Prolomení WPS pomocí Reaveru [ch3pt5]

Tento článek je výňatkem z mé elektronické knihy o penetračním testování a zabezpečení WiFi pro začínající hackery a nadšence do bezdrátové bezpečnosti. Kliknutím sem se dozvíte více

V předchozích kapitolách jsme se zabývali:

• Úvod do sady nástrojů Aircrack-ng
• Úvod do programu Wireshark
• Prolamování WEP pomocí Aircrack-ng
• Prolamování WPA/WPA2 Personal pomocí Aircrack-ng

Dnes se naučíme prolamovat WPS pomocí reaveru.

Co je to WPS?

WPS je zkratka pro Wi-Fi Protected Setup a byla navržena tak, aby zjednodušila nastavení zabezpečeného přístupového bodu pro běžného majitele domu. Poprvé byl představen v roce 2006, ale do roku 2011 se zjistilo, že má vážnou konstrukční chybu. Kód PIN WPS bylo možné poměrně jednoduše prolomit pomocí nástrojů, jako je Reaver.

Co je Reaver ?

Reaver je bezplatný open-source nástroj pro prolomení WPS, který využívá bezpečnostní díru v bezdrátových směrovačích a dokáže poměrně snadno prolomit aktuální heslo směrovače s podporou WPS. Je předinstalován v systému Kali Linux a prostřednictvím zdrojového kódu jej lze nainstalovat i do jiných linuxových distribucí. Reaver provádí útok hrubou silou na PIN číslo přístupového bodu WiFi Protected Setup. Jakmile je PIN WPS nalezen, lze obnovit PSK WPA

Podívejte se do mého nového obchodu na nejlepší adaptéry WiFi pro hackování, nejprodávanější knihy o pentestingu a nejlepší posilovače WiFi: Rootsh3ll rStore

Popis:

Reaver-wps se zaměřuje na funkci externího registrátora, kterou nařizuje specifikace WiFi Protected Setup. Přístupové body poskytnou ověřeným registrátorům svou aktuální konfiguraci bezdrátového připojení (včetně WPA PSK) a také přijmou novou konfiguraci od registrátora.

Pro ověření jako registrátor musí registrátor prokázat znalost osmimístného čísla PIN přístupového bodu. Registrátoři se mohou kdykoli ověřit na AP bez jakékoliv interakce s uživatelem. Protože protokol WPS probíhá prostřednictvím protokolu EAP, stačí, aby byl registrátor přidružen k AP, a nepotřebuje žádnou předchozí znalost šifrování nebo konfigurace bezdrátového připojení.

Reaver-wps provádí útok hrubou silou na AP a zkouší všechny možné kombinace s cílem uhodnout 8místné číslo PIN AP. Vzhledem k tomu, že všechna čísla PIN jsou číselná, existuje 10^8 (100 000 000-1 = 99 999 999) možných hodnot pro libovolné dané číslo PIN, přičemž 00 000 000 není klíč. Protože však poslední číslice pinu je hodnota kontrolního součtu, kterou lze vypočítat na základě předchozích 7 číslic, je tento prostor pro klíč redukován na 10^7 (10 000 000-1 = 9 999 999) možných hodnot, opět vzhledem k tomu, že kontrolní součet prvních 6 nul bude nulový, odstraníme 0 000 000, aby bylo možné jej vynutit hrubou silou.

Prostor pro klíč je ještě více redukován díky tomu, že ověřovací protokol WPS rozřízne pin na polovinu a každou polovinu ověří samostatně. To znamená, že pro první polovinu pinu existuje (10^4 )-1, tj. 9 999 možných hodnot, a pro druhou polovinu pinu (10^3)-1, tj. 999 možných hodnot, přičemž poslední číslice pinu je kontrolní součet.

Reaver-wps bruteforce první polovinu pinu a poté druhou polovinu pinu, což znamená, že celý klíčový prostor pro číslo pinu WPS lze vyčerpat během 10 999 pokusů. Rychlost, s jakou může Reaver testovat čísla PIN, je zcela omezena rychlostí, s jakou může přístupový bod zpracovávat požadavky WPS. Některá přístupová místa jsou dostatečně rychlá, aby bylo možné testovat jeden pin každou sekundu; jiná jsou pomalejší a umožňují pouze jeden pin každých deset sekund. Statisticky bude trvat jen polovinu této doby, aby bylo možné odhadnout správné číslo pinu.

Instalace programu Reaver ze zdrojového kódu:

Systém:

Otevřete terminál a zadejte:

Pokud jste četli předchozí návod, víte, že nejprve musíme naši bezdrátovou kartu přepnout do režimu monitoru a pak začít skenovat.

Krok 1: Přepnutí karty do režimu monitoru

Nejprve zabijte programy, které mohou způsobovat problémy, a pak přepneme naši kartu do režimu monitoru.

• sudo airmon-ng check kill
• sudo airmon-ng start wlan1

wlan1 je v mém případě bezdrátové rozhraní, to vaše můžete zkontrolovat jednoduchým zadáním v terminálu.

• iwconfig

Krok 2: Skenování vzduchu pro sítě WPS

Airodump-ng má omezení, Nemůže detekovat routery s povoleným WPS. Proto k tomuto účelu použijeme příkaz wash, který se nainstaluje spolu s Reaverem a pomůže nám skenovat routery s povoleným WPS.

Jen napište:

• sudo wash -i wlan1mon

Zobrazí se podobný výstup:

Všimněte si sloupce „WPS Locked“; není to zdaleka definitivní ukazatel, ale obecně zjistíte, že přístupové body, které jsou uvedeny jako odemčené, jsou mnohem pravděpodobněji náchylné k použití hrubého násilí. Stále se můžete pokusit o útok na síť, která je uzamčena WPS, ale šance na úspěch nejsou příliš vysoké.

Tady,

ESSID/Target: belkin.ffd

BSSID: EC:1A:59:43:3F:FD

Channel:

WPS uzamčeno: 11

WPS uzamčeno: 11

WPS uzamčeno: Ano

V případě, že se vám zobrazuje tento výstup:

Pro vynechání stačí k předchozímu příkazu přidat „-C“ nebo „-ignore-fcs“

• wash -i wlan1mon -C
• wash -i wlan1mon -ignore-fcs

Obojí bude fungovat stejně a budete ignorovat FCS pakety a dostanete dříve zobrazený výstup.

Krok 3: Spusťte Reaver

Po získání BSSID cílového Ap řekneme Reaveru, aby zkusil WPS pin útok pouze na tento konkrétní BSSID

• reaver -i wlan1mon -b EC:1A:59:43:3F:FD

V některých případech může být BSSID maskováno, nebo duplikováno jiným útočníkem. V takovém případě nebude Rever schopen úspěšně provést útok na WPS pin. Budete muset být přesnější a zadat ESSID a číslo kanálu, které jsme dříve poznamenali Reaver.

• reaver -i wlan1mon -b EC:1A:59:43:3F:FD -c 11 -e „belkin.ffd“

ESSID může obsahovat mezery, proto ESSID vždy uvádějte v uvozovkách.

Krok 4: Prolomení WPS

Tuto část vlastně provádí Reaver sám, protože jsme mu již poskytli potřebné informace. Pokud je směrovač zranitelný vůči útoku na pin WPS, zobrazí se následující výstup:

Pokud se programu Reaver podaří vyzkoušet jeden pin za druhým, pin WPS a odpovídající klíč WPA2-PSK budou s největší pravděpodobností prolomeny během několika hodin (3-5).

Je docela legrační, že WPS mělo uživatelům Homeusers poskytnout snadnost a zabezpečení, ale zranitelný směrovač s povoleným WPS umožňuje potenciálnímu útočníkovi snadno prolomit zabezpečení. Nejen klíč WPS, ale také předsdílený klíč WPA2, který je bez WPS podstatně mnohem těžší prolomit.

Ošklivá pravda o WPS

Je důležité si uvědomit, že nové přístupové body již tuto zranitelnost nemají. Tento útok bude fungovat pouze na přístupových bodech prodaných během tohoto roku 2006 a začátkem roku 2012. Vzhledem k tomu, že si mnoho rodin ponechává svá AP po mnoho let, existuje stále mnoho těchto zranitelných AP. Jednou za čas se tedy tato technika může hodit.

Podporované bezdrátové ovladače

Následující bezdrátové ovladače byly testovány nebo bylo hlášeno, že úspěšně fungují s Reaver-wps:

• ath9k
• rtl8187
• carl19170
• ipw2000
• rt2800pci
• rt73usb

Částečně podporované

Následující bezdrátové ovladače měly různé úspěchy, a mohou, ale nemusí fungovat v závislosti na vaší bezdrátové kartě (tj.e., pokud máte s těmito ovladači/kartami problémy, zvažte před odesláním hlášení o potížích vyzkoušení nové karty):

• ath5k
• iwlagn
• rtl2800usb
• b43

Není podporováno

Následující bezdrátové ovladače/karty byly testovány nebo bylo hlášeno, že s Reaverem nepracují správně:

• iwl4965
• RT3070L
• Netgear WG111v3

Protiopatření

1. Vypněte WPS tlačítkem WPS, je-li zranitelné.
2. Nepoužívejte WPS, pokud je váš směrovač zranitelný, a používejte silnou přístupovou frázi WPA2.
3. Zkontrolujte, zda je váš směrovač vyroben po roce 2012, nemusí být zranitelný.

Použitelné odkazy:

Router:

TP-LINK TL-MR3420 300 MB/s Wireless Router 2x 5dBi antény (opravený router s podporou WPS)

Síťové adaptéry:

Alfa AWUSO36NH High Gain B/G/N USB / Alfa AWUS036NHA B/G/N USB

Vysokozisková anténa:

Alfa 9dBi WiFi všesměrová anténa s vysokým ziskem

USB disk (32 GB):

SanDisk Ultra Fit USB 3.0 32 GB Pen Drive (mezinárodní)

SanDisk Ultra USB 3.0 32 GB Pen Drive (pouze Indie)