shark0der Posted July 6, 2012 Report Posted July 6, 2012 Salutare tuturor,Probabil multi stiu ca by default RomTelecom-ul are enabled 2 retele: CH 2 ][ Elapsed: 4 s ][ 2012-05-05 12:55 ][ paused output BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 7A:4C:A9:A4:7D:04 -52 11 0 0 2 54e. WEP WEP RomTelecom-WEP-7D04 7A:4C:A9:A4:7D:05 -52 13 0 0 2 54e. WPA2 CCMP PSK RomTelecom-WPA-7D04 Sa presupunem ca Vasilica si-a facut abonament si sau stiind ca WEP-ul e usor crack-uibil sau pur si simplu din noroc, Vasilica s-a conectat si foloseste mereu doar AP-ul cu WPA.Pentru a sparge un WEP, vecinul sau Ionel care se afla suficient de aproape de AP, are nevoie de cel putin un packet ARP, dar din moment ce Vasilica nu foloseste acea retea, chiar dupa mult timp de asteptare, vede acelasi "zero" la "#Data":CH 2 ][ Elapsed: 5 mins ][ 2012-05-05 13:00 ][ paused output BSSID PWR RQX Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 7A:4C:A9:A4:7D:04 -54 93 3070 0 2 54e. WEP WEP RomTelecom-WEP-7D04Din motivele astea, Ionel nu poate folosi ARP Reply attack:root@ionel-laptop # aireplay-ng -3 -b 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan013:07:44 Waiting for beacon frame (BSSID: 7A:4C:A9:A4:7D:04) on channel 2Saving ARP requests in replay_arp-0706-181144.capYou should also start airodump-ng to capture replies.Read 449720 packets (got 0 ARP requests and 0 ACKs), sent 0 packets...(0 pps)dar nici fragmentation attack:root@ionel-laptop # aireplay-ng -5 -b 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan013:10:09 Waiting for beacon frame (BSSID: 7A:4C:A9:A4:7D:04) on channel 213:10:09 Waiting for a data packet...Read 242756 packets...si nici chopchop:root@ionel-laptop # aireplay-ng -4 -b 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan018:13:20 Waiting for beacon frame (BSSID: 7A:4C:A9:A4:7D:04) on channel 2Read 144789 packets...(fragmentation attack si chopchop au nevoie de macar un pachet de date).Stie cineva vreo metoda care ar mai putea fi incercata pentru a genera cateva pachete si a sparge minunatul WEP?Mentionez ca Ionel nu are placa video suficient de buna, nu are prieteni care ar putea sa-i ofere computational power si nici bani sa cumpere o bucatica de nor aka cloud ca sa sparga un WPA.Deasemenea mentionez ca Vasilica saptamana asta e la mare, si Ionel nu poate folosi nici social engineering ca sa-l convinga pe Vasilica sa intre putin pe cealalta retea. Quote
d4ny07 Posted July 7, 2012 Report Posted July 7, 2012 incearca cu gerix din backtrack. in primul rand trebuie multa rabdare si sa incerci in mai multe zile. am patit si eu asa si pana la urma am reusit.dupa ce afli parola de la wep poti intra pe router (asta in cazul in care nu a schimbat datele de logare) si sa afli si parola de la wpa.spor. Quote
wildchild Posted July 7, 2012 Report Posted July 7, 2012 Au trecut vreo 2 ani de zile de cand nu m-am mai jucat cu retelele wireless, insa ce functiona mereu era un atac cu mai multe pachete asupra AP-ului fortandu-l sa se restarteze, dupa care pana se pornea trimitea cateva mii IV-uri o data. Dupa inca 5 atacuri aveam destule ca sa pot sparge. Quote
sorelian Posted July 7, 2012 Report Posted July 7, 2012 (edited) Da,asta e metoda. Si e infiorator de banala. Dar nu e bine sa fie descrisa in clar, pentru ca toti Ioneii se vor apuca sa sparga wepul Vasilicilor.Si nu e corect. Cred ca deja sunt milioane de routere Huawei hg655b pe plaiurile mioritice.shark0der,Am sa dau totusi un indiciu.Foloseste metoda "Suna un prieten" ,adica cheama-l pe Georgel cu laptopul lui la tine.Tu faci ce ai facut si pana acuma si pe Georgel il pui sa faca ceva sa genereze acele pachete....deja am zis prea mult.d4ny07,degeaba intri in interfata routerului, ca nu vei reusi sa afli parola wpa.Ea este sub forma de asteriscuri si nu o poti afla in clar, atat timp cat ea nu a fost tastata in laptopul tau. Edited July 7, 2012 by sorelian Quote
