Вся информация предоставлена исключительно в ознакомительных целях. Автор не несет ответственности за любой возможный вред, причиненный информацией из данной статьи.
Wi-Fi Protected Setup или WPS (для роутеров TP-Link QSS) протокол
который был разработан для того, чтобы настройка защищенной точки доступа была легче для среднего обывателя. Появился он аж в далеком 2007 году. И как всегда бывает от оказался дырявый, пин можно подобрать, пароль от вайфая узнать.
Конечно новыe WiFi уже не так уязвимы, производители постарались исправить недостатки протокола, но старые роутеры 2007-2012 года еще в строю. Для теста я взял свой старенький TP-Link TL-WR741ND, VirtualBox с дистрибутивом Kali Linux и опять же TP-Link Wifi-адаптер. Поехали…
Первым делом нам надо перевести адаптер в режим мониторинга, для этого воспользуемся пакетом Aircrack-ng. Про режим мониторинг и Aircrack-ng читаем тут.
airmon-ng check kill
airmon-ng start wlan0
У вас появиться новый интерфейс типа wlan0mon. Теперь посмотрим то мы видел вокруг :
airodump-ng --manufacturer --uptime --wps wlan0mon
Вот и наша точка доступа Test с включенным WPS.
Bully
Первым в бой пойдет. bully(Хулиган) — это новая реализация атаки грубой силы, написанный на C. Это концептуально идентичны к другим программам, в том, что он использует (теперь хорошо известный) недостаток дизайна в спецификации WPS. Оно имеет несколько преимуществ перед исходным кодом reaver. К ним относятся меньшее количество зависимостей, улучшенная память и производительность ЦП, правильная обработка endianness и более надежный набор опций. https://github.com/aanarchyy/bully
bully wlan0mon -b F8:1A:67:8B:89:46 -e test -c 1
- -b MAC адрес точки доступа.
- -e SSID точки доступа.
- -с Канал на которой работает точка.
- -d пытаться использовать pixiewps
О pixiewps в двух словах : суть проблема была в генерации случайных чисел (E-S1 и E-S2) на многих роутерах. Если мы узнаем эти числа — мы сможем легко узнать WPS pin. E-S1 и E-S2 используются в генерации E-Hash1, E-Hash2, которые в свою очередь получим от роутера в сообщении M3.
К стати программа сама запоминает сессию и если нужно может продолжить с места остановки. Но к сожалению WPS на роутере заблокировался , pixiewps тоже не прошел. У нас ничего не вышло ((
Для другова подопытного программа сказала: время перебора выходит очень большим(31 час) , видно из за слабенького сигнала точки доступа, но хотя бы не заблокировался.
Reaver
Второй у нас на очереди известный Reaver(wps-fork-t6x).
Разоритель(reaver) реализует атаки против wps. Reaver был разработан, чтобы быть надежным и практичным в атаки.
В зависимости от типа точка доступа (AP), чтобы восстановить обычный текст, WPA или WPA2 пароль в среднем занимает времени метода грубой силы между 4-10 часов. На практике обычно требуется половина этого времени, чтобы угадать правильный pin-код WPS и восстановить парольную фразу. Вот что нам говорят создатели. Оригинальный raever не обновлялся с 2012 года, но выходило несколько доработок его кода. Мы будем использовать fork-t6x . https://github.com/t6x/reaver-wps-fork-t6x
Тестовую вай фай пришлось перезагрузить, в бой! Начнем с
pixie атаки:
reaver -i wlan0mon -b F8:1A:67:8B:89:46 -K -vv
- -i интерфейс.
- -b MAC точки доступа.
- -K атака pixiewps.
- -vv уровень вывода информации на экран.(-v,-vv,-vvv)
- -c задаем канал.
Мою точку доступа он ломать отказался на отрез.
Другая точка оказалась уязвима к pixiewps . Правда пришлось немного повозиться, помог тег —no-nack.
reaver -i wlan0mon -b ..... -K -vv --no-nack
Пин мы узнали , как же теперь узнать пароль ? Нам поможет тег -p.
reaver -i wlan0mon -b mac -p пин -vv --no-nack
Bully нас тоже не подвел и справился с точкой доступа:
bully wlan0mon -b МАС -c 6 -d
Предупрежден значит вооружен !
Вывод прост : выключайте WPS, ставьте сложные пароли, используйте WPA2 протокол и спите спокойно.