Taller de Seguridad Wireless #5

Iniciado por ANTRAX, Abril 02, 2015, 07:21:25 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.


INTRODUCCIÓN

Es ampliamente conocido que el cifrado WEP es altamente vulnerable. Con el paso del tiempo, esta seguridad mejoró llegando a ser WPA y más tarde WPA2; esta última,  mucho más segura que las dos primeras mencionadas.

Si avanzamos más en la línea del tiempo, los routers y las formas de conectarnos a ellos han evolucionado a tal punto que apareció el WPS. El mismo, si bien no es un cifrado en sí, es un mecanismo de conexión más práctico y cómodo que nos evita estar recordando contraseñas que (tal vez) podamos olvidar.

A pesar de que una amplia mayoría  de usuarios tiene WPA o WPA2 en sus routers, hay muchos que poseen WPS activado.
WPS contempla 4 métodos distintos de intercambio de credenciales, pero solamente  2 son certificados, a saber:

-PBC (Push Button Connect). Este método consiste en presionar el botón tanto en el dispositivo inalámbrico como en el router. El enlace estará activo hasta que se establezca la conexión o por 2 minutos. Este botón puede ser físico o virtual.


-PIN. En este caso, el usuario debe introducir en la Pc el PIN ubicado en la parte inferior del router y con esto se realiza la conexión.


Como  mencionamos antes, son formas más fáciles de conectar un dispositivo a un router y -en la mayoría de los casos- se realiza mediante el intercambio de un PIN de 8 dígitos numérico, en donde el dispositivo le envía dicho PIN al router y si es correcto, lo deja pasar.

Este PIN viene escrito en la parte inferior del router, pero existen varias formas de averiguarlo. El objetivo de  este taller es -precisamente-  ver cómo podemos obtenerlo. Veremos también, que es mucho más fácil obtener este PIN que romper el Handshake de la WPA/WPA2.

Un punto  que es necesario destacar, es que el WPS solamente está disponible en redes con WPA/WPA2; y que no es un cifrado de seguridad sino una facilidad de instalación / configuración para los usuarios.




PREPARACIÓN DEL LABS

A efectos de este taller, hemos preparado un router con WPA2 y WPS activado.






EN BUSCA DE UN OBJETIVO...

Es oportuno recordar, que  este taller pueden seguirlo desde cualquier distro de Linux. En nuestro caso, usaremos Ubuntu.
Para scannear las redes -en busca de alguna con WPS- abriremos una consola y tipearemos lo siguiente:

sudo iw wlan0 scan | egrep 'WPS|BSS|SSID' -w

Explicamos -rápidamente- el comando:

sudo: Permiso de root (únicamente si estamos en Ubuntu, en caso de usar Kali, no es necesario).
iw: Es una herramienta que trae Linux incorporada para el scanneo de redes.
wlan0: Interface de red. En caso de no saber cómo se llama su interface, se debe instalar Aircrack de la siguiente forma: sudo apt-get install aircrack-ng en caso de estar en Kali, esto no hace falta. Una vez instalado, se escribe airmon-ng en la consola, instrucción que les dará el nombre de su interface.
scan: Es un parámetro de iw para scannear.
egrep 'WPS|BSS|SSID' -w : Sirve para que muestre solamente la información valiosa para nosotros, de lo contrario mostrará muchos datos no necesarios.

De este modo obtendremos el nombre de la red, la MAC del router o access point, y si tiene o no WPS activado.


Como podemos ver, aparecen 2 redes; ambas con WPS activado. Nos concentraremos en la segunda Underc0de Labs.

El dato que necesitamos recordar es la MAC, en este caso 00:0a:52:23:a6:f8




INSTALACIÓN DE REAVER

Reaver es una herramienta que lleva a cabo ataques de fuerza bruta contra el PIN de las redes protegidas con WPA y que posean WPS activado. Este PIN posee 8 dígitos y el octavo dígito es de control.

Dicha herramienta realiza fuerza bruta a la primera mitad del PIN y luego a la segunda mitad, provocando que todos los posibles valores del número PIN WPS puedan ser agotados en 11.000 intentos.

La velocidad del ataque está limitada por la velocidad a la que el AP puede procesar peticiones WPS. Algunos AP rápidos pueden probar 1 PIN por segundo, mientras que otros pueden probar 1 cada 10.

Para instalarlo, abrimos una consola y seguimos los siguientes pasos:

Código: bash
wget http://reaver-wps.googlecode.com/files/reaver-1.4.tar.gz


Esto descargará Reaver 1.4 que es actualmente la última versión disponible. Una vez descargado, entramos a la carpeta y lo instalamos con los siguientes comandos:

Código: bash
cd reaver-1.4/src
./configure
make
make install


Una vez realizadas estas acciones, tendremos Reaver instalado y listo para usar. Podemos ver los parámetros de Reaver escribiendo su nombre en la consola.





OBTENIENDO EL PIN

Una vez que ya tenemos nuestra PC preparada con la herramienta, procederemos a atacar. Para ello pondremos en modo monitor nuestra interface de red.

Código: bash
airmon-ng start wlan0


Ahora, nuestra consola nos habrá puesto nuestra interface en modo monitor. En nuestro caso, se llama mon0 y -posiblemente- la de ustedes también.

A continuación, daremos comienzo al ataque con el siguiente comando:

Código: bash
sudo reaver -i mon0 –b 00:0A:52:23:A6:F8 –vv


Repasemos -sucintamente- cada parte del comando:

sudo: Permiso de root, en caso de estar en Kali, esto no hace falta.
reaver: Iniciamos la herramienta Reaver.
-i: Interface, en este caso mon0, que es la que está en modo monitor.
-b: La MAC del router o AP que estamos atacando (obtenido en el scanneo de redes).
-vv: Parámetro de verbose para saber que pines está probando.


Ahora, es cuestión de tiempo y paciencia para que Reaver haga su trabajo de probar pines. Como hicimos referencia antes, la velocidad depende del router o AP al que atacamos.

Una vez que finalice, podremos observar un detalle como en la siguiente captura:


Como podemos ver, tenemos el PIN: 23365049 que coincidentemente es el mismo que tiene el router impreso en la parte de abajo:


Lo único que resta ahora, es conectarse a la red.




CONECTARSE A LA RED

Una vez obtenido el PIN, descargamos el programa JumpStart que sirve para conectarse a una red utilizando el PIN WPS que hemos capturado.


Dejamos la primera opción como muestra la imagen y clickeamos en siguiente:


Marcamos la última opción que permite  colocar un PIN para acceder al AP y colocamos el PIN capturado.


Comenzará a probar el PIN en las redes cercanas y, finalmente, se conectará.





OBTENIENDO LA CLAVE WPA/WPA2

Una vez conectados, damos click derecho en el nombre de la red a la que logramos acceder y seleccionamos propiedades:


Ahora vamos a la pestaña de seguridad, y marcamos la opción de mostrar caracteres:


A modo de conclusión: Como podrán apreciar, hemos obtenido la clave WPA2 sin necesidad de usar diccionarios ni fuerza bruta para romper el handshake mediante un proceso sencillo, pero no menos útil.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



Muy bueno Ántrax. Pero no hay que menospreciar al WEP dinámico: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos.
Scanned today; Hacked tomorrow.

Gracias por el aporte, está muy bien explicado.

Podrías aconsejarnos sobre que medidas tomar para protegernos ante estos ataques?

Gracias!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Gracias por el aporte, está muy bien explicado.

Podrías aconsejarnos sobre que medidas tomar para protegernos ante estos ataques?

Gracias!

Lo mejor es que configures tu red como WPA2 con una contraseña de más de 20 dígitos está bien, además desactivar el PSK y puedes hacer un filtrado por MAC, así controlas quien está dentro o fuera de la red.

Por último hay que ser un poco inteligente e intentar evitar caer en ataques como el evil twin.

Saludos.
RollthBuen hacker mejor No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Gracias por el aporte, está muy bien explicado.

Podrías aconsejarnos sobre que medidas tomar para protegernos ante estos ataques?

Gracias!

Lo mejor es que configures tu red como WPA2 con una contraseña de más de 20 dígitos está bien, además desactivar el PSK y puedes hacer un filtrado por MAC, así controlas quien está dentro o fuera de la red.

Por último hay que ser un poco inteligente e intentar evitar caer en ataques como el evil twin.

Saludos.
Hola buenas,
gracias por tu mensaje, podrías explicar como se desactiva el psk?

Gracias, saludos

Gracias por el aporte. Seria interesante saber si existe una manera de poder hacer un brute-force attack pero offline, asi podriamos evadir la nueva seguridad que bloquea el acceso via WPS depues de unos cuantos intentos fallidos

Muchas gracias por el aporta esta muy bien explicado. Llevo un tiempo practicando el pentesting de redes en especial Wifi y en este método me he encontrado con un problema que traen los nuevos routers y es el bloqueo cuando se fallan un numero X de pins.

Que método utilizas para burlarlos?

Saludos,

Junio 27, 2017, 02:19:02 PM #7 Ultima modificación: Junio 27, 2017, 05:15:19 PM por puntoCL
Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Por lo que eh investigado y por experiencia para el bloqueo te tengo esta solución

1° La clásica "cortar la luz"
2° En reaver existe un comando el "-d" que seria el delay entre pin por segundos, para que no se bloque son un pin por hora entonces una hora en segundos son 3600 segundos claro es lento pero que le vamos hacer.
3° Existe el famoso y meno querido ReVdK3 es un Unlockedwps para intentar desbloquear aquellos router con wps bloqueado o que se bloquean tras varios intentos.





