[GUIDA] Come sbloccare qualsiasi router technicolor per altri operatori

[DUST_K]

Buongiorno a tutti sono 3 gironi che combatto con il TG788vn V2 di Tiscali senza riuscire nell'impresa.
Chiamata l'assistenza tecnica il genio di turno mi dice che non c'è nessun utente admin e che c'è solo quello user, alla domanda allora come attivo il firewall se non esiste un admin? mi viene risposto che non è disponibile che devo usare un firewall software. Dopo circa 20 minuti in attesa riaggancio e richiamo in cerca di qualcuno che abbia un cervello che funzioni.....sono ancora in attesa al tel

[carsco]

Stavo cercando il modo di trovare le password degli account "tiscali" e "tech" del TG88vn v2 di Tiscali.

Capisco che roott e' chiedere troppo, ma l'acocunt "tiscali" mi basta.

Sono cifrati qui:
add name=tiscali password=_CYP2_512b9ed7537563f9fb52fe0c23e043985225c5413df10783 role=SuperUser hash2=a9053cebfa7b5aeb9c206608e7c5acea crypt=HW/kT2f7wSmmQ

C'e' modo di tirarli fuori?

[eftecno]

Quote:

Originariamente inviato da carsco

Stavo cercando il modo di trovare le password degli account "tiscali" e "tech" del TG88vn v2 di Tiscali.

Capisco che roott e' chiedere troppo, ma l'acocunt "tiscali" mi basta.

Sono cifrati qui:
add name=tiscali password=_CYP2_512b9ed7537563f9fb52fe0c23e043985225c5413df10783 role=SuperUser hash2=a9053cebfa7b5aeb9c206608e7c5acea crypt=HW/kT2f7wSmmQ

C'e' modo di tirarli fuori?

Si, con hashcat ad esempio

[carsco]

Quote:

Originariamente inviato da eftecno

Si, con hashcat ad esempio

Ok, ma non so assolutamente come sono cifrate.
MD5, SHA...?

Cosa gli dico ad Hashcat?

[eftecno]

Quote:

Originariamente inviato da carsco

Ok, ma non so assolutamente come sono cifrate.
MD5, SHA...?

Cosa gli dico ad Hashcat?

Ad esempio per password di lunghezza 5 alfanumerica minuscola su Windows:

Codice:

hashcat64.exe -a 3 -m 20 -m0 a9053cdbfa7b5aeb9c206608e7c5acea "tech:Technicolor Gateway:"?1?1?1?1?1 -o "C:\hash_found.txt" --outfile-format=3 -w 2 -1 ?l?d

[carsco]

Ma... senza specificare il tipo di attacco o altro?

Per esempio, una password la conosciamo gia' ed e' di soli 4 caratteri.
L'utente e' "user" e la pass e' "user"

L'hash e' 86d646fb27e3b204a22a1ff11ed32cc8

Come scriveresti la riga di comando?

Scusa, ma sto iniziando solo adesso a leggere qualcosa su hashcat ma mi sembra MOLTO potente per le mie competenze.
Pero' posso adattare gli esempi e il fatto che la pass gia' conosciuta e' di soli 4 caratteri albabetici mi aiutera' a capire se le prove vanno nel verso giusto.

[eftecno]

Quote:

Originariamente inviato da carsco

Ma... senza specificare il tipo di attacco o altro?

è specificato nella linea di comando

Quote:

Per esempio, una password la conosciamo gia' ed e' di soli 4 caratteri.
L'utente e' "user" e la pass e' "user"

L'hash e' 86d646fb27e3b204a22a1ff11ed32cc8

Come scriveresti la riga di comando?

Per la mia configurazione:

Codice:

hashcat64.exe -a 3 -m 20 -m0 86d646fb27e3b204a22a1ff11ed32cc8 "user:Technicolor Gateway:"?l?l?l?l -o "C:\hash_trovato.txt" --outfile-format=3 -w 2 --gpu-temp-abort=80  --force --show

[carsco]

Uhm, non mi convince.
Il tuo comando mi restituisce un file C:\hash_trovato.txt con dentro l'hash che gli abbiamo passato, e in piu' un $HEX[757365723a546563686e69636f6c6f7220476174657761793a75736572]

Su show.log non trovo nulla di interessante.
Visto che di "user" sappiamo tutto, non e' che faresti una prova per capire dove sbaglio? Dovrebbe dare "user" come password.

A 4 caratteri alfabetici ci dovrebbe stare un attimo.

Ps: non ho una GPU per le prove, quindi il --gpu-temp-abort=80 si potrebbe anche omettere.
Edit: in realta' ho una GT 540M che viene vista da Hashcat...

Grazie sempre.

[carsco]

Inoltre, nel $charset, nel primo esempio mi hai indicato ?1?1?1?1?1, nel secondo ?l?l?l?l.

Nel manuale trovo scritto che per gli alfabetici e' ?l?l?l?l (il font qui sul forum fa scambiare i due tipo di caratteri, cioe' 1 e l - "ELLE")

E' un UNO o una ELLE?

[carsco]

Credo di esserci.
ascii "user" in esadecimale e' 75736572.
Ed effettivamente c'e' nel file hash_trovato

Credo di aver capito

Edit: no, niente... in hash_trovato mi scrive l'hash che gia' sappiamo e user:Technicolor Gateway in esadecimale.
Niente pass.

[Dark.Wolf]

Quote:

Originariamente inviato da carsco

Credo di esserci.
ascii "user" in esadecimale e' 75736572.
Ed effettivamente c'e' nel file hash_trovato

Credo di aver capito

Edit: no, niente... in hash_trovato mi scrive l'hash che gia' sappiamo e user:Technicolor Gateway in esadecimale.
Niente pass.

Scusate l'intromissione, ma non sarebbe il caso di configurare un servizio ddns verso un server interno o comunque controllato da noi? Così la richiesta di aggiornamento dovrebbe contenere quella password in chiaro. Almeno con le password cifrate in _DEV3_ funziona.

Edit: Sul forum ci dovrebbero essere tutte le indicazioni, nel thread del router TG789V2 tim.

[carsco]

No, e' diverso.
Come vedi dal file USER.INI non c'e' un DEV3 e la pass sara' codificata diversamente.

Nel caso delle pass del VOIP funziona perche' la pass del DYNDNS e' memorizzata nella stessa maniera, quindi basta scambiare i DEV3.

[Dark.Wolf]

Quote:

Originariamente inviato da carsco

No, e' diverso.
Come vedi dal file USER.INI non c'e' un DEV3 e la pass sara' codificata diversamente.

Nel caso delle pass del VOIP funziona perche' la pass del DYNDNS e' memorizzata nella stessa maniera, quindi basta scambiare i DEV3.

Ok, chiaro.
Il dubbio mi veniva perchè in ogni password memorizzata viene scritto il loro metodo di cifratura nella stringa stessa. Ed ho pensato:'sia mai che riesca a mettere in chiaro pure cifrature diverse'.

tutto qui.

[eftecno]

Quote:

Originariamente inviato da carsco

Uhm, non mi convince.
Il tuo comando mi restituisce un file C:\hash_trovato.txt con dentro l'hash che gli abbiamo passato, e in piu' un $HEX[757365723a546563686e69636f6c6f7220476174657761793a75736572]

che è l'hash comprensivo di password in HEX, bisogna convertirlo in ascii, si può fare con NOTEPAD++

HEX: 757365723a546563686e69636f6c6f7220476174657761793a75736572

ASCII: user:Technicolor Gateway:user

oppure basta un semplice convertitore anche online.

[eftecno]

Quote:

Originariamente inviato da Dark.Wolf

Scusate l'intromissione, ma non sarebbe il caso di configurare un servizio ddns verso un server interno o comunque controllato da noi? Così la richiesta di aggiornamento dovrebbe contenere quella password in chiaro. Almeno con le password cifrate in _DEV3_ funziona.

Edit: Sul forum ci dovrebbero essere tutte le indicazioni, nel thread del router TG789V2 tim.

non c'entra nulla

[eftecno]

Quote:

Originariamente inviato da carsco

Inoltre, nel $charset, nel primo esempio mi hai indicato ?1?1?1?1?1, nel secondo ?l?l?l?l.

Nel manuale trovo scritto che per gli alfabetici e' ?l?l?l?l (il font qui sul forum fa scambiare i due tipo di caratteri, cioe' 1 e l - "ELLE")

E' un UNO o una ELLE?

Sono due esempi diversi, non ci si può confondere perchè i due comandi scritti sono diversi. ELLE sono i caratteri alfabetici maiuscoli, 1 è personalizzato ed è specificato che deve contenere ELLE e D

?l = abcdefghijklmnopqrstuvwxyz
?d = 0123456789

[carsco]

Non mi tornano i conti, forse perche' user e pass sono uguali e mi confondo.
Ho creato quindi un nuovo utente dal nome, appunto, utente.
La pass e' di 5 caratteri.

L'hash e' 2b461898dcf9364452f3254fbba790cc

Il rsultato e' 2b461898dcf9364452f3254fbba790cc:$HEX[7574656e74653a546563686e69636f6c6f7220476174657761793a70726f76 ]

Codice:

In ASCI, viene fuori: utente:Technicolor Gateway:prov

Dov'e' l'ultimo carattere? Dovrebbe essere "prova"

La riga di comando usata e':
hashcat32.exe -a 3 -m 20 -m0 2b461898dcf9364452f3254fbba790cc "utente:Technicolor Gateway:"?l?l?l?l?l -o "C:\hash_trovato.txt" --outfile-format=3 -w 2 --force

Inoltre, con questo sistema devo conoscere per forza la lunghezza della password? Se aggiungo un "?l" non mi trova piu' nulla, sebbene io non cambi altro.

[eftecno]

Quote:

Originariamente inviato da carsco

Non mi tornano i conti, forse perche' user e pass sono uguali e mi confondo.
Ho creato quindi un nuovo utente dal nome, appunto, utente.
La pass e' di 5 caratteri.

L'hash e' 2b461898dcf9364452f3254fbba790cc

Il rsultato e' 2b461898dcf9364452f3254fbba790cc:$HEX[7574656e74653a546563686e69636f6c6f7220476174657761793a70726f76 ]

Codice:

In ASCI, viene fuori: utente:Technicolor Gateway:prov

Dov'e' l'ultimo carattere? Dovrebbe essere "prova"

La riga di comando usata e':
hashcat32.exe -a 3 -m 20 -m0 2b461898dcf9364452f3254fbba790cc "utente:Technicolor Gateway:"?l?l?l?l?l -o "C:\hash_trovato.txt" --outfile-format=3 -w 2 --force

Inoltre, con questo sistema devo conoscere per forza la lunghezza della password? Se aggiungo un "?l" non mi trova piu' nulla, sebbene io non cambi altro.

controlla di non aver sbagliato a inserire la pass dell'utente

per diverse lunghezze devi usare diverse mask, guarda il manuale di hashcat

[carsco]

No, la pass e' prova, gia' controllato.
Con "prov" non si entra.

Del resto, se davvero i "?l" devono essere uguali in numero alla lunghezza della password, se ne metto 4 non trova nulla. Quindi manda un carattere per un motivo che sconosco.

Del resto, pero', se non conosciamo la lunghezza delle password (e NON la conosciamo) questo sistema lascia il tempo che trova, non credi?

Capisco che piu' cose sappiamo e meno ci impega, ma...

Qual e' la riga di comando per tralasciare la lunghezza della password e andare da una lunghezza minima ad una massima?
In alcune guide trovo --pwd-min e --pwd-max, ma non credo che funzionino piu' perche' non sono nemmeno elencati nell'help.

Mi basta fare una ricerca da 5 a 8 caratteri alfanumerici. Oltre, credo sia il caso di lasciar perdere.

Qui c'e' l'output di quando trova "prov"

Session..........: hashcat
Status...........: Cracked
Hash.Type........: MD5
Hash.Target......: 2b461898dcf9364452f3254fbba790cc
Time.Started.....: Tue Mar 14 14:14:59 2017 (0 secs)
Time.Estimated...: Tue Mar 14 14:14:59 2017 (0 secs)
Input.Mask.......: utente:Technicolor Gateway:?l?l?l?l?l [32]
Input.Queue......: 1/1 (100.00%)
Speed.Dev.#1.....: 45505.0 kH/s (11.10ms)
Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 524288/11881376 (4.41%)
Rejected.........: 0/524288 (0.00%)
Restore.Point....: 0/11881376 (0.00%)
Candidates.#1....: utente:Technicolor Gatewayhhhh -> utente:Technicolor Gateway:xnuad
HWMon.Dev.#1.....: N/A

[carsco]

Trovato il problema.
La lunghezza massima della stringa di uscita e' 32 caratteri.

Quindi, se il nome utente + technicolor gateway + password superano i 32 caratteri l'output viene tagliato in coda.

Come posso risolvere?
Togliendo technicolor gateway? Ho visto che non funziona piu'.