Dieser Artikel ist ein Auszug aus meinem WiFi Penetration Testing und Security eBook für angehende WiFi-Hacker und Wireless Security Enthusiasten. Klicken Sie hier, um mehr zu erfahren
In früheren Kapiteln haben wir behandelt:
- Einführung in die Aircrack-ng Suite von Tools
- Einführung in Wireshark
- WEP knacken mit Aircrack-ng
- WPA/WPA2 Personal knacken mit Aircrack-ng
Heute lernen wir WPS knacken mit Reaver.
- Was ist WPS?
- Was ist Reaver?
- Beschreibung:
- Installation von Reaver aus dem Quellcode:
- Schritt 1: Karte in den Monitormodus versetzen
- Schritt 2: Scannen der Luft nach WPS-Netzwerken
- Schritt 3: Reaver starten
- Schritt 4: WPS knacken
- Die hässliche Wahrheit über WPS
- Unterstützte Wireless-Treiber
- Teilweise unterstützt
- Nicht unterstützt
- Gegenmaßnahmen
- Nützliche Links:
Was ist WPS?
WPS steht für Wi-Fi Protected Setup und wurde entwickelt, um die Einrichtung eines sicheren AP für den durchschnittlichen Hausbesitzer zu vereinfachen. Erstmals 2006 eingeführt, wurde 2011 festgestellt, dass es einen schwerwiegenden Konstruktionsfehler aufwies. Die WPS-PIN konnte mit Tools wie Reaver relativ einfach geknackt werden.
Was ist Reaver?
Reaver ist ein kostenloses, quelloffenes WPS-Cracking-Tool, das eine Sicherheitslücke in drahtlosen Routern ausnutzt und das aktuelle Passwort von WPS-fähigen Routern relativ einfach knacken kann. Es ist in Kali Linux vorinstalliert und kann über den Quellcode auch auf anderen Linux-Distributionen installiert werden. Reaver führt einen Brute-Force-Angriff auf die WiFi Protected Setup-Pin-Nummer eines Access Points durch. Sobald der WPS-Pin gefunden ist, kann der WPA-PSK wiederhergestellt werden
Sehen Sie sich meinen neuen Shop für die besten WiFi-Adapter für Hacking, die meistverkauften Pentesting-Bücher und die besten WiFi-Booster an: Rootsh3ll rStore
Beschreibung:
Reaver-wps zielt auf die externe Registrar-Funktionalität ab, die von der WiFi Protected Setup-Spezifikation gefordert wird. Access Points stellen authentifizierten Registraren ihre aktuelle Wireless-Konfiguration (einschließlich des WPA-PSK) zur Verfügung und akzeptieren auch eine neue Konfiguration vom Registrar.
Um sich als Registrar zu authentifizieren, muss der Registrar seine Kenntnis der 8-stelligen Pin-Nummer des APs nachweisen. Registratoren können sich jederzeit ohne Benutzerinteraktion bei einem AP authentifizieren. Da das WPS-Protokoll über EAP abgewickelt wird, muss der Registrar nur mit dem AP assoziiert sein und braucht keine Vorkenntnisse über die drahtlose Verschlüsselung oder Konfiguration.
Reaver-wps führt einen Brute-Force-Angriff gegen den AP durch, wobei alle möglichen Kombinationen versucht werden, um die 8-stellige Pin-Nummer des APs zu erraten. Da die Pin-Nummern alle numerisch sind, gibt es 10^8 (100.000.000-1 = 99.999.999) mögliche Werte für jede beliebige Pin-Nummer, wobei 00.000.000 nicht der Schlüssel ist. Da es sich bei der letzten Ziffer des Pins jedoch um eine Prüfsumme handelt, die auf der Grundlage der vorherigen 7 Ziffern berechnet werden kann, reduziert sich der Schlüsselraum auf 10^7 (10.000.000-1 = 9.999.999) mögliche Werte. Da die Prüfsumme der ersten 6 Nullen wiederum Null ist, entfernen wir 0.000.000, um den Schlüssel zu erzwingen.
Der Schlüsselraum wird noch weiter reduziert, da das WPS-Authentifizierungsprotokoll den Pin in zwei Hälften teilt und jede Hälfte einzeln validiert. Das bedeutet, dass es (10^4 )-1 d.h. 9.999 mögliche Werte für die erste Hälfte des Pins und (10^3)-1 d.h. 999 mögliche Werte für die zweite Hälfte des Pins gibt, wobei die letzte Ziffer des Pins eine Prüfsumme ist.
Reaver-wps brute-forced die erste Hälfte des Pins und dann die zweite Hälfte des Pins, was bedeutet, dass der gesamte Schlüsselraum für die WPS-Pin-Nummer in 10.999 Versuchen erschöpft werden kann. Die Geschwindigkeit, mit der Reaver Pin-Nummern testen kann, wird ausschließlich durch die Geschwindigkeit begrenzt, mit der der AP WPS-Anfragen verarbeiten kann. Einige APs sind so schnell, dass ein Pin pro Sekunde getestet werden kann; andere sind langsamer und erlauben nur einen Pin alle zehn Sekunden. Statistisch gesehen wird nur die Hälfte dieser Zeit benötigt, um die richtige Pin-Nummer zu erraten.
Installation von Reaver aus dem Quellcode:
System: Ubuntu
Terminal öffnen und eintippen:
Wenn du das vorherige Tutorial gelesen hast, wirst du wissen, dass wir zuerst unsere WLAN-Karte in den Monitormodus versetzen müssen und dann mit dem Scannen beginnen.
Schritt 1: Karte in den Monitormodus versetzen
Zuerst die Programme beenden, die Probleme verursachen könnten, dann versetzen wir unsere Karte in den Monitormodus.
sudo airmon-ng check kill
sudo airmon-ng start wlan1
wlan1 ist in meinem Fall die drahtlose Schnittstelle, du kannst deine überprüfen, indem du einfach in terminal eingibst.
iwconfig
Schritt 2: Scannen der Luft nach WPS-Netzwerken
Airodump-ng hat eine Einschränkung, es kann keine WPS-fähigen Router erkennen. Zu diesem Zweck verwenden wir den Befehl wash, der zusammen mit Reaver installiert wird und uns hilft, nach WPS-fähigen Routern zu suchen.
Schreiben Sie einfach:
sudo wash -i wlan1mon
Es wird eine ähnliche Ausgabe zeigen:
Beachten Sie die Spalte „WPS Locked“; dies ist bei weitem kein definitiver Indikator, aber im Allgemeinen werden Sie feststellen, dass APs, die als entsperrt aufgelistet sind, viel wahrscheinlicher anfällig für Brute Forcing sind. Sie können immer noch versuchen, einen Angriff auf ein Netzwerk zu starten, das WPS-gesperrt ist, aber die Erfolgsaussichten sind nicht sehr gut.
Hier,
ESSID/Ziel: belkin.ffd
BSSID: EC:1A:59:43:3F:FD
Kanal: 11
WPS Locked: Yes
Falls Sie eine Ausgabe wie diese erhalten:
Fügen Sie einfach „-C“ oder „-ignore-fcs“ mit dem vorherigen Befehl hinzu, um zu überspringen
- wash -i wlan1mon -C
- wash -i wlan1mon -ignore-fcs
Beides funktioniert gleich und ignoriert FCS-Pakete und Sie erhalten die zuvor gezeigte Ausgabe.
Schritt 3: Reaver starten
Nachdem wir die BSSID der Ziel-AP erhalten haben, werden wir Reaver anweisen, einen WPS-Pin-Angriff nur auf diese spezielle BSSID zu versuchen
- reaver -i wlan1mon -b EC:1A:59:43:3F:FD
In manchen Fällen kann die BSSID getarnt oder von einem anderen Angreifer dupliziert sein. In diesem Fall wird Rever nicht in der Lage sein, einen WPS-Pin-Angriff erfolgreich durchzuführen. Sie müssen genauer sein, indem Sie die ESSID und die Kanalnummer angeben, die wir bereits an Reaver übermittelt haben.
- reaver -i wlan1mon -b EC:1A:59:43:3F:FD -c 11 -e „belkin.ffd“
ESSID kann Leerzeichen enthalten, daher immer ESSID in Anführungszeichen einschließen.
Schritt 4: WPS knacken
Dieser Teil wird eigentlich von Reaver selbst erledigt, da wir Reaver bereits mit den notwendigen Informationen versorgt haben. Wenn der Router für einen WPS-Pin-Angriff anfällig ist, zeigt er eine Ausgabe wie diese an:
Wenn es Reaver gelingt, einen Pin nach dem anderen zu versuchen, wird der WPS-Pin und der dazugehörige WPA2-PSK-Schlüssel höchstwahrscheinlich in ein paar Stunden (3-5) geknackt werden.
Es ist schon komisch, dass WPS den Heimanwendern eigentlich Leichtigkeit und Sicherheit bieten sollte, aber ein anfälliger WPS-fähiger Router ermöglicht es einem potenziellen Angreifer, die Sicherheit mit Leichtigkeit zu knacken. Nicht nur der WPS-Schlüssel, sondern auch der WPA2 PreShared Key, der ohne WPS wesentlich schwerer zu knacken ist.
Die hässliche Wahrheit über WPS
Es ist wichtig zu wissen, dass neue APs diese Schwachstelle nicht mehr haben. Dieser Angriff funktioniert nur bei APs, die zwischen 2006 und Anfang 2012 verkauft wurden. Da viele Familien ihre APs über viele Jahre hinweg behalten, gibt es noch viele dieser anfälligen Geräte. Daher kann diese Technik von Zeit zu Zeit nützlich sein.
Unterstützte Wireless-Treiber
Die folgenden Wireless-Treiber wurden getestet oder es wurde berichtet, dass sie erfolgreich mit Reaver-wps funktionieren:
- ath9k
- rtl8187
- carl19170
- ipw2000
- rt2800pci
- rt73usb
Teilweise unterstützt
Die folgenden Wireless-Treiber wurden mit unterschiedlichem Erfolg getestet, und können abhängig von Ihrer drahtlosen Karte funktionieren oder auch nicht (d. h.e., wenn Sie Probleme mit diesen Treibern/Karten haben, sollten Sie eine neue Karte ausprobieren, bevor Sie ein Trouble Ticket einreichen):
- ath5k
- iwlagn
- rtl2800usb
- b43
Nicht unterstützt
Die folgenden drahtlosen Treiber/Karten wurden getestet oder es wurde berichtet, dass sie nicht richtig mit Reaver funktionieren:
- iwl4965
- RT3070L
- Netgear WG111v3
Gegenmaßnahmen
- Schalten Sie die WPS über den WPS-Taster aus, falls anfällig.
- Verwenden Sie kein WPS, wenn Ihr Router verwundbar ist, und verwenden Sie eine starke WPA2-Passphrase.
- Prüfen Sie, ob Ihr Router nach 2012 hergestellt wurde, möglicherweise ist er nicht angreifbar.
Nützliche Links:
Router:
TP-LINK TL-MR3420 300 MB/s Wireless Router 2x 5dBi Antennen (Gepatchter WPS unterstützter Router)
Netzwerkadapter:
Alfa AWUSO36NH High Gain B/G/N USB / Alfa AWUS036NHA B/G/N USB
High Gain Antenna:
Alfa 9dBi WiFi Omni-Directional High-Gain Antenna
USB Drive (32 GB):
SanDisk Ultra Fit USB 3.0 32 GB Pen Drive (International)
SanDisk Ultra USB 3.0 32 GB Pen Drive (Nur Indien)