[SOLUCIONADO] imposible captura de handshake

Iniciado por DoSser, Mayo 14, 2022, 07:08:33 PM

Tema anterior - Siguiente tema

0 Miembros y 4 Visitantes están viendo este tema.

Mayo 14, 2022, 07:08:33 PM Ultima modificación: Mayo 28, 2022, 05:29:04 PM por AXCESS
Buenas tardes estimados,  recién hay nuevas redes cerca de mi apartamento y practicando un poco sobre el crackeo de las claves wpa2 me he encontrado con un router que no me deja sacarle el handsake. Parece que los ataques de deautenticación a los clientes para que se vuelvan a conectar no son eficaces. Además de que si dejas por mas de 10 min el ataque, el router cambia su canal.
El protocolo es wpa2 ccmp, el router es de la marca hitron terchnologies con mac 74:9B:E8.....
Tiene wps activo pero tampoco es vulnerable a fuerza bruta ni polvo de hadas..
ya intente obtener el pmkid y parece que tampoco es vulnerable de esta forma.
Algun vector de ataque que no sea evil twin?  por que tambien ocupa handshake..

Por otro lado, tengo la duda sobre si es posible obetener el WPS de un dispositivo si solo se conoce la contraseña.
Es decir, con los ataques wps se obtiene el pin y ademas la contraseña de la red. pero quiero hacer lo contrario.
el punto es que aun sabiendo la contraseña de la red, no puedo ingresar a la configuración del modem para ver que pin tiene configurado.  esto para saber la nueva contraseña en caso de que sea cambiada.
Alguna sugerencia?
Saludos!

No verifico el modelo del Router, pero por los detalles que refiere y sus pruebas, es moderno y soporta WPA3. Esto incluye todo un espectro de seguridad en el que el ataque por el handshake y para diccionario es inútil, así por el WPS. No le desanimaré con los detalles pues está en internet con las características del WPA3. Esto es sólido, y solo es vulnerable al ataque DragonBlood, y cuyos P0C que he visto dejan mucho que desear (ninguno me ha funcionado) y el original lo tiene su descubridor Mathy Vanhoef que no suelta...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En resumen: WPA3: nada que hacer (que sepa... y por ahora)

Un Evil Twin no le funcionaría pues el cliente tiene un ID de anclaje directo al AP. Le reitero: es sólida la seguridad.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No verifico el modelo del Router, pero por los detalles que refiere y sus pruebas, es moderno y soporta WPA3. Esto incluye todo un espectro de seguridad en el que el ataque por el handshake y para diccionario es inútil, así por el WPS. No le desanimaré con los detalles pues está en internet con las características del WPA3. Esto es sólido, y solo es vulnerable al ataque DragonBlood, y cuyos P0C que he visto dejan mucho que desear (ninguno me ha funcionado) y el original lo tiene su descubridor Mathy Vanhoef que no suelta...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En resumen: WPA3: nada que hacer (que sepa... y por ahora)

Un Evil Twin no le funcionaría pues el cliente tiene un ID de anclaje directo al AP. Le reitero: es sólida la seguridad.

Muchas Gracias Axcess  por otro lado, sobre el tema de descubrir el wps sabiendo la pass tendras alguna idea de si es posible hacerlo? saludos!

Si tiene el password y está asociado al Router, esto no significa que tenga la clave de acceso al Router; y debe tenerla para acceder a su panel y obtener el WPS. 

Existen trucos que básicamente consiste en expulsar a los clientes o bloquearle el acceso a internet, redireccionándolos hacia una falsa web de logueo del router para obtener su clave. Es un MITM .

Debe ser muy cuidadoso en escoger el tipo de MITM pues la seguridad está actualizada.  Y debe informarse sobre el registro del WPS en la generación del WPA3 que tiene sus peculiaridades.

Lo pueden pillar, asi que cuidado.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Reconsiderando...

No le recomiendo intentar nada.

La cuestión es que esos Routers tiene muy buenos firewalls actualizados que detectan redirecciones y manipulación de tráfico como lo es un MITM. Y por ende bloquean, registran, y avisan.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Reconsiderando...

No le recomiendo intentar nada.

