-
Pruebas config files cal3vis10n: cmtsmic cmmic hmac-md5
Sobre la llave de HMAC-MD5, encontré ésto
Si editas el "nombre" del config file, no afecta nada de los valores hexadecimales, entonces debe conectar con cualquier nombre.
El config file bajado de haxoware y el bajado de tftp, no es igual, cambia el cmtsmic (32bytes del archivo)
el cmmic queda intacto.
Al abrir el config y guardarlo (aunque sea sin editar) cambia el cmtsmic
M572.0 Neg Or Bad Reg Rsp - Reinitialize MAC... Config file invalido
D009.0 TFTP file complete - but missing mandatory TLV.. Cuando cortas el cmtsmic con un editor hexadecimal
Con el puedes convertir los valores binarios de un config file, en ASCII
Descargué el config de la misma mac, diferentes servidores
tftps 10.1.2.***
tftp que al descargar su config es igual 104 105 106 107
103 y 102 varian de los demas
tftp 102
/* CmMic 8c9d***x2917f94d9***x54f57b69a3e; */
/* CmtsMic 2f4***x65d3075da***x2e93d3b5d030; */
tftp 103
/* CmMic d462***x1020fa44e***x58f9037bd4; */
/* CmtsMic 71a9***xfea50878***x2ee5a5e912bd; */
tftp 104, 105, 106, 107
/* CmMic bb402b2***x467cb***x7255f9887096; */
/* CmtsMic 257e5a***xf3649***x3b5252a064a94; */
***x = campos editados por seguridad
En el caso del 102, me tiró una config docsis 1.0, enlugar de 1.1
En el 103 me tiró los mismos valores pero acomodados de diferente manera, entonces generó un cmtsmic MUY diferente
Intenté desde la 101 hasta la 110 de las tftps, las demás me marcan timeout, en el caso del 115 el usado por la cablera, me marca
Dw5304 inventó un dynamic config converter
Probablemente solo funcione con su cablera, no lo he probado, alguien avientese uno para alambrevis10n
En un post en forocable, duna te explica como ver el config file desecncriptado
Hace ya algunos meses, Rajkosto creó un programa para tronar la llave HMAC-MD5 por fuerza bruta, llamado CmtsMicCracker
Pude compilar el programa de RajkoH4X0R de hecho tiene muy buen performance.
Te da la habilidad de que escojas el número de threads que quieras.
Current string: 'ON3-Y '
Info : 7276342648 in 9960 seconds.
En cerca de 3 horas, corrió 7,276 millones de llaves, a una velocidad aproximada de 700mil-1millon de llaves por segundo.
Apenas iba en el sexto dígito, y el límite es 80 
, el isp puede usar shared string larguísimo, lo cual pasando de 9 caracteres empieza a ser demasiado el tiempo.
Otros programas para fuerza bruta a HMAC-MD5
El también funciona para escanear macs, pero éste lo hace a fuerza bruta.
ISP le pones Shaw o Rogers (no uses Charter), tftp 10.1.2.104, logUL speeds >= 128000
Y en start mac le pones el rango donde quieras iniciar.
(Ej. si tengo la mac ************ la sustituyo por ******xx1111)
Al conectar el sb5101 con haxorware r38 a un router linksys, muchas veces me pasa que ya no me deja acceder al linksys, tengo que resetear el internet y a veces desconectar el coaxial. Por qué?, la cablera me manda paquetes de estorbo?
Última edición por joracos; 05/04/2011 a las 01:43
Razón: Ampliar informacion .
-
Gracias / Me Gusta - 14 Gracias, 3 Me Gusta, 0 Me Disgusta
foxvalenciano,
devakail,
aurelioo,
N/A,
Odysseo,
betogar,
jeramy1time,
sb_uncapper,
dnhacker,
trabajoso,
bancik,
chaco,
Hanz,
rey150520 agradecido(s) por este post
-
Esto es trabajo de verdad hermano, yo sigo leyendo y leyendo para ampliar mis conocimientos, ojala pudiera ayudar con tu investigacion.
-
algunas de los config files no son dinamicos pero aun asi hay que seguir en la busqueda del secreto de la MD5 buen aporte 
-
Me han reportado que son dinámicos en algunas zonas, el chiste es aprender, entendiendo todos los conceptos de los que estoy posteando, se puede llegar a saber porqué no autentifica un config file al modificar su shared secret.
-
Si te entiendo a lo que me refiero es que en la noble busqueda por velocidad en mi zona (encryptada) me di cuenta que algunos de los conf files que asignaba ejemplo :34ncxv9873254k; se repetia en otras macs de la misma velocidad entonces algunos config files en zona encryptada no son dinamicos el config file que uso es de 50 megas en zona encryptada los que saben de lo que hablo ya les di toda la pista de como poner up a mayor velocidad sin usar el metodo del editor pero claro ese es trabajo de cada uno estar checando miles de macs pero con contanscia se logra
-
estas diciendo que es posible usar config file en zonas encritpadas? :o
-
Oye, revise un config que recien baje y el checksum (a lo que uds le llaman cmMic) esta bien calculado en md5 siguiendo las instrucciones del post de sbhacker al que haces referencia.
Ahora, el nombre de archivo del config no cambia los valores hex de éste pero seguro cambia otras cosas porque el dinamic converter que pusiste sólo utiliza el nombre del config (la mac) para darte datos como el tftp server y el dhcp server, etc.
Acerca de lo que comentas de abrir el config sin editarlo y guardar cambios si cambia los valores hex según el programa con el que lo abriste (notepad cambia todos los valores hex 00 a 20 ya que 00 es null y para el notepad no existe ese valor). Si lo haces con un editor hex como el 010 no hay cambio alguno.
Revisa, si tienes oportunidad, si el cmMic cambia cada determinado tiempo en la misma mac para ver si no esta basado en la fecha o en un periodo de validez.
Ahora, si guardas cambios con el vulture cambian 32bytes (despues de los bytes 0710) casi al final del archivo (ya que los ultimos bytes son 00 pero el vulture los elimina sino pones password). Esto viene siendo el cmtsMic?
Vale, espero información para seguir ayudándonos.
-
Si, o como con vultureware, te pide el authentication string y si no se lo das, se quiebra.
No cambia cada cierto tiempo.
En mi caso es en otro rango de memoria, deben ser los 32 bytes anteriores al ultimo FF
-
Gracias / Me Gusta - 1 Gracias, 0 Me Gusta, 0 Me Disgusta
betogar agradecido(s) por este post
-
Es el mismo rango de memoria ya que el cmMic esta despues de los bytes 0610 (yo le digo identificador 1) y mide 32 bytes. Luego de éstos 32 bytes viene el segundo identificador 0710 y de ahí parte el cmtsMic (que también mide 32 bytes) y al final vienen los bytes FF 00.
Con el dynamic config decoder puedes sacar la ip real del servidor TFTP 
(ubicados en alemania, turquia, etc) y a los que les hice un ping y me dieron buena respuesta son curiosamente correspondientes a las macs que si dan servicio.
Incluso he puesto dicha dirección de servidor tftp (comienza con 77.x.x.x) y todo va bien. Veré mas tarde si puedo colocar el config file name a uno de más megas que el de la mac para ver si por ahí hay una salida entre otras pruebas.
-
Gracias / Me Gusta - 2 Gracias, 0 Me Gusta, 0 Me Disgusta
-
¬¬ Ya ví como funciona el dynamic convert y es fácil hacer uno (no esta ligado a una cablera en específico) . Sólo diganme que nombre de config estan colocando porque el dynamic convert trabaja con 32bytes en lugar de 16 que uso yo.
-
Tienes razón, es en ese offset. Del dynamic no necesito nada de hecho ni tengo configs dinámicas, eso es para otra raza.
Pff, ya no tengo habilitado el editar post, así que no lo puedo poner arriba.
Pude compilar el programa de RajkoH4X0R de hecho tiene muy buen performance.
Te da la habilidad de que escojas el número de threads que quieras.
Current string: 'ON3-Y '
Info : 7276342648 in 9960 seconds.
En cerca de 3 horas, corrió 7,276 millones de llaves, a una velocidad aproximada de 700mil-1millon de llaves por segundo.
Apenas iba en el sexto dígito, y el límite es 80 , el isp puede usar shared string larguísimo, lo cual pasando de 9 caracteres empieza a ser demasiado el tiempo.
Última edición por decogzz; 05/04/2011 a las 00:59
-
-
-
-
- Poder de reputación
- 0
-
Thanks: 
Likes: 
Dislikes: 
Citar
