HT-WPS-Breaker: Un script bash muy agradable para ataque "pixiedust"

kcdtv · 01-09-2015 22:10:25

HT-WPS-Breaker de SilentGhostX

Nombre : HT-WPS-Breaker
Autor : SilentGhostX
Licencia : GNU GPL v3
Lenguaje : bash
Dependencias : aircrack-ng, reaver 1.5.1 o superior, pixiewps y sus propias dependencias - estos paquetes están incluido en la carpeta del script
Créditos : - El autor no da créditos
Fecha de publicación : copyelft 26 agosto 2015
Descripción : HT-WPS-Breaker es un script bash que automatiza el ataque sobre protocolo WPS utilizando el método "pixiedust" que permite obtener el PIN con un solo intento
Web(s) : Rama GitHub del autor
Descarga : HT-WPS-Breaker-master @ GitHub

Es con esta pantalla muy chula que empieza HT-WPS-Breaker. Un script bash de SilentGhostX bien pensado y bien realizado.
¡Empieza la visita!

Puesta en marcha

Al ser un script bash no tendremos que compilar y instalar nada. Así que descargamos el paquete *.zip y lo descomprimimos : HT-WPS-Breaker-master.zip
O bien clonemos directamente el directorio con nuestra consola :

svn co https://github.com/SilentGhostX/HT-WPS-Breaker

Echamos un ojo a lo que contiene nuestra carpeta "HT-WPS-Breaker".
Encontramos al script en bash, un "readme" y a una carpeta llamada "Tools".
Esta carpeta tool lleva reaver, pixiewps y las librerías extras necesarias.

Es algo a destacar : El script va a detectar si las librerías extras estan instaladas y si no lo están las instalará automáticamente.
Sin necesidad de estar conectado a la red para obtenerlas ya que las lleva con el en esta carpeta llamada "tool".
SilentGhostX ha puesto las librerías que nos van a fallar en un sistema que lleva aircrack-ng correctamente instalado.
Así que podemos decir que el script es como un "ejecutable portable" para cualquier distribución GNU-Linux en la cual hemos instalado aircrack-ng
Si no nos gusta esta funcionalidad podemos borrar el directorio "Tool" con lo que contiene y el script se ejecutara igualmente .

Para ejecutar el script nos situamos en el directorio que contiene HT-WB.sh

Si hemos utilizado la terminal para descargar HT-WPS-Breaker escribimos en la misma terminal

cd HT-WPS-Breaker/trunk/

Si hemos utilizado el link puesto anteriormente abrimos la carpeta que contiene la carpeta obtenida al descomprimir el paquete zip. Hacemos clic derecha sobre la carpeta "HT-WPS-Breaker-master" y seleccionamos "abrir en un terminal"
Ejecutamos el script con derechos de administrador invocando bash

sudo bash HT-WB.sh

1,2,3... probando

Ya se que puede parecer una chorrada pero admiro el trabajo hecho para hacer esta pantalla de inicio : big_smile

Solo para esto valía la pena probar el script big_smile
Tenemos 4 opciones :

[1] Attack automatically. El nombre lo dice todo : con esta primera opción todo será automatizado desde la puesta en mode monitor pasando por el ataque pixiedust hasta obtención de la llave WPA
[2] Manuel input. No hay trucos; con "manual imput" tendremos que entrar "a mano" los datos del PA que atacamos
[3] If you want to crack an acces point's key with WPS PIN. Con esta opción podremos ejecutar bully o reaver con el PIN encontrado para obtener la lave WPA
[4] Exit. ¡A dormir!

En modo vago : opción "Attack automatically"

Si disponemos de varias interfaces caímos en un menú para elegir entre ellas :

Pequeño bug; no sale el chipset. Probablemente el script fue pensado para la salida "antiguada" de airmon-ng y esto hace que no pilla correctamente el chipset.
Sino pasa perfectamente el mode monitor y esto sin desconectar mi otra interfaz matando como un bárbaro a wpa_supplicant y netwrok manager .
Si hay una sola interfaz se pasa automáticamente en mode monitor.

