LabEx
EntrerRejoindre

Effectuer une attaque par force brute WPS avec Reaver

Beginner
Pratiquer maintenant

Introduction

Le Wi-Fi Protected Setup (WPS) est une norme de sécurité réseau conçue pour rendre les connexions entre un routeur et les appareils sans fil plus rapides et plus faciles. Cependant, un défaut de conception important dans sa fonctionnalité PIN le rend vulnérable aux attaques par force brute.

Dans ce laboratoire, vous apprendrez à exploiter cette vulnérabilité à l'aide de Reaver, un outil spécialement conçu à cet effet. Vous parcourrez l'ensemble du processus, de la configuration de votre interface sans fil et de la recherche de cibles au lancement de l'attaque et à la récupération réussie de la phrase de passe WPA/WPA2. Cette expérience pratique vous donnera une compréhension pratique d'un vecteur d'attaque Wi-Fi courant et de l'importance de l'hygiène de la sécurité réseau.

Pour ce laboratoire, nous utiliserons un environnement Wi-Fi simulé, afin que vous puissiez effectuer ces actions en toute sécurité et légalité.

Sélectionner un BSSID cible à partir du scan wash

Dans cette étape, vous préparerez votre interface sans fil pour la surveillance et scannerez les réseaux activés pour le WPS et vulnérables. La première tâche consiste à mettre votre carte sans fil en "mode moniteur" (monitor mode), ce qui lui permet de capturer tout le trafic Wi-Fi dans l'air, pas seulement le trafic destiné à votre appareil. Nous utiliserons airmon-ng pour cela. Ensuite, nous utiliserons wash pour identifier notre cible.

Tout d'abord, lançons l'interface sans fil virtuelle wlan0 en mode moniteur. Cela créera une nouvelle interface, généralement nommée wlan0mon.

sudo airmon-ng start wlan0

Vous devriez voir une sortie confirmant que le mode moniteur a été activé. Maintenant, avec votre interface en mode moniteur, vous pouvez utiliser wash pour scanner les points d'accès à proximité activés pour le WPS.

sudo wash -i wlan0mon

Après quelques instants, wash affichera une liste de réseaux. Notre réseau simulé est nommé TestAP.

BSSID               Ch  WPS Version  WPS Locked  ESSID
--------------------------------------------------------------------------------
XX:XX:XX:XX:XX:XX   6   1.0          No          TestAP

À partir de cette sortie, identifiez et copiez le BSSID du réseau TestAP. Le BSSID est l'adresse matérielle unique du point d'accès, et vous en aurez besoin pour lancer l'attaque à l'étape suivante.

Lancer l'attaque Reaver avec les drapeaux -i et -b

Dans cette étape, vous lancerez l'attaque Reaver contre le point d'accès cible que vous avez identifié. Reaver automatise le processus d'essai de toutes les combinaisons possibles de PIN WPS pour trouver la bonne.

Pour lancer l'attaque, vous devez fournir à Reaver deux informations essentielles : l'interface en mode moniteur et le BSSID de la cible.

  • -i <interface> : Spécifie l'interface en mode moniteur (par exemple, wlan0mon).
  • -b <bssid> : Spécifie le BSSID du point d'accès cible.

Maintenant, exécutez la commande reaver. Remplacez <BSSID_FROM_WASH> par le BSSID réel que vous avez copié à l'étape précédente.

sudo reaver -i wlan0mon -b <BSSID_FROM_WASH>

Une fois que vous exécutez la commande, Reaver démarrera. Vous verrez des messages d'état initiaux lorsqu'il s'associera au point d'accès cible.

[+] Reaver v1.6.5 WiFi Protected Setup Attack Tool
[+] Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

[+] Waiting for beacon from XX:XX:XX:XX:XX:XX
[+] Associated with TestAP (ESSID: TestAP)

Cela indique que l'attaque a commencé. À l'étape suivante, nous ajouterons un paramètre pour voir une progression plus détaillée. Pour l'instant, vous pouvez arrêter la commande actuelle en appuyant sur Ctrl+C.

Ajouter le paramètre -vv pour une sortie détaillée afin de suivre la progression

Dans cette étape, vous redémarrerez l'attaque Reaver avec un indicateur de verbosité pour obtenir un retour plus détaillé sur sa progression. Par défaut, la sortie de Reaver est assez minimale. Pour l'apprentissage et le dépannage, il est utile de voir exactement ce que fait l'outil.

Reaver dispose d'un indicateur de verbosité, -v, et d'un indicateur de double verbosité, -vv, pour encore plus de détails. Nous utiliserons -vv pour voir les tentatives de PIN et d'autres informations transactionnelles.

Arrêtez la commande Reaver précédente si elle est toujours en cours en appuyant sur Ctrl+C. Maintenant, réexécutez la commande, en ajoutant l'indicateur -vv à la fin. N'oubliez pas d'utiliser le même BSSID qu'auparavant.

sudo reaver -i wlan0mon -b < BSSID_FROM_WASH > -vv

Avec la sortie détaillée activée, vous verrez maintenant un journal beaucoup plus détaillé de l'attaque. Cela inclut les messages M1-M7, qui font partie de l'échange d'authentification WPS, et les PIN spécifiques qui sont testés.

[+] Associated with TestAP (ESSID: TestAP)
[+] Trying pin "12345670"
[+] Sending EAPOL START request
[+] Received identity request
[+] Sending identity response
...

Cette vue détaillée confirme que Reaver teste activement les PIN contre la cible.

Observer les tentatives de craquage du PIN et le pourcentage

Dans cette étape, vous observerez l'attaque Reaver pendant son exécution. Avec la sortie détaillée activée, vous pouvez suivre la progression en temps réel.

Pendant que Reaver s'exécute, portez attention à deux informations clés dans la sortie du terminal :

  1. Tentatives de PIN : Vous verrez des lignes comme [+] Trying pin "XXXXXXXX". Cela montre le PIN exact que Reaver teste actuellement.
  2. Pourcentage de progression : Périodiquement, Reaver mettra à jour sa progression avec une ligne comme [+] XX.XX% complete.

Le PIN WPS est un nombre à 8 chiffres, mais Reaver le craque en deux parties. Il force d'abord les quatre premiers chiffres, puis les trois suivants, et le dernier chiffre est une somme de contrôle qui peut être calculée. Cette conception réduit considérablement le nombre de possibilités de 100 000 000 à seulement 11 000, rendant l'attaque très pratique.

Dans notre environnement simulé, l'attaque se terminera très rapidement car nous avons configuré le point d'accès avec un PIN connu que Reaver essaie tôt. Dans un scénario réel, ce processus pourrait prendre plusieurs heures.

Laissez la commande s'exécuter jusqu'à ce qu'elle soit terminée. Vous n'avez pas besoin de saisir de nouvelles commandes dans cette étape ; observez simplement la sortie.

Enregistrer le PIN WPS et la phrase de passe WPA trouvés en cas de succès

Dans cette étape, vous verrez le résultat réussi de l'attaque Reaver et enregistrerez les identifiants récupérés.

Une fois que Reaver trouve le bon PIN WPS, il l'utilisera pour récupérer la phrase de passe WPA/WPA2 du point d'accès. L'attaque s'arrêtera alors, et Reaver affichera les identifiants récupérés à l'écran.

La sortie réussie ressemblera à ceci :

[+] WPS PIN: '12345670'
[+] WPA PSK: 'labex_password'
[+] AP SSID: 'TestAP'

Félicitations ! Vous avez réussi à effectuer une attaque par force brute WPS et à récupérer les identifiants du réseau.

Pour vos archives, enregistrons ces informations dans un fichier nommé result.txt dans votre répertoire de projet. Exécutez la commande suivante pour créer le fichier et stocker les identifiants :

echo -e "WPS PIN: 12345670\nWPA Passphrase: labex_password" > ~/project/result.txt

Vous pouvez vérifier le contenu du fichier en utilisant la commande cat :

cat ~/project/result.txt

Résumé

Dans ce laboratoire, vous avez acquis une expérience pratique d'une attaque Wi-Fi courante. Vous avez découvert la vulnérabilité du protocole WPS et comment l'exploiter à l'aide de l'outil Reaver dans un environnement simulé et sécurisé.

Vous avez accompli avec succès les tâches clés suivantes :

  • Mettre une interface sans fil en mode moniteur à l'aide de airmon-ng.
  • Scanner et identifier un réseau vulnérable activé pour le WPS à l'aide de wash.
  • Lancer une attaque par force brute à l'aide de reaver, en spécifiant la cible et l'interface.
  • Utiliser des indicateurs verbaux pour suivre en détail la progression de l'attaque.
  • Récupérer avec succès le PIN WPS et la phrase de passe WPA.

Cet exercice souligne l'importance de pratiques de sécurité réseau robustes. Pour vous protéger contre ce type d'attaque, il est fortement recommandé de désactiver la fonctionnalité WPS sur les routeurs sans fil.