Атака на WPS для получения пароля WiFi.


Вся информация предоставлена исключительно в ознакомительных целях.  Автор не несет ответственности за любой возможный вред, причиненный информацией из данной статьи.

Wi-Fi Protected Setup или WPS (для роутеров TP-Link QSS) протокол 
который был разработан для того, чтобы настройка защищенной точки доступа была легче для среднего обывателя. Появился он аж в далеком 2007 году. И как всегда бывает от оказался дырявый, пин можно подобрать, пароль от вайфая узнать.

Конечно новыe WiFi уже не так уязвимы, производители постарались исправить недостатки протокола, но старые роутеры 2007-2012 года еще в строю. Для теста я взял свой старенький TP-Link TL-WR741ND, VirtualBox с дистрибутивом Kali Linux и опять же TP-Link  Wifi-адаптер. Поехали…

Первым делом нам надо перевести адаптер в режим мониторинга, для этого воспользуемся пакетом Aircrack-ng. Про режим мониторинг и  Aircrack-ng читаем тут.

airmon-ng check kill
airmon-ng start wlan0

У вас появиться новый интерфейс типа wlan0mon. Теперь посмотрим то мы видел вокруг :

airodump-ng --manufacturer --uptime --wps wlan0mon

Вот и наша точка доступа Test с включенным WPS.

Bully

Первым в бой  пойдет. bully(Хулиган) — это новая реализация атаки грубой силы, написанный на C. Это концептуально идентичны к другим программам, в том, что он использует (теперь хорошо известный) недостаток дизайна в спецификации WPS. Оно имеет несколько преимуществ перед исходным кодом reaver. К ним относятся меньшее количество зависимостей, улучшенная память и производительность ЦП, правильная обработка endianness и более надежный набор опций.                                                        https://github.com/aanarchyy/bully

bully wlan0mon -b F8:1A:67:8B:89:46 -e test -c 1
  • -b  MAC адрес точки доступа.
  • -e SSID точки доступа.
  • Канал на которой работает точка.
  • -d пытаться использовать pixiewps

О pixiewps в двух словах : суть проблема была в генерации случайных чисел (E-S1 и E-S2) на многих роутерах. Если мы узнаем эти числа — мы сможем легко узнать WPS pin. E-S1 и E-S2 используются в генерации E-Hash1, E-Hash2, которые в свою очередь получим от роутера в сообщении M3

К стати программа сама запоминает сессию и если нужно может продолжить с места остановки. Но к сожалению WPS на роутере заблокировался , pixiewps тоже не прошел. У нас ничего не вышло ((

Для другова подопытного программа сказала: время перебора выходит очень большим(31 час) , видно из за слабенького сигнала точки доступа, но хотя бы не заблокировался.

Reaver

Второй у нас на очереди известный Reaver(wps-fork-t6x). 
Разоритель(reaver) реализует атаки против wps. Reaver был разработан, чтобы быть надежным и практичным в атаки. 
В зависимости от типа точка доступа (AP), чтобы восстановить обычный текст, WPA или WPA2 пароль в среднем занимает времени метода грубой силы  между 4-10 часов. На практике обычно требуется половина этого времени, чтобы угадать правильный pin-код WPS и восстановить парольную фразу. Вот что нам говорят создатели. Оригинальный raever не обновлялся с 2012 года, но выходило несколько доработок его кода. Мы будем использовать fork-t6xhttps://github.com/t6x/reaver-wps-fork-t6x

Тестовую вай фай пришлось перезагрузить, в бой! Начнем с 
pixie атаки:

reaver -i wlan0mon -b F8:1A:67:8B:89:46 -K -vv
  • -i интерфейс.
  • -b MAC точки доступа.
  • -K атака pixiewps.
  • -vv уровень вывода информации  на экран.(-v,-vv,-vvv)
  • -c задаем канал.

Мою точку доступа он ломать отказался на отрез.

Другая точка оказалась уязвима к pixiewps . Правда пришлось немного повозиться, помог тег —no-nack.

reaver -i wlan0mon -b ..... -K -vv --no-nack

Пин мы узнали , как же теперь узнать пароль ? Нам поможет тег -p.

reaver -i wlan0mon -b mac -p пин  -vv --no-nack

Bully нас тоже не подвел и справился с точкой доступа:

bully wlan0mon -b МАС -c 6 -d

Предупрежден значит вооружен !

Вывод прост : выключайте WPS, ставьте сложные пароли, используйте WPA2 протокол и спите спокойно.