Взлом wi fi с помощью bully
Like anything in life, there are multiple ways of getting a hack done. In fact, good hackers usually have many tricks up their sleeve to hack into a system. If they didn't, they would not usually be successful. No hack works on every system and no hack works all of the time.
I have demonstrated many ways to hack Wi-Fi here on Null Byte, including cracking WEP and WPA2 passwords and creating an Evil Twin and Rogue AP.
A few years back, Alex Long demonstrated how to use Reaver to hack the WPS PIN on those systems with old firmware and WPS enabled. Recently, a new WPS-hacking tool has appeared on the market and is included in our Kali hacking distribution. It's name, appropriately, is Bully.
Примеры запуска Bully
Атаковать беспроводную ESSID (-e 6F36E6) с интерфейсом в режиме монитора (wlan0mon):
Ключ к успеху
Важно помнить, что у новых точек доступа уже нет этой уязвимости. Данная атака сработает с точками доступа, которые были проданы в промежутке между 2006 и 2012 годами. Но так как многие семьи хранят свои точки доступа в течении многих лет, то вокруг по-прежнему много подобных уязвимостей. Для работы потребуется подходящий беспроводной сетевой адаптер.
Шаг 2: Переключение вашего Wi-Fi адаптера в режим мониторинга
Следующим шагом переключим ваш Wi-Fi адаптер в режим мониторинга. Это схоже с «promiscuous» режимом при кабельном подключении. Другими словами, он позволяет нам видеть все пакеты данных, которые проходят по воздуху мимо нашего сетевого адаптера. Для этого мы можем воспользоваться командой Airmon-ng из Aircrack-ng suite.
Далее, нам понадобится Airodump-ng, чтобы увидеть информацию о беспроводных точках доступа вокруг нас.
Как вы видите, у нас несколько точек доступа в зоне видимости. Нас заинтересовала самая первая: «Mandela2». Для взлома WPS PIN-кода нам потребуется BSSID (MAC-адрес), канал и SSID сети.
Инструкции по Bully
Близкие программы:
факультете информационной безопасности от GeekBrains? Комплексная годовая программа практического обучения с охватом всех основных тем, а также с дополнительными курсами в подарок. По итогам обучения выдаётся свидетельство установленного образца и сертификат. По этой ссылке специальная скидка на любые факультеты и курсы!
WPA и WPA2 (Wi-Fi Protected Access) собственно это протокол авторизации и шифрования данных в Wi-Fi сетях. На данный момент это самый популярный, самый надежный протокол. Часто в домашних условиях и маленьких сетях используют WPA2-PSK(Pre-Shared Key). В начале 2018 года международный альянс Wi-Fi Alliance анонсировал новейший протокол беспроводной безопасности — WPA3.
Основной и самый популярный метод атаки на этот протокол является брутфорс(метод грубой силы, перебор паролей).
Step 4: Start Bully
When we hit enter, Bully will start to try to crack the WPS PIN.
Now, if this AP is vulnerable to this attack, bully will spit out the WPS PIN and the AP password within 3 to 5 hours.
Want to start making money as a white hat hacker? Jump-start your hacking career with our 2020 Premium Ethical Hacking Certification Training Bundle from the new Null Byte Shop and get over 60 hours of training from cybersecurity professionals.
Step 1: Fire Up Kali
Let's start by firing our favorite hacking Linux distribution, Kali. Then open a terminal that looks like this:
To make certain we have some wireless connections and their designation, we can type:
As we can see, this system has a wireless connection designated wlan0. Yours may be different, so make certain to check.
Why WPS Is So Vulnerable
WPS stands for Wi-Fi Protected Setup and was designed to make setting a secure AP simpler for the average homeowner. First introduced in 2006, by 2011 it was discovered that it had a serious design flaw. The WPS PIN could be brute-forced rather simply.
With only 7 unknown digits in the PIN, there are just 9,999,999 possibilities, and most systems can attempt that many combinations in a few hours. Once the WPS PIN is discovered, the user can use that PIN to find the WPA2 preshared key (password). Since a brute-force attack against a WPA2 protected AP can take hours to days, if this feature is enabled on the AP and not upgraded, it can be a much faster route to getting the PSK.
Step 2: Put Your Wi-Fi Adapter in Monitor Mode
The next step is to put your Wi-Fi adapter in monitor mode. This is similar to promiscuous mode on a wired connection. In other words, it enables us to see all the packets passing through the air past our wireless adapter. We can use one of the tools from the Aircrack-ng suite, Airmon-ng, to accomplish this task.
Next, we need to use Airodump-ng to see the info on the wireless AP around us.
As you can see, there are several APs visible to us. I'm interested in the first one: "Mandela2." We will need its BSSID (MAC address), its channel, and its SSID to be able to crack its WPS PIN.
Шаг 1: Разогреваем Kali
Давайте начнем подготовку нашего любимого хакерского дистрибутива Kali. Откройте терминал, который выглядит вот так:
Для того, чтобы убедиться, что у нас имеются беспроводные соединения и их обозначения, напишем:
Как мы видим, у системы есть одно подключение, обозначенное wlan0. Ваше может отличаться, так что обязательно проверьте.
Взлом.
В наших примеров я использую Kali Linux (Kali Linux — GNU/Linux-LiveCD, возникший как результат слияния WHAX и Auditor Security Collection. Проект создали Мати Ахарони (Mati Aharoni) и Макс Мозер (Max Moser). Предназначен прежде всего для проведения тестов на безопасность). И пакет уже установленных программ Airocrack-ng (Это полный набор инструментов для оценки безопасности сети Wi-Fi.)
Первым этапом нам надо перевести наш Wi-Fi адаптер в режим мониторинга. То есть чип адаптера переводиться в режим прослушивания эфира. Все пакеты которые отсылают друг другу в округе.
Сначала мы убьем все процессы которые используют Wi-Fi интерфейс:
airmon-ng check kill
Запустите беспроводной интерфейс в режиме мониторинга:
airmon-ng start wlan0
В результате у вас появиться новый интерфейс wlan0mon с ним дальше мы и будем работать (посмотреть доступные интерфейсы можно командой ifconfig ). Теперь мы можем посмотреть что же происходит вокруг:
airodump-ng wlan0mon
- BSSID — MAC адрес WI-Fi точки.
- PWR — Сила сигнала.
- Beacons — Фрейм Бикон (Beacon frame) /Точка доступа WiFi периодически отправляет Биконы для анонсирования своего присутствия и предоставления необходимой информации (SSID, частотный канал, временные маркеры для синхронизации устройств по времени, поддерживаемые скорости, возможности обеспечения QoS и т.п.) всем устройствам в зоне ее покрытия. Радиокарты пользовательских устройств периодически сканируют все каналы 802.11 и слушают биконы, как основу для выбора лучшей точки доступа для ассоциации. Пользовательские устройства обычно не посылают биконы, за исключением ситуации, когда выполняется процедура участия в IBSS (Independent Basic Service Set) или, по другому, в одноранговом соединении типа Ad-hoc.
- CH — Номер канала точки доступа.
- ENC- Используемый алгоритм. OPN = нет шифрования, «WEP?» = WEP или выше (недостаточно данных для выбора между WEP и WPA/WPA2), WEP (без знака вопроса) показывает статичный или динамичный WEP, и WPA или WPA2 если представлены TKIP или CCMP или MGT.
- CIPHER — Обнаруженный шифр. Один из CCMP, WRAP, TKIP, WEP, WEP40, или WEP104. Не обязательно, но обычно TKIP используется с WPA, а CCMP обычно используется с WPA2. WEP40 показывается когда индекс ключа больше 0. Стандартные состояния: индекс может быть 0-3 для 40 бит и должен быть 0 для 104 бит.
- AUTH —Используемый протокол аутентификации. Один из MGT (WPA/WPA2 используя отдельный сервер аутентификации), SKA (общий ключ для WEP), PSK (предварительно согласованный ключ для WPA/WPA2) или OPN (открытый для WEP).
- ESSID — Так называемый SSID, который может быть пустым, если активировано сокрытие SSID. В этом случае airodump-ng попробует восстановить SSID из зондирующих запросов ассоциирования.
- STATION —MAC адрес каждой ассоциированной клиента подключенного к точке доступа. Клиенты, в настоящий момент не ассоциированные с точкой доступа, имеют BSSID «(not associated)».
Можете немного поиграться :
airodump-ng —manufacturer —uptime —wps wlan0mon
Запускаем airodump-ng для беспроводного интерфейса wlan0mon, кроме основной информации мы задаём отображать производителя (—manufacturer), время работы (—uptime) и информацию о WPS (—wps).
Теперь нам надо перехватить handshake какой либо точки доступа, желательно конечно к которой подключены клиенты ).
-c номер канал.
—bssid мас адрес точки доступа
-w файл в который будут сохранены все перехваченные пакты.
wlan0mon Название беспроводного интерфейса интерфейса.
После удачного захвата рукопожатий в правом углу будет надпись WPA handshake
Кстати мы можем попытаться ускорить процесс , заставив клиента переподключиться к точки доступа :
aireplay-ng —deauth 100 -a 00:11:22:33:44:55 -c AA:BB:CC:DD:EE:FF wlan0mon
—deauth — отправка запроса деаунтифицировать. (0 не ограниченное число пакетов)
-a — Мас адрес точки доступа.
-с — Мас адрес клиента.
wlan0mon — интерфейс.
Другие виды атак :
Теперь нам надо расшифровать его и узнать PSK:
aircrack-ng -w wordlist.dic -b C0:4A:00:F0:F4:24 WPA.cap
-w — Указываем словарь для перебора паролей.
-b — Мас адрес точки доступа.
WPA.cap — Файл с handshake.
aircrack-ng всем хорош, но у него нету функции паузы и запоминания места где вы остановились. Это очень не удобно когда у вас огромный словарь ) Мы это справим программой John The Ripper (свободная программа, предназначенная для восстановления паролей по их хешам. Основное назначение программы — аудит слабых паролей в UNIX системах путем перебора возможных вариантов.Она уже есть в дистрибутиве).
john —session=foo —stdout —wordlist=wordlist.dic | aircrack-ng -w — -b 00:11:22:33:44:55 WPA.cap
То есть мы будем брать пароли из словаря этой программной и направлять их в aircrack-ng.
—session — Имя сессии.
— stdout — Путь к словарю.
Для паузы нам надо нажать q или ctrl+c. Программа создаст специальный файл с сессией и запомнит место где мы остановились. Продолжить сессию мы можем командой :
john —restore=foo | aircrack-ng -w — -b 00:11:22:33:44:55 WPA.cap
Справка по Bully
Скриншоты Bully
Это утилита командной строки.
handshake.
Для того, чтобы устройство получило маркер доступа в сеть, на устройстве необходимо ввести специальную парольную фразу, называемую Pre-Shared Key . Длина должна быть от 8 до 32 символов, притом можно использовать специальные символы, а также символы национальных алфавитов. После ввода парольной фразы она помещается в специальный пакет ассоциации (пакет обмена ключами, handshake), который передается на точку доступа. Если парольная фраза верна, то устройству выдается маркер доступа в сеть.
Уязвимостью является возможность перехвата пакетов handshake, в которых передается Pre-Shared Key при подключении устройства к сети. По скольку Pre-Shared key шифруется, у злоумышленника остается только одна возможность – атака грубой силой на захваченные пакеты. Также стоит обратить внимание, что для того, чтобы перехватить handshake злоумышленнику совсем не обязательно ждать того момента, как к сети будет подключено новое устройство. На некоторых беспроводных адаптерах, при использовании нестандартных драйверов, есть возможность посылки в сеть пакетов, которые будут прерывать сетевые соединения и инициировать новый обмен ключами в сети между клиентами и точкой доступа. В таком случае, для того, чтобы захватить требуемые пакеты, необходимо, чтобы к сети был подключен хотя бы один клиент.
38 thoughts to “Penetrator-WPS: новый инструмент для атаки на WPS в Kali Linux”
Привет. Описка в первой команде " penetrator -i wlan0 -s " интерфейс должен быть уже "mon0" или "wlan0mon".
Карта AWUS036NH — процесс виден, но работоспособность до результата проверить не удалось.
У меня всё работает (Kali 1.1.0) . За 2 минуты вскрыл две точки из 5
Спасибо всем за отзывы!
то там на выбор устройства, среди которых есть wlan0
то там на выбор устройства и среди них wlan0mon
В программе penetrator есть опция -i — Перевести устройство в использование режима монитора, т. е. программа вроде как сама должна переводить в режим монитора.
В примерах автор penetrator использует wlan0.
Но при любых попытках у меня не работает ни поиск точек, ни попытка взлома — программа запускается, а потом через 10 секунд завершает работу.
kali linux 2, на асусе n53 (RT3572), из 10 точек ни к одной пин не подобрал, но скорее всего из-за слабого сигнала
Раз есть положительные отзывы, то пока оставлю статью, хоть и в виде черновика. У кого получилось, если нетрудно, поделитесь скринами (я добавлю в статью), напишите, какие команды вводили, переводили ли предварительно карту в режим монитора (airmon-ng start wlan0) или программа penetrator сама это сделала?
п.с. зарёкся одновременно писать статью и тестировать. СНАЧАЛА тестировать, а потом писать )) Чтобы не попадать в подобные глупые ситуации ))
Замечал у себя проблему, что не всегда airmon переводит карту в режим монитора (название карты изменялось на wlan0mon, но режим оставался managed), в этот раз и penetrator не смог перевести карту в монитор. В итоге в режим монитора карту переводил вручную через iwconfig wlan0 mode monitor. После этого penetrator -i wlan0 -A начал работу
Владимир, огромное спасибо за наводку! Да, всё дело оказалось именно в этом.
Пару минут назад из 6 устойчивых сигналов wi fi, открыл 4. Видимо эта прога капризна к стабильности сигнала. Ловил на TL-WN722N c самодельной фрактальной антеной.
Уважаемый автор, немного не по теме, я в линукс системах новичек, на видео часто вижу как при переборе паролей или в режиме мониторинга сетей тот же Aircrack выдает в консоли надписи цветным (название сети одним цветом, мак адрес другим и тд.) Ну и не только в Aircrack. Как можно добиться такого в Kali ? Если можете ткнике носом в нормальную русскоязычную инструкцию ну или обьясните если сможете. Спасибо за ранее.
Как показала практика все работает без бубна на 1.1.0а на Kali 2.0 не пашит как я тока не пытался ( тесты производились на 1 ноуте переключая системы ) причем это не фэйл Kali 2.0 который я заметил и не пашит много чего даже обновится норм не получилось с 1 на 2 версию кали ( на оновление ядра умерло обновление и все ) так что пока впечатление от 2 версии отрицательные я уже молчу о том что поставить на чистую 2.0 дрова на радеон еше та головная боль
Соглашусь, 1.1.0а показывает себя лучше, по крайней мере в ней я ломал точки нормально, а вот 2.0 начинаются танцы с бубном (всё делается на VirtualBox-е).
Ребят у кого получилось можете видио сделать. А то не как не получается. …
Снимать то нечего. Если у тебя один адаптер, то вероятно он будет называться wlan0, проверить можно командой iwconfig, если так, то после ввода команды должно все работать
Возможно просто не получалось найти доступных точек за 10 секунд
E: Unable to locate package libpcap—dev Can anyone help me …
Last PIN — постояно должен быть 00000000, или должен менятся в процесе роботи програмы? делаю всьо по инструкции, пока ниче не ламает((
И Sleeping всьо больше и больше становится
PIN должен меняться в процессе. Если долго ничего не происходит: wash — i mon и смотрим, точка блокнула WPS или нет (WPS Locked — No — не блок, Yes — блок).
спасибо, странно, не блок, а почему-то подбор не идет, пробовал через комадку penetrator -i wlan0 -c 1
Я вот как думаю надо делать:
1) Pixie Dust-ом пробиваем все точки и смотрим на результат, есть ли ТД с уязвимым чипом или нет. Есть — то ломанутся, нет то идём дальше.
2) Если с чипом не вышло, идём в Reaver и по порядку ломаем все точки начиная с лучшего сигнала и по мере ухудшения его.
3) Смотрим какие точки заблочились, а какие нет. Не блочится ТД — значит ломаем её до конца. Если блочится, то только ждать перезагрузки ТД или пытаться досить её в попытке вызвать перезагрузку. Ну или чередовать перебор/пауза.
4) Если удаётся задосить — то чередуем reaver и mdk3.
5) Если ТД быстро блочится — ловим рукопожатие и пытаемся по словарю ломануть.
В общем у меня получилось так:
1) переводим в режим монитора: airmon-ng start wlan0
2) запускаем penetrator -i wlan0 -c (канал ТД) -b ( BSSID ТД)
В общем, если чип/контроллер на котором основана ТД не подвержен уязвимости, то точка со временем блочит WPS. Пока ничего революционного не увидел.
спасибо, буду еще пробовать, но таки ошыбки идут, а впс не меняется, походу прийдется брути по паролю((
может быть проблема в том, что юзаю виртуальную машыну и юсб адаптер?
Я все свои точки ломал с VirtualBox-а с китайским AWUS036H )))
Советую Reaver ))) С ним всё работает.
помалу все методы буду пробовать)) Reaver на очереды, прост думал мб все сразу, но видимо придется по одному)) еще рас спасибо
Тут как бы не много методов, программ много, а вот принцип основан либо на переборе пароля — т.е. эксплуатация уязвимости в протоколе WPS, либо использование уязвимости в генерируемом WPS-коде, который генерируется зависимо от производителя контроллера на котром ТД работает. Всё же настоятельно советую Reaver в первую очередь, но это лично моё мнение и мой опыт самоучки )))
Ошибся: запускаем penetrator -i mon0 -c (канал ТД) -b ( BSSID ТД)
Ну и конечно забыл указать: у меня Kali 1.1.0a.
хм…у меня 2,0, и походу в етом и проблема, гдет писали что не очень на 2 роботает
знач качну еще ету))
На 2.0. команда такая: penetrator -i wlan0mon -c (канал ТД) -b ( BSSID ТД)
перед ней можете ещё airmon-ng check kill wlan0mon может убъёт нежелаетльные процессы, так иногда помогает, на 2.0. помню помогла.
И в правду попробуйте старушку Kali 1.1.0a, в виртуальной машине
параллельно две поставьте и всё.
на 1.1.0а всьо зароботало, спасибо еще раз))
Я все и всяк перепробовал на kali 2.0, но так и зациклится на пине может быть проблема в адапторе ? у меня Alfa AWUS036NH и встроенная N-6200
смотрел wash — i mon не блочет
WPS transaction failed (code : 0x03), re-tryining last pin
Trying pin 12345670
тестировал TL-WR741ND и ASUS RT-G32 при сигнале -26 и другие при -30 -40
Ребят проблемка. Собственно запускаю Penetator на что получаю ответ. Привожу весь процесс:
"[email protected]:/home/andrey$ airmon-ng check kill && airmon-ng start wlan0 && penetrator -i wlan0 -A -t 45
Found 3 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!
PID Name
9748 avahi-daemon
9749 avahi-daemon
9984 NetworkManager
Killing all those processes…
/usr/sbin/airmon-ng: строка 126: kill: (10738) — Нет такого процесса
Found 3 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!
PID Name
9984 NetworkManager
10740 avahi-daemon
10742 avahi-daemon
Interface Chipset Driver
wlan0 Atheros ath9k — [phy0]
(monitor mode enabled on mon5)
mon0 Atheros ath9k — [phy0]
mon1 Atheros ath9k — [phy0]
mon2 Atheros ath9k — [phy0]
mon3 Atheros ath9k — [phy0]
mon4 Atheros ath9k — [phy0]
[PENETRATOR] No device specified, please choose from the list below:
Ошибка сегментирования
[email protected]:/home/andrey$ sudo penetrator -i wlan0 -s
[PENETRATOR] No device specified, please choose from the list below:
[email protected]:/home/andrey$ sudo penetrator -s
[PENETRATOR] No device specified, please choose from the list below:
[email protected]:/home/andrey$"
Прошу помощи по установке на Kali Linux 2. Программа выдает ошибку. Что делать?
penetrator.c: In function ‘sha256_hmac’:
penetrator.c:91:12: error: storage size of ‘ctx’ isn’t known
HMAC_CTX ctx;
^~~
penetrator.c:92:3: warning: implicit declaration of function ‘HMAC_CTX_init’ [-Wimplicit-function-declaration]
HMAC_CTX_init(&ctx);
^~~~~~~~~~~~~
penetrator.c:96:3: warning: implicit declaration of function ‘HMAC_CTX_cleanup’ [-Wimplicit-function-declaration]
HMAC_CTX_cleanup(&ctx);
^~~~~~~~~~~~~~~~
penetrator.c: In function ‘dh_get’:
penetrator.c:884:5: error: dereferencing pointer to incomplete type ‘DH ’
dh->p=BN_bin2bn(dh_p,192,NULL);
^~
mv: не удалось выполнить stat для ‘penetrator’: Нет такого файла или каталога
PENETRATOR was successfully installed, run ‘penetrator’
Проводя аналогию с жизнью, есть огромное количество вариантов, чтобы заполучить нужные вам данные для проникновения в сети или взлома. Вообще, у хакеров высокого уровня имеется несколько козырей в рукаве, чтобы успешно взламывать какую-либо систему. Нет универсального метода, которым можно было бы взломать любую систему защиты.
Начнем с расшифровки аббревиатуры: WPS (от английского Wi-Fi Protected Setup) — защищенный доступ сети. Этот метод подключения был создан чтобы упростить создание безопасности обычному пользователю домашней сети. Разработка начала набирать популярность с 2006 года, а в 2011 специалисты по интернет безопасности нашли в данной системе критическую уязвимость. Как выяснилось, для взлома PIN-кода WPS нужно было запустить обычный подбор по словарю.
21 ответ на “ Взлом Wi-Fi сетей, Aircrack-ng, Kali Linux. ”
Отличная статья! Так держать!
Очень здорово объясняете.
Спасибо за ваш комментарий )
Спасибо чел , наконец-то нормальные объяснения . Так бы для vk api в python3 было-бы идеально.
Спасибо… А с VK api вроде ничего сложного нету, понятная документация на русском. Библиотека Requests для Python в помощь.
Здравствуйте. обьясните про John The Ripper, а именно что означает: john —session=foo, что вводить вместо foo ? нужно ли указывать полный путь файлов wordlist=wordlist.dic и WPA.cap ?
«session=foo» foo это название сессии , оно может быть любым. Если перебор затянется вы можете его продолжить после паузы, указав название сессии. Все пути должны быть абсолютные вроде , например /home/user/wordlist.txt
привет. После команды airodump-ng —manufacturer —uptime —wps wlan0mon
пишет «airodump-ng —help» for help.
Это значит что вы не правильно ввели команду, возможно я опечатался где то. Там должно быть — две черточки , так же вы можете посмотреть команды airodump-ng —help.
после этой команды aireplay-ng —deauth всё зависает почему так происходит
Зависает совсем прям ? Ни какого вывода, ничего ? airodump-ng работает нормально ? Пробовали выставлять число : aireplay-ng — deauth 100 ? Возможно программа не хочет работать с вашим адаптером WiFi ((
Кратенько про WPS и про то, почему он так удобен для взлома Wi-Fi можно посмотреть в статье «Взлом Wifi WPA/WPA2 паролей с использованием Reaver».
Обычно атака на WPS занимает несколько часов. Но совсем недавно (апрель 2015) была открыта атака Pixie Dust. Эта атака позволяет найти верный пин WPS буквально за минуты. Понятно, что для успешной реализации атаки в ТД должен быть включен WPS. Также атака работает в отношении не всех ТД, у уязвимым относятся Ralink, Broadcom и Realtek.
Разные дополнительные подробности, а также особенности поддержки атаки Pixie Dust в разных программах можно найти в следующих статьях:
Сегодня я хочу рассказать об ещё одной программе, которая поддерживает PixieWPS. Дополнительные альтернативы никогда не бывают лишними, тем более что последнее время поступают жалобы на работу Reaver — t6x. Penetrator-WPS это не просто «ещё одна программа для атаки Pixie Dust». У Penetrator-WPS есть и «киллер фича» — возможность проводить атаку Pixie Dust на множество беспроводных точек доступа одновременно.
Давайте попробуем новинку. Для начала установим git, если у вас его ещё нет.
Теперь скопируйте и вставьте в командную строку эту большую команду — она произведёт установку Penetrator-WPS и необходимых зависимостей:
В самом конце выполнения этой команды должна открыться справка по Penetrator-WPS. Если у вас так, значит всё прошло отлично.
Давайте посмотрим, что это за «зверь».
Ключ -s говорит программе сканировать в поисках ТД с включённым WPS, а после ключа -i можно указать устройство, которое нужно использовать в режиме монитора: Т.е. чтобы найти все точки с включённым WPS запустите эту команду:
Если вы не знаете имя сетевого устройства, то ключ -i можно пропустить, в этом случае программа выведет список всех доступных устройств:
Выберите что-нибудь похожее на wlan0
Чтобы произвести сканирование всех ТД на канале 1 и их одновременную атаку нужно использовать ключ -c, после которого указать канал:
Атака всех ТД, доступных в диапазоне, с использованием PixieWPS:
Это довольно новая программа (на момент написания в публичном доступе она примерно неделю), автор активно её развивает.
Step 3: Use Airodump-Ng to Get the Necessary Info
Finally, all we need to do is to put this info into our Bully command.
- kali > bully mon0 -b 00:25:9C:97:4F:48 -e Mandela2 -c 9
Let's break down that command to see what's happening.
- mon0 is the name of the wireless adapter in monitor mode.
- --b 00:25:9C:97:4F:48 is the BSSID of the vulnerable AP.
- -e Mandela2 is the SSID of the AP.
- -c 9 is the channel the AP is broadcasting on.
All of this information is available in the screen above with Airodump-ng.
Атака на WPS.
Wi-Fi Protected Setup (защищённая установка), WPS — стандарт (и одноимённый протокол) полуавтоматического создания беспроводной сети Wi-Fi.
В декабре 2011 Стефан Фибёк (англ. Stefan Viehböck) и Крейг Хеффнер (англ. Craig Heffner) рассказали о серьёзных прорехах в протоколе WPS. Оказалось, что если в точке доступа активирован WPS c PIN ( который по умолчанию включен в большинстве роутеров ), то подобрать PIN-код для подключения можно за считанные часы.
PIN-код состоит из восьми цифр — следовательно, существует 108 (100 000 000) вариантов PIN-кода для подбора. Однако количество вариантов можно существенно сократить. Дело в том, что последняя цифра PIN-кода представляет собой контрольную сумму, которая можно вычислить на основании первых семи цифр. Таким образом количество вариантов уже сокращается до 107 (10 000 000).
Также были обнаружены уязвимости в генераторе случайных чисел маршрутизаторов некоторых производителей. Уязвимость получила название pixie dust. Для уязвимых роутеров можно получить pin после первой попытки и оффлайн-брутфорса.
Алгоритм атаки:
- Переводим беспроводной интерфейс в режим монитора.
- Ищем цели для атаки.
- Проверяем на подверженность Pixie Dust.
- Запускаем полный перебор, если предыдущие шаги не дали результата.
- Если получен ПИН, но не показан WPA пароль, то запускаем команды для получения пароля от Wi-Fi.
Для поиска точек доступ можем воспользоваться удобной программой Wash. Wash — это утилита для идентификации точек доступа с включённым WPS. Она может искать с живого интерфейса и уже есть в Kali Linux.
Или может сканировать список pcap файлов:
wash -f capture1.pcap
Нас интересует опция Lck (No не блокирован WPS) и Vendor (производитель). Pixie Dust подвержены Ralink, Broadcom и Realtek.
Перейдем к пункту Pixie Dust. Для проверки мы будем использовать программу reaver (Reaver предназначен для подборки пина WPS (Wifi Protected Setup) методом перебора. Уже есть в Kali Linux).
reaver -i интерфейс -b MAC_адрес_точки -K
Как можно увидеть на скриншоте, Точка Доступа оказалась уязвимой, и получен её WPS пин.
Теперь нам надо узнать пароль. Для получения пароля Wi-Fi сети вам нужно в Reaver использовать опцию -p, после которой указать известный ПИН.
reaver -i wlan0 -b EE:43:F6:CF:C3:08 -p 36158805
Все пошло не так!
Попробуем сразу вдарить молотком и запустим полный перебор пина.
reaver -i интерфейс -b MAC_адрес
Перебор WPS пинов может идти неудачно по многим причинам, поэтому для более подробного вывода, чтобы определить, в чём проблема, используются опции -v, -vv или -vvv. Как можно догадаться, чем больше букв v, тем больше будет выведено подробной информации.
При полном переборе reaver показывает но только WPS но пароль доступа к WiFi. для получения пароля Wi-Fi сети вам нужно в Reaver использовать опцию -p, после которой указать известный ПИН.
Если будут какие то проблемы можно поиграть с дополнительными опциями reaver , например так :
reaver -i wlan0mon -c 6 -a MAC —no-nacks -T .5 -d 15
-c Номер канала точки доступа.
-T Установить период таймаута M5/M7 по умолчанию [0.20].
-d Установить задержку между попытками пина, по умолчанию [1]
-x Установить время для паузы после 10 неожиданных неудач, по умолчанию [0].
*Особая заметка: если вы атакуете ТД Realtek, НЕ используйте малые ключи DH (-S)
Полный список опций:
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Список инструментов для тестирования на проникновение и их описание
Установка в BlackArch
Программа предустановлена в BlackArch.
Информация об установке в другие операционные системы будет добавлена позже.
The Keys to Success
It's important to note, though, that new APs no longer have this vulnerability. This attack will only work on APs sold during that window of 2006 and early 2012. Since many families keep their APs for many years, there are still many of these vulnerable ones around.
For this to work, we'll need to use a compatible wireless network adapter. Check out our 2017 list of Kali Linux and Backtrack compatible wireless network adapters in the link above, or you can grab our most popular adapter for beginners here.
If you aren't familiar with wireless hacking, I strongly suggest that you read my introduction on the Aircrack-ng suite of tools. If you're looking for a cheap, handy platform to get started, check out our Kali Linux Raspberry Pi build using the $35 Raspberry Pi.
Шаг 3: Использование Airodump-ng для получения необходимой информации
Наконец, все, что нам нужно сделать, это ввести данную информацию в команду Bully.
Давайте разберем эту строку, чтобы понять, что к чему.
- mon0 – это имя Wi-Fi адаптера в режиме мониторинга.
- -b 00:25:9C:97:4F:48 – это MAC-адрес (BSSID) уязвимой точки доступа.
- -e Mandela2 – это SSID .
- -c 9 – это вещательный канал точки доступа.
Все эта информация доступна на экране выше благодаря Airodump-ng.
Руководство по Bully
Установка Bully
Программа предустановлена в Kali Linux.
Установка мода с поддержкой PixieWPS.
Удалите версию из репозитория.
Обход фильтра MAC адреса.
Иногда в точках доступа включают фильтрации по пользователе по MAC. Так вот, это совсем бесполезна штука.
В Linux системах вы можете свободно поменять ваш МАС адрес на любой:
ifconfig wlan0 down
ifconfig wlan0 hw ether 00:11:22:AA:AA:AA
ifconfig wlan0 up
Предварительно нужно отключить любые mon-интерфейсы. Проверить, заработала ли подмена, можно вызвав ifconfig wlan0 — в строке Hwaddr должен быть указанный выше MAC.
Кроме того, в *nix есть macchanger — с его помощью можно выставить себе случайный MAC. Если поставить его в init.d, то неприятель будет совершенно сбит с толку, так как при каждой загрузке наш MAC будет другим (работает для любых проводных и беспроводных адаптеров, как и ifconfig).
В Kali Linux есть база данных валидных MAC адресов:
- /var/lib/ieee-data/oui.txt
- /var/lib/ieee-data/oui36.txt.
- /var/lib/ieee-data/iab.txt
- /var/lib/ieee-data/mam.txt
А обновить базу данных можно командой
airodump-ng-oui-update
Шаг 4: Запуск Bully
После того, как мы нажали Enter, Bully примется взламывать WPS PIN.
Теперь, если эта точка доступа уязвима к этому типу атаки, то Bully предоставит WPS PIN-код и пароль в течении 3-5 часов.
Отказ от ответственности: Автор или издатель не публиковали эту статью для вредоносных целей. Вся размещенная информация была взята из открытых источников и представлена исключительно в ознакомительных целях а также не несет призыва к действию. Создано лишь в образовательных и развлекательных целях. Вся информация направлена на то, чтобы уберечь читателей от противозаконных действий. Все причиненные возможные убытки посетитель берет на себя. Автор проделывает все действия лишь на собственном оборудовании и в собственной сети. Не повторяйте ничего из прочитанного в реальной жизни. | Так же, если вы являетесь правообладателем размещенного на страницах портала материала, просьба написать нам через контактную форму жалобу на удаление определенной страницы, а также ознакомиться с инструкцией для правообладателей материалов. Спасибо за понимание.
Описание Bully
Bully – это реализация атаки брут-фрса WPS, написанная на C. Её концепция идентична другим программам, которые эксплуатируют уязвимость WPS спецификации. У программы есть несколько улучшений по сравнению с оригинальным кодом reaver. Сюда относятся меньше зависимостей, улучшенная производительность памяти и ЦПУ, корректная обработка порядка байт и большее количество опций. Программа работает на Linux и была специально созданной для работы на встроенных системах Linux (OpenWrt и т.д.) независимо от архитектуры.
Bully обеспечивает ряд усовершенствований в обнаружении и обработке аномальных сценариев. С большим успехом она была протестирована на точках доступа ряда производителей с различными настройками.
В настоящее время оригинальные страницы с кодом Bully удалены. Ниже представлена ссылка на мод и на инструкцию по его установке. Данный мод поддерживает PixieWPS. Вы уже должны иметь установленный пакет Wiire's Pixiewps перед установкой мода.
Автор: Brian Purcell
Описание аргументов
-c, --channel N[,N…]
Номер канала или разделённый запятой список каналов, по которым прыгать. Некоторые ТД периодически переключают каналы. Эта опция позволяет bully повторно захватить ТД и продолжить атаку без вмешательства. Помните, что использования прыгания по каналам обычно замедляет атаку, особенно при слабом сигнале ТД, поскольку вместо тестирования пинов время расходуется на сканирование канало.
-l, --lockwait N
Число секунд для ожидания, когда ТД запирает WPS. Большинство ТД запирают на 5 минут, поэтому значение по умолчанию 43 секунды. Это приведёт к тому, что bully спит 7 раз во время периода блокировки, что в общей сложности даст 301 секунду.
-p, --pin N
Это начальный номер пина (при последовательном переборе) или индекс начального номера пина (при случайном переборе). Обычно это делается для вас автоматически, например, при обрыве сессии, она будет возобновлена после последнего успешно протестированного пина.
-s, --source macaddr
Встраиваемый в отправляемые к ТД пакеты MAC адрес источника. Не все беспроводные карты могут использоваться для спуфинга MAC адреса источника подобным образом, но опция приведена для чипсетов, которые позволяют это. Если не указано, беспроводной интерфейс зондируется для получения MAC
-v, --verbosity N
Уровень вербальности. 1 – это самый тихий, отображающий только информацию о неразрешимых ошибках. Уровень 3 отображает большинство информации и он больше всего подходит для определения, что именно происходит во время сессии.
-w, --workdir
Рабочая директория, где хранятся файлы рандомизированных пинов и сессий. Файлы сессий создаются в этой директории основываясь на BSSID точки доступа. Создаётся только один набор рандомизированных пинов, и он используется для всех сессий. Если вы хотите повторно сгенерировать файл пинов, просто удалите его из этой директории; однако незавершённые запуски, которые использовали удалённый файл, не могут быть снова запущены. Директория по умолчанию ~/.bully/
-5, --5ghz
Использовать каналы 5 GHz (a/n) вместо каналов 2.54 GHz (b/g). Не тестировалось.
-F, --fixed
Не рекомендуется. Правильный способ сделать это – указать один канал используя --channel.
-S, --sequential
По умолчанию, пины рандомизируются. Эта опция позволяет тестировать пины последовательно.
-T, --test
Решим тестирования. Пакеты не впрыскиваются. Можно использовать для валидации аргументов, проверки, видна ли точка доступа и включён ли WPS, сгенерировать файл рандомизированных пинов или создать файл сессии для точки доступа.
-a, --acktime N
-r, --retries N
Сколько раз мы будем повторно отправлять пакеты, когда они не подтверждаются? По умолчанию это 3. Идея заключается в том, чтобы сделать всё возможное, чтобы обеспечить принятие каждого пакета, который мы отправляем, точкой доступа, а не иметь сбой транзакций и перезапуск из-за пропущенных пакетов.
-m, --m13time N
-t, --timeout N
Стандартный период таймаута для всех остальных типов пакетов (аутентификации, ассоциации, запроса идентификации M5 и M7). По умолчанию это 200 миллисекунд. Увеличьте на занятых каналах/ТД.
-1, --pin1delay M[,N]
Задержка M секунд для каждого N-ного NACK в M5. По умолчанию это 0,1 (без задержки). Некоторые точки доступа перегружаются слишком большим количеством успешных WPS транзакций и могут даже вылететь, если мы немного не сбавим обороты. Это период задержки для использования во время первой половины пина.
-2, --pin2delay M[,N]
Это период задержки для использования во время второй половины пина.
-A, --noacks
Отключить процесс подтверждения для всех отправляемых пакетов. Полезно, если вы уверены, что ТД получает пакеты даже если bully не может видеть подтверждения. Вам может это понадобиться для USB wifi адаптера, который обрабатывает подтверждения перед тем, как их видит libpcap.
-C, --nocheck
Отключить обработку последовательно проверки фреймов. Мы можем повысить производительность, сделав несколько сомнительное предположение, что все пакеты, которые мы получаем, являются валидными. Смотрите также --nofcs ниже.
-D, --detectlock
-E, --eapfail
-L, --lockignore
Игнорировать состояние блокировки WPS о котором сообщают информационные элементы в маячках (не спать).
-M, --m57nack
-N, --nofcs
Некоторое беспроводное железо само выполняет работу по проверке и очистке FCS от пакетов. Bully обычно выявляет это и поднастраивается соответствующим образом, вы можете применить эту опцию для форсирования.
-P, --probe
-R, --radiotap
-W, --windows7
Притворяться, будто бы пытается зарегистрироваться Windows 7.
-h, --help
Создание своих словарей.
При атаках типа брутфорс словари играют очень важную роль. Я думаю вы с легкость найдете в интернете куча всяких не понятных словарей. Но еще можно и нужно делать самому.
Для этого в дистрибутиве Kali Linux есть интересная утилита, называется Crunch. Синтаксис ее довольно прост:
- min = минимальная длина пароля;
- max = максимальная длина;
- characterset = символы, которые будут использоваться для генерации паролей;
- -t = возможность создавать паттерны. Давай на примере. Скажем, ты знаешь, что у человека день рождения 28 июля и эти цифры есть в пароле вида 0728, но перед этим числом есть еще какие-то символы. Поэтому ты пишешь что-то вроде @@@@@@@0728, и получается, что лист будет сгенерирован на 11 -значный пароль. Семь символов, которые будут генериться, а четыре будут фиксированными. По мне, так весьма крутая и удобная фишка;
- -о = выходной файл для нашего листа.
- -p = перестановка.
- -d — ограничение числа последовательно одинаковых символов.
crunch 4 8
Как сам понимаешь, кранч будет генерить пароли от 4 до 8 символов. Как видишь, ничего сложного, теперь давай что-нибудь поинтереснее:
crunch 6 8 1234567890 -о /гооt/wordlist.txt
Здесь будет сгенерирован словарь от 6 до 8 символов, в пароле только цифры и зальются они во внешний файл, что мы указали. Остается только воспользоваться получившимся словарем.
crunch 1 1 -p Alex Company Position
Словарь состоит из всех возможных комбинаций слов Alex, Company и Position.
Для тега -t есть шаблоны :
- ^ — спецсимволы.
- @ — буквы в нижнем регистре.
- , — буквы в верхнем регистре.
- % — цифры.
Читайте также: