[SOLUCIONADO] Problema con un script de asociación con aireplay-ng

Hola a todos. Estoy probando un ataque contra wps en mi red wifi utilizando una repo de reaver que tiene una función para cambiar de mac en cada intento de pin y estoy teniendo problemas que no soy capaz de resolver así que aquí estoy otra vez

La repo es esta:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Siguiendo las instrucciones del readme estoy usando un script de asociación con aireplay para asociarme a la red en bucle con diferentes macs.

El script es este:

aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:ZF  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:ZE  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:ZD  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:ZC  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:ZB  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:ZA  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:Z9  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:Z8  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:Z7  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:Z6  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:Z5  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:Z4  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:Z3  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:Z2  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:Z1  &
aireplay-ng mon0 -1 120 -a AA:BB:CC:DD:EE:FF --ignore-negative-one -h ZZ:ZZ:ZZ:ZZ:ZZ:Z0  &

Y como se indica en el github pongo mi mac sin el último digito en el argumento -h para spoofearla en cada asociación.

Y para probar este método primero ejecuto el script:

sudo sh associate.sh

Y después ejecuto reaver de la siguiente manera:

reaver -i mon0 -b AA:BB:CC:DD:EE:FF --mac-changer --no-nacks --win7 --no-associate -vv

Y llegados a este punto me surgen varios problemas:

El primer problema es que cuando ejecuto el script de asociación me salta este error:

Citar"the interface mac (mi mac original) doesn't match the specified mac (-h) ifconfig mon0 ether (mac spoofeada)".

Sé que significa que la mac de mi adaptador wifi (mon0) no coincide con la especificada con el argumento -h en aireplay pero no entiendo porque no se spoofea directamente. Logro asociarme porque mi verdadera mac acaba en 5 y tengo una linea acabada en ese número en mi script de asociación pero me estoy asociando utilizando una sola mac y sin spoofearla

Reaver parece no tener problemas para cambiar la mac y cada vez que prueba un pin cambia de mac sin problemas pero el wps de mi router se bloquea y pienso que es porque la asociación esta hecha todo el rato con la misma mac y que además es mi mac real por lo tanto no estoy seguro de estar engañando al router con el mac spoofing

El segundo problema es que a pesar de asociarme correctamente utilizando mi mac real mi red cambia de canal cuando detecta varios intentos fallidos de wps y aireplay es incapaz de encontrar el nuevo canal y se para dejando de funcionar.

Para poder asociarme de nuevo tengo que indicarle a mi adaptador wifi cual es el nuevo canal de la siguiente manera:

sudo start mon0 11

¿Por qué aireplay no es capaz de detectar el cambio de canal? ¿Y por qué tengo indicarle al adaptador wifi el nuevo canal cada vez que el canal cambia? ¿Hay alguna forma de automatizar esto para buscar los canales automáticamente como hace reaver?

Si realizo la asociación con reaver en vez de aireplay si que suele encontrar el nuevo canal aunque a veces también lo pierde y no es capaz de encontrarlo así que no me fío mucho de su estabilidad aunque por lo menos intenta buscar el nuevo canal...

Disculpadme si hago muchas preguntas pero he estado buscando info sobre esto y no soy capaz de encontrar una respuesta.

Gracias de antemano.

Saludos.

Bueno, le comento no con la intensión de responder cada una de sus interrogantes que son múltiples y un tanto complejas en certezas de origen.

Pero sí deseo dejarle mi experiencia con la sencillez que amerita para no complicarnos.

Primero hablemos del ataque por WPS con Reaver y lo que existen en los Routers, tanto modernos, como no tan modernos, a modo de protección.

Este ataque es ya relativamente antiguo y por ende son muchos los Routers que lo bloquean a determinado número de intentos de asociación. Incluso a veces cuando uno va a mitad del ataque, el propio Router desactiva el WPS sin que intervenga el propietario y está como unas 48 horas con él desactivado. Esto lo he presenciado. Después lo vuelve activar y se puede continuar (si se ha guardado sesión)

Reaver tiene varias versiones. Siempre asegúrese de estar usando la última. Y no le recomiendo ese combo de Reaver y el cambio de mac. Son pocos los Router que ceden a eso sin generar conflictos.

Reaver su última versión, o Reaver con intentos de unlock si hay resistencia.

Si el Router es de última generación, ni le permitirá la asociación primera en promiscuidad.

Mi recomendación y razón por la que le comento:

Simpleza y sencillez con los ataques por WPS.

Y gran parte de lo que le sucede, en mi impresión, es que el Router le rechaza, por la intensidad de promiscuidad en asociación. Esto le reitero, depende mucho del modelo. Pudiera tener otro problema dado por el sistema o el script. Por ello me ahorro siempre el desasosiego y uso distro para pentesting wireless como wifislax, que me cubrirían ese aspecto.

Hola. Gracias por tu respuesta. Primero de todo decir que no estoy usando esa repo, la puse como ejemplo porque estoy usando el script de asociación que recomiendan ahí, pero en realidad uso esta repo adaptada con macchanger y reaver 1.6.6:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Sé que este ataque es ya relativamente antiguo y por eso para realizar auditorías primero pruebo que sea posible la asociación y luego intento probar al menos 1 pin. En el caso de mi red puedo asociarme y probar 1 pin así que por eso estoy probando esto, y después de varias pruebas he comprobado que tras 3 intentos fallidos el router bloquea el WPS durante 10 minutos.

Si sigo probando pines el WPS se bloquea otra vez durante 10 minutos y este tiempo no aumenta a pesar de ser el segundo bloqueo como suele pasar con otros routers. Y por eso estoy intentado spoofear la mac en cada asociación e intento de pin, para comprobar si el WPS se bloquea por 3 intentos seguidos con la misma mac o simplemente se bloquea por 3 intentos seguidos independientemente de la mac que realiza la petición.

Se me ocurre algo más sencillo mientras escribo esto y que todavía no he probado y es, utilizar macchanger para cambiar la mac de mi adaptador wifi, asociarme con esa mac spoofeada y utilizar reaver probando 1 solo pin con esa mac. Después volver a repetir este proceso durante más de 3 veces con un delay de 60 segundos (o incluso más) entre pin y pin para dejarle un margen de tiempo considerable al router y así comprobar si el mac spoofing sirve o no contra mi router.

También he visto que para volver a activar el WPS bloqueado se utiliza mdk3/4 para tumbar el router o desasociar continuamente a todos los clientes conseguir un reinicio manual por parte del propieterio. Yo he probado a reiniciar mi router con WPS bloqueado y efectivamente se desbloquea el WPS pero no he conseguido tumbarlo aunque si desacociar todos los clientes con mdk3/4. Esto lo digo simplemente por curiosidad (por si alguien lee esto y le sirve como referencia)

Tras leer tu respuesta me doy cuenta de que tienes razón y que mi problema puede deberse a diversos factores pero me gustaría saber si con el script de asociación que he dejado antes aireplay debería técnicamente cambiar (o enviar) la mac spoofeada que le he indicado. Es decir, ¿usando el argumento -h en aireplay para indicar mi mac es posible spoofearla?

Según el autor de la repo que indiqué en el post principal sí, pero el error que se me indica dice lo contrario

Por cierto estoy usando Parrot 4.11.3.

Gracias de nuevo por tu tiempo 

PD: Me a servido mucho un post de este mismo foro y lo dejo por aquí por si a alguien le resulta útil:
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cambiar la Mac cada vez que envía un ping de manera manual... es inviable y tedioso. Qué tiempo le llevaría si el ping comienza con 5 o con 8? Al menos no tengo esa paciencia asiática.
Nunca he probado el script que pone porque ese truco de cambiar la mac cada vez que se prueba un ping (spoofear mac) automatizado, enseguida se parcheó en casi todos los routers modernos. Y es sencillo el detectar que en un lapso de tiempo breve se autentican clientes de manera encadenada; el Router cambia el canal, si detecta que es un cliente que no ha estado previamente asociado. Si se repite el ciclo, bloquea el WPS.

Como le mencioné y "en mi experiencia": simple y sencillo:

Reaver última versión;

si hay contrariedad de bloqueo: Reaver con intentos de unlock (aquí en el foro está pero no lo encuentro; en el wifislax está sencillito y funcional).

Si lo anterior no funciona; mi gato tiene por técnica: persuadir, insistir, hacerle entender, y obligar "pacientemente" a que el propietario, de buena voluntad haga lo correcto... y nos entregue la clave. Ya sea con un Evil Twin buen hecho y montado hacia sus dispositivos android.
Después, podrá seguir con su vida y olvidarse del suceso, con la garantía de que siempre lo protegeremos.

Lo de "tumbar" el router para que reinicie funciona pero... es muy agresivo. Si el propietario está asociado, y tiene nociones... levantaría una bandera de alarma. Lo usa el ataque con intentos de unlock.

Si desea aprender y experimentarse: Parrot, Kali Linux, lo convertirá en experto en cualquier sistema. Si desea centrarse en el objetivo: pentesting wireless, pues wifislax, o Ubuntu, que es mucho más sencillo y le despejará el panorama de problemas relacionado con el sistema y las dependencias.

Conozco el método Evil Twin y otros como los ataques de fuerza bruta y diccionarios contra el handshake pero estoy cabezón con el WPS así que voy a seguir intentandolo teniendo en cuenta tus recomendaciones y siguiendo las técnicas de tu gato

Gracias de nuevo por tu respuesta y también por tu paciencia. Tomaré nota de tus consejos y pensaré en las alternativas