bruttus139 Posted July 8, 2012 Report Posted July 8, 2012 Daca parolele sint ,,default" se poate genera un dictionar care sa le cuprinda pe toate,dar daca clientul schimba parola,e foarte complicat asta cu referire la cele WPA. Pentru WEP fara client,solutia ramine calculatorul doi,care face incercari nereusite pina se elibereaza suficiente pachete pentru a afla parola. Quote
mrjasdf Posted July 8, 2012 Report Posted July 8, 2012 d4ny07,degeaba intri in interfata routerului, ca nu vei reusi sa afli parola wpa.Ea este sub forma de asteriscuri si nu o poti afla in clar, atat timp cat ea nu a fost tastata in laptopul tau.La modelele alea de router are optiune sa downloadezi configuratia. si parola wpa e in plain text ;-) Quote
d4ny07 Posted July 8, 2012 Report Posted July 8, 2012 d4ny07,degeaba intri in interfata routerului, ca nu vei reusi sa afli parola wpa.Ea este sub forma de asteriscuri si nu o poti afla in clar, atat timp cat ea nu a fost tastata in laptopul tau.pentru parole asterisk folosesc ceva script. il am la bookmark si imi afiseaza orice parola ascunsa sub asteriscuri de pe pagina respectiva. Quote
shark0der Posted July 8, 2012 Author Report Posted July 8, 2012 pentru parole asterisk folosesc ceva script. il am la bookmark si imi afiseaza orice parola ascunsa sub asteriscuri de pe pagina respectiva.Pentru parolele cu asterisk de cele mai dese ori merge un inspect in firebug sau echivalentul lui din chrome.Daca nu merge asta, merge metoda spusa de @mrjasdf, intrucat intr-adevar unele routere codifica parola din input, si pune sau stelute, sau pun ceva de genul: 5Kb4SkVGaE (asa e la un EDIMAX "Wireless 3G Router" cu "Hardware Version: Rev. A" si "Runtime Code Version: 2.24p"), iar in config au parola in plain text sau mai e a treia varianta cand e config "binar" si atunci ajuta asta RouterPassView - Recover lost password from router backup file - nu merge pentru toate routerele, dar are destule.Iar referitor la Gerix, vad in descriere ca e: "Gerix Wifi Cracker NG (New Generation), a really complete GUI for Aircrack-NG which includes useful extras.", iar cum aircrack-ng direct in terminal, nu cred ca as avea un motiv sa folosesc Gerix."The software requires: aircrack-ng, xterm, machchanger, zenity and obviously python-qt3."aircrack-ng - e pentru retele wifixterm - nu necesita descrieremachchanger - e echivalentul ifconfig wlan0 down; ifconfig wlan0 hw ether e4:ce:8f:ac:9e:df; ifconfig wlan0 upzenity - din cate stiu e doar pentru mesaje: "zenity - display GTK+ dialogs"iar python-qt3 e doar pentru GUI.Prin urmare Gerix nu are nimic in plus.Un search mi-a sugerat un programel care trimite pachete de autentificare spre AP, s-a compilat, ruleaza, dar nu pare sa se intample nimic mai mult. Face Ionel ceva gresit, sau trebuie trimise altfel de pachete?EDIT:Aparent programelul are ceva bug-uri, ca dupa ce am vrut sa pun placa inapoi in mode managed, aveam asa:wlan0 Link encap:UNSPEC HWaddr C4-46-19-31-47-FA-00-00-00-00-00-00-00-00-00-00 UP BROADCAST RUNNING MTU:1500 Metric:1 RX packets:1166157 errors:0 dropped:0 overruns:0 frame:0 TX packets:922970 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:865009277 (865.0 MB) TX bytes:370937643 (370.9 MB)Ceea ce nu pare deloc a fi mac valid. Quote
shark0der Posted July 8, 2012 Author Report Posted July 8, 2012 Chiar si cu eroarea precedenta, a mers oarecum, doar ca mai mult de 31 nu creste:Clients: Created: 1902 Authenticated: 1755 Associated: 31 Got Kicked: 0Data : Captured: 0 Sent: 0 Responses: 0 Relayed: 0Packets sent: 58520 - Speed: 598 packets/sec Quote
bruttus139 Posted July 9, 2012 Report Posted July 9, 2012 Din ce observ aici..CH 2 ][ Elapsed: 5 mins ][ 2012-05-05 13:00 ][ paused output BSSID PWR RQX Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 7A:4C:A9:A4:7D:04 -54 93 3070 0 2 54e. WEP WEP RomTelecom-WEP-7D04esti cam departe de AP si este destul de greu sa injectezi pachete cu -54 dovada ca in 5 minute pe trafic ai doar 3070 beacons.Trebuie verificat si daca reteaua permite autentificarea,pentru ca in rezultatele tale apare AUTH fara nimic,iar normal ar fi sa fie OPN. Din wifiway (nu stiu ce folosesti tu) se executa prima data atack 1 ca sa vezi daca reteaua permite autentificarea,dupa care se trece mai departe. Nu ai spus ce hardware folosesti,asa ca merg pe scenariul cunoscut,deci,daca nu ai al doilea calculator,in wifiway si Alfa cu rtl 8187L se poate sta in mod managed si incerca conectari succesive,in acelasi timp cu atackul mentionat mai sus in mod monitor. Pentru a prinde un ARP si apoi reinjecta poti folosi un atack MDK3,care produce zeci(sute) de conexiuni false cu macuri diferite pe AP,intr-un timp foarte mic, si il obliga sa clacheze,iar la reconectare foarte posibil sa elibereze ARP,este ceva asemanator cu obtinerea handshake cind se conecteaza clientul.Daca atackul 1 a permis autentificare,lasi pe atack 7,cu client conectat,si odata obtinut ARP in urma atacului cu MDK3,acel ARP va fi reinjectat si va produce eliberarea de DATA.ps:apropo de AP-ul tau,esti sigur ca este un dispozitiv de gen router-modem si nu este o imprimanta sau altceva care emite pe frecventa respectiva?-ma intreb cine pleaca de acasa si lasa routerul pornit?....sau daca are internet de ce nu-l foloseste cit de cit? Quote
shark0der Posted July 19, 2012 Author Report Posted July 19, 2012 As vrea sa discutam aceasta intrebare in continuare, mai mult pentru POC De fapt -54 e destul de OK chiar, si numarul de beacons creste in graba, doar ca am modificat un pic datele cand am postat topicul, pentru ca nu aveam pentru moment date reale.Am testat injectarea cu:aireplay-ng -9 -e RomTelecom-WEP-7D04 wlan0si e OK. Am putut sa ma autentific/asociez cu AP-ul (nu merge din prima de fiecare data, dar merge) cu:aireplay-ng -1 0 -e RomTelecom-WEP-7D04 -a 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan0Pentru capturare de pachete ARP, generare si injectare am incercat urmatoarele:# start arp request reply modeaireplay-ng -3 -b 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan0# fragmentationaireplay-ng -5 -b 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan0# chopchopaireplay-ng -4 -b 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan0Hardware-ul folosit imi permite schimbari de mac / injectari de pachete si toate chestiile necesare (din lshw: driver=ath9k), testat cu chestiile prezentate aici injection_test [Aircrack-ng].Output-ul din postul meu precedent e generat chiar de MDK3, la momentul de fata ultima versiune fiind 6. Si dupa cum am si spus, nu se intampla nimic. Numarul maxim de clienti asociati ramane 31, chiar daca numarul de clienti autentificati creste. Uneori mai da afara din asociati, si ii ia pe altii in loc, dar se intampla dupa ceva mai mult timp de asteptare.Cred totusi ca e un modem adsl / router RomTelecom pentru ca sunt 2 puncte de acces cu aceeasi putere de semnal, unul WEP si unul WPA, si mac-uri aproape identice. Personal chiar nu as opri routerul cand plec de acasa, chiar si in vacanta, si cred ca sunt suficiente persoane care ar face la fel. O varianta ar fi sa nu aiba internet, si atunci nimeni nu l-ar folosi.Totusi ramane o provocare pentru mine Any other idea? Quote
