REAVER: Vulnerabilidad de WPA por WPS habilitado

Iniciado por ChimoC, 15 Enero 2012, 02:25 AM

0 Miembros y 3 Visitantes están viendo este tema.

El_Andaluz

#1170
Compañeros descargarse la ultima versión del wifislax4.6 rc1 yo la he probado y demomento no da problemas.Saludos espero que me vuelvan abrir el tema de patrones de pines por culpa de uno pagamos todos. ;) :silbar:

Buenas, por tu forma de hablar y expresarte es por lo que se te cierra el post (por favor, no mezcles temas, si tienes alguna queja habla con algun Moderador Global o Admin

gabrielprocs

cual es el metodo mas efectivo este o el de diccionario, cuanto puede tardar? con cual optuvieron mejores resultados?

P4nd3m0n1um

Nuevos Routers Nisuta con MAC Address de Tenda:


Datos:


PIN WPS = WPA-AES

Modelo Original de Tenda:


P4nd3m0n1um


Google CODE: http://code.google.com/p/bully/
GitHUB: https://github.com/bdpurcell/bully

PANORAMA GENERAL

Bully es una nueva implementación de ataque de fuerza bruta WPS, escrito en C. Es conceptualmente idéntica a otros programas similares, ya que aprovecha la (ahora bien conocidos) los fallo de diseño en la especificación WPS. Tiene varias ventajas sobre el código original de Reaver-WPS. Estos incluyen un menor número de dependencias, la mejora de la memoria y el rendimiento de la CPU, correcta manipulación de orden de bytes, y un conjunto más robusto de opciones. Se ejecuta bajo entornos de Linux, y ha sido desarrollado específicamente para funcionar en sistemas Linux embebidos (OpenWrt, etc), independientemente de la arquitectura.

Bully proporciona varias mejoras en la detección y el manejo de escenarios anómalos. Se ha probado con los puntos de acceso de numerosos proveedores, y con diferentes configuraciones, con mucho éxito.

DEPENDENCIAS

Bully requiere libpcap y libssl. Se utiliza la funcionalidad WPS escrito por Jouni MALINEN; que el código fuente está incluido en esta reproducción de la simplicidad, como son libcrypto y varias otras fuentes que proporcionan la funcionalidad necesaria.

Debido a que Bully almacena los pins aleatorios y los datos en archivos normales de sesión, no hay necesidad de ninguna funcionalidad de base de datos.

INSTALACIÓN

Bully puede ser construido e instalado ejecutando:

cd bully-master
cd src
sudo make
sudo make install


INSTALACIÓN BAJO INSTALACIÓN

Un Makefile probado en Kamikaze r18801 (2.6.26) se proporciona en el directorio raíz del repositorio. Trasladar a Backfire u otra variante OpenWrt debería ser bastante sencillo.

Assuming you have ~/kamikaze as your openwrt directory and ~/bully for bully, the following steps should get you up and running:
cd ~/kamikaze
mkdir package/bully
cp -rf ~/bully/* ~/kamikaze/package/bully
make menuconfig



Navigate to Network-->wireless and select bully (module or built-in), exit and save. If you elected to build as a package, type
make package/bully/{clean,compile} V=99
scp bin/packages/<arch>/bully_1.1-1_<arch>.ipk root@<router-ip>/tmp
ssh root@<router-ip>



enter router password,
opkg install /tmp/bully*ipk



Si decide construir Bully en su firmware, e instalarlo como lo haría normalmente.

USO

Asegúrese de que usted es un usuario root, y están utilizando hardware inalámbrico que es capaz de inyección con una interfaz en modo monitor.

usage: bully <options> interface
Required arguments:
  interface      : Wireless interface in monitor mode (root required)
  -b, --bssid macaddr    : MAC address of the target access point
Or
  -e, --essid string     : Extended SSID for the access point
Optional arguments:
  -c, --channel N[,N...] : Channel number of AP, or list to hop [b/g]
  -l, --lockwait N       : Seconds to wait if the AP locks WPS   [43]
  -p, --pin N            : Index of pin to start at (7 digits) [Auto]
  -s, --source macaddr   : Source (hardware) MAC address      [Probe]
  -v, --verbosity N      : Verbosity level 1-3, 1 is quietest     [3]
  -w, --workdir          : Location of pin/session files  [~/.bully/]
  -5, --5ghz             : Hop on 5GHz a/n default channel list  [No]
  -F, --fixed            : Fixed channel operation (do not hop)  [No]
  -S, --sequential       : Sequential pins (do not randomize)    [No]
  -T, --test             : Test mode (do not inject any packets) [No]
Advanced arguments:
  -a, --acktime N        : Acknowledgement and pcap timeout (ms) [25]
  -r, --retries N        : Resend packets N times when not acked  [2]
  -m, --m13time N        : M1/M3/Initial beacon timeout (ms)   [2000]
  -t, --timeout N        : Timeout for Auth/Assoc/Id/M5/M7 (ms) [200]
  -1, --pin1delay M[,N]  : Delay M seconds every Nth nack at M5 [0,1]
  -2, --pin2delay M[,N]  : Delay M seconds every Nth nack at M7 [5,1]
  -A, --noacks           : Disable ACK check for sent packets    [No]
  -C, --nocheck          : Skip CRC/FCS validation (performance) [No]
  -D, --detectlock       : Detect WPS lockouts unreported by AP  [No]
  -E, --eapfail          : EAP Failure terminate every exchange  [No]
  -L, --lockignore       : Ignore WPS locks reported by the AP   [No]
  -M, --m57nack          : M5/M7 timeouts treated as WSC_NACK's  [No]
  -N, --nofcs            : Packets don't contain the FCS field [Auto]
  -P, --probe            : Use probe request for nonbeaconing AP [No]
  -R, --radiotap         : Assume radiotap headers are present [Auto]
  -W, --windows7         : Masquerade as a Windows 7 registrar   [No]
  -h, --help             : Display this help information



DESCRIPCIÓN DE LOS ARGUMENTOS

  -c, --channel N[,N...]

Número de canal o lista separada por comas de los canales que saltar sobre la interfaz. Algunos AP's realizan un cambio de canal periódicamente. Esta opción permite a Bully volver a adquirir un punto de acceso y continuar con un ataque sin intervención. Tenga en cuenta que la utilización de salto de canal suelen retrasar un ataque, especialmente cuando la señal del AP es débil, porque el tiempo se gasta el rastreo de canales en lugar de pasadores de prueba. Si no se proporciona ningún canal, Bully los saltará en todos los canales.

  -l, --lockwait N

Número de segundos de espera cuando un AP bloquea WPS. La mayoría de AP se bloqueará durante 5 minutos, por lo que el valor por defecto es de 43 segundos. Esto hará que Bully espere 7 veces durante un período de bloqueo para un total de 301 segundos.

  -p, --pin N

Este es el número de pin de partida (carreras secuenciales) o el índice del número de pin de partida. Normalmente, esto se maneja de forma automática, es decir, una sesión interrumpida se reanudará después de la última pin que fue probada con éxito.

  -s, --source macaddr

La dirección MAC de origen para insertar en los paquetes enviados al AP. No todas las tarjetas inalámbricas se pueden utilizar para suplantar la dirección MAC de origen de este tipo, pero la opción se proporcionan para los chipsets que lo permitan. Cuando no se proporciona, la interfaz inalámbrica recuperara la MAC Address original.

  -v, --verbosity N

Nivel de detalle. 1 es el más tranquilo, que muestra información de error sólo irrecuperable. Level 3 muestra la mayoría de la información, y es la mejor opción para determinar exactamente lo que está sucediendo durante una sesión.

  -w, --workdir

Directorio de trabajo, donde se almacenan los pins aleatorios y archivos de sesión.  ~/.Bully/

  -5, --5ghz

Utilice 5 GHz (a / n) canales en lugar de 2,54 GHz canales (b / g). No comprobado.

  -F, --fixed

Uhm, en desuso. La forma correcta de hacer esto es especificar un solo canal con --channel. Idk.

  -S, --sequential

De forma predeterminada, los pasadores son aleatorios. Esta opción permite a los pasadores para ser probados de forma secuencial.

  -T, --test

El modo de prueba. No hay paquetes se inyectan. Se puede utilizar para validar los argumentos, determinar si un punto de acceso es visible y tiene WPS habilitado, generar un archivo pin aleatorio, o crear un archivo de sesión para el punto de acceso.

  -a, --acktime N

Este tiempo de espera se utiliza cuando la espera de confirmaciones de paquetes enviados, y también se utiliza como el valor de tiempo de espera pcap. El valor predeterminado es 25 ms. Aumente este valor en los canales de alto tráfico, o si ve numerosos "envió de paquetes no reconocidos" los mensajes.

  -r, --retries N

¿Cuántas veces nos volvemos a enviar los paquetes cuando no se reconocen? El valor predeterminado es 3. La idea es hacer un mayor esfuerzo para garantizar la AP recibe todos los paquetes que enviamos, y no tienen transacciones fallan y se reinician debido a un paquete perdido.

  -m, --m13time N

Tiempo de espera para la primera baliza del AP, y WPS mensajes M1 y M3. El valor predeterminado es 2000 ms. Este es un período relativamente largo, del orden de 100 veces más largo que un acuse de recibo, porque estos mensajes implican extensa com [El Usuario ha Insultado] ción en el AP. Aumente este valor para los puntos de acceso más lentos (o más ocupados).

  -t, --timeout N

Tiempo de espera estándar para todo tipo de paquetes restantes (autenticación, asociación, petición identidad, M5 y M7). El valor predeterminado es 200 ms. Aumento en los canales ocupados / AP 's.

  -1, --pin1delay M[,N]

Retraso M segundos por cada NACK enésimo en M5. El valor predeterminado es 0,1 (sin retardo). Algunos puntos de acceso se dejen confundir por demasiadas transacciones WPS sucesivos, e incluso puede fallar si no se marcan las cosas un poco. Este es el tiempo de retardo para usar durante la primera mitad de la espiga.

  -2, --pin2delay M[,N]

Retraso M segundos por cada NACK enésimo en M7. El valor predeterminado es 0,1 (sin retardo). Algunos puntos de acceso manejan transacciones a través de M4 con facilidad, sólo para caer en demasiadas M6 mensajes sucesivos. Este es el tiempo de retardo para usar durante la segunda mitad de la espiga.

  -A, --noacks

Desactive el procesamiento de reconocimiento para todos los paquetes enviados. Útil si usted está seguro de que el AP está recibiendo paquetes, aunque bully no puede ver agradecimientos. Es posible que necesite esto para un adaptador wifi USB que procesa los reconocimientos y los deja caer antes de libpcap nunca los ve.

  -C, --nocheck

Desactive el procesamiento de secuencia de verificación de trama. Podemos mejorar el rendimiento un tanto al hacer la dudosa suposición de que todos los paquetes que recibimos son válidas. Véase también --nofcs abajo.

  -D, --detectlock

Algunos puntos de acceso no indican que se han encerrado en sus etiquetas WPS IE baliza, pero sumariamente ignoran todas las operaciones WPS durante un periodo de tiempo. Con esta opción, se puede detectar la condición y el sueño de - lockdelay segundos antes de reanudar. Con el fin de permanecer sin ser detectados, no hay ningún punto en la radiodifusión 5 minutos por valor de START mensajes EAP sin respuesta.

  -E, --eapfail

Enviar EAP FAIL mensajes después de cada transacción. Algunos de AP se confunden cuando no ven esto.

  -L, --lockignore

No haga caso de las CM condiciones de bloqueo se informa en los elementos de información de baliza.

  -M, --m57nack

Tratar M5 y M7 tiempos de espera como NACK del, para los puntos de acceso que no envían a ellos, pero en lugar de dejar caer la transacción. Al utilizar esta opción es probable que desee para aumentar el - tiempo de espera, de modo que bully no asume incorrectamente un pin es incorrecto debido a un mensaje retrasado.

  -N, --nofcs

Algunos dispositivos inalámbricos se han hecho el trabajo de la comprobación y de agotamiento de la FCS de los paquetes ya. Bully normalmente detecta y ajusta en consecuencia, pero la opción está aquí, si usted necesita a la fuerza.

  -P, --probe

Bully utiliza balizas para examinar la WPS estado de un punto de acceso. Para nonbeaconing AP, enviar solicitudes de sondeo dirigido y utilizar las respuestas muestra que resulten en su lugar. Requiere --essid.

  -R, --radiotap

Supongamos encabezados radiotap están presentes en los paquetes recibidos. Esto es útil en los casos en que la presencia de cabeceras radiotap está mal informada o detectado.

  -W, --windows7

Pasar por un registro de Windows 7.

  -h, --help

Muestra la ayuda en pantalla.

DESCARGAS

Binario: https://code.google.com/p/bully/downloads/detail?name=bully&can=2&q=
Source Code: https://github.com/bdpurcell/bully/archive/master.zip

El_Andaluz

Muchas gracias por la información  P4nd3m0n1um yo ya conocía este programa viene como modulo en el wifislax 4.6 y la verdad que no se como hacerlo funcionar metí este Código:
  -c, --channel N[,N...]

que viene y no me hace nada no lo entiendo -c y puese aqui el canal del AP que quiero atacar pero no se por que me salta con un mensaje como diciendo que no esta bien puesto algo si sabéis alguno como funciona decirlo por fa quiero probarlo por lo que dice es muy parecido al reaver no se que diferencia tiene lo veo parecido.Saludos ;D ;D ;D

popeye7

Hola , parece una loteria , y por ahora el reaver que utilizamos en wifislax 4.6 parece más efectivo por que empieza por los pins conocidos .
La única efectividad que le veo es que el pin sea de los más altos 9996xxxx  y lo saque antes que reaver .
*** Gracias por compartir ***

El_Andaluz

Entonces me quieres decir que este programa que viene como modulo en el wifislax 4.6 también puede ser mas efectivo que el reaver normal aunque en el otro ya se aparecen los pins conocidos  hombre si tienes ma pines posibles se supone que tenemos mas probabilidad de sacar antes la clave en router a lo mejor que no hemos sacado todavía verdad, tu ya lo has probado ?' en el wifislax a ti te funciona es que resulta que meti el primer comando y ami no me funciona el programa ni nada no se que abre echo mal si tu sabes dimelo por fa para probarlo.Saludos ;)

popeye7

#1177
Pruebalo en wifislax 4.6,funciona , ( has metido el módulo en la carpeta modules ,en wifislax sale un icono de bully en wpa wps ), una de las formas :
airmon-ng start wlan0
wash -i mon0 -C ( ves los ruoter con wps activado ) y Ctrl+c
bully mon0 -b la que sea -c  el que sea  -e el que sea
Con esto te funciona , ya luego en otras pruebas le puedes ir poniendo otros   comandos de bully.
Tambien puedes utilizar otras herramientas que trae wifislax para reaver , que en definitiva lo que hacen es poner la tarjeta en monitor y utilizar wash ( lo que te explicado arriba por comandos , por ejemlo inflator goyscript wps etc. pero sin lanzr reaver , con ellos abiertos abres una consola y
bully mon0 -b la que sea -c  el que sea  -e el que sea

Con respecto a la  pregunta que me haces , lo que digo que a mi personalmente me gusta mas el  reaver  de  wifislax que el bully , ademas puedes hacer la prueba , si el router a probar tiene un pin conocido ,te saldrá pronto , en bully lo mismo tarda 27 horas , otro ejemplo , imaginemos que pruebas con un router que tiene el pin bajo 11045150 , rever te lo sacará relativamente pronto , bully lo mismo te dice que te quedan 22 horas .
Solo en el caso de ser un pin alto , que reaver tardaría bastante , lo mismo bully por tirar pins a voleo ( por lo menos lo aparenta ) tengas la suerte de que de el pin antes que reaver
*** Gracias por compartir ***

JESVIS

Hola a todos... yo quería saber si alguno sabe como sacar la clave wpa una vez que tienes el pin wps... y tambien saber que se puede hacer cuando los ruter limitan los intentos... siempre sale lo del limite y ya no se puede hacer nada... gracias y un saludo

El_Andaluz

#1179
Popeye7: Si lo meti en carpeta modules y es lo que te digo dentro del wifislax 4.6 me dice que tengo que ponerlo en modo monitor y yo lo lo tengo en modo monitor, are lo que tu me dices haber si me sale bien y te comento haber si tengo mas suerte que en el reaver normal. ;) ;D