Cracking WPS med Reaver [ch3pt5]

Denne artikel er et uddrag af min WiFi Penetration testing and Security eBook for aspirerende WiFi hackere og trådløse sikkerhedsentusiaster. Klik her for at lære mere

I tidligere kapitler dækkede vi:

• Indledning til Aircrack-ng Suite of tools
• Indledning til Wireshark
• WEP cracking ved hjælp af Aircrack-ng
• WPA/WPA2 Personal cracking ved hjælp af Aircrack-ng

I dag vil vi lære WPS cracking ved hjælp af reaver.

Hvad er WPS?

WPS står for Wi-Fi Protected Setup og blev designet til at gøre det enklere for den gennemsnitlige husejer at indstille et sikkert AP. Det blev først indført i 2006, men i 2011 blev det opdaget, at det havde en alvorlig designfejl. WPS-PIN-koden kunne ret simpelt tvinges bruteforceret ved hjælp af værktøjer som Reaver.

Hvad er Reaver?

Reaver er et gratis open source-værktøj til at knække WPS-koden, som udnytter et sikkerhedshul i trådløse routere og relativt nemt kan knække WPS-aktiverede routeres aktuelle adgangskode. Det leveres forudinstalleret i Kali Linux og kan installeres på andre Linux-distributioner via kildekoden. Reaver udfører et brute force-angreb mod et adgangspunkts WiFi Protected Setup-pin-nummer. Når WPS-pin-koden er fundet, kan WPA PSK-koden genoprettes

Kig ind i min nye butik for bedste WiFi-adaptere til hacking, bedst sælgende Pentesting-bøger og bedste WiFi-forstærkere: Rootsh3ll rStore

Beskrivelse:

Reaver-wps er rettet mod den eksterne registrator-funktionalitet, der er påkrævet af specifikationen for WiFi Protected Setup. Adgangspunkter vil give autentificerede registratorer deres aktuelle trådløse konfiguration (herunder WPA PSK) og også acceptere en ny konfiguration fra registratoren.

For at kunne autentificere sig som registrator skal registratoren bevise sit kendskab til AP’ets 8-cifrede pinkode. Registratorerne kan til enhver tid autentificere sig selv over for et AP uden brugerinteraktion. Da WPS-protokollen udføres over EAP, behøver registratoren kun at være tilknyttet AP’et og behøver ikke nogen forudgående viden om den trådløse kryptering eller konfiguration.

Reaver-wps udfører et brute force-angreb mod AP’et og forsøger at gætte alle mulige kombinationer for at gætte AP’ets 8-cifrede pin-nummer. Da pin-numrene alle er numeriske, er der 10^8 (100.000.000.000-1 = 99.999.999) mulige værdier for ethvert givet pin-nummer, idet 00.000.000.000 ikke er nøglen. Men da det sidste ciffer i pinkoden er en checksum-værdi, som kan beregnes på grundlag af de foregående 7 cifre, reduceres dette nøgleområde til 10^7 (10.000.000.000-1 = 9.999.999) mulige værdier, og da checksummen af de første 6 nuller vil være nul, fjerner vi 0.000.000.000, som skal bruteforceres.

Nøgleområdet reduceres yderligere, fordi WPS-autentificeringsprotokollen skærer pinkoden i to og validerer hver halvdel individuelt. Det betyder, at der er (10^4 )-1 dvs. 9.999 mulige værdier for den første halvdel af pin-nummeret og (10^3)-1 dvs. 999 mulige værdier for den anden halvdel af pin-nummeret, hvor det sidste ciffer i pin-nummeret er en kontrolsum.

Reaver-wps brute-force den første halvdel af pin-nummeret og derefter den anden halvdel af pin-nummeret, hvilket betyder, at hele nøglepladsen for WPS-pin-nummeret kan udtømmes i 10.999 forsøg. Den hastighed, hvormed Reaver kan teste pin-numre, er helt begrænset af den hastighed, hvormed AP’en kan behandle WPS-forespørgsler. Nogle AP’er er hurtige nok til, at der kan testes en pin-kode hvert sekund; andre er langsommere og tillader kun en pin-kode hvert tiende sekund. Statistisk set vil det kun tage halvdelen af denne tid at gætte det korrekte pin-nummer.

Installation af Reaver fra kildekode:

System: Ubuntu

Åbn terminal og skriv:

Hvis du har læst tidligere vejledning, vil du vide, at vi først skal sætte vores trådløse kort i skærmtilstand og derefter begynde at scanne.

Stræk 1: Sætte kortet i skærmtilstand

Først skal vi dræbe de programmer, der kan forårsage problemer, og derefter sætter vi vores kort i skærmtilstand.

• sudo airmon-ng check kill
• sudo airmon-ng start wlan1

wlan1 er den trådløse grænseflade i mit tilfælde, du kan tjekke din ved blot at skrive i terminal.

• iwconfig

Step 2: Scanning af luften for WPS-netværk

Airodump-ng har en begrænsning, den kan ikke registrere WPS-aktiverede routere. Så til dette formål bruger vi wash-kommandoen, som installeres sammen med Reaver og hjælper os med at scanne efter WPS-aktiverede routere.

Skriv blot:

• sudo wash -i wlan1mon

Det vil vise et lignende output:

Bemærk kolonnen “WPS Locked”; dette er langt fra en endelig indikator, men generelt vil du finde, at AP’er, der er opført som ulåste, er meget mere tilbøjelige til at være modtagelige for brute forcing. Du kan stadig forsøge at iværksætte et angreb mod et netværk, der er WPS-låst, men chancerne for succes er ikke særlig gode.

Her,

ESSID/Target: belkin.ffd

BSSID: EC:1A:59:43:3F:FD

Kanal: 11

WPS Låst: Yes

I tilfælde af at du får et output som dette:

Du skal blot tilføje “-C” eller “-ignore-fcs” med den foregående kommando for at springe over

• wash -i wlan1mon -C
• wash -i wlan1mon -ignore-fcs

Både vil fungere på samme måde, og ignorere FCS-pakker, og du vil få tidligere viste output.

Stræk 3: Start Reaver

Når vi har fået målets Ap’s BSSID, vil vi fortælle Reaver, at han kun skal forsøge WPS pin-angreb på dette specifikke BSSID

• reaver -i wlan1mon -b EC:1A:59:43:3F:3F:FD

I nogle tilfælde kan BSSID være cloaked eller duplikeret af en anden angriber. I så fald vil Rever ikke kunne gennemføre et WPS pin-angreb med succes. Du bliver nødt til at være mere præcis ved at angive ESSID og kanalnummer, som vi tidligere bemærkede til Reaver.

• reaver -i wlan1mon -b EC:1A:59:43:3F:FD -c 11 -e “belkin.ffd”

ESSID kan indeholde mellemrum, så inkluder altid ESSID i anførselstegn.

Stræk 4: Cracking WPS

Denne del udføres faktisk af Reaver selv, da vi allerede har givet de nødvendige oplysninger til Reaver. Hvis routeren er sårbar over for WPS Pin-angreb, vil den vise dig et output som dette:

Hvis det lykkes Reaver at prøve den ene pin efter den anden, vil WPS-pin og den tilsvarende WPA2-PSK-nøgle højst sandsynligt blive brudt i løbet af et par timer (3-5).

Det er ret sjovt, at WPS skulle give lethed og sikkerhed til hjemmebrugerne, men en sårbar WPS-aktiveret router giver en potentiel angriber mulighed for at bryde sikkerheden med lethed. Ikke kun WPS-nøglen, men også WPA2 PreShared Key, der er betydeligt meget sværere at knække uden WPS.

Den grimme sandhed om WPS

Det er vigtigt at bemærke, at nye AP’er ikke længere har denne sårbarhed. Dette angreb vil kun virke på AP’er solgt i løbet af at 2006 og begyndelsen af 2012. Da mange familier beholder deres AP’er i mange år, er der stadig mange af disse sårbare AP’er til stede. Så en gang i mellem kan denne teknik være nyttig.

Støttede trådløse drivere

Følgende trådløse drivere er blevet testet eller rapporteret til at fungere med succes med Reaver-wps:

• ath9k
• rtl8187
• carl19170
• ipw2000
• rt2800pci
• rt73usb

Delvis understøttet

De følgende trådløse drivere har haft blandet succes:

• ath9k
• rt73usb

Delvis understøttet

De følgende trådløse drivere har haft blandet succes, og virker måske eller måske ikke afhængigt af dit trådløse kort (i.e., hvis du har problemer med disse drivere/kort, skal du overveje at prøve et nyt kort, før du indsender en fejlmeddelelse):

• ath5k
• iwlagn
• rtl2800usb
• b43

Nej understøttet

De følgende trådløse drivere/kort er blevet testet eller rapporteret til ikke at fungere korrekt med Reaver:

• iwl4965
• RT3070L
• Netgear WG111v3

Konterforanstaltninger

1. Sluk for WPS ved hjælp af WPS-knappen, hvis den er sårbar.
2. Brug ikke WPS, hvis din router er sårbar, og brug en stærk WPA2-passphrase.
3. Kontroller, om din router er fremstillet efter 2012, den er måske ikke sårbar.

Nyttige links:

Router:

TP-LINK TL-MR3420 300 MB/s Wireless Router 2x 5dBi antenner (Patched WPS Supported router)

Netværkskort:

Alfa AWUSO36NH High Gain B/G/N USB / Alfa AWUS036NHA B/G/N USB

High Gain Antenne:

Alfa 9dBi WiFi Omni-Directional High-Gain Antenna

USB-drev (32 GB):

SanDisk Ultra Fit USB 3.0 32 GB Pen Drive (International)

SanDisk Ultra USB 3.0 32 GB Pen Drive (kun Indien)