Gracias @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta voy a investigar los puntos que me has dicho a ver si consigo sacar buenos resultado con alguno :)

Buenas!

He estado trasteando todas las soluciones que me diste pero no he conseguido resultados positivos. He probado tanto el linset fluxion como ReVdK3. La solución que me propusiste para reaver no me parece eficiente ya que hay que poner un delay demasiado alto y estoy buscando algo mas eficiente.

He estado probando las técnicas de Ddos FLOOD AP ATTACK y EAPOL START FLOOD pero el problema que tengo es que en todos los tutos que he encontrado utilizan multiples "interfaces" en modo monitor para realizar el ataque y yo estoy utilizando kali 2.0 y no lo he conseguido hacer he leido por ahi que al añadir el wlan0mon caparon esa posibilidad me lo podéis confirmar si es así?

También he intentado conectar 2 antenas wifi en el dispositivo kali2.0 pero no he conseguido tampoco levantar 2 interficies.

Alguien le han surgido estos problemas o sabe como solucionarlo ? cualquier pista o camino a seguir me sería de gran ayuda :)

Saludos,

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Buenas!

He estado trasteando todas las soluciones que me diste pero no he conseguido resultados positivos. He probado tanto el linset fluxion como ReVdK3. La solución que me propusiste para reaver no me parece eficiente ya que hay que poner un delay demasiado alto y estoy buscando algo mas eficiente.

He estado probando las técnicas de Ddos FLOOD AP ATTACK y EAPOL START FLOOD pero el problema que tengo es que en todos los tutos que he encontrado utilizan multiples "interfaces" en modo monitor para realizar el ataque y yo estoy utilizando kali 2.0 y no lo he conseguido hacer he leido por ahi que al añadir el wlan0mon caparon esa posibilidad me lo podéis confirmar si es así?

También he intentado conectar 2 antenas wifi en el dispositivo kali2.0 pero no he conseguido tampoco levantar 2 interficies.

Alguien le han surgido estos problemas o sabe como solucionarlo ? cualquier pista o camino a seguir me sería de gran ayuda :)

Saludos,

Para hacer cualquier tipo de pregunta tenemos el Subforo "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta", te advierto que deberías de abrir allí un post para que puedan ayudarte.

A primeras te puedo decir, que lo que intentas es desautenticar a la víctima y crear un fake AP. No tienes permitido ver los links. Registrarse o Entrar a mi cuenta donde se realiza con la herramienta Fluxion.

Por otro lado, si utilizas 2 tarjetas WiFi para realizar tus auditorias antes debes saber que cada una de ella debe ser válida para realizar auditorias (puedes buscar información).

Un saludo

Fantastico, muy bien esplicado e interesante.

Excelente explicación, sobretodo creo que el trabajo es sencillo, sin tener que complicarse con otros diccionarios y demás.

Gracias

buenas, antes que nada gracias por el aporte, pero después de varios intentos con el ping, me salta este warning: Detected AP rate limiting, waiting 60 seconds before re-checking.
He leído en algunos sitios que se soluciona añadiendo -d 60, pero no me ha servido para nada. Alguna solución?   :(

Proba poniendole un numero mayor a 60

Saludos,
ANTRAX


Este metodo aun funciona?, en algun lugar lei que los PSK actualmente pueden ser de 63 caracteres me imagino que con eso ya es imposible realizar este ataque aunque aun asi yo creo que hay routers que todavia traen 8 digitos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Este metodo aun funciona?, en algun lugar lei que los PSK actualmente pueden ser de 63 caracteres me imagino que con eso ya es imposible realizar este ataque aunque aun asi yo creo que hay routers que todavia traen 8 digitos

Hola,

si, claro que aún funciona!

Saludos,
ANTRAX


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Este metodo aun funciona?, en algun lugar lei que los PSK actualmente pueden ser de 63 caracteres me imagino que con eso ya es imposible realizar este ataque aunque aun asi yo creo que hay routers que todavia traen 8 digitos
PSK y pin no es lo mismo, el pin es unicamente de 8 digitos numericos y ya que se divide en dos partes son hasta 100000 pins posibles, solo es de probar todos esos pines, con un poco de suerte se puede llegar a el sin probar tantos.
"Todos tenemos luz y oscuridad en nuestro interior, lo que importa es qué parte elegimos para actuar, esa es quien somos en realidad"

Excelente trabajo! me leí y practiqué todos los talleres y he aprendido mucho!

Muchas Gracias!

Existe alguna apps que haga lo mismo que Jumpstart? :)
Es irrevocable el paso de átomos a bits.