LabEx
LoginBeitreten

Durchführung eines WPS-Brute-Force-Angriffs mit Reaver

Beginner
Jetzt üben

Einleitung

Wi-Fi Protected Setup (WPS) ist ein Netzwerksicherheitsstandard, der entwickelt wurde, um die Verbindungen zwischen einem Router und drahtlosen Geräten schneller und einfacher zu gestalten. Eine signifikante Designschwäche in seiner PIN-Funktion macht es jedoch anfällig für Brute-Force-Angriffe.

In diesem Lab lernen Sie, wie Sie diese Schwachstelle mit Reaver ausnutzen können, einem Tool, das speziell für diesen Zweck entwickelt wurde. Sie durchlaufen den gesamten Prozess, von der Einrichtung Ihrer drahtlosen Schnittstelle und dem Scannen nach Zielen bis hin zum Starten des Angriffs und der erfolgreichen Wiederherstellung der WPA/WPA2-Passphrase. Diese praktische Erfahrung vermittelt ein fundiertes Verständnis eines gängigen Wi-Fi-Angriffsvektors und der Bedeutung von Netzwerksicherheitshygiene.

Für dieses Lab verwenden wir eine simulierte Wi-Fi-Umgebung, sodass Sie diese Aktionen sicher und legal durchführen können.

Ziel-BSSID aus dem wash-Scan auswählen

In diesem Schritt bereiten Sie Ihre drahtlose Schnittstelle für die Überwachung vor und scannen nach anfälligen WPS-fähigen Netzwerken. Die erste Aufgabe besteht darin, Ihre WLAN-Karte in den "Monitor-Modus" zu versetzen, der es ihr ermöglicht, den gesamten WLAN-Verkehr in der Luft zu erfassen, nicht nur den Verkehr, der an Ihr Gerät gerichtet ist. Wir werden dafür airmon-ng verwenden. Anschließend verwenden wir wash, um unser Ziel zu identifizieren.

Zuerst starten wir die virtuelle drahtlose Schnittstelle wlan0 im Monitor-Modus. Dies erstellt eine neue Schnittstelle, die typischerweise wlan0mon genannt wird.

sudo airmon-ng start wlan0

Sie sollten eine Ausgabe sehen, die bestätigt, dass der Monitor-Modus aktiviert wurde. Nun, da Ihre Schnittstelle im Monitor-Modus ist, können Sie wash verwenden, um nach nahegelegenen WPS-fähigen Zugangspunkten zu scannen.

sudo wash -i wlan0mon

Nach einigen Momenten zeigt wash eine Liste von Netzwerken an. Unser simuliertes Netzwerk heißt TestAP.

BSSID               Ch  WPS Version  WPS Locked  ESSID
--------------------------------------------------------------------------------
XX:XX:XX:XX:XX:XX   6   1.0          No          TestAP

Identifizieren und kopieren Sie aus dieser Ausgabe die BSSID des TestAP-Netzwerks. Die BSSID ist die eindeutige Hardware-Adresse des Zugangspunkts, und Sie benötigen sie, um den Angriff im nächsten Schritt zu starten.

Starten Sie den Reaver-Angriff mit den Flags -i und -b

In diesem Schritt starten Sie den Reaver-Angriff gegen den von Ihnen identifizierten Ziel-Zugangspunkt. Reaver automatisiert den Prozess des Ausprobierens aller möglichen WPS-PIN-Kombinationen, um die richtige zu finden.

Um den Angriff zu starten, müssen Sie Reaver zwei wesentliche Informationen zur Verfügung stellen: die Monitor-Modus-Schnittstelle und die BSSID des Ziels.

  • -i <interface>: Gibt die Monitor-Modus-Schnittstelle an (z. B. wlan0mon).
  • -b <bssid>: Gibt die BSSID des Ziel-Zugangspunkts an.

Führen Sie nun den reaver-Befehl aus. Ersetzen Sie <BSSID_FROM_WASH> durch die tatsächliche BSSID, die Sie im vorherigen Schritt kopiert haben.

sudo reaver -i wlan0mon -b <BSSID_FROM_WASH>

Sobald Sie den Befehl ausführen, startet Reaver. Sie sehen anfängliche Statusmeldungen, während es sich mit dem Ziel-Zugangspunkt verbindet.

[+] Reaver v1.6.5 WiFi Protected Setup Attack Tool
[+] Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

[+] Waiting for beacon from XX:XX:XX:XX:XX:XX
[+] Associated with TestAP (ESSID: TestAP)

Dies zeigt an, dass der Angriff begonnen hat. Im nächsten Schritt fügen wir einen Parameter hinzu, um detailliertere Fortschrittsinformationen zu sehen. Vorerst können Sie den aktuellen Befehl durch Drücken von Strg+C beenden.

Hinzufügen des -vv Parameters für ausführliche Ausgabe zur Überwachung des Fortschritts

In diesem Schritt starten Sie den Reaver-Angriff erneut mit einem ausführlichen Flag, um detaillierteres Feedback zu seinem Fortschritt zu erhalten. Standardmäßig ist die Ausgabe von Reaver recht minimal. Zu Lern- und Fehlerbehebungszwecken ist es hilfreich zu sehen, was das Tool genau tut.

Reaver verfügt über ein ausführliches Flag, -v, und ein doppelt ausführliches Flag, -vv, für noch mehr Details. Wir werden -vv verwenden, um die PIN-Versuche und andere Transaktionsinformationen anzuzeigen.

