Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. startless

    startless Member

    Joined:
    20 Jun 2015
    Messages:
    135
    Likes Received:
    96
    Reputations:
    0
    Есть подозрение, что кто-то пытается ломануть мой wi-fi, ибо периодически сеть падает и тут же появляется, судя по индикации на андрюше. Стало быть, ловит хендшейк. Вопрос! Как вычислить негодяя?
     
  2. Kakoluk

    Kakoluk Well-Known Member

    Joined:
    14 Aug 2015
    Messages:
    687
    Likes Received:
    983
    Reputations:
    7
    Вот значит вы как, да? Теперь значит, негодяи? :D
    Отследить очень тяжело, даже с помощью спецоборудования. Процесс деаутентификации очень короток(слишком мало времени для лоцирования), остальное время "негодяй" слушает(принимает) а не говорит(передаёт).
    Хотя, если вы профессионально играете в "Охоту на лиc" .. всё возможно. ;)
    Другой случай, если у вас длительно пытаются получить хендшейк(а не получается) например с помощью MDK3, замусоривая эфир. Тогда проще. Есть время лоцировать источник.
     
    #3962 Kakoluk, 12 Apr 2017
    Last edited: 12 Apr 2017
    quite gray and TOX1C like this.
  3. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    970
    Likes Received:
    1,665
    Reputations:
    20
    Такое же бывает, когда у роутера или в его блоке питания конденсаторы пересыхают от старости.
     
    quite gray and Kakoluk like this.
  4. startless

    startless Member

    Joined:
    20 Jun 2015
    Messages:
    135
    Likes Received:
    96
    Reputations:
    0
    Я же шутю! Сам такой же негодяй :D. Просто интересно стало, как повернуть процесс вспять и попытаться вычислить "лису". Тем самым и себя обезопасить.
    Кстати, в commview для wifi, помню, есть такая функция, когда прога рисует схему взаимодействия узлов на основе анализа мониторинга пакетов. Только вот мой текущий адаптер она не поддерживает. Может в кали есть что-то подобное?
    Да, роутер оказался в порядке и кондеры живые. Какая-то ошибка в конфиге. Дефолтнул, загрузил сохраненный конфиг - опять сигнал пляшет. Снова дефолт, ручками прописываю настройки - все, полет нормальный.
     
  5. Naurlock

    Naurlock New Member

    Joined:
    6 Apr 2017
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Оч. интересно как это можно сделать? расскажете или мож ткнёте куда почитать?)
     
  6. Kakoluk

    Kakoluk Well-Known Member

    Joined:
    14 Aug 2015
    Messages:
    687
    Likes Received:
    983
    Reputations:
    7
    MDK 3.0 v6 - "Yeah, well, whatever"
    by ASPj of k2wrlz, using the osdep library from aircrack-ng
    And with lots of help from the great aircrack-ng community:
    Antragon, moongray, Ace, Zero_Chaos, Hirte, thefkboss, ducttape,
    telek0miker, Le_Vert, sorbo, Andy Green, bahathir and Dawid Gajownik
    THANK YOU!

    MDK is a proof-of-concept tool to exploit common IEEE 802.11 protocol weaknesses.
    IMPORTANT: It is your responsibility to make sure you have permission from the
    network owner before running MDK against it.

    This code is licenced under the GPLv2

    MDK USAGE:
    mdk3 <interface> <test_mode> [test_options]

    Try mdk3 --fullhelp for all test options
    Try mdk3 --help <test_mode> for info about one test only

    TEST MODES:
    b - Beacon Flood Mode
    Sends beacon frames to show fake APs at clients.
    This can sometimes crash network scanners and even drivers!
    a - Authentication DoS mode
    Sends authentication frames to all APs found in range.
    Too much clients freeze or reset some APs.
    p - Basic probing and ESSID Bruteforce mode
    Probes AP and check for answer, useful for checking if SSID has
    been correctly decloaked or if AP is in your adaptors sending range
    SSID Bruteforcing is also possible with this test mode.
    d - Deauthentication / Disassociation Amok Mode
    Kicks everybody found from AP
    m - Michael shutdown exploitation (TKIP)
    Cancels all traffic continuously
    x - 802.1X tests
    w - WIDS/WIPS Confusion
    Confuse/Abuse Intrusion Detection and Prevention Systems
    f - MAC filter bruteforce mode
    This test uses a list of known client MAC Adresses and tries to
    authenticate them to the given AP while dynamically changing
    its response timeout for best performance. It currently works only
    on APs who deny an open authentication request properly
    g - WPA Downgrade test
    deauthenticates Stations and APs sending WPA encrypted packets.
    With this test you can check if the sysadmin will try setting his
    network to WEP or disable encryption.









