Firmware game is not just for free internet. Coming soon.
Resulta gracioso a veces cómo las cosas suceden, te pueden sentar mejor, te pueden sentar peor, pero siempre hay que decir algo, incluso con silencio, y visto lo visto, alimentemos al pueblo: Panem et circenses
Me llegó un correo tal que:
El 25/11/2011 22:17, xxxxxx escribió:
Enhorabuena, me alegra mucho que hayas destrozado el router, yo también estoy trabajando en ello, aunque me faltan algunos datos por verificar, esta vez se han esforzado.
Espero noticias próximamente, sobre tu trabajo. Además añado que te lo has currado mucho, como para que lo sueltes sin mas para que cuatro mataos se pongan medallas realizando aplicaciones.
Estaria muy interesando que lo publicase tu trabajo, pero con calma.
Un saludo
Gracias,
Dirneet
A tantísima amabilidad y camaradería uno no suele negarse, el proposito de este blog es básicamente, informar, pero viendo el cariz que puede tomar esto, he decido darle un giro de timón, telecinco no me gusta.
Con la emoción cauta del descubrimiento, y como al parecer si uno no crea una aplicación para robarle el wifi al vecino, no causa la atención necesaria, obté por una versión sencilla, pero un poco ingenua: hacer una captura de lo que el algoritmo devuelve al procesar una cadena “elvecinoo” en este caso. Con lo cual todo se resolvía mucho más fácil, y para que me entendáis, el algoritmo es un md5 + un base64 con el diccionario cambiado, primero minusculas luego mayusculas y en vez de + un ., pero vamos, esa cuestión es la de menos, una persona que se ha esforzado o ha descubierto algo, se da cuenta fácilmente.
El 26/11/2011 9:04, xxxxxx escribió:
Buenos días, a lo largo de estos días también he tenido mis dolores de cabeza con el tema de este.
Te expongo una curiosidad, aunque creo que ya la habrás encontrado.
Por una parte , encontré que la contraseña de usuario se generaban con MD5 BASE SCHEME, ejemplo user:1234 pass: $1$$iC.dUsGpxNNJGeOm1dFio/, pero en cambio tú has utilizado md5 base 64 para tu cadena elvecinoo = sN2UIw7zuQqM/jGPb/CWiw==, con la peculiaridad que a mí se me ha generado a la inversa, o sea las mayúsculas en minúsculas.
Es de agradecer que me iluminaras,
Saludos
Ni puta idea vamos…
El 26/11/2011 15:55, xxxxxxx escribió:
Sin ser pesado, entiendo tu postura y la respeto porque yo también me encuentro en esa situación ya que he invertido tiempo.
He tenido que buscarme la vida en Linux, y la ayuda por por parte del grupo de trabajo han sido nula, como has podido ver .
ya que mis conocimiento como te he comentado antes eran 0. En esto momentos han mejorado y mejoraran ya que disfruto aprendiendo.
Eso si, lo tengo claro que si descubro el funcionamiento del algoritmo, no lo compartiré, Quid pro quo (Soy egoísta, en algunos aspectos).
Simplemente te pido si eres amable de indicarme donde buscarlo.
Saludos .
El 04/12/2011 14:46, xxxxxxx escribió:
Buenas, me gustaria que me propocionases la contraseña de i+d aw4062 y livebox. Para poder echarte una mano en buscar información o datos de estos routers.
También me gustaría que me indicases en que fichero podría encontrar las cadenas necesarias para el patrón de aw4062. Se que es mucho pedir.
Se que darias la contraseña de i+d a personas con conocimientos, (yo estoy empezando ahora). Pero con ganas de aprender.
Tambien dispongo de información claves y datos de routers Vodafone, si te interesan, me los pides.
Saludos
Dirneet
En fin, nadie es díos aquí, y siguiendo la analogía romana, lo que es del cesar es del cesar y lo que es de díos es de díos, y jugetear con 4 números del router y dos algoritmos –que has visto por ahí en una captura, “campeón” –, no es descubrir nada. Estoy contentísimo con lo que he aprendido este tiempo y con la gente que he conocido y se ha querido apuntar, con la participación y mil cosas más, y lo que realmente es importante es saber cómo has podido llegar, no simplemente llegar; y por mi parte visto lo visto, eso me lo reservo.
Afortunadamente esta vez no es ni tanto pan, ni tanto circo, hay que mojarse un poco más y tener un handshake.
No voy a hacer ninguna aplicación, para eso ya otros, y no tiene mérito, así que si alguien pregunta, que venga aquí y lea de dónde empezó todo.
Saludos a todos!
P.D: Un saludo 9’s!
Hola a todos. No hay mucho más que rascar en este tema, asi que para terminar la investigación, acepto handshakes para su comprobación (así como cualquier otra información sobre el router. Macs, essid, foto trasera, archivo config.xml…. )
Contestaré con la clave.
elvecinoo@bk.ru
Hola a todos, he recibido bastantes correos estos días en los que me preguntábais desde cómo colaborar o ayudarme a seguir mis investigaciones, cómo lo había conseguido, por donde empezar o simplemente dándome las gracias.
Por este motivo he decidido intentar contentar a todos creando un firmware un tanto especial. Bajo la revisión 1.4.2 he modificado este para dotarlo de acceso a root (user:root – pass: elvecino) y le he añadido una utilidad llamada infotool muy básica con la que podrán ayudarme quien quiera a continuar la investigación.
Con esto, como ya digo, doy a los usuarios la posibilidad de acceder a router mediante root, aquellos que no estén interesandos en la investigación del patrón pero necesiten configurar de mejor manera el router, y por otro lado me ayudo ami.
Esta aplicación está incluida en el firmware como binario y utiliza como interfaz la propia interfaz web de router. Es terriblemente simple, la aplicación crea una cadena de 23 caracteres con la información necesaria para investigar + la mac + una suma de verificación y la codifica.
De esta forma me aseguro que si alguna de estas cadenas “pulula” por la red, no se vea comprometida la mac de quien buenamente me ayuda, ni tampoco se digan directamente los datos necesarios para crear la clave.
el proceso es sencillo, cargar el firmware, entrar en http://192.168.1.1/elve.htm o bien pulsar el enlaze que hay tras logearse. Despues pegar la cadena en http://elvecinoo.myartsonline.com/it.php
El correo es opcional, pero si lo indicais, me comprometo a devolveros la clave para comprobar que es correcta y que todos los routers utilizan en mismo algortimo.
Por último comentar que he creado varias secciones privadas de I+D en las que estoy trabajando por si alguien quiere colaborar, donde posteo mis utilidades y a información de mi investigación. Ahora estoy mirando por encima a los livebox con un posible resultado similar que en AW4062. Si alguien está realmente interesado (y con conocimientos) que me mande un mail y le proporciono la contraseña. También si alguien quiere que investigue otros routers puede sugerirlo…
Gracias a todos y a por el infotool! 🙂
Y por si no se entiende… ya he descubierto el misterio. No ha sido fácil, pero tampoco díficil, y he aprendido muchísimas cosas esta semana.
Como veís he conseguido interpretar el código en ensamblador mips y compilar un ejecutable para x86, en realidad no era tan dificil solo había que tener en cuenta un par de detalles que me han llevado loco un par de días … y todo rodado.
También he puesto el resultado del algoritmo para la cadena “elvecinoo” por si alguien se anima completarla 🙂
Ahora solo falta saber si la entrada de este algoritmo tiene relación alguna con la mac ( creo que no) o sigue algún patrón para poder crear algún diccionario para atacar al HS.
Quizá en unos días elabore un firmware para quien quiera colaborar, pueda enviarme una cadena especifica generada en ese firmware. Esa cadena sera el resultado de la concatenación de la entrada del algoritmo generador mas la mac y un checksum, todo ello codificado, para poder comprobar que realmente funciona el algoritmo (me compromento a contestar con la clave) tanto como para formar una pequeña base de datos de relaciones y clarificar las cosas un poco ( o por si mi algortimo no funciona… o quien piense que es un farol…)
Saludos!
elvecinoo@bk.ru
P.D: También me comprometo a pubicar todo mi material y cómo lo he hecho, si se demuestra que esta vez han hecho bien las cosas y es imposible obtener la clave de forma directa.
¿Qué tal mis queridos lectores ? Hace muchísimo tiempo que no escribo nada (tampoco es que sirva para mucho … ¿o sí? en fin) y visto lo que sucedió la última vez –que por si no lo recuerdan– liberé de forma didactica el proceso de creación de claves por defecto de los routers comtrend para movistar y jazztel (WLAN_XXXX) dando así como resultado una proliferación masiva de aplicaciones para “robar wifi al vecino” conectarse a internet everywhere (gracias por mencionarme en todas ellas), he decidido volver con algo igual de didáctico pero menos apetitoso, o no…
Como consecuencia de lo anteriormente comentado, los nuevos routers que se han ido instalando han cambiado sutancialmente la forma de generar la clave por defecto de la red wifi, y en concreto vamos a hablar de lo que ha caido en mis manos, un AW4062 fántastico oye. Por si alguien anda perdido “esos que tiene la mac 001915”.
He de decir que esta vez se han lucido un poco más, he tenido primero que lidiar con el firmware, ya que a primera vista no encontraba ningún bug para acceder a una shell mediante su “cli” (command line interface) pero vayamos por partes.
Este cacharro está basado en linux, como viene siendo de costumbre, en concreto :
Booting
Press ‘ESC’ to enter BOOT console…
Using Int. PHY
Decompress file… ok!Linux version 2.6.19 (root@hp.tecom.intra) (gcc version 3.2.3-1.2.8) #475 Mon Apr 19 15:35:31 CST 2010
CPU revision is: 0000ff00
Blabla…
Llava un puerto serie interno, que es clave para investigar un poco con él. Lo descubrí al “brickearlo” mientras buscaba la intefaz JTAG ya que jugando con el firmware me lo cargé momentaneamente. Con un MAX232 y unos condensadores puedes conectarlo al puerto serie. Velocidad 115200 bps 🙂
El firmware se compone de 3 partes, cabezera, sistema de ficheros y kernel. Utiliza squashfs y lzma para el rootfs y el kernel respectivamente. La cabezera es de 64bytes y guarda información y hasta aquí voy a leer…
Una vez extraido el sistema de ficheros, podemos jugar con los ejecutables, incluso emularlos con qemu-mips pero lo más indicado es prepararse un toolchain para mips y tirar de gdb.
Pero para poder meterle “cosas” al router necesitamos poder generar nuestro propio firmware. Es aquí donde empieza mi investigación, veamos la cabezera.
Los primeros 64 bytes son la cabezera en la que se codifican varios datos importantes y a continuación comienza la signatura para el sistema de archivos squashfs.
El sistema de archivos contiene esta estructura:
bin/ dev/ etc/ home/ lib/ mnt@ proc/ sbin@ sys/ tmp@ usr/ var/
dev,mnt,proc,sys,tmp y var son creados en caliente y es donde los datos que nos pueden interesar están, luego no es muy útil el firmware por si solo, tampoco nos valen las emulaciones, por lo que hay que buscar la forma de acceder al router mendiante shell.
Además por si fuera poco, el contenido de bin es escaso, sobre todo si quieres realizar un dumpeo de la memoría ram, o del propio rtl8671hb o memoría ram.
CreatexmlConfig configd ifconfig mpoad startup LoadxmlConfig cp igmpproxy msh tc ShowStatus cpu inetd netlogger telnetd UDPserver cwmpClient init ps tftpd [ dnsmasq iptables qc traceroute adslctrl ebtables iptables-batch reboot udhcpc arp echo iwcontrol rm udhcpd auth ethctl iwpriv route udpechoserver bash@ expr kill routed updatedd boa flash login sarctl updateddctrl brctl flatfsd ls sh vsntp busybox ftp mini_upnpd slogd wdg cat ftpd mkdir snmpd wpa_default catch help mount spppctl wscd cli httpd mpoactl spppd
También tiré de strings y en efecto, dio buenos resultado, pero no tan fáciles como con los comtrend. Así pues, si quería investigar en consecuencia primero tendría que modificar el firmware de router, para ello he creado un pequeño set de utilidades que me permiten extraer de un firmware todo, modificarlo y volverlo a empaquetar, mirad:
He tenido que modificar las utiliades de squashfs (con soporte lzma) y además con ayuda de ingeniería inversa, la consola serie, e IDA ver cómo está implementando el checksum en el firmware para crear un “joiner” que une los binarios del sistema de archivos squash y el kernel y le añade la cabezera y el checksum calculado.
et voilá, firmware creado y listo para meter al router. Veamos más del router. Este utiliza un fastidioso “cli” que he intentado reventar buscarle fallos y como a los treinta minutos no salía nada, desistí. Por otro lado implementa un sistema de identificación que guarda los datos en /var/passwd pero como comenté antes, todo esto lo hace en caliente. Tampoco sirve de mucho buscarle fallos al cli ya que de todas maneras tienes que modificar el sistema de archivos para poder debuggear correctamente. Pero bueno esto es bastante subjetivo, hay caminos para todo.
¿Pero dónde está el dichoso algoritmo?
En este punto que ya nos encontramos es cuando empieza realmente la búsqueda del algoritmo que genera la clave. Por el momento no voy a contar nada más, ha sido suficiente y como conclusión y pistas, os diré que no es fácil, usa dos algoritmos encadenados y por lo que apuntan mis indicios, la entrada a dicha primera función no es la mac ni nada fácil de obtener, es un número de serie único que por el momento no voy a decir cómo obtenerlo, no es fácil. Ahora me falta probarlo todo, por que mi segundo indicio es que las funciones que generan dicha contraseña son funciones con particularidades, es decir, que no devuelven la misma salida que puede devolver en una versión estandad del algoritmo.
Tengo que seguir debuggeando entre gdb e IDA, y gracias que esta vez no sea tan fácil para todos, quien quiera algo que se lo curre.
Os dejo regalos
http://pastebin.com/7fVsXNyg el dmesg
Firmware mayberoot -> Este es mi firmware modificado, con acceso a root, la contraseña la tenéis que adivinar vosotros 😛 por cierto, de nada vale descomprimirlo, hay que cargarlo en el router. http://192.168.1.1/elve.html para saber si se ha cargado bien.
Saludos y hasta la próxima!
P.D: Me alegro mucho de contar un blog que alguien pueda leer sin recurrir a foros que serían como telecinco es a la televisión.
http://www.hispasec.com/unaaldia/4487
– Es lamentable que efectivamente el patrón se “vomitara” sin más pero es así como sucedió. No por mi parte si no por otra persona que no tuvo paciencia o que quizá tendría otros intereses.
– Yo no pertenezco a ninguna empresa, y refiendome a la noticia, ya que parecen estar un poco desinformados solo diré que algo así como
# cat /dev/mem > /mnt/usb1_1/memoria
# strings memoria | grep WLAN
o más fácil buscar en los .so.0 entre otras muchas cosas que se pueden hacer y que no diré.
Como véis, se puede sacar sin filtraciones ni técnicas de ingeniería inversa complejas.
— El cómo acceder a la shell tanto en los nuevos routers como en los antiguos me lo reservo —
Sobre las novedades podríamos estar hablando de Livebox & Vodafone pero visto lo visto con nintendo… shhhh silencio.
Saludos.
O será que se ha roto el foro donde empecé a colaborar… el caso es que pone que estoy baneado definitivamente por usar un correo falso.. ( bk.ru de toda la vida en rusia ) Confiemos que sea un error 🙂
Prudencia hombre, prudencia!
— Actualización —
Efectivamente era un error como ya apunté anoche, ( lo de banear es lo que ponía, que luego me tachan de juzgar sin saber… algunos son como el cerdo, que de este se aprovecha todo -o se lo come todo-) incluso a veces los errores acaban en aciertos.
Confio en que me lo solucionen pronto y que a mi y a mi proxy nos dejen entrar… que yo sin él no voy a ningún nado (L) Ay! en estos tiempos modernos ya cualquiera administra un foro… a dónde vamos a llegar!
El reto ya ha sido superado 🙂 ( habeís tardado un montón!)
Bueno, no tengo más que hacer por aquí, enhorabuena a quien sepa la cadena y suerte a la hora de generar la clave.
Me es grato conmunicaros que días atrás (con la mitad de pistas que algunos…) otra persona descubrío el “argo-rritmo” así pues a la vista de lo que está aconteciendo se me ha ocurrido lo siguiente:
Como no voy a dar el patrón así como así y esta persona me ha confirmado que quiere mantenerlo tambien a salvo (bravo!) , he hecho dos fotos de mi pc donde se ve exactamente dónde está la “clave del asunto”. Una para los comtrend antiguos y otra para los nuevos (en mi caso jazztel) con lo que así quedará demostrado que ni mentí ni me lo inventé. Lo dejo con tiempo…
Estas foticos están comprimidas doblemente con 7z y rar usando un HASH MD5 MÁS UN ESPACIO EN BLANCO como contraseña. (que lo mismo queréis probar por fuerza bruta…)
Llegados aquí hay dos posibilidades, que se haga público el tema, y yo diga el hash o por otro lado que vosotros lo descubráis y generéis ese md5 más espacio para ver el contenido.
Para más pistas y/0 evitar confusiones… la clave la generé así:
echo -n “cadena” | md5sum
Y a lo que sale esto le añadí un espacio.
No dejéis de ver la otra entrada! 🙂
-adeu-
http://www.megaupload.com/?d=AKG4BZK4 (wlan)
(Jazztel [Próximamente])
— Notas —
Espero que con lo del espacio no te refieras a que has cogido el hash y le has añadido un espacio así:
“c11232ca4cbc42f6569b3061ee7ca4b9 ”
Si te soy sincero no fue intencionado pero por no recomprimir de nuevo todo y subirlo lo dejé así.
El hash empieza por d47b89 y lo forma una cadena que se encuentra “por dónde hay que buscar” para saber cómo se genera una clave md5 para ese router. En concreto toda la linea includas las X
– Esto es para los que están intentado descifrar el patrón. Cuando lo consigan podrán ver cómo lo hice yo.
– Si no te interesa esto, simplemente ignoralo, o releelo antes de comentar y/o criticar.
 | Robby en Observa telecom AW4062 ese gra… |
 | RUFIAN en Observa telecom AW4062 ese gra… |
 | Pablo en Observa telecom AW4062 ese gra… |
 | elvecinoo en Observa telecom AW4062 ese gra… |
 | pufff en Observa telecom AW4062 ese gra… |
elvecinoo 