Foro Wifi-libre.com

Excelente post. Hacía muchisima falta un tema para novatos y así resolver todas esas dudas.
Agradecido.

Gracias por los comentarios
Acabo de plegar y no tendré tiempo para hacer el segundo capitulo hoy...
Se siente, mañana será otro día (como siempre )

Muchas gracias por este post, conocía el mundillo del WPS pero la verdad es que tenía muchos huecos y los he rellenado muy bien con esto ¿Pero no empiezan ya a venir los routers con el WPS deshabilitado por defecto, precisamente por esto? O me estoy columpiando...

Guía completa y actualizada (incluye brecha "pixie dust"):
  ¡Crack WPS con Reaver para tod@s!

  Es hora de poner en practica lo visto en el primer post y de auditar un punto de acceso nuestro.
Vamos a ver como explotar de forma óptima la herramienta reaver 1.5.2 con una distribución GNU-Linux (usaré de mi lado Kali rolling 2016.2)
Cada paso y comando serán explicados para que cualquiera pueda ejecutarlos y entender lo qué hace.
De esto se trata.
   

Segunda parte:
¡Acción!

Crack WPS con  reaver (y pixiewps) bajo Linux

Montar el escenario de prueba

1) Si usas una distribución GNU-Linux:
  ¡Bien hecho!
  Debes instalar
      - aircrack-ng: Instalar aircrack-ng en un linux recién instalado
      - reaver 1.5.2: Reaver modificado para Pixie Dust
      - pixiewps: Pixiewps de wiire : la herramienta para el novedoso ataque Pixie Dust.   
  Y estás listo.

2) Si usas Windows
Necesitas una llave USB de 4GB (o más, o un DvD).
La usarás para montar el Sistema Operativo Kali LInux que lleva de serie todo lo necesario para una sesión de "hacking WPS".
Ahorra borras windows...  ¡Es broma! 
.Tendrás así un media "live" para usar Kali Linux desde tu stick (sin riesgos para tu disco duro/tu windows )
Descargar la imagen ISO de Kali Linux desde Kali download
Podéis elegir entre varios tipos de entornos gráficos, por defecto es GNOME (primera opción de descarga "Kali 64")
Una vez la imagen ISO (pesa por los 2GB) descargada seguimos las indicaciones que nos dan desde el sitio de Kali Linux (offensive security) y añado unas cuentas

Debéis entrar en la BIOS cuando se reinicia la computadora (generalmente con <F2>, <Del> ...) para
- Desactivar el "safe boot" o "secure boot" (puede impedir el arranque de Kali Linux)
- Poner primero el USB en el ordén de arranque (así vuestro ordenador no usará el disco duro con Windows sino el stick USB con Kali) 
Vais a caer en el menú GRUB de kali y debéis elegir la primera entrada "Live amd64"
Si se les pide una contraseña es toor (usuario "root")

Puesta en modo monitor

  Abrir una consola: Clic arriba a la izquierda en Applications > Accesories > Terminal
   * Si usas una distribución GNU Linux otra que Kali sabes de sobra  cómo hacerlo en tu entrono favorito
Teclear en la consola

airmon-ng

   * Si usas una distibución GNU LInux desde una cuenta de usuario "corriente" debes pedir derechos de administrador para todas las ordenes que se usan en esta guía. Puedes usar sudo antes de cada ordenes
  Miramos la salida de airmon-ng

Airmon-ng es la utilidad de la suite aircrack-ng que se usa para habilitar el modo monitor y la inyección de paquetes.
Dos requeridos para el uso de reaver.
  Su salida se divide en cuatro columnas:

• Columna PHY: interfaz "física", no usaremos este identificador

• Columna Interface: Las interfaces reconocidas por le sistema. Tengo dos:
     - wlan0: Es la tarjeta wifi interna
     - wlan1: Es un dispositivo wifi USB, una Alfa network AWUS036H, muy recomendable para el hacking wifi.
  Es este identificador que nos interesa, mirra cómo se llama la interfaz que quieres usar.
  * Si usas otra distribución que Kali Linux es muy posible que los nombres de las inetrfaces no sean de tipo wlanX. No importa. Usarás el nombre que te sale

• Columna Driver: Es importante que salga el driver. De lo contrario es probable que tu dispositivo no pasará correctamente en modo monitor

• Columna Chipset: Pues esto... El chipset wifi de la interfaz.

Advertencia: Si no te sale ninguna interfaz es probable que tu chipset wifi no sea compatible. En este caso te invito a abrir un tema a parte para que busquemos una solución juntos
  Voy a habilitar el modo monitor en mi interfaz wlan1 (el adpatador USB), poner en lugar de wlan1 el nombre de vuestra interfz tal y cuál sale en el comando anterior.

airmon-ng start wlan1

  La interfaz wlan1 en modo managaed se llama ahora wlan1mon y está en modo monitor.
A partir de ahora usaré wlan1mon
Para conocer un comando más, puedes verificar si arimon-ng ha bien hecho su trabajo con iwconfig

Puedo verificar que mi interfaz wlan1mon está en modo monitor. Puedo pasar a la fase siguiente:

Escaneo WPS con Wash

  Wash está una utilidad para escaneo integrada a reaver.
Es muy rápido y su salida está simplificada para el crack WPS.
Se basa en la lectura de los paquetes PROBES emitidos por los Puntos de Acsesos.
  Para ejecutar wash lo único que tenemos que hacer es indicar nuestra interfaz en modo monitor (opción -i)
  Para mi será

wash -i wlan1mon

Cuando vemos nuestro router parramos el escaneo con <Ctrl> + <C>

1. Columna BSSID: La dirección mac del Punto de acceso. Copiamos la dirección de nuestro router para utilizarla con reaver, evitarás errores.

2. Columna Ch: El canal wifi empleado por el router. Nos acordamos del numero, es mejor usar reaver indicando un canal para evitar búsquedas en todos los canales si no ve el objetivo a la primera. 

3. Columna dBm: El nivel de la señal expresado en decibelios. 0 sería perfecto y con -100 dBm ya no se pilla la señal.
   A la cuestión "¿Qué nivel de señal necesita reaver para funcionar?" La respuesta es... chachan... Depende Y de muchos factores. Haciendo la prueba en tu casa cerca de tu PA no tendrás problemas de señal. En la captura de pantalla los PA que salen tienen niveles de señales entre -40 y -70. Estos niveles son suficientes para pretender realizar ataques WPS efectivos.

4. Columna WPS: La versión del WPS. Existen dos versiones: WPS 1.0 y el WPS 2.0. La versión 2.0 tiene bastante años pero muy pocos fabricantes la han adoptada. Pocos WPS 2.0 te vas encontrar. Reaver es de todo modo capaz de auditar las dos versiones.

5. Columna lck: Lock. Vamos a hablar de ello enseguida. En dos palabras, antes de meterse con este tema:
   El WPS tiene unos cuantos "parámetros obligatorios" que se anuncian. Uno de estos parámetros es el "estado del AP". Puede tener un valor  2 (abierto) o 1(cerrado). Cuando el WPS está cerrado sale un "Yes" en wash y no podremos atacar el router (porque el WPS está... cerrado )   

6. Columna ESSID: El nombre de la red

Elaborar la buena estrategia

  ¡Cuidado con el bloqueo del WPS!

  Es hora de decir unas palabras sobre el bloqueo del WPS.
Los de la wifi alliance sabían que no era optimó cómo "contraseña fuerte" un PIN de 8 cifras.
Implementaron una contra medida de seguridad y recomendaron su uso en le especificación del protocolo; pero no la pusieron por defecto.
Es un mecanismo simple con dos parámetros a definir:
  - El numero de PIN erróneos autorizados   
  - El tiempo de bloqueo del protocolo WPS
No hay reglas. Se puede programar un bloqueo "infinito" después un intento fallido como se puede hacer un bloqueo de 10 minutos después 10 intentos (no eficaz y visto varias veces:D )
Por le pasado no eran muchos los dispositivos que tenían la contra-medida activada. 
Hoy en día es más bien lo contrario: La mayoría de los PA que salen con el WPS activado por defecto tienen también.
  Obliga un atacante a ir con más cautela ya que el bloqueo puede ser muy largo. Hay pocos intentos, hay que optimizarlos.   
 

Lo primero a probar: ¡Ataque pixie dust!

  Hemos visto en el primer tema que si el objetivo era vulnerable se podía sacar el PIN con un solo intento, aunque mandamos un PIN erróneos.
Reaver 1.5.2 fue creado justamente para permitir el ataque pixie dust.
Tiene una opción nueva, -K 1, que automatiza todo el ataque.
  La vamos a usar de inmediato contra mi PA

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -Z  -vvv

• -i waln1mon > La interfaz en modo monitor

• -b 00:C0:CA:78:B1:37 > Dirección mac wifi (bSSID) del objetivo (que hemos copiado despuès el escaneo y que solo tenemos que pegar)

• -c 9 > El canal del ojetivo

• -K 1 > Opción para ataque pixiedust, reaver usa automáticamente pixiewps para generar el PIN y atacar el PA con este PIN para obtener la lave

• -Z > Opción para parrar reaver cuando ha encontrado el PIN con pixiewps. Reaver no atacará automáticamente el PA con el PIN (limitamos -K1). Prefiero hacer lo con otra linea de orden que la empleada automáticamente

• -vvv > El nivel de salida máximo para tener un máximo de información

  El resultado:

Me dice de esperar un momento... Es lo que hago y mientras explico todo.
Podéis ver que reaver recoge las cadenas empleadas para el ataque pixie dust.
Hemos recogido la PKE, la PKR, las dos E-Hash y la llave de autenticación.
Nos basta para hacer el ataque pixiedust con pixiewps que se inicia automáticamente
Podéis ver en violeta el chipset WiFi. 
Un ataque pixiedust: - Es inmediato contra los chipset Ralink y es infalible. .
                               - Es inmediato contra los chipsets broadcom pero muy pocos chipsets broadcom son vulnerables.
                               - Contra un chipset realtek (es mi caso) puede tomar un poco más de tiempo debido a un burteforce suplementario sobre la fecha que se emplea como "llave secreta"   
  Se advierte que podría tomar hasta treinta minutos pero en la realidad serán unos 10 minutos cómo mucho, y a veces instantáneo. 
  Unos minutos después cae la sentencia...

  Con el ataque pixie dust el resultado es seguro al 100% y podemos usar este PIN sin medio con la opción -p

sudo reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -p 07760891 -n -vv 

Los argumentos nuevos empleados:

• -p 07760891: Reaver probará este PIN (el encontrado por pixiewps)

• -n: hace falta en algunos PA y no induce errores cuando no hace falta. El mismísimo craig heffner(creador reaver) la recomienda.

• -vv: Nivel de salida dos. No vamos a ver la cadenas empleadas en un ataque pixie dust, nos focalizamos en los mensajes M

Nos queda por ver qué hacer si pixiewps no ha encontrado el PIN.
¡Hasta mañana!

• Clic aquí para ir directamente a la tercera y ultima parte de este manual

Gracias por esfuerzos y tu tiempo, kcdtv, nos sorprendes con tus posts, como siempre son los mejores.

Esperamos con ansias la tercera parte, ya que en router similares me salieron dos opciones diferentes.

La primera dice que no encontro el PIN, pero me da toda la información necesaria.
La segunda con los mismos parametros, crea un tipo de bucle que empieza a probar PIN por PIN (aunque el PIN que prueba siempre e el mismo) 12345670

Saludos, excelente post.

Guía completa y actualizada (incluye brecha "pixie dust"):
  ¡Crack WPS con Reaver para tod@s!

Tercera parte

Fin de los ejercicios prácticos y conclusión

  No se ha dado  respuesta a la pregunta "¿Qué hacer si el ataque con pixie wps no ha dado resultado?
Para que quedé claro: Cuando atacamos un PA con Reaver y Pixiewps (opción -K 1 qué acabamos de emplear), si el ataque pixie dust fracasa, reaver se parra con el mensaje

[-] WPS pin not found!

Esto pasa con los chipset wifi Atheros y la gran mayoría de los chipsets wifi Broadcom (pocos modelos son vulnerables al modo 2 para chipset broadcom)

Algoritmos y PIN genéricos conocidos

Recuerdo que debemos considerar cómo muy probable un bloqueo del WPS después unos cuantos intentos (el uso de la contra medida se ha generalizado con el apso de los años)
Un atacante debe usar sabiamente sus intentos.
Si la brecha pixiewps no ha sido explotable debemos buscar si hay una vulnerabilidad WPS especifica para este modelo.
Existen muchos scripts, algunos más acertados que otros, que hacen está búsqueda con una base de datos internas.
Esto dicho, nada mejor que un humano y su cerebro.
Lo que hacen estos scripts es buscar coincidencias de bSSID. 
   Es un error.
Un búsqueda optima de vulnerabilidad se hace primero considerando el modelo.
Un inicio de bSSID solo permite identificar el fabricante, no el modelo.
  Lo primero a hacer es una búsqueda sobre le modelo (en google o aquí mismo)
  Echamos un ojo a mi intento fallido para tomar un ejemplo concreto.
En lugar de mirar el mensaje de falló pixie wps veamos un poco antes la información que ha ido saliendo con el ataque pixie dust:

Los PROBES pueden llevar mucha información...
¡Tenemos hasta el número de serie!
Es una livebox, hay información aquí mismo: Algoritmo WPS livebox 2.1 y 2.2 (orange / arcadyan)
  Resumiendo:  No se conoce el algoritmo y no hay PINes genéricos. Deberemos emplear el método brute force contra las livebox, y será algo largo porque el dispositivo se bloquea cada diez minutos cada diez intentos.

  Antes de hacer el brute force tomemos otro ejemplo.
Saco un routeur de telefónica que no uso  con sus parámetros por defecto:

Lo primero que haría y que voy a hacer es consultar nuestra base de datos: Base de datos WPSPIN (original) open source actualizada
Con <CTRL+F> abro la función "buscar" y pongo el inicio de BSSID de los objetivos:

Tengo a varios PIN genéricos posibles: 88478760, 77775078, 51340865, 21143892 y 16495265
Pruebo el primero con esta linea de ordenes:

sudo reaver -i wlan1mon -b 00:1A:2B:B0:23:90 -c 1 -p 88478760 -n -vv -g 1

Hemos visto todos los argumentos excepto -g 1. Con -g 1 Reaver se parra después haber comprobado el PIN.
No me ha salido con el primer PIN... ....Intento con el segundo.

Si el bSSID no hubiera salida en la base de datos, hubiera podido mirar por tipo de essid o bien por fabricante.
Truco útil para conocer el fabricante, usar una de las listas OUI que lleva Kali

 cat /var/lib/ieee-data/oui.txt | grep 001A2B

Esto era un ejemplo de PIN genérico...

...Ya hemos hablado en el primer post de los algoritmos.
Podréis encontrar en este foro información sobre los algoritmos conocidos: Estudio de algoritmos y recopilación de PIN genéricos
La realidad es esta en la paisaje wifi español.
El algoritmo que se ha empleado en masa es el algoritmo "Zao cheshung"
Los dispositivos que usan este algoritmo son al 99% vulnerables a la brecha pixiedust, con lo cual ya están descifrados con el primer ataque (pixiewps)
Podemos generar el PIN con algoritmo "zao cheshung" así (opción -W 3):

reaver -i wlan1mon -b 00:11:22:33:45:67 -c 1 -W 3

Se debe indicar el canal
Tenéis en el primer post una captura de pantalla con ataque utilizando el generador
¿Qué más?
Los routeurs personales de particulares, los que no están puesto en servicio por las operadoras.
  No hay miles de algoritmos conocidos
Con reaver podemos generar PIN para Belkin y D-Link ( opción -W 1 y -W 2)
Estos algoritmos tienen una buena lista de soporte. Vale la pena probar los si nuestro router es de uno de estos dos fabricantes.
Luego existen algoritmos conocidos que conciernen unos modelos muy precisos
  Ejemplo: Algoritmo PIN TEW-818DRU (ac1900) y TEW-828DRU (ac3200) de TRENDnet
Siempre vienen con un pequeño generador para demostrar la brecha, llamado código POC.

Ataque de fuerza bruta

  Cuando no hay otra es lo que queda...
Repito (tal un disco rallado) que hoy en día los routers vienen casi siempre con el bloqueo del WPS activado.
Si el bloqueo del WPS está configurado correctamente un ataque WPS de fuerza bruta no es factible.
Algun@s se preguntaran si es posible traspasar de un modo el bloqueo cuando se activa.
La respuesta es no.
Por lo menos no de una forma bastante eficaz para hacer el brute force WPS viable.
Así que con una sintaxis para ataque brute force

sudo reaver -i wlan1mon -b XX:XX:XX:XX:XX:XX -c XX

  Vais a llegar rápido a esto:

  Game over!
  Al no ser que el bloqueo sea cortó (diez minutos) el brute force será inviable.
En la captura de arriba veis más de diez lineas "WARNING: Detected AP rate limiting, waiting 60 seconds before re-checking"
Cómo reaver comprueba el estado cada minuto...  el bloqueo es de más de 10 minutos.
Digo diez minutos porque es una configuración que encontramos en unos routers Tecom de Vodafone y las Livebox y no es efectiva.
Son de los pocos a tener un bloqueo inefectivo: Se parran diez minutos cada diez intentos.
  Una media de un PIN cada 30 segundos: El tiempo máximo para efectuar el brute force es inferior a 4 días.
En la gran mayoría de los casos el tiempo de bloqueo es de varias horas...
   No lo he medido en mi router: No hace falta para darse cuenta de lo que hay.
  Se ha bloqueado después tres intentos y lleva una hora bloqueado.
Si se hubiera levantado el bloqueo ahora comprobaría en media un PIN cada 20 minutos (3 por horas)
  El brute force completo sería de más de 152 días.
   No me parece que podamos decir que es viable. No es "imposible". Pero así, a ciegas, pasar casi medio año para un PIN.... ¡Vaya rolló!
        ¡Y el bloqueo no se ha levantado aún!
  Cuando no hay bloqueo del WPS el ataque sigue pa' lante.

  Cada 5 PINES tenemos a una evaluación del tiempo máximo restante:

   Una vez que se encuentra la primera mitad empezamos a recibir mensajes M5 y queda solo 1000 PIN por comprobar

  Cuando recibimos un M7 en lugar de un NACK... ¡Bingo!

Epilogo

  La brecha WPS PIN ha cogido de sorpresa a todo el mundo.
Lo más lamentable es que su impacto ha sido mayor después que se conociera. 
Los AP con WPS habilitado han empezado a llegar en masa en los hogares a partir de este momento.
  Hoy en 2017, más de 5 años después la salida de reaver 1.1, los ISP en España siguen distribuyendo modelos con el WPS habilitado en modo PIN.
   ¿Para qué?   
  Jazztel siendo el único en haber deshabilitado sistemáticamente el WPS en modo PIN en todos sus modelos.
   Los ISP y fabricante se dan por satisfecho con habilitar el bloqueo del WPS.
   Otro error imperdonable: Dejan desprotegidos los usuarios cuyo Punto de Acceso es vulnerable a un ataque pixie dust ( o tiene un PIN genérico o se conoce el algoritmo de generación del PIN por defecto)
   En seguridad se debe aplicar el principio de precaución.
   Se debería lógicamente deshabilitar el WPS en modo PIN desde la salida de fabrica.
Sino... Es el trabajo del ISP: Entregar un router con una configuración por defecto segura.
   ¿Qué decir?   ¡Qué sigan así!
Así tendremos de que entretenernos durante las largas noches de ivierno buscando algoritmos o nuevos ataques como pixie dust...

Anoto la sugerencia; gracias.
Haré una actualización de este hilo en inicio del año nuevo porque wash y reaver han cambiado y también porque los ISP han ido "apagando" el WPS en modo PIN durante este año 2017.

Lo pondré y explicaré también como ganar 23 456€ al día comiendo helados en casa.

Hola Estuve leyendo todo tu articulo y realmente esta buenísimo, una pregunta, actualmente reaver sigue siendo una herramienta tan buena para vulnerar redes? o existe alguna con mejor? esto para kali linux.

saludos

Primero de todo un placer estar en esta comunidad.
Escribía porque este foro me ayudo bastante en mis conocimientos sobre el WPS pero encuentro una parte en la que no se porque no me deja hacer la parte de fuerza bruta
despues de no coger el PIN .

¿Que es lo que pasa? . Me gustaria seguir probando con la fuerza bruta pero no me da la opción , es un realtek WPS 2.0.

  -- > hasta ahi es donde me gustaria llegar.

Muchas gracias y un saludo a todos.

ante todo gracias por tu respuesta. ¿Podrías mostrarme como quedaría la línea? seria algo como....sudo reaver -i wlan0mon -b (bssid) -c(channel) -K 1 --force -Z -vvv...

Gracias por tu paciencia y amabilidad .