Autor Tema: Diccionario claves WPA2 / WEP en TP-LINK_XXXXXX (Leído 72440 veces)

AlexAltea · « **en:** 08-03-2013, 12:26 (Viernes) »

Aquí tenéis el programa final para generar los diccionarios para estos routers. Ejecutad TPLink-GenKeysFinal y seguid las instrucciones. Introducid la BSSID del router o la fecha de lanzamiento al mercado del router si la sabeis como argumento para obtener un diccionario reducido específico para el modelo del router que estáis atacando, eso puede reducir el tiempo de crackeo a unos pocos minutos. Si no sabeis ninguno de estos datos, no metais argumentos y listo.

Descarga: http://www.mediafire.com/download.php?vtu146u849ogueq

Si quereis más velocidad aún, no protestéis y ayudad a completar la tabla de abajo aportando la información de estos routers.

Post original:
Recientemente TP-Link ha sacado unos routers al mercado, los TD-W8970, TD-W8968, y TD-W8961ND que aparecen bajo el nombre TP-LINK_XXXXXX. Su clave por defecto en WPA / WPA2 y WEP es es de 10 y 13 caracteres respectivamente (aparentemente de 0-9, y A-Z) y es generada aleatoriamente por el EasySetupAssistant.

En WPA/WPA2 que es lo que interesa, un ataque de fuerza bruta acelerado por una GPU media a unos 20000 keys/s tardaría 36¹⁰ / 20000 = 5796,8011 años. Esto se puede lograr con cualquier tarjeta gráfica de gama media-alta en un ordenador normal, por lo que parece imposible de romper en un tiempo razonable. Pues resulta que desensamblando el asistente de configuración, he visto que el encargado de hacer esto es un generador de congruencia lineal que usa seeds de 32 bits. En otras palabras, el conjunto de claves posibles tanto para keys de 10 caracteres (WPA/WPA2) como de 13 caracteres (WEP) es de 2³².
El código en Python de este generador es:

Código: [Seleccionar]

chars = "2345678923456789ABCDEFGHJKLMNPQRSTUVW***"
def gen(seed, length): #length=10 for WPA/WPA2, length=13 for WEP
    key = ""
    for i in range(length):
        seed = (seed)*0x343FD + 0x269EC3
        key += chars[((seed >> 0x10) & 0x7FFF) % 0x28]
    return key

Por si esto fuera poco, cada clave en el conjunto de claves está duplicada ya que las seeds i y (i+0x80000000) generan la misma clave para todos los enteros i de 32 bits. Esto hace que las combinaciones totales se reduzcan a 2³¹. De esta manera, podemos encontrar la clave en un máximo de: 2³¹ / 20000 = 1,24 días. Esto se vuelve aún más grave si tenemos en cuenta que 1,24 días es el tiempo requerido a esa velocidad en el peor de los casos. El tiempo medio se situaría en 0,62 días. Por no hablar del tiempo que lograría un peligroso gamer con su ordenador nuevo listo para mover el Crysis 3 en ultra. En ese caso estaríamos hablando de una media de 3 o 4 horas.

He creado un pequeño programa en C++ para comprobar si claves generadas para otros routers TP-Link eran vulnerables. Tan solo lo tenéis que abrirlo, introducir "1", y poner la clave para comprobar si es vulnerable. Desde luego, todas las claves generadas para los TD-W8970, TD-W8961ND, y TD-W8968 están afectadas al compartir el mismo EasySetupAssistant. Si tenéis otro router distinto de TP-Link, pero con una clave aleatoria, no estaría de más que la comprobaseis.
Descarga (Windows + Linux + Sources): http://www.mediafire.com/download.php?oyrnt45sljlxa5a

También me mosquee mucho con respecto a cómo se generaban los primeros 4 dígitos en hexadecimal de la clave, lo mismo me volví paranoico, o lo mismo no es sano desensamblar a las 5 de la mañana. En todo caso si alguien por aquí quiere contribuir ~~a sembrar el caos y la destrucción~~ a la seguiridad en Internet, podría echarle un ojo al asistente (basta con poner un breakpoint en 00474BF0, o con mucho cuidado poner la EIP ahí). Cada bit que determinéis reduciría el tiempo de descifrado a la mitad. Sólo eso me parece motivación suficiente para continuar.

