Mac2WepKey
Es posible generar la WEP/WPA default de los módems Huawei modelos HG520 y HG530. El propósito de este post es explicar la forma en la que desarrollamos un generador para estos dispositivos. Los módems Huawei modelos HG520b y HG520c cuentan con un software para generar su contraseña WEP y SSID predeterminados a partir de su dirección MAC. El nombre de este software es mac2wepkey y se encuentra disponible en su interfaz de TELNET. Es posible cambiar la dirección MAC de nuestro módem para generar la WEP prederterminada de otro módem del cual conozcamos su dirección MAC.
Más información:
http://www.websec.mx/blog/ver/mac2wepkey_huawei
1. Desarrollo de un generador
de llaves inalámbricas default
para los módems Huawei.
Pedro Joaquín
pjoaquin@websec.mx
Humberto Ochoa:
hochoa@websec.mx
2. DISCLAIMER & DISCULPA
Está presentación y todo su contenido se
muestra con fines meramente
educativos. No nos responsabilizamos por
el mal uso que se le pueda dar así como
ustedes no se responsabilizan por darnos
malos dispositivos.
3. DISCLAIMER & DISCULPA
Está presentación y todo su contenido se
muestra con fines meramente
educativos. No nos responsabilizamos por
el mal uso que se le pueda dar así como
ustedes no se responsabilizan por darnos
malos dispositivos.
La investigación fue realizada por
Humberto Ochoa (hochoa@websec.mx).
4. DISCLAIMER & DISCULPA
Está presentación y todo su contenido se
muestra con fines meramente
educativos. No nos responsabilizamos por
el mal uso que se le pueda dar así como
ustedes no se responsabilizan por darnos
malos dispositivos.
La investigación fue realizada por
Humberto Ochoa (hochoa@websec.mx).
Perdón TELMEX :***
5. Huawei HG520 y HG530
Es posible generar la WEP/WPA default de los
módems Huawei modelos HG520 y HG530.
El objetivo de esta presentación es explicar la forma
en la que desarrollamos un generador para estos
dispositivos.
6. mac2wepkey
Los módems Huawei
modelos HG520b y
HG520c cuentan con un
software para generar su
contraseña WEP y SSID
predeterminados a partir
de su dirección MAC.
El nombre de este
software es mac2wepkey
y se encuentra disponible
en su interfaz de TELNET.
7. La WEP KEY default
La WEP toma
valores del 30 al
39 y del 61 al 66.
Estos valores
corresponden a
los números 1 al 9
y a las letras a-f
en codificación
ASCII.
8. El SSID y WEP Base
Cuando introducimos la MAC 00:00:00:00:00:00 obtenemos el
SSID Base (5aba) y WEP Base (6434376537).
Obtenemos 108 listas 12 posiciones de la MAC por 9 bytes del
SSID y WEP.
Utilizaremos este número para reducir la cantidad de listas
repetidas y optimizar el programa final.
10. Listas con XOR
De las 108 listas encontramos que existen 16 listas que se
repiten, que macaremos con la letra A (A1, A2, A3...) y 33
listas que no se repiten que marcamos con la letra N (N1,
N2...) para un total de 49 listas únicas.
11. El Patrón
Los renglones indican las listas que se utilizan
para obtener cada byte de la WEP.
El renglón 1 es la lista de listas necesarias para
obtener el primer byte de la WEP.
12. Ejemplo: 81:23:45:AB:CD:EF
Listas para obtener el primer carácter del SSID
de acuerdo a la posición de los bytes de la
MAC.
La lista SsidA contiene las listas necesarias
para obtener el primer carácter del SSID.
El primer byte de la MAC corresponde a la
lista N1.
8 1 2 3 4 5 A B C D E F
N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9SsidA:
MAC:
14. 8 1 2 3 4 5 A B C D E F
N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9SsidA:
MAC(x):
0 5 3 3 1 14 11 1 10 2 8 4
Valor
de la
lista:
15. 8 1 2 3 4 5 A B C D E F
N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9SsidA:
MAC(x):
0 5 3 3 1 14 11 1 10 2 8 4
Valor
de la
lista:
Se obtienen los valores correspondientes y se les aplica XOR agregando
un numero más que es el primer caracter de la base del SSID (5ABA).
50 5 3 3 1 14 11 1 10 2 8 4
16. 8 1 2 3 4 5 A B C D E F
N1 A4 A6 A1 A1 N2 A1 A4 A8 A2 A5 A9SsidA:
MAC(x):
0 5 3 3 1 14 11 1 10 2 8 4
Valor
de la
lista:
Se obtienen los valores correspondientes y se les aplica XOR agregando
un numero más que es el primer caracter de la base del SSID (5ABA).
50 5 3 3 1 14 11 1 10 2 8 4
Obtenemos de resultado: que viene siendo el primer
carácter del SSID.
Se repite este proceso para las 4 listas del SSID y obtenemos:
1 8 5 8SSID(x):
1
17. 8 1 2 3 4 5 A B C D E F
A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0WepA:
MAC(x):
10 14 0 14 7 4 8 13 0 13 8 0
Valor
de la
lista:
Se repite el proceso para WEP:
18. 8 1 2 3 4 5 A B C D E F
A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0WepA:
MAC(x):
10 14 0 14 7 4 8 13 0 13 8 0
Valor
de la
lista:
Se obtienen los valores correspondientes y se les aplica XOR
agregando el primer caracter de la base de la WEP (D4E7).
1310 14 0 14 7 4 8 13 0 13 8 0
Se repite el proceso para WEP:
19. 8 1 2 3 4 5 A B C D E F
A2 N1 A7 A8 A1 A5 A5 A2 A0 A1 A1 A0WepA:
MAC(x):
10 14 0 14 7 4 8 13 0 13 8 0
Valor
de la
lista:
Se obtienen los valores correspondientes y se les aplica XOR
agregando el primer caracter de la base de la WEP (D4E7).
1310 14 0 14 7 4 8 13 0 13 8 0
Obtenemos de resultado: que al pasarlo a ASCII nos da:
Se repite este proceso para las 5 listas de la WEP y obtenemos:
3 4 3 6WEP(x):
4
Se repite el proceso para WEP:
6 2 3 8 6 5
3 4
30. Desarrollo de un generador
de llaves inalámbricas default
para los módems Huawei.
Pedro Joaquín
pjoaquin@websec.mx
Humberto Ochoa:
hochoa@websec.mx