Уязвимость в протоколе Wi-Fi Protected Setup

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 30 Dec 2011.

  1. Ostai

    Ostai New Member

    Joined:
    1 Mar 2019
    Messages:
    16
    Likes Received:
    1
    Reputations:
    0
    Пишут, что bully работает с Ralink RT3070(L). У меня почему-то не хотят ни bully, ни reaver. ТД несколько штук, WPS поддерживают, сигнал от -60, в AirSlax, WifiSlax и Kali Linux одно и то-же - failed в разных вариантах. Фиг его знает, в чём дело. Не подскажете?
     
  2. kuz

    kuz Well-Known Member

    Joined:
    10 Jun 2015
    Messages:
    650
    Likes Received:
    500
    Reputations:
    3
    Подтверждаю (сугубо своим личным опытом) - мои свистки тплинк 7200, N9000 и LafaLink на одноименном чипе работали с булли.
    Не помню, какой сигнал был от ТД в момент ломанием её с помощью булли, но ралинк 3070 прилично завышает уровень сигнала в попугаях, доказано практически (сравнительно с тем-же азеросом 9271 ).
    Х\з, но можно тасовать компоненты - более старая версия вардрайвовых линухов, другой usb-шнурок, другой usb-порт, другой ПК, другой свисток на этом чипе...
     
    #4542 kuz, 1 Mar 2019
    Last edited: 1 Mar 2019
  3. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    303
    Likes Received:
    21
    Reputations:
    0
    Ривер совсем не работает, даже с моим роутером. Скачивал кали х64 с офф сайта. Может там версия ривера кривая.

    Вот такой лог из него:
    Code:
    root@kali:~# reaver -i wlan0mon -b 90:F8:54:33:22:11 -K -vvv
    
    Reaver v1.6.5 WiFi Protected Setup Attack Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>
    
    [+] Switching wlan0mon to channel 6
    [+] Waiting for beacon from 90:F8:54:33:22:11
    [+] Received beacon from 90:F8:54:33:22:11
    [+] Vendor: AtherosC
    WPS: A new PIN configured (timeout=0)
    WPS: UUID - hexdump(len=16): [NULL]
    WPS: PIN - hexdump_ascii(len=8):
         31 32 33 34 35 36 37 30                           12345670   
    WPS: Selected registrar information changed
    WPS: Internal Registrar selected (pbc=0)
    WPS: sel_reg_union
    WPS: set_ie
    WPS: cb_set_sel_reg
    WPS: Enter wps_cg_set_sel_reg
    WPS: Leave wps_cg_set_sel_reg early
    WPS: return from wps_selected_registrar_changed
    [+] Trying pin "12345670"
    send_packet called from deauthenticate() 80211.c:333
    send_packet called from authenticate() 80211.c:364
    [+] Sending authentication request
    [!] Found packet with bad FCS, skipping...
    send_packet called from associate() 80211.c:417
    [+] Sending association request
    [+] Associated with 90:F8:54:33:22:11 (ESSID: tp-link21)
    [+] Sending EAPOL START request
    send_packet called from send_eapol_start() send.c:48
    send_packet called from resend_last_packet() send.c:161
    send_packet called from resend_last_packet() send.c:161
    [+] Received identity request
    [+] Sending identity response
    send_packet called from send_identity_response() send.c:81
    send_packet called from resend_last_packet() send.c:161
    send_packet called from resend_last_packet() send.c:161
    send_packet called from resend_last_packet() send.c:161
    send_packet called from resend_last_packet() send.c:161
     
  4. VasiliyP

    VasiliyP Well-Known Member

    Joined:
    30 Aug 2011
    Messages:
    250
    Likes Received:
    462
    Reputations:
    7
    Попробуйте патченный reaver http://rgho.st/private/782QWGRYp/3b098cc8e20342b59c2b44c9abed6d4d
     
  5. quite gray

    quite gray Well-Known Member

    Joined:
    8 Dec 2016
    Messages:
    266
    Likes Received:
    1,218
    Reputations:
    3
    Приветствую всех. Имеется стабильная и потому очень привлекательная точка, которую не могу пока одолеть. WSC Name: BroadcomAP, Model: Broadcom, Serial Number: 1234, версия WPS 2.0. Роутер был установлен в прошлом году, поэтому модель скорее всего одна из последних. Атака reaver проходит, но... стоят ограничения на количество попыток ввода, причём сразу два. Первое - на количество введённых неверных подряд попыток (3) и также одновременно на общее количество неверных попыток в течение определённого времени (10). Первое обошёл, но на втором попался. А там если Lock включается, то только до ручной перезагрузки. Ни mdk3 ни ap-fucker не берёт её. Уже и Fluxion из-под двух адаптеров её гонял неделю по всем каналам. Ноль. Ну и RS, генератор пинов, брут handshake, базы 3WiFi всё было, естественно, испробовано. Там ещё соседи такие вялые - ни ноутбука, ни компьютера, одни смартфоны вроде и дома редко бывают. Зато роутер фонит постоянно. Так вот сегодня была генеральная уборка у них. Я долго ждал этого дня...
    Хотелось бы услышать рекомендации, советы, наблюдения, собственный опыт форумчан. Итак, собственно вопрос: "Через какое время программа роутера "забывает" общее количество неверных попыток?" Час? Шесть? Сутки? Дальнейшие эксперименты просто обходятся потерей времени. Я понимаю, что у каждого роутера своя программа, прошивка, настройка и т.д., но почерпну инфу от каждого с вниманием. Поделитесь своим опытом. У меня самые быстрые рабочие настройки были в reaver -d 15 -r 9:900 и через 3 недели привели к успеху. Единственное - приходилось периодически вручную настраивать канал атаки, а то ТД его меняла раз в день-три (всегда почему-то по-разному).
     
    #4545 quite gray, 29 Mar 2019
    Last edited: 30 Mar 2019
  6. quite gray

    quite gray Well-Known Member

    Joined:
    8 Dec 2016
    Messages:
    266
    Likes Received:
    1,218
    Reputations:
    3
    Я бы попробовал задать верный канал -с и добавить аргументы -w -N. Вот так например: reaver -i wlan0mon -b 90:F8:54:33:22:11 -c 6 -w -N -K -vv
    Хотя вижу AtherosC. Непробиваемый. Страницей ранее описывал попытку атаки на такие.
     
    #4546 quite gray, 30 Mar 2019
    Last edited: 30 Mar 2019
  7. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,442
    Likes Received:
    9,230
    Reputations:
    116
    Хоть ты мак адреса и не написал, но похоже на Sercomm RV6699, а такие только атакой "злой двойник" взять можно.
    Конкретно модель выше, которую я назвал, до перезагрузки.

    Некоторые роутеры, в частности ZyXEL Keenetic серии II и выше, закрываются навечно (до тех пор, пока хозяин роутера не зайдёт в веб морду, и не включит WPS обратно). :oops:
     
    Piligrim740, hydra, antis17 and 3 others like this.
  8. quite gray

    quite gray Well-Known Member

    Joined:
    8 Dec 2016
    Messages:
    266
    Likes Received:
    1,218
    Reputations:
    3

    Кстати - да хорошая идея, посмотреть по MACу производителя и забить в Google информацию.
    binarymaster, я имею ввиду, какие временнЫе параметры ставить в reaver на атаку, чтобы в lock её снова не отправить. Прошлый раз заблочилась наглухо после 10-ти неверных. Так было -d 30 -r 2:1800 и через 5 часов закрылась. Очевидно одно - надо увеличивать 1800, 3600 и т.д. Пока взвешиваю и размышляю сколько поставить. Но на всякий случай уже щиток на этаже с предохранителями изучил :-D В теме читал, что кто-то выставлял сутки.
     
    #4548 quite gray, 30 Mar 2019
    Last edited: 12 Apr 2019
  9. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    303
    Likes Received:
    21
    Reputations:
    0
    Там тп-линк роутер, после 20 попыток лочится до перезагрузки, но успешно перезагружается если не сколько разных атак параллельно mdk3 запустить.
    Да это не прокатывает, нужно описание способов рабочих по перезагрузке их.
     
    quite gray likes this.
  10. quite gray

    quite gray Well-Known Member

    Joined:
    8 Dec 2016
    Messages:
    266
    Likes Received:
    1,218
    Reputations:
    3
    В смысле только атака из-под mdk3 или к mdk3 ещё какую-то дополнительную атаку с другого адаптера параллельно? Напиши примеры своих команд пожалуйста, которыми перезагружаешь, если не затруднит тебя.
     
  11. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    303
    Likes Received:
    21
    Reputations:
    0
    mdk3 wlan0mon a -a mak
    mdk3 wlan0mon g -t mak
    Вот как-то так, но это все экспериментально, я особо не находил в сети подробных манулов какой роутер на какую из этих атак лучше ведется. Обычно на один вид не ведутся, если разные mdk3 атаки запускать одновременно, тогда вроде прокатывает с тплинк741.
     
    quite gray likes this.
  12. quite gray

    quite gray Well-Known Member

    Joined:
    8 Dec 2016
    Messages:
    266
    Likes Received:
    1,218
    Reputations:
    3
    Т.е. если я правильно понял: я буду делать 1 попытку пина в день, и на 10-й день роутер уйдёт в lock? А далее только физическая перезагрузка хозяином?
     
  13. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    303
    Likes Received:
    21
    Reputations:
    0
    Так жестко я не пробовал) Но там 11000 попыток, нужны именно методы обхода лока.
     
    quite gray likes this.
  14. quite gray

    quite gray Well-Known Member

    Joined:
    8 Dec 2016
    Messages:
    266
    Likes Received:
    1,218
    Reputations:
    3
    Кто понял жизнь, тот больше не спешит (c) :-D
    Из сгенерированной базы Router Scan пробую сначала все пины. Можно и не торопиться - там их немного. binarymaster очень мощную программу создал. Цены нет и человеку и инструменту.
    Ну reaver-fork опробовал уже? VasiliyP обладает обширными знаниями по теме. В этой ветке до сих пор не могут ни разгадать ни повторить его проделанный один фокус с угадыванием пароля от точки.
     
    #4554 quite gray, 30 Mar 2019
    Last edited: 30 Mar 2019
  15. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,442
    Likes Received:
    9,230
    Reputations:
    116
    3WiFi говорит, что это какая-то разновидность Huawei.

    Я бы попробовал пустой пин, и атаку Pixie Dust заодно.
    Как правило именно так. Точки просто считают кол-во неверных попыток, без их сброса по истечению времени. И без учёта мак адреса клиента.
     
    quite gray likes this.
  16. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    303
    Likes Received:
    21
    Reputations:
    0
    Опробовал, но также сыпятся сразу эти ошибки
    send_packet called from send_identity_response() send.c:81 именно на rt3070l адаптере.
     
  17. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    303
    Likes Received:
    21
    Reputations:
    0
    А как из точек ZyXEL Keenetic II, NDMS v2.06(AAFG.0)C3 вытаскивать пароль по пину, дело в том, что bully через pixiewps выдает пин, если после этого атаку остановить, то точка показывает, что впс включен еще, но если продолжить и сделать еще запрос с уже конкретным пином, то точка отрубает впс в этот момент и не отдает пасс. Как к таким подключиться, прокатит ли, не получая пасс, к ним по пину подключиться из винды, к примеру ? А то уже пару точек так пины получил, а впс отрубился.
     
  18. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    965
    Likes Received:
    1,648
    Reputations:
    20
    Используйте получение ключа через wps в роутерскане. Там и pixiedust есть, и роутеры после работы роутерскана не тушат wps. В отличии от reaver и bully.
     
  19. roman921

    roman921 Member

    Joined:
    24 May 2015
    Messages:
    303
    Likes Received:
    21
    Reputations:
    0
    Вот как раз с таким эксперименты ставлю, там возможность включения wps исчезает после того как он сам закрывается.
     
  20. Gashek

    Gashek Well-Known Member

    Joined:
    16 Feb 2017
    Messages:
    220
    Likes Received:
    739
    Reputations:
    13
    "Рома921",
    хорош заморачивать народ ебунтой), уже не смешно...
     
Loading...