LabEx
ВходРегистрация

Выполнение атаки WPS Pixie-Dust с использованием Reaver

Beginner
Практиковаться сейчас

Введение

Wi-Fi Protected Setup (WPS) — это функция, разработанная для упрощения подключения устройств к безопасной беспроводной сети. Однако некоторые реализации WPS содержат критическую уязвимость, которую можно использовать. Атака Pixie-Dust нацелена на недостаток в том, как некоторые беспроводные точки доступа генерируют случайные числа (nonce) во время рукопожатия WPS. В отличие от стандартной атаки методом полного перебора, которая может занимать часы, успешная атака Pixie-Dust может восстановить WPS PIN и пароль WPA/WPA2 за считанные секунды.

В этой лаборатории вы примете на себя роль специалиста по тестированию на проникновение, чтобы узнать, как работает эта атака. Вы будете использовать инструменты из набора aircrack-ng и Reaver для идентификации уязвимой цели и выполнения атаки Pixie-Dust в симулированной среде. Это даст вам практическое понимание этой мощной техники взлома Wi-Fi.

Определение цели, уязвимой для Pixie-Dust, с помощью сканирования wash

На этом этапе вы начнете со сканирования ближайших Wi-Fi сетей с включенным WPS. Для этого вам сначала нужно перевести ваш беспроводной интерфейс в "режим мониторинга" (monitor mode), который позволяет ему захватывать весь Wi-Fi трафик в эфире, а не только трафик, адресованный вашему устройству. Для этой цели используется инструмент airmon-ng.

Начнем с включения режима мониторинга на интерфейсе wlan0. В реальном сценарии это создает новый виртуальный интерфейс, обычно называемый wlan0mon.

sudo airmon-ng start wlan0

Вы должны увидеть вывод, подтверждающий, что режим мониторинга был включен на новом интерфейсе с именем wlan0mon.

PHY     Interface       Driver          Chipset
phy0    wlan0           ath9k           Atheros Communications Inc. AR9271 802.11n

        (mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
        (mac80211 station mode vif disabled for [phy0]wlan0)

Теперь, когда у вас есть интерфейс в режиме мониторинга, вы можете использовать инструмент wash для сканирования точек доступа (AP), поддерживающих WPS. wash перечислит все обнаруженные им WPS сети вместе с важной информацией о них.

Выполните следующую команду, чтобы начать сканирование на вашем интерфейсе мониторинга:

sudo wash -i wlan0mon

Через несколько мгновений wash отобразит список сетей.

Wash v1.6.5 WiFi Protected Setup Scan Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

BSSID               Ch  WPS Version  WPS Locked  ESSID
----------------------------------------------------------------
00:11:22:33:44:55   6   1.0          No          VulnerableAP
AA:BB:CC:DD:EE:FF   1   1.0          Yes         SecuredAP

Из этого вывода найдите цель. Идеальной целью для атаки Pixie-Dust является сеть, у которой WPS Locked установлено в No. В нашем случае целью является сеть с ESSID VulnerableAP и BSSID 00:11:22:33:44:55. Запишите ее BSSID, так как он вам понадобится на следующих шагах.

Запуск Reaver с параметром -K или --pixie-dust

На этом этапе мы подготовимся к запуску атаки с использованием Reaver. Reaver — это инструмент, специально разработанный для проведения атак методом полного перебора против PIN-кодов WPS регистраторов с целью восстановления парольных фраз WPA/WPA2.

Однако Reaver также имеет специальный режим для гораздо более быстрой атаки Pixie-Dust. Чтобы включить этот режим, вы должны использовать аргумент командной строки -K или --pixie-dust. Когда этот аргумент используется, Reaver сначала попытается выполнить атаку Pixie-Dust. Если целевая точка доступа не уязвима, Reaver может затем перейти к традиционному, более медленному методу полного перебора.

Базовая структура команды Reaver для атаки Pixie-Dust выглядит следующим образом:

sudo reaver -i <monitor_interface> -b <target_bssid> -K

  • sudo reaver: Запускает инструмент Reaver с правами суперпользователя.
  • -i <monitor_interface>: Указывает сетевой интерфейс, находящийся в режиме мониторинга (например, wlan0mon).
  • -b <target_bssid>: Указывает BSSID (MAC-адрес) целевой точки доступа.
  • -K: Это ключевой переключатель, который указывает Reaver выполнить атаку Pixie-Dust.

Этот шаг посвящен пониманию структуры команды. На следующем шаге вы объедините эти знания с информацией, собранной в результате сканирования wash, для выполнения полной команды.

Указание целевого BSSID и интерфейса мониторинга

Теперь пришло время собрать все воедино и запустить атаку. Вы определили целевой BSSID и знаете структуру команды для атаки Pixie-Dust с помощью Reaver.

Вспомним из Шага 1:

  • Интерфейс мониторинга: wlan0mon
  • Целевой BSSID: 00:11:22:33:44:55

Теперь вы составите полную команду Reaver. Мы также добавим опцию -vv (очень подробный вывод). Это настоятельно рекомендуется, поскольку она отображает подробную информацию об обмене WPS, включая nonce и хэши, которые являются ключом к атаке Pixie-Dust. Этот вывод необходим для понимания того, как работает атака.

Выполните следующую команду в вашем терминале, чтобы начать атаку:

sudo reaver -i wlan0mon -b 00:11:22:33:44:55 -K -vv

Reaver теперь начнет взаимодействие с целевой точкой доступа. Вы увидите серию сообщений, указывающих на ход рукопожатия WPS. Поскольку цель в нашей симулированной среде уязвима, атака будет очень быстрой.

Понимание того, как Pixie-Dust использует уязвимость в генерации Nonce

На этом этапе вы проанализируете вывод команды Reaver, чтобы понять механику атаки Pixie-Dust. Это концептуальный шаг, не требующий выполнения новых команд.

Посмотрите на подробный вывод, сгенерированный Reaver на предыдущем шаге. Вы должны увидеть строки, начинающиеся с [P], которые отображают значения, захваченные во время обмена WPS:

...
[+] Sending M1 message
[+] Received M2 message
[P] E-S1: d3b25a26a713c1b2
[P] E-S2: 1a84a5e22236aebd
[P] PKE: c1...e2
[P] PKR: 3a...b1
[P] E-Hash1: 7d...c3
[P] E-Hash2: 9f...a5
[P] AuthKey: 8c...99
...

Вот что происходит:

  1. Рукопожатие WPS: Клиент (Reaver) и точка доступа обