Брут WPA2 без handshake используя PMKID + hashcat

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by Vikhedgehog, 6 Aug 2018.

  1. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    354
    Likes Received:
    126
    Reputations:
    16
    RSN IE - это необязательное поле, которое можно найти в рамах управления 802.11. Одной из возможностей RSN является PMKID. PMKID вычисляется с использованием HMAC-SHA1, где ключ является PMK, а часть данных представляет собой конкатенацию фиксированной строковой метки «PMK Name», MAC-адрес точки доступа и MAC-адрес станции. Поскольку PMK такой же, как в обычном четырехстороннем рукопожатии EAPOL, это идеальный вектор атаки.

    Мы получаем все необходимые данные в первом кадре EAPOL из AP.


    Основное отличие от существующих атак заключается в том, что в этой атаке захват полного 4-стороннего рукопожатия EAPOL не требуется. Новая атака выполняется в IE RSN (надежный сетевой информационный элемент безопасности) одного кадра EAPOL.

    В настоящее время мы не знаем, для каких поставщиков или для какого количества маршрутизаторов этот метод будет работать, но мы думаем, что он будет работать против всех сетей 802.11i / p / q / r с включенными функциями роуминга (большинство современных маршрутизаторов).

    Основными преимуществами этой атаки являются следующие:
    • Больше не требуется регулярных пользователей - потому что злоумышленник напрямую связывается с AP (иначе говоря, «без клиента»)
    • Больше не нужно ждать полного 4-стороннего рукопожатия между обычным пользователем и AP
    • Отсутствие ретрансмиссии кадров EAPOL (что может привести к результатам, которые невозможно устранить)
    • Исключает неверные пароли, посланные обычным пользователем
    • Больше нет потерянных кадров EAPOL, когда обычный пользователь или AP находится слишком далеко от злоумышленника
    • Больше не требуется фиксировать значения nonce и replaycounter (что приводит к чуть более высоким скоростям)
    • Больше нет специального формата вывода (pcap, hccapx и т. Д.) - окончательные данные будут отображаться как обычная строка с шестнадцатеричным кодированием
    Нам потребуются:
    Производим атаку:
    1.
    Code:
    $ ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status
    Ждем, пока в выводе не увидим что-то подобное:
    Code:
    [13:29:57 - 011] 89acf0e761f4 -> 4604ba734d4e <ESSID> [ASSOCIATIONREQUEST, SEQUENCE 4]
    [13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [ASSOCIATIONRESPONSE, SEQUENCE 1206]
    [13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [FOUND PMKID]
    2.
    Переводим в нужный формат и скармливаем наш файл хэшкэту (да-да, по прежнему нужно брутить, так что пока не как с WEP)
    Code:
    $ ./hcxpcaptool -z test.16800 test.pcapng
    Собственно на этом всё. Думаю это значительно облегчит брут точек с клиентскими устройствами, находящимися вне диапазона атакующего, а также откроет возможность быстрого сбора хэндшейков с пустых сетей в любых интересующих местах. Пишите, какие роутеры поддаются на практике, а то возможности протестировать пока нет. Осмелюсь также предположить, что в перспективе данная уязвимость будет лечиться обновлением прошивки на AP.

    Оригинал статьи (советую почитать, я перевёл только основное) - https://hashcat.net/forum/thread-7717.html
     
    #1 Vikhedgehog, 6 Aug 2018
    Last edited: 6 Aug 2018
  2. Gashek

    Gashek Well-Known Member

    Joined:
    16 Feb 2017
    Messages:
    170
    Likes Received:
    505
    Reputations:
    13
    Так понимаю,
    протестированные чипсеты адаптеров как работающие «из коробки»
    Ralink MT7601U
    Ralink RT2870/RT3070
    Ralink RT5370
    Realtek RTL8187
    Realtek RTL8187B
    ---
    Из распространённых устройств с внешней/съёмной антенной это:
    Ralink RT3070 - Alfa AWUS036NH, TP-LINK TL-WN7200ND и море китайщины
    Realtek RTL8187 - ALFA AWUS036H
     
  3. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    354
    Likes Received:
    126
    Reputations:
    16
    Только что проверил на TL-WN722N v1, чип atheros. Работает, но из ~30-40 сетей за 10 минут прога бахнула только штуки 4. Конкретный BSSID там, насколько понял, указать нельзя, поэтому прога скачет по каналам и атакует всё, что шлёт хоть какие-то фреймы. В данный момент вижу [tx=7458, powned=4, err=0]. Из жертв - точки asus rt-ac66u и микротики пока что.
     
  4. yarr

    yarr Member

    Joined:
    19 Aug 2017
    Messages:
    135
    Likes Received:
    82
    Reputations:
    2
    Протестировал Alfa 036 ACH, Alfa 036H, TP-LINK 721N, чипсет INTEL 3165 AC. Из них нормально работают только Alfa 036H и Alfa 036 ACH. Туполинк менее мощный (видит меньше сетей) и перебирает медленно. Но PMKID нашел. Чип от Intel работает на рандом, PMKID может поймать при везении, но хеш потом практически не возможно получить.
     
    Gashek and CRACK211 like this.
  5. Gashek

    Gashek Well-Known Member

    Joined:
    16 Feb 2017
    Messages:
    170
    Likes Received:
    505
    Reputations:
    13
    Сегодня, нашлось время протестировать
    На даче был, только Ubiquiti WiFiStation
    [​IMG]
    чип тот же, AR9271
    ---
    По теме...PMKID + hashcat

    Отличное решение для дачников (кто находится рядом с городскими поселениями), моряков и т.д., если клиентов не видно, но точка хорошо вещает
    ---
    Расстояние, если верить яндекс картоизмерителю до близжайшего посёлка 580 метров
    Устройство, отлично отработало),
    нашло до х.. сетей c клиентами -1 PWR, в том числе совсем без клиентов,
    из них 5 сетей с нормальной мощностью, которые были ....)
    Так, что однозначно, Must Have!
     
  6. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    354
    Likes Received:
    126
    Reputations:
    16
    Протестил также на rtl8192cu (TP-LINK WN821N v4) - полёт нормальный.
    Находит пмкид у всех новых асусов, вне зависимости от модели.
    Чуть интереснее обстоят дела с зухелем, свежую ультру II берёт через несколько секунд после запуска скрипта, а на кинетике 4G II 2014 года - ноль.
    С D-Link DSL-2640NRU и DAP-1360 тоже пока по нулям.
    Продолжаю наблюдение :D
     
  7. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    811
    Likes Received:
    1,070
    Reputations:
    17
    Адаптеры скорее всего будут работать все в независимости от чипсета и т.д., главное чтобы инжектить пакеты умел.

    С точками все просто. В wireshark нужно выбрать первый eapol пакет, раскрыть дерево 802.1x Auth. Если внизу поле WPA Key Data Length = 0, точка не сдастся.

    В противном случае можно хоть с неполного хендшейка выдрать pmkid, хоть самому подключиться к точке с неверным паролем и так же получить искомое.

    [​IMG]

    Пока что список уязвимого следующий:
    Mikrotik Routerboard
    Cisco точки доступа
    Tenda (ralink chipset)
    Netis, totolink, asus rt-n10/n12, huawei ws319 под вопросом (pmkid = 00000000..) (realtek chipset)
    Dlink DSL-2640U 96333AWG_F7S, Dsl-2650u (broadcom chipset)
    ASUS RT-N10U, RT-N18U (broadcom chipset)
    Dlink DIR-615 (broadcom chipset)

    Неуязвимы
    Похоже что все tp-link
    Tenda (broadcom chipset)
    huawei hg532e
    zte h108n, zte h108l
    ubiquiti
    d-link старых ревизий dir 300/320, dsl-2640
    Zyxel со старыми прошивками
     
    #7 TOX1C, 10 Aug 2018
    Last edited: 10 Aug 2018
  8. hydra

    hydra Well-Known Member

    Joined:
    24 Jul 2015
    Messages:
    1,050
    Likes Received:
    8,115
    Reputations:
    20
    Уязвимы ростеловские:
    Mitrastar
    Sagemcom
    Eltex
    ZAO NPK RoTeK
    OJSC Ufimskiy Zavod Promsvyaz
     
    #8 hydra, 11 Aug 2018
    Last edited: 19 Aug 2018
  9. WELK

    WELK Member

    Joined:
    14 Jan 2017
    Messages:
    68
    Likes Received:
    6
    Reputations:
    0
    На скорость перебора я так понимаю никак не влияет?
     
  10. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,090
    Likes Received:
    7,984
    Reputations:
    333
    Скорость идентична перебору хендшейка wpa/wpa2.
     
    _________________________
    binarymaster and WELK like this.
  11. alian

    alian Member

    Joined:
    7 Dec 2009
    Messages:
    61
    Likes Received:
    52
    Reputations:
    0
    Линуксоиды, распишите виндузятнику на пальцах, как запустить эту прогу. На WiFiSlax должна заработать?
     
  12. Tudiblad

    Tudiblad Member

    Joined:
    3 Oct 2017
    Messages:
    41
    Likes Received:
    15
    Reputations:
    0
    А атаку на конкретную точку доступа возможно провести или только пачкой (полным прослушиванием эфира)? А так получается, я даже не знаю, от какой точки доступа у меня PMKID, может уже та, что у меня есть.
     
    #12 Tudiblad, 15 Aug 2018
    Last edited: 15 Aug 2018
  13. Toroid

    Toroid Member

    Joined:
    9 Oct 2016
    Messages:
    74
    Likes Received:
    48
    Reputations:
    1
    Возможно корявенько получилось, но не пинайте сильно, я ненастоящий сварщик (с)

    Делал в Кали. Все в терминале
    1. git clone https://github.com/ZerBea/hcxdumptool
    2. cd hcxdumptool
    3. make
    4. sudo make install
    После этого получаем установленным первый компонент. После этого можно запускать атаку, единственно что у меня ключ --enable_status попросил значение, я тупо сложил все возможные числа из хелпа и указал 15

    Он чего-то наловит в файл.

    Чтобы сконвертировать, надо установить hcxpcaptool. Все аналогично устанавливается:
    5. git clone https://github.com/ZerBea/hcxtools
    6. cd hcxtools
    7. make
    8. У меня начало ругаться на недостающие библиотеки, пришлось их доустанавливать (5 минут в Гугле) apt install libssl-dev libcurl4-openssl-dev и еще apt install libz-dev
    9. После этого make прошел без ошибок
    10. sudo make install
     
  14. Toroid

    Toroid Member

    Joined:
    9 Oct 2016
    Messages:
    74
    Likes Received:
    48
    Reputations:
    1
    В ветке https://hashcat.net/forum/thread-7717.html упоминаются ключи --filtermode=2 --filterlist=filter.txt
    Я создал файлик filter.txt, куда вписал мак интересующей точки (взял из airodump'а), только убрав двоеточия. Глянул потом в файл test.pcapng wireshark'ом, там все доступные сети в округе. Т.е. фильтр не работает. Или я что-то не так делаю...
     
  15. hydra

    hydra Well-Known Member

    Joined:
    24 Jul 2015
    Messages:
    1,050
    Likes Received:
    8,115
    Reputations:
    20
    Похоже,что так оно и есть.Пробовал добавлять в фильтр целевую AP.И наооборот,все AP,кроме целевой.В обоих случаях,атака идёт на все видимые AP.
     
  16. Toroid

    Toroid Member

    Joined:
    9 Oct 2016
    Messages:
    74
    Likes Received:
    48
    Reputations:
    1
    У меня хэшкота нет (нетбук), но я попробовал так (увидел на Гитхабе):
    файл после первого этапа заливаю на wpa-sec.stanev.org предварительно сменив расширение на cap.
    Когда я первый раз туда загрузил файл, в my nets отобразились несколько сетей. А после того, как я попробовал с фильтром и загрузил файл - только одна, мак которой я указал. Хотя в файле полно названия сетей... может быть он пакеты захватывает, пишет названия сетей, но дальнейшие данные по ним не пишет.

    Но мне еще предстоит атака на заветную точку - там проводное подключение к роутеру, вайфай в пустоту светит - хэндшейк на ней вообще не ловится и подключенных клиентов я не вижу. Вот тогда и поглядим...
     
  17. igrek

    igrek Member

    Joined:
    20 Aug 2016
    Messages:
    93
    Likes Received:
    57
    Reputations:
    1
    Если я правильно понял, то при наличии двух ноутов, те две программы из первого поста не нужны ? С одного ноута пытаемся подключиться с "левым" паролем, а другим ловим хендшейк ? Если так, то объясните пожалуйста, как выдрать из "акулы" PMKID и как подсунуть его "коту" (в смысле какой тип атаки выбирать) ??

    Пользуюсь "котом" 3.2 или нужен более поздний ?
     
  18. hydra

    hydra Well-Known Member

    Joined:
    24 Jul 2015
    Messages:
    1,050
    Likes Received:
    8,115
    Reputations:
    20
    Используй hcxpcaptool
    -m 16800
    Нужен не ниже 4.2.1
     
  19. Tudiblad

    Tudiblad Member

    Joined:
    3 Oct 2017
    Messages:
    41
    Likes Received:
    15
    Reputations:
    0
    Доброго дня всем. Кто знает, что означают цифры:
    - you can run --enable-status=1 --enable-status=2 --enable-status=4 --enable-status=8
    - or use the bitmask: --enable-status3 (= --enable-status=1 + --enable-status=2)?
     
  20. igrek

    igrek Member

    Joined:
    20 Aug 2016
    Messages:
    93
    Likes Received:
    57
    Reputations:
    1
    Спасибо, всё получилось, один пароль нашёл (Huawei HG8245H), остальные безклиентские точки ТПлинки,- обидно.
    Мне всё же кажется, что через "левый" CAP с неправильным паролем делать удобнее.

    Если кому надо - готовые XZM модули для WIFISLAX-4-12 hcxdumptool и hcxtools
    https://yadi.sk/d/jRcYuntq3aJ3mz

    Интересно, существует ли ГУИ для "кота" в котором есть этот пункт PMKID ?
     
Loading...