-wi-fi-n-que-proporciona-jazztel/

[lustro]

La mac esta en las pruevas del InSSIDer, la primera en rojo.

Al parecer ya no guarda relacion la mac con el SSID.

Un saludo.

[africapo]

maripuri

esa no era mi intencion, mi intencion era dar mi opinion, sin querer montar lios entre los foreros, si se me ha interpretado mal, pido perdon a todos y cada uno de los foreros

yo solo di mi opinion que es como la de 999999999, osea que a mas seamos mas facil, pero siento el revuelo que se ha montado.

solo decirte que me gusta mucho este foro de siempre, aunque soy novata y apenas puedo ayudar a nadie, apenas se ayudarme a mi.

por lo tanto deciros a todos que lo siento y enhorabuena por el foro y a los que lo estan estudiando este tema darles mi apoyo (aunque ayuda pueda dar poca)

un saludo

[maripuri]

si tengo suerte me enviaran uno de estos

Es buena noticia para trastear en el hasta que le hagas alguna mod     

@africapo

En temas 'candentes' a veces suceden estas cosas y para eso está la moderación. No ha pasado nada y todo está resuelto de manera satisfactoria que es lo importante. Ahora solo queda continuar el hilo y seguir trabajando.

[cobrasx]

hola a todos. respondiendo a maregeo en la respuesta 212.
yo tengo una wlan_xxf8 con mac 00:1b:20:xx:xx:xx y la wep en cuestion me dio la clave.
es logico que cambie los 3 primeros grupos para hacerlo. dado que el formulario al principio salia 64:68:0c:xx:xx:xx. con esto digo que cabe la posibilidad de que cuenta todo.
un saludo y aver si hay suerte. voy a seguir sumando restando etc etc etc.

[gonso30]

Hola a todos!

¿como va el tema de extraer el bootloader?

Me da a mi que el tema va más por allí....

Un abrazo a todos y mucho animo!

[soyelcoronel]

Como último comentario sobre el tema de WpaMagic, más que nada para no marear más la perdiz, me sorprende cuando se criticó a los miembros de este foro porque no compartíais la información sobre cómo obtener las claves Ono, llevo mucho tiempo entrando en este foro a pesar de tener pocos comentarios, quiero que leáis esto:
cualquier persona que no respete nuestra decisión sobre este asunto e insista en exigir explicaciones será expulsado del foro.

a ver cuando entendéis que esto no es un tema a debate, no hay nada que decir ni nada que opinar, lo único que hay es el comunicado oficial, si os gusta bien y si no os gusta el mundo esta lleno de esquinas con las que darse cabezazos, si os dais suficientemente fuerte cuando despertéis no recordareis nada de esto y viviréis mas felices.

Joder menuda actitud,  por cierto 999999999 lo de no publicar datos es lógico, lo que se está haciendo puede considerarse poco "ortodoxo", y teniendo en cuenta la clase política que hay en España y las barbaridades de leyes que aprueban, es necesario esta actitud. Además no me parece correcto publicar datos de terceros. Saludos.

[elvecinoo]

Buenas a todos, en primer lugar pedir disculpar por no haberme presentado debidamente, pero el tiempo ahora mismo me es escaso. Quiero comentaros mis investigaciones que he llevado a cabo sobre un router de jazztel en concreto el modelo nuevo ar5381u.

Tras investigar un poco con firmwares anteriores, desempaquetando los bins y montando directorios para ver la estructura de ficheros, y cómo generaba el patrón en la página de configuración, a modo de resumen puedo comentar:

- En las versiones anteriores había un binario elf en la carpeta /bin llamado cpm creo recordar que era el encargado de gestionar las peticiones de la pagina de configuración. La página de configuración se comunica mediante una especies de cgis que llaman a una funcion ejGetXX y devuelve lo que se le pase, ejemplo: <%ejGetWl(wlSsidList)%>, de esto se encarga el cpm de las versiones anteriores al router que tengo. Como la encriptación wep me salía desactivada, mi primera idea fue pensar que la clave podría ser como los antiguos XX pero aplicándole un md5 o un sha1 ( no sé porqué pero me inclino más por md5 ... ) es decir hash("CXXXXXX...X") algo así y por esa razón se escondía wep.

Para comprobar esto simplemente habría que entrar al router por telnet e intentar lanzar un shell (sh) copiar más o menos la estructura de ficheros del router y los ficheros a un usb y montarlos con la opción bind de forma que podemos modificar a nuestro antojo el router ( directorio /webs ) y crear nuestra propia pagina con  <%ejGetWl(loquesea)%>. En los routers antiguos es más viable hacer esto ya que es fácil obtener una shell en telnet, pero en el modelo nuevo han capado esto y yo solamente dispongo de uno de los nuevos, así que no podía hacerlo. Con suerte descubrí un bug que te permite también acceder al router y probar todo lo anteriormente dicho, sin resultados esperados.

La clave wep por defecto es 1234567890123 ( creo recordar ... ) y el binario que gestiona los comandos en esta versión es httpd. El otro simplemente no existe.

Referente a esto poco más queda que decir, ahora estoy intentado compilar una versión del gdb para poder debugearlo y ver qué es lo que realmente hace.

-Otra línea de investigación, una vez accedido al router sería hacer un dump completo de todo lo que se pueda usando dd, esto es solo una idea que me surge por la mente, no sé si podré acceder a la memoría mediante algún /dev/ tampoco lo he probado.

-Por y para terminar comentar que la diferencia de -3 entre bssid e ssid radica al menos según el router que tengo y el ifconfig en que los 2 bytes del ssid más los restantes que todos conocemos 64:... forman la mac de todas las interfaces del router menos la wifi, que es la que la otra.

Sobre las pruebas con sha1 y md5 decir que he creado dos programas en c que implementan ambas de la forma más eficiente posible y tras probar todas las combinaciones de C+MAC no he obtenido nada. Si a alguien se le ocurren más patrones o tiene idea de como crear binarios y usar el gdb con esta versión para depurar procesos u otra forma de hacerlo que lo comente.

Por último me inclino a pensar que la clave se genera y se guarda en memoria cada vez que se pulsa un reset, todos las veces que se ha de recuperar la clave, no la genera, simplemente accede a esa memoria. Esto de ser así, sería dificil sacar el patrón de ahí.

Saludos.

[maregeo]

Hola elvecinoo,
sobre patrones/combinaciones C + MAC prueba lo siguiente:
a) convirtiendo cada digito uno por uno en bucle  a su binascii (es decir: CXX...1234 -->  CXX...12334, CXX...123334, CXX...1323334 sucesivamente hasta el primer caracter.
b) sobre la clave, no busques solo la totalidad de la clave (rompela en 2x10 char ó en 4x5 char)
c) igual que la b) pero la clave a la inversa.

Eso es lo que se me ocurre de momento

Saludos

[elvecinoo]

Hola elvecinoo,
sobre patrones/combinaciones C + MAC prueba lo siguiente:
a) convirtiendo cada digito uno por uno en bucle  a su binascii (es decir: CXX...1234 -->  CXX...12334, CXX...123334, CXX...1323334 sucesivamente hasta el primer caracter.
b) sobre la clave, no busques solo la totalidad de la clave (rompela en 2x10 char ó en 4x5 char)
c) igual que la b) pero la clave a la inversa.

Eso es lo que se me ocurre de momento

Saludos

Así lo he estado haciendo hasta ahora.
Genero patrones y los guardo en una named pipe y de ahí lo paso por el programa md5/sha1 con un grep utilizando un trozo de la clave.

[999999999]

Sobre las pruebas con sha1 y md5 decir que he creado dos programas en c que implementan ambas de la forma más eficiente posible y tras probar todas las combinaciones de C+MAC no he obtenido nada. Si a alguien se le ocurren más patrones o tiene idea de como crear binarios y usar el gdb con esta versión para depurar procesos u otra forma de hacerlo que lo comente.

Que máquina!
Una cosa... Comtrend no usa siempre C, en creo que muchos CT-5365 ponía E en la reciente WEP con los JAZZTEL_XX y la MAC y la KEY daban este resultado:
MAC: 64:68:0C:XX:XX:XX
KEY WEP: E64680CXXXXXX

Es un dato a tener en cuenta en tus pruebas!

Otra cosa, ya que tienes creado un programa para generar todas la combinaciones de la MAC y probar por fuerza bruta con el MD5 y el SHA1... yo haría la prueba de sumar en Hexadecimal los primeros 20 dígitos con los segundos de los 40 del Sha1, siempre teniendo en cuenta que si el resultado es 21 números, se desprecia el primero de la izquierda (en matemáticas es correcto).

Saludos.

[elvecinoo]

Sobre las pruebas con sha1 y md5 decir que he creado dos programas en c que implementan ambas de la forma más eficiente posible y tras probar todas las combinaciones de C+MAC no he obtenido nada. Si a alguien se le ocurren más patrones o tiene idea de como crear binarios y usar el gdb con esta versión para depurar procesos u otra forma de hacerlo que lo comente.

Que máquina!
Una cosa... Comtrend no usa siempre C, en creo que muchos CT-5365 ponía E en la reciente WEP con los JAZZTEL_XX y la MAC y la KEY daban este resultado:
MAC: 64:68:0C:XX:XX:XX
KEY WEP: E64680CXXXXXX

Es un dato a tener en cuenta en tus pruebas!

Otra cosa, ya que tienes creado un programa para generar todas la combinaciones de la MAC y probar por fuerza bruta con el MD5 y el SHA1... yo haría la prueba de sumar en Hexadecimal los primeros 20 dígitos con los segundos de los 40 del Sha1, siempre teniendo en cuenta que si el resultado es 21 números, se desprecia el primero de la izquierda (en matemáticas es correcto).

Saludos.

Ok no había caido en lo de la E! luego lo probaré.

Sobre la combinación de bits en md5 o sha1 para formar los caracteres.. pues no hay nada escrito, eso es cierto, pero por otro lado si la teoría de que está en el bootloader ( o en una memoria que solo hace el ciclo de creación cuando hay un reset ) es mucho más sencillo implementar un simple desplazamiento hasta tener los bits necesarios, que andar sumando. Incluso podría ser una series de operaciones lógicas y truncar, quien lo sabrá!

Saludos.

[999999999]

Ya, todo tiene su lógica.
Pero ahora imaginate que intentamos descifrar la fórmula a partir de la clave.

Imaginamos que esta hecho con un MD5 o un Sha1.
Un MD5 son 32 dígitos. Un Sha1 tiene 40 y el resultado es 20!

Si el MD5 esta incompleto no hay punto de retorno y si el Sha1 es la suma tampoco.

Supongo que es lo que se intentó por los que crearon el algoritmo, a parte que esta teoría no deja rastros visibles en ese intermediario que nos lleva a la KEY.

Asi que un simple desplazamiento sin sumas creo que nos lo pondría muy facil, con respecto a esta teoría que deja la KEY en un resultado tremendamente dificil e imposible de descifrar a la inversa.

[elvecinoo]

Aquí os dejo las utildades que he creado para probar por fuerza bruta. Yo uso linux,  por lo que la parte de grandes cálculos la hago en c y la comunicación entre estos pequeños programas con bash. En concreto para el generador ( es muy rapido ) suelo poner

$ ./genprefix "alfabeto" "tamaño" > fichero_salida

es decir redirecciono con ">" , así pues para crear todas las posibles contraseñas que empiezan por E y calcular su md5 a la vez que lo compruebo con la clave que tengo, es tan sencillo como:

$ mkfifo md5outtmp
$ ./wlanmd5 md5out | grep "parte_la_contraseña_a_buscar" &
$ ./genprefix 01234567890ABCDEF 12 E > md5outtmp

Esperar y ver...

Para sha1 igual, uso el wlansha1.

No obstante también se puede hacer más o menos igual con batch, así que he subido los binarios tanto para windows como para linux.

Puede parecer dificil, yo unicamente digo lo que hago por si a alguien le apetece probar,a mi me resulta extremadamente sencillo hacerlo así, he tardado más en escribir estos posts que en hacerlo todo.

Programas: http://www.megaupload.com/?d=XCRG3CXZ

[kcdtv]

Se agradece mucho los programitas en bash (y tus intervenciones)
Muy interesante todo esso chic@s, un muy bon hilo, animo a tod@s.

[maripuri]

@elvecinoo

Buen aporte, gracias por compartir tus programas.

[javibullas]

Se agradecen los programas de 'el vecino' y suerte con el patron.
Si quereis una cabeza mas que os ayude a pensar y a ver coincidencias, estoy por aqui.

[VALENCIA]

Hola lampis os pongo mis pruebas hechas con tan famosa pagina ya quitada

Muchas gracias :-), aunque creo que deberíamos esperar a mañana a ver qué opinan los moderadores y si ellos están de acuerdo. Imagino que ya le habrán dado ya mil vueltas a todo esto, pero quizá unos cuántos ojos más puedan ser de ayuda.

Podrias mandarme por MP el archivo o la pagina de los Wlan_XXXX???

Gracias.!!!   

[elvecinoo]

Buenas a todos, he conseguido hacer un dump a la memoria ram del router  (64mbs) y he encontrado indicios de donde y cómo se puede generar la ristra que tanto buscamos, no estoy seguro, necesito hacer aún más pruebas, pero de ser cierto esto, os puedo adelantar que:

-Usa la mac wifi
-Se usa una cadena (siempre la misma)  más los bytes de esa mac para formar la clave.
-Se forma con md5.

Repito que no estoy seguro, ya que para este router que tengo no existe versión aún del gdb ni de ninguna utilidad, y estoy intentado compilar un sdk.

Saludos.

[majalulo]

Buenas a todos, he conseguido hacer un dump a la memoria ram del router  (64mbs) y he encontrado indicios de donde y cómo se puede generar la ristra que tanto buscamos, no estoy seguro, necesito hacer aún más pruebas, pero de ser cierto esto, os puedo adelantar que:

-Usa la mac wifi
-Se usa una cadena (siempre la misma)  más los bytes de esa mac para formar la clave.
-Se forma con md5.

Repito que no estoy seguro, ya que para este router que tengo no existe versión aún del gdb ni de ninguna utilidad, y estoy intentado compilar un sdk.

Saludos.

Ummmm...parece que cada vez más cerca 

Teniendo en cuenta que la clave wep por defecto que trae el router es C+mac wifi-3, creo que habría que considerar esos bytes de la mac -3, como ya se ha dicho.

Ánimo

[zarggot]

Hola. Sólo quiero escribir para animaros, que sepais que somos muchos los que estamos día a día pendiente de este foro, siguiendo de cerca vuetros progresos... Como he dicho, estamos muchos, entre los cuales me incluyo, pero por motivos de falta de conocimientos, no podemos ser de utilidad. Lo único que podemos decir es...

 MUCHO ANIMO!!!
¡¡¡YA CASI LO TENEIS!!!

[999999999]

Buenas a todos, he conseguido hacer un dump a la memoria ram del router  (64mbs) y he encontrado indicios de donde y cómo se puede generar la ristra que tanto buscamos

Ya te dije que eres una máquina! Es lo que hacía falta, un genio!

Esto que dices de que usa una cadena, te refieres a que añade C ó E y más números antes de la MAC Wifi??
Y si este resultado se forma con MD5, que hace? coje los 20 primeros números??

Saludos, y ánimo con tus pruebas, que son de gran ayuda. 
999999999.

[elvecinoo]

LO TENGO!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Solo he probado el mio, solo tengo 1 clave, si alguien me pasa el ssid y el bssid lo pruebo ( solo eso, la clave no!)

Privado ya!

[veraplaya]

LO TENGO!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Solo he probado el mio, solo tengo 1 clave, si alguien me pasa el ssid y el bssid lo pruebo ( solo eso, la clave no!)

Privado ya!

Yo te e mandado hace un rato el mio.
Enhorabuena campeon !!!!!!!!!!!!!!
A ver si lo tenemos ya.
Salu2

[elvecinoo]

LO TENGO!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Solo he probado el mio, solo tengo 1 clave, si alguien me pasa el ssid y el bssid lo pruebo ( solo eso, la clave no!)

Privado ya!

Yo te e mandado hace un rato el mio.
Enhorabuena campeon !!!!!!!!!!!!!!
A ver si lo tenemos ya.
Salu2

Habré sacado el patrón... pero no sé usar un foro... esto es increible, tengo un montón de privados... voy a ello