LabEx
EntrarÚnete

Escanear redes habilitadas para WPS con wash

Beginner
Practicar Ahora

Introducción

Wi-Fi Protected Setup (WPS) es una función diseñada para facilitar la conexión de dispositivos a una red inalámbrica. Sin embargo, ciertas implementaciones de WPS tienen un defecto de diseño que las hace vulnerables a ataques de fuerza bruta, permitiendo a un atacante descubrir la contraseña WPA/WPA2 de la red.

Antes de intentar dicho ataque, primero debe identificar qué redes cercanas tienen WPS habilitado y no están bloqueadas. La herramienta wash, que forma parte de la suite Reaver, está diseñada específicamente para este propósito. Escanea las ondas de radio en busca de puntos de acceso con WPS habilitado e informa su estado.

En este laboratorio, aprenderá los pasos fundamentales del reconocimiento inalámbrico utilizando wash para encontrar objetivos potenciales. Instalará las herramientas necesarias, pondrá una tarjeta inalámbrica simulada en modo monitor y luego ejecutará e interpretará la salida de un escaneo de wash.

Asegurarse de que la suite Reaver esté instalada

En este paso, instalará los paquetes de software necesarios. El comando wash forma parte del paquete reaver. También instalaremos aircrack-ng, una suite de herramientas para la seguridad de redes Wi-Fi, que contiene la utilidad airmon-ng que necesitaremos en el siguiente paso.

Primero, actualice su lista de paquetes y luego instale reaver utilizando el gestor de paquetes apt. La bandera -y confirma automáticamente la instalación.

sudo apt update
sudo apt install reaver -y

Verá la salida mientras el gestor de paquetes descarga e instala reaver y sus dependencias.

A continuación, instale la suite aircrack-ng:

sudo apt install aircrack-ng -y

Una vez que ambos comandos se completen con éxito, tendrá todas las herramientas necesarias para este laboratorio.

Poner su tarjeta inalámbrica en modo monitor

En este paso, habilitará el "modo monitor" en su interfaz inalámbrica. El modo Wi-Fi estándar, conocido como "modo gestionado" (managed mode), solo captura paquetes dirigidos a su dispositivo. El modo monitor es un modo promiscuo que captura todo el tráfico inalámbrico en un canal determinado, lo cual es esencial para herramientas como wash.

Utilizaremos la utilidad airmon-ng para esta tarea. Primero, es una buena práctica verificar y detener cualquier proceso que pueda interferir con el modo monitor.

Ejecute el siguiente comando para detener procesos potencialmente conflictivos:

sudo airmon-ng check kill

Debería ver una salida simulada que indica que un proceso como wpa_supplicant ha sido detenido.

Killing these processes:

  PID Name
  123 wpa_supplicant

Ahora, inicie el modo monitor en la interfaz inalámbrica simulada, wlan0. Este comando creará una nueva interfaz virtual, típicamente llamada wlan0mon, que es la que utilizaremos para escanear.

sudo airmon-ng start wlan0

La salida confirmará que el modo monitor se ha habilitado en una nueva interfaz llamada wlan0mon.

PHY     Interface       Driver          Chipset
phy0    wlan0           ath9k           Atheros Communications Inc. AR9271 802.11n

                (mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
                (mac80211 station mode vif disabled for [phy0]wlan0)

Su tarjeta inalámbrica ahora está lista para escanear todo el tráfico cercano.

Ejecutar wash en la interfaz monitor usando la bandera -i

En este paso, con su interfaz en modo monitor, ahora puede usar wash para comenzar a escanear redes habilitadas para WPS.

La sintaxis básica para wash requiere que especifique la interfaz en modo monitor usando la bandera -i. Como se estableció en el paso anterior, nuestra interfaz monitor es wlan0mon.

Ejecute el siguiente comando en su terminal para iniciar el escaneo:

sudo wash -i wlan0mon

wash comenzará a escanear y mostrará una lista de redes que descubre en tiempo real. La salida se verá similar a esto:

Wash v1.6.5 WiFi Protected Setup Scan Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

BSSID              Channel  RSSI  WPS Version  WPS Locked  ESSID
--------------------------------------------------------------------------------
C4:01:A3:1E:B4:29  1        -65   1.0          No          TestNet-WPS-Unlocked
A0:B2:C3:D4:E5:F6  6        -78   1.0          Yes         Home-Network-5G
12:34:56:78:90:AB  11       -52   1.0          No          CoffeeShop-WiFi
DE:AD:BE:EF:00:11  1        -81   1.0          Yes         Locked-AP

El escaneo se ejecutará indefinidamente. Déjelo correr durante unos 10-15 segundos para que la lista se complete, luego presione Ctrl+C para detener el proceso y volver al prompt del comando.

Interpretar las columnas de salida de wash como BSSID y WPS Locked

En este paso, aprenderá a interpretar la información proporcionada por wash. Comprender esta salida es fundamental para seleccionar un objetivo viable. No hay comandos que ejecutar en este paso; simplemente revise el desglose de las columnas de la salida anterior.

Analicemos las columnas:

  • BSSID: Este es el Basic Service Set Identifier, que es la dirección MAC (Media Access Control) única del punto de acceso inalámbrico (AP). Necesita esta dirección para dirigirse a una red específica con herramientas como reaver.
  • Channel: El canal inalámbrico en el que opera el AP (por ejemplo, 1, 6, 11).
  • RSSI: Received Signal Strength Indicator (Indicador de Intensidad de Señal Recibida). Este valor indica qué tan fuerte es la señal del AP. Es un número negativo, y un valor más cercano a 0 indica una señal más fuerte (por ejemplo, -50 es más fuerte que -80). Una señal más fuerte es mejor para una conexión fiable.
  • WPS Version: La versión del protocolo WPS que está utilizando el AP.
  • WPS Locked: Esta es la columna más importante para nuestros propósitos.
    • No: Indica que la función WPS del AP no está bloqueada. Este es un objetivo potencialmente vulnerable.
    • Yes: Indica que el AP probablemente ha detectado intentos previos de fuerza bruta y ha bloqueado su función WPS, ya sea temporal o permanentemente. Estos objetivos no son actualmente vulnerables a un ataque de PIN WPS.
  • ESSID: Este es el Extended Service Set Identifier, que es el nombre legible de la red Wi-Fi (por ejemplo, "CoffeeShop-WiFi").

Al comprender estos campos, puede evaluar rápidamente qué redes vale la pena investigar más a fondo.

Identificar un objetivo desbloqueado adecuado para un ataque WPS

En este último paso práctico, aplicará los conocimientos de la sección anterior para analizar los resultados de su escaneo e identificar el mejor objetivo potencial para un ataque WPS. Este es un paso de pensamiento crítico basado en los datos que ha recopilado.

Revise la salida de su escaneo wash en el Paso 3:

BSSID              Channel  RSSI  WPS Version  WPS Locked  ESSID
--------------------------------------------------------------------------------
C4:01:A3:1E:B4:29  1        -65   1.0          No          TestNet-WPS-Unlocked
A0:B2:C3:D4:E5:F6  6        -78   1.0          Yes         Home-Network-5G
12:34:56:78:90:AB  11       -52   1.0          No          CoffeeShop-WiFi
DE:AD:BE:EF:00:11  1        -81   1.0          Yes         Locked-AP

Para identificar un objetivo adecuado, debe buscar dos características clave:

  1. WPS Locked es No: Este es un requisito obligatorio. Un AP con un estado WPS bloqueado no puede ser atacado.
  2. RSSI fuerte: Una señal más fuerte (un número más cercano a 0) aumenta las posibilidades de un ataque exitoso y más rápido.

Basándonos en estos criterios, analicemos la lista:

  • Home-Network-5G y Locked-AP no son objetivos viables porque su estado WPS Locked es Yes.
  • TestNet-WPS-Unlocked y CoffeeShop-WiFi son ambos objetivos viables porque su estado WPS Locked es No.

Entre estos dos, CoffeeShop-WiFi tiene una señal más fuerte (-52) en comparación con TestNet-WPS-Unlocked (-65), lo que lo convierte en el objetivo principal ideal.

Ahora ha identificado con éxito un objetivo vulnerable. El siguiente paso lógico en una prueba de penetración real (que está fuera del alcance de este laboratorio) sería utilizar la herramienta reaver con el BSSID del objetivo (12:34:56:78:90:AB) para comenzar el proceso de descifrado del PIN.

Resumen

En este laboratorio, ha aprendido el primer paso esencial para evaluar la seguridad de las redes habilitadas para WPS. Ha utilizado con éxito una combinación de herramientas de las suites aircrack-ng y reaver para realizar reconocimiento en un entorno inalámbrico simulado.

Ha aprendido a:

  • Instalar los paquetes reaver y aircrack-ng.
  • Utilizar airmon-ng para poner una interfaz inalámbrica en modo monitor, un requisito previo para la mayoría de las tareas de seguridad inalámbrica.
  • Ejecutar el comando wash para escanear y descubrir puntos de acceso habilitados para WPS.
  • Interpretar la salida detallada de wash, prestando especial atención a los campos críticos WPS Locked y RSSI.
  • Analizar los resultados del escaneo para identificar los objetivos más prometedores para un posible ataque WPS.

Esta habilidad fundamental es crucial para cualquier profesional o entusiasta de la seguridad de redes que busque comprender y probar las vulnerabilidades de las redes Wi-Fi.