Двойник точки и блокировка WPS

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by sol_omol, 4 Jun 2017.

  1. sol_omol

    sol_omol New Member

    Joined:
    4 Jun 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте, есть пара вопросов по беспроводным сетям:
    1)
    Неподалеку от меня (в этом же здании с панельными стенами) находится WPA2-PSK точка доступа, восьмая винда определяет ее ловимость на 3-5 палок из 5. Задача получить пароль на авторизацию конкретно этой точки.
    Мои ресурсы:
    - Ноутбук с восьмой виндой, встроенная карточка Atheros, внешняя USB TP-Link WN822N ver3.
    Со встроенной карточки сижу в интернете, внешнюю использует Кали в виртуалбоксе.
    - Какой-то роутер, дилинк или там тплинк, не суть. Лежит в коробке, ждет своего часа.
    Что я сделал:
    Потыкался с винды Dumpper'ом (утилита со списком WPS пинов) в сеть. WPS запрещен, смысла нет. Попытался пару раз сбрутить с винды безымянным софтом пароль, используя листы паролей вида 10207* и 192168* (у провайдеров города есть такая мода на пароли). Во-первых ничего не получилось (см.далее, я пробовал эти же пароли при работе с хендшейком), во-вторых брут конкретно этой точки почему-то зависал, ну это пусть будет на совести его создателя.
    Попробовал с Кали и внешней карточки. Воспользовался линейкой Air-утилит, чтобы деавторизовать имеющегося клиента точки, перехватить хендшейк, попробовал пару простых словарей (10207*, 192168*, qwerty1234 там всякие) - пусто. Сейчас поставил перебираться восьмизначные числовые пароли используя хендшейк, остались сутки до завершения. Уверен что пароль сложнее и я его так не найду.
    Результата нет. Планирую воткнуть в розетку роутер, настроить ему имя сети и MAC как у атакуемой точки, затем задудосить (гы) атакуемую точку и ждать подключения к моему роутеру.
    Существующий инструмент для атак такого рода (wifiphisher под кали) предполагает отправлять клиента на страницу "обновления прошивки роутера" блаблабла. Я сомневаюсь что клиент на такое поведется. Мне хотелось бы получить нужный пароль от самого клиента из его неудачной попытки авторизации с паролем от атакуемой точки.
    Вопрос, как мне достать пароль из попыток входа клиентов атакуемой точки с известным им искомым паролем к моему роутеру (злому двойнику атакуемой точки)? Я не специалист, интересует подробная реализация или хотя бы названия утилит, снифающих такие вещи (данные о попытках авторизации и паролях от клиентов, при учете того что админка самой точки у меня есть, я могу теоретически в каких-то логах точки об этом прочитать?).

    2)
    Пару месяцев назад постучался тем же Dumpper'ом в совершенно другую точку. Не получилось, не фартануло. Через несколько дней повторяю попытку - а WPS выключен. Точка его автоматом вырубила или хозяева такие умные? Ваши идеи пожалуйста.
     
  2. morlin

    morlin Member

    Joined:
    25 Dec 2015
    Messages:
    242
    Likes Received:
    56
    Reputations:
    0
    Ну пиксидуст попробуй. Я понимаю что врятле прокатит, но здесь так расхваливают это дерьмо, что я подумал почему бы не посоветовать его, мож че и получится.
     
  3. Kakoluk

    Kakoluk Banned

    Joined:
    14 Aug 2015
    Messages:
    514
    Likes Received:
    704
    Reputations:
    4
    Выложить хендшейк. Желательно, в соответствующую тему(перебор).
    Если это возможно то как правильно пнули:
    А насчёт фейковой точки, я(а я перестраховщик) бы на вашем месте поостерёгся. Это всё равно что поставить рояль на улице, и начать на нём играть, надеясь при этом что вас никто не услышит/не заметит. А там глядишь, что нибудь и по шее прилетит. :)
     
  4. sol_omol

    sol_omol New Member

    Joined:
    4 Jun 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    https://forum.antichat.ru/threads/435763/page-485#post-4092965
    Заодно и проверят добрые люди, не вхолостую ли идет брут.

    Повторю кратко свои вопросы, а то судя по некоторым ответам люди пост не дочитали.
    1) Если к моей точке с теми же именем сети и физическим адресом подключится клиент, принявший ее за атакуемую точку и попытается скормить ей тот пароль что мне нужен,
    то как мне узнать этот пароль без всяких фейковых страниц обновления прошивки, при условии что я могу вести логи на моей точке и снифать ее со своего ноута тоже могу?
    2) Совершенно другая точка при попытке проверить дырку с WPS отключила WPS и уже недели не включает. Кто по вашему мнению выключил WPS - сама точка или ее хозяин?
     
  5. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Никак, ведь клиенту нужно будет предоставить какую-то форму для ввода Wi-Fi пароля.

    Вариант - подключить к этому роутеру по WAN порту специально настроенный шлюз (например на базе Kali Linux), который будет все запросы перенаправлять на свой веб сервер, а он в свою очередь будет отдавать страницу ввода пароля.
    Скорее сама точка. У меня такое было один раз с каким-то ASUS'ом - пин код добылся через Pixiewps, но сразу же после этого WPS загадочным образом отключился, и пароль уже не узнать.
     
    sol_omol likes this.
  6. sol_omol

    sol_omol New Member

    Joined:
    4 Jun 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Но зачем? Клиент же при попытке подключиться к защищенной точке вводит пароль, и далее пароль каким-то образом кодируется и отправляется точке (клиент думает что это та, атакуемая точка, а не ее двойник), вот из этого его запроса на авторизацию я могу как-то получить пароль с которым он пытается подключиться к моей точке?
    Вот я в винде нашел вайфай, нажал "Подключиться", винда потребовала ввести ключ, я ввел, а дальше ключ отправляется точке, и если он подходит, то соединение будет установлено.
    Вот этот передаваемый мной ключ можно как-то выловить из запроса на авторизацию?

    Если все-таки так сделать нельзя, то наверное придется использовать wifiphisher из Кали, вроде бы ему не нужен даже роутер. Карточка у меня режим точки доступа поддерживает. Ну это-то я все нагуглю.

    Спасибо за ответ, на этом моменте я перевел дух =)
     
  7. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Затем, что вы не знаете, каким именно образом он кодируется. :)

    Ваша точка доступа просто не примет клиента с неверным паролем. Максимум что вы в этом случае получите - тот же хендшейк, но только с пакетами 1 и 2.

    Выставляйте тип защиты на открытый (без пароля), тогда есть шанс что вы подцепите его.
     
  8. morlin

    morlin Member

    Joined:
    25 Dec 2015
    Messages:
    242
    Likes Received:
    56
    Reputations:
    0
    Я так в принципе сильно мудрить не буду, просто дам ссылку, по моему то что надо в таких случаях.
     
  9. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    Что еще жертве делать, если от дудоса mdk3 двумя адаптерами к сети не может больше ничего подключиться?
    Ведутся, еще как. Только страницу надо максимально подогнать под реальный вид админки роутера. И текст поменять - прошивка обновилась сама, но слетели настройки.
    Известный баг или чипсета ралинк, или софта reaver / bully. После отправки М2 пакета Точка глушит впс до перезагрузки. Асус так вообще сам по себе включает и выключает впс.
     
  10. sol_omol

    sol_omol New Member

    Joined:
    4 Jun 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Действительно :D Ладно, мы пойдем другим путем.
    Ух ты, это записать надо, чтобы не теряться в следующий раз.
    Подудосю-ка я ту точку, чтобы владелец ткнул ресет =)
     
    #10 sol_omol, 4 Jun 2017
    Last edited: 4 Jun 2017
  11. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Чтоб наверняка, это Sagemcom F@st 1744 v4 с прошивкой Airocon.

    Если на нём вдруг включится WPS, то пин код скорее всего будет 16111035.
     
    Kakoluk, Triton_Mgn and sol_omol like this.
  12. Kakoluk

    Kakoluk Banned

    Joined:
    14 Aug 2015
    Messages:
    514
    Likes Received:
    704
    Reputations:
    4
    Из праздного интереса(без всякого сарказма). В скольких случаях(в %) наступала удача? И каковы затраты по времени на рекодинг фейковой страницы? Из вашей статистики.
     
  13. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    Шанс почти 100%. Чем ближе атакующее оборудование к жертве, тем больше шансов на успех. Основная проблема в неотвале клиентов с точки. Жертвам обычно пох на все, как принимают левые https сертификаты, так и пароли вводят не туда куда надо. Лучше всего лупить поздно вечером, когда юзера валяются на диванах или постелях, и им лень передернуть роутер.

    Фейк делали за 1-2 дня. Неотличимый от оригинальных админок. Делалось за деньги, у меня скилла веб-разработки нет.
     
  14. sol_omol

    sol_omol New Member

    Joined:
    4 Jun 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Потыкался Dumpper'ом - нет, не 16111035.
    Вообще Dumpper, PinSniff и JumpStart - три утилиты, написанные и поддерживаемые абсолютно через жопу. Я вообще никак не могу понять почему Dumpper при клике по половине своих кнопок предлагает скачать на левом сайте с регистрацией на непонятном языке какую-то дополнительную прогу, требует отдельно устанавливать JumpStart который требует WinPcap (насколько я понял система именно такова), вызываемый им WpsPin.exe видимо вообще не предполагается использовать самому, просто от слова совсем.
    PinSniff то же самое - в стандартный поток не пишет, при запуске какое-то неадекватное окошечко со строчкой обработчика команд и отдельно readme, из которого неоднозначно ясно, что надо делать чтобы это работало. У меня PinSniff так и не заработал. А уж о редактировании списка пинов я вообще молчу, соответствующая панелька есть лишь в одной из версий дампера, лично я в ней не разобрался и полез в файл руками, при этом лишь одна из имеющихся у меня версий дампера позволяет так вот запросто забить туда свой пин в блокноте. Вышеописанные программы - прямая противоположность удобному и эргономичному софту, ящитаю.
     
  15. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Потому что лучше для этого использовать Linux.
     
  16. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    1,011
    Likes Received:
    1,192
    Reputations:
    62
    Af5G4337 and Triton_Mgn like this.
  17. morlin

    morlin Member

    Joined:
    25 Dec 2015
    Messages:
    242
    Likes Received:
    56
    Reputations:
    0
    А какой смысл там тыкаться дампером, если насколько я понял там WPS либо выключен, либо стоит "Locked"?
     
  18. sol_omol

    sol_omol New Member

    Joined:
    4 Jun 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    WPS внезапно включился. Сам в шоке. Видимо хозяин таки тыкнул ресет.

    У меня сейчас нет возможности запилить "evil twin" (сижу на другом компе), сделаю это во вторник вечером, сверстав что-нибудь похожее на страничку от Ростелекома (мне кажется мудрить особо не стоит, раз тут сказали опытные люди что вероятность успеха около ста процентов). Ну можно еще сбрутить пин, но как бы точка не закрыла WPS, интернет ничего не говорит по поводу поведения конкретно этой модели в случае попытки брута.
     
    #18 sol_omol, 5 Jun 2017
    Last edited: 5 Jun 2017
  19. sol_omol

    sol_omol New Member

    Joined:
    4 Jun 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Прошу меня проконсультировать еще раз. Итак, WPS внезапно включился и я пробую сбрутить WPS. Есть подозрение что из-за моих потуг сделать что-то дампером, точка на время запретила WPS. Reaver мало того что зациклился на своем WSC NACK и ошибке 0x04 (при некоторых ключах запуска 0x03), так еще в его логе нет нужных для работы Pixiedust хешей, посмотрите:
    Недостает E-Hash1 и E-Hash2 насколько я вижу. Может точка огородилась и надо подождать денек? Только ночь я уже подождал, неужели WPS выключен на большее время? wash говорит что WPS включен =)
     
  20. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Если после M2 следует WSC NACK, то WPS заблокирован (но не выключен).

    Судя по всему, точка не выставила флаг блокировки, но это не меняет ситуацию.
     
    Af5G4337 likes this.