Vulnerabilidad WPS PBC (Push button)

kcdtv · 27-10-2016 00:48:49

Vulnerabilidad WPS PBC (Push button) by Koala

Las siglas WPS significan WiFi Protected Setup pero sería más exacto decir Worst Protected Setup. big_smile
La broma no es mía: Es del amigo Koala.
Lo digo por si te parece mala. tongue
Más en serio:
Hablo de Koala porque es quien ha dado en el clavo y ha publicado sobre este "falló de concepto" del modo Push button.
Hace algo de tiempo ya... Primero en Korben y crack-wifi.com.
Pero los dos sitios están en francés y no he visto nada al respecto en Español.
Vamos a ver entonces hoy en este tema esta vulnerabilidad WPS PBC.
Ya veréis: Es muy simple y no se requiere ninguno conocimiento técnico avanzado para entenderla.

Worst Protected Setup

Otra vez. big_smile Uno no se cansa de las bromas de koala. wink
El WPS fue introducido en 2007 y promovido por la Wi-Fi Alliance para simplificar la conexión a un punto de acceso protegido con una llave WPA robusta. (lo qué se debe hacer)
El infierno está empedrado de buenas intenciones: Haciendo esto han activado una bomba de tiempo.
Bomba que les ha explotado en plena carra en 2011 con la brecha de seguridad "Brute force WPS PIN"
Con una segunda detonación en 2014 con la brecha pixe dust

Les ha costado mucho a los fabricantes admitir que han puesto en servicio desde 2008 routers con una brecha critica.
Muchos aparatos no han tenido apaño, no son pocoos los fabricantes que han tartado años en parrar la producción con WPS en modo PIN habilitado.
Aún hoy en día salen modelos con el modo PIN y acaban en el paisaje wifi, 5 años después la salida del famoso reaver.
No obstante es hecho establecido que el modo WPS PIN es inseguro
Por ejemplo a nivel Europeo en las recomendaciones de la ENISA (ver La U.E. debería enterarse de las brechas WPS)

Si el modo PIN se considera seguro, el modo PBC se sigue publicitando como "seguro".
Es más: si consultas el manual de un punto de acceso de hoy en día a menudo se aconseja en primero usar el metódo WPS PBC para conectarse, antes del método tradicional que consiste en entrar su llave a mano.

Manual de usuario Router Fibra Óptica Mitrastar HGW-2501GN-R2
El propio gestor de redes windows 7, 8 y 10 propone el WPS a la primera conexión.
Ni hace falta tener un adaptador USB con un botón: el gestor de redes se encarga de de hacer de botón, no tenmeos que prensar nada, las peticiones se mandan directamente de forma automatizada.

Vulnerabilidad del método WPS PBC

El WPS PBC es un proceso muy sencillo visto que la meta es simplificar algo "tan complejo" como entrar una llave WPA en un gestor de redes. (se requiere cinco años de estudios en el MIT para esto roll )
Por un lado el usuario pulsa el botón del Registrar (matriculador; el Punto de acceso) para que admite durante un intervalo de tiempo (por defecto 120 segundos) un Enrolle (cliente)
Por otro lado pulsa el botón PBC de su Enrolee,
Si lo hace en las 120 segundas impartidas el router acepta el cliente: le manda la llave y lo deja conectarse.
El cliente sabe el BSSID de la red a la cual se quiere conectar.
Pero el router no tiene idea de la mac del cliente que se quiere conectar.
Con lo cuál el router admite cualquier cliente que se conecte, sino el protocolo no funcionaría.
La Wifi alliance es consciente de esto:

Pero no se lo han pensado lo bastante.

Imaginamos ahora que tenemos en el rayo de nuestra red wifi un intruso que quiere conectarse
Si empujamos el botón WPS de nuestro AP, aceptará la primera petición de conexión PBC que le llegará.
Se cierra inmediatamente el intervalo PBC "abierto" y no aceptará el siguiente
Lo importante es llegar primero, si la petición de conexión del intruso se recibe antes que la del cliente legitimo, el intruso se conecta a nuestra a red y obtiene la llave WPA.

Prueba de Concepto con el "bucle del troll"

Escenario:
La victima tiene un adaptador USB con PBC
El router de la victima tiene WPS (si el routeur tiene WPS por norma tiene un butón PBC)
El hacker tiene un portátil que corre una distribución GNU-Linux cualquiera (no hace falta aircrack-ng ni nada por el estilo) y que tiene una interfaz wifi (el modo managed basta)

El ataque:
El concepto es simple: Aprovechar el intervalo PBC para conectarse antes del cliente legitimo.
Para lograrlo solo necesitamos mandar en bucle una petición de conexión WPS hacía cualquier PA que sea... El WPS es maravilloso y permite hacer muchas cosas con una cli potente.
En una linea:

while : ; do sudo wpa_cli wps_pbc any ; sleep 120 ; done &

La sintaxis es digna de un troll y pone probablemente los pelos de punta a los bashistas puros y duros... Esto dicho hace exactamente lo que se necesita: Mandar en bucle peticiones de conexión PBC hacía todos los PA que se pueden alcanzar.

wpa_cli es una cli interactiva para wpa_supplicant
wps_pbc se emplea para mandar peticiones de conexión PBC
any, normalmente aquí se supone que se pone un bSSID pero se puede poner "any" para conectarse a cualquier PA que sea.

Cuando una victima prensa el botón WPS de su router estamos conectado.
Koala ha dejado su portatíl con el bucle troll y ha simulado con otro ordenador lo que haría una victima para conectarse con PBC.
Se levanta para llegar al router y activar el WPS PBC
Luego vuelve a su silla para prensar en el botón del dongle que hace de victma.
Cuando se sienta otra vez es tarde: el ordenador "atacante" ya esta conectado y prensar el botón desde la victima no sirve de nada.

Activa el dhcp desde la maquina atacante

dhclient wlan0

Y puede comprobar que el ordenador atacante esta conectado del todo

En conclusión:

La vulnerabilidad se basa en el intervalo de tiempo necesario a un humano para prensar un botón.
Es a la vez muy simple y implacable: Una maquina que manda peticiones en bucle será siempre más rápida que un humano.
Podemos ya plantear un escenario de ataque en modo "troll du wifi".
Un ataque feo y pasivo con un bucle al estilo más que dudoso big_smile
El troll deja coger las 24 horas del día una AWUSO36H a máxima potencia
Para generar mucho ruido y llegar lo más lejos posible
Rolló: "¡Estoy aquí! ¡Da me conexión!"
Ejecuta el bucle feo esperando que alguien en un piso prensa un día el botón WPS de su router para conectarse.
Es una suerte que a nadie se le ocurra este tipo de troladas. wink big_smile
Y es problemático que la wifi alliance no haya pensado en este tipo de troladas

Veremos estos días como llevar paso a paso un ataque "activo" más elaborado, con dos interfaces wifi, utilizando hostapd, airebase-ng y mdk3.
Si se hace correctamente el exitó está garantizado para recuperar la llave WPA ( si la victima comete el irreparable: Prensar el botón WPS de su router.) y además tenemos a nuestra victima conectada a nuestro PA falso (Man in the middle)

Le wps et wpa_supplicant de Koala @ Crack-wifi
Intrusion dans un réseau WiFi grâce au WPS @ Korben

cardi1977 · 27-10-2016 17:00:33

un articulo muy bueno y muy interesante, gracias kcdtv por estos articulos.

ahora como tu dices ha probar con mdk3 ,airplay, etc... a dar un poco de jaleo para que la victima se levanta ha presionar el (preciado boton) jajajajajajaj,
un saludo.

Patcher · 27-10-2016 18:52:35

Esta es una posibilidad que yo ya había contemplado hace tiempo, el problema es llevarla acabo de forma práctica. Puede hacerse de forma indiscriminada esperando por una de esas tramas de algún router, pero dirigirla a uno determinado para forzar a que el usuario pulse el botón es a lo poco muy optimista.

kcdtv · 29-10-2016 00:29:34

¡Buenas! big_smile

Esta es una posibilidad que yo ya había contemplado hace tiempo,

Lo que parece increíble es que los de la wifi alliance no lo hayan tomado en cuenta
Lo dicen, lo saben, pero han pasado del tema...
Es evidente que este intervalo abierto a todos, sin llave ni nada para atestar de la autenticidad del cliente, conlleve riesgos.

Puede hacerse de forma indiscriminada esperando por una de esas tramas de algún router, pero dirigirla a uno determinado para forzar a que el usuario pulse el botón es a lo poco muy optimista.

Es optimista pero no mucho más que esperar pillar una llave en un portál cautivo.
Si el reflejo "Push button" vendría a populariza en el usuario medio este enfoque podría dar lugar a ataques bastante efectivos.
Sobre todo que con el gestor de redes de windows se propone el modo PBC sin que haga falta tener un butón.
Este fin de semana (o sea mañana o pasado) presentaré un ataque completo, veréis que con un par de trucos se le puede dar un forma muy interesante engañando el gestor de redes windows para que proponga el PBC (aúnque se supone que lo porpone solo la primera vez que nos conectamos)
¡Saludos!

Patcher · 29-10-2016 08:43:59

kcdtv escribió:

Si el reflejo "Push button" vendría a populariza en el usuario medio este enfoque podría dar lugar a ataques bastante efectivos.

En esto tienes toda la razón, el ser humano es un animal de costumbres.

kcdtv escribió:

Este fin de semana (o sea mañana o pasado) presentaré un ataque completo, veréis que con un par de trucos se le puede dar un forma muy interesante engañando el gestor de redes windows para que proponga el PBC (aúnque se supone que lo porpone solo la primera vez que nos conectamos)
¡Saludos!

Estoy ansioso por ver tu magia big_smile

cardi1977 · 01-11-2016 23:02:45

kcdtv escribió:

Este fin de semana (o sea mañana o pasado) presentaré un ataque completo, veréis que con un par de trucos se le puede dar un forma muy interesante engañando el gestor de redes windows para que proponga el PBC (aúnque se supone que lo porpone solo la primera vez que nos conectamos)
¡Saludos!

A la espera de ese ataqueee!! jjajajajaj

kcdtv · 02-11-2016 18:18:35

Lo siento: han surgido unos imprevistos y no he tenido el tiempo de hacer el tema.
Pero no me olvido de [email protected]
No es que sea muy complicado pero necesito algo de tiempo para poner de pie el escenario de pruebas y hacer el tema que va a ser un poco largo... very soon, very soon wink

troh · 27-12-2017 23:27:38

Sorry por bumpear ésto, pero lo vi en otro foro y ya lo estoy probando.
No tengo idea si aún funciona, pero no pierdo nada con intentarlo.

ketamuny · 28-12-2017 02:09:14

Esto ya lo comente hace años a Maripuri por privado y no recibí apoyo para seguir con este proyecto y nadie me creyó en su día, y eso que mande vídeos de un pequeño escenario que me monte yo mismo con un router de ono.

lo hice de 2 maneras con el móvil a 120 seg y con los drivers ralink. intente editar los drivers ralink con reshack para poder subir el tiempo ya sea horas días o semanas pero no lo conseguí.

Estaba convencido que funcionaria pero al no recibir ningún apoyo deje estancado el proyecto, hace poco quería hablar con kcdt por privado sobre este proyecto por si tenia mas suerte pero entre unas cosas y otras nunca me decidí.

En mi cuenta de mega conservo los vídeos de mis pruebas si te interesan kcdt te las envió un saludo y felices fiestas a todos.

Koala · 28-12-2017 10:58:01

Buenas

y no recibí apoyo para seguir con este proyecto y nadie me creyó en su día

La verdad es que no me surprende eso, todo lo que sale un poco differente esta puesto al lado.En Francia han salido un articulo de periodico sobre eso en Korben.fr con las probadas que habia hecho y no ha sido muy comprendido...

o hice de 2 maneras con el móvil a 120 seg y con los drivers ralink. intente editar los drivers ralink con reshack para poder subir el tiempo ya sea horas días o semanas pero no lo conseguí.

El problemo es que si puedes modificar el tiempo en segundas de eso de tu lado no sera possible de modificar este tiempo en el AP de la victima porque no se tiene al accesso.O quisas he mal entendido algo ?

Estaba convencido que funcionaria pero al no recibir ningún apoyo deje estancado el proyecto, hace poco quería hablar con kcdt por privado sobre este proyecto por si tenia mas suerte pero entre unas cosas y otras nunca me decidí.

El script hostbase que hecho es un buen ejemplo de como anda esa methoda.

Ultima edición por Koala (28-12-2017 10:59:01)

kcdtv · 28-12-2017 14:59:33

troh escribió:

No tengo idea si aún funciona, pero no pierdo nada con intentarlo.

No creo que has bien entendido del todo de que va porque siempre funcionara: No hay forma para el punto de acceso de verificar la autenticidad de un cliente que no se ha conectado aun. Es el concepto mismo del PBC: empujas el botón del PA para que un cliente nuevo se conecta y obtenga los credenciales WPA.
Si en el intervalo de 120 segundos "llega primero" otro cliente que el cliente "legitimo" pues... se conecta el cliente ilegitimo al PA.

ketamuny escribió:

En mi cuenta de mega conservo los vídeos de mis pruebas si te interesan kcdt te las envió un saludo y felices fiestas a todos.

He recibido los vídeos, gracias. Tampoco era necesario que me demuestres nada: Como puedes ver a koala también se le ha ocurrido la misma idea (brillante).

ketamuny escribió:

intente editar los drivers ralink con reshack para poder subir el tiempo ya sea horas días o semanas pero no lo conseguí.

Es siempre muy complicado tener que hackear unos drivers o una aplicación para lograr un comportamiento "no convencional". Quizá sea mas fácil inspirarse de lo que ha hecho koala bajo linux: mandar la petición de 120 segundos en bucle.

En Francia han salido un articulo de periodico sobre eso en Korben.fr con las probadas que habia hecho y no ha sido muy comprendido...

Algunos comentarios en el sitio de korben eran grotescos... Gente que no tienen ni puta idea sobre WPS y que afirmaban cosas sin haber leído una sola linea de la especificación. Había preparada un buen post para intervenir ahí y poner los puntos sobre los "i" pero desgraciadamente korben ha cerrado los comentarios muy rápido. Esto es el problema con estas web muy famosas "cultura geeck": mucha gente viene para lucirse y darse en espectáculo.
Esto dicho fue divertido verte hacer "el show" en la escena francesa.

ketamuny · 28-12-2017 15:45:02

Koala El problemo es que si puedes modificar el tiempo en segundas de eso de tu lado no sera posible de modificar este tiempo en el AP de la victima porque no se tiene al accesso.O quisas he mal entendido algo ?

Desde mi punto de vista no tienes que modificar nada del AP, nuestro equipo cliente lo ponemos a la escucha esperando que alguien pulse el botón pbc y si tenemos un adaptador potente y la señal del AP es fuerte no tendremos problemas en interceptar las credenciales del AP victima, ya que no pide ningún requisito solo que seas el primero en llegar nada mas.

El AP te dejara conectarte si o si, el no sabe quien eres y ni el tiempo que llevas esperando conectarte, ya que eso al AP no le importa, el te da paso y listo.tu tienes todas las papeletas para conectarte primero porque antes de que la victima pulse el push button tu ya estas esperando recibir las credenciales.

Koala · 28-12-2017 21:00:48

Algunos comentarios en el sitio de korben eran grotescos... Gente que no tienen ni puta idea sobre WPS y que afirmaban cosas sin haber leído una sola linea de la especificación. Había preparada un buen post para intervenir ahí y poner los puntos sobre los "i" pero desgraciadamente korben ha cerrado los comentarios muy rápido. Esto es el problema con estas web muy famosas "cultura geeck": mucha gente viene para lucirse y darse en espectáculo

No he hecho repuesta para esta misma razon.Es como hablar con la pared.Y cuando veo todos los blog, web de informatica etc.. en Francia parece mas "pute a clic" que otra cosa.

Desde mi punto de vista no tienes que modificar nada del AP, nuestro equipo cliente lo ponemos a la escucha esperando que alguien pulse el botón pbc y si tenemos un adaptador potente y la señal del AP es fuerte no tendremos problemas en interceptar las credenciales del AP victima, ya que no pide ningún requisito solo que seas el primero en llegar nada mas.
El AP te dejara conectarte si o si, el no sabe quien eres y ni el tiempo que llevas esperando conectarte, ya que eso al AP no le importa, el te da paso y listo.tu tienes todas las papeletas para conectarte primero porque antes de que la victima pulse el push button tu ya estas esperando recibir las credenciale

Jejeje ya sé como anda eso big_smile ya veo tenemos el mismo punto de vista porque es exactamente lo que explica este hilo y asi que habia hecho mi primeras probadas en 2014 antes de crear hostbase 2 anos mas tarde smile

Patcher · 29-12-2017 14:21:17

Realmente no es necesario estar lanzando peticiones de asociación de forma repetitiva contra el AP para aprovechar la brecha. Es, a mi modo de ver, más sencillo que todo eso y como decía unos post más arriba, esta era una idea que me rondaba desde hacia tiempo.

Todo esto lo he podido comprobar por mi mismo y he de decir que funciona; De hecho, trabajo en una beta de waircut que lo implementa, tanto de forma dirigida hacia un AP concreto, como de forma indiscriminada esperando que cualquier AP al alcance active el modo PushButton. En ambos casos ha funcionado con éxito.

cjrs · 21-01-2018 14:00:20

Koala ha dejado su portatíl con el bucle troll y ha simulado con otro ordenador lo que haría una victima para conectarse con PBC.
Se levanta para llegar al router y activar el WPS PBC
Luego vuelve a su silla para prensar en el botón del dongle que hace de victma.
Cuando se sienta otra vez es tarde: el ordenador "atacante" ya esta conectado y prensar el botón desde la victima no sirve de nada.

Bien, y en funcion de lo anteriormente mencionado, y esta pregunta va tanto para ti kcdtv como tambien para Koala:

¿y si el usuario legitimo pulsa antes el boton PBC de su adaptador WiFi o el PBC Virtual de su administrador de redes wireless bajo sistema Windows y despues se va a pulsar el boton WPS/PBC de su router WiFi mientras tambien el atacante lo esta haciendo de forma similar con una serie de ordenes de su shell bajo linux?, pues de esta forma dicho usuario no va a solicitar la conexion mediante PBC despues de pulsar el boton PBC del router sino que lo esta haciendo antes, ¿al final quien conectaria primero mediante PBC: el usuario legitimo o el ilegitimo?.

He aqui desde mi punto de vista o poquita informacion de la que dispongo, la base de la idea en donde radica lo anteriormente expuesto:

lo mismo que el parametro "--uptime" en airodump-ng indica el tiempo que lleva un router WiFi en servicio ininterrumpido, ¿hay en los probes request del router WiFi o alguna variable de tiempo que indique: de estas dos peticiones de conexion mediante PBC, voy a conceder dicha conexion al solicitante que inicio la primera solicitud de conexion PBC en virtud de quien fue en una base temporal (minuto:segundo) el primero en solicitarlo?.

Os voy a poner 3 distintos ejemplos para que se entienda mejor a donde quiero llegar:

Ejemplo 1º (supuesto del que parte Koala en su comunicado):

el usuario legitimo inicia la solicitud de conexion PBC a las 13 horas 35 minutos 43 segundos de un dia
el usuario ilegitimo inicia la solicitud de conexion PBC a las 13 horas 35 minutos 42 segundos de ese mismo dia
(aqui el atacante esta solitando la conexion inalambrica mediante PBC antes que el usuario legitimo)

Ejemplo 2º (supuesto del que parto yo):

el usuario legitimo inicia la solicitud de conexion PBC a las 13 horas 35 minutos 42 segundos de un dia
el usuario ilegitimo inicia la solicitud de conexion PBC a las 13 horas 35 minutos 43 segundos de ese mismo dia
(aqui el atacante esta iniciando la conexion inalambrica mediante PBC despues que el usuario legitimo)

Y Ejemplo 3º (¿creemos en las coincidencias?):

el usuario legitimo inicia la solicitud de conexion PBC a las 13 horas 35 minutos 42 segundos de un dia
el usuario ilegitimo inicia la solicitud de conexion PBC a las 13 horas 35 minutos 42 segundos de ese mismo dia
(aqui tanto el atacante como el usuario legitimo coinciden en la base temporal para la conexion inalambrica mediante PBC o tambien habria que discriminar entre: horas, minutos, segundos, y milisegundos?

¿Entendeis lo que quiero decir?. hmm

Ultima edición por cjrs (21-01-2018 14:04:29)

Patcher · 21-01-2018 14:03:55

cjrs escribió:

¿al final quien conectaria primero mediante PBC: el usuario legitimo o el ilegitimo?.

El Ap solo va a atender una solicitud por lo que, el primero que se conecte al Ap, una vez que este incie el protocolo e inicie la ventana de tiempo de 120 Seg, será el que obtenga las credenciales, así de sencillo...

Creo que teneis información de suficiente calidad en este foro como para que saqueis vuestras propias conclusiones y ese creo que ha sido siempre la razón de ser de este foro. Este tipo de preguntas son fruto de la falta de esfuerzo por querer entender el funcionamiento de las cosas y no por que no se expliquen con claridad, pienso yo...

Ultima edición por Patcher (21-01-2018 14:14:16)

cjrs · 21-01-2018 14:14:37

Patcher escribió:

cjrs escribió:
¿al final quien conectaria primero mediante PBC: el usuario legitimo o el ilegitimo?.
El Ap solo va a atender una solicitud por lo que, el primero que se conecte al Ap, una vez que este incie el protocolo e inicie la ventana de tiempo de 120 Seg, será el que obtenga las credenciales, así de sencillo...

OK, entonces, el primero que inicia la solicitud PBC es el que conecta, por tanto no pueden haber dos solicitudes o mas al mismo tiempo ni podrian conectarse a la vez mas de un solicitante en ese ofrecimiento de servicio PBC anunciado por el router como si dijeramos como el PBC dura 120 segundos, el router no puede admitir tantas solicitudes de conexion PBC mientras duren esos 120 segundos.

Pues vale Patcher, ¿y que tal lo de implementar esto mismo del PBC en tu waircut, o es que ya lo tienes? smile

cjrs · 21-01-2018 14:25:19

Osea que resumiendo:

wpa_cli
while : ; do sudo wpa_cli wps_pbc any ; sleep 120 ; done &
dhclient wlan0

Que lo que hace es mandar en bucle peticiones de conexión PBC hacía todos los AP que se pueden alcanzar: es como pegar cañonazos a ver quien cae pam ; no estaria tan poco mal y ser un poco mas selectivo para darte la opcion cual red escoger para asociarse, no? roll

Koala · 21-01-2018 14:36:29

Patcher escribió:

Este tipo de preguntas son fruto de la falta de esfuerzo por querer entender el funcionamiento de las cosas y no por que no se expliquen con claridad, pienso yo...

No puedo décir mejor.. smile

Que lo que hace es mandar en bucle peticiones de conexión PBC hacía todos los AP que se pueden alcanzar: es como pegar cañonazos a ver quien cae pam; no estaria tan poco mal y ser un poco mas selectivo para darte la opcion cual red escoger para asociarse, no?

Y eso que es ?

wpacli = Thread.new do
  while true
    system "xterm -e wpa_cli wps_pbc #{$apmac}"   # On lance wpa_cli et wps_pbc en tant que thread
    sleep(120)
  end
end

El commando

wpa_cli
while : ; do sudo wpa_cli wps_pbc any ; sleep 120 ; done &
dhclient wlan0

Estaba para hacer una demonstracion .. hay que saber hacer la diférencia entre una demonstracion y adaptar a el codigo final.

Betis-Jesus · 21-01-2018 15:56:04

ahora o Day cuenta de esta vulneralidades WPS PBC o bien se sabia pero nadie ha llevado a la practica. en mi punto de vista no creo que se pueda sacar muchos partido de WPS PBC teniendo en cuenta que casi nadie usar esa opción de conecta usando el botón WPS PBC de router.

muchos cliente no saber ni para que sirve ese botoncito negro.

gran artículos como siempre kc felicidades por todos el curro que te pega en deleteano en leer esto artículos bien redactado y bien echo dar gusto leerte.

saludo

kyboyx · 20-10-2018 16:49:19

Es necesario tener modem viejos para efectuar el ataque? solo tengo un modem y es que usare para pruebas, tengo la tarjeta integrada wifi solamente. vere el los videos ahora.

gracias por tu respuesta,

javierbu · 20-10-2018 16:56:55

El router con openwrt viejo que se usa en la prueba de concepto no es necesario para usar hostbase.rb

Lo dice bien claro en el post de la prueba de concepto:

# Con el script de Koala basta con usar 2 tarjetas wifi, al menos una atheros y cualquier linux de escritorio.

Se uso un router con openwrt con el fin de que se entendiera mejor la prueba de concepto.

Si tienes dudas respecto a hostbase o a la prueba de concepto del ataque, exponlas en sus respectivos posts. Gracias.

m4yh3m · 11-01-2019 07:33:04

Llegue al foro buscando información sobre vulnerabilidades efectivas a la fecha y me encontré con esta bonita idea que publicaron uds.

Ahora viendo la posibilidad se me ocurre un método para implementarla.

Como es bien sabido, no existe seguridad que proteja contra el error humano, basado en eso, hoy en día son bien populares y efectivos los ataques Evil Twin, que por medio de un ataque de negación de servicio se bota a los clientes de un router y a la vez se monta un AP Fake para que la persona se conecte y ahi se le pide la clave WPA.

Pero ahí viene la cuestión, algunas personas están conectadas a alguna red y no saben ni la clave ya sea porque no tiene la habilidad tecnológica, o porque no se la sabe de memoria o simplemente no la tiene.

Seria interesante ver la posiblidad de crear un Script Evil Twin, pero en lugar de pedir la clave instruir al usuario a presionar el boton WPS PBC y claro al presionarlo, inmediatamente el atacante se conecta y los scripts cierran su función permitiendo al usuario volver a conectarse normalmente a su red.

Creo que seria una buena forma de efectuar dicho ataque.

Bueno me registre solo para comentarles esto. un saludo.

kcdtv · 11-01-2019 13:11:28

[email protected] al foro m4yh3m smile

Ahora viendo la posibilidad se me ocurre un método para implementarla.

Lo que describes es el mismísimo método de Koala wink .... Deberías leer esto: "Una historia de Rogue AP": El PDF de koala traducido al español

Seria interesante ver la posiblidad de crear un Script Evil Twin

Si lo que te interesa es "ver la posibilidad de crear un script" este tema te vendrá de perla: PoC hostbase.rb RogueAP con WPA2 capturando WPS pbc
Y, obviamente, mira el script de koala, hostbase
Lo tienes todo entre manos para hacer el script que querrás.
Si encuentras dificultades para redactar tu script o quieres sugestiones/consejos no dudes en abrir un tema en nuestro foro dedicado: Softwares libres para [email protected] » Scripts y programación

Tema	Respuestas	Vistas	Ultimo mensaje
Duda de que grafica comprar por sol666	0	17	Hoy 19:18:22 por sol666
Milhouse!!... "A ver si llega mi llamado" :v por n0nick	1	89	Ayer 12:22:23 por kcdtv
Pegado: Pegado:: Wireless Air Cut, auditoria del protocolo wps en Windows por Patcher [ 1 2 3 … 17 ]	414	130490	22-03-2019 11:02:23 por Patcher
Pegado: Pegado:: Base de datos WPSPIN (original) open source actualizada por kcdtv [ 1 2 3 4 5 ]	110	102862	21-03-2019 10:10:48 por Patcher
Configurar antena Ubiquiti loco M5 a proveedor megacable. por Pakalkin	2	148	21-03-2019 01:31:16 por javierbu

Foro Wifi-libre.com

Anuncio

#1 27-10-2016 00:48:49