WEP with no clients

[shark0der]

Salutare tuturor,

Probabil multi stiu ca by default RomTelecom-ul are enabled 2 retele:

 CH  2 ][ Elapsed: 4 s ][ 2012-05-05 12:55 ][ paused output

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 7A:4C:A9:A4:7D:04  -52       11        0    0   2  54e. WEP  WEP        RomTelecom-WEP-7D04
 7A:4C:A9:A4:7D:05  -52       13        0    0   2  54e. WPA2 CCMP   PSK RomTelecom-WPA-7D04                                                                          

Sa presupunem ca Vasilica si-a facut abonament si sau stiind ca WEP-ul e usor crack-uibil sau pur si simplu din noroc, Vasilica s-a conectat si foloseste mereu doar AP-ul cu WPA.

Pentru a sparge un WEP, vecinul sau Ionel care se afla suficient de aproape de AP, are nevoie de cel putin un packet ARP, dar din moment ce Vasilica nu foloseste acea retea, chiar dupa mult timp de asteptare, vede acelasi "zero" la "#Data":

CH  2 ][ Elapsed: 5 mins ][ 2012-05-05 13:00 ][ paused output

 BSSID              PWR RQX  Beacons  #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 7A:4C:A9:A4:7D:04  -54  93     3070      0        2  54e. WEP  WEP      RomTelecom-WEP-7D04

Din motivele astea, Ionel nu poate folosi ARP Reply attack:

root@ionel-laptop # aireplay-ng -3 -b 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan0
13:07:44  Waiting for beacon frame (BSSID: 7A:4C:A9:A4:7D:04) on channel 2
Saving ARP requests in replay_arp-0706-181144.cap
You should also start airodump-ng to capture replies.
Read 449720 packets (got 0 ARP requests and 0 ACKs), sent 0 packets...(0 pps)

dar nici fragmentation attack:

root@ionel-laptop # aireplay-ng -5 -b 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan0
13:10:09  Waiting for beacon frame (BSSID: 7A:4C:A9:A4:7D:04) on channel 2
13:10:09  Waiting for a data packet...
Read 242756 packets...

si nici chopchop:

root@ionel-laptop # aireplay-ng -4 -b 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan0
18:13:20  Waiting for beacon frame (BSSID: 7A:4C:A9:A4:7D:04) on channel 2
Read 144789 packets...

(fragmentation attack si chopchop au nevoie de macar un pachet de date).

Stie cineva vreo metoda care ar mai putea fi incercata pentru a genera cateva pachete si a sparge minunatul WEP?

Mentionez ca Ionel nu are placa video suficient de buna, nu are prieteni care ar putea sa-i ofere computational power si nici bani sa cumpere o bucatica de nor aka cloud ca sa sparga un WPA.

Deasemenea mentionez ca Vasilica saptamana asta e la mare, si Ionel nu poate folosi nici social engineering ca sa-l convinga pe Vasilica sa intre putin pe cealalta retea.

[d4ny07]

incearca cu gerix din backtrack.

in primul rand trebuie multa rabdare si sa incerci in mai multe zile. am patit si eu asa si pana la urma am reusit.

dupa ce afli parola de la wep poti intra pe router (asta in cazul in care nu a schimbat datele de logare) si sa afli si parola de la wpa.

spor.

[wildchild]

Au trecut vreo 2 ani de zile de cand nu m-am mai jucat cu retelele wireless, insa ce functiona mereu era un atac cu mai multe pachete asupra AP-ului fortandu-l sa se restarteze, dupa care pana se pornea trimitea cateva mii IV-uri o data. Dupa inca 5 atacuri aveam destule ca sa pot sparge.

[sorelian]

Da,asta e metoda. Si e infiorator de banala. Dar nu e bine sa fie descrisa in clar, pentru ca toti Ioneii se vor apuca sa sparga wepul Vasilicilor.

Si nu e corect. Cred ca deja sunt milioane de routere Huawei hg655b pe plaiurile mioritice.

shark0der,

Am sa dau totusi un indiciu.

Foloseste metoda "Suna un prieten" ,adica cheama-l pe Georgel cu laptopul lui la tine.Tu faci ce ai facut si pana acuma si pe Georgel il pui sa faca ceva sa genereze acele pachete....deja am zis prea mult.

d4ny07,

degeaba intri in interfata routerului, ca nu vei reusi sa afli parola wpa.Ea este sub forma de asteriscuri si nu o poti

afla in clar, atat timp cat ea nu a fost tastata in laptopul tau.

Edited July 7, 2012 by sorelian

[bruttus139]

Daca parolele sint ,,default" se poate genera un dictionar care sa le cuprinda pe toate,dar daca clientul schimba parola,e foarte complicat asta cu referire la cele WPA.

Pentru WEP fara client,solutia ramine calculatorul doi,care face incercari nereusite pina se elibereaza suficiente pachete pentru a afla parola.

[mrjasdf]

d4ny07,

degeaba intri in interfata routerului, ca nu vei reusi sa afli parola wpa.Ea este sub forma de asteriscuri si nu o poti

afla in clar, atat timp cat ea nu a fost tastata in laptopul tau.

La modelele alea de router are optiune sa downloadezi configuratia. si parola wpa e in plain text ;-)

[d4ny07]

d4ny07,

degeaba intri in interfata routerului, ca nu vei reusi sa afli parola wpa.Ea este sub forma de asteriscuri si nu o poti

afla in clar, atat timp cat ea nu a fost tastata in laptopul tau.

pentru parole asterisk folosesc ceva script. il am la bookmark si imi afiseaza orice parola ascunsa sub asteriscuri de pe pagina respectiva.

[shark0der]

pentru parole asterisk folosesc ceva script. il am la bookmark si imi afiseaza orice parola ascunsa sub asteriscuri de pe pagina respectiva.

Pentru parolele cu asterisk de cele mai dese ori merge un inspect in firebug sau echivalentul lui din chrome.

Daca nu merge asta, merge metoda spusa de @mrjasdf, intrucat intr-adevar unele routere codifica parola din input, si pune sau stelute, sau pun ceva de genul: 5Kb4SkVGaE (asa e la un EDIMAX "Wireless 3G Router" cu "Hardware Version: Rev. A" si "Runtime Code Version: 2.24p"), iar in config au parola in plain text sau mai e a treia varianta cand e config "binar" si atunci ajuta asta RouterPassView - Recover lost password from router backup file - nu merge pentru toate routerele, dar are destule.

Iar referitor la Gerix, vad in descriere ca e: "Gerix Wifi Cracker NG (New Generation), a really complete GUI for Aircrack-NG which includes useful extras.", iar cum aircrack-ng direct in terminal, nu cred ca as avea un motiv sa folosesc Gerix.

"The software requires: aircrack-ng, xterm, machchanger, zenity and obviously python-qt3."

aircrack-ng - e pentru retele wifi

xterm - nu necesita descriere

machchanger - e echivalentul ifconfig wlan0 down; ifconfig wlan0 hw ether e4:ce:8f:ac:9e:df; ifconfig wlan0 up

zenity - din cate stiu e doar pentru mesaje: "zenity - display GTK+ dialogs"

iar python-qt3 e doar pentru GUI.

Prin urmare Gerix nu are nimic in plus.

Un search mi-a sugerat un programel care trimite pachete de autentificare spre AP, s-a compilat, ruleaza, dar nu pare sa se intample nimic mai mult. Face Ionel ceva gresit, sau trebuie trimise altfel de pachete?

EDIT:

Aparent programelul are ceva bug-uri, ca dupa ce am vrut sa pun placa inapoi in mode managed, aveam asa:

wlan0     Link encap:UNSPEC  HWaddr C4-46-19-31-47-FA-00-00-00-00-00-00-00-00-00-00  
          UP BROADCAST RUNNING  MTU:1500  Metric:1
          RX packets:1166157 errors:0 dropped:0 overruns:0 frame:0
          TX packets:922970 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:865009277 (865.0 MB)  TX bytes:370937643 (370.9 MB)

Ceea ce nu pare deloc a fi mac valid.

[shark0der]

Chiar si cu eroarea precedenta, a mers oarecum, doar ca mai mult de 31 nu creste:

Clients: Created: 1902   Authenticated: 1755   Associated:   31   Got Kicked:    0
Data   : Captured:    0   Sent:    0   Responses:    0   Relayed:    0
Packets sent:  58520 - Speed:  598 packets/sec

[bruttus139]

Din ce observ aici..

CH 2 ][ Elapsed: 5 mins ][ 2012-05-05 13:00 ][ paused output

BSSID PWR RQX Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

7A:4C:A9:A4:7D:04 -54 93 3070 0 2 54e. WEP WEP RomTelecom-WEP-7D04

esti cam departe de AP si este destul de greu sa injectezi pachete cu -54 dovada ca in 5 minute pe trafic ai doar 3070 beacons.Trebuie verificat si daca reteaua permite autentificarea,pentru ca in rezultatele tale apare AUTH fara nimic,iar normal ar fi sa fie OPN.

Din wifiway (nu stiu ce folosesti tu) se executa prima data atack 1 ca sa vezi daca reteaua permite autentificarea,dupa care se trece mai departe.

Nu ai spus ce hardware folosesti,asa ca merg pe scenariul cunoscut,deci,daca nu ai al doilea calculator,in wifiway si Alfa cu rtl 8187L se poate sta in mod managed si incerca conectari succesive,in acelasi timp cu atackul mentionat mai sus in mod monitor.

Pentru a prinde un ARP si apoi reinjecta poti folosi un atack MDK3,care produce zeci(sute) de conexiuni false cu macuri diferite pe AP,intr-un timp foarte mic, si il obliga sa clacheze,iar la reconectare foarte posibil sa elibereze ARP,este ceva asemanator cu obtinerea handshake cind se conecteaza clientul.

Daca atackul 1 a permis autentificare,lasi pe atack 7,cu client conectat,si odata obtinut ARP in urma atacului cu MDK3,acel ARP va fi reinjectat si va produce eliberarea de DATA.

ps:

apropo de AP-ul tau,esti sigur ca este un dispozitiv de gen router-modem si nu este o imprimanta sau altceva care emite pe frecventa respectiva?

-ma intreb cine pleaca de acasa si lasa routerul pornit?....sau daca are internet de ce nu-l foloseste cit de cit?

[shark0der]

As vrea sa discutam aceasta intrebare in continuare, mai mult pentru POC

De fapt -54 e destul de OK chiar, si numarul de beacons creste in graba, doar ca am modificat un pic datele cand am postat topicul, pentru ca nu aveam pentru moment date reale.

Am testat injectarea cu:

aireplay-ng -9 -e RomTelecom-WEP-7D04 wlan0

si e OK. Am putut sa ma autentific/asociez cu AP-ul (nu merge din prima de fiecare data, dar merge) cu:

aireplay-ng -1 0 -e RomTelecom-WEP-7D04 -a 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan0

Pentru capturare de pachete ARP, generare si injectare am incercat urmatoarele:

# start arp request reply mode
aireplay-ng -3 -b 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan0

# fragmentation
aireplay-ng -5 -b 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan0

# chopchop
aireplay-ng -4 -b 7A:4C:A9:A4:7D:04 -h C4:46:19:57:27:F9 wlan0

Hardware-ul folosit imi permite schimbari de mac / injectari de pachete si toate chestiile necesare (din lshw: driver=ath9k), testat cu chestiile prezentate aici injection_test [Aircrack-ng].

Output-ul din postul meu precedent e generat chiar de MDK3, la momentul de fata ultima versiune fiind 6. Si dupa cum am si spus, nu se intampla nimic. Numarul maxim de clienti asociati ramane 31, chiar daca numarul de clienti autentificati creste. Uneori mai da afara din asociati, si ii ia pe altii in loc, dar se intampla dupa ceva mai mult timp de asteptare.

Cred totusi ca e un modem adsl / router RomTelecom pentru ca sunt 2 puncte de acces cu aceeasi putere de semnal, unul WEP si unul WPA, si mac-uri aproape identice. Personal chiar nu as opri routerul cand plec de acasa, chiar si in vacanta, si cred ca sunt suficiente persoane care ar face la fel. O varianta ar fi sa nu aiba internet, si atunci nimeni nu l-ar folosi.

Totusi ramane o provocare pentru mine

Any other idea?

[bruttus139]

Cu atacul MDK nu trebuie decit sa produci trafic dar nu mai mult de citeva secunde,altfel distrugi modemul,ori il blochezi.

Daca nu ai reusit sa obtii DATA pina acum,trebuie sa astepti sa revina clientul.Exista o multime de tipuri de atacuri pentru cazurile fara client,dar nu functioneaza mereu,sau nu pe toate modelele de routere.

Daca oferi date ,,modificate" vei primi raspunsuri pe masura.In astfel de cazuri nu publici MAC-ul,nici al tau nici al routerului,dar restul trebuie sa nu le modifici.

In privinta PWR si RX,alea sint estimative,dar cel mai important este PWR,daca nu il ai aproape de 100% este dificil,pentru ca este o valoare de iesire de la tine,in realitate nestiind cu cit ajunge la router.

[co4ie]

@bruttus139: De obicei cand lumea se conecteaza pe WPA si au si WEP activ il dai afara de pe retea... pur si simplu ca in atacurile asupra retelelor WPA il dai afara de pe retea pana il disperi atat de mult incat se conecteaza pe WEP ! La mine functioneaza aproape de fiecare data...

[bruttus139]

Asta este altceva,noi vorbeam de cazurile in care nu ai client,nu poti obtine nici handshake pentru wpa nici DATA pentru wep.

In functie de retea,exista cazuri in care poti scoate o parola wep cu 1 DATA sau altele cu 4 ARP,dar nu cred ca este cazul vreunei retele din RO.

La mine pe forum exista baieti din RO care stiu mai bine cum sta treaba acolo,eu personal vorbesc la general,in functie de cunostintele acumulate pe aparatura de aici,de unde sint eu.

Ce este sigur,nu se poate obtine nimic fara client asociat,decit poate rulind hydra asa orbeste cu vreun dictionar mai deosebit,nu stiu ce sa zic,nu prea m-am lovit de cazuri din astea.

[sorelian]

Cred totusi ca e un modem adsl / router RomTelecom pentru ca sunt 2 puncte de acces cu aceeasi putere de semnal, unul WEP si unul WPA, si mac-uri aproape identice. Personal chiar nu as opri routerul cand plec de acasa, chiar si in vacanta, si cred ca sunt suficiente persoane care ar face la fel. O varianta ar fi sa nu aiba internet, si atunci nimeni nu l-ar folosi.

Totusi ramane o provocare pentru mine

Any other idea?

Hai sa-ti spun cum am facut eu, asa mai babeste.

Am un laptop cu placa lui interna si un adaptor Alfa 1w .E adevarat, folosesc wifiway 3.4 , dar nu distributia conteaza.

Ei,...am pornit attackul de tip ARP replay cu adaptorul Alfa in mod monitor ,pe AP-ul cu wep.

In acelasi timp ,am deschis wicd ,am selectat placa interna ,am gasit reteaua cu wep in cauza ,am bagat o parola aiurea ,de genul

"vasilica12345" si am dat connect.Bineinteles ca dupa cateva zeci de secunde imi spunea "bad password" .Nicio problema.Connect din nou !

Si uite asa, cam in doua ore ,am reusit sa adun destule data (peste 25000) ca sa scot parola wep

Ai zis ca e o provocare...eu zic ca e posibil...doar sa ai rabdare.