bruttus139 Posted July 20, 2012 Report Posted July 20, 2012 Cu atacul MDK nu trebuie decit sa produci trafic dar nu mai mult de citeva secunde,altfel distrugi modemul,ori il blochezi. Daca nu ai reusit sa obtii DATA pina acum,trebuie sa astepti sa revina clientul.Exista o multime de tipuri de atacuri pentru cazurile fara client,dar nu functioneaza mereu,sau nu pe toate modelele de routere. Daca oferi date ,,modificate" vei primi raspunsuri pe masura.In astfel de cazuri nu publici MAC-ul,nici al tau nici al routerului,dar restul trebuie sa nu le modifici. In privinta PWR si RX,alea sint estimative,dar cel mai important este PWR,daca nu il ai aproape de 100% este dificil,pentru ca este o valoare de iesire de la tine,in realitate nestiind cu cit ajunge la router. Quote
co4ie Posted July 21, 2012 Report Posted July 21, 2012 @bruttus139: De obicei cand lumea se conecteaza pe WPA si au si WEP activ il dai afara de pe retea... pur si simplu ca in atacurile asupra retelelor WPA il dai afara de pe retea pana il disperi atat de mult incat se conecteaza pe WEP ! La mine functioneaza aproape de fiecare data... Quote
bruttus139 Posted July 21, 2012 Report Posted July 21, 2012 Asta este altceva,noi vorbeam de cazurile in care nu ai client,nu poti obtine nici handshake pentru wpa nici DATA pentru wep.In functie de retea,exista cazuri in care poti scoate o parola wep cu 1 DATA sau altele cu 4 ARP,dar nu cred ca este cazul vreunei retele din RO. La mine pe forum exista baieti din RO care stiu mai bine cum sta treaba acolo,eu personal vorbesc la general,in functie de cunostintele acumulate pe aparatura de aici,de unde sint eu. Ce este sigur,nu se poate obtine nimic fara client asociat,decit poate rulind hydra asa orbeste cu vreun dictionar mai deosebit,nu stiu ce sa zic,nu prea m-am lovit de cazuri din astea. Quote
sorelian Posted July 21, 2012 Report Posted July 21, 2012 Cred totusi ca e un modem adsl / router RomTelecom pentru ca sunt 2 puncte de acces cu aceeasi putere de semnal, unul WEP si unul WPA, si mac-uri aproape identice. Personal chiar nu as opri routerul cand plec de acasa, chiar si in vacanta, si cred ca sunt suficiente persoane care ar face la fel. O varianta ar fi sa nu aiba internet, si atunci nimeni nu l-ar folosi.Totusi ramane o provocare pentru mine Any other idea?Hai sa-ti spun cum am facut eu, asa mai babeste.Am un laptop cu placa lui interna si un adaptor Alfa 1w .E adevarat, folosesc wifiway 3.4 , dar nu distributia conteaza.Ei,...am pornit attackul de tip ARP replay cu adaptorul Alfa in mod monitor ,pe AP-ul cu wep.In acelasi timp ,am deschis wicd ,am selectat placa interna ,am gasit reteaua cu wep in cauza ,am bagat o parola aiurea ,de genul "vasilica12345" si am dat connect.Bineinteles ca dupa cateva zeci de secunde imi spunea "bad password" .Nicio problema.Connect din nou !Si uite asa, cam in doua ore ,am reusit sa adun destule data (peste 25000) ca sa scot parola wep Ai zis ca e o provocare...eu zic ca e posibil...doar sa ai rabdare. Quote