Foro de elhacker.net

Aquí tenéis el programa final para generar los diccionarios para estos routers. Ejecutad TPLink-GenKeysFinal y seguid las instrucciones. Introducid la BSSID del router o la fecha de lanzamiento al mercado del router si la sabeis como argumento para obtener un diccionario reducido específico para el modelo del router que estáis atacando, eso puede reducir el tiempo de crackeo a unos pocos minutos. Si no sabeis ninguno de estos datos, no metais argumentos y listo.  :P

Descarga: http://www.mediafire.com/download.php?vtu146u849ogueq

Si quereis más velocidad aún, no protestéis y ayudad a completar la tabla de abajo aportando la información de estos routers (http://functionmixer.blogspot.com.es/2013/03/vulnerabilidad-tp-link-obteniendo.html).
;D

---

---

Post original:
Recientemente TP-Link ha sacado unos routers al mercado, los TD-W8970, TD-W8968, y TD-W8961ND (http://www.tp-link.com/en/products/?categoryid=203) que aparecen bajo el nombre TP-LINK_XXXXXX. Su clave por defecto en WPA / WPA2 y WEP es es de 10 y 13 caracteres respectivamente (aparentemente de 0-9, y A-Z) y es generada aleatoriamente por el EasySetupAssistant (http://www.tp-link.com/mx/support/download/?model=TD-W8970&version=V1#tbl_b).

En WPA/WPA2 que es lo que interesa, un ataque de fuerza bruta acelerado por una GPU media a unos 20000 keys/s tardaría 36¹⁰ / 20000 = 5796,8011 años. Esto se puede lograr con cualquier tarjeta gráfica de gama media-alta en un ordenador normal, por lo que parece imposible de romper en un tiempo razonable. Pues resulta que desensamblando el asistente de configuración, he visto que el encargado de hacer esto es un generador de congruencia lineal que usa seeds de 32 bits. En otras palabras, el conjunto de claves posibles tanto para keys de 10 caracteres (WPA/WPA2) como de 13 caracteres (WEP) es de 2³². El código en Python de este generador es:


Por si esto fuera poco, cada clave en el conjunto de claves está duplicada ya que las seeds i y (i+0x80000000) generan la misma clave para todos los enteros i de 32 bits. Esto hace que las combinaciones totales se reduzcan a 2³¹. De esta manera, podemos encontrar la clave en un máximo de: 2³¹ / 20000 = 1,24 días. Esto se vuelve aún más grave si tenemos en cuenta que 1,24 días es el tiempo requerido a esa velocidad en el peor de los casos. El tiempo medio se situaría en 0,62 días. Por no hablar del tiempo que lograría un peligroso gamer con su ordenador nuevo listo para mover el Crysis 3 en ultra. En ese caso estaríamos hablando de una media de 3 o 4 horas.

He creado un pequeño programa en C++ para comprobar si claves generadas para otros routers TP-Link eran vulnerables. Tan solo lo tenéis que abrirlo, introducir "1", y poner la clave para comprobar si es vulnerable. Desde luego, todas las claves generadas para los TD-W8970, TD-W8961ND, y TD-W8968 están afectadas al compartir el mismo EasySetupAssistant (http://www.tp-link.com/Resources/software/TD-W8970_V1.0_Easy_Setup_Assis.zip). Si tenéis otro router distinto de TP-Link, pero con una clave aleatoria, no estaría de más que la comprobaseis. Descarga (Windows + Linux + Sources): http://www.mediafire.com/download.php?oyrnt45sljlxa5a

También me mosquee mucho con respecto a cómo se generaban los primeros 4 dígitos en hexadecimal de la clave, lo mismo me volví paranoico, o lo mismo no es sano desensamblar a las 5 de la mañana. En todo caso si alguien por aquí quiere contribuir a sembrar el caos y la destrucción a la seguiridad en Internet, podría echarle un ojo al asistente (basta con poner un breakpoint en 00474BF0, o con mucho cuidado poner la EIP ahí). Cada bit que determinéis reduciría el tiempo de descifrado a la mitad. Sólo eso me parece motivación suficiente para continuar.

Otra cosa que estaría genial es que alguien generase el diccionario para estos routers (ocuparía 22,5 GB), o que modifique algun crackeador de handshakes por GPU open source para que se centre en las claves para estos routers. Por último, ya spameé hace tiempo anunciando que hacía algunos humildes tutoriales sobre cracking (http://www.youtube.com/playlist?list=PL6A15554AA4579074); pues como esto trae OllyDbg de por medio, pues hice un tutorial en YouTube acerca de cómo encontrar estos fallos usando este como ejemplo, quizás a alguien le resulte interesante. ¡Que lo disfrutéis!
:D
Post: http://functionmixer.blogspot.com.es/2013/03/vulnerabilidad-de-tp-link-al-generar.html (http://functionmixer.blogspot.com.es/2013/03/vulnerabilidad-de-tp-link-al-generar.html)

Tutorial:
-M0naAtUZM0
 

Novedades! ;D
Este fallo afecta a todos* los routers WiFi de TP-Link sacados desde 2010. Básicamente todos los que empiezan con TL-WA, TL-WR, TL-WDR, y por otra parte los WXXXX y VGXXXX.
*Con todos los que he probado hasta ahora, que vienen a ser el 90% del total. En los routers restantes tuve problemas en la descarga del EasySetupAssistant, pero me jugaría un baneo por bocazas a que tambien están afectados. XD

Estos routers vienen a ser los que aparecen en estas dos listas (quitando los adaptadores WiFi):
 http://www.tp-link.com/en/support/download/?pcid=201 (http://www.tp-link.com/en/support/download/?pcid=201)
 http://www.tp-link.com/en/products/?categoryid=203 (http://www.tp-link.com/en/products/?categoryid=203)

Routers TP-Link vulnerables:
PD: La semana que viene traeré la lista de claves para estos routers...  ;)

NOTICIÓN!!!  ;D Dicho brevemente: Se puede reducir 95,595% el tiempo necesario en el peor caso.
Dicho soltando una parrafada:
Definitivamente, no es sano. Se me pasó una cosa muy importante por alto y no me la perdonaré jamás. Esa cosa que me mosqueaba, era que la seed es un número que crece linealmente en función del tiempo del ordenador, obtenido a través de un KERNEL32.GetSystemTimeAsFileTime. Es decir, la seed NO es aleatoria, sino que es un valor fijo que aumenta en 1 cada segundo. El código en Python para generar una seed ahora mismo es:


Creo que después de esto, me atrevería a decir que la generación de claves en los TP-Link ha sido un FAIL total. Estábamos contentos por haber reducido las claves que necesitábamos comprobar de 36¹⁰ a 2³¹. Pues ahora, gracias a esto podemos reducir las combinaciones de 2³¹ a los segundos transcurridos en un periodo de tiempo determinado.

Me explico, supongamos que sabemos que una persona instaló el router en 2012, independientemente del mes, día, etc... Gracias a este método sabemos que sólo hay que comprobar las seeds entre 0x4EFFA3AD y 0x50E22700. Es decir:

En un año hay aprox. 365*24*60*60 = 31536000 seg. (o dicho de otra manera 0x50E22700 - 0x4EFFA3AD). Es decir, solo hay que comprobar 31536000 claves, las generadas por las seeds de ese intervalo de tiempo. Eso son 26 minutos con aceleración por GPU o 5 horas solo con CPU. La cosa se vuelve más grave si de la noche a la mañana "aparece" un nuevo TP-LINK_XXXXXX a nuestro alrededor, podría tratarse de router recién instalado ese día con la clave aleatoria de turno, por lo que solo tendríamos que probar con 24*60*60 = 86400 combinaciones, lo cual es algo ridículo.

Mientras escribo esto se me ocurren varias optimizaciones posibles para este sistema:
1. Escoger un intervalo que nos asegurase un éxito sería cuestión de obtener el modelo del router TP-Link a través de la BSSID, compararlo con una base de datos que tuviera la release date de estos y hallar el rango de seeds entre la release y ahora mismo.
2. Otra optimización sería descartar seeds provenientes de entre las 2 y las 6 de la mañana. No soy quien para meterme con las costumbres de otros, pero hay que tenerlos cuadrados para montarte el chiringuito a esas horas.
3. Etc...  ;)

Los programas para calcular las seeds correspondientes a un intervalo de tiempo, y las claves asociadas a un intervalo de seeds próximamente...
PD: Juro que no estoy separando mis mensajes para hacer bumps, lo que pasa es que escribo segun descubro cosas. XD

Aquí están los dos programas que prometí. No soy muy original con los nombres, pero funcionan bien: TPLink-GenSeeds: http://www.mediafire.com/download.php?44l9629qq1dx2l8 (http://www.mediafire.com/download.php?44l9629qq1dx2l8) Este programa calcula el intervalo de seeds donde hay que buscar a partir de un intervalo de tiempo, que se puede indicar con dos fechas, o solo con una fecha y los días alrededor de esta. Como sería horrible hacer esto por terminal le he añadido una GUI rapida, para Windows y Linux (aunque se ve deforme en algunas distros). Para Windows traigo un .exe y para Linux basta con un: python TPLink-GenSeeds-Linux.pyw Si tenéis problemas, probablemente necesitéis ejecutar: sudo apt-get install python-wxgtk2.8 TPLink-GenKeys: http://www.mediafire.com/download.php?28z2fvdgpf22s68 (http://www.mediafire.com/download.php?28z2fvdgpf22s68) Seleccionáis que tipo de claves queréis generar (si, sé que a estas alturas a nadie le interesa WEP, pero no me costaba nada). Indicáis el rango de las seeds (calculado con el programa de antes), os saldrá información sobre la lista y si continuáis, tendréis dicha lista en "./output.txt". Con estos dos programas y algún programa para crackear handshakes como aircrack-ng o pyrit (si teneis una GPU compatible), tenéis todo lo necesario para llevar el ataque a la práctica. Es engorroso lo sé, pero me voy a poner desde ya manos a la obra en un todo-en-uno con una bonita GUI que reduzca todo a un par de clicks.

(http://img94.imageshack.us/img94/5424/capturamc.png)

:D
Si alguien quiere colaborar, en mi blog hay indicaciones de como ayudar con este tema:
http://functionmixer.blogspot.com/2013/03/vulnerabilidad-tp-link-obteniendo.html (http://functionmixer.blogspot.com/2013/03/vulnerabilidad-tp-link-obteniendo.html)

     Muy Buenas.

     Como veis no soy dado a escribir... Soy de letras... leidas.

     Lo 1º y sin entender la mitad de lo que comentas/explicas (gente con mas conocimientos que yo hay) no puedo mas que felicitarte y añadir una cosita sin "acritud" a los webmaster:

     ¿Donde está esa CHINCHETA tipo como un gnomo de grande que se ha ganado AlexAltea y que parece que se ha declarado la Omertá por ser DEMASIADO EXPLÍCITO y se espera que se disipe este FAIL total en medio de los temas tipo tengo un handshake que hago? o cuantas datas necesito para llenar mi ordenador o cuantos gigas de diccionarios necesito para sacar la clave de el vecino que el muy cab#&* la ha cambiado..... WEBMASTERS... MODERADORES..... HELLOOO... ¿.Ahi alguien ahí?

     No lo entiendo... Supongo que andarán de vacaciones o puente largo.

     Felicidades y gracias por tu tiempo y conocimientos compartidos...
     Un saludo a todo este gran foro...

@maffiuss
Lo primero, muchas gracias!  ;D
Además has dicho lo mismo que estaba pensando yo también.. suerte que por otros sitios ha habido más apoyo en conseguir algo más de información para explotar este fallo. Por otra parte entiendo que a mucha gente solo les interesa lo que voy a postear aquí abajo independientemente de los detalles técnicos. Pero en fin, todo lo digo con cariño y sin acritud. :P

---

Aquí tenéis el programa final para generar los diccionarios para estos routers. Ejecutad TPLink-GenKeysFinal y seguid las instrucciones. Introducid la BSSID del router o la fecha de lanzamiento al mercado del router si la sabeis como argumento para obtener un diccionario reducido específico para el modelo del router que estáis atacando, eso puede reducir el tiempo de crackeo a unos pocos minutos. Si no sabeis ninguno de estos datos, no metais argumentos y listo.  :P

Descarga: http://www.mediafire.com/download.php?vtu146u849ogueq

Si quereis más velocidad aún, no protestéis y ayudad a completar la tabla de abajo aportando la información de estos routers (http://functionmixer.blogspot.com.es/2013/03/vulnerabilidad-tp-link-obteniendo.html).
;D (También he colocado este mensaje en el primer post del hilo).


En otro orden de cosas, creo que hay aún más routers de TP-Link afectados. Supongo que son modelos algo más antiguos y no aparecen en la página de TP-Link, pero el asistente aún es posible descargarlo de otros sitios. Por ejemplo:
http://www.softpedia.com/dyn-search.php?search_term=Easy+Setup+Assistant&x=-529&y=-45

Que pena no tener uno de estos routers para poder probar esta aplicacion.

Saludos y gracias por compartir...... :)

Puedes probar también con routers D-Link o Linksys con el programa que postee en el otro hilo (http://foro.elhacker.net/hacking_wireless/diccionario_claves_wpa2_de_linksys_y_dlink_vulnerabilidad_purenetworks-t385791.0.html). Ambos funcionan de forma muy parecida.


Por si no queda claro como usar el programa que he posteado al comienzo del hilo, he hecho un tutorial.
sJDuDWIhdGc

Muchas gracias AlexAltea, ya venia siguiendo tambien tu otro hilo  ;);  por otro lado decirte que cualquier info que consiga de estos routers te la hare llegar para que puedas ir mejorando tu programa.

Saludos...

Red TP_LINK_XXXXXX en Valencia de la empresa Procono, red de un amigo que me deja trastear.

Clave consistente en sólo 8 números. Parece la clave por defecto, pues el WPS pin es el mismo número.

Leí por ahí que algunas redes TP_LINK tienen 8 números como password. Así que construí un diccionario solo de números y solo de longitud 8. La clave ha caído.

Hola amigos quisiera saber si este programa se puede conseguir para androi soy de venezuela y aqui hay router tp-link y los promas q e descargado no sirven para ese tipo de  router bueno gracias saludos esperosu respuestas

Gracias por compartir!

alguien me puede decir la contraseña de TP-LINK_F87D88
 :huh:

ME PUEDES DECIR LA CLAVE DE :TP-LINK_F87D88

me puedes decir la clave de esta wifi:  TP-LINK_F87D88
porfavor

Hola

3030313345333030413330

Esta en hex

Anda queeeeeeee

Has pensado en optimizarlo para usarlo con gpu?

funcciona el diccionario con gpu, pero usando hashcat .

Como mínimo y por respeto al autor deberíamos leer algo. Cada router genera una.........

Hola, tengo una duda que mi subconciente me plantea, la duda es asi: por lo que entendi varios modelos de routers tp-link son vulnerables, y tambien entendi que vienen ya con una contraseña por defecto, ahora bien, si el dueño del router viene y cambia la contraseña wpa2 o la wpa o cualquiera, ¿las contraseñas por defecto seguiran teniendo validez?

¿tú que crees?

Yo no suelo combiarla, pero si es tan vulnerable mi rompe muros creo que lo hare!!! :-X

Pues yo creo que no, ya no son validas las anteriores, la que es valida es la nueva.....

  Hola!

  Un saludo a tod@s!
   Me presento: me llamo Almogavers y la verdad es que soy bastante novato en el tema de la informatica en general.

    Pues me he descargo el programa y cuando le doy a "TPLink-Gkeysfinal.exe"  me sale una ventana negra:


Usage:
TPLink-GenKeysFinal [options...]
By: alexaltea123@gmail.com | functionmixer.blogspot.com

Options:
 --continue           Do not display the "Continue?" message.

 --bssid XX:XX:XX     Use the release date of the router as starting date OR
 --start DD/MM/YYYY   use a custom starting date OR
                      left it blank to use the default date (01/01/2010).

 --end DD/MM/YYYY     Use a custom ending date OR
                      left it blank to use the current date (18/03/2015).

Examples:
 TPLink-GenKeysFinal.exe --bssid 90:F6:52 --continue       (Windows)
 ./TPLink-GenKeysFinal --bssid 64:70:02 --end 13/02/2013   (Linux)
 ./TPLink-GenKeysFinal --start 24/11/2011 --end 13/02/2013 (Linux)


Information:
 

• Starting date:               01/01/2010
• Ending date:                 18/03/2015
• Initial seed:                1262304429 (0x4B3D3CAD in hexadecimal)
• Final date:                  1426703320 (0x5509C3D8 in hexadecimal)
• Total seeds/passwords:       164398892
• Size of dictionary:          1.7 GB (WPA/WPA2)
• Estimated time of cracking:  2.3 hours (GPU) or 22.8 hours (CPU)

Continue? (y/n):



   Resulta que mi ordenador tiene una particion Windows/Ubuntu.
   ¿Si le doy a continuar se puede romper el archivo de particion? ¿Se puede estropear algo?
  Por cierto: ¿Necesitaria descargar "wifislax" con este diccionario?

   Muchas gracias

   Almogavers

Hola me puedes decir la clave para un Router Tp-link_4DA2B4?
Muchas gracias

Enviado desde mi Nexus 5 mediante Tapatalk

Prohibido colocar links referidos

aquí el link
http://www.mediafire.com/file/vtu146u849ogueq/TPLink-AttackDictionary-v1c.zip (http://www.mediafire.com/file/vtu146u849ogueq/TPLink-AttackDictionary-v1c.zip)

Me pasa lo mismo con la ventana en negro, algo de luz?

Saludos

simplemente te está indicando las opciones de uso del programa, tienes que darle las instrucciones para arrancarlo