GVT / VIVO

[jcldf]

Roteadores Arcadyan disponibilizados principalmente pela VIVO / GVT utilizam como nome padrão GVT-XXXX ou VIVO-XXXX XXXX = 4 últimos dígitos do MAC A WPA2 padrão desses roteadores é o S/N .

Ideia: entender como o serial number dos roteadores arcadyan Modelo VRV7006AW22-A-GR são gerados. Objetivo: através do entendimento do S/N gerar uma tabela e anexar ao software. Update: O modelo VRV7006AW22-A-GR possui um padrão observado: As 4 primeiras posições da senha vão de J400 à J653. J4 - J6 = ano de fabricação 00 - 53 = a semana da fabricação Os outros 6 componentes da senha são números, encurtando bastante uma possível wordlist.

[caioluders]

Do caralho man ! Tu ja tentou checar se esses números batem com algum outro dado , tipo o int(BBSID) ? Ou algo do gênero usando os hexas do MAC ?

[jcldf]

eheheh vou checar essa possibilidade, mas até então foi isso q descobri =)

[lorrangarcia]

Segue a minha contribuição. O meu modem da GVT é um Opticom DSlink 477-M1.

O SSID da rede Wi-fi padrão é : GVT-E938 A Senha WPA2 da rede é : 13C0104805

Olhando o MAC do modem, tenho o seguinte padrão, onde os 4 últimos caracteres são o SSID da rede:

Já pelo numero de série, temos que os últimos 10 caracteres são a senha da rede:

Quanto a senha de acesso ao modem, não consta nenhuma informação na etiqueta do modem, estando setado o user e senha padrão da GVT.

Usuário : Admin Senha : gvt12345

[jcldf]

poderíamos gerar uma wordlist baseada em cada modelo

[lorrangarcia]

Sim, creio eu que seja esse o caminho para os modens da GVT... Ao contrário dos modens da NET, cuja senha é o próprio MAC do dispositivo que pode ser obtido escutando as redes wireless disponíveis...

Ainda assim, mesmo para os modens da GVT onde o MAC não é utilizado como senha da rede, obter o MAC completo pode ser utul para consultar uma base de dados de fabricantes de modems. De posse desta informação, testaríamos o número de série conforme o padrão que for identificado.

Vou ver se consigo adicionar mais modems aqui... Tenho vizinhos que possuem GVT/Vivo também.

Outro ponto, acho que utilizar uma wordlist externa ao script talvez nao fique tão "bonito", a menos que o proprio script já crie a wordlist focada no modem que se deseja "atacar" e então utilize ela.

Não sou bom de programação, mas acho que esse script portado para linux e atuando em conjunto com as ferramentas da suite Aircrack-ng ia ficar show de bola...

[caioluders]

Oi povo , eu vou fazer uns testes com o aircrack-ng e acho que vai ser bem rápido pra crackear , pelo que eu vi é WPA .

Quanto checar o MAC com o fabricante pra identificar como é o padrão de senhas , acho que não tem nenhum lugar pra checar isso , a gente ia ter que fazer essa "tabela" . Dá pra gerar a wordlist dentro do script dependendo do modem , não é nada de mais .

Tô meio sem tempo essa semana devido as provas da universidade. No final de semana eu toco o projeto , valeu galera (:

[jcldf]

Caio q eu me lembre existia um pacote para instalar no aircrack q consultava uma base de dados de MAC / Vendor e te mostrava qual roteador vc estava tentando atacar... estou pesquisando aqui pois não lembro como fiz para habilitar essa função...

ps: lembrei é o parâmetro --manufacturer mas acho q não reconhece tão bem ehehhe

[caioluders]

Tô estudando redes , dai li que quem controla os MAC é a IEEE que vende cada espaço de MACs pro VENDOR , anyway , achei isso http://macvendorlookup.com/

[jcldf]

sim sim eheheh lembro desse site... legal é q tem uma api inclusive

[jairosobrinho]

ola pessoal, descobriram algo ? enfim achei pessoas que já pensaram igual a mim kkkkk

[dmbessa]

Oi pessoal, boa noite. Tivemos alguma novidade no tema?

[jonasricardo]

Para os modens arcadyan não é necessário wordlist. Esse modem informa seu número de série nos pacotes do WiFi. Descobri depois de tentar várias coisas pra buscar essa senha padrão, e por acaso achei essa informação no wireshark. Não é necessário estar autenticado a rede para descobrir essa informação. Amanhã posto aqui os filtros necessários

[jonasricardo]

no wireshark com a interface em modo monitor executar a captura de pacotes com o seguinte filtro "wlan.fc.type_subtype eq 5" (mostrará apenas probe response). A informação fica na chave "Serial Number"

Apenas modens arcadyan possuem essa vulnerabilidade.

[NyyxStyle]

@jonasricardo Representou agora xD

[dmbessa]

Que veneno eheheh

[nwrox]

@jonasricardo testei essa técnica no Sagemcom Fast 5350 e funcionou, a senha do wifi é composta pelos últimos 10 caracteres do serial.

[caioluders]

Belo achado @jonasricardo , vou tentar pensar em uma forma de criar plugins para o programa para qualquer um conseguir adicionar uma forma de autenticar. Se poder me dar mais detalhes sobre o processo , posso tentar automatizar esse processo e adicionar no código (:

[jcldf]

tbm fiz uns testes por aqui, aparentemente o serial esta ali entretanto acredito q a senha (no meu caso) tenha sido trocada :)

[valessiobrito]

Sei não, acho que os novos modens já não publicam o serial assim; Fiz um teste agora e recebi o mesmo número do @jcldf - 123456789012347

Mesmo filtrando para listar outros, wps.serial_number != "123456789012347" também estão como 1234. :/

[jcldf]

opa pode ser isso então man! :) sinceramente achei estranho um serial sequencial nesse estilo ehehhe

---

Prof. Me. Julio Della Flora

facebook.com/juliodellaflorahttps://www.facebook.com/juliodellaflorahttps://www.facebook.com/juliodellaflora @jcldf

[1500734667257_nnTN1jpe-kV96W1VfM8tiGyBoDT1vz5Clg.png]https://www.linkedin.com/in/juliodellaflora/

---

De: Valessio Soares de Brito notifications@github.com Enviado: quarta-feira, 10 de janeiro de 2018 12:57 Para: caioluders/Default-Password-Wifi-Owner Cc: Julio Della Flora; Mention Assunto: Re: [caioluders/Default-Password-Wifi-Owner] GVT / VIVO (#4)

Sei não, acho que os novos modens já não publicam o serial assim; Fiz um teste agora e recebi o mesmo número do @jcldfhttps://github.com/jcldf - 123456789012347

[captura de tela de 2018-01-10 12-39-14]https://user-images.githubusercontent.com/310049/34778451-7f013264-f604-11e7-8188-df7e023d05e8.png

Mesmo filtrando para listar outros, wps.serial_number != "123456789012347" também estão como 1234. :/

[captura de tela de 2018-01-10 12-55-48]https://user-images.githubusercontent.com/310049/34778889-cb400ad2-f605-11e7-8525-960ac63b893b.png

— You are receiving this because you were mentioned. Reply to this email directly, view it on GitHubhttps://github.com/caioluders/Default-Password-Wifi-Owner/issues/4#issuecomment-356626968, or mute the threadhttps://github.com/notifications/unsubscribe-auth/ATwU9SdIN1QnkbXa1th3Grr25PQjfvP3ks5tJM_zgaJpZM4LCr1e.

[jonasricardo]

@valessiobrito e @jcldf fiz os testes em alguns modens arcadyan aqui do condomínio. em outros fabricantes. O colega @nwrox fez o teste em um Sagemcom e funcionou também. Aqui também tem modems Broadcom e eles ficam com serial number 1234 mesmo, quando tiver tempo e aranjar um notebook, faço os meus testes em um desktop, vejo se consigo fazer alguma coisa para descobrir a senha

[pedrolemoz]

Galerinha, vocês são demais, me inspiraram a ir atrás e eu tive resultados. Eu tinha descoberto essa vulnerabilidade no ano passado, mas foi a do endereço MAC nos MitraStar e alguns outros. Depois descobri a dos Arcadyan, que é o número de série. Pra eles, não é necessário o Wireshark, com um dispositivo Android ou mesmo com Windows, é possível ver. No Android, eu usei o Wi-Fi Warden pra obter o serial, uma função que foi implementada há pouco tempo. É necessário acesso root pra isso, mas creio não ser problema pra vocês. No Windows, eu usei o Dumpper, ele é capaz de me dar essas informações. Aliás, funcionou para Arcadyan e Sagemcom. O número de série que obtive do Sagemcom foi LU1530903002520, e a senha são os últimos 10 caracteres, como de costume. Agora, eu tento descobrir o dos Arris, e já sei que é o número de série também, mas quero conseguir obtê-lo, ou calcular ele baseado no MAC do dispositivo. Alguém tem alguma ideia? Ah, só pra complementar, os TP-Link da GVT também usam o serial como senha. Eu tive um, e a senha era S1F4543947. Não tenho mais o roteador, porém me recordo disso. Se bem que pra maioria dos roteadores D-Link/TP-Link, um ataque WPS é o suficiente haha. Mas é isso aí pessoal, espero que consigamos desvendar essas senhas padronizadas dos roteadores

[jonasricardo]

fala ai. Modens mitraStar = 10 ultimos caracteres do MAC, letras em aiúsculo ex: MAC = ac:c6:62:3f:5e:71 Senha: C6623F5E71

[Alesandro1313]

Opa lendo esse artigo sobre as senhas vivo gvt o amigo jonasricardo ta certo as senhas da vivo padrão seria tirar os dois primeiros numeros do MAC eo que sobrar sem pontos em maiúsculo seria senha padrão vivo tenho uns 4 wifi que uso sem esforço para quebrar as senhas.... Mas o que preciso seria a senha do roteador vivo que por padrão seria minúsculo e oito digitos e sao numero e letras alguma dica se tem um padão relacionado número de seria ou alguma wordlist disponivel ja tentei quebar criando umas words mas sem sucesso. alguma dica ???

[s3kh]

Galera, tbm to nessa missão de descobrir os S/N dos roteadores da GVT.... quaisquer avanços posto aqui.

[Nandocrunch]

Pessoal, existe um padrão nas senhas de 10 numeros da GVT E VIVO que é a seguinte: A senha começa com 0 e no meio da senha tem mais dois numero 0 Ex: 0@@@00@@@@ Ja rodei wordlist no kali com o crunch e funcionou em varias redes

[Alesandro1313]

Boa noite entendi que as senhas iniciam com 0 ai são trẽs números mais dois 0 e 4 números??? tem algum modelo real pra mostrar? E quanto a senha dos roteadores vivos alguma novidade modelos mitrastar...

2018-04-10 16:55 GMT-03:00 Nandocrunch notifications@github.com:

Pessoal, existe um padrão nas senhas de 10 numeros da GVT E VIVO que é a seguinte: A senha começa com 0 e no meio da senha tem mais dois numero 0 Ex: 0@@@00 https://github.com/00@@@@ Ja rodei wordlist no kali com o crunch e funcionou em varias redes

— You are receiving this because you commented. Reply to this email directly, view it on GitHub https://github.com/caioluders/Default-Password-Wifi-Owner/issues/4#issuecomment-380226777, or mute the thread https://github.com/notifications/unsubscribe-auth/AiV4aYIGu8ZiJRvht8wjQn1_X0Ejv32rks5tnQ5DgaJpZM4LCr1e .

[Nandocrunch]

Sim é isso mesmo ! Infelizmenete não tenho o modelo pra mostrar mas ja fiz alguns teste rodando a wordlist no crunch com o comando

$> crunch 10 10 0123456789 -t 0@@@00@@@@ -o /seudiretorio/wordlist.txt e deu certo pra me em algumas tentativas

[Alesandro1313]

Entendi eu gostaria de uma worlist compacta de 8 8 0-9 a-z para quebrar senhas de roteadores vivo teracom ou mitrastar,apesar deles não valerem nada...ou poderia ser uma maneira melhor e eficiente para tal ataque estou rodando com hydra e kill router.

2018-04-13 17:07 GMT-03:00 Nandocrunch notifications@github.com:

Sim é isso mesmo ! Infelizmenete não tenho o modelo pra mostrar mas ja fiz alguns teste rodando a wordlist no crunch com o comando

$> crunch 10 10 0123456789 -t 0@@@00 https://github.com/00@@@@ -o /seudiretorio/wordlist.txt e deu certo pra me em algumas tentativas

— You are receiving this because you commented. Reply to this email directly, view it on GitHub https://github.com/caioluders/Default-Password-Wifi-Owner/issues/4#issuecomment-381247432, or mute the thread https://github.com/notifications/unsubscribe-auth/AiV4adDvOau_6wb-UI4oNURHGXukjfltks5toQVngaJpZM4LCr1e .

[soquervrau]

A melhor maneira é fazendo a quebra de senha pelo hashcat, utilizando a placa de vídeo. Consegui fazer 50k de tentativas por segundo com uma placa mediana.

GVT/VIVO tem vários padrões de senha. Consegui quebrar duas. d = Números H = Números & Letras : A-F u = Letras : A-Z

na 1º tentativa, utilizei uma máscara redigida por 10 números : ?d?d?d?d?d?d?d?d?d?d (demorou 2 dias).

na 2º tentatva, utilizei uma máscara conjunta, de letras e números, 0-9 e de A-F : ?H?H?H?H?H?H?H?H?H?H (levou 98 dias).

e na 3º tentativa, pesquisei padrões de senha, para saber qual posição encontram-se as letras na maioria da vezes. Nesse caso utilizei uma máscara mesclada de 0-9 e de A-Z : ?u?d?d?d?u?d?d?d?d?d (Não lembro do tempo, mas demorou pra kct).

Espero ter ajudado.

[Alesandro1313]

senhas vivo gvt não será uma mesclado do ssid com os números mac por aqui os vivos que encontro as senhas são numeros mac maiúsculas o exemplo (VIVO-7B65 o MAC seria A1:A2:A3:A4:7B:65 a senha são 10 dígitos em letras maiúsculas >>>A2A3A47B65<<< lembrando que o endereço MAC pode sofrer alteração no último digíto como poderia ser 4 no lugar de 5 mas prevalece o final do ssid ou seja o 5......

espero colaborar se não entenderem posso mandar um print...Até breve.

Em 26 de abril de 2018 08:45, soquervrau notifications@github.com escreveu:

A melhor maneira é fazendo a quebra de senha pelo hashcat, utilizando a placa de vídeo. Consegui fazer 50k de tentativas por segundo com uma placa mediana.

GVT/VIVO tem vários padrões de senha. Consegui quebrar duas. d = Números H = Números & Letras : A-F u = Letras : A-Z

na 1º tentativa, utilizei uma máscara redigida por 10 números : ?d?d?d?d?d?d?d?d?d?d (demorou 2 dias).

na 2º tentatva, utilizei uma máscara conjunta, de letras e números, 0-9 e de A-F : ?H?H?H?H?H?H?H?H?H?H (levou 98 dias).

e na 3º tentativa, pesquisei padrões de senha, para saber qual posição encontram-se as letras na maioria da vezes. Nesse caso utilizei uma máscara mesclada de 0-9 e de A-Z : ?u?d?d?d?u?d?d?d?d?d (Não lembro do tempo, mas demorou pra kct).

Espero ter ajudado.

— You are receiving this because you commented. Reply to this email directly, view it on GitHub https://github.com/caioluders/Default-Password-Wifi-Owner/issues/4#issuecomment-384611176, or mute the thread https://github.com/notifications/unsubscribe-auth/AiV4aROMu_DKQ49zOPQBdIYII6mabTjcks5tsbNygaJpZM4LCr1e .

[jonasricardo]

@soquervrau e @Alesandro1313 nem sempre ataque de força bruta são mais adequados para todas as situações, sugiro ler todos os tópicos. Aqui já falamos sobre quais são os padrões de senhas informando até o modelo dos modens

[Alesandro1313]

jonasricardo sim já havia lido sobre o assunto,estou interessado em saber se tem algum padrão para a senha dos roteadores vivo de 8 dígito modelos mitrastar,teracom etc.

[NatanMalta]

Aqui na minha cidade a unica operadora de banda larga é a vivo, já tinha descoberto esse lance da senha padrão ser o MAC do roteador sabendo disso, peguei meu Notebook liguei o airodump-ng -w e fiz um Script em python para ele filtrar apenas os ssid e bssid da VIVO- . É eu na casa da minha vó, e voltei de carro com o Notebook no airodump-ng, em um percurso de 10m consegui 50 senhas de redes Wi-Fi (aqui na cidade só tem "TERACOM" MitraStar"

Nome Senha +---------------------+ |VIVO-A56C 33D710A56C| |VIVO-BDA0 C662F7BDA0| |VIVO-1B54 5760691B54| |VIVO-D024 C66239D024| |VIVO-90F7 C9D3A990F7| |VIVO-A9E4 C662F9A9E4| |VIVO-634D 04DF04634D| |VIVO-F4F9 04DFFBF4F9| |VIVO-6C29 04DFF16C29| |VIVO-0A18 5760570A18| |VIVO-3E48 C662F43E48| |VIVO-9D50 C6627D9D50| |VIVO-A66D 04DF44A66D| |VIVO-D300 C66280D300| |VIVO-4680 C662594680| |VIVO-928B C9D3A9928B| |VIVO-BF1C 576000BF1C| |VIVO-6FAC 97D1EB6FAC| |VIVO-918C C6627F918C| |VIVO-7F01 C9D3A97F01| |VIVO-4C9C C662D34C9C| |VIVO-8E78 5760488E78| |VIVO-8FB0 C662708FB0| |VIVO-3ED8 C662073ED8| |VIVO-C504 C662B5C504| |VIVO-59FC 97D1F859FC| |VIVO-F094 33D703F094| |VIVO-AEC1 04DFF5AEC1| |VIVO-C3AC C662B5C3AC| |VIVO-525D 04DF4C525D| |VIVO-ED90 97D1EEED90| |VIVO-0D9C C662B10D9C| |VIVO-6430 C662226430| |VIVO-B318 576001B318| |VIVO-C003 C9D39AC003| |VIVO-3148 C662253148| |VIVO-A9C8 C662F9A9C8| |VIVO-91C8 C6627091C8| |VIVO-8E5C C6628C8E5C| |VIVO-DEE8 576046DEE8| |VIVO-B302 C9D3A7B302| |VIVO-CFB4 C6622CCFB4| |VIVO-A4C4 33D710A4C4| |VIVO-0524 57605D0524| |VIVO-70F4 C6625970F4| |VIVO-2BC0 C6623B2BC0| |VIVO-3B64 5760123B64| |VIVO-33EC A6F7BB33EC| |VIVO-E590 C6627FE590| |VIVO-7D60 C6627D7D60| |VIVO-D35C C66280D35C| |VIVO-FB40 C662B0FB40| +---------------------+

[nwrox]

@FAKEMAN0 é possível compartilhar esse script?

[NatanMalta]

@nwrox É sim coloquei ele no meu perfil aqui no github (primeira vez que eu faço isso, acho que não fiz da maneira correta mas da para ver o script )

[edivancarvalho]

passa o link ai mano do script.

[carlosafw]

Aqui na minha cidade o padrão para as redes com nome no formato VIVO-???? é bem simples... A partir do segundo hexa do BSSID, apenas remover os separadores. Exemplo: a rede VIVO-5CD0 com o BSSID AC:C6:62:ED:5C:D0 tem como senha padrão C662ED5CD0. Também é possível reparar como o ESSID da rede é gerado unindo os dois últimos hexas. Testado em umas 5 redes diferentes. Não sei o quão dependente é de modelo de modem por que já ví em mais de um.

[lcharles123]

Hey pessoal, sobre as senhas padroes que sao partes do números de série, que tal reunirmos uns números junto com o modelo do modem para identificar um padrão? veja so, o numero de senhas em 10 casas com 36 possibilidades cada dá 10^36 Que é impossivel de testar em tempo humano. mas se descobrirmos um padrao baseado no modelo, como por exemplo, tenho um dlink dsl-2740e que é da GVT e tem como características: MAC EC:22:80:4F:8B:1B S/N QX4S1E6556328 nome padrao da rede GVT-8B1C senha S1E6556328

se supormos que roteadores dessa marca possuem o mesmo padrão de números de serie, então podemos montar a lista seguindo o criterio S1E6556328 1 possibilidades para o primeiro algarismo, 10 para o segundo, 1 para o terceiro e por aí vai 1 10 1*10^7 que já é da ordem de 10^8, que é uma redução enorme se comparado a testar todas eu consigo testar todas essas possibilidades em menos de 3 dias

[goncalo01]

Boas eu sou de Portugal e também já tinha reparado nesta vulnerabilidade nos routers daqui estava a tentar encontrar alguém que me ajudasse a explora-la, a falha e a seguinte a chave da senha do wi-fi é d86ce9f42b64 - o 2b64 estão presentes no ssid, a d8ce9 é possível achar na net porque vem é a parte do fabricante do mac adress , sendo assim faltam só os números f4 que acreditam que sejam os dois números hexadecimais, gostava que alguém me pudesse ajudar aqui e podessemos tentar achar alguma solução

[carlosafw]

@goncalo01 O bruteforce tá facinho nesse caso aí, assumindo que vc sempre saiba os primeiros 6 chars

[jonasricardo]

@goncalo01 se você usa linux pode usar o crunch para gerar uma wordlist:

$ crunch 12 12 1234567890abcdef -t d8ce9@@2b64 -o /tmp/wordlist.txt

Esse comando ira substituir os sinais de @ por 1234567890abcdef, fazendo todas as possibilidades. depois é só utilizar o arquivo gerado no ataque.

[jairosobrinho]

Nesse caso a lista iria ficar muito grande, melhor gerar e ir tentando ao mesmo tempo assim não precisa ter tanto espaço em disco !

[goncalo01]

O problema e que nem sempre sei os 6 primeiros chars, eles estão disponíveis na net podemos ver aqui neste site aqui http://www.adminsub.net/mac-address-finder/sagemcom , mas assim iria aumentar o tempo que levaria a fazer buteforce ... , Acho que outras operadoras pelo menos a dois maiores também tem este tipo de vulnerabilidade no router deles. Desde já a todos que ajudaram e pela rapidez a responder , abraços de Portugal

[jonasricardo]

pode usar um app de celular (telemovel em portugal) para verificar o mac Utilizo o wifi Analyzer (https://play.google.com/store/apps/details?id=com.farproc.wifi.analyzer). Pode-se pegar também dentro do aircrack-ng

[BlackFoxWalker]

Atualmente estou tentando encontrar algum padrao nas senhas de admin no site de configuracao dos roteadores da mitrastar

[lcharles123]

Achei um padrão de senha de wifi para os mitrastar com mac AC:C6:62:... geralmente com o nome da rede: FIBRA-XXXX a senha é o serial que começa com 0Zdddddddd onde a sequencia de d's é formada por caracteres numéricos sendo a maioria zeros, dessa forma a senha se reduz a uma força bruta em 8 dígitos numéricos, no máximo 3 dias pra achar.

[jonasricardo]

@ipfscience qual o fabricante desse moden?

[caioluders]

Galera , to atualizando a ferramenta e adicionando um sistema de plugins. Já que não consigo testar todos os métodos que vocês listaram aqui, cada pessoa pode criar um script simples em python para automatizar o processo que descobriram. Coloquei no README o formato esperado do plugin e já fiz dois plugins que vocês podem usar de base para fazer o de vocês, depois é só dar um Pull Request no repositório para eu adicionar o plugin. Se precisarem de ajuda pra codar ou entender como fazer o plugin é só chamar. A idéia é que a ferramenta consiga descobrir a senha e se conectar ao wifi sem precisar de interação do usuário. O código não tá 100% ainda, mas deve ficar até o final do mês. Ah ! Se alguem poder codar uma função para se conectar ao wifi no Windows eu adiciono na ferramenta também. Acho que vou fechar essa issue aqui e separar cada método em uma issue diferente e adicionar os criadores para irmos fazendo os plugins.

Abraços.

[JorgeMadson]

Caras muito obrigado por essa thread. Estava tentando ressuscitar um modem antigo e a GVT sobrescreveu o reset padrão, aí olhei o número de série (S/N embaixo do modem) e era sim a senha do wi-fi. Aí fiz um ip route | grep default e descobri o IP do modem (que também trocaram) pra 192.168.1.1e a o login e senha eram admin gvt12345. Valeu mesmo galera!