Современный взлом WPA-TKIP

На форуме в поиске, конечно, нашёл что-то подобное, но за 2009 год...
Тема такая: В округе ловятся 4 точки с приличным сигналом, но защищённые банальным WPA-TKIP. Всем известно, что ещё в 2008 году Бек и Тьюз представили способ взлома
алгоритма. Была представлена утилита tkiptun-ng, позволяющая вычислить некоторые параметры шифрования соединения и прослушивать трафик/формировать пакеты.
Одну точку протестировал, получил значения (MIC key и 2 файла - plaintext и keystream). Отсюда вопрос: как можно раскрутить дальнейший взлом точки до получения желаемого результата в виде ключа WPA ??? Знаю, что с помощью aireplay-ng можно создавать пакеты, как раз подставляя некоторые значения из tkiptun-ng. Как действовать? Может, инсценировать вход в админку точки буквально посредством отправки каждого пакета? Или, возможно, как-то вычислить IP и дальше Router Scan'ом (Способы, наверное, слишком экстравагантны )??? Я думаю, за 7 лет развития данного вопроса должны были появиться какие-то решения.

 

Тоже думал об этом, и план приблизительно был таков - записать с аналогичного роутера сессию входа в админку и включения доступа к роутеру извне, потом послать пакетики к целевой точке, а дальше дело техники. Тоже на горизонте есть непобежденная точка. Интересно услышать человека, который юзал атаку на ткип.

 

По-моему эта штуковина бесперспективна. АРП Пакет от собственной точки однажды удалось расшифровать, ну и все на этом. Уж скорее вы поломаете wps любой сложности чем этот ткип дурацкий. А через пару лет его не останется вовсе, так что обновлений взлома ткип не ожидайте.

 

Пример - укртелекомовские хуявеи, защита с завода wpa2-tkip, впс отключен и не включается. Пассы с завода там небрутабельные полностью. Кроме ткипа подхода нету.

 

Для начала попробуй pixiewps

 

Вот и я записал аналогичную сессию входа в аналогичный стандартный туполинк, как я понял, нужно выделить http post пакеты. Далее в aireplay-ng существует, например, опция -y (keystream for shared key auth), это для keystream файла вроде. Правда, не знаю, где использовать MIC key. А дальше, конечно, можно послать пакеты с заданным интервалом (вход в админку, выход на страницу с ключом или, действительно, как вариант, открытие доступа извне, если так легче). Естественно, User/Pass админки в пакете можно менять при необходимости (хотя, если стоит устаревшее шифрование, то никто, наверняка, по дефолту ничего не менял), как и весь процесс можно автоматизировать скриптом.

Тоже правда. В 2008-2009 годах очень много писали об этом методе, но с той поры дальше с места так ничего и не сдвинулось. TKIP явился всего лишь кратковременным переходом между WEP и WPA-PSK. И это чудо, что ещё где-то сохранились подобные "раритеты". Вообще заметил, что этим TKIP'ом защищены, как правило, точки старых моделей ещё с wireless g диапазоном, то есть и добив, и скорость будут мягко говоря уступать.
Но я считаю, что просто можно хотя попытать эту лазейку чисто ради хотя бы спортивного интереса. Тем более, что тоже несколько раз встречал, что если даже владельцы сменят точку, то ключ остаётся тем же. Так что, наверное, можно испытать tkip, чтобы потом поиметь wpa2-psk...

Сегодня как раз поломал одну Broadcom'овскую. Правда, изначально были проблемы с reaver'ом t6x, я писал об этом в соседнем топике. Но где-то увидел советовали Penetrator-WPS, с ним нормально пошло

 

Сегодня как раз поломал одну Broadcom'овскую. Правда, изначально были проблемы с reaver'ом t6x, я писал об этом в соседнем топике. Но где-то увидел советовали Penetrator-WPS, с ним нормально пошло [/QUOTE]


подскажи как ты установил Penetrator-WPS а то у меня что то неполучается

 

подскажи как ты установил Penetrator-WPS а то у меня что то неполучается[/QUOTE]

Установка в Kali Linux

 

В видео, конечно, показано, но если вкратце:

apt-get install git
apt-get install libpcap-dev libssl-dev -y && git clone https://github.com/xXx-stalin-666-money-xXx/penetrator-wps.git && cd penetrator-wps/ && ./install.sh && penetrator

В итоге должна открыться справка по программе. Если честно, первая команда ответила, что последняя версия git уже установлена. А так, всё должно установиться автоматом по 2-й команде;
устанавливал на Kali 2.0, естественно.

 

Всем спасибо.У меня были проблемы с репозиториями.

 

Из 26 точек результат 0.... Печально

 

Печально, что все Atheros и Broadcom?

 

Не отклоняйтесь от темы, WPS обсуждается в другой нити.

По теме - мне тоже было бы интересно узнать, появились ли новые эффективные способы расшифровки/инъекций TKIP.

 

а как вообще этот tkiptun запускать? я запустил его, и он тупо пытался сбить клиентов с точки.
вопрос 2 - какой cap файл ему надо подать, только tcp-сессию, или полный файл с wifi пакетами?

 

Всё описано тут:
http://aircrack-ng.org/doku.php?id=tkiptun-ng

Он сначала сбивает клиента, чтобы сбросить временные ключи, и начать возможно длительную атаку. После как ХШ получен, он ждёт от клиента ARP запроса к точке (проверяет по размеру пакета, как я понял), потом ответ точки к клиенту, а дальше особая магия.

В результате выдаст расшифрованный ARP пакет и XOR-поток для инъекций своих пакетов.

Ни то, ни другое, ни третье. Слать можно только по одному пакету, при этом правильно их формировать - в соответствии с MAC и локальными IP адресами клиента и точки.

В частности, можно попытаться отправить ICMP или UDP пакет на известный внешний адрес вашего сервера, таким образом определив внешний IP точки.

Инъектировать целую TCP сессию - морока ещё та... и да, инъекция пакетов в сеть делается через aireplay-ng. Мне пока не удавалось довести сеть до расшифровки ARP пакета, т.к. он не приходил, не было нужной сетевой активности клиента.

 

binarymaster, хорошо разъяснил . Я тоже сначала решил попробовать именно этот способ. Как я уже говорил выше, эти точки с tkip, как правило, по уши в дырах и можно попытаться пробиться из внешки
По вопросу подробной тактики: сначала (ну после tkiptun'а) нужно использовать чудо-утилиту packetforge-ng для формирования пакетов. Если проанализировать пример на сайте:
packetforge-ng -2 -a 00:14:6C:7E:40:80 -h 00:0F:B5:AB:CB:9D -k 192.168.1.100 -y fragment-0124-161129.xor -w ICMP
Здесь немного поменял: действуем ICMP пакетом, не знаю, вбивать или нет ключ -I, ведь нам и нужно узнать source IP, но он же в любом случае отобразиться в нашем сниффере.
Далее aireplay-ng (тоже взято с сайта):
aireplay-ng -2 -a 00:14:6C:7E:40:80 -h 00:0F:B5:AB:CB:9D -r ICMP.cap wlan0

Подправьте меня, если что не так !!!

 

Насмотрелся ютуба, удалось мне заставить работать сей софт, правда работает он нереально туго. После получения arp пакета прога что-то делает пол часа минимум. Причем ещё сигнал хороший нужен. Удалось послать icmp, udp пакет со 100500 раза. Но это не интересно и толку с этого мало, узнал внешний ip, а дальше что? Интересно бы впихнуть туда пару tcp пакетов, и открыть доступ извне.

 

А какие проблемы были с посылкой ICMP/UDP ?? Из-за плохого сигнала? Но вот уже прогресс - узнал внешний IP. Можно хотя бы попробовать роутерсканом ))) По поводу открытия доступа через посылку пакетов уже писали - здесь шлётся пачкой сессия, но её тяжело заинжектить (сам видишь, если уж даже 1 ICMP, как ты говорил, отправился тяжело)

 

Не то набирал при формировании пакетов. Внешний ip ничего особо не дал, роутер закрыт извне. Так то пакеты нормально ходят. Записал с других роутеров сессию входа, post с авторизацией ничем не отличается у них, нужно только ip + mac адреса перебить на нужные. Так что с tcp сессией вижу 2 проблемы - что делать со всяким мусорным трафиком типа tcp syn-ack пакетов + после авторизации роутер отдает кук файлы, без которых авторизация не пашет. С виду ничего сложного нету, нужно пихнуть роутеру всего 2 post запроса.

 

Кстати вопрос ко всем а у кого нибудь tkiptun-ng при выключенном (при включенном он не нужени!!!) интернете работал, если да то рузультаты подобные тому что приведен на сайте aircrack-ng.org получены? Я вот делал все как написано на сайте даже воспроизводил пример со скрина (с конкретными данными для моего случая) результатов нет - tkiptun-ng ничего не вывел!!!