Ataque "Tick Tock" (tic-tac) de t6_x : ¡Es hora de reventar más WPS!

kcdtv · 11-06-2015 16:57:13

Ataque "Tick Tock" (tic-tac) de t6_x :
Una nueva forma de llevar un ataque pixie wps examinando el tiempo necesario a la verificación byte por byte de los r-hashes

Después impulsar y regalarnos el "nuevo reaver para pixie dust" (la versión 1.5.2., cf. Reaver modificado para Pixie Dust )", t6_x vuelve al ataque con una forma original y experimental de poner de pie un ataque tipo "pixie dust" ( cf. "Pixie Dust" ataque de fuerza bruta offline para generar el PIN valido)
Es entonces el compañero t6_x quien ha tenido esta idea brillante que nos presenta el compadre soxrok2212 en este tema del foro kali Linux : WPS Tick Tock Attack

¿En que consiste?...

T6_x ha examinado de muy cerca el código de Hostpad.
Hostpad es como lo sabéis (o no ) una herramienta de código libre muy empleada y que permite, entre otras cosas, crear puntos de acceso. Lo que hace el éxito de Hostpad es que con un fichero de configuración bastante simplón podemos crear una verdadero punto de acceso.
Lo que ha encontrado mas concretamente es que Hostpad usa una función mal pensada para verificar/comprobar los hashes.
Aqui teneís dicha función :

int os_memcmp (const void * s1, const void * s2, size_t n)
{
    const unsigned char * p1 = s1 * s2 = P2;

    if (n == 0)
        return 0;

    while (* p1 == * p2) {
        p1 ++;
        p2 ++;
        n--;
        if (n == 0)
            return 0;
    }

    return * p1 - p2 *;

Esta función se encuentra en las versiones 0.5.9 hasta 2.0.
Es decir que no esta empleada en las ultimas ultimas versiones de Hostpad.... pero la gran mayoría de los routers que usan Hostpad suelen usar versiones "afectadas" tongue

Viendo esta función seguro que mas de uno se pregunta en que y porque esta función vulneraria el protocolo WPS
Ahí esta el truco :

...En analizar el tiempo de respuesta después un M4

El mensaje M4 se manda al punto de acceso y contiene R-Hash1 (donde tenemos a nuestra primera mitad) y R-Hash2 ( en base de la segunda mitad )
Una vez esto hecho el router pilla el RS-1, RS-2, las laves publicas y las dos mitades de PIN valido para generar una cadena (hash) y comparar si la cadena que hemos mandado corresponde a la cadena formada con el verdadero PIN

Estas comprobaciones de las cadenas (hashes) se realizan mediante la función expuesta justo arriba
El "Problema" : la verificación se hace "byte por byte".
Es decir que se verifica el primer byte de la cadena que hemos hecho con el PIN que hemos probado. Si es valido, se pasa al segundo. Pero si no es valido el router no verifica nada mas y manda un NACK y se acaba el proceso.

Dicho de otra forma : cuanto mas tardemos en recibir una respuesta del router, mas octetos hemos acertados
Y como somos nosotros (el cliente) quien manda el RS-1 y RS-2 y que conocemos las llaves publicas... tendremos unos erores al momento de las mitades de PIN.
Mas o menos temprano en funcción de nuestro nivel de acierto al momento preciso que se analysan las mitades de PIN
La cosa esta en medir con exactitud el tiempo de respuesta y podremos llegar a un especie de brute force byte por byte.
Soxrok2212 evalua a 1000 - 4000 PIN necesarios para hacer un brute force completo (si no hemos tenido suerte) y t6_x ha obtenido resultados positivos usando una implementación "a lo bruto"
La idea es muy buena...
...Se trata ahora de interesarnos a esta vía y mejorarla entre todos.

soxrok2212 escribió:

We are still looking for ideas to make this approach better. Therefore, we am supplying download links for all versions of Hostapd*. There are probably fresh and better ideas that you guys can come up with, ways that will reduce the amount of PINs needed to be tested before we can guess. Right now, we are beta testing this idea and analyzing data in excel based on a graph. T6_x has reported success with this approach, but it could have just been luck so we want to open the idea to the community. After all, we did make the Pixie Dust attack a reality!

*recopilatorio versiones de hostpad

Pixie dust nos esta abriendo puertas y nos ha hecho tomar conciencia de que podemos ir mas allá del brute force tal y cual lo conocíamos con reaver
Seguiremos de muy cerca las tribulaciones de nuestros compadres

¡Hasta pronto! wink

saturno · 15-06-2015 13:34:27

me puedes decir en que archivo de reaver va

int os_memcmp (const void * s1, const void * s2, size_t n)
{
    const unsigned char * p1 = s1 * s2 = P2;

    if (n == 0)
        return 0;

    while (* p1 == * p2) {
        p1 ++;
        p2 ++;
        n--;
        if (n == 0)
            return 0;
    }

    return * p1 - p2 *;

kcdtv · 15-06-2015 16:24:45

Buenas tardes saturno

Esta función no la encontrarás en reaver y no la podrás colocar en reaver : esta función es la de Hostpad y es la que hace que se podría implementar un ataque "tic-tac".
Lo que habría que implementar en reaver es una función que mide el tiempo entre M4 y NACK ( o M5 ) y compare el tiempo transcurrido paras hacer un brute force "byte por byte". será bastante mas larga y compleja que esta
Estamos hablando de algo aún en fase muy experimental...
para seguir los últimos desarrollos en corso :
WPS Tick Tock Attack

PD : He editado tu post utilizando el opción para insertar código (texto formateado) :
PD2 : saludos wink
PD3 : Caliente, caliente.... mientras te respondía :

soxrok2212 escribió:

We are working on optimization now With a quick recent test, we were able to narrow down the first half of my pin to 50 possibilities, and the data was not very good at all. Still making progress

WPS Tick Tock Attack (respuesta #8)

50 intentos para obtener la primera mitad en lugar de 10 000 tongue ...

saturno · 19-06-2015 14:34:24

una pregunta como se instala Hostpad

que no pone nada de instalacion

gracias

kcdtv · 19-06-2015 17:57:13

Lo suyo seŕia abrir un tema a parte en el foro adecuado para no desviar este wink
por ejemplo si usas kali en el foro kali li9nux o si usas una distribución GNU-Linux "normal" (no dedicada al hacking) podrías abrir lo en wirteless y redes en linux

saturno · 19-06-2015 20:09:50

gracias amigo kcdtv

Ultima edición por saturno (20-06-2015 18:52:24)

kcdtv · 20-06-2015 19:59:25

No hay de que big_smile
supongo que habrás encontrado una solución, sino no dudes en abrir un tema para consultas en uno de los subforos : el foro esta hecho para esto, parea que se use y responder a peguntas.
saludos wink

sergio44 · 20-04-2016 08:52:40

hola soy nuevo

esto donde va metido como solo pone el comando para el hostapd

pero no pone en que archivo va metido

siva en un archivo ante de instalar el hostapd

o va en el archivo de hostapd.conf cuando esta instalado

gracias

kcdtv · 20-04-2016 16:47:23

Hola y bienvenid@ al foro smile

esto donde va metido como solo pone el comando para el hostapd

A que te refieres exactamente?
"Esto" será la función que ocasiona la debilidad en hostpad...
En este hilo no hay "ninguno comando para el hostpad"
Y no tienes que poner nada en ningún sitio : Este tema describe un enfoque (de t6x y soxrok2212) para llevar un ataque similar a pixiedust, hasta ahora estamos hablando de algo experimental y no hay tools para hacer el ataque.
Lo que hay que hacer para seguir en esta vía es un código que mide el tiempo en algunas de las repuestas del AP y que haga cálculos estadísticos para deducir el PIN en uso.
De momento no hay ninguno programa publicado que lo haga y el método es experimental.
No se exactamente donde se encuentra la función y no tengo tiempo de mirarlo ahora, seguro que si mirras en el tema de soxrok2212 tienes el lugar exacto
Lo que esta claro es aue no es en el fichero "conf" ya que es solo para entrar parámetros, wink
Esta función la encontraras seguro en el código fuente (antes de instalar) y después también en uno de los archivos de hosptad vinculados con el WPS.
saludos

PD: Hay un hilo para presentaciones wink

sergio44 · 20-04-2016 18:45:04

yo lo que queria saber en que archivo debo modificarlo para probarlo

si hostapd tiene el archivo wps pero no pone nada a donde va metido

una pregunta porque no me funciona hostapd_cli me sale esto

Could not connect to hostapd - re-trying

y he visto un video que lo usa para el wps

e usado wifislax y e lo mismos

tengo que instalar algo del wps de hostapd

kcdtv · 20-04-2016 20:12:05

yo lo que queria saber en que archivo debo modificarlo para probarlo

¿Que quieres probar? big_smile
No hay nada por probar : Este tema es para usuarios con conocimientos en programación que controlan y entienden perfectamente el ataque pixiedust y el WPS.
Se trata de una vía de investigación, no hay programas ni nada por probar : Hay que.... inventarlos. tongue
Entiendo por tu mensaje de presentación que estas empezando en este mundillo.
Este tema "no es para ti", ni-siquiera es para mi (no que sea una referencia), porque soy incapaz de programar una herramienta experimental para seguir esta "propuesta"

una pregunta porque no me funciona hostapd_cli me sale esto

Este tema no es para asesorar sobre esto amigo smile
Debes abrir un tema a parte en un foro adecuado (no es este, seria mejor en " Wireless y redes en linux.") exponiendo con mas detalles lo que haces.

sergio44 · 20-04-2016 20:32:14

vale gracias smile

pondre un nuevo tema aver si me puedes ayudar con hostapd_cli

USUARIONUEVO · 20-04-2016 21:17:18

¿por que lo llamas hospad? ... solo existe el proyecto hostapd...la gente se va a volver loka ,buscando hostpad.

imagino que es algo que te sale asi, sin querer.

kcdtv · 20-04-2016 21:44:02

big_smile Probablemente un error,
@ Sergio, para que no te confundes, host significa "anfitrión" en inglés y hostapd es como un anfitrión que recibe los clientes wifi wink

juancarlos · 28-05-2019 14:05:49

tengo instalado el hostapd-0.5.9

que comando tengo que usar

kcdtv · 29-05-2019 17:01:52

Me parece que no has entendido muy bien de que iba este tema... No hay "ningunos comandos": Es una vía de investigación. Si quieres seguir en esta vía has de crear tu propio PoC

Lo que hay que hacer para seguir en esta vía es un código que mide el tiempo en algunas de las repuestas del AP y que haga cálculos estadísticos para deducir el PIN en uso.

Tema	Respuestas	Vistas	Ultimo mensaje
¡Vienen grandes cambios! por Takomou	2	171	Hoy 15:25:52 por Patcher
Pegado: Pegado:: Wireless Air Cut, auditoria del protocolo wps en Windows por Patcher [ 1 2 3 … 21 ]	521	339998	10-05-2023 18:24:28 por Betis-Jesus
Hospital clinic dump por wifiyeah [ 1 2 ]	27	1242	09-05-2023 21:32:44 por kcdtv
Hacktivismo por CHARGER22	1	205	08-05-2023 19:53:26 por kcdtv
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	447	66090	22-04-2023 15:31:13 por kcdtv

Foro Wifi-libre.com

#1 11-06-2015 16:57:13