Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,546
    Likes Received:
    9,566
    Reputations:
    119
    У меня в шкафу до сих пор старенький DIR-320 лежит, тот самый, который с оранжевой веб мордой, и который уязвим к генератору. :rolleyes:
     
    Triton_Mgn and Payer like this.
  2. Payer

    Payer Elder - Старейшина

    Joined:
    14 May 2010
    Messages:
    1,004
    Likes Received:
    4,394
    Reputations:
    51
    Десять лет назад такой же работал да еще и авторизация WEP стояла.
    Тогда WPA непонятный был. Пароль на четырех буквах почти неподбираемый казался. :D
     
    binarymaster and Triton_Mgn like this.
  3. 10NG0

    10NG0 New Member

    Joined:
    19 Jun 2018
    Messages:
    19
    Likes Received:
    0
    Reputations:
    0
    Ребят, такой вопрос. Если у меня есть доступ к веб морде злого TL-WR841N, чьи WPS алгоритмы нигде не просчитываются и не висят списком.
    То могу я как-то для себя просчитать их, зайдя на веб и там зарандомить себе кучу WPS от этого роутера, сохранив их. (использовать для других таких же моделей)

    з.ы и еще есть такой же роутер, но у него почему то, один день залочен wps, другой нет и так постоянно. Что за магия.
     
  4. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,546
    Likes Received:
    9,566
    Reputations:
    119
    Ну что тут ещё сказать, попробуй. :)

    Все алгоритмы и уязвимости обычно так и находят - пробуют, экспериментируют, анализируют поведение, данные, запросы и ответы, и прочее. Потом не забудь рассказать, получилось ли.
     
    hydra, DSL2650NRU and quite gray like this.
  5. quite gray

    quite gray Well-Known Member

    Joined:
    8 Dec 2016
    Messages:
    370
    Likes Received:
    1,643
    Reputations:
    3
    Доброго времени, форумчане.
    Вопрос в теме уже поднимался, но ясности всё нет. Есть точки на AtherosC
    при атаке на которые дальше М1 М2 не идёт. С разными параметрами reaver запускал, но вывод всегда одинаковый:

    [​IMG]

    В чём тут загвоздка? Может есть ещё какие опции, которые я не задействовал? Как "зацепить" такие?
     
    #4485 quite gray, 24 Feb 2019
    Last edited: 30 Mar 2019
  6. hydra

    hydra Well-Known Member

    Joined:
    24 Jul 2015
    Messages:
    2,267
    Likes Received:
    20,667
    Reputations:
    30
    Точка в режиме PBC.
     
  7. quite gray

    quite gray Well-Known Member

    Joined:
    8 Dec 2016
    Messages:
    370
    Likes Received:
    1,643
    Reputations:
    3
    Если я правильно понял, то это один из методов авторизации WPS. A известны ли способы без физического доступа к роутеру перевести его в режим авторизации по PIN коду?
    Кроме как mdk3 на ум ничего не приходит... Да и навряд ли владелец АР сделает то, чего от него хотят.
    Значит, без шансов?
     
  8. aka_google

    aka_google Well-Known Member

    Joined:
    8 Jan 2010
    Messages:
    295
    Likes Received:
    1,851
    Reputations:
    2
    рви ХШ и на растерзанье нам , а там чем сможем , есть и человеческий фактор , это типа отчаялся , ну некоторые наши скажем индивидумы (небуду называть имён) они вытянут как дьявола из под земли .......цедляй ХШ или PMKID , если сильно надо то нужен ритуал =) ритуал это магия в платном подборе =)
     
  9. VasiliyP

    VasiliyP Well-Known Member

    Joined:
    30 Aug 2011
    Messages:
    274
    Likes Received:
    533
    Reputations:
    8
    Можно посмотреть какие именно опции там доступны. На примере скриншота из Wireshark. Если единички стоят только напротив всяких "Button", то от WPS толку мало - оно работает только по нажатию кнопки
    [​IMG]
     
    antis17, 4Fun, WELK and 9 others like this.
  10. Ostai

    Ostai New Member

    Joined:
    1 Mar 2019
    Messages:
    16
    Likes Received:
    1
    Reputations:
    0
    Пишут, что bully работает с Ralink RT3070(L). У меня почему-то не хотят ни bully, ни reaver. ТД несколько штук, WPS поддерживают, сигнал от -60, в AirSlax, WifiSlax и Kali Linux одно и то-же - failed в разных вариантах. Фиг его знает, в чём дело. Не подскажете?
     
  11. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    315
    Likes Received:
    21
    Reputations:
    0
    Ривер совсем не работает, даже с моим роутером. Скачивал кали х64 с офф сайта. Может там версия ривера кривая.

    Вот такой лог из него:
    Code:
    root@kali:~# reaver -i wlan0mon -b 90:F8:54:33:22:11 -K -vvv
    
    Reaver v1.6.5 WiFi Protected Setup Attack Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>
    
    [+] Switching wlan0mon to channel 6
    [+] Waiting for beacon from 90:F8:54:33:22:11
    [+] Received beacon from 90:F8:54:33:22:11
    [+] Vendor: AtherosC
    WPS: A new PIN configured (timeout=0)
    WPS: UUID - hexdump(len=16): [NULL]
    WPS: PIN - hexdump_ascii(len=8):
         31 32 33 34 35 36 37 30                           12345670   
    WPS: Selected registrar information changed
    WPS: Internal Registrar selected (pbc=0)
    WPS: sel_reg_union
    WPS: set_ie
    WPS: cb_set_sel_reg
    WPS: Enter wps_cg_set_sel_reg
    WPS: Leave wps_cg_set_sel_reg early
    WPS: return from wps_selected_registrar_changed
    [+] Trying pin "12345670"
    send_packet called from deauthenticate() 80211.c:333
    send_packet called from authenticate() 80211.c:364
    [+] Sending authentication request
    [!] Found packet with bad FCS, skipping...
    send_packet called from associate() 80211.c:417
    [+] Sending association request
    [+] Associated with 90:F8:54:33:22:11 (ESSID: tp-link21)
    [+] Sending EAPOL START request
    send_packet called from send_eapol_start() send.c:48
    send_packet called from resend_last_packet() send.c:161
    send_packet called from resend_last_packet() send.c:161
    [+] Received identity request
    [+] Sending identity response
    send_packet called from send_identity_response() send.c:81
    send_packet called from resend_last_packet() send.c:161
    send_packet called from resend_last_packet() send.c:161
    send_packet called from resend_last_packet() send.c:161
    send_packet called from resend_last_packet() send.c:161
     
  12. VasiliyP

    VasiliyP Well-Known Member

    Joined:
    30 Aug 2011
    Messages:
    274
    Likes Received:
    533
    Reputations:
    8
    Попробуйте патченный reaver http://rgho.st/private/782QWGRYp/3b098cc8e20342b59c2b44c9abed6d4d
     
  13. quite gray

    quite gray Well-Known Member

    Joined:
    8 Dec 2016
    Messages:
    370
    Likes Received:
    1,643
    Reputations:
    3
    Приветствую всех. Имеется стабильная и потому очень привлекательная точка, которую не могу пока одолеть. WSC Name: BroadcomAP, Model: Broadcom, Serial Number: 1234, версия WPS 2.0. Роутер был установлен в прошлом году, поэтому модель скорее всего одна из последних. Атака reaver проходит, но... стоят ограничения на количество попыток ввода, причём сразу два. Первое - на количество введённых неверных подряд попыток (3) и также одновременно на общее количество неверных попыток в течение определённого времени (10). Первое обошёл, но на втором попался. А там если Lock включается, то только до ручной перезагрузки. Ни mdk3 ни ap-fucker не берёт её. Уже и Fluxion из-под двух адаптеров её гонял неделю по всем каналам. Ноль. Ну и RS, генератор пинов, брут handshake, базы 3WiFi всё было, естественно, испробовано. Там ещё соседи такие вялые - ни ноутбука, ни компьютера, одни смартфоны вроде и дома редко бывают. Зато роутер фонит постоянно. Так вот сегодня была генеральная уборка у них. Я долго ждал этого дня...
    Хотелось бы услышать рекомендации, советы, наблюдения, собственный опыт форумчан. Итак, собственно вопрос: "Через какое время программа роутера "забывает" общее количество неверных попыток?" Час? Шесть? Сутки? Дальнейшие эксперименты просто обходятся потерей времени. Я понимаю, что у каждого роутера своя программа, прошивка, настройка и т.д., но почерпну инфу от каждого с вниманием. Поделитесь своим опытом. У меня самые быстрые рабочие настройки были в reaver -d 15 -r 9:900 и через 3 недели привели к успеху. Единственное - приходилось периодически вручную настраивать канал атаки, а то ТД его меняла раз в день-три (всегда почему-то по-разному).
     
    #4493 quite gray, 29 Mar 2019
    Last edited: 30 Mar 2019
  14. quite gray

    quite gray Well-Known Member

    Joined:
    8 Dec 2016
    Messages:
    370
    Likes Received:
    1,643
    Reputations:
    3
    Я бы попробовал задать верный канал -с и добавить аргументы -w -N. Вот так например: reaver -i wlan0mon -b 90:F8:54:33:22:11 -c 6 -w -N -K -vv
    Хотя вижу AtherosC. Непробиваемый. Страницей ранее описывал попытку атаки на такие.
     
    #4494 quite gray, 30 Mar 2019
    Last edited: 30 Mar 2019
  15. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,546
    Likes Received:
    9,566
    Reputations:
    119
    Хоть ты мак адреса и не написал, но похоже на Sercomm RV6699, а такие только атакой "злой двойник" взять можно.
    Конкретно модель выше, которую я назвал, до перезагрузки.

    Некоторые роутеры, в частности ZyXEL Keenetic серии II и выше, закрываются навечно (до тех пор, пока хозяин роутера не зайдёт в веб морду, и не включит WPS обратно). :oops:
     
    Piligrim740, hydra, antis17 and 3 others like this.
  16. quite gray

    quite gray Well-Known Member

    Joined:
    8 Dec 2016
    Messages:
    370
    Likes Received:
    1,643
    Reputations:
    3

    Кстати - да хорошая идея, посмотреть по MACу производителя и забить в Google информацию.
    binarymaster, я имею ввиду, какие временнЫе параметры ставить в reaver на атаку, чтобы в lock её снова не отправить. Прошлый раз заблочилась наглухо после 10-ти неверных. Так было -d 30 -r 2:1800 и через 5 часов закрылась. Очевидно одно - надо увеличивать 1800, 3600 и т.д. Пока взвешиваю и размышляю сколько поставить. Но на всякий случай уже щиток на этаже с предохранителями изучил :-D В теме читал, что кто-то выставлял сутки.
     
    #4496 quite gray, 30 Mar 2019
    Last edited: 12 Apr 2019
  17. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    315
    Likes Received:
    21
    Reputations:
    0
    Там тп-линк роутер, после 20 попыток лочится до перезагрузки, но успешно перезагружается если не сколько разных атак параллельно mdk3 запустить.
    Да это не прокатывает, нужно описание способов рабочих по перезагрузке их.
     
    quite gray likes this.
  18. quite gray

    quite gray Well-Known Member

    Joined:
    8 Dec 2016
    Messages:
    370
    Likes Received:
    1,643
    Reputations:
    3
    В смысле только атака из-под mdk3 или к mdk3 ещё какую-то дополнительную атаку с другого адаптера параллельно? Напиши примеры своих команд пожалуйста, которыми перезагружаешь, если не затруднит тебя.
     
  19. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    315
    Likes Received:
    21
    Reputations:
    0
    mdk3 wlan0mon a -a mak
    mdk3 wlan0mon g -t mak
    Вот как-то так, но это все экспериментально, я особо не находил в сети подробных манулов какой роутер на какую из этих атак лучше ведется. Обычно на один вид не ведутся, если разные mdk3 атаки запускать одновременно, тогда вроде прокатывает с тплинк741.
     
    quite gray likes this.
  20. quite gray

    quite gray Well-Known Member

    Joined:
    8 Dec 2016
    Messages:
    370
    Likes Received:
    1,643
    Reputations:
    3
    Т.е. если я правильно понял: я буду делать 1 попытку пина в день, и на 10-й день роутер уйдёт в lock? А далее только физическая перезагрузка хозяином?
     
Loading...