Otra cosa que estaría genial es que alguien generase el diccionario para estos routers (ocuparía 22,5 GB), o que modifique algun crackeador de handshakes por GPU open source para que se centre en las claves para estos routers. Por último, ya spameé hace tiempo anunciando que hacía algunos humildes tutoriales sobre cracking; pues como esto trae OllyDbg de por medio, pues hice un tutorial en YouTube acerca de cómo encontrar estos fallos usando este como ejemplo, quizás a alguien le resulte interesante. ¡Que lo disfrutéis!

Post: http://functionmixer.blogspot.com.es/2013/03/vulnerabilidad-de-tp-link-al-generar.html

Tutorial:
[youtube=560,315]http://www.youtube.com/watch?v=-M0naAtUZM0[/youtube]

sanson · « **Respuesta #1 en:** 08-03-2013, 13:23 (Viernes) »

Lo muevo a desarroyo de aplicaciones linux

¿Es tuyo esto o es copiado de esa web que mencionas en el pie del post?

Gracias por la info

Saludos

AlexAltea · « **Respuesta #2 en:** 08-03-2013, 14:31 (Viernes) »

Ok, estupendo!
Lo he copiado de mi blog (el link de abajo) al foro; vamos que soy la misma persona que escribe en el blog.
Es que después de hacer el post ahí me parecía un coñazo volver a escribir todo.

sanson · « **Respuesta #3 en:** 08-03-2013, 14:47 (Viernes) »

Ok

Gracias de nuevo

AlexAltea · « **Respuesta #4 en:** 09-03-2013, 03:49 (Sábado) »

Novedades!

Este fallo no solo afecta a 3 modelos como dije antes sino que afecta a todos* los routers WiFi de TP-Link sacados desde 2010.
Básicamente todos los que empiezan con TL-WA, TL-WR, TL-WDR, y por otra parte los WXXXX y VGXXXX.
*Con todos los que he probado hasta ahora, que vienen a ser el 90% del total. En los routers restantes tuve problemas en la descarga del EasySetupAssistant, pero me jugaría un baneo por bocazas a que tambien están afectados. XD

Estos routers vienen a ser los que aparecen en estas dos listas (quitando los adaptadores WiFi):
http://www.tp-link.com/en/support/download/?pcid=201
http://www.tp-link.com/en/products/?categoryid=203

Routers TP-Link vulnerables:

Citar

TL-W8151N (V1, V3)
TL-WA730RE (V1, V2*)
TL-WA830RE (V1, V2*)
TL-WDR3500
TL-WDR3600
TL-WDR4300
TL-WR720N
TL-WR740N (V1, V2, V3, V4)
TL-WR741ND (V1, V2, V3*,V4)
TL-WR841N (V1*,V5, V7, V8)
TL-WR841ND (V3, V5, V7, V8*)
TL-WR842ND
TL-WR940N (V1, V2)
TL-WR941ND (V2, V3, V4, V5)
TL-WR1043N
TL-WR1043ND
TD-VG3511 (V1*)
TD-VG3631
TD-W8901N
TD-W8950ND
TD-W8951NB (V3*,V4, V5)
TD-W8951ND (V1, V3, V4, V5)
TD-W8960N (V1, V3, V4)
TD-W8961NB (V1, V2, V3*)
TD-W8961ND
TD-W8968
TD-W8970

*Posiblemente vulnerable. No he podido comprobarlo aún.

PD: La semana que viene traeré la lista de claves para estos routers...

AlexAltea · « **Respuesta #5 en:** 10-03-2013, 00:57 (Domingo) »

NOTICIÓN!!!

Dicho brevemente: Se puede reducir 95,595% el tiempo necesario en el peor caso: 26 min. con GPU
Dicho soltando una parrafada:

Citar

También me mosquee mucho con respecto a cómo se generaban los primeros 4 dígitos en hexadecimal de la clave, lo mismo me volví paranoico, o lo mismo no es sano desensamblar a las 5 de la mañana.

