Den här artikeln är ett utdrag ur min e-bok om penetrationstestning av WiFi och säkerhet för blivande WiFi-hackers och entusiaster av trådlös säkerhet. Klicka här för att läsa mer
I tidigare kapitel har vi behandlat följande:
- Introduktion till Aircrack-ng Suite of tools
- Introduktion till Wireshark
- WEP-krackning med hjälp av Aircrack-ng
- WPA/WPA2 Personal-krackning med hjälp av Aircrack-ng
I dag kommer vi att lära oss att kracka WPS-krackning med hjälp av reaver.
Vad är WPS?
WPS står för Wi-Fi Protected Setup och utformades för att göra det enklare för den vanliga husägaren att ställa in en säker AP. Den introducerades först 2006, men 2011 upptäcktes det att den hade en allvarlig konstruktionsbrist. WPS-PIN-koden kunde brytas ganska enkelt med hjälp av verktyg som Reaver.
Vad är Reaver?
Reaver är ett gratis WPS-krypteringsverktyg med öppen källkod som utnyttjar ett säkerhetshål i trådlösa routrar och som relativt enkelt kan knäcka WPS-aktiverade routerns aktuella lösenord. Det levereras förinstallerat i Kali Linux och kan installeras på andra Linux-distributioner via källkod. Reaver utför en brute force-attack mot en åtkomstpunkts PIN-nummer för WiFi Protected Setup. När WPS-pinnnumret har hittats kan WPA PSK återställas
Kolla in min nya butik för bästa WiFi-adaptrar för hackning, bästsäljande Pentesting-böcker och bästa WiFi-förstärkare: Rootsh3ll rStore
Beskrivning:
Reaver-wps är inriktad på den externa registrarfunktionalitet som krävs enligt specifikationen för WiFi Protected Setup. Accesspunkter kommer att förse autentiserade registratorer med deras nuvarande trådlösa konfiguration (inklusive WPA PSK) och även acceptera en ny konfiguration från registratorn.
För att autentisera sig som registrator måste registratorn bevisa sin kunskap om AP:s 8-siffriga pin-nummer. Registrerare kan när som helst autentisera sig själva för en AP utan någon användarinteraktion. Eftersom WPS-protokollet utförs över EAP behöver registraren bara vara associerad med AP:n och behöver inte ha någon tidigare kunskap om den trådlösa krypteringen eller konfigurationen.
Reaver-wps utför en brute force-attack mot AP:n och försöker med alla möjliga kombinationer för att gissa AP:ns 8-siffriga pin-nummer. Eftersom alla pinkoder är numeriska finns det 10^8 (100 000 000 000-1 = 99 999 999 999) möjliga värden för varje givet pinkod, med tanke på att 00 000 000 000 inte är nyckeln. Eftersom den sista siffran i pinkoden är ett kontrollsummavärde som kan beräknas utifrån de sju föregående siffrorna, reduceras nyckelutrymmet till 10^7 (10 000 000 000-1 = 9 999 999) möjliga värden. Eftersom kontrollsumman för de sex första nollorna är noll, tar vi bort 0 000 000 000 som kan brytas.
Nyckelutrymmet reduceras ytterligare eftersom WPS-autentiseringsprotokollet halverar pinkoden och validerar varje halva individuellt. Det innebär att det finns (10^4 )-1 dvs. 9 999 möjliga värden för den första halvan av pin-koden och (10^3)-1 dvs. 999 möjliga värden för den andra halvan av pin-koden, där den sista siffran i pin-koden är en kontrollsumma.
Reaver-wps bruteforcerar först den första halvan av pin-koden och sedan den andra halvan av pin-koden, vilket innebär att hela nyckelutrymmet för WPS-pinnumret kan uttömmas på 10 999 försök. Hastigheten med vilken Reaver kan testa pin-nummer begränsas helt och hållet av den hastighet med vilken AP:n kan behandla WPS-förfrågningar. Vissa AP:er är tillräckligt snabba för att en pinkod kan testas varje sekund, medan andra är långsammare och endast tillåter en pinkod var tionde sekund. Statistiskt sett tar det bara hälften av den tiden för att gissa rätt pin-nummer.
Installation av Reaver från källkod:
System: Ubuntu
Öppna terminal och skriv:
Om du har läst tidigare handledning vet du att vi först måste sätta vårt trådlösa kort i bildskärmsläge och sedan börja skanna.
Steg 1: Sätta kortet i bildskärmsläge
Döda först de program som kan orsaka problem, sedan sätter vi vårt kort i bildskärmsläge.
sudo airmon-ng check kill
sudo airmon-ng start wlan1
wlan1 är det trådlösa gränssnittet i mitt fall, du kan kontrollera ditt genom att helt enkelt skriva i terminalen.
iwconfig
Steg 2: Skanning av luften för WPS-nätverk
Airodump-ng har en begränsning, den kan inte upptäcka WPS-aktiverade routrar. Så för det ändamålet använder vi wash-kommandot som installeras tillsammans med Reaver och hjälper oss att söka efter WPS-aktiverade routrar.
