[cor3]

Se posso chiedere, come hai fatto?


Ho provato a comiplare ma non si sblocca, probabilmente ho sbagliato qualcosa...
Puoi vedere se con questo mac da lo stesso risultato?

Codice: [Seleziona]

$ ./payload 1a:2b:3c:4d:5e:6f
Alice BackDoor hash creator by saxdax & drPepperOne
modified by legolas558 - v0.1

Payload is:
d976705586c7f9c9


No, quello corretto è \x88\x5d\x37\xc7\x1c\xc3\xb3\x96

[mapel]

Confermo risultato di cor3; compilato con il salt di cor3 e il il tuo mac dà la stessa pl.  \x88\x5d\x37\xc7\x1c\xc3\xb3\x96.
Proverò lo sbocco con colasoft.

[cor3]

Confermo risultato di cor3; compilato con il salt di cor3 e il il tuo mac dà la stessa pl.  \x88\x5d\x37\xc7\x1c\xc3\xb3\x96.
Proverò lo sbocco con colasoft.

Il punto però è che è tutto inutile finché non si trova la nuova pass di admin

[mapel]

Scusa, per oggi non posso fare niente. Curiosità: lo slocco lo verifichi con ping o con telnet?
Non riesco ad immaginare come hai trovato il salt. Bravissimo.

[cor3]

Scusa, per oggi non posso fare niente. Curiosità: lo slocco lo verifichi con ping o con telnet?
Non riesco ad immaginare come hai trovato il salt. Bravissimo.

Con telnet

[mapel]

Non so se può servire a trovare la pw (admin va bene? oppure è da scoprire anche questa parola?).
Questa è la pagina di accesso al router sboccato.



<!--- Page(9127)=[Autenticazione Modem] ---><HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"><link rel="StyleSheet" type="text/css" href="images/tabelle.css"><script language="javascript" type="text/javascript" src="images/script.js"></script><TITLE>Modem Telecom Wi-Fi - Autenticazione Modem</TITLE></HEAD><BODY onload='javascript: loaded();'><SCRIPT language="Javascript"><!--
top.document.title = document.title;

// -->
</SCRIPT><DIV style="position:absolute; left:30px; top:5px; width:670px; height:690px; z-index:1; overflow: auto; "><FORM name="form_contents" method=POST action="admin.cgi" enctype="application/x-www-form-urlencoded" onSubmit="if (window.is_submit && is_submit==1) return false; is_submit=1; return true; "><INPUT type=HIDDEN name="active_page" value="9127"><INPUT type=HIDDEN name="page_title" value="Autenticazione Modem"><INPUT type=HIDDEN name="usr_param" value="842986873"><INPUT type=HIDDEN name="mimic_button_field" value=""><INPUT type=HIDDEN name="button_value" value="alice_info2"><INPUT type=HIDDEN name="strip_page_top" value="0"><SCRIPT language="Javascript"><!--
/*
 * A JavaScript implementation of the RSA Data Security, Inc. MD5 Message
 * Digest Algorithm, as defined in RFC 1321.
 * Version 2.1 Copyright (C) Paul Johnston 1999 - 2002.
 * Other contributors: Greg Holt, Andrew Kepert, Ydnar, Lostinet
 * Distributed under the BSD License
 * See http://pajhome.org.uk/crypt/md5 for more info.
 */

/*
 * Configurable variables. You may need to tweak these to be compatible with
 * the server-side, but the defaults work in most cases.
 */
var hexcase = 0;  /* hex output format. 0 - lowercase; 1 - uppercase        */
var b64pad  = ""; /* base-64 pad character. "=" for strict RFC compliance   */
var chrsz   = 8;  /* bits per input character. 8 - ASCII; 16 - Unicode      */

/*
 * These are the functions you'll usually want to call
 * They take string arguments and return either hex or base-64 encoded strings
 */
function hex_md5(s){ return binl2hex(core_md5(str2binl(s), s.length * chrsz));}
function b64_md5(s){ return binl2b64(core_md5(str2binl(s), s.length * chrsz));}
function str_md5(s){ return binl2str(core_md5(str2binl(s), s.length * chrsz));}
function hex_hmac_md5(key, data) { return binl2hex(core_hmac_md5(key, data)); }
function b64_hmac_md5(key, data) { return binl2b64(core_hmac_md5(key, data)); }
function str_hmac_md5(key, data) { return binl2str(core_hmac_md5(key, data)); }

/*
 * Perform a simple self-test to see if the VM is working
 */
function md5_vm_test()
{
  return hex_md5("abc") == "900150983cd24fb0d6963f7d28e17f72";
}

/*
 * Calculate the MD5 of an array of little-endian words, and a bit length
 */
function core_md5(x, len)
{
  /* append padding */
  x[len >> 5] |= 0x80 << ((len) % 32);
  x[(((len + 64) >>> 9) << 4) + 14] = len;
 
  var a =  1732584193;
  var b = -271733879;
  var c = -1732584194;
  var d =  271733878;

  for(var i = 0; i < x.length; i += 16)
  {
    var olda = a;
    var oldb = b;
    var oldc = c;
    var oldd = d;
 
    a = md5_ff(a, b, c, d, x[i+ 0], 7 , -680876936);
    d = md5_ff(d, a, b, c, x[i+ 1], 12, -389564586);
    c = md5_ff(c, d, a, b, x[i+ 2], 17,  606105819);
    b = md5_ff(b, c, d, a, x[i+ 3], 22, -1044525330);
    a = md5_ff(a, b, c, d, x[i+ 4], 7 , -176418897);
    d = md5_ff(d, a, b, c, x[i+ 5], 12,  1200080426);
    c = md5_ff(c, d, a, b, x[i+ 6], 17, -1473231341);
    b = md5_ff(b, c, d, a, x[i+ 7], 22, -45705983);
    a = md5_ff(a, b, c, d, x[i+ 8], 7 ,  1770035416);
    d = md5_ff(d, a, b, c, x[i+ 9], 12, -1958414417);
    c = md5_ff(c, d, a, b, x[i+10], 17, -42063);
    b = md5_ff(b, c, d, a, x[i+11], 22, -1990404162);
    a = md5_ff(a, b, c, d, x[i+12], 7 ,  1804603682);
    d = md5_ff(d, a, b, c, x[i+13], 12, -40341101);
    c = md5_ff(c, d, a, b, x[i+14], 17, -1502002290);
    b = md5_ff(b, c, d, a, x[i+15], 22,  1236535329);

    a = md5_gg(a, b, c, d, x[i+ 1], 5 , -165796510);
    d = md5_gg(d, a, b, c, x[i+ 6], 9 , -1069501632);
    c = md5_gg(c, d, a, b, x[i+11], 14,  643717713);
    b = md5_gg(b, c, d, a, x[i+ 0], 20, -373897302);
    a = md5_gg(a, b, c, d, x[i+ 5], 5 , -701558691);
    d = md5_gg(d, a, b, c, x[i+10], 9 ,  38016083);
    c = md5_gg(c, d, a, b, x[i+15], 14, -660478335);
    b = md5_gg(b, c, d, a, x[i+ 4], 20, -405537848);
    a = md5_gg(a, b, c, d, x[i+ 9], 5 ,  568446438);
    d = md5_gg(d, a, b, c, x[i+14], 9 , -1019803690);
    c = md5_gg(c, d, a, b, x[i+ 3], 14, -187363961);
    b = md5_gg(b, c, d, a, x[i+ 8], 20,  1163531501);
    a = md5_gg(a, b, c, d, x[i+13], 5 , -1444681467);
    d = md5_gg(d, a, b, c, x[i+ 2], 9 , -51403784);
    c = md5_gg(c, d, a, b, x[i+ 7], 14,  1735328473);
    b = md5_gg(b, c, d, a, x[i+12], 20, -1926607734);

    a = md5_hh(a, b, c, d, x[i+ 5], 4 , -378558);
    d = md5_hh(d, a, b, c, x[i+ 8], 11, -2022574463);
    c = md5_hh(c, d, a, b, x[i+11], 16,  1839030562);
    b = md5_hh(b, c, d, a, x[i+14], 23, -35309556);
    a = md5_hh(a, b, c, d, x[i+ 1], 4 , -1530992060);
    d = md5_hh(d, a, b, c, x[i+ 4], 11,  1272893353);
    c = md5_hh(c, d, a, b, x[i+ 7], 16, -155497632);
    b = md5_hh(b, c, d, a, x[i+10], 23, -1094730640);
    a = md5_hh(a, b, c, d, x[i+13], 4 ,  681279174);
    d = md5_hh(d, a, b, c, x[i+ 0], 11, -358537222);
    c = md5_hh(c, d, a, b, x[i+ 3], 16, -722521979);
    b = md5_hh(b, c, d, a, x[i+ 6], 23,  76029189);
    a = md5_hh(a, b, c, d, x[i+ 9], 4 , -640364487);
    d = md5_hh(d, a, b, c, x[i+12], 11, -421815835);
    c = md5_hh(c, d, a, b, x[i+15], 16,  530742520);
    b = md5_hh(b, c, d, a, x[i+ 2], 23, -995338651);

    a = md5_ii(a, b, c, d, x[i+ 0], 6 , -198630844);
    d = md5_ii(d, a, b, c, x[i+ 7], 10,  1126891415);
    c = md5_ii(c, d, a, b, x[i+14], 15, -1416354905);
    b = md5_ii(b, c, d, a, x[i+ 5], 21, -57434055);
    a = md5_ii(a, b, c, d, x[i+12], 6 ,  1700485571);
    d = md5_ii(d, a, b, c, x[i+ 3], 10, -1894986606);
    c = md5_ii(c, d, a, b, x[i+10], 15, -1051523);
    b = md5_ii(b, c, d, a, x[i+ 1], 21, -2054922799);
    a = md5_ii(a, b, c, d, x[i+ 8], 6 ,  1873313359);
    d = md5_ii(d, a, b, c, x[i+15], 10, -30611744);
    c = md5_ii(c, d, a, b, x[i+ 6], 15, -1560198380);
    b = md5_ii(b, c, d, a, x[i+13], 21,  1309151649);
    a = md5_ii(a, b, c, d, x[i+ 4], 6 , -145523070);
    d = md5_ii(d, a, b, c, x[i+11], 10, -1120210379);
    c = md5_ii(c, d, a, b, x[i+ 2], 15,  718787259);
    b = md5_ii(b, c, d, a, x[i+ 9], 21, -343485551);

    a = safe_add(a, olda);
    b = safe_add(b, oldb);
    c = safe_add(c, oldc);
    d = safe_add(d, oldd);
  }
  return Array(a, b, c, d);
 
}

/*
 * These functions implement the four basic operations the algorithm uses.
 */
function md5_cmn(q, a, b, x, s, t)
{
  return safe_add(bit_rol(safe_add(safe_add(a, q), safe_add(x, t)), s),b);
}
function md5_ff(a, b, c, d, x, s, t)
{
  return md5_cmn((b & c) | ((~b) & d), a, b, x, s, t);
}
function md5_gg(a, b, c, d, x, s, t)
{
  return md5_cmn((b & d) | (c & (~d)), a, b, x, s, t);
}
function md5_hh(a, b, c, d, x, s, t)
{
  return md5_cmn(b ^ c ^ d, a, b, x, s, t);
}
function md5_ii(a, b, c, d, x, s, t)
{
  return md5_cmn(c ^ (b | (~d)), a, b, x, s, t);
}

/*
 * Calculate the HMAC-MD5, of a key and some data
 */
function core_hmac_md5(key, data)
{
  var bkey = str2binl(key);
  if(bkey.length > 16) bkey = core_md5(bkey, key.length * chrsz);

  var ipad = Array(16), opad = Array(16);
  for(var i = 0; i < 16; i++)
  {
    ipad = bkey ^ 0x36363636;
    opad = bkey ^ 0x5C5C5C5C;
  }

  var hash = core_md5(ipad.concat(str2binl(data)), 512 + data.length * chrsz);
  return core_md5(opad.concat(hash), 512 + 128);
}

/*
 * Add integers, wrapping at 2^32. This uses 16-bit operations internally
 * to work around bugs in some JS interpreters.
 */
function safe_add(x, y)
{
  var lsw = (x & 0xFFFF) + (y & 0xFFFF);
  var msw = (x >> 16) + (y >> 16) + (lsw >> 16);
  return (msw << 16) | (lsw & 0xFFFF);
}

/*
 * Bitwise rotate a 32-bit number to the left.
 */
function bit_rol(num, cnt)
{
  return (num << cnt) | (num >>> (32 - cnt));
}

/*
 * Convert a string to an array of little-endian words
 * If chrsz is ASCII, characters >255 have their hi-byte silently ignored.
 */
function str2binl(str)
{
  var bin = Array();
  var mask = (1 << chrsz) - 1;
  for(var i = 0; i < str.length * chrsz; i += chrsz)
    bin[i>>5] |= (str.charCodeAt(i / chrsz) & mask) << (i%32);
  return bin;
}

/*
 * Convert an array of little-endian words to a string
 */
function binl2str(bin)
{
  var str = "";
  var mask = (1 << chrsz) - 1;
  for(var i = 0; i < bin.length * 32; i += chrsz)
    str += String.fromCharCode((bin[i>>5] >>> (i % 32)) & mask);
  return str;
}

/*
 * Convert an array of little-endian words to a hex string.
 */
function binl2hex(binarray)
{
  var hex_tab = hexcase ? "0123456789ABCDEF" : "0123456789abcdef";
  var str = "";
  for(var i = 0; i < binarray.length * 4; i++)
  {
    str += hex_tab.charAt((binarray[i>>2] >> ((i%4)*8+4)) & 0xF) +
           hex_tab.charAt((binarray[i>>2] >> ((i%4)*8  )) & 0xF);
  }
  return str;
}

/*
 * Convert an array of little-endian words to a base-64 string
 */
function binl2b64(binarray)
{
  var tab = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";
  var str = "";
  for(var i = 0; i < binarray.length * 4; i += 3)
  {
    var triplet = (((binarray[i   >> 2] >> 8 * ( i   %4)) & 0xFF) << 16)
                | (((binarray[i+1 >> 2] >> 8 * ((i+1)%4)) & 0xFF) << 8 )
                |  ((binarray[i+2 >> 2] >> 8 * ((i+2)%4)) & 0xFF);
    for(var j = 0; j < 4; j++)
    {
      if(i * 8 + j * 6 > binarray.length * 32) str += b64pad;
      else str += tab.charAt((triplet >> 6*(3-j)) & 0x3F);
    }
  }
  return str;
}

function SendPassword()
{
    var tmp;
    document.form_contents.elements['md5_pass'].value=document.form_contents.elements['password_842986873'].value+document.form_contents.elements['auth_key'].value
    tmp=hex_md5(document.form_contents.elements['md5_pass'].value);
    tmp2=hex_md5(document.form_contents.elements['password_842986873'].value);
    document.form_contents.elements['md5_pass'].value=tmp;
    document.form_contents.elements['password_842986873'].value="";
    mimic_button('submit_button_login_submit: ..', 1);
}

var is_button_in_focus=false;
var is_textarea_in_focus=false;
var is_submit=0;
var is_loaded=0;

function loaded()
{
  var inp;

  is_loaded=1;
  inp = document.form_contents.elements['password_842986873'];
  if (inp)
  {
    inp.focus();
  }
}
function keyDown(e)
{
  var button_no;
  button_no=e.which;
  switch (button_no)
  {
  case 13:
    if (is_button_in_focus || is_textarea_in_focus)
      return true;
    javascript: SendPassword();;
    return false;
  case 32:
    if (is_button_in_focus)
    {
    javascript: SendPassword();;
      return false;
    }
    return true;
  default:
    return true;
  }
}

document.onkeydown=keyDown;
document.captureEvents(Event.KEYDOWN);
function mimic_button(button_name,use_default_cgi)
{
  if (is_submit)
    return;
  f=document.form_contents;
  f.mimic_button_field.value = button_name;
  is_submit=1;
  setTimeout("is_submit=0", 6000);
  if (use_default_cgi)
  {
    if (f.encoding)
      f.encoding = "application/x-www-form-urlencoded";
    else
      f.enctype = "application/x-www-form-urlencoded";
    f.action = "admin.cgi";
  }
  f.submit();
}
function set_cgi(action,encoding)
{
  f=document.form_contents;
  if (f.encoding)
    f.encoding=encoding;
  else
    f.enctype=encoding;
  f.action=action;
}


// -->

</SCRIPT><TABLE border=0 cellpadding=0 cellspacing=0 width="640"><TR><TD class="titolo" width="100%">&nbsp;Autenticazione Modem</TD></TR><TR><TD width=

[mp00]

Grazie a voi, sono riuscito a sbloccare nuovamente il router che telecom aveva aggiornato alla versione AGPWI_1.1.0.
Fortunatamente avevo creato un altro utente super amministratore prima dell'aggiornamento, per cui riesco ad entrare senza problemi nell'area amministrativa.
Posso aiutarvi in qualche modo per trovare la password di admin?
Ovviamente andando a modificare l'utente admin, non posso leggere la vecchia password nascosta dagli asterischi perché viene sostituita con una password fasulla pari a {[(+-)]}
Ciao

[cor3]

Grazie a voi, sono riuscito a sbloccare nuovamente il router che telecom aveva aggiornato alla versione AGPWI_1.1.0.
Fortunatamente avevo creato un altro utente super amministratore prima dell'aggiornamento, per cui riesco ad entrare senza problemi nell'area amministrativa.
Posso aiutarvi in qualche modo per trovare la password di admin?
Ovviamente andando a modificare l'utente admin, non posso leggere la vecchia password nascosta dagli asterischi perché viene sostituita con una password fasulla pari a {[(+-)]}
Ciao

ti ho scritto in privato

[mapel]

A questo indirizzo: http://pajhome.org.uk/crypt/md5/contrib/OneWayEncrypt.inc
ho trovato il codice originario da cui è stato tratto il codice di accesso al router AGPWIFI_1.1.0 da me postato.
Considerando che non conosco java, qualcuno può pulire il codice che ho postato in modo che si possa provare a immettere una pw e verificare l'output criptato? (p.s. c'è anche un salt da immettere ? non lo vedo)
GRAZIE

[cor3]

A questo indirizzo: http://pajhome.org.uk/crypt/md5/contrib/OneWayEncrypt.inc
ho trovato il codice originario da cui è stato tratto il codice di accesso al router AGPWIFI_1.1.0 da me postato.
Considerando che non conosco java, qualcuno può pulire il codice che ho postato in modo che si possa provare a immettere una pw e verificare l'output criptato? (p.s. c'è anche un salt da immettere ? non lo vedo)
GRAZIE

Non coincidono perché quello è solo una parte del processo di codifica.
Il risultato viene ancora una volta codificato con un algoritmo rsa con chiave a 1024bit, molto semplicemente è IMPOSSIBILE decodificare. L'unico modo è provare ad indovinarla e verificare se le password criptate coincidono ma è un approccio che richiederebbe anni (o forse secoli)

Comunque forse c'è un'altra speranza, restate in attesa 

[mapel]

Nell'attesa chiedo se è possibile, almeno eliminare la telegestione (file kry decriptato o altra via), considerando che telnet chiede login e pw ancora non disponibili e quindi non ho accesso alla gestione totale del router e al file discus
Almeno così posso usare il router senza incorrere in aggiornamenti che obbligherebbero a rifare tutto dall'inizio.
A presto.

[bas]

niente di nuovo?

[mapel]

Purtroppo anch'io sono in attesa e non so come aiutare.

[Miguel89]

Mi è venuta un'idea pazza...che probabilmente è una str***ta ma potrebbe essere una via percorribile...
Se le password del file .conf sono cifrate tutte con lo stesso algoritmo, anche quella della WPA, si potrebbe mettere come password cifrata della WPA quella dell'utente admin e andarla a leggere in chiaro nell'interfaccia Telecom

Se fulmine o qualcun altro che ha l'accesso al menu avanzato (perché si era creato un altro utente) può fare un po' di prove si potrebbe tentare questa strada...

[bas]

Non credo che funzioni, se la password è cifrata in md5 non è reversibile