Definitivamente, no es sano. Se me pasó una cosa muy importante por alto y no me la perdonaré jamás. Esa cosa que me mosqueaba, era que la seed es un número que crece linealmente en función del tiempo del ordenador, obtenido a través de un KERNEL32.GetSystemTimeAsFileTime. Es decir, la seed NO es aleatoria, sino que es un valor fijo que aumenta en 1 cada segundo. El código en Python para generar una seed ahora mismo es:

Código: [Seleccionar]

import datetime

def genSeed(t1):
    dt = t1 - datetime.datetime(1601, 1, 1, 0, 0, 0)
    t = dt.days*864000000000 + dt.seconds*10000000 + dt.microseconds*10

    tA = (t/2**32 + 0xFE624E21)
    tB = (t%2**32 + 0x2AC18000) % (1<<32)

    if tA >= (1<<32):
        tA += 1
        tA %= 1<<32

    r = (tA % 0x989680) * (2**32)
    r = ((r + tB) / 0x989680) % (2**31)
    return r

print genSeed(datetime.datetime.utcnow())

Creo que después de esto, me atrevería a decir que la generación de claves en los TP-Link ha sido un FAIL total. Estábamos contentos por haber reducido las claves que necesitábamos comprobar de 36¹⁰ a 2³¹. Pues ahora, gracias a esto podemos reducir las combinaciones de 2³¹ a los segundos transcurridos en un periodo de tiempo determinado.

Me explico, supongamos que sabemos que una persona instaló el router en 2012, independientemente del mes, día, etc... Gracias a este método sabemos que sólo hay que comprobar las seeds entre 0x4EFFA3AD y 0x50E22700. Es decir:

Código: [Seleccionar]

genSeed(datetime.datetime(2012, 1, 1, 0, 0, 0)) #0x4EFFA3AD
genSeed(datetime.datetime(2013, 1, 1, 0, 0, 0)) #0x50E22700

En un año hay aprox. 365*24*60*60 = 31536000 seg. (o dicho de otra manera 0x50E22700 - 0x4EFFA3AD). Es decir, solo hay que comprobar 31536000 claves, las generadas por las seeds de ese intervalo de tiempo. Eso son 26 minutos con aceleración por GPU o 5 horas solo con CPU. La cosa se vuelve más grave si de la noche a la mañana "aparece" un nuevo TP-LINK_XXXXXX a nuestro alrededor, podría tratarse de router recién instalado ese día con la clave aleatoria de turno, por lo que solo tendríamos que probar con 24*60*60 = 86400 combinaciones, lo cual es algo ridículo.

Mientras escribo esto se me ocurren varias optimizaciones posibles para este sistema:
1. Escoger un intervalo que nos asegurase un éxito sería cuestión de obtener el modelo del router TP-Link a través de la BSSID, compararlo con una base de datos que tuviera la release date de estos y hallar el rango de seeds entre la release y ahora mismo.
2. Otra optimización sería descartar seeds provenientes de entre las 2 y las 6 de la mañana. No soy quien para meterme con las costumbres de otros, pero hay que tenerlos cuadrados para montarte el chiringuito a esas horas.
3. Etc...

Los programas para calcular las seeds correspondientes a un intervalo de tiempo, y las claves asociadas a un intervalo de seeds próximamente...
PD: Juro que no estoy separando mis mensajes para hacer bumps, lo que pasa es que escribo segun descubro cosas. XD

AlexAltea · « **Respuesta #6 en:** 11-03-2013, 04:25 (Lunes) »

Aquí están los dos programas que prometí. No soy muy original con los nombres, pero funcionan bien:

TPLink-GenSeeds: http://www.mediafire.com/download.php?44l9629qq1dx2l8
Este programa calcula el intervalo de seeds donde hay que buscar a partir de un intervalo de tiempo, que se puede indicar con dos fechas, o solo con una fecha y los días alrededor de esta. Como sería horrible hacer esto por terminal le he añadido una GUI rapida, para Windows y Linux (aunque se ve deforme en algunas distros). Para Windows traigo un .exe y para Linux basta con un:
python TPLink-GenSeeds-Linux.pyw
Si tenéis problemas, probablemente necesitéis ejecutar:
sudo apt-get install python-wxgtk2.8

TPLink-GenKeys: http://www.mediafire.com/download.php?28z2fvdgpf22s68
Seleccionáis que tipo de claves queréis generar (si, sé que a estas alturas a nadie le interesa WEP, pero no me costaba nada). Indicáis el rango de las seeds (calculado con el programa de antes), os saldrá información sobre la lista y si continuáis, tendréis dicha lista en "./output.txt".

Con estos dos programas y algún programa para Auditar handshakes como aircrack-ng o pyrit (si teneis una GPU compatible), tenéis todo lo necesario para llevar el ataque a la práctica. Es engorroso lo sé, pero me voy a poner desde ya manos a la obra en un todo-en-uno con una bonita GUI que reduzca todo a un par de clicks.

Si alguien quiere colaborar, en mi blog hay indicaciones de como ayudar con este tema:
http://functionmixer.blogspot.com/2013/03/vulnerabilidad-tp-link-obteniendo.html

AlexAltea · « **Respuesta #7 en:** 18-03-2013, 13:53 (Lunes) »

Aquí tenéis el programa final para generar los diccionarios para estos routers. Ejecutad TPLink-GenKeysFinal y seguid las instrucciones. Introducid la BSSID del router o la fecha de lanzamiento al mercado del router si la sabeis como argumento para obtener un diccionario reducido específico para el modelo del router que estáis atacando, eso puede reducir el tiempo de crackeo a unos pocos minutos. Si no sabeis ninguno de estos datos, no metais argumentos y listo.

Descarga: http://www.mediafire.com/download.php?vtu146u849ogueq

Si quereis más velocidad aún, no protestéis y ayudad a completar la tabla de abajo aportando la información de estos routers.

(También he colocado este mensaje en el primer post del hilo).

En otro orden de cosas, creo que hay aún más routers de TP-Link afectados. Supongo que son modelos algo más antiguos y no aparecen en la página de TP-Link, pero el asistente aún es posible descargarlo de otros sitios. Por ejemplo:
http://www.softpedia.com/dyn-search.php?search_term=Easy+Setup+Assistant&x=-529&y=-45

Citar

TD-W340G
TD-W300KIT
TD-W8101G
TD-W8960N
TL-WR2543ND

AlexAltea · « **Respuesta #8 en:** 19-03-2013, 12:39 (Martes) »

Por si no queda claro como usar el programa que he posteado, he hecho un tutorial.

[youtube=640,360]http://www.youtube.com/watch?v=sJDuDWIhdGc[/youtube]

sanson · « **Respuesta #9 en:** 19-03-2013, 13:54 (Martes) »

Hola

Parece que no se le ha prestado mucha atencion al tema.

Esta noche intentare sacar tiempo para ver como funciona esto y si va bien lo podemos poner en las news para darle un poco de difusion al asunto.

Este y el otro que has puesto claro. Pero es por no poner lo mismo ennlos dos sitios

Saludos

USUARIONUEVO · « **Respuesta #10 en:** 19-03-2013, 14:01 (Martes) »

¿ posibildad de algo para linux ?

podria meterlo en la live.

AlexAltea · « **Respuesta #11 en:** 19-03-2013, 15:26 (Martes) »

Cita de: sanson en 19-03-2013, 13:54 (Martes)

Esta noche intentare sacar tiempo para ver como funciona esto y si va bien lo podemos poner en las news para darle un poco de difusion al asunto.

Estupendo!

Cita de: USUARIONUEVO en 19-03-2013, 14:01 (Martes)

¿ posibildad de algo para linux ?
podria meterlo en la live.

No he entendido muy bien la pregunta. Pero sí, he incluido una versión para Linux y puedes incluirlo donde quieras, que ocupa bastante poco (si quitas los archivos .exe, .dll, y .lib de Windows). Lo mismo te digo para el programa del otro hilo.

USUARIONUEVO · « **Respuesta #12 en:** 22-03-2013, 05:07 (Viernes) »

bueno he bajado el archivo , y resulta que dentro esta todo

windows+linux

mi pregunta es

para que funcione en linux me vale solo con el fichero TPLink-GenKeysFinal.py ?

me quedan estos ficheros en la carpeta tras eliminar los .exe y los .dll y uno que ponia .lib

TPLink-GenKeysFinal.py -->> archivo python
data.txt -->> archivo texto
TPLink-GenKeys2 -->> parece un binario de linux (ejecutable)
icon.ico -->> imagino es un icono para el gui de windows

de esos 4 , ..puedo quitar alguno mas ??

el icono igual lo uso para hacer la entrada al menu "cifrados" ...

pero el txt y el binario ... ¿ los usa el archivo en python para algo o son prescindibles ?

USUARIONUEVO · « **Respuesta #13 en:** 22-03-2013, 05:14 (Viernes) »

el data.txt parece que si lo usa...

Código: [Seleccionar]

print "Information:"
    for i in range(1,len(sys.argv)-1,2):
        if sys.argv[i] == "--bssid":
            found = False
            f = open("data.txt","rb")

y el binario tambien lo usa , aqui la variable que determina si estas en linux o windows

Código: [Seleccionar]

if platform.system() == "Windows":
        print " [*] Executing: \"TPLink-GenKeys2.exe "+str(seedA)+" "+str(seedB)+" --reverse\""
        print " [!] Please be patient..."
        os.popen("TPLink-GenKeys2.exe "+str(seedA)+" "+str(seedB)+" --reverse")
    else:
        print " [*] Executing: \"./TPLink-GenKeys2 "+str(seedA)+" "+str(seedB)+" --reverse\""
        print " [!] Please be patient..."
        os.popen("./TPLink-GenKeys2 "+str(seedA)+" "+str(seedB)+" --reverse")

__________________________________________________

asi que pregunto .... ¿ con esos 4 files ya funciona o he borrado alguno que voy a necesitar ?

ficheros borrados

python27.dll --->> dll windows
TPLink-GenKeys2.cpp -->> codigo .... ¿ lo necesito ?
TPLink-GenKeys2.exe -->> ejecutable de windows
TPLink-GenKeysFinal-Windows-setup.py -->> para python en windows
TPLink-GenKeysFinal.exe -->> ejecutable windows
TPLink-GenKeysFinal.lib -->> libreria windows

tengo dudas de si necesito el file que esta en rojo.

AlexAltea · « **Respuesta #14 en:** 22-03-2013, 11:00 (Viernes) »

Los únicos archivos que necesitas en Linux son:

TPLink-GenKeysFinal.py
TPLink-GenKeys2
data.txt

Y recomendaría meter este:
TPLink-GenKeys2.cpp. Aunque no es necesario, quizás alguien lo eche de menos para saber como funciona el programa, y como ocupa tan poco (2 KB) no creo que sea un problema.

También puedes borrar el contenido de data.txt, porque de momento no tiene fechas.
Todo lo demás no hace falta; el archivo icon.ico solo se necesita para crear el icono del ejecutable en Windows así que también puede arder en fuego purificador.

USUARIONUEVO · « **Respuesta #15 en:** 26-03-2013, 10:10 (Martes) »

os voy a matar

ESTE POST PUEDE SER ALGO LARGO POR QUE TENGO VARIAS COSAS QUE EXPONER

para proyectos "futuros" ... intenta que la app , tenga una funcion --help

por que si no , nada mas llamar al programa me obligas a usarlo ...sin saber.

con una funcion --help ..podriasmos llamarlo

tplink --help

y nos mostrase la ayuda.

He salvado el obstaculo creando un pequeño "startup" ....

de manera que cuando desde el menu llamo a la app, en realidad llamo el startup , que mustra la ayuda con los comandos etc y me devueleve la terminal.

o bien creas un pequeño startup .... que es ni mas ni menos que unos "echo" , con los comandos de ayuda.

___________________________________________________________________________________________________________________-

NO SE SI LO HE HECHO MAL , pero en la ayuda pone que el diccionario pesara alrededor de 1 giga y a mi me ha creado uno de menos de 20 megas .... y hay un mensaje de error.

___________________________________________________________________________________________________________________

Este es mi startup

Código: [Seleccionar]

#!/bin/sh
echo "[1;34m
_____________________           ____     ___ _______   ____  __
\__    ___/\______   \         |    |   |   |\      \ |    |/ _|
  |    |    |     ___/  ______ |    |   |   |/   |   \|      \ 
  |    |    |    |     /_____/ |    |___|   /    |    \    |  \ 
  |____|    |____|             |_______/\___\____|___ /____|___\[1;32m_genkeys"
echo "[0m"
echo "Usage:TPLink-GenKeysFinal.py [options...]"
echo "By: alexaltea123@gmail.com | functionmixer.blogspot.com"
echo "Options:"
echo ""
echo " --continue           Do not display the \"Continue?\" message.\n"
echo " --bssid XX:XX:XX     Use the release date of the router as starting date OR"
echo " --start DD/MM/YYYY   use a custom starting date OR"
echo "                      left it blank to use the default date (01/01/2010).\n"
echo " --end DD/MM/YYYY     Use a custom ending date OR"
echo "                      left it blank to use the current"
echo "                      date (%02d/%02d/%02d). % "
echo "                      (timeB.day,timeB.month,timeB.year)"
echo ""
echo "Examples:"
echo "python ./TPLink-GenKeysFinal.py --bssid 64:70:02 --end 13/02/2013"
echo "python ./TPLink-GenKeysFinal.py --start 24/11/2011 --end 13/02/2013"

_________________________________________________________________________________________-

unas imagenes de como esta integrado en la live

________________________________________________________________________________________

ahora colgare el modulo xzm , para usarlo ...de momento solo en KDE

http://www.downloadwireless.net/modulos-fase-testing/wifislax-current/wifislax-4.4-beta9/TPLink_AttackDictionary-1.0-i486-1sw.xzm

USUARIONUEVO · « **Respuesta #16 en:** 26-03-2013, 10:14 (Martes) »

la creaciuon del diccionario ...tal vez deberia enviarse a "Desktop"

sino la gente no encontrara el diccionario despues.

NO HE DICHO NADA ...he añadido al startup la información de donde exactamente se generara el diccionario.

AlexAltea · « **Respuesta #17 en:** 26-03-2013, 14:05 (Martes) »

Madre mía que curro! Enhorabuena!!
Muchas gracias por darle ese lavado de cara.

AlexAltea · « **Respuesta #18 en:** 27-03-2013, 00:57 (Miércoles) »

Por cierto, no leí eso del error. Se puede solucionar compilando otra vez el ejecutable:

Código: [Seleccionar]

g++ -Wall -o TPLink-GenKeys2 TPLink-GenKeys2.cpp

USUARIONUEVO · « **Respuesta #19 en:** 28-03-2013, 12:08 (Jueves) »

Cita de: AlexAltea en 27-03-2013, 00:57 (Miércoles)

Por cierto, no leí eso del error. Se puede solucionar compilando otra vez el ejecutable:
Código: [Seleccionar]
g++ -Wall -o TPLink-GenKeys2 TPLink-GenKeys2.cpp

ok , ahora si que si ... 1 giga de diccionario

he recompilado los 2 el tplink , y el purenetworks.

al final me sirvieron los ficheros .cpp para algo

gracias por todo

para la beta 11 estara parcheado el problema.

Noticias:

Autor Tema: Diccionario claves WPA2 / WEP en TP-LINK_XXXXXX (Leído 72440 veces)

AlexAltea

AlexAltea

AlexAltea

AlexAltea

AlexAltea

AlexAltea

AlexAltea

AlexAltea

AlexAltea

AlexAltea

AlexAltea