La cuestión es que esos Routers tiene muy buenos firewalls actualizados que detectan redirecciones y manipulación de tráfico como lo es un MITM. Y por ende bloquean, registran, y avisan.
No es wpa3, el protocolo que usa es wpa2 ccmp psk, y  no me capturaba el handshake  de esta red no se por que.. creo que al final era un problema sobre como ponía en modo monitor a mi tarjeta externa, que trae un chip rt8881us creo. leí en algún foro sobre lo "quisquillosos" que son estas tarjetas tp link v2 -v3.
Lo que hice fue levantar modo monitor con iw config en lugar de ponerlo con airmon-ng start wlanX y ya me comenzó a capturar el handshake.. lo que no entiendo es por que en esta red en especifico.. Aun asi me tomo algo de tiempo capturar el handshake completo (capturaba 3 de 4).
Ahora, con respecto al modem: La compañia es Hitron technologies modelo HITRON CGNV2 segun la mac. (aunque tambien podria ser el modelo CODA) Buscando en internet algunas imagenes sobre la pass por defecto de estos modems parece que  la pass es su numero de serie o un pass de 8 caracteres en hexa con mayusculas.
Tengo dos vectores de ataque. si resulta que la pass es el numero de serie. puedo lanzarle un ataque wps pues he visto que algunas herramientas muestran el numero de serie del router. y la otra es hacerle fuerza bruta con longitud de 8 chars en hexa.
imagen del ataque
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Mayo 17, 2022, 10:45:25 PM #6 Ultima modificación: Mayo 17, 2022, 10:47:36 PM por AXCESS
Ya eso es otra historia Que lo refiere al principio con el tipo de cifrado que usa: CCMP, y es posible los ataques por fuerza bruta, diccionarios, etc., al handshake.

Si nota que el usuario no lo personalizó mucho puede, para su clave de acceso, crear un diccionario de 8 dígitos., si hay referencias de que esa es su clave por defecto. Esto es fácil. Y recuerde corroborar que el hadshake tiene sus cuatro paquetes.

Con el WPS, hay versiones de Routers WPA2 relativamente modernos que aunque esté activado, no admiten modo promiscuidad. Algunos con intentos de unlock sí, pero es lento, El punto es que si le permite la asociación con Reaver... por ahí se va. Si no se lo permite, el Router cambiará el canal, o bloqueará el WPS.

También está la claves por defecto del panel de control del Router: admin admin, etc. que incluso puede levantar la Hydra y correrle un diccionario con pass por defecto.

Todo esto es sí el propietario no personalizó...
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Ya eso es otra historia Que lo refiere al principio con el tipo de cifrado que usa: CCMP, y es posible los ataques por fuerza bruta, diccionarios, etc., al handshake.

Si nota que el usuario no lo personalizó mucho puede, para su clave de acceso, crear un diccionario de 8 dígitos., si hay referencias de que esa es su clave por defecto. Esto es fácil. Y recuerde corroborar que el hadshake tiene sus cuatro paquetes.

Con el WPS, hay versiones de Routers WPA2 relativamente modernos que aunque esté activado, no admiten modo promiscuidad. Algunos con intentos de unlock sí, pero es lento, El punto es que si le permite la asociación con Reaver... por ahí se va. Si no se lo permite, el Router cambiará el canal, o bloqueará el WPS.

También está la claves por defecto del panel de control del Router: admin admin, etc. que incluso puede levantar la Hydra y correrle un diccionario con pass por defecto.

Todo esto es sí el propietario no personalizó...

Por aca nadie personaliza nada, es bien raro encontrar  modems personalizados, creo a lo mas que llegan es a poner en hidden el nombre de la red pero sale con airodump, ahora, el ataque de fuerza bruta me va a tardar 15 dias en sacar la pass por defecto.. pero me va a ahorrar meses en renta de internet seguramente.
Saludos!

Y tiene noción del pass por defecto de esos router?
O sea es de 8 digitos o superior aleatorio?
Por qué tantos días?
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Y tiene noción del pass por defecto de esos router?
O sea es de 8 digitos o superior aleatorio?
Por qué tantos días?
Es de 11 digitos, los primeros 5 son numeros, luego viene una letra en mayuscula la dejare de A hasta F (si es un numero de serie no creo que vaya mas alla de F) y luego otros 5 numeros.
Tengo una 1050 y con ella el tiempo estimado en hacer todos los calculos es de 15 dias aprox.

5f01cc3aabdda4cce902bed41f2514af3caffe3fe637a77d6cca2606b645d7f3*6e6577777720323231303646:4FB001D3
Este es de un pass de 8 digitos en hexadecimal, pasarle todo el diccionario me tomaba 22 horas. por suerte salio en 7 horas aprox.

b99a2607855ff93b61e860af53e37c21558ba79912bb29b70980ee2a984f359e*5f454d49525f:12616367
Este es la pass de un router tp link, su pass por defecto siempre es la misma que su pin wps. por fuerza bruta me toma alrededor de 17 min en probar todas la combinaciones numericas de 8 digitos.

Las pass que se me complican son las de una compañia llamada "Infinitum" su pass por defecto son de 10 digitos y se componen por combinaciones de letras minusculas, mayusculas y numeros. Algo asi: 56a19f4b8e, Ve04zv7baH, qUN3upDCaM.. descifrar estas pass me tardaria mas de 10 años con el hardware que tengo :(

Ya para finalizar, les dejo unos hashes .22000 infinitum por si alguien quiere probar suerte, o tienen un hardware super potente ;) y desee ayudarme XD
la orden para hashcat quedaria algo asi: hashcat -a 3 -m 22000 hash.22000  -1 ?u?d?l ?1?1?1?1?1?1?1?1?1?1 -w 4 -d 1

Código: php

WPA*02*d8266061d137ecf098050a9166f016cb*10c3ab82aaa4*8a4f94de4e39*494e46494e4954554d324342545f322e34*2eed98eb9c95be00d0f465fe66d18ee1b2e740ad8a766c7b5a55d83a8cac6d0e*0103007502010a0000000000000000001b771997d30a7c09ff6526acc0641dd98af25cba6ae0d9726c12c6158686e11fb1000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001630140100000fac040100000fac040100000fac028000*02
WPA*02*114a52ed6382a11ad3c02fbd265506e0*e00ee4542878*f84fade54aca*494e46494e4954554d384544305f322e34*9067375bcd06d88c4414353f24995fbade0775a0ac7277998e573c61bad88532*0103007502010a000000000000000000019b08e28b68f67a38f5a46618710ac7e9d9f5122ccb7aa0621e6e0887b7ef45d8000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001630140100000fac040100000fac040100000fac02000c*c2
WPA*02*1dd77a03b972c3911b7eafece4625dce*a4ba76a0397c*34afb37153a6*4d41434f4e444f*f3497a4c39a24a331b730fe0533588055bfb425c465afe161b27b5eb3fe158c9*0103007502010a00000000000000000000aa193ddf30e6e1e7e2617f855f6cd734823f394b25c395b1a183fee242f256fd000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001630140100000fac020100000fac040100000fac020000*a2
WPA*02*7dbce16602a53db448f64afe4cb8f7e4*504edc56611c*9cbcf05597ae*43484f4d504f544f4e4553*b127c22e62e9b91e98d4ef19e7bea607d4efbd5b9b401412efc2d69bd849c8ab*0103007502010a0000000000000000000130d76ad2e51c9037dc156f9f248455c90c57f57337d2110ec9f0fe6d4b71e29c000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001630140100000fac020100000fac040100000fac020000*c2
WPA*02*a698caed7ce4aee2aed9e824cf048a55*58e87607fd91*309587e873c8*5357303746443930*da31ab00a0fdcfc77fcf76eb01ea7417c6657d7650df502a1507f89b656558f6*0103007502010a000000000000000000019242cc3a3cc0bf6e1c290efdd2a2785d6af8ba5f898bf54984e8af7c1d2d27b3000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001630140100000fac040100000fac040100000fac020000*02
WPA*02*293110fec3737422016e9893a7e0f9a7*58e87607fd91*309587e87d14*5357303746443930*e248fb2a6f70162e30fc8153c726c8bab23706ce6bc30b409d578b3db26a49cf*0103007502010a00000000000000000002fc449ec014a7599cf8ec419f06b9d18693d7ba220954b8bfcd29dfd65b873f98000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001630140100000fac040100000fac040100000fac020000*02

Ya veo... es bastante pesado...

Pero bueno, sabe lo que hace y tiene su experiencia, que eso ayuda.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta