Tool Keygen WPA default Zyxel (Home&Life-Infostrada-Tiscali)

[Axin]

si, quel "cd" era di troppo, comunque è un problema di path sicuramente che hai settato e non riesce a trovare la cartelle che gli servono https://unix.stackexchange.com/questions/494890/cannot-find-package-with-running-go-build

hai scaricato il file con il comando

go get github.com/luc10/zykgen/cmd/zykgen

come scritto sul github? altrimenti leggiti un po' di documentazione su come settare il $GOPATH e $GOROOT

Ok ho cancellato tutto, parlo su kali linux. In primis avevo provato su windows 7, mi piacerebbe comunque farlo funzionare li, poi come già detto ho provato su Kali Linux su Macchina Virtuale. Stessi errori.

Adesso ho cancellato tutto su Kali e riprovo a fare tutto da capo, se comunque c'è qualcuno che può suggerirmi un buon tutorial per windows o comunque mi può dare una mano ve ne sono grato, sicuramente servirà anche ad altri utenti con lo stesso problema.


EDIT:

Allora come detto prima ho cancellato tutto su kali e rifatto da capo, sta volta ho seguito una guida ben fatta trovata in rete ed tutto è andato a buon fine, compilo il file sempre su kali e fin qui tutto ok, il file zykgen viene generato ovviamente non .exe lo eseguo su kali stesso ma se inserisco i due seriali mi restituisce il messaggio di help, se ne inserisco uno mi da un seriale corrispondente. Allego file per capirci meglio, se invece compilo con lopzione -o e compilo il file exe lo trasporto sul mio windows 7 64 è mi dice che il exe non è a 64bit e quindi non può funzionare, bene allora lo metto sul portatile che li ho windows7 x86 e boom mi restituisce il seguente errore: (Program too big to fit in memory).

Adesso che faccio? Io non credo che il mio portatile non abbia le caratteristiche per generare il file di output.

 

[Axin]

EDIT2:
Ragazzi finalmente ho risolto anche su windows 7 64 bit.
Praticamente visto che su windows non posso dare i comandi come su linux per scaricare e installare ZYKGEN e docopt allora ho fatto cosi, ho preso spunto dalle cartelle di kali, sia GOPATH che GOROOT , ho ricreato le stesse directory e inserito gli stessi file su windows, ovviamente se su windows le directory hanno un nome diverso come per esempio la cartella di lavoro su windows l'ho chiamata workspace, in kali gocode.
Quindi impostando tutti i file come sono messi su kali, finalmente sono riuscito a compilare zykgen.exe direttamente su windows7 64 bit, ovviamente il file .exe adesso funziona correttamente..
Spero questo possa essere d'aiuto a chi sta riscontrando il mio stesso problema.
Ringrazio l'autore del topic per averci concesso queste importanti info e per l'aiuto dato, e ringrazio anche 4n0m4ly per l'aiuto che mi ha dato.

 

[peste666]

Fantastico davvero! Complimenti e grazie per averlo postato qui.
Per fare un piccolo appunto, ho dato un innocua occhiata (da normalissimo osservatore in monitor mode) a quanto transita nell'etere del mio palazzo e butto giu un ragionamento veloce...
Per quanto riguarda le reti ¨Home & Life SuperWiFi-xxxx¨ le 4 x rappresentano le ultime due cifre del mac ed essendo esse esadecimali, si avrebbero un totale di 65536 possibili SSID (16 alla 4ª).

Teoricamente, in caso non fossero possibili gli scenari elencati nei P.S., (e sottolineo teoricamente perche non mi sono minimamente cimentato in calcoli di dimensioni e/o fattibilita reale) si potrebbe con Pyrit precalcolare tutte le PMK per ogni singolo SSID esistente avendo la wordlist con tutte le password possibili per ogni seriale esistente (Ricavate con il tool postato nel post) e magari tenere il database online su un sito, se qualcuno avesse voglia di implementarlo.
Fatto questo, qualsiasi password di default, avendo un handshake valido altro che mezz'ora... si potrebbe ricavare in nemmeno 5 secondi.

P.S.
Meglio ancora se ci fosse un nesso tra il seriale del router ed il suo MAC address. Si potrebbe in questo caso associare ad ogni singolo SSID esistente la sua password di default.

P.S.2
Stavo dando un occhiata veloce con wireshark ed ovviamente il seriale non viene trasmesso in chiaro. Ci fosse qualche richiesta in grado di triggerarne la trasmissione? Questo renderebbe suprefluo addirittura la cattura dell'handshake. Non penso, ma rispolvererò i libri...

 

[J4ck0xFF]

EDIT2:
Ragazzi finalmente ho risolto anche su windows 7 64 bit.

Ottimo!, p. s. nel problema del tuo post precedente avevi tenuto il main originale, e non il mio, per quello i comandi che impartivi non funzionavano

Messaggio unito automaticamente: 18 Settembre 2019

Fantastico davvero! Complimenti e grazie per averlo postato qui.

Non penso che troverai qualcosa di utile, alla fine ho controllato circa una 30 di password, e tutte ricadevano sul pattern dei seriali che ho postato indicando che è molto probabile che nel mercato italiano ci siano solo quelli (a proposito, se non lo conoscete il sito a cui faccio rifermento è questo https://3wifi.stascorp.com/find
se loggate con user:"antichat" e password "antichat" potete verificare anche voi che le password dei router a cui ho fatto riferimento cadono sempre dentro quei file generati (usate glogg per aprire il documento e cercare le password). Cosa capiamo con questo? che il programmatore del router si è affidato ad un numero seriale numerico, se fosse stato alfanumerico sarebbe stato impossibile arrivare fin qui. Sarebbe interessante capire anche che altri modelli soffrono dello stesso problema, (anche stranieri) e che algoritmo usano (ricordo che noi usiamo quello di tipo c), io purtroppo non ho tempo per ste cose sigh, bisognerebbe generare un po' di wordlist, con anni diversi 2019/2018/2017/2016/2015, vedere se esistono seriali anche con una lettera diversa dalla V, (io uso google immagini per andare a vedere l'etichetta dietro i router, oppure con tanta pazienza, mi guardo le recensioni su youtube dei router, ed aspetto che riprendano dietro..) e mettersi lì con calma e vedere se si becca il numero giusto. L'algoritmo c usa solo lettere maiuscole e numeri, ma mi pare che con l'm ci siano pure quelle minuscole. Ultima roba, ho anche notato che se per esempio la password del router è lunga 16, e nel programma generiamo una password lunga 8,quelle 8 lettere generate corrispondono alle prime otto lettere della password lunga 16 caratteri, quindi se volete continuare ad investigare, generate password lunghe 8 che così coprono i casi di pure quelle lunghe 16 (o qualsiasi numero maggiore di 8) e non perdete ulteriore tempo.

EDIT: googlando ho trovato questo
https://www.zyxel.com/support/howto_find_serialno.shtml
dove c'è scritto che se non si trova il numero seriale è possibile inserire il mac , potrebbero essere correlati quindi seriale o mac. Indagherò meglio.

EDIT2: lista di tutti i prodotti Zyxel con anno di produzione <- per chi vuole può partire da qui per risalire a possibili pattern per la creazione dei seriali

 

[Axin]

Allora eccomi, dopo svariati test con un modem di un amico non siamo riusciti a trovare nella lista generata la password di default.
Altra cosa che ho notato è il fatto che il seriale del nostro modem togliendo le lettere S V è composto da 11 numeri e non 12 come li richiede obbligatoriamente zykgen. Questo è normale? Conoscendo il seriale di 11 numeri come faccio ad ottenere la giusta password? Ho dovuto aggiungere uno zero cosi da avere 12 numeri ma haimè la password ottenuta non è corretta.
Come esempio vi lascio una immagine reperita in internet, prendete il seriale e provate ad ottenere la giusta password.
C'è qualche cosa che mi sfugge?

 

[J4ck0xFF]

Allora eccomi, dopo svariati test con un modem di un amico non siamo riusciti a trovare nella lista generata la password di default.
Altra cosa che ho notato è il fatto che il seriale del nostro modem togliendo le lettere S V è composto da 11 numeri e non 12 come li richiede obbligatoriamente zykgen. Questo è normale? Conoscendo il seriale di 11 numeri come faccio ad ottenere la giusta password? Ho dovuto aggiungere uno zero cosi da avere 12 numeri ma haimè la password ottenuta non è corretta.
Come esempio vi lascio una immagine reperita in internet, prendete il seriale e provate ad ottenere la giusta password.
C'è qualche cosa che mi sfugge?

Nello scrivere il seriale non devi togliere la lettera V ma semplicemente mettere un numero al suo posto (e non alla fine) , e poi il programma ci sostituisce una 'V' automaticamente nella posizione giusta. In questo caso basta scrivere

.\zykgen -c -l 10 182002000000 182002000066

La 4 cifra verrà sostituita con una 'V' e poi viene accodato all'inizio una 'S', ottenendo il range
S182V02000000 -> S182V02000066
dove appunto ricade il router del tuo amico.

 

[Axin]

Nello scrivere il seriale non devi togliere la lettera V ma semplicemente mettere un numero al suo posto (e non alla fine) , e poi il programma ci sostituisce una 'V' automaticamente nella posizione giusta. In questo caso basta scrivere

.\zykgen -c -l 10 182002000000 182002000066

La 4 cifra verrà sostituita con una 'V' e poi viene accodato all'inizio una 'S', ottenendo il range
S182V02000000 -> S182V02000066
dove appunto ricade il router del tuo amico.

Perfetto..!! Appena testato e funziona perfettamente..
Grazie mille per la spiegazione..

 

[peste666]

Per quanto riguarda il pin wps invece? Viene anche esso generato a partire dal seriale? Ho scaricato dall'FTP zyxel l'ultima versione del firmware disponibile per il modello in questione e spacchettato con FMK, dato un occhiata con Ghidra allo .so in questione, in particolare alla funzione zcfgBeWlanWscPinGen e credo anche essa richiami il seriale e il mac con zyUtilIGetBaseMAC e zyUtilIGetSerialNumber. Dagli un occhiata,in caso non lo avessi gia fatto, io purtroppo sono ancora nemmeno all'abc del reversing.

 

[Axin]

Per quanto riguarda il pin wps invece? Viene anche esso generato a partire dal seriale? Ho scaricato dall'FTP zyxel l'ultima versione del firmware disponibile per il modello in questione e spacchettato con FMK, dato un occhiata con Ghidra allo .so in questione, in particolare alla funzione zcfgBeWlanWscPinGen e credo anche essa richiami il seriale e il mac con zyUtilIGetBaseMAC e zyUtilIGetSerialNumber. Dagli un occhiata,in caso non lo avessi gia fatto, io purtroppo sono ancora nemmeno all'abc del reversing.

Spero di si, così sarebbe il massimo.
Purtroppo su questo campo anche io sono al livello 0 e mi dispiace non poter dare una mano con questo.

Ps. Se questo sistema Si potrebbe usare anche su altri modem, sarebbe il top, poter studiare e testare su altri modem dei nostri provider.
Ma credo che usino altri sistemi per calcolare la wpa.

 

[peste666]

Spero di si, così sarebbe il massimo.
Purtroppo su questo campo anche io sono al livello 0 e mi dispiace non poter dare una mano con questo.

Ps. Se questo sistema Si potrebbe usare anche su altri modem, sarebbe il top, poter studiare e testare su altri modem dei nostri provider.
Ma credo che usino altri sistemi per calcolare la wpa.

In realtà, se la funzione generante il pin di default del WPS escludesse il seriale dal calcolo ma utilizzasse solo variabili in chiaro come il MAC essendo esso specifico, catturare l handshake non sarebbe necessario, in quanto con il pin di default calcolabile e reaver si otterrebbe la chiave in meno di un minuto. Non credo sia questo il caso, utilizzare come variabile di una funzione un dato osservabile per creare un pin "segreto" sarebbe un controsenso. In alcuni casi, come fu nei router Belkin e come è tutt'ora dei router SERCOMM della Tim, gli AgCombo, il seriale viene trasmesso in chiaro in ogni probe response, tranquillamente sniffabile con wireshark. Purtroppo, come ho appena constatato, non siamo ugualmente fortunati, (almeno per quanto riguarda Home&Life non ho occasione di testare sulle altre reti mensionate) vi allego screen.
Quindi diciamo che, se non si trova qualcosa che ci aiuti a comprendere alla generazione del seriale (ammesso sia possibile) o l'algoritmo del pin wps sia vulnerabile, zyxel ha comunque fatto un buon lavoro. Continuerò ad approfondire... Se qualcuno ha nel raggio della propria antenna una di quelle reti e vuole aprirmi un ssh o ha un router zyxel da buttare... Cheers!

 

[J4ck0xFF]

In alcuni casi, come fu nei router Belkin e come è tutt'ora dei router SERCOMM della Tim, gli AgCombo, il seriale viene trasmesso in chiaro in ogni probe response

Non ho ben capito questa parte qui, negli agcombo il seriale viene trasmesso in chiaro ed è quindi possibile ricavare il pin wps? c'è qualche thread a riguardo?. Comunque penso siano due seriali diversi quello trasmesso dal wps e quello sotto il router, il quale non segue nessuno standard ma è solo a discrezione del produttore. Anche se sono abbastanza sicuro ci sia una correlazione tra mac e seriale, poiché sono sempre numeri bassi, mai sequenziali e "belli" , bisogna capire con che algoritmo vengono generati, ma finché abbiamo un campione statistico basso, la vedo dura....

EDIT: un altro articolo interessante

Tinkering with ISP autogenpassword ZyXel EMG2926-Q10A wifi router

 

[peste666]

Se negli AgCombo TIM il seriale viene utilizzato per calcolare il wps non lo so, potrei dare un occhiata al firmware. Mi pare che sercomm aveva rilasciato il source pubblicamente ad un utente di un forum secondo licenza e lui lo aveva caricato su mega. Dovrei averlo nell Hard Disk da qualche parte. Anche se va cross compilato ed è un bell impiccio, a me si bloccava dopo un po. riuscivi comunque a generare gran parte del sorgente, .so incluse.
IN OGNI CASO si, il seriale del router è un parametro comunemente trasmesso nelle probe response, e ti confermo che il seriale del router è visibile in chiaro. Ma come evidenziato nello screen, zyxel ci ha piazzato un seriale fake, buon indice che esso è usato in qualche funzione interessante, come quella da te scoperta. Per quanto riguarda il dato statistico, mi hai fatto venire in mente che forse potremmo dare un occhiata su Shodan. Magari li con qualche parola chiave? Sabato pomeriggio mi metto a dare un occhiata. Se hai tempo dai un occhiata alla funzione che genera il pin wps. Il tuo occhio saprà carpire sicuramente piu del mio!
Cheers

EDIT: Ho dato un occhiata al tuo articolo, io ho un BusPirate e una Clip eeprom, potrei entrare nel router tramite uart... ma non ho il router. Mi sa che me lo compro sai? Il tuo thread mi ha fatto ritornare la vena eccessivamente smanettona.

 

[J4ck0xFF]

Se negli AgCombo TIM il seriale viene utilizzato per calcolare il wps non lo so, potrei dare un occhiata al firmware. Mi pare che sercomm aveva rilasciato il source pubblicamente ad un utente di un forum secondo licenza e lui lo aveva caricato su mega. Dovrei averlo nell Hard Disk da qualche parte. Anche se va cross compilato ed è un bell impiccio, a me si bloccava dopo un po. riuscivi comunque a generare gran parte del sorgente, .so incluse.
IN OGNI CASO si, il seriale del router è un parametro comunemente trasmesso nelle probe response, e ti confermo che il seriale del router è visibile in chiaro. Ma come evidenziato nello screen, zyxel ci ha piazzato un seriale fake, buon indice che esso è usato in qualche funzione interessante, come quella da te scoperta. Per quanto riguarda il dato statistico, mi hai fatto venire in mente che forse potremmo dare un occhiata su Shodan. Magari li con qualche parola chiave? Sabato pomeriggio mi metto a dare un occhiata. Se hai tempo dai un occhiata alla funzione che genera il pin wps. Il tuo occhio saprà carpire sicuramente piu del mio!
Cheers

EDIT: Ho dato un occhiata al tuo articolo, io ho un BusPirate e una Clip eeprom, potrei entrare nel router tramite uart... ma non ho il router. Mi sa che me lo compro sai? Il tuo thread mi ha fatto ritornare la vena eccessivamente smanettona.

occhio che l'articolo non è mio , mi sono solo messo ad implementare la parte di bruteforce sui numeri seriali e a scoprire che seguono un pattern semplice. Quindi ti potrei essere di poco aiuto su quello

 

[peste666]

occhio che l'articolo non è mio , mi sono solo messo ad implementare la parte di bruteforce sui numeri seriali e a scoprire che seguono un pattern semplice. Quindi ti potrei essere di poco aiuto su quello

Dai un occhiata qui.

Reversing Belkin’s WPS Pin Algorithm – /dev/ttyS0

Nota come la funzione generante usa il seriale come variabile ma il seriale viene trasmesso dal router in ogni probe response. Spero ora il mio discorso sia piu chiaro, vedi allegato

 

[J4ck0xFF]

Dai un occhiata qui.

Reversing Belkin’s WPS Pin Algorithm – /dev/ttyS0

Nota come la funzione generante usa il seriale come variabile ma il seriale viene trasmesso dal router in ogni probe response. Spero ora il mio discorso sia piu chiaro, vedi allegato

Si lo avevo appena finito di leggere quell'articolo e googlando un po' ho visto che anche molti altri router non trasmettono quell'informazione. In ogni caso sul manuale del router, dice che il pin wps è disattivato di default è c'è solo quello pbc, quindi niente da fare. Nel caso fosse attivo dovrebbe essere di default 12345678

 

[peste666]

Mio caro, abbiamo fatto bingo!
Ti confermo, dopo un applicazione pratica che sono riuscito a confermare i miei sospetti ed è come ti dicevo. Non è detto che tutti gli isp, con quindi diversi firmware, abbiano le stesse impostazioni e trasmettano quindi un seriale dummy. Ho avuto ora l opportunità di scoprire che per quanto riguarda le reti TISCALI_XXXX, il seriale viene trasmesso in chiaro in ogni singola Probe Response. Pertanto ogni rete tiscali, almeno per ora, è completamente vulnerabile senza necessità di testarci un intero dizionario.

Per quanto wireshark mi capti un pacchetto malformato e quindi non interpretabile (per cause non importanti al momento probabilmente ricezione non eccellente o interferenza), nelle righe 0110 e 0120 il seriale è trasmesso in chiaro, tra la B e la T (usate in questo caso come separatori).

Usando quindi il tuo algoritmo ricavo la password:

E ti confermo al 100% la connessione!

Pertanto al momento, ogni singola rete tiscali è penetrabile in nemmeno 10 minuti.
Forse con tshark si puo scrivere uno script che automatizzi l'estrazione del seriale, provo se mi lasci l'onore.
Cheers! Grande jack!

 

[J4ck0xFF]

Pertanto al momento, ogni singola rete tiscali è penetrabile in nemmeno 10 minuti.
Forse con tshark si puo scrivere uno script che automatizzi l'estrazione del seriale, provo se mi lasci l'onore.
Cheers! Grande jack!

Interessante!, certo fai pure, poi se hai novità scrivi pure qua che ti linko sul primo post (ne approfitto già per linkare questo tuo commento, così non facciamo un altro thread se ti stà bene, poi ovviamente fammi sapere). Guarda, volendo si possono usare anche le librerie del fork di reaver per farci un programma semiserio, però effettivamente non sò quanto ne valga la pena se vale solo per un dispositivo ed inoltre non sarebbe didatticamente interessante. In particolare, data questa lista e le tue osservazioni, concludiamo che il modello che dici tu essere ancora di più vulnerabile è il VMG8823-B50B perchè trasmette il seriale in chiaro nelle probe response, mentre il VMG8825-B50B (prodotto circa un anno dopo) no, perchè trasmette un seriale falso (credo che sia proprio questione della versione del router e non del firmware). Io se avrò del tempo farò un'analisi dei dati per ampliare la lista dei router vulnerabili all'attacco a dizionario , utilizzando le password di un database pubblico 3wifi, tirandomi così giù un dataset per poter analizzare i dati e cercare eventuali correlazioni tra mac e seriali, seriali per i quali sono convinto si possa restringere ancora di più la dimensione del dizionario, perchè assumono pure quelli dei pattern particoli.

 

[Axin]

Grande ragazzi, io ho poco tempo e conoscenze forse troppo basilari su questo campo per potervi dare una mano, però nel caso in cui vi può servire posso fare delle verifiche per voi sui modem che ho a casa, Vodafone Station Revolution ( quella bianca per intenderci, è un modem Della Tecnicolor TIM.

 

[peste666]

Interessante!, certo fai pure, poi se hai novità scrivi pure qua che ti linko sul primo post (ne approfitto già per linkare questo tuo commento, così non facciamo un altro thread se ti stà bene, poi ovviamente fammi sapere). Guarda, volendo si possono usare anche le librerie del fork di reaver per farci un programma semiserio, però effettivamente non sò quanto ne valga la pena se vale solo per un dispositivo ed inoltre non sarebbe didatticamente interessante. In particolare, data questa lista e le tue osservazioni, concludiamo che il modello che dici tu essere ancora di più vulnerabile è il VMG8823-B50B perchè trasmette il seriale in chiaro nelle probe response, mentre il VMG8825-B50B (prodotto circa un anno dopo) no, perchè trasmette un seriale falso (credo che sia proprio questione della versione del router e non del firmware). Io se avrò del tempo farò un'analisi dei dati per ampliare la lista dei router vulnerabili all'attacco a dizionario , utilizzando le password di un database pubblico 3wifi, tirandomi così giù un dataset per poter analizzare i dati e cercare eventuali correlazioni tra mac e seriali, seriali per i quali sono convinto si possa restringere ancora di più la dimensione del dizionario, perchè assumono pure quelli dei pattern particoli.

Vai linka, appena ho tempo rispondo al tuo commento!

Messaggio unito automaticamente: 23 Settembre 2019

Eccomi, il seriale, per facilità è estraibile con pochi minuti senza aprire wireshark e catturare:

1 - con wash, usando l'opzione -j, viene fornito un output dettagliato in json contenente il seriale (wash risulterà piu lento perche attenderà una probe response).

2 - con tcpdump, aggiungendo all interfaccia e agli altri filtri per isolare la rete il seguente filtro "type mgt subtype probe-req".

EDIT: Per avere un output pulito, eseguite wash in questo modo:

wash -i interfaccia -j > output.json

Cosi da indirizzare l'out nel file output.json
Avrete poi un output del genere:

matt@matt-pc:~$ cat output.json
{"bssid" : "B8:D5:26:11:7F:CD", "essid" : "TISCALI_7FCD", "channel" : 3, "rssi" : -71, "vendor_oui" : "001018", "wps_version" : 32,
"wps_state" : 2, "wps_locked" : 2, "wps_manufacturer" : "ZYXEL", "wps_model_name" : "VMG8823-B50B",
"wps_model_number" : "VMG8823-B50B", "wps_device_name" : "VMG8823-B50B ZyXELAP 2.4G",
"wps_serial" : "S192V19004757", "wps_uuid" : "792966145df70a0ffd9f5d0ab85a2ea3",
"wps_response_type" : "03", "wps_primary_device_type" : "00060050f2040001",
"wps_config_methods" : "0000", "wps_rf_bands" : "03", "dummy": 0}

Passatelo in questo script e salvatelo col nome che volete (io salvato come wformatter.sh):

#!/bin/bash

if [[ "$1" && -f "$1" ]]; then
    FILE="$1"
else
    echo 'Specify the file to analyze.';
    echo 'Usage:';
    echo -e "\tbash wpsi.sh /tmp/wps.txt";
    exit
fi

cat $FILE | sed 's/\" : \"/\\/g' | sed 's/\", \"/\\/g' | sed 's/\" : /\\/g' | sed 's/, \"/\\/g' | awk -F"\\" '{print "BSSID: "$2} {print "     ESSID: "$4} {print "     Channel: "$6} {print "     RSSI: "$8} {print "     Vendor OUI: "$10} {print "     WPS version: "$12} {print "     WPS State: "$14} {print "     WPS locked: "$16} {print "     Manufacturer: "$18} {print "     Model name: "$20} {print "     Model number: "$22} {print "     Device name: "$24} {print "     Serial: "$26} {print "     UUID: "$28} {print "     Response type: "$30} {print "     Primary device type: "$32} {print "     Config methods: "$34} {print "     rf bands: "$36}'

Con il comando:

matt@matt-pc:~$ sudo chmod +x wformatter.sh
./wformatter.sh output.json > codiceleggibile.txt

E avrete come output:

matt@matt-pc:~$ cat codiceleggibile.txt
BSSID: B8:D5:26:11:7F:CD
     ESSID: TISCALI_7FCD
     Channel: 3
     RSSI: -71
     Vendor OUI: 001018
     WPS version: 32
     WPS State: 2
     WPS locked: 2
     Manufacturer: ZYXEL
     Model name: VMG8823-B50B
     Model number: VMG8823-B50B
     Device name: VMG8823-B50B ZyXELAP 2.4G
     Serial: S192V19004757
     UUID: 792966145df70a0ffd9f5d0ab85a2ea3
     Response type: 03
     Primary device type: 00060050f2040001
     Config methods: 0000
     rf bands: 03

poi volendo...

matt@matt-pc:~$ cat codiceleggibile.txt | grep Serial | cut -d":" -f 2 | xargs go/bin/zykgen -c
KP7PXT437U

script per pulire i json preso da miloserdov

 

[Axin]

Grazie ragazzi per le ulteriori news postate qui sopra, qualche giorno fa ho fatto dei test sniffando con wireshark su diversi modem Home&Life , purtroppo non ho trovato nessun pacchetto che trasmettesse il seriale, ne quello vero ne quello falso, ma una domanda il modem per trasmettere il seriale " anche quello falso" deve avere obbligatoriamente dei client connessi al Wi-Fi?

 

[peste666]

Grazie ragazzi per le ulteriori news postate qui sopra, qualche giorno fa ho fatto dei test sniffando con wireshark su diversi modem Home&Life , purtroppo non ho trovato nessun pacchetto che trasmettesse il seriale, ne quello vero ne quello falso, ma una domanda il modem per trasmettere il seriale " anche quello falso" deve avere obbligatoriamente dei client connessi al Wi-Fi?

Assolutamente no, metti l'interfaccia in monitor mode, avvia airodump in un canale specifico. Poi nel frattempo usa con wireshark il filtro "fc.wlan.type_subtype eq 5".

 

[Axin]

Assolutamente no, metti l'interfaccia in monitor mode, avvia airodump in un canale specifico. Poi nel frattempo usa con wireshark il filtro "fc.wlan.type_subtype eq 5".

Ok.. in effetti non avevo pensato al fatto di avviare aurodump in un canale specifico.
Ci proverò entro oggi se riesco, inoltre grazie anche per il filtro consigliato.

 

[arkoss]

ciao e complimenti per l'ottimo lavoro

sapete se esiste il modo, una volta ottenuta la wpa, di risalire al seriale del router per ricavare la password di supervisor per il VMG8825?
il tool genera la wpa ma non ti dice da quale seriale lo ottiene, se si riuscisse a ricavarlo sarebbe una gran bella cosa

 

[J4ck0xFF]

ciao e complimenti per l'ottimo lavoro

sapete se esiste il modo, una volta ottenuta la wpa, di risalire al seriale del router per ricavare la password di supervisor per il VMG8825?
il tool genera la wpa ma non ti dice da quale seriale lo ottiene, se si riuscisse a ricavarlo sarebbe una gran bella cosa

scusa il ritardo della risposta, comunque ovviamente se hai bisogno del seriale corrispondente ad una certa wpa basta modificare il codice, ti metti su un file di testo solo le password wpa ( su questo file userai hashcat) e nell'altro password wpa e seriale corrispondente, e una volta trovata vai a cercare manualmente con il programma glogg (per es) a quale seriale corrisponde ( o semplicemente se hai già la password ti basta solo il secondo file, o se non sai modificare il file vai a vedere a che riga all'interno del file si trova la password trovata e sommandolo al numero seriale da cui sei partito per generare le chiavi trovi il seriale corrispondente a quella wpa). Per quanto riguarda la password root bisognerebbe aspettare qualcuno che si prenda la briga di vedere il firmware per tirare fuori pure quell'algoritmo (che suppongo sia molto simile), o ad andare un po' ad intuito, per esempio vedo che l'user è sempre "admin", mentre la pwd sono 10 cifre [a-z,A-Z,0-9], quindi si potrebbero provare tutti gli algoritmi già implementati dandogli come key in chiaro o l'ultima parte dell'SSID (quella alfanumerica) o il mac address e vedere se corrisponde a quella vera ( per cercare degli esempi basta cercare su google immagini i retro dei router). Purtroppo io non ho avuto tempo/voglia per fare altre indagini quindi se qualcuno scopre nuove cose basta scriverlo qui e lo aggiungo al post principale.

 

[arkoss]

ok grazie mille comunque il seriale l'ho trovato semplicemente usando il file di testo contenente la password trovata, per quanto riguarda le password di accesso al router ho trovato su un altro forum un tool basato su QEMU per calcolare quelle di supervisor o admin e sono riuscito ad entrare senza problemi.
Nella mia semi-ignoranza non ho capito se root o supervisor sono la stessa cosa