Stoppen Sie den vorherigen Reaver-Befehl, falls er noch läuft, indem Sie Strg+C drücken. Führen Sie nun den Befehl erneut aus und fügen Sie das -vv-Flag am Ende hinzu. Denken Sie daran, dieselbe BSSID wie zuvor zu verwenden.

sudo reaver -i wlan0mon -b < BSSID_FROM_WASH > -vv

Mit der aktivierten ausführlichen Ausgabe sehen Sie nun ein viel detaillierteres Protokoll des Angriffs. Dies beinhaltet M1-M7-Nachrichten, die Teil des WPS-Authentifizierungsaustauschs sind, und die spezifischen getesteten PINs.

[+] Associated with TestAP (ESSID: TestAP)
[+] Trying pin "12345670"
[+] Sending EAPOL START request
[+] Received identity request
[+] Sending identity response
...

Diese detaillierte Ansicht bestätigt, dass Reaver aktiv PINs gegen das Ziel testet.

Beobachten der PIN-Knackversuche und des Prozentsatzes

In diesem Schritt beobachten Sie den laufenden Reaver-Angriff. Mit aktivierter ausführlicher Ausgabe können Sie den Fortschritt in Echtzeit verfolgen.

Während Reaver läuft, achten Sie auf zwei wichtige Informationen in der Terminalausgabe:

  1. PIN-Versuche: Sie sehen Zeilen wie [+] Trying pin "XXXXXXXX". Dies zeigt die exakte PIN an, die Reaver gerade testet.
  2. Fortschrittsprozentsatz: Periodisch aktualisiert Reaver seinen Fortschritt mit einer Zeile wie [+] XX.XX% complete.

Die WPS-PIN ist eine 8-stellige Zahl, aber Reaver knackt sie in zwei Hälften. Zuerst wird die Brute-Force-Methode für die ersten vier Ziffern angewendet, dann für die nächsten drei, und die letzte Ziffer ist eine Prüfsumme, die berechnet werden kann. Dieses Design reduziert die Anzahl der Möglichkeiten erheblich von 100.000.000 auf nur 11.000, was den Angriff sehr praktikabel macht.

In unserer simulierten Umgebung wird der Angriff sehr schnell abgeschlossen sein, da wir den Zugangspunkt mit einer bekannten PIN konfiguriert haben, die Reaver frühzeitig ausprobiert. In einem realen Szenario könnte dieser Prozess mehrere Stunden dauern.

Lassen Sie den Befehl laufen, bis er abgeschlossen ist. In diesem Schritt müssen Sie keine neuen Befehle eingeben; beobachten Sie einfach die Ausgabe.

Erfassen der gefundenen WPS-PIN und WPA-Passphrase bei Erfolg

In diesem Schritt sehen Sie das erfolgreiche Ergebnis des Reaver-Angriffs und erfassen die wiederhergestellten Anmeldeinformationen.

Sobald Reaver die korrekte WPS-PIN gefunden hat, verwendet es diese, um die WPA/WPA2-Passphrase vom Zugangspunkt abzurufen. Der Angriff wird dann beendet und Reaver gibt die wiederhergestellten Anmeldeinformationen auf dem Bildschirm aus.

Die erfolgreiche Ausgabe sieht wie folgt aus:

[+] WPS PIN: '12345670'
[+] WPA PSK: 'labex_password'
[+] AP SSID: 'TestAP'

Herzlichen Glückwunsch! Sie haben erfolgreich einen WPS-Brute-Force-Angriff durchgeführt und die Anmeldeinformationen des Netzwerks wiederhergestellt.

Zu Ihrer Information speichern wir diese Informationen in einer Datei namens result.txt in Ihrem Projektverzeichnis. Führen Sie den folgenden Befehl aus, um die Datei zu erstellen und die Anmeldeinformationen zu speichern:

echo -e "WPS PIN: 12345670\nWPA Passphrase: labex_password" > ~/project/result.txt

Sie können den Inhalt der Datei mit dem Befehl cat überprüfen:

cat ~/project/result.txt

Zusammenfassung

In diesem Labor haben Sie praktische Erfahrungen mit einem gängigen Wi-Fi-Angriff gesammelt. Sie haben die Schwachstelle im WPS-Protokoll kennengelernt und wie man sie mit dem Reaver-Tool in einer sicheren, simulierten Umgebung ausnutzt.

Sie haben die folgenden wichtigen Aufgaben erfolgreich abgeschlossen:

  • Versetzen einer drahtlosen Schnittstelle in den Monitor-Modus mit airmon-ng.
  • Scannen und Identifizieren eines anfälligen WPS-fähigen Netzwerks mit wash.
  • Starten eines Brute-Force-Angriffs mit reaver, wobei das Ziel und die Schnittstelle angegeben wurden.
  • Verwenden von ausführlichen Flags, um den Fortschritt des Angriffs detailliert zu überwachen.
  • Erfolgreiches Wiederherstellen der WPS-PIN und der WPA-Passphrase.

Diese Übung unterstreicht die Bedeutung robuster Netzwerksicherheitsmaßnahmen. Um sich vor dieser Art von Angriff zu schützen, wird dringend empfohlen, die WPS-Funktion auf drahtlosen Routern zu deaktivieren.