Полезные знания Взлом WPA/WPA2 PSK для исключения рисков использования sim карт и радио модулей gsm.

  • Автор темы ГоГи Я
  • Дата начала
ГоГи Я

ГоГи Я

*
Регистрация
12/8/18
Сообщения
105
Симпатии
1,005
Депозит
0.00 RUB
Автор темы #1
Данный раздел посвящен стандарту связи IEEE 802.11, а точнее анализу уязвимостей защиты беспроводной связи WPA/WPA2 PSK и всему что с этим связано.

Работа через чужие точки доступа исключает множество рисков, которые есть у GSM связи:

1. геолокация абонента с точностью до метра
2. история перемещения радиомодуля и/или сим карты за несколько лет с той же точностью что и в 1 пункте
3. логи звонков и смс
4. перечень "соседних" радиомодулей, которые по таймингам всегда в одной соте
5. при использовании VPN - IP адрес остается в логах провайдера
6. появляется цепочка платежей по которой можно пройти как от симки до кошелька так и от кошелька до симки.


все это можно устранить с помощью цепочки:

user - wifi ap - vpn1 - vpn2 - tor bridge/i2p - tor2/i2p - tor3/i2p - internet

без использования ключевых элементов обороны найти вас не особо сложно, а если вас еще не нашли не обольщайтесь, просто вы пока на х@й никому не нужны неуловимый джо!)))))))))


Рубрикатор:

1. Захват four-way-handshake
2. Если не получается "поймать" хендшейк.
3. Кранчим словари
4. Die Deutsche Cyber Wochenschau - взлом WPA/WPA2 PSK через уязвимость WPS - разбор реальной атаки.
5. Die Cyber Wochenschau 2 - взлом WEP - разбор реальной ezpz атаки.
 
ГоГи Я

ГоГи Я

*
Регистрация
12/8/18
Сообщения
105
Симпатии
1,005
Депозит
0.00 RUB
Автор темы #2
Захват four-way-handshake.

Один из способов взлома беспроводной точки доступа WPA/WPA2 PSK является офф-лайн атака по словарю захваченного four-way-handshake, или "рукопожатие". Что такое four-way-handshake - тема для отдельной статьи, для наших целей пока достаточно знать что это 4 пакета с данными, которыми обмениваются беспроводная точка доступа и клиент. Wireshark называет эти пакеты как 1/4 2/4 3/4 4/4 так что для удобства будем называть и так же.

Инструментарий:

1. Любой дистрибутив основанный на Debian.
2. Набор программ Aircrack-ng.
3. Анализатор трафика Wireshark.
4. Программа для маскировки MAC адреса macchanger
5. Адаптер поддерживающий функции Packet Ingjection и Handshake Capture (самый простой - TP-LINK TL-WN722N мощностью 100 mW) но подойдёт не каждый, Адаптеры должны быть на чипсетах Athreros AR9271 или Ralink RT2870/RT3070. Идеальные варианты TP-LINK TL-WN722N (только ревизия v1.0!) или ALFA AWUS036NH (только оригинальная тайваньская!). Тп-линки часто есть на авито - лохи не понимают насколько редкая первая ревизия и торгуют их всего за 200-300 рублей. Но продаются они быстро конечно же. Если нет линукса и/или подскажу где и как найти/настроить - без дополнительной платы. Альфу тоже сейчас проблематично найти, китайская версия нам тоже не подойдёт.......
Из последних и надёжных, которые сейчас доступны это BLUEWAY N9000, либо на алкаше заказываем либо тоже авито, там довольно много предложений с этим товаром.......
Так же сразу прикупите антенну, TP-LINK TL-ANT2408CL с коэффициентом усиления 8dBi (стоит рублей 400+-) в комплекте там идёт стоковая на 3 dBi.

Внешний вид "тренировочного" адаптера:
photo_2018-11-20_10-00-33.jpg

Если у вас desktop дистрибутив (Ubuntu, Mint, Debian, Parrot Home etc) то установить нужные пакеты можно командой:

Код:
sudo apt install aircrack-ng wireshark macchanger -y



Перевод адаптера в "боевой" режим monitor Mode.

Основной режим работы адаптера - station - используется для подключения к беспроводным точкам доступа и выхода в интернет. Однако, практически все современные адаптеры имеют и другой режим работы - monitor. В этом режиме адаптер может перехватывать все пакеты от всех точек доступа до которых от сможет "дотянуться", а так же проводить "инъекцию" пакетов - "впрыскивать" фальшивые пакеты в установленное соединение между беспроводной точкой доступа и клиентом. Первая задача юного хакера - научится переводить адаптер из "гражданского" режима в "боевой" и обратно.

Для начала необходимо узнать какое обозначение присвоено в системе "боевому" адаптеру. Для этого используется команда



Код:
ifconfig
photo_2018-11-20_10-07-54.jpg


На скриншоте два устройства имеют обозначение, начинающееся с английской W (Wireless) - они нам и нужны. На ноутбуках по умолчанию wlan0 это встроенный адаптер, wlan1 соответственно внешний.

Теперь можно переводить адаптер в "боевой" режим. Для этого используется команда



Код:
sudo airmon-ng start wlan1



Если все сделано без ошибок, то система ответит что для выбранного устройства отключен режим station и включен режим monitor:

photo_2018-11-20_10-12-19.jpg

Маскировка сетевого MAC адреса.

MAC адрес - псевдоуникальный шестибайтовый идентификатор сетевых устройств формата XX:XX:XX:XX:XX:XX. Что бы не светить "номера" своего адаптера перед атакой нужно их "замазать" - подменить с помощью программы macchanger.

На заметку: macchanger именно "маскирует" родной MAC адрес, а не изменяет его. Для взлома чужого роутера этого достаточно, так как в консоли будет отображаться поддельный адрес. Однако обмануть базовую станцию сотового оператора подделав MAC адрес смартфона или модема не удастся. Она все равно увидит "железный" MAC, а попытка "заспуфить" MAC может вызвать ненужные подозрения.

Обращаю внимание читателя на два важных момента:

1. адаптер в режиме station и в режиме monitor для системы два разных устройства. Так что маскировать нужно после перевода в "боевой" режим. Если замаскировать MAC в "гражданском" то после перевода в режим monitor у устройства будет настоящий заводской адрес.

2. Маскировать MAC адрес можно только на отключенном устройстве.

Для отключения используется все та же команда ifconfig



Код:
sudo ifconfig wlan1mon down


Погаснувший светодиод на адаптере признак того что все сделано правильно. Теперь можно маскировать MAC, для маскировки используется команда $ sudo macchanger -r wlan1mon:

Система ответить тремя строками - верхние две "родной" MAC адрес адаптера, а нижняя - замаскированный. Теперь осталось обратно включить устройство и можно приступать к боевым действиям

Код:
sudo ifconfig wlan1mon up



Поиск цели.

Для поиска
цели необходимо построить список всех точек доступа до которых
"дотянулся" наш адаптер (722-ой tp-link имеет мощность всего 100mW так
что выдающихся показателей от него ждать наивно, для сравнения AWUS036NH
от "альфы" имеет мощность 2000mW и "стреляет" на расстояние до 1 км)/
Для сканирования используется и построения списка точек доступа
используется другая программа из набора aircrack-ng - airodump-ng.



Код:
sudo airodump-ng wlan1mon



В результате получится примерно вот такая таблица (BSSID и ESSID закрыты купюрами по понятным причинам):
photo_2018-11-20_10-24-03.jpg


Дабы преждевременно не загружать читателя информацией расскажу лишь про те параметры, которые важны для захвата хэндшейка.

1. Beacons - Таблица разделена по горизонтали на две части - верхняя бОльшая часть это список точек доступа, которые в данный момент посылают "в эфир" так называемые "маячки" (beacons). Эти маячки используются для оповещения что точка включена и доступна. Каждая точка посылает примерно 10 таких маячков в секунду. Если маячки активно приростают то точка расположена относительно близко и ее можно "поработать". Если же маячки до нас долетают через раз или вовсе не долетают то тут уже без шансов (важно помнить что роутер может быть гораздо мощнее адаптера - так что маячки приниматься будут, а вот инъекция пакетов от адаптера в роутер "не долетит").
2. Stations or Clients - Помимо количества маячков следует обратить внимание на нижнюю часть таблицы. В ней отображаются пары "точка доступа (bssid) - клиент (station)", т.е. к эти точкам доступа в данный момент подключены какие-то устройства (ноутбуки, смартфоны) а значит была произведена успешная аутентификация этих устройств.
3. PWR - Мощность точки доступа. Чем меньше, тем устойчивее связь и меньше помех, проще поймать не "битый" хэндшейк.
4. Data - количество пакетов с данными. Активный прирост в данной колонке говорит о том что устройство не просто подключено но и активно обменивается данными с точкой доступа, а значит владелец устройства вероятнее всего в данный момент им пользуется.
5. СH - канал на котором работает роутер (от 1 до 14).


Если учесть все эти параметры то "портрет потенциальной жертвы" складывается следующий - для захвата хэндшейка нам нужна точка доступа в которой в данный момент успешно аутентифицирован и активно обменивается пакетами клиент (при нескольких вариантах выбираем точку с максимально мощным сигналом)

Атака деаутентификации.

Хендшейк можно захватить двумя способами. "Естественный" захватывается в тот момент когда к точке доступа подключается какой то клиент (например владелец вернулся с работы, его смартфон автоматически нашел точку и подключился к ней). Этот способ очень долгий и может занимать часы, но если у вас кроме встроенного в ноутбук адаптера ничего нет то это единственный вариант - просто оставляем включенным на несколько часов airodump-ng, а после ищем EAPOL пакеты в wireshark.

"Форсированный" захват требует "боевого" адаптера и занимает меньше минуты (тестовый захват для мануала занял ровно 30 секунд). Для этого используется так называемая атака деаутентификации - в установленное соединение точка доступа - клиент "впрыскиваются" ложные пакеты, сообщающие клиенту (например ноутбуку) что он деаутентифицирован. Разумеется тут же происходит повторная аутентификация и обмен теми самыми 4 пакетами, которые мы разумеется захватим. Сначала нам нужно настроить airodump-ng на атакуемую точку доступа. Делается это так:



Код:
sudo airodump-ng -с 6 --bssid xx:xx:xx:xx:xx:xx -w rutor wlan1mon


Где

-с - канал атакуемого

--bssid - MAC адрес атакуемого роутера

-w имя дампа в который программа автоматически запишет все пакеты

Далее самое интересное:

Атакующий пакет из набора aicrack-ng это aireplay-ng. Он может
"стрелять" разными боеприпасами, но нам в данном случае нужна "лента на
64 патрона пакета" фейковой деаутентификации. Заряжаем "автоматическую пушку":



Код:
sudo aireplay-ng -0 1 -a xx:xx:xx:xx:xx -c xx:xx:xx:xx:xx:xx wlan1mon



Где

-0 - атака деаутентификации
1 - количество "лент"
-a MAC адрес атакуемого роутера
-с MAC адрес атакуемого клиента


Скриншот успешной атаки (все 64 "патрона" попали в цель) - в терминале справа вверху система подтвердила захват хэндшейка с указанного устройства:
photo_2018-11-20_10-32-35.jpg


Теперь нам остается загрузить .cap файл (первый из четырех, они в разделе /home) в анализатор траффика, ввести в строку сверху параметр фильтра EAPOL и убедится что у нас есть либо все 4 пакета либо как минимум комбинация 1/4+2/4 или 2/4+3/4 и можно приступать к брутфорсу.
 
Последнее редактирование:
ГоГи Я

ГоГи Я

*
Регистрация
12/8/18
Сообщения
105
Симпатии
1,005
Депозит
0.00 RUB
Автор темы #3
sudo apt update
 
Probiv.biz

Меню

Сверху Снизу