LabEx
EntrerRejoindre

Scanner les réseaux Wi-Fi avec WPS activé à l'aide de wash

Beginner
Pratiquer maintenant

Introduction

Wi-Fi Protected Setup (WPS) est une fonctionnalité conçue pour faciliter la connexion des appareils à un réseau sans fil. Cependant, certaines implémentations de WPS présentent un défaut de conception qui les rend vulnérables aux attaques par force brute, permettant à un attaquant de découvrir le mot de passe WPA/WPA2 du réseau.

Avant de tenter une telle attaque, vous devez d'abord identifier quels réseaux à proximité ont le WPS activé et ne sont pas verrouillés. L'outil wash, qui fait partie de la suite Reaver, est conçu spécifiquement à cet effet. Il scanne les ondes radio à la recherche de points d'accès compatibles WPS et rapporte leur statut.

Dans ce laboratoire, vous apprendrez les étapes fondamentales de la reconnaissance sans fil en utilisant wash pour trouver des cibles potentielles. Vous installerez les outils nécessaires, placerez une carte sans fil simulée en mode moniteur, puis exécuterez et interpréterez la sortie d'un scan wash.

Assurez-vous que la suite Reaver est installée

Dans cette étape, vous allez installer les paquets logiciels nécessaires. La commande wash fait partie du paquet reaver. Nous allons également installer aircrack-ng, une suite d'outils pour la sécurité des réseaux Wi-Fi, qui contient l'utilitaire airmon-ng dont nous aurons besoin à l'étape suivante.

Tout d'abord, mettez à jour votre liste de paquets, puis installez reaver en utilisant le gestionnaire de paquets apt. Le drapeau -y confirme automatiquement l'installation.

sudo apt update
sudo apt install reaver -y

Vous verrez la sortie du gestionnaire de paquets lorsqu'il récupère et installe reaver et ses dépendances.

Ensuite, installez la suite aircrack-ng :

sudo apt install aircrack-ng -y

Une fois que les deux commandes se sont terminées avec succès, vous disposerez de tous les outils requis pour ce laboratoire.

Mettez votre carte sans fil en mode moniteur

Dans cette étape, vous allez activer le "mode moniteur" sur votre interface sans fil. Le mode Wi-Fi standard, connu sous le nom de "mode géré" (managed mode), ne capture que les paquets adressés à votre appareil. Le mode moniteur est un mode promiscu (promiscuous mode) qui capture tout le trafic sans fil sur un canal donné, ce qui est essentiel pour des outils comme wash.

Nous utiliserons l'utilitaire airmon-ng pour cette tâche. Premièrement, il est de bon ton de vérifier et d'arrêter tout processus susceptible d'interférer avec le mode moniteur.

Exécutez la commande suivante pour arrêter les processus potentiellement conflictuels :

sudo airmon-ng check kill

Vous devriez voir une sortie simulée indiquant qu'un processus tel que wpa_supplicant a été arrêté.

Killing these processes:

  PID Name
  123 wpa_supplicant

Maintenant, démarrez le mode moniteur sur l'interface sans fil simulée, wlan0. Cette commande créera une nouvelle interface virtuelle, généralement nommée wlan0mon, qui est celle que nous utiliserons pour le scan.

sudo airmon-ng start wlan0

La sortie confirmera que le mode moniteur a été activé sur une nouvelle interface nommée wlan0mon.

PHY     Interface       Driver          Chipset
phy0    wlan0           ath9k           Atheros Communications Inc. AR9271 802.11n

                (mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
                (mac80211 station mode vif disabled for [phy0]wlan0)

Votre carte sans fil est maintenant prête à scanner tout le trafic à proximité.

Exécutez wash sur l'interface moniteur en utilisant le drapeau -i

Dans cette étape, votre interface étant en mode moniteur, vous pouvez maintenant utiliser wash pour commencer à scanner les réseaux activés pour le WPS.

La syntaxe de base de wash exige que vous spécifiiez l'interface en mode moniteur à l'aide du drapeau -i. Comme établi à l'étape précédente, notre interface moniteur est wlan0mon.

Exécutez la commande suivante dans votre terminal pour démarrer le scan :

sudo wash -i wlan0mon

wash commencera à scanner et affichera en temps réel une liste des réseaux qu'il découvre. La sortie ressemblera à ceci :

Wash v1.6.5 WiFi Protected Setup Scan Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

BSSID              Channel  RSSI  WPS Version  WPS Locked  ESSID
--------------------------------------------------------------------------------
C4:01:A3:1E:B4:29  1        -65   1.0          No          TestNet-WPS-Unlocked
A0:B2:C3:D4:E5:F6  6        -78   1.0          Yes         Home-Network-5G
12:34:56:78:90:AB  11       -52   1.0          No          CoffeeShop-WiFi
DE:AD:BE:EF:00:11  1        -81   1.0          Yes         Locked-AP

Le scan s'exécutera indéfiniment. Laissez-le tourner pendant environ 10 à 15 secondes pour remplir la liste, puis appuyez sur Ctrl+C pour arrêter le processus et revenir à l'invite de commande.

Interprétez la sortie de wash comme BSSID et WPS Locked

Dans cette étape, vous apprendrez à interpréter les informations fournies par wash. Comprendre cette sortie est essentiel pour sélectionner une cible viable. Il n'y a pas de commandes à exécuter dans cette étape ; examinez simplement la répartition des colonnes de la sortie précédente.

Analysons les colonnes :

  • BSSID : Il s'agit du Basic Service Set Identifier, qui est l'adresse MAC (Media Access Control) unique du point d'accès sans fil (AP). Vous avez besoin de cette adresse pour cibler un réseau spécifique avec des outils comme reaver.
  • Channel : Le canal sans fil sur lequel l'AP fonctionne (par exemple, 1, 6, 11).
  • RSSI : Received Signal Strength Indicator (Indicateur de force du signal reçu). Cette valeur indique la force du signal de l'AP. C'est un nombre négatif, et une valeur plus proche de 0 indique un signal plus fort (par exemple, -50 est plus fort que -80). Un signal plus fort est préférable pour une connexion fiable.
  • WPS Version : La version du protocole WPS utilisée par l'AP.
  • WPS Locked : C'est la colonne la plus importante pour nos objectifs.
    • No : Indique que la fonctionnalité WPS de l'AP n'est pas verrouillée. C'est une cible potentiellement vulnérable.
    • Yes : Indique que l'AP a probablement détecté des tentatives de force brute précédentes et a verrouillé sa fonctionnalité WPS, temporairement ou de manière permanente. Ces cibles ne sont actuellement pas vulnérables à une attaque par code PIN WPS.
  • ESSID : Il s'agit du Extended Service Set Identifier, qui est le nom lisible par l'homme du réseau Wi-Fi (par exemple, "CoffeeShop-WiFi").

En comprenant ces champs, vous pouvez rapidement évaluer quels réseaux méritent une investigation plus approfondie.

Identifier une cible déverrouillée appropriée pour une attaque WPS

Dans cette dernière étape pratique, vous appliquerez les connaissances de la section précédente pour analyser vos résultats de scan et identifier la meilleure cible potentielle pour une attaque WPS. C'est une étape de réflexion critique basée sur les données que vous avez collectées.

Examinez la sortie de votre scan wash à l'étape 3 :

BSSID              Channel  RSSI  WPS Version  WPS Locked  ESSID
--------------------------------------------------------------------------------
C4:01:A3:1E:B4:29  1        -65   1.0          No          TestNet-WPS-Unlocked
A0:B2:C3:D4:E5:F6  6        -78   1.0          Yes         Home-Network-5G
12:34:56:78:90:AB  11       -52   1.0          No          CoffeeShop-WiFi
DE:AD:BE:EF:00:11  1        -81   1.0          Yes         Locked-AP

Pour identifier une cible appropriée, vous devez rechercher deux caractéristiques clés :

  1. WPS Locked est No : C'est une exigence obligatoire. Un AP avec un état WPS verrouillé ne peut pas être attaqué.
  2. RSSI fort : Un signal plus fort (un nombre plus proche de 0) augmente les chances d'une attaque réussie et plus rapide.

Sur la base de ces critères, analysons la liste :

  • Home-Network-5G et Locked-AP ne sont pas des cibles viables car leur statut WPS Locked est Yes.
  • TestNet-WPS-Unlocked et CoffeeShop-WiFi sont toutes deux des cibles viables car leur statut WPS Locked est No.

Entre ces deux, CoffeeShop-WiFi a un signal plus fort (-52) par rapport à TestNet-WPS-Unlocked (-65), ce qui en fait la cible principale idéale.

Vous avez maintenant identifié avec succès une cible vulnérable. La prochaine étape logique dans un test de pénétration réel (qui dépasse le cadre de ce laboratoire) serait d'utiliser l'outil reaver avec le BSSID de la cible (12:34:56:78:90:AB) pour commencer le processus de craquage du code PIN.

Résumé

Dans ce laboratoire, vous avez appris la première étape essentielle pour évaluer la sécurité des réseaux compatibles WPS. Vous avez utilisé avec succès une combinaison d'outils des suites aircrack-ng et reaver pour effectuer une reconnaissance sur un environnement sans fil simulé.

Vous avez appris à :

  • Installer les paquets reaver et aircrack-ng.
  • Utiliser airmon-ng pour placer une interface sans fil en mode moniteur, une condition préalable à la plupart des tâches de sécurité sans fil.
  • Exécuter la commande wash pour scanner et découvrir les points d'accès compatibles WPS.
  • Interpréter la sortie détaillée de wash, en prêtant une attention particulière aux champs critiques WPS Locked et RSSI.
  • Analyser les résultats du scan pour identifier les cibles les plus prometteuses pour une attaque WPS potentielle.

Cette compétence fondamentale est cruciale pour tout professionnel de la sécurité réseau ou passionné cherchant à comprendre et à tester les vulnérabilités des réseaux Wi-Fi.