Skriv bara:
sudo wash -i wlan1mon
Det kommer att visa ett liknande resultat:
Notera kolumnen ”WPS Locked”; detta är långt ifrån en definitiv indikator, men generellt sett kommer du att upptäcka att AP:er som är listade som olåsta har större sannolikhet för att vara mottagliga för brute forcing. Du kan fortfarande försöka genomföra en attack mot ett nätverk som är WPS-låst, men chanserna att lyckas är inte särskilt goda.
Här,
ESSID/Target: belkin.ffd
BSSID: EC:1A:59:43:3F:FD
Channel: 11
WPS Låst: Yes
Ifall du får ett resultat som detta:
Du behöver bara lägga till ”-C” eller ”-ignore-fcs” med föregående kommando för att hoppa över
- wash -i wlan1mon -C
- wash -i wlan1mon -ignore-fcs
Båda fungerar likadant, och ignorerar FCS-paket och du kommer att få tidigare visad utdata.
Steg 3: Starta upp Reaver
När vi har fått mål-Aps BSSID, kommer vi att säga till Reaver att försöka WPS pin-attack på den specifika BSSID endast
- reaver -i wlan1mon -b EC:1A:59:43:3F:3F:FD
I vissa fall kan BSSID vara dolt eller duplicerat av en annan angripare. I det fallet kommer Rever inte att kunna genomföra en WPS pin-attack. Du måste vara mer exakt genom att ange ESSID och kanalnummer, vilket vi tidigare noterat till Reaver.
- reaver -i wlan1mon -b EC:1A:59:43:3F:FD -c 11 -e ”belkin.ffd”
ESSID kan innehålla blanksteg, så inkludera alltid ESSID inom citationstecken.
Steg 4: Knäcka WPS
Denna del görs faktiskt av Reaver själv, eftersom vi redan har tillhandahållit nödvändig information till Reaver. Om routern är sårbar för WPS Pin-attack kommer den att visa dig en utskrift som denna:
Om Reaver lyckas prova den ena pinnen efter den andra, kommer WPS-pinnen och motsvarande WPA2-PSK-nyckel att brytas inom ett par timmar (3-5).
Det är ganska lustigt att WPS var tänkt att ge lätthet och säkerhet för hemmabruk, men en sårbar WPS-aktiverad router gör det möjligt för en potentiell angripare att bryta säkerheten med lätthet. Inte bara WPS-nyckeln, utan även WPA2 PreShared Key som är betydligt mycket svårare att knäcka utan WPS.
Den fula sanningen om WPS
Det är viktigt att notera att nya APs inte längre har denna sårbarhet. Den här attacken fungerar endast på APs som såldes under att 2006 och början av 2012. Eftersom många familjer behåller sina AP:er i många år finns det fortfarande många av dessa sårbara AP:er kvar. Så då och då kan denna teknik vara användbar.
Stödda trådlösa drivrutiner
Följande trådlösa drivrutiner har testats eller rapporterats fungera framgångsrikt med Reaver-wps:
- ath9k
- rtl8187
- carl19170
- ipw2000
- rt2800pci
- rt73usb
Delvis stöds
Följande trådlösa drivrutiner har haft blandad framgång, och kan fungera eller inte beroende på ditt trådlösa kort (i.e., om du har problem med dessa drivrutiner/kort bör du överväga att prova ett nytt kort innan du skickar in en felanmälan):
- ath5k
- iwlagn
- rtl2800usb
- b43
Inte stöds
Följande trådlösa drivrutiner/kort har testats eller rapporterats att inte fungera korrekt med Reaver:
- iwl4965
- RT3070L
- Netgear WG111v3
Motåtgärder
- Släck WPS med hjälp av WPS-knappen om den är sårbar.
- Använd inte WPS om routern är sårbar och använd ett starkt WPA2-lösenord.
- Kontrollera om din router är tillverkad efter 2012, den kanske inte är sårbar.
Användbara länkar:
Router:
TP-LINK TL-MR3420 300 MB/s trådlös router 2x 5dBi antenner (patchad router med stöd för WPS)
Nätverkskort:
Alfa AWUSO36NH High Gain B/G/N USB / Alfa AWUS036NHA B/G/N USB
High Gain Antenna:
Alfa 9dBi WiFi Omni-Directional High-Gain Antenna
USB-enhet (32 GB):
SanDisk Ultra Fit USB 3.0 32 GB Pen Drive (Internationellt)
SanDisk Ultra USB 3.0 32 GB Pen Drive (Endast Indien)