viernes, 27 de diciembre de 2013

Hacking WiFi - ZTE ZXHN H108N


Probablemente te hayas topado alguna vez con redes wifi con nombres como "WLAN_E3C2" o "WLAN_0A6E" o en general "WLAN_XXXX". Como seguro habrás sospechado, estos son nombres por defecto. Uno de los routers que asigna este tipo de nombres por defecto a su red inalámbrica es el "ZTE ZXHN H108N". Quizá existan otros modelos que asignen nombres con el mismo formato, pero en este post me referiré específicamente a ese modelo de ZTE.

Sucede que he encontrado algo similar a lo que hace la famosa herramienta "wlandecrypter" (http://www.seguridadwireless.net/) para adivinar la clave por default de la wifi de ciertos modelos de router. En mi caso, el modelo afectado es el ZTE que comentaba al inicio. En este modelo la contraseña WPA por defecto tiene el siguiente formato: 

ZA1B2C3D4E5F6

Donde "A1B2C3D4E5F6" es la dirección MAC de la interface ethernet del router. Es decir, NO es la MAC del AP (BSSID), que veríamos muy fácilmente con un "iwlist scan", sino la que veríamos si conectáramos directamente por cable con el router.

Una observación útil es que el nombre por defecto de la wifi también se forma con la MAC de la interfaz ethernet. De hecho si la red se llama "WLAN_XXXX", entonces "XXXX" se corresponde con los últimos 4 dígitos de la MAC. Así que, tan solo con ver el nombre de la red, ya tenemos los 4 últimos dígitos de la clave.

Otra observación interesante es que los primeros 6 dígitos de una dirección MAC conforman el "OUI" o "Identificador Único de Organización" y sirven para identificar al fabricante. Es decir, que los primeros 6 dígitos de la MAC son conocidos, puesto que sabemos que el fabricante es ZTE. Solo nos queda averiguar cuales son los OUIs registrados por ZTE. Pero esa información es pública y la podemos conseguir de aquí:

http://standards.ieee.org/develop/regauth/oui/oui.txt

Entonces hasta el momento tenemos lo siguiente:

CLAVE: ZA1B2C3D4E5F6

Siempre es Z
OUI de ZTE
Últimos 4 caracteres del SSID (Ej.: WLAN_E5F6)

Con lo que ya solo nos restan conocer 2 caracteres en hexadecimal, es decir 256 posibles combinaciones por cada OUI que conozcamos de ZTE. Esto es relativamente poco.

A todo esto, programé un sencillo script en python para generar un diccionario de posibles claves que ya luego podemos usar con aircrack para romper la clave de la wifi. En el script no están todos los OUI de ZTE sino que lo he optimizado un poco colocando únicamente aquellos OUI que se usan en el modelo ZXHN H108N.

ztedicc.py
#!/bin/python

import sys

zteOUI = ['02DC81', '262C21', '262C24', '262C4C', '2C26C5', '34E0CF', '404A03',
'8C86C5', 'A0EC80', 'A1EC81', 'DC016E', 'DC028E']


def main():
    if len(sys.argv) != 2:
        print "Uso: %s <ssid>" % (sys.argv[0])
        print "Ej.: %s WLAN_ABCD" % (sys.argv[0])
        exit(1)

    ssid = sys.argv[1]

    if ssid.index("WLAN_") != 0:
        print "La configuracion de la WiFi no parece estar por defecto :("
        exit(1)

    hexa = "0123456789ABCDEF"
    ends = ssid[-4:]
    for oui in zteOUI:
        for i in range(0, 16):
            for j in range(0, 16):
                print "Z%s%c%c%s" % (oui, hexa[i], hexa[j], ends)


if __name__ == "__main__":
    main()


Merry Christmas and Happy Hacking.

Un saludo.

Actualización:

He publicado un script mucho mejor que emplea patrones para deducir la MAC en lugar de generar un diccionario. Más info: http://blog.alguien.at/2014/01/hacking-wifi-zte-zxhn-h108n-parte-ii.html

51 comentarios:

  1. Siempre quise hacer esto.....me ganaste en publicarlo....

    ResponderEliminar
  2. Jajaja... no te preocupes, todavía hay otro mucho más fácil ;)

    Un saludo.

    ResponderEliminar
  3. Es Muy Simple el Encontrar la MAC de los ZTE en la OUI, No es Necesario Tener Un Generador de Diccionarios
    El Problema Son Los Routers Nucom R5000UNv2

    ResponderEliminar
  4. Hola Roamir, no entiendo como podrías saber la MAC o el OUI si previamente no se ha conectado al router. Ojo que la MAC que se necesita es la de la interfaz ethernet y no el BSSID.

    En el ZTE ZXV10 W300 no es necesario, porque tiene una forma similar de generar la clave pero la MAC que requieres es el BSSID y eso se consigue fácil. Pero ese es otro modelo.

    Un saludo.

    ResponderEliminar
  5. Bueno es muy Simple...

    Pero Hagamos Una Prueba

    Pasame Una Mac Falsa de Este Router y Yo Te Dire Cual es La MAC Verdadera

    Aver Si Estoy en lo Correcto

    ResponderEliminar
  6. Hola Roamir

    Vaya no me había puesto a analizar la relación entre la MAC ethernet y la wifi. Pero tienes razón no es necesario un bruteforce por diccionario. Ya encontré la relación :)

    Gracias por la observación, prepararé una actualización del post y del script para incluir esto.

    Un saludo.

    ResponderEliminar
  7. En cualquier caso, esta es una MAC de la interface wlan de este router "F8:ED:80:18:2D:F1" quizá te refieres a algo diferente...

    ResponderEliminar
  8. Casi, solo falló el último octeto. La MAC era "A0:EC:80:18:2D:E8".

    Un saludo.

    ResponderEliminar
  9. xD...
    Era Obvio que los 2 ultimos pares estaban dados por el nombre de la red wifi
    en tu caso seria WLAN_2DE8
    Asi Que Corrigiendo Sería:
    A0:EC:80:18:2D:E8

    ResponderEliminar
    Respuestas
    1. si se dan cuenta solo cambian los 2 primeros pares , lo demas te vota el mismo router en este caso F8:ED:80:18:2D:F1 solo eliminamos los 2 primeros pares y reempalzamos por el A0EC SEGUIDO DE TODO LO DE MAS con los ultimos 4 pares del nombre wlan_xxxx, ya ya tienes la mac:A0EC80182DE8 y al inicio solo pones la letra con mayuscula de la marca del router sera la letra Z seguida de la mac , saludosss, ah les dejo una aplicacion para android te muestra las direcciones mac,marcas de router ,canal etc.muy bueno lo uso para conectarme a algunas redes de casa les dejo el link para k lo descarguen y lo pongan a su android : http://adf.ly/mpV7B ,saludos me pueden agregar para cualkier cosa mi correo : walter_libra21@hotmail.com con lo mismo para el facebook, saludosssssssss

      Eliminar
  10. Si pues, eso es lo de menos... xD

    Pero también hay una diferencia constante de 9 entre los últimos octetos de las MACs. Así que incluso si cambiaran el nombre por default de la red se podría calcular el password default.

    Aún estoy reuniendo datos para verificar con mayor seguridad la relación entre las MACs, creo que eso se va a merecer un nuevo post :P

    Un saludo.

    ResponderEliminar
  11. Respuestas
    1. Hola Nilson... que ya se me acabaron las vacaciones hombre xD Apenas tenga tiempo lo haré :)

      Un saludo.

      Eliminar
    2. muchas gracias hombre sigue ofreciendonos tus aportes eres un capo ..! saludos :)

      Eliminar
  12. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar
    Respuestas
    1. Este comentario ha sido eliminado por un administrador del blog.

      Eliminar
  13. Ayudenme con esta mac por favor
    D8-5B-33-1B-DA-91

    ResponderEliminar
  14. Buenas hay mac k cuando uno consulta dice mac invalid

    ResponderEliminar
    Respuestas
    1. Hola, si puedes deja la MAC para comprender mejor que está fallando...

      Un saludo.

      Eliminar
  15. Wlan_624E mac a4:c2:4d:ad:92:8c ..y como saber tb de k marca es( tplink,zte,huaei)

    ResponderEliminar
  16. sera pk esa oui es de los nuevos modem ....mac camuflada,,,,como saber su verdadero mac de esos modem

    ResponderEliminar
  17. hola; me gustaría que me ayudarais con esta wifi nueva de JAZZTEL_XRTy
    con MAC:A0:EC:80:48:2C:CE el router es nuevo ZTE y la seguridad es RSNA-PSK CCMP espero que os sirva de algo, gracias

    ResponderEliminar
  18. Hola, Jazztel no es proveedor de servicios por este lado del mundo, así que no estoy seguro si te refieres al mismo modelo de router. Según veo por la MAC podría ser el mismo modelo, la clave default sería ZA0EC80482CCE.

    Un saludo.

    ResponderEliminar
  19. gracias ya me ice con ella, os dejo los detalles"wifi nueva de JAZZTEL_XRTy
    con MAC:A0:EC:80:48:2C:CE ZTE, ZXHN H298N es un router neutro que está instalando Jazztel a sus clientes de fibra la contraseña wap2 es de 12 caracteres 09-az, nada que ver con el algoritmo que decís, suerte. por cierto 50 megasssss

    ResponderEliminar
    Respuestas
    1. ¿Cómo lo conseguiste? Yo lo lo he intentado con esta pero no soy capaz, ¿quien me puede ayudar?
      ESSID JAZZTEL_xa6v
      BSSID cc:7b:35:13:ec:44

      Eliminar
  20. Y si el nombre WLAN_XXXX fue cambiado? cual seria la forma mas facil de descubrir los 4 ultimos digitos? REAVER? o me sugieren algo mas? y q MAC saldria de este muchachon ZTE EC:43:F5:53:3F:6E

    ResponderEliminar
    Respuestas
    1. aunque no estoy 100% seguro de que sea un ZTE

      Eliminar
    2. Para esta Red: WLAN_9744
      A8:3C:2E:AD:11:45
      Cual seria???

      Eliminar
  21. Excelente aporte, y comprobado con mi propio router:
    ESSID: F8:7F:35:B9:CF:B1
    MAC: CC:7B:35:B9:CF:A8
    por lo tanto la contraseña por defecto es: ZCC7B35B9CFA8
    Yo creí que con los valores por defecto estaba seguro (en especial la contraseña), bueno entonces ahora queda cambiar la SSID y la contraseña :-D.

    ResponderEliminar
  22. ¿Cómo lo conseguiste? Yo lo lo he intentado con esta pero no soy capaz, ¿quien me puede ayudar?
    ESSID JAZZTEL_xa6v
    BSSID cc:7b:35:13:ec:44

    Gracias

    ResponderEliminar
  23. Hola tengo una SSID: WLAN_06B0
    pero no tengo más datos. alguien que me pueda ayudar a revelar la clave por favor, o cómo encuentro la MAC porque con esa MAC recién podré entrar.

    ResponderEliminar
  24. hola amigo y de esta cual seria??
    90:F6:52:FF:6D:54

    ResponderEliminar
    Respuestas
    1. TPLINK LA MAC ES LA MISMA AGREGA LA T ADELANTE Y EL NOMBRE DE LA LANK
      T90F652.....

      Eliminar
  25. Hola, tengo problemas para saber sobre esta MAC: F8:8E:85:16:CE:2C
    el nombre del router o wifi es un nombre personal, no hay mas datos.
    Como puedo saber más para entrar.
    Gracias y gran trabajo.

    ResponderEliminar
  26. HOLA AMIGOS .... TENGO ESTA MAC 00:26:ED:62:18:27, QUISIERA SABER QUIEN ES EL FABRICANTE del router, o decifrante su verdadero Mac, de ante mano los agradesco bastante

    ResponderEliminar
  27. HOLA AMIGOS .... TENGO ESTA RED: WLAN_1827, Y SU POSIBLE MAC ES 00:26:ED:62:18:27, QUISIERA SABER QUIEN ES EL FABRICANTE del router, o decifrante su verdadero Mac, de ante mano los agradesco bastante.

    ResponderEliminar
  28. hola rodos por favor si alguien sabe mac verdadera se lo voa agradecer bastante

    56-B9-33-63-0F-4B


    ResponderEliminar
  29. ALGUIEN,POR LLAMARTE ALGO,,SE Q NO TIENES MUCHO TIEMPO,PERO PODRIAS CONTESTAR A LOS PV Q TIENES EN WEB,Y DECIR POR LO MENOS ALGO COMO:NO PUEDO ATENDEROS ,,,ETC,,
    estas cosas me desbordan, por q teneis menos palabra q una mielda,,
    a si me siento yo, y miles como yo q te preguntan,perdemos tiempo y tu ,,,,
    saludos

    ResponderEliminar
    Respuestas
    1. Hola, gracias a tu insistencia me he animado a escribir este post:

      http://blog.alguien.site/2016/03/alguien-que-nunca-responde.html

      Si no respondo, no es por mal educado. Para mi es tanto o más decepcionante recibir comentarios de ese tipo como para el que comenta lo es el no obtener respuesta.

      Un saludo.

      Eliminar
  30. Hola.. Me podrias decir el pass de esta? WLAN_7D00 mac 146080967D00 de ante mano gracias

    ResponderEliminar
  31. Hola.. Me podrias decir el pass de esta? WLAN_7D00 mac 146080967D00 de ante mano gracias

    ResponderEliminar
  32. amigo ayudame con este WLAN_6140
    MAC: e04136846142

    vendor: UNKNOWN

    ResponderEliminar
  33. QUE TAL AMIGO UN FABOR TENGO ESTA BSSID QUE NO LOGRO SACARLA,

    90:48:9A:B0:C3:00 ME SALE QUE ES HON HAIN PRESICION

    ResponderEliminar
  34. DISCULPA ES LA MACC 90:48:9A:B0:C3:00

    DEBERIA SER H90489AB0XXXX -- WLAN_XXXX ???

    ???? AGRADECERIA TU RESPUESTA .

    ResponderEliminar
  35. Hola chicos lio con esta mac Jazztel_QHbq bssid f4b8a7f593ee, ayuda please

    ResponderEliminar
  36. Hola amigos ayuda busco la contraseña el fabricante es Zte corporation
    BSSID 78:96:82:6D:E5:49
    MAC emcali_1198
    AGRADECERA SUS RESPUESTAS MUCHAS GRACIAS

    ResponderEliminar
  37. Hola amigos ayuda busco la contraseña el fabricante es Zte corporation
    BSSID 78:96:82:6D:E5:49
    MAC emcali_1198
    AGRADECERA SUS RESPUESTAS MUCHAS GRACIAS

    ResponderEliminar