    MDK 3.0 v6 - "Yeah, well, whatever"
    by ASPj of k2wrlz, using the osdep library from aircrack-ng
    And with lots of help from the great aircrack-ng community:
    Antragon, moongray, Ace, Zero_Chaos, Hirte, thefkboss, ducttape,
    telek0miker, Le_Vert, sorbo, Andy Green, bahathir and Dawid Gajownik
    THANK YOU!

    MDK is a proof-of-concept tool to exploit common IEEE 802.11 protocol weaknesses.
    IMPORTANT: It is your responsibility to make sure you have permission from the
    network owner before running MDK against it.

    This code is licenced under the GPLv2

    MDK USAGE:
    mdk3 <interface> <test_mode> [test_options]

    Try mdk3 --fullhelp for all test options
    Try mdk3 --help <test_mode> for info about one test only

    TEST MODES:
    b - Beacon Flood Mode
    Sends beacon frames to show fake APs at clients.
    This can sometimes crash network scanners and even drivers!
    a - Authentication DoS mode
    Sends authentication frames to all APs found in range.
    Too much clients freeze or reset some APs.
    p - Basic probing and ESSID Bruteforce mode
    Probes AP and check for answer, useful for checking if SSID has
    been correctly decloaked or if AP is in your adaptors sending range
    SSID Bruteforcing is also possible with this test mode.
    d - Deauthentication / Disassociation Amok Mode
    Kicks everybody found from AP
    m - Michael shutdown exploitation (TKIP)
    Cancels all traffic continuously
    x - 802.1X tests
    w - WIDS/WIPS Confusion
    Confuse/Abuse Intrusion Detection and Prevention Systems
    f - MAC filter bruteforce mode
    This test uses a list of known client MAC Adresses and tries to
    authenticate them to the given AP while dynamically changing
    its response timeout for best performance. It currently works only
    on APs who deny an open authentication request properly
    g - WPA Downgrade test
    deauthenticates Stations and APs sending WPA encrypted packets.
    With this test you can check if the sysadmin will try setting his
    network to WEP or disable encryption.


    b - Beacon Flood Mode
    Sends beacon frames to show fake APs at clients.
    This can sometimes crash network scanners and even drivers!
    OPTIONS:
    -n <ssid>
    Use SSID <ssid> instead of randomly generated ones
    -f <filename>
    Read SSIDs from file
    -v <filename>
    Read MACs and SSIDs from file. See example file!
    -d
    Show station as Ad-Hoc
    -w
    Set WEP bit (Generates encrypted networks)
    -g
    Show station as 54 Mbit
    -t
    Show station using WPA TKIP encryption
    -a
    Show station using WPA AES encryption
    -m
    Use valid accesspoint MAC from OUI database
    -h
    Hop to channel where AP is spoofed
    This makes the test more effective against some devices/drivers
    But it reduces packet rate due to channel hopping.
    -c <chan>
    Fake an AP on channel <chan>. If you want your card to hop on
    this channel, you have to set -h option, too!
    -s <pps>
    Set speed in packets per second (Default: 50)
    a - Authentication DoS mode
    Sends authentication frames to all APs found in range.
    Too much clients freeze or reset almost every AP.
    OPTIONS:
    -a <ap_mac>
    Only test the specified AP
    -m
    Use valid client MAC from OUI database
    -c
    Do NOT check for test being successful
    -i <ap_mac>
    Perform intelligent test on AP (-a and -c will be ignored)
    This test connects clients to the AP and reinjects sniffed data to keep them alive
    -s <pps>
    Set speed in packets per second (Default: unlimited)
    p - Basic probing and ESSID Bruteforce mode
    Probes AP and check for answer, useful for checking if SSID has
    been correctly decloaked or if AP is in your adaptors sending range
    Use -f and -t option to enable SSID Bruteforcing.
    OPTIONS:
    -e <ssid>
    Tell mdk3 which SSID to probe for
    -f <filename>
    Read lines from file for bruteforcing hidden SSIDs
    -t <bssid>
    Set MAC adress of target AP
    -s <pps>
    Set speed (Default: unlimited, in Bruteforce mode: 300)
    -b <character set>
    Use full Bruteforce mode (recommended for short SSIDs only!)
    Use this switch only to show its help screen.
    d - Deauthentication / Disassociation Amok Mode
    Kicks everybody found from AP
    OPTIONS:
    -w <filename>
    Read file containing MACs not to care about (Whitelist mode)
    -b <filename>
    Read file containing MACs to run test on (Blacklist Mode)
    -s <pps>
    Set speed in packets per second (Default: unlimited)
    -c [chan,chan,chan,...]
    Enable channel hopping. Without providing any channels, mdk3 will hop an all
    14 b/g channels. Channel will be changed every 5 seconds.
    m - Michael shutdown exploitation (TKIP)
    Cancels all traffic continuously
    -t <bssid>
    Set Mac address of target AP
    -w <seconds>
    Seconds between bursts (Default: 10)
    -n <ppb>
    Set packets per burst (Default: 70)
    -j
    Use the new TKIP QoS-Exploit
    Needs just a few packets to shut AP down!
    -s <pps>
    Set speed (Default: 400)
    x - 802.1X tests
    0 - EAPOL Start packet flooding
    -n <ssid>
    Use SSID <ssid>
    -t <bssid>
    Set MAC address of target AP
    -w <WPA type>
    Set WPA type (1: WPA, 2: WPA2/RSN; default: WPA)
    -u <unicast cipher>
    Set unicast cipher type (1: TKIP, 2: CCMP; default: TKIP)
    -m <multicast cipher>
    Set multicast cipher type (1: TKIP, 2: CCMP; default: TKIP)
    -s <pps>
    Set speed (Default: 400)
    1 - EAPOL Logoff test
    -t <bssid>
    Set MAC address of target AP
    -c <bssid>
    Set MAC address of target STA
    -s <pps>
    Set speed (Default: 400)
    w - WIDS/WIPS/WDS Confusion
    Confuses a WDS with multi-authenticated clients which messes up routing tables
    -e <SSID>
    SSID of target WDS network
    -c [chan,chan,chan...]
    Use channel hopping
    -z
    activate Zero_Chaos' WIDS exploit
    (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
    f - MAC filter bruteforce mode
    This test uses a list of known client MAC Adresses and tries to
    authenticate them to the given AP while dynamically changing
    its response timeout for best performance. It currently works only
    on APs who deny an open authentication request properly
    -t <bssid>
    Target BSSID
    -m <mac>
    Set the MAC adress range to use (3 bytes, i.e. 00:12:34)
    Without -m, the internal database will be used
    -f <mac>
    Set the MAC adress to begin bruteforcing with
    (Note: You can't use -f and -m at the same time)
    g - WPA Downgrade test
    deauthenticates Stations and APs sending WPA encrypted packets.
    With this test you can check if the sysadmin will try setting his
    network to WEP or disable encryption. mdk3 will let WEP and unencrypted
    clients work, so if the sysadmin simply thinks "WPA is broken" he
    sure isn't the right one for this job.
    (this can/should be combined with social engineering)
    -t <bssid> Target network
    Прослушиваем эфир в мониторе, видим подозрительную активность связанную с вашим BSSID(чужой(ие) клиент(ы)),
    ходим с ноутбуком по подъезду с прицелом на уровень сигнала этого клиента(ов) и находим максимум сигнала перед одной из хат.
    Если это фейк-точка(с вашим BSSID) то сложнее, можно запутатся в уровнях сигнала вашей точки и паразитной.
    Придётся начать от противного, отойти подальше от своего местоположения, и намеренно искать максимум "своего" сигнала, при этом стараясь НЕ приближаться к себе(к вашей точке). Слепой поиск(ощупывание по кругу). Лучше всего в этот момент выключить вашу AP и просто поискать(по уровню сигнала) точку с вашим "BSSID". Это и будет "лиса".
    Что то в этом роде, если нет направленных антенн(только ноут с "всенаправленой" антенной в крышке монитора). :)
    А вообще, по идее можно программу написать - которая бы автоматизировала такой процесс наблюдения, а если ещё и узконаправленную антенну прикрутить! :D
     
    #3966 Kakoluk, 13 Apr 2017
    Last edited: 13 Apr 2017
  7. Naurlock

    Naurlock New Member

    Joined:
    6 Apr 2017
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Ну вообще, да) логично, я уж думал, там что-то сверх запутанное с использованием спец.средств.спасибо!
     
  8. Kakoluk

    Kakoluk Well-Known Member

    Joined:
    14 Aug 2015
    Messages:
    687
    Likes Received:
    983
    Reputations:
    7
    Спец.средства, в этом случае(просто название узкоспециализированного оборудования) - это остронаправленная антенна+заточенное для локации оборудование.
    Им может быть и обычный ноутбук с соответствующим ПО.
     
  9. PSYDRUGS

    PSYDRUGS Member

    Joined:
    1 Sep 2011
    Messages:
    202
    Likes Received:
    38
    Reputations:
    0
    Подскажите пин к AC:9E:17:30:7B:20, постоянно уходит в лок часа на 3, перебор не представляется возможным. Роутер ASUS RT-N12.
    80:26:89:1A:03:E0, D-Link Dir-825, тоже уходит в лок, до перезагрузки. MDK3 может заставить заглючить AP, чтобы произошла перезагрузка?
     
  10. Felis-Sapiens

    Felis-Sapiens Reservists Of Antichat

    Joined:
    21 Jul 2015
    Messages:
    606
    Likes Received:
    3,634
    Reputations:
    170
    00101448
     
    quite gray, Kakoluk, PSYDRUGS and 2 others like this.
  11. PSYDRUGS

    PSYDRUGS Member

    Joined:
    1 Sep 2011
    Messages:
    202
    Likes Received:
    38
    Reputations:
    0
    Спасибо. PIN подошёл с первого раза, подскажите ещё программу для подбора пароля к роутеру.
    Пробовал просканировать диапазон IP программой RouterScan, но диапазон заблочен провайдером.
     
  12. Naurlock

    Naurlock New Member

    Joined:
    6 Apr 2017
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    На сайте 3wifi и роутер-скане есть wps pin generator, пользуйтесь
     
  13. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,474
    Likes Received:
    9,342
    Reputations:
    117
    Это ASUS RT-N10LX, на него нет известных алгоритмов.
     
  14. Zhanat19821311

    Zhanat19821311 New Member

    Joined:
    15 Apr 2017
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Помогите пожалуйста подобрать мин
    Знаю что это Dlink но какой не знаю
    Все. Программы которые дают пин не подходят вот на этот мак C4:A8:1D:27:B3:51
     
  15. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,474
    Likes Received:
    9,342
    Reputations:
    117
    Конкретно для этой ревизии.

    Впрочем, можете попробовать один из этих:
    08145031
    74018802

    (если какой-то подойдёт, оповестите)
    Это D-Link DSL-2640U, следовательно пробуйте эти:
    91410733
    91410726
    12345670
    19201023

    (если ни один не подойдёт, пробуйте атаку Pixie WPS)
     
  16. Zhanat19821311

    Zhanat19821311 New Member

    Joined:
    15 Apr 2017
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Спс по пробую походу точка ушла на блокировку как разблокируеться отпишусь
     
  17. asus-5g

    asus-5g New Member

    Joined:
    16 Apr 2017
    Messages:
    18
    Likes Received:
    4
    Reputations:
    0
    может позвонить от имени провайдера и спросить пароль на каробочке??? )))
     
  18. PSYDRUGS

    PSYDRUGS Member

    Joined:
    1 Sep 2011
    Messages:
    202
    Likes Received:
    38
    Reputations:
    0
    Мерзкие MGTS_GPON на базе SERCOM RV6699/RV6688 оказывается нормально отдают PIN 3-4 раза, после чего переходят в лок.
    Если знать точный PIN, можно узнать WPA и понять методику его генерации. Какой механизм вычисления PIN в них?
    На ZTE проверка пин заблокирована, попытка взлома обречена на фиаско.

    Например: 94:4A:0C:93:74:98 (первые 3 октета мас адреса, всегда одинаковые). Ещё 94:4A:0C:AC:86:46.
    Заметил что многие роутеры юзеры переименовывают что убрать надпись MGTS и GPON, на абстрактные названия.
    B4:A5:EF:BB:0B:78 модель роутера GPON с поддержкой 5 Ghz.

    Подскажите автоматизированный скрипт для mdk3, для вывода из прострации GPON роутеров ушедших в лок.

    Ещё подскажите какую методику выбирать для D-Link DIR-825AC, пример мас 10:62:EB:8D:C3:BB,
    полно в эфире таких моделей, но с разным вариациями mac.
    Полный перебор не дают, после 3-4 попыток уходят в вечный лок.

    Погуглил фото наклеек роутеров, где указан ключ сети, дефолтные вариации:
    8 символов, встречаются цифры и большие английские буквы, т.е. из словаря
    можно сразу исключать спец символы/знаки препинания и маленькие буквы.
    И маска - не более 8 символов.

    Ключ вида: H4SVBFXS (мас октет 94:4A:0C), название сети: MGTS_GPON_3017.
     
    #3978 PSYDRUGS, 17 Apr 2017
    Last edited: 17 Apr 2017
  19. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,474
    Likes Received:
    9,342
    Reputations:
    117
    Был у меня один такой, вскрылся по алгоритму 32-bit PIN.
     
  20. PSYDRUGS

    PSYDRUGS Member

    Joined:
    1 Sep 2011
    Messages:
    202
    Likes Received:
    38
    Reputations:
    0
    Спасибо, у меня их 3 или 4 шт., некоторые с хорошим сигналом, попробую взаимодействие по этому алгоритму на практике.

    Не пононятно как сделать расчёт 32-bit PIN в Router Scan, вбил мас,
    выбрал механизм 32-bit PIN, программа выдает список роутеров с возможным mac,
    а самой генерации PIN нет. Или я где-то ошибаюсь.
    PIN такой проверяю: 10:BE:F5:87:53:E1.

    А всё разобрался, нужно было кнопку Get All нажать. Для этого mac я получил пин 92867536. Правильно?
     
    #3980 PSYDRUGS, 17 Apr 2017
    Last edited: 17 Apr 2017
Loading...