Einleitung
Wi-Fi Protected Setup (WPS) ist eine Funktion, die entwickelt wurde, um das einfache Verbinden von Geräten mit einem sicheren drahtlosen Netzwerk zu ermöglichen. Bestimmte Implementierungen von WPS enthalten jedoch eine kritische Schwachstelle, die ausgenutzt werden kann. Der Pixie-Dust-Angriff zielt auf einen Fehler in der Art und Weise ab, wie einige drahtlose Access Points während des WPS-Handshakes Zufallszahlen (Nonces) generieren. Im Gegensatz zu einem Standard-Brute-Force-Angriff, der Stunden dauern kann, kann ein erfolgreicher Pixie-Dust-Angriff den WPS-PIN und das WPA/WPA2-Passwort in Sekundenschnelle wiederherstellen.
In diesem Lab übernehmen Sie die Rolle eines Penetrationstesters, um zu lernen, wie dieser Angriff funktioniert. Sie werden Tools aus der aircrack-ng-Suite und Reaver verwenden, um ein anfälliges Ziel zu identifizieren und den Pixie-Dust-Angriff in einer simulierten Umgebung auszuführen. Dies vermittelt Ihnen ein praktisches Verständnis dieser leistungsstarken Wi-Fi-Hacking-Technik.
Identifizieren eines für Pixie-Dust anfälligen Ziels aus einem Wash-Scan
In diesem Schritt beginnen Sie mit dem Scannen nach nahegelegenen WLAN-Netzwerken, bei denen WPS aktiviert ist. Dazu müssen Sie zunächst Ihre drahtlose Schnittstelle in den "Monitor-Modus" versetzen, der es ihr ermöglicht, den gesamten WLAN-Verkehr in der Luft zu erfassen, nicht nur den Verkehr, der an Ihr Gerät gerichtet ist. Das Tool airmon-ng wird zu diesem Zweck verwendet.
Beginnen wir mit der Aktivierung des Monitor-Modus auf der Schnittstelle wlan0. In einem realen Szenario wird dadurch eine neue virtuelle Schnittstelle erstellt, die typischerweise wlan0mon genannt wird.
sudo airmon-ng start wlan0
Sie sollten eine Ausgabe sehen, die bestätigt, dass der Monitor-Modus auf einer neuen Schnittstelle namens wlan0mon aktiviert wurde.
PHY Interface Driver Chipset
phy0 wlan0 ath9k Atheros Communications Inc. AR9271 802.11n
(mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
(mac80211 station mode vif disabled for [phy0]wlan0)
Nachdem Sie nun eine Schnittstelle im Monitor-Modus haben, können Sie das Tool wash verwenden, um nach WPS-aktivierten Access Points (APs) zu suchen. wash listet alle erkannten WPS-Netzwerke zusammen mit wichtigen Informationen darüber auf.
Führen Sie den folgenden Befehl aus, um den Scan auf Ihrer Monitor-Schnittstelle zu starten:
sudo wash -i wlan0mon
Nach einigen Momenten zeigt wash eine Liste von Netzwerken an.
Wash v1.6.5 WiFi Protected Setup Scan Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>
BSSID Ch WPS Version WPS Locked ESSID
----------------------------------------------------------------
00:11:22:33:44:55 6 1.0 No VulnerableAP
AA:BB:CC:DD:EE:FF 1 1.0 Yes SecuredAP
Suchen Sie in dieser Ausgabe nach einem Ziel. Das ideale Ziel für einen Pixie-Dust-Angriff ist eines, bei dem WPS Locked auf No steht. In unserem Fall ist das Netzwerk mit der ESSID VulnerableAP und der BSSID 00:11:22:33:44:55 unser Ziel. Notieren Sie sich dessen BSSID, da Sie diese in den nächsten Schritten benötigen werden.
Reaver mit dem Parameter -K oder --pixie-dust starten
In diesem Schritt bereiten wir den Start des Angriffs mit Reaver vor. Reaver ist ein Tool, das speziell dafür entwickelt wurde, Brute-Force-Angriffe gegen WPS-Registrar-PINs durchzuführen, um WPA/WPA2-Passphrasen wiederherzustellen.
Reaver verfügt jedoch auch über einen speziellen Modus für den wesentlich schnelleren Pixie-Dust-Angriff. Um diesen Modus zu aktivieren, müssen Sie das Kommandozeilenargument -K oder --pixie-dust verwenden. Wenn dieses Argument verwendet wird, versucht Reaver zuerst den Pixie-Dust-Angriff. Wenn der Ziel-AP nicht anfällig ist, kann Reaver dann auf die traditionelle, langsamere Brute-Force-Methode zurückgreifen.
Die grundlegende Struktur des Reaver-Befehls für einen Pixie-Dust-Angriff sieht wie folgt aus:
sudo reaver -i <monitor_interface> -b <target_bssid> -K
sudo reaver: Führt das Reaver-Tool mit Root-Privilegien aus.-i <monitor_interface>: Gibt die Netzwerkschnittstelle an, die sich im Monitor-Modus befindet (z. B.wlan0mon).-b <target_bssid>: Gibt die BSSID (MAC-Adresse) des Ziel-Access-Points an.-K: Dies ist der entscheidende Schalter, der Reaver anweist, einen Pixie-Dust-Angriff durchzuführen.
In diesem Schritt geht es darum, die Struktur des Befehls zu verstehen. Im nächsten Schritt werden Sie dieses Wissen mit den aus dem wash-Scan gesammelten Informationen kombinieren, um den vollständigen Befehl auszuführen.
Angabe der Ziel-BSSID und der Monitor-Schnittstelle
Nun ist es an der Zeit, alles zusammenzufügen und den Angriff zu starten. Sie haben eine Ziel-BSSID identifiziert und kennen die Befehlsstruktur für einen Pixie-Dust-Angriff mit Reaver.
Erinnern Sie sich aus Schritt 1:
- Monitor-Schnittstelle:
wlan0mon - Ziel-BSSID:
00:11:22:33:44:55
Sie werden nun den vollständigen Reaver-Befehl erstellen. Wir werden auch die Option -vv (sehr ausführlich) hinzufügen. Dies wird dringend empfohlen, da es detaillierte Informationen über den WPS-Austausch anzeigt, einschließlich der Nonces und Hashes, die für den Pixie-Dust-Angriff entscheidend sind. Diese Ausgabe ist unerlässlich, um zu verstehen, wie der Angriff funktioniert.
Führen Sie den folgenden Befehl in Ihrem Terminal aus, um den Angriff zu starten:
sudo reaver -i wlan0mon -b 00:11:22:33:44:55 -K -vv
Reaver wird nun beginnen, mit dem Ziel-Access-Point zu kommunizieren. Sie werden eine Reihe von Meldungen sehen, die den Fortschritt des WPS-Handshakes anzeigen. Da das Ziel in unserer simulierten Umgebung anfällig ist, wird der Angriff sehr schnell erfolgen.
Verstehen, wie Pixie-Dust schwache Nonce-Generierung ausnutzt
In diesem Schritt analysieren Sie die Ausgabe des Reaver-Befehls, um die Mechanik des Pixie-Dust-Angriffs zu verstehen. Dies ist ein konzeptioneller Schritt, bei dem keine neuen Befehle ausgeführt werden müssen.
Betrachten Sie die ausführliche Ausgabe, die Reaver im vorherigen Schritt generiert hat. Sie sollten Zeilen sehen, die mit [P] beginnen und die während des WPS-Austauschs erfassten Werte anzeigen:
...
[+] Sending M1 message
[+] Received M2 message
[P] E-S1: d3b25a26a713c1b2
[P] E-S2: 1a84a5e22236aebd
[P] PKE: c1...e2
[P] PKR: 3a...b1
[P] E-Hash1: 7d...c3
[P] E-Hash2: 9f...a5
[P] AuthKey: 8c...99
...
Hier ist, was passiert:
- WPS-Handshake: Der Client (Reaver) und der AP tauschen zur Authentifizierung eine Reihe von Nachrichten (M1, M2 usw.) aus.
- Nonce-Austausch: Während dieses Handshakes tauschen sie "Nonces" (
E-S1undE-S2) aus, die große, zufällige Zahlen sein sollen, die nur einmal verwendet werden. - Die Schwachstelle: Die Pixie-Dust-Schwachstelle besteht bei APs, die diese Nonces mit einem schwachen oder vorhersagbaren Algorithmus generieren. Anstatt wirklich zufällig zu sein, werden die Nonces aus Geheimnissen abgeleitet oder stehen in engem Zusammenhang mit Geheimnissen, die zum Knacken des PINs verwendet werden können.
- Offline-Cracking: Reaver erfasst die beiden Nonces (
E-S1,E-S2) und zwei Hashes (E-Hash1,E-Hash2) vom AP. Mit diesen vier Werten verfügt es über genügend Informationen, um eine Offline-Berechnung durchzuführen. Es versucht, den PIN auf Ihrem lokalen Rechner per Brute-Force zu knacken, ohne weitere Anfragen an den AP senden zu müssen.
Da der Knackvorgang offline durchgeführt wird und die mathematische Schwäche bei der Nonce-Generierung ausnutzt, umgeht er die Ratenbegrenzungsmechanismen des APs und findet den korrekten PIN fast sofort.
Beobachten Sie die nahezu sofortige Wiederherstellung des PIN und Schlüssels
In diesem letzten Schritt werden Sie das erfolgreiche Ergebnis des Angriffs beobachten. Nachdem Reaver die Offline-Berechnungen durchgeführt hat, werden die wiederhergestellten Anmeldeinformationen angezeigt.
Der letzte Teil der Reaver-Ausgabe aus Schritt 3 sollte wie folgt aussehen:
...
[+] Pixie-Dust attack...
[+] 100.00% complete @ 2023-10-27 10:30:00 (0 seconds remaining)
[+] WPS PIN: '12345670'
[+] WPA PSK: 'SuperSecretPassword'
[+] AP SSID: 'VulnerableAP'
Lassen Sie uns die wiederhergestellten Informationen aufschlüsseln:
WPS PIN: '12345670': Dies ist der 8-stellige PIN für die WPS-Funktion des Routers. Sie könnten diesen PIN verwenden, um andere WPS-fähige Geräte mit dem Netzwerk zu verbinden.WPA PSK: 'SuperSecretPassword': Dies ist der WPA/WPA2 Pre-Shared Key, das eigentliche WLAN-Passwort für das Netzwerk. Dies ist das ultimative Ziel des Angriffs.AP SSID: 'VulnerableAP': Dies bestätigt den Namen des Netzwerks, das Sie erfolgreich kompromittiert haben.
Der bemerkenswerteste Aspekt ist die Geschwindigkeit. Beachten Sie die "0 seconds remaining" in der Ausgabe. Der gesamte Prozess, von der Einleitung des Handshakes bis zur Wiederherstellung des Schlüssels, dauerte nur wenige Sekunden. Dies steht in starkem Kontrast zu einem herkömmlichen WPS-Brute-Force-Angriff, der viele Stunden dauern oder sogar unmöglich sein könnte, wenn der AP WPS nach mehreren fehlgeschlagenen Versuchen sperrt. Sie haben nun erfolgreich die Wirksamkeit des WPS Pixie-Dust-Angriffs demonstriert.
Zusammenfassung
In diesem Labor haben Sie erfolgreich einen WPS Pixie-Dust-Angriff in einer simulierten Umgebung ausgeführt. Sie haben praktische Erfahrungen mit wichtigen Werkzeugen und Konzepten der WLAN-Sicherheit gesammelt.
Sie haben gelernt:
airmon-ngzu verwenden, um den Monitor-Modus auf einer drahtlosen Schnittstelle zu aktivieren.washzu verwenden, um nach WPS-fähigen Access Points zu suchen und diese zu identifizieren.- Den Zweck des Flags
-K(--pixie-dust) in Reaver zu verstehen. - Einen gezielten Pixie-Dust-Angriff mit
reaverauszuführen, wobei die BSSID des Ziels angegeben wird. - Die Ausgabe zu interpretieren, um zu verstehen, wie der Angriff die schwache Nonce-Generierung ausnutzt.
- Die nahezu sofortige Wiederherstellung sowohl des WPS-PINs als auch des WPA-PSKs zu beobachten.
Dieses Labor hebt eine bedeutende reale Schwachstelle hervor. Die effektivste Verteidigung gegen diesen und andere WPS-bezogene Angriffe besteht darin, die WPS-Funktion in den Administrationseinstellungen Ihres Routers vollständig zu deaktivieren.