Современный взлом WPA-TKIP

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by UNIXTREID, 5 Nov 2015.

  1. UNIXTREID

    UNIXTREID Member

    Joined:
    2 Nov 2015
    Messages:
    140
    Likes Received:
    22
    Reputations:
    1
    На форуме в поиске, конечно, нашёл что-то подобное, но за 2009 год...
    Тема такая: В округе ловятся 4 точки с приличным сигналом, но защищённые банальным WPA-TKIP. Всем известно, что ещё в 2008 году Бек и Тьюз представили способ взлома
    алгоритма. Была представлена утилита tkiptun-ng, позволяющая вычислить некоторые параметры шифрования соединения и прослушивать трафик/формировать пакеты.
    Одну точку протестировал, получил значения (MIC key и 2 файла - plaintext и keystream). Отсюда вопрос: как можно раскрутить дальнейший взлом точки до получения желаемого результата в виде ключа WPA ??? Знаю, что с помощью aireplay-ng можно создавать пакеты, как раз подставляя некоторые значения из tkiptun-ng. Как действовать? Может, инсценировать вход в админку точки буквально посредством отправки каждого пакета? Или, возможно, как-то вычислить IP и дальше Router Scan'ом (Способы, наверное, слишком экстравагантны :))??? Я думаю, за 7 лет развития данного вопроса должны были появиться какие-то решения.
     
  2. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    Тоже думал об этом, и план приблизительно был таков - записать с аналогичного роутера сессию входа в админку и включения доступа к роутеру извне, потом послать пакетики к целевой точке, а дальше дело техники. Тоже на горизонте есть непобежденная точка. Интересно услышать человека, который юзал атаку на ткип.
     
  3. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    367
    Likes Received:
    163
    Reputations:
    19
    По-моему эта штуковина бесперспективна. АРП Пакет от собственной точки однажды удалось расшифровать, ну и все на этом. Уж скорее вы поломаете wps любой сложности чем этот ткип дурацкий. А через пару лет его не останется вовсе, так что обновлений взлома ткип не ожидайте.
     
  4. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    Пример - укртелекомовские хуявеи, защита с завода wpa2-tkip, впс отключен и не включается. Пассы с завода там небрутабельные полностью. Кроме ткипа подхода нету.
     
  5. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    917
    Likes Received:
    492
    Reputations:
    724
    Для начала попробуй pixiewps
     
    _________________________
  6. UNIXTREID

    UNIXTREID Member

    Joined:
    2 Nov 2015
    Messages:
    140
    Likes Received:
    22
    Reputations:
    1
    Вот и я записал аналогичную сессию входа в аналогичный стандартный туполинк, как я понял, нужно выделить http post пакеты. Далее в aireplay-ng существует, например, опция -y (keystream for shared key auth), это для keystream файла вроде. Правда, не знаю, где использовать MIC key. А дальше, конечно, можно послать пакеты с заданным интервалом (вход в админку, выход на страницу с ключом или, действительно, как вариант, открытие доступа извне, если так легче). Естественно, User/Pass админки в пакете можно менять при необходимости (хотя, если стоит устаревшее шифрование, то никто, наверняка, по дефолту ничего не менял), как и весь процесс можно автоматизировать скриптом.

    Тоже правда. В 2008-2009 годах очень много писали об этом методе, но с той поры дальше с места так ничего и не сдвинулось. TKIP явился всего лишь кратковременным переходом между WEP и WPA-PSK. И это чудо, что ещё где-то сохранились подобные "раритеты". Вообще заметил, что этим TKIP'ом защищены, как правило, точки старых моделей ещё с wireless g диапазоном, то есть и добив, и скорость будут мягко говоря уступать.
    Но я считаю, что просто можно хотя попытать эту лазейку чисто ради хотя бы спортивного интереса. Тем более, что тоже несколько раз встречал, что если даже владельцы сменят точку, то ключ остаётся тем же. Так что, наверное, можно испытать tkip, чтобы потом поиметь wpa2-psk... :D


    Сегодня как раз поломал одну Broadcom'овскую. Правда, изначально были проблемы с reaver'ом t6x, я писал об этом в соседнем топике. Но где-то увидел советовали Penetrator-WPS, с ним нормально пошло :D
     
    user100 likes this.
  7. VOVAN948ks

    VOVAN948ks Banned

    Joined:
    18 Oct 2015
    Messages:
    19
    Likes Received:
    0
    Reputations:
    0
    Сегодня как раз поломал одну Broadcom'овскую. Правда, изначально были проблемы с reaver'ом t6x, я писал об этом в соседнем топике. Но где-то увидел советовали Penetrator-WPS, с ним нормально пошло :D[/QUOTE]


    подскажи как ты установил Penetrator-WPS а то у меня что то неполучается
     
  8. Sitronik

    Sitronik Member

    Joined:
    4 Oct 2012
    Messages:
    184
    Likes Received:
    33
    Reputations:
    3

    подскажи как ты установил Penetrator-WPS а то у меня что то неполучается[/QUOTE]

    Установка в Kali Linux
     
  9. UNIXTREID

    UNIXTREID Member

    Joined:
    2 Nov 2015
    Messages:
    140
    Likes Received:
    22
    Reputations:
    1
    В видео, конечно, показано, но если вкратце:

    apt-get install git
    apt-get install libpcap-dev libssl-dev -y && git clone https://github.com/xXx-stalin-666-money-xXx/penetrator-wps.git && cd penetrator-wps/ && ./install.sh && penetrator

    В итоге должна открыться справка по программе. Если честно, первая команда ответила, что последняя версия git уже установлена. А так, всё должно установиться автоматом по 2-й команде;
    устанавливал на Kali 2.0, естественно.
     
  10. VOVAN948ks

    VOVAN948ks Banned

    Joined:
    18 Oct 2015
    Messages:
    19
    Likes Received:
    0
    Reputations:
    0
    Всем спасибо.У меня были проблемы с репозиториями.
     
  11. fonsbonum

    fonsbonum New Member

    Joined:
    29 Oct 2012
    Messages:
    134
    Likes Received:
    3
    Reputations:
    0
    Из 26 точек результат 0.... Печально
     
  12. Triton_Mgn

    Triton_Mgn Elder - Старейшина

    Joined:
    6 Jul 2015
    Messages:
    3,673
    Likes Received:
    5,797
    Reputations:
    51
    Печально, что все Atheros и Broadcom?
     
  13. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Не отклоняйтесь от темы, WPS обсуждается в другой нити.

    По теме - мне тоже было бы интересно узнать, появились ли новые эффективные способы расшифровки/инъекций TKIP.
     
  14. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    а как вообще этот tkiptun запускать? я запустил его, и он тупо пытался сбить клиентов с точки.
    вопрос 2 - какой cap файл ему надо подать, только tcp-сессию, или полный файл с wifi пакетами?
     
  15. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Всё описано тут:
    http://aircrack-ng.org/doku.php?id=tkiptun-ng

    Он сначала сбивает клиента, чтобы сбросить временные ключи, и начать возможно длительную атаку. После как ХШ получен, он ждёт от клиента ARP запроса к точке (проверяет по размеру пакета, как я понял), потом ответ точки к клиенту, а дальше особая магия.

    В результате выдаст расшифрованный ARP пакет и XOR-поток для инъекций своих пакетов.
    Ни то, ни другое, ни третье. Слать можно только по одному пакету, при этом правильно их формировать - в соответствии с MAC и локальными IP адресами клиента и точки.

    В частности, можно попытаться отправить ICMP или UDP пакет на известный внешний адрес вашего сервера, таким образом определив внешний IP точки.

    Инъектировать целую TCP сессию - морока ещё та... и да, инъекция пакетов в сеть делается через aireplay-ng. Мне пока не удавалось довести сеть до расшифровки ARP пакета, т.к. он не приходил, не было нужной сетевой активности клиента.
     
    UNIXTREID and TOX1C like this.
  16. UNIXTREID

    UNIXTREID Member

    Joined:
    2 Nov 2015
    Messages:
    140
    Likes Received:
    22
    Reputations:
    1
    binarymaster, хорошо разъяснил ;). Я тоже сначала решил попробовать именно этот способ. Как я уже говорил выше, эти точки с tkip, как правило, по уши в дырах и можно попытаться пробиться из внешки :)
    По вопросу подробной тактики: сначала (ну после tkiptun'а) нужно использовать чудо-утилиту packetforge-ng для формирования пакетов. Если проанализировать пример на сайте:
    packetforge-ng -2 -a 00:14:6C:7E:40:80 -h 00:0F:B5:AB:CB:9D -k 192.168.1.100 -y fragment-0124-161129.xor -w ICMP
    Здесь немного поменял: действуем ICMP пакетом, не знаю, вбивать или нет ключ -I, ведь нам и нужно узнать source IP, но он же в любом случае отобразиться в нашем сниффере.
    Далее aireplay-ng (тоже взято с сайта):
    aireplay-ng -2 -a 00:14:6C:7E:40:80 -h 00:0F:B5:AB:CB:9D -r ICMP.cap wlan0

    Подправьте меня, если что не так !!! :D
     
    TOX1C likes this.
  17. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    Насмотрелся ютуба, удалось мне заставить работать сей софт, правда работает он нереально туго. После получения arp пакета прога что-то делает пол часа минимум. Причем ещё сигнал хороший нужен. Удалось послать icmp, udp пакет со 100500 раза. Но это не интересно и толку с этого мало, узнал внешний ip, а дальше что? Интересно бы впихнуть туда пару tcp пакетов, и открыть доступ извне.
     
    hahanovB and binarymaster like this.
  18. UNIXTREID

    UNIXTREID Member

    Joined:
    2 Nov 2015
    Messages:
    140
    Likes Received:
    22
    Reputations:
    1
    А какие проблемы были с посылкой ICMP/UDP ?? Из-за плохого сигнала? Но вот уже прогресс - узнал внешний IP. Можно хотя бы попробовать роутерсканом ))) По поводу открытия доступа через посылку пакетов уже писали - здесь шлётся пачкой сессия, но её тяжело заинжектить (сам видишь, если уж даже 1 ICMP, как ты говорил, отправился тяжело)
     
  19. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    Не то набирал при формировании пакетов. Внешний ip ничего особо не дал, роутер закрыт извне. Так то пакеты нормально ходят. Записал с других роутеров сессию входа, post с авторизацией ничем не отличается у них, нужно только ip + mac адреса перебить на нужные. Так что с tcp сессией вижу 2 проблемы - что делать со всяким мусорным трафиком типа tcp syn-ack пакетов + после авторизации роутер отдает кук файлы, без которых авторизация не пашет. С виду ничего сложного нету, нужно пихнуть роутеру всего 2 post запроса.
     
  20. rooker

    rooker New Member

    Joined:
    14 Dec 2017
    Messages:
    57
    Likes Received:
    2
    Reputations:
    0
    Кстати вопрос ко всем а у кого нибудь tkiptun-ng при выключенном (при включенном он не нужени!!!) интернете работал, если да то рузультаты подобные тому что приведен на сайте aircrack-ng.org получены? Я вот делал все как написано на сайте даже воспроизводил пример со скрина (с конкретными данными для моего случая) результатов нет - tkiptun-ng ничего не вывел!!!
     
Loading...