Se nos advierte de que el scan va a empezar y que tenemos que prensar CTRL+C para parrarlo.
En lugar de wash el autor ha decidido emplear airodump-ng. Es una buena idea pero el scipt no usa el argumento --wps de airodump-ng que nos devuelve la información sobre el WPS y su estado. Podemos usar la tecla <TAB> para ver los puntos de acceso que no caben en consola. Una vez que hemos detectado nuestro objetivo prensamos CTRL+C y llegamos al menú de selección del objetivo.

Los bssid conocidos por tener dispositivos soportados salen en verde.
El nivel de PWR sale de varios colores según el nivel.
También se muestra si hay o no un(os) cliente(s) conectado(s).
Solo tenemos que entrar el numeró del objetivo:

Reaver entra en acción y podemos seguir el curso de los eventos en consola con esta salida "retocada" con sencillez y gusto

Una vez que tenemos todos los elementos para nuestro ataque pixiedust vemos la información sobre la victima que se ha podido obtener en los PROBES y se lanza pixiewps

¡Muy bien! No se ha olvidado de usar el argumento --force en pixiewps y no ha empleado -S en reaver : voy a poder obtener el PIN de mi router con chipset realteck que pueden necesitar un brute force (30 minutos máximo como mucho)

Una vez el PIN encontrado se lanza reaver automáticamente

Y cuando obtenemos la llave WPA podemos elegir otro objetivo del escaneo precedente, volver al menú de inicio o salir...

Vistas del modo manual para los guerreros de la consola

Tenéis que entrar el bSSID y el canal :
Y pegar los elementos para pixiewps :
Pequeño problema, si no usáis la versión de reaver incluida y que tenéis la ultima en corso no salen en pantalla los elementos ( ahora se ha de poner -vvv para ver los elementos en lugar de -vv)
No he abierto otra consola para ejecutar reaver con -vvv.
El resulado al final hubiera sido el mismo que antes, key found blablabla ... No soy un guerrero de la consola. tongue

En conclusión; es un script muy molón con un modo automático rápido, limpio, sin fallos.
Además el script es visualmente agradable... muy agradable.
Lo de incluir las dependencias extras esta muy bien si usamos un linux convencional.
Me ha gustado smile

dynyly · 02-09-2015 00:09:51

salu2
bonito script a la vista si señor
gracias ya os echaba en falta ; 2 dias de buenas publicaciones nada mas llegar de vacaciones

Almogavers · 04-09-2015 16:30:33

Muy buenas a todos y todas.

Parece interesante este programa, lo he descargado y he seguido las instrucciones, pero cuando hago el ataque de fuerza bruta, luego le doy a "Ctr+C" y escojo el número de la red elegida, me sale:

[+] All required arguments

Que está bien, pero luego me sale:

[+] Waiting for beacon from (Bssid escogida)

Y aquí se queda, se para y ya no calcula nada más.

¿Qué ocurre? ¿Será porque mi programa de "Wifislax" se encuentra en una memoria "USB" en vez de estar instalada en mi disco duro?

Muchas gracias

Almogavers

kcdtv · 05-09-2015 08:41:49

Lo que te pasa es que Bully no consigue asociar.
Haz el ataque en linea de comando para ver si el problema viene del script o no.
Bully funciona bien con algunos chipset pero no con todos.

Almogavers · 05-09-2015 08:51:46

Hola!

¿Cómo se hace el "ataque en linea de comando"?
Disculpad la poca instrucción que tengo sobre este tema.
Gracias

Almogavers

kcdtv · 05-09-2015 09:32:27

Se supone que estos scripts están hecho para estar empleados una vez que se sabe hacer los ataques en linea de comando (teóricamente) big_smile
Haces bien en preguntar ; Ninguno script es tan eficaz como un almogavers informado. wink
El script usa bully para hacer el ataque tipo brute force.
Si abres el script con un editor de texto cualquiera y buscas la palabara "bully" caes ahí :

Tienes Kedit, es igual que Gedit, son editores muy aconsejables para mirar los scripts bash porque ponen colores para diferenciar ordenes, bucles, funciones, texto, comentarios etc...

En linea 637 tienes la orden de ataque con Bully

bully -b $BSSID -c $CHANNEL -B -F -p $PIN $mon

Así bully va muy rápido pero da más fallos. Y si no va se puede quedar tirando el mismo PIN a todas ostias sin parrar.
las variables se entienden: - $BSSID es la mac del ojetivo
- $CHANNEL el numero del canal
- $PIN el PIN empleado
- $mon es la interfaz wifi
No soy acostumbrado a usar Bully así que no te podre decir mucho más que aumentar el "delay" y el "time out" ( delay es el tiempo minimo ente cada PIN y time-out el intervalo de tiempo de espera antes de declarar una respuesta perdida)
Y añadir también -n (no-nack) que es a veces necesario para recoger la llave.
Escribiendo bully en consola tendrás la ayuda con todos los detalles sobre las opciones - muy parecidas a reaver.

USUARIONUEVO · 05-09-2015 20:05:11

Habia puesto una respuesta y no esta , se ha perdido.

Un punto negativo al script , por que se basa en ataque reaver "WPS" , del modo que sea .. pixie para el pin y bully para la wpa .. cosa que creo se podria haber hecho todo con solo reaver de 6tx ya que imagino secupera wpa , como el reaver original .. bully , pues tal vez por que falla menos.

Y al grano .... se queda en asociando , por que el listado de aps no es filtrado de ninguna manera ..eliges un ap , sin wps ... y que pasa ?¿
que te quedas esperando la asociacion, algo que no va a psara en la vida sin wps habilitado ...

Hay que filtrar ese listado.

Acerca d elo de interfaces UP o no , como tenemos networkmanager este , mantiene las interface sreales siempre up , con lo que el problema esta solventado en ese sentido ... y creo que es solo que elgimos un ap sin wps , y el ataque pixie ,sin wps , no va a poder hacerse en la vida.

EDIT: al respecto de bully o reaver, el autor tiene en cuenta esa parte , lo que pasa es que mira si existe bully , y si existe prefiere lanzar el ataque con ese, si no existe entonces usara reaver.

   hash bully 2> /dev/null
hash_bully="$?"
if [ $hash_bully -eq 0 ]
then
echo ""
echo -e "$White [+] Running$Green bully$White with the correct$Green PIN$White, wait ..."
echo ""
bully -b $BSSID -c $CHANNEL -B -F -p $PIN $mon
echo -e "$Yellow [+]$Green Congratulation (^_^) "
echo ""
else
echo ""
echo -e "$White [+] Running$Green reaver$White with the correct$Green 
PIN$White, wait ..."
echo ""
reaver -i $mon -b $BSSID -c $CHANNEL -vv -p $PIN
echo -e "$Yellow[+]$Green Congratulation (^_^) "
echo ""
fi

EDIT 2: Si el ap tiene wps Locked , la asociacion va, pero no recibiremos los datos para atque pixie , como E-nonce y demas ,...debe filtrar y dejar SOLO LOS AP CON WPS Y NO ESTEN BLOCKED .... no me explico por que no usa wash , para esa tarea ...

EDIT 3: Creo que escanea con airdump , por el tema del RSSI 00 , con wash y chips atheros ... pero ... puede escanear con airodump ... y pasar el *.cap por wash , para identificar aps con wps ... y el power pillarlo de airodump ...

wash -C -f  FICHERO.cap

Ultima edición por USUARIONUEVO (05-09-2015 23:22:14)

kcdtv · 06-09-2015 17:58:59

USARIONUEVO escribió:

Habia puesto una respuesta y no esta , se ha perdido.

Probablemente la has hecho en mas de 30 minutos y se te ha desconectado de tu sesión.
Al entrar tus credenciales puedes modificar el tiempo máximo de sesión o incluso elegir conectado "para siempre" y te ponemos un coockie (sin nada malo a dentro, solo harina biologicá y chocolate procedente del comercio justo big_smile )
Si te vuelve a pasar, vuelves atrás, copias el texto, refrescas la pagina poniendo los credenciales y lo vuelves a pegar.

Sobre lo de reaver y bully;
Como no tengo bully instalado en la computadora que use para el tutorial no me di cuenta.
Personalmente no hubiera privilegiado bully sobre reaver pero otra gente ven la cosas de otra forma.

Sobre el uso de airdoump-ng sigo pensando que es una muy buena idea; es solo cuestión de integrar el opción --wps que lleva nuestro querido airodump-ng desde unas cuentas revisiones .
He sugerido a SilentGhostX que integre el opción -wps y añade una columna sobre el estado del wps en el menú.
Parece que le ha gustado la idea : adding "--wps" to airodump-ng scan line in order to get information about WPS

USUARIONUEVO · 06-09-2015 19:41:20

Hombre , es que si no filtra ... se cuelan todos los aps , y solo se puede trabajar sobre wps activo y no bloqueado.

Quitando de eso , el resto ya es cuestionde gustos.

Otra chorrada , ... con bully y los kerneles nuevos , ...esto es algo que no afecta con airmon-ng nuevo , o eso creo , pero no estaria demas ...

ifconfig $wlan down &>/dev/null
airmon-ng start $wlan &>/dev/null
ifconfig $wlan up &>/dev/null

la bajamos para que este lo mas libre posible antes de pasar a monitor , y al final la subimos , por que alhunos chips si no estan la interface real arriba ,no inyectan pines. (esto es por el uso de airmon-ng clasicc con el nuevo la intercae ya queda arriba al usar una sola en todo momento como REAL ) ,.... sin embargo con el airmon nuevo los ralink no he podido usarlos con reaver , y con airmon viejo SI ...

como las ordenes van a null , si usamos airmon nuevo , no pasara nada por que no aparecera mensjae de que wlanX no existe al haberse convertido en wlanXmon
por eso creo que es beneficio , en cualquier escenario y no afecta en negativo a nadie.

en mi caso al usar el viejo airmon-ng + kernel 4.X , he tenido que añadir eso de bajar + monitor + subir ..si no no me funcionaba ..aunque solo me pasa con reaver de 6tx , con el reaver original no es necesario esa accion , no se a que se dbeera.

kcdtv · 07-09-2015 14:54:53

aunque solo me pasa con reaver de 6tx , con el reaver original no es necesario esa accion , no se a que se dbeera.

No se tampoco
Es que reaver 1.5.2 esta pensado para funcionar con Kali y las ultimas versiones de airmon-ng,
Se ha modificado hasta la salida en consola en los ejemplos de uso. (5 junio)
mon0 -> wlan0mon
El contribuidor en este caso es Gotm1lk , moderador del foro kali linux.
Tampoco me parece que esto explica el falló porque no se ha retocado estas partes del código. Reaver 1.5.2 es antes de todo la modificación de la salida y las opciones para pixie-dust.
¿Has probado con la versión 1.5?
Porque cuando hablas del reaver original hablarás de la 1.4. supongo.
A lo mejor el error se produje con la 1.5 y se podría mirrar en la rama github para ver que han hecho y que es lo que puede haber provocado el falló.

por eso creo que es beneficio

Lo beneficio es también nunca usar un chipset ralink para ataques WPS. big_smile

USUARIONUEVO · 10-09-2015 23:13:43

Al final era cosa mia , ... no se por que la tarjeta del portatil ar9285 , iniciaba con

tx-power=0

entonces la puedes pasar a monitor por que la radio esta encendida, pero con power 0 ...jajaja

por eso no asociaba , en fins , tanto tocar , al final uno ya ni sabe cuando algo no va que es lo que pasa.

kcdtv · 11-09-2015 12:03:25

por eso no asociaba , en fins , tanto tocar , al final uno ya ni sabe cuando algo no va que es lo que pasa.

big_smile
No se como haces para no volverte loco; creo que si me pondría a desarrollar live acabaría al manicomio. tongue
Supongo que tu secreto es "mucho estudiar, mucha paciencia y muchísima organización".
Lo tengo chungo.
saludos

Tema	Respuestas	Vistas	Ultimo mensaje
WPA2: roto con KRACK. ¿Ahora que? por Virkon [ 1 2 ]	26	7600	15-03-2023 16:57:32 por kcdtv
Pegado: Pegado:: AWITAS. Ataque a WPS con rogueAP potegido con WPA por javierbu [ 1 2 ]	34	3712	12-03-2023 18:24:22 por Guybrush92
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	436	63255	07-03-2023 12:35:27 por kcdtv
iwd;¿El demonio WiFi Linux qué lo cambiara todo? por kcdtv	0	389	23-02-2023 17:09:39 por kcdtv
Pegado: Pegado:: Base de datos WPSPIN (original) open source actualizada por kcdtv [ 1 2 3 4 5 ]	114	258219	19-02-2023 17:36:14 por chuchof

Foro Wifi-libre.com

Anuncio

#1 01-09-2015 22:10:25