LabEx
EntrarJunte-se

Execute um Ataque WPS Pixie-Dust usando Reaver

Beginner
Pratique Agora

Introdução

O Wi-Fi Protected Setup (WPS) é um recurso projetado para facilitar a conexão de dispositivos a uma rede sem fio segura. No entanto, certas implementações do WPS contêm uma vulnerabilidade crítica que pode ser explorada. O ataque Pixie-Dust visa uma falha na forma como alguns pontos de acesso sem fio geram números aleatórios (nonces) durante o handshake do WPS. Ao contrário de um ataque de força bruta padrão, que pode levar horas, um ataque Pixie-Dust bem-sucedido pode recuperar o PIN do WPS e a senha WPA/WPA2 em questão de segundos.

Neste laboratório, você assumirá o papel de um penetration tester para aprender como este ataque funciona. Você usará ferramentas do conjunto aircrack-ng e o Reaver para identificar um alvo vulnerável e executar o ataque Pixie-Dust em um ambiente simulado. Isso lhe proporcionará uma compreensão prática desta poderosa técnica de hacking de Wi-Fi.

Identificar um Alvo Vulnerável ao Pixie-Dust a partir de um Scan com wash

Nesta etapa, você começará escaneando as redes Wi-Fi próximas que possuem o WPS habilitado. Para fazer isso, primeiro você precisa colocar sua interface sem fio em "modo monitor" (monitor mode), que permite capturar todo o tráfego Wi-Fi no ar, não apenas o tráfego destinado ao seu dispositivo. A ferramenta airmon-ng é usada para este propósito.

Vamos começar habilitando o modo monitor na interface wlan0. Em um cenário real, isso cria uma nova interface virtual, tipicamente chamada wlan0mon.

sudo airmon-ng start wlan0

Você deverá ver uma saída confirmando que o modo monitor foi habilitado em uma nova interface chamada wlan0mon.

PHY     Interface       Driver          Chipset
phy0    wlan0           ath9k           Atheros Communications Inc. AR9271 802.11n

        (mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
        (mac80211 station mode vif disabled for [phy0]wlan0)

Agora que você tem uma interface em modo monitor, pode usar a ferramenta wash para escanear Pontos de Acesso (APs) com WPS habilitado. O wash listará todas as redes WPS que ele detectar, juntamente com informações importantes sobre elas.

Execute o seguinte comando para iniciar o scan na sua interface monitor:

sudo wash -i wlan0mon

Após alguns momentos, o wash exibirá uma lista de redes.

Wash v1.6.5 WiFi Protected Setup Scan Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

BSSID               Ch  WPS Version  WPS Locked  ESSID
----------------------------------------------------------------
00:11:22:33:44:55   6   1.0          No          VulnerableAP
AA:BB:CC:DD:EE:FF   1   1.0          Yes         SecuredAP

A partir desta saída, procure por um alvo. O alvo ideal para um ataque Pixie-Dust é aquele onde WPS Locked é No. No nosso caso, a rede com o ESSID VulnerableAP e BSSID 00:11:22:33:44:55 é o nosso alvo. Anote o seu BSSID, pois você precisará dele nas próximas etapas.

Iniciar o Reaver com o Parâmetro -K ou --pixie-dust

Nesta etapa, prepararemos o lançamento do ataque usando o Reaver. O Reaver é uma ferramenta projetada especificamente para realizar ataques de força bruta contra PINs de registradores WPS para recuperar frases-passe WPA/WPA2.

No entanto, o Reaver também possui um modo especial para o ataque Pixie-Dust, muito mais rápido. Para habilitar este modo, você deve usar o argumento de linha de comando -K ou --pixie-dust. Quando este argumento é usado, o Reaver tentará primeiro o ataque Pixie-Dust. Se o AP alvo não for vulnerável, o Reaver poderá então recorrer ao método tradicional e mais lento de força bruta.

A estrutura básica do comando Reaver para um ataque Pixie-Dust é a seguinte:

sudo reaver -i <monitor_interface> -b <target_bssid> -K

  • sudo reaver: Executa a ferramenta Reaver com privilégios de root.
  • -i <monitor_interface>: Especifica a interface de rede que está em modo monitor (por exemplo, wlan0mon).
  • -b <target_bssid>: Especifica o BSSID (endereço MAC) do ponto de acesso alvo.
  • -K: Este é o parâmetro crucial que instrui o Reaver a realizar um ataque Pixie-Dust.

Esta etapa é sobre entender a estrutura do comando. Na próxima etapa, você combinará este conhecimento com as informações coletadas do scan wash para executar o comando completo.

Especificar o BSSID Alvo e a Interface Monitor

Agora é hora de juntar tudo e lançar o ataque. Você identificou um BSSID alvo e conhece a estrutura do comando para um ataque Pixie-Dust com Reaver.

Lembre-se da Etapa 1:

  • Interface Monitor: wlan0mon
  • BSSID Alvo: 00:11:22:33:44:55

Você agora construirá o comando Reaver completo. Também adicionaremos a opção -vv (very verbose). Isso é altamente recomendado, pois exibe informações detalhadas sobre a troca WPS, incluindo os nonces e hashes que são a chave para o ataque Pixie-Dust. Esta saída é essencial para entender como o ataque funciona.

Execute o seguinte comando no seu terminal para iniciar o ataque:

sudo reaver -i wlan0mon -b 00:11:22:33:44:55 -K -vv

O Reaver agora começará a se comunicar com o ponto de acesso alvo. Você verá uma série de mensagens indicando o progresso do handshake WPS. Como o alvo é vulnerável em nosso ambiente simulado, o ataque será muito rápido.

Compreender Como o Pixie-Dust Explora a Geração Fraca de Nonce

Nesta etapa, você analisará a saída do comando Reaver para entender a mecânica do ataque Pixie-Dust. Esta é uma etapa conceitual sem novos comandos para executar.

Observe a saída detalhada gerada pelo Reaver na etapa anterior. Você deverá ver linhas prefixadas com [P], que exibem os valores capturados durante a troca WPS:

...
[+] Sending M1 message
[+] Received M2 message
[P] E-S1: d3b25a26a713c1b2
[P] E-S2: 1a84a5e22236aebd
[P] PKE: c1...e2
[P] PKR: 3a...b1
[P] E-Hash1: 7d...c3
[P] E-Hash2: 9f...a5
[P] AuthKey: 8c...99
...

Veja o que está acontecendo:

  1. Handshake WPS: O cliente (Reaver) e o AP trocam uma série de mensagens (M1, M2, etc.) para autenticação.
  2. Troca de Nonce: Durante este handshake, eles trocam "nonces" (E-S1 e E-S2), que deveriam ser números grandes e aleatórios usados apenas uma vez.
  3. A Falha: A vulnerabilidade Pixie-Dust existe em APs que geram esses nonces usando um algoritmo fraco ou previsível. Em vez de serem verdadeiramente aleatórios, os nonces são derivados ou intimamente relacionados a segredos que podem ser usados para quebrar o PIN.
  4. Quebra Offline: O Reaver captura os dois nonces (E-S1, E-S2) e dois hashes (E-Hash1, E-Hash2) do AP. Com esses quatro valores, ele tem informações suficientes para realizar um cálculo offline. Ele tenta quebrar o PIN por força bruta em sua máquina local, sem precisar enviar mais requisições ao AP.

Como o processo de quebra é feito offline e explora a fraqueza matemática na geração de nonce, ele contorna as defesas de limitação de taxa do AP e encontra o PIN correto quase instantaneamente.

Observe a Recuperação Quase Instantânea do PIN e da Chave

Nesta etapa final, você observará o resultado bem-sucedido do ataque. Após o Reaver realizar os cálculos offline, ele exibirá as credenciais recuperadas.

A parte final da saída do Reaver da Etapa 3 deve se parecer com isto:

...
[+] Pixie-Dust attack...
[+] 100.00% complete @ 2023-10-27 10:30:00 (0 seconds remaining)
[+] WPS PIN: '12345670'
[+] WPA PSK: 'SuperSecretPassword'
[+] AP SSID: 'VulnerableAP'

Vamos detalhar as informações recuperadas:

  • WPS PIN: '12345670': Este é o PIN de 8 dígitos para o recurso WPS do roteador. Você poderia usar este PIN para conectar outros dispositivos habilitados para WPS à rede.
  • WPA PSK: 'SuperSecretPassword': Esta é a Chave Pré-Compartilhada WPA/WPA2, que é a senha real do Wi-Fi para a rede. Este é o objetivo final do ataque.
  • AP SSID: 'VulnerableAP': Isso confirma o nome da rede que você comprometeu com sucesso.

O aspecto mais notável é a velocidade. Observe os "0 seconds remaining" na saída. Todo o processo, desde o início do handshake até a recuperação da chave, levou apenas alguns segundos. Isso contrasta fortemente com um ataque tradicional de força bruta WPS, que poderia levar muitas horas ou até mesmo ser impossível se o AP bloquear o WPS após várias tentativas falhas. Você demonstrou com sucesso a eficácia do ataque WPS Pixie-Dust.

Resumo

Neste laboratório, você executou com sucesso um ataque WPS Pixie-Dust em um ambiente simulado. Você ganhou experiência prática com ferramentas e conceitos essenciais de avaliação de segurança Wi-Fi.

Você aprendeu a:

  • Usar airmon-ng para habilitar o modo monitor em uma interface sem fio.
  • Usar wash para escanear e identificar pontos de acesso habilitados para WPS.
  • Compreender o propósito da flag -K (--pixie-dust) no Reaver.
  • Executar um ataque Pixie-Dust direcionado usando reaver, especificando o BSSID do alvo.
  • Interpretar a saída para entender como o ataque explora a geração fraca de nonce.
  • Observar a recuperação quase instantânea tanto do WPS PIN quanto do WPA PSK.

Este laboratório destaca uma vulnerabilidade significativa do mundo real. A defesa mais eficaz contra este e outros ataques relacionados ao WPS é desabilitar completamente o recurso WPS nas configurações de administração do seu roteador.