Preguntas sobre archivos de configuración firmados HMAC-MD5

Thanks Thanks:  11
Likes Likes:  0
Dislikes Dislikes:  0
Página 1 de 4 123 ... ÚltimoÚltimo
Resultados 1 al 15 de 51
  1. #1
    Avatar de eltekla
    Cablero Habitual
    Fecha de Ingreso
    30-06-2009
    Mensajes
    35
    Gracias (Dados)
    6
    Gracias (Recibidos)
    8
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    16
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Post Preguntas sobre archivos de configuración firmados HMAC-MD5

    La cuestión es que antes, uno le subía con un servidor TFTP local un archivo de configuración al cablemódem y este andaba perfecto, hasta que un día, comenzaron a codificar los archivos de configuración con otra clave HMAC-MD5 que no es 'public'. El resultado fue que al subir el archivo de configuración al módem, éste reinicia todo el proceso, y nunca llega a ponerse on-line.

    El punto central de la cuestión es este:
    quiero saber cuales son los métodos posibles para obtener la clave de encriptación HMAC-MD5 con la que se firman los archivos de configuración. (según tengo entendido el único método es por fuerza bruta, espero que hayan otros más rápidos y efectivos).

    Suponiendo que sea casi 'imposible' poder firmar con esa 'clave' que no conocemos archivos de configuración hechos a mano, ¿QUE OTROS MÉTODOS EXISTEN PARA QUE EL MÓDEM SE PONGA ONLINE? ¿PUEDE SER QUE HAYA QUE CONSEGUIR CERTIFICADOS? ¡Qué alguien me explique como es eso de los certificados!

    Les agradezco sus respuestas, y por sobre todo les pido que sean bien explícitos y claros, asi lo entendemos todos.

    MUCHÍSIMAS GRACIAS!!.

  2. #2
    Avatar de monton
    Cablero Habitual
    Fecha de Ingreso
    14-05-2008
    Mensajes
    45
    Gracias (Dados)
    15
    Gracias (Recibidos)
    7
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    58
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

  3. #3
    Avatar de duna

    User Premium
    Fecha de Ingreso
    14-03-2008
    Mensajes
    1,067
    Gracias (Dados)
    10
    Gracias (Recibidos)
    661
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    47
    Uploads
    3
    Mencionado
    0 Post(s)
    Poder de reputación
    155

    Predeterminado

    En pricipio lo ke tu comentas se solucionaba subiendo un config file original de tu ISP.
    El problema vino cuando implantaro el nforce ke solo admite config desde el coaxial

  4. #4
    Avatar de bumperiano
    Cablero Alejandrita
    Fecha de Ingreso
    27-02-2008
    Mensajes
    117
    Gracias (Dados)
    7
    Gracias (Recibidos)
    33
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    265
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado

    Tírale a ver si consigues algo. Yo no tengo ni tiempo necesario ni potencia ni paciencia.


  5. #5
    Avatar de eltekla
    Cablero Habitual
    Fecha de Ingreso
    30-06-2009
    Mensajes
    35
    Gracias (Dados)
    6
    Gracias (Recibidos)
    8
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    16
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Post



    En realidad las hashes de DOCSIS son en formato HMAC-MD5, que no es lo mismo que MD5 solo. Para hacer fuerza bruta a este tipo de hashes se puede utilizar este programa:



    (espero q les sirva, ya que estamos)

    De todas maneras mi duda apunta a ver si se puede conseguir dicha clave por otra via que no sea la fuerta bruta al archivo de config. Es decir, snifeando, o via SNMP. (espero que alguien sepa si hay otro método)

    De cualquier forma, !!

  6. Gracias bumperiano, kevlar15, elalak, panicol2 agradecido(s) por este post
  7. #6
    Avatar de eltekla
    Cablero Habitual
    Fecha de Ingreso
    30-06-2009
    Mensajes
    35
    Gracias (Dados)
    6
    Gracias (Recibidos)
    8
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    16
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado



    y... actualmente mi problema consiste en que mi proveedor usa configuraciones dinámicas. La única manera de bajar el archivo de config es desde 'el que queda almacenado dentro del cablemódem', pero como el archivo de config tiene un nombre con una barra "/", (por ejemplo: ^1/ABC0628C/), el firmware se confunde y no me permite bajarlo. que gran problema ¿no?

  8. #7
    Avatar de bumperiano
    Cablero Alejandrita
    Fecha de Ingreso
    27-02-2008
    Mensajes
    117
    Gracias (Dados)
    7
    Gracias (Recibidos)
    33
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    265
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado



    Gracias, no conocía éste. Y creía que eran md5 tal cual.

  9. #8
    Avatar de duna

    User Premium
    Fecha de Ingreso
    14-03-2008
    Mensajes
    1,067
    Gracias (Dados)
    10
    Gracias (Recibidos)
    661
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    47
    Uploads
    3
    Mencionado
    0 Post(s)
    Poder de reputación
    155

    Predeterminado




    Con el firm haxor te puedes bajar el configfile ke kieras.
    Incluso conectado con una mac dada de baja

  10. #9
    Avatar de eltekla
    Cablero Habitual
    Fecha de Ingreso
    30-06-2009
    Mensajes
    35
    Gracias (Dados)
    6
    Gracias (Recibidos)
    8
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    16
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado

    porqué hay tan poca información en Internet sobre HMAC-MD5 de DOCSIS???

    osea, este tema es algo muy específico ...
    porque existen muchos tipos de HMAC ... para saber cuales son entrá en ,

    bueno entre los HMAC, existe uno en particular que es el que usan los archivos de configuración DOCSIS, este es el HMAC-MD5.

    ¿en que se diferencian las hashes HMAC-MD5 de las MD5 solas?
    en que un hash MD5 se calula como:
    hash = md5(data)
    mientras que un hash HMAC-MD5, se calcula como:
    hash = hmac_md5(data, key)
    es decir que tiene 2 parámetros, lo cual cambia el panorama.

    el RFC de HMAC pueden verlo en esta URL:

    si alguien puede aportar más información acerca de como se calcula particularmente para un archivo de configuración DOCSIS, es decir, como poner a crackear las hashes contenidas CmMic y CmtsMic de los archivos de configuración en algun software como MDCrack, que lo postee aquí! se lo voy a agradecer yo y mucha gente.

  11. #10
    Avatar de gnrx
    Administrator
    Fecha de Ingreso
    03-06-2005
    Mensajes
    67,086
    Gracias (Dados)
    522
    Gracias (Recibidos)
    4028
    Me Gusta (Dados)
    16
    Me Gusta (Recibidos)
    40
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    1
    Descargas
    592
    Uploads
    70
    Mencionado
    26 Post(s)
    Poder de reputación
    10

    Predeterminado

    Interesante hilo...muy interesante....


    Que yo sepa, y tambien espero equivocarme, mucho me temo que para ello, deberiamos usar la fuerza bruta.
    Quizás se podria organizar bien y hacer por rangos entre users, pero aun asi, es dificil....muy dificil...
    Si te gusta ForoCable puedes contribuir a su mantenimiento con una donación

    "No se resuelven dudas por privados, las dudas se consultan en el foro y se resuelven entre todos."

    Si ves un mensaje fuera de las normas, reporta el mensaje al staff clickando en el icono correspondiente->

    Para agradecer, usa el sistema de agradecimientos, click en el icono correspondiente para agradecer a un usuario----> &

  12. #11
    Avatar de eltekla
    Cablero Habitual
    Fecha de Ingreso
    30-06-2009
    Mensajes
    35
    Gracias (Dados)
    6
    Gracias (Recibidos)
    8
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    16
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Lightbulb

    el punto fundamental que quisiera tratar en este hilo, es:

    si se fijan en el programa MDCrack, permite crackear hashes HMAC-MD5, pero la cuestión es que no se como pasarle los parámetros ...

    cual es mi proposición?

    que creen un archivo de configuración firmado con la clave 'public', (esto pueden hacerlo con el editor DiFileCPE) y asi ya sabiendo la clave, lo intenten crackear con el MDCrack, cuando descubran como pasarle los parámetros de forma correcta, que lo postee aquí.

    nada de andar googleando!! porque no es lo mismo el HMAC-MD5 de un archivo DOCSIS que de otra cosa, ya que como dije en el post anterior, lleva un parámetro data.

    osea que MDCrack necesitaría esa 'data' y la hash obtenida al procesarla, para así poder obtener la clave con la que se procesó la data

    esa 'data' creo yo, SUPONGO, que debería ser una cadena de bytes (la cual seria el archivo de configuración expresado en forma hexadecimal SIN INCLUIR LA PARTE DE LAS HASHES en la cadena obviamente) y la hash obviamente es la que encontramos dentro del archivo de config que se llaman CmMic y CmtsMic, (ambas cadenas, que son las hashes, pueden también verlas con el mismo DiFileCPE)

    si se toma el atrevimiento de probar ... pues que postee aquí sus conclusiones, o sus experiencias, para ver si de una vez por todas, le damos una solución a esto.

    se agradece a la comunidad y a los interesados en investigar ...

    [tecla]
    Última edición por eltekla; 06/07/2009 a las 01:03

  13. #12
    Avatar de elalak
    Cablero Amatista
    Fecha de Ingreso
    14-06-2009
    Mensajes
    53
    Gracias (Dados)
    19
    Gracias (Recibidos)
    5
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    58
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado

    Hola a todos, intentare "aclararme" por partes ....



    Creo que los parámetros son claros, el nONCE (algo asi como una sola vez?) en formato texto o hexa (precedido por #) y el hash en formato HMAC-MD5 .... i échale tiempo ... El problema que veo yo es que desconocemos el "nonce". En teoria, parece ser la cadena de datos que se quiere encriptar. Dudo mucho como tu apuntas que sea el archivo casi completo, ten en cuenta que serian cadenas hex muy grandes (>1k) ... i la ventana dos no creo (no lo se) que acepte "frases" tan largas. Si fuese asi, el programa llevaria la opcion de poder direccionar el parámetro a algun archivo .. y no es asi, al menos, a mi no me funciona de ese modo.


    Tengo problemas en este tema, creo el archivo con lo minimo, lo firmo con "pub" (+ corto), el Di... lo testea ok ... y curiosamente los hash en el binario no coinciden con los mostrados por el Di.. (o SBconfig). En un archivo normal si. Los hash aparecen al final del archivo binario - 1 byte (ff). Los anteriores 16 bytes son el HMAC-MD5 (CMTS) y los anteriores 16 a estos son los MD5 (CM).
    Creo que hay que tener al menos los campos que se describen en la ayuda del sbconfig (apartado MIC hay una descripcion interesante de como se calcula). Es posible, solo posible, que el famoso parámetro "nonce" sea la concatenacion en el orden estándar de los parámetros nombrados en este apartado. Tengo pendiente probarlo. Si fuese asi, ya me cuadra mas el parámetro nonce del mdcrack ....

    A destacar, creo que el cm no calcula el CMTSmic (como hace el soft), solamente el CMmic (en MD5 y creo que tal y como se describe en la ayuda). No puede, ya que desconoce la clave (se comparte entre el TFTPD y el CMTS, si la tuviese el cm, seria demasiado fácil), pero es indispensable que lo envie (el CMTSmic) como parte del mensaje de REG-REQ, supongo que tal cual lo recibe .. ya me gustaria conocer el contenido de esa peticion (REG-REQ) .. si alguien lo sabe .... ya sabe ... y si alguien sabe como "sniffar" paquetes en las redes de cable ..... pues tambien .... seria interesante "capturar" un proceso de registro completo.

    De cualquier forma, el poder obtener la clave no creo que sirva de mucho. Ya que el CMTS espera un hash CMTSmic del cm que el conoce de antemano. Saber la clave nos permitiria "firmar" configs "legales" pero los hashes reenviados al cmts serian diferentes de lo que el cmts espera .... hay que engañarlo !!! ....
    Según tengo leido el usuario uriah sabia como hacerlo, no el firmar configs, si no el engañar al cmts ...... algo de cambiar algo de algo por telnet .... aparte de la config que se quiera .... nunca dijo el que ni como .... He estado mirando las opciones/comandos en el haxor y no "encuentro" la "tecla".
    Imagino que responder en el REG-REQ lo que el cmts espera, pero teniendo activa otra configuracion ... Si esto es posible, confirmaria que el cmts no consulta el smnp para la autorizacion .... o que es posible engañarlo tambien en el snmp .. no se .... no conozco el tema .... si alguien puede arrojar luz ....

    No entiendo bien si para verificar la config ok en el cm. El cmts verifica los mibs de configuracion por snmp??? .... o la petición REG-REQ lleva estos datos (por ejemplo, como un reenvio del archivo de config) ¿¿¿¿???? Pienso que por snmp no lo hace .... ¿¿¿Alguien puede sacarme de dudas???



    No entiendo ... es un algoritmo de encriptacion, aplicable a lo que quieras ...

    Bueno, perdonad el rollo ... seguire haciendo tests ....

    Saludos y
    Última edición por elalak; 07/07/2009 a las 08:45 Razón: Cambio de referencia a usuario .... :)

  14. Gracias eltekla agradecido(s) por este post
  15. #13
    Avatar de eltekla
    Cablero Habitual
    Fecha de Ingreso
    30-06-2009
    Mensajes
    35
    Gracias (Dados)
    6
    Gracias (Recibidos)
    8
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    16
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Post

    primero que todo, quiero agradecerte la buena voluntad que has tenido de ponerte a investigar ...



    ahora que lo veo tienes razón ... pero que cosa más extraña esa!!! porqué razón serán distintos ... esto si que me intrigó ...

    realmente (y lamentablemente) creo que cada vez tengo más preguntas que respuestas ... pero obviamente esto es parte de la investigación

    por otra parte ...
    graaciasss por decirme que estaba la info del "CMTS MIC Calculation" en el archivo de ayuda del SBConfig Editor!!! eso va a servir como idea básica para adentrarme a hacer pruebas ...



    si creo que tienes toda la razón, pero veamoslo desde este punto de vista:
    si el cm "en un funcionamiento normal" es capaz de calcular lo que el CMTS espera recibir ... es lógico de pensarse que teniendo el archivo de configuración en nuestras manos y sabiendo la clave con la que se lo firmó calcular CmtsMic y/o CmMic, debería ser totalmente posible e incluso no muy complicado. (igual creo que este tema habría que tratarlo más adelante en todo caso, hay que ir paso a paso)



    me parece que "ALGO" vital para la registración del cm en la red docsis debe ser consultado por el CMTS via SNMP. Lo deduzco, ya que el haxorware no deshabilita el SNMP hasta que no ha teminado el proceso de registración y ya estamos online. Es decir, el SNMP es necesario durante el proceso de registración, para qué, no sé. No tengo idea que MIBs consultará el CMTS, pero se me ocurre una idea:

    usando la función 'redireccionar snmp' podria redireccionar el tráfico a un equipo con un demonio snmp corriendo, y allí capturar que peticiones está haciendo el cmts a dicho demonio.



    una posible forma (y la única que se me ocurre) es la siguiente:

    poner 2 cms en una misma linea de coaxil (obviamente con direcciones mac distintas para que no entren en conflicto), y así mientras que hacemos iniciar a uno de los cm, en el otro corremos sigma v1.06 que tiene sniffer del lado del coaxil, y vemos que podemos capturar.
    no se si ese sniffer muestra el contenido del proceso de registración o solo se limita a mostrar algunos datos ... hay que probar. pero lo único que si tengo claro es que la única forma de sniffear el coaxil es desde adentro del mimso cm, asique el sniffer tiene que estar en el firmware.
    excepto que se lograran "puentear" la interfaz HFC con la ETH o la USB y así capturar el tráfico desde estas interfaces. falta investigar más.




    claro, me quise referir a que no copiaran y pegaran respuestas encontradas en google, ya que calcular el nonce en un archivo DOCSIS, no es cosa que se encuentre así tan sencillito en google , es algo que se necesita ponerse a probar y adentrarse,

    que es un algoritmo de encriptación que brinda autenticidad e integridad y que puede ser usado en lo que quieras, eso no cabe duda!, la cuestión entonces es encontrar como calcular el nonce para archivos DOCSIS particularmente

    bueno espero que aún sigas motivado en investigar esto, yo voy a seguir haciendo pruebas, y si obtengo algún resultado concluyente seguro lo posteo acá, ojalá hagas lo mismo!

  16. #14
    Avatar de qingpu
    Cablero Habitual
    Fecha de Ingreso
    27-10-2008
    Mensajes
    31
    Gracias (Dados)
    0
    Gracias (Recibidos)
    2
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    1
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado

    Conoces Zeban? Tal vez ver algo de codigo pueda resolver tus dudas.

  17. Gracias eltekla, elalak agradecido(s) por este post
  18. #15
    Avatar de eltekla
    Cablero Habitual
    Fecha de Ingreso
    30-06-2009
    Mensajes
    35
    Gracias (Dados)
    6
    Gracias (Recibidos)
    8
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    16
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Wink



    excelente idea!!
    seguramente a mí, como a elalak nos va a servir de mucho ver esto!!
    !!


Página 1 de 4 123 ... ÚltimoÚltimo

Etiquetas para este tema

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •