ZyXel VMG1312-B10A [Usuario y Contraseña Administrador]

[D3M0N]

ZyXel VMG1312-B10A

Firmware version: 1.00(AADD.0)b7
MAC Address: EC:43:F6 / FC:F5:28

Ingreso administrativo: You are not allowed to view links. Register or Login
USUARIO: admin
PASS: CalVxePV1!
WPS: 98553853 (No viene activo por defecto y puede variar)

Al Iniciar por primera ves como modo administrador pide cambiar la contraseña por ende si no pueden ingresar la misma ya fue cambiada.

Imagenes:

Información Sobre los Cifrados:

Posiblemente se pueda crear un diccionario para atacar estos routers, por lo general y gracias a las contraseña que han sido dispuestas por usuarios las contraseña están compuestas por números y letras, con una cantidad de 10 dígitos, variando entre WEP y WPA, iniciando siempre con los valores 4241 o 4361 continuando con valores HEX. Ver Imagen:

NOTA: Esto es solo valido para Argentina.

[R4z0r]

Buenas, primero que nada me presento rápido, soy R4z0r (se pronuncia reysor ), de Rosario, Argentina, soy programador, y me encanta el Hacking y PenTesting desde hace muchos años.
Hace mucho sigo este foro por la gran información que aportan.

Bueno, hace unos días que vengo tratando de conseguir firmwares de diferentes routers, principalmente de Arnet, sin mucho éxito. Solo conseguí el del VMG1312-B10A, pero el original de Zyxel y no el modificado por Telecom.
En fin, estuve buscando imágenes (como las que aparecen en ML) para ver la etiqueta y conseguir datos "de fábrica" como la MAC, SSID, WPA-Key, etc., y encontré 3 de las diferentes variantes, B10A, B10B y B10E, y además hoy vi acá en el foro que un usuario le consiguió a otro el password de uno de estos.
Al revisar todos los datos encontré un patrón, el cual nos estaría brindando casi la mitad de la clave WPA, y si se cumple en todos los casos, reduciría el ataque por diccionario de casi 1,1 billones de posibilidades a solo cerca de 17 millones! 
Me explico mejor:

Código: php

MAC			SSID			WPA-Key		Modelo
                                   ABCD         AxBCxxDxxx
EC:43:F6:B3:24:FF	WiFi-Arnet-e7b5		E07BF05F5C	B10A	(MAC WiFi)
FC:5F:28:C4:CB:84	WiFi-Arnet-95bd		995BFCDC00	B10A
04:BF:6D:B6:7A:95	WiFi-Arnet-8f12		8AF14C2C10	B10B
B8:EC:A3:7C:CD:3E	WiFi-Arnet-97bf		9D7B3CF611	B10E

				   ABCD         AxBCxxDxxx
EC:43:F6:B3:24:FF	WiFi-Arnet-e7b5		Ex7Bxx5xxx	B10A	(MAC WiFi)
FC:5F:28:C4:CB:84	WiFi-Arnet-95bd		9x5BxxDxxx	B10A
04:BF:6D:B6:7A:95	WiFi-Arnet-8f12		8xF1xx2xxx	B10B
B8:EC:A3:7C:CD:3E	WiFi-Arnet-97bf		9x7BxxFxxx	B10E

Se ve que a los genios se les ocurrió darnos en la SSID 4 de los 10 dígitos hexadecimales de la WPA-Key.
Por eso decía lo de la reducción de tiempo de ataque, ya que con 10 dígitos de 16 posibilidades cada uno tenemos:

Código: php

16^10 = 1.099.511.627.776 de posibilidades diferentes

Pero ahora, solo necesitamos averiguar 6 dígitos, o sea:

Código: php

16^6 = 16.777.216 de posibilidades diferentes

Que se traduciría en que, en lugar de estar meses o años tratando de romper la contraseña, solo nos llevaría unos minutos con un buen GPU, o pocas horas en el peor de los casos.

Por acá cerca tengo un vecino que tiene uno de estos, pero todavía no pude sacarle el handshake para probarlo.
Apenas pueda aviso como me fue.

Salu2!

[R4z0r]

ACTUALIZACIÓN!!!

Le estaba por pedir permiso a mi vecino para sacarle el handshake y tratar de romperle la contraseña  , cuando me di cuenta que ya lo tenía, se ve que estaba guardardo y hoy cuando lo busqué no lo ví.
Bue, la cosa es que le pasé el hashcat con este patrón D?H43?H?H9?H?H?H y con mi modesta GPU llegando a un máximo de 36 KH/s, me iba a tomar poco más de 8 minutos revisar todas las combinaciones (casi 17 millones).
Por suerte para mi, en 1 min 2 seg estaba el cartelito "Cracked" y la clave!!!
Qué felicidad!!!


Ahora vuelve a haber WiFi-Arnet vulnerables!!! 
Mi próximo objetivo son los Technicolor TG582 (ADSL) y TG588 (VDSL)... 

Salu2! 

[n0b0dy]

funcionó para un Zytel.. alguna idea para un Huawei?? me aparece como "WiFi-Arnet-qhq6" mac (c8:94:bb:d6:ea:08)

[R4z0r]

funcionó para un Zytel.. alguna idea para un Huawei?? me aparece como "WiFi-Arnet-qhq6" mac (c8:94:bb:d6:ea:08)

Hola! Todavía no encontré nada para esos. Por lo que pude averiguar es un HG531s v1, tengo un cerca, pero ya probé varias cosas y nada, no es vulnerable a Pixie Dust, y tampoco hay un pin genérico conocido.
Por lo que pude averiguar las claves son alfanuméricas (solo mayúsculas) de 10 dígitos.
Se puede ver en la imagen de este post:
You are not allowed to view links. Register or Login
Lamentablemente tampoco he logrado conseguir el firmware para investigarlo.
Apenas averigüe algo más, aviso.

Salu2!

[Supehache]

Buenas, primero que nada me presento rápido, soy R4z0r (se pronuncia reysor ), de Rosario, Argentina, soy programador, y me encanta el Hacking y PenTesting desde hace muchos años.
Hace mucho sigo este foro por la gran información que aportan.

Bueno, hace unos días que vengo tratando de conseguir firmwares de diferentes routers, principalmente de Arnet, sin mucho éxito. Solo conseguí el del VMG1312-B10A, pero el original de Zyxel y no el modificado por Telecom.
En fin, estuve buscando imágenes (como las que aparecen en ML) para ver la etiqueta y conseguir datos "de fábrica" como la MAC, SSID, WPA-Key, etc., y encontré 3 de las diferentes variantes, B10A, B10B y B10E, y además hoy vi acá en el foro que un usuario le consiguió a otro el password de uno de estos.
Al revisar todos los datos encontré un patrón, el cual nos estaría brindando casi la mitad de la clave WPA, y si se cumple en todos los casos, reduciría el ataque por diccionario de casi 1.100 billones de posibilidades a solo cerca de 17 millones! 
Me explico mejor:

Código: php

MAC			SSID			WPA-Key		Modelo
                                   ABCD         AxBCxxDxxx
EC:43:F6:B3:24:FF	WiFi-Arnet-e7b5		E07BF05F5C	B10A	(MAC WiFi)
FC:5F:28:C4:CB:84	WiFi-Arnet-95bd		995BFCDC00	B10A
04:BF:6D:B6:7A:95	WiFi-Arnet-8f12		8AF14C2C10	B10B
B8:EC:A3:7C:CD:3E	WiFi-Arnet-97bf		9D7B3CF611	B10E

				   ABCD         AxBCxxDxxx
EC:43:F6:B3:24:FF	WiFi-Arnet-e7b5		Ex7Bxx5xxx	B10A	(MAC WiFi)
FC:5F:28:C4:CB:84	WiFi-Arnet-95bd		9x5BxxDxxx	B10A
04:BF:6D:B6:7A:95	WiFi-Arnet-8f12		8xF1xx2xxx	B10B
B8:EC:A3:7C:CD:3E	WiFi-Arnet-97bf		9x7BxxFxxx	B10E

Se ve que a los genios se les ocurrió darnos en la SSID 4 de los 10 dígitos hexadecimales de la WPA-Key.
Por eso decía lo de la reducción de tiempo de ataque, ya que con 10 dígitos de 16 posibilidades cada uno tenemos:

Código: php

16^10 = 1.099.511.627.776 de posibilidades diferentes

Pero ahora, solo necesitamos averiguar 6 dígitos, o sea:

Código: php

16^6 = 16.777.216 de posibilidades diferentes

Que se traduciría en que, en lugar de estar meses o años tratando de romper la contraseña, solo nos llevaría unos minutos con un buen GPU, o pocas horas en el peor de los casos.

Por acá cerca tengo un vecino que tiene uno de estos, pero todavía no pude sacarle el handshake para probarlo.
Apenas pueda aviso como me fue.

Salu2!

wow, felicitaciones y gracias!!!

[n0b0dy]

Hola! Todavía no encontré nada para esos. Por lo que pude averiguar es un HG531s v1, tengo un cerca, pero ya probé varias cosas y nada, no es vulnerable a Pixie Dust, y tampoco hay un pin genérico conocido.
Por lo que pude averiguar las claves son alfanuméricas (solo mayúsculas) de 10 dígitos.
Se puede ver en la imagen de este post:
You are not allowed to view links. Register or Login
Lamentablemente tampoco he logrado conseguir el firmware para investigarlo.
Apenas averigüe algo más, aviso.

Salu2!

Aca les adjunto unas fotos qe encontre en internet.. las estuve mirando pero soy medio bruto y no pude encontrar ningun patron ni nada parecido jajja..
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

[R4z0r]

wow, felicitaciones y gracias!!!

Gracias!

Aca les adjunto unas fotos qe encontre en internet.. las estuve mirando pero soy medio bruto y no pude encontrar ningun patron ni nada parecido jajja..
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Genial! Pero ojo que esas son imágenes del HG630, excepto la última, esa sí es de un HG531s, y es la única que pude conseguir yo, pero igual sirven, al menos para ese modelo, ya que no se si serán similares o no en cuanto a la generación de claves. Ya me las estoy descargando.
De todos modos te sugiero que inicies un nuevo hilo así no se mezcla con este que es solo del ZyXEL VMG1312.
Gracias por el aporte!

Salu2!

[Gordo]

Buenas, primero que nada me presento rápido, soy R4z0r (se pronuncia reysor ), de Rosario, Argentina, soy programador, y me encanta el Hacking y PenTesting desde hace muchos años.
Hace mucho sigo este foro por la gran información que aportan.

Bueno, hace unos días que vengo tratando de conseguir firmwares de diferentes routers, principalmente de Arnet, sin mucho éxito. Solo conseguí el del VMG1312-B10A, pero el original de Zyxel y no el modificado por Telecom.
En fin, estuve buscando imágenes (como las que aparecen en ML) para ver la etiqueta y conseguir datos "de fábrica" como la MAC, SSID, WPA-Key, etc., y encontré 3 de las diferentes variantes, B10A, B10B y B10E, y además hoy vi acá en el foro que un usuario le consiguió a otro el password de uno de estos.
Al revisar todos los datos encontré un patrón, el cual nos estaría brindando casi la mitad de la clave WPA, y si se cumple en todos los casos, reduciría el ataque por diccionario de casi 1.100 billones de posibilidades a solo cerca de 17 millones! 
Me explico mejor:

Código: php

MAC			SSID			WPA-Key		Modelo
                                   ABCD         AxBCxxDxxx
EC:43:F6:B3:24:FF	WiFi-Arnet-e7b5		E07BF05F5C	B10A	(MAC WiFi)
FC:5F:28:C4:CB:84	WiFi-Arnet-95bd		995BFCDC00	B10A
04:BF:6D:B6:7A:95	WiFi-Arnet-8f12		8AF14C2C10	B10B
B8:EC:A3:7C:CD:3E	WiFi-Arnet-97bf		9D7B3CF611	B10E

				   ABCD         AxBCxxDxxx
EC:43:F6:B3:24:FF	WiFi-Arnet-e7b5		Ex7Bxx5xxx	B10A	(MAC WiFi)
FC:5F:28:C4:CB:84	WiFi-Arnet-95bd		9x5BxxDxxx	B10A
04:BF:6D:B6:7A:95	WiFi-Arnet-8f12		8xF1xx2xxx	B10B
B8:EC:A3:7C:CD:3E	WiFi-Arnet-97bf		9x7BxxFxxx	B10E

Se ve que a los genios se les ocurrió darnos en la SSID 4 de los 10 dígitos hexadecimales de la WPA-Key.
Por eso decía lo de la reducción de tiempo de ataque, ya que con 10 dígitos de 16 posibilidades cada uno tenemos:

Código: php

16^10 = 1.099.511.627.776 de posibilidades diferentes

Pero ahora, solo necesitamos averiguar 6 dígitos, o sea:

Código: php

16^6 = 16.777.216 de posibilidades diferentes

Que se traduciría en que, en lugar de estar meses o años tratando de romper la contraseña, solo nos llevaría unos minutos con un buen GPU, o pocas horas en el peor de los casos.

Por acá cerca tengo un vecino que tiene uno de estos, pero todavía no pude sacarle el handshake para probarlo.
Apenas pueda aviso como me fue.

Salu2!

¡Muchas gracias por los aportes! ¡Excelentes!

El usuario sebabasa en You are not allowed to view links. Register or Login ya nos había introducido un poco, pero parece que nadie leyó ése tema desde la primera página.

Te faltó agregar los patrones de dirección MAC: 4C:9E:FF y 5C:F4:AB y 60:31:97, como routers que tienen el mismo algoritmo en la contraseña generada por defecto.

Me gustaría que nos puedas iluminar sobre: qué patrones comparten el mismo PIN WPS por defecto; en qué patrón de MAC el PIN WPS no cambia; en qué patrón el PIN WPS no se bloquea, y qué patrón es vulnerable a Reaver.
No soy programador, sólo entiendo muy poco, y me estoy perfeccionando por su gran ayuda.
Me encantaría poder ayudarte con los Technicolor y en otros routers que quieras, sólo que deberás indicarme lo que necesito, y yo luego buscaré cómo hacerlo así no te molesto mucho.
¡Muy agradecido, desde Loreto, Santiago Del Estero!

[Korelev]

Hola! Todavía no encontré nada para esos. Por lo que pude averiguar es un HG531s v1, tengo un cerca, pero ya probé varias cosas y nada, no es vulnerable a Pixie Dust, y tampoco hay un pin genérico conocido.
Por lo que pude averiguar las claves son alfanuméricas (solo mayúsculas) de 10 dígitos.
Se puede ver en la imagen de este post:
You are not allowed to view links. Register or Login
Lamentablemente tampoco he logrado conseguir el firmware para investigarlo.
Apenas averigüe algo más, aviso.

Salu2!

Tengo uno de estos a mano con el firm de arnet, si necesitas algo puedo ayudarte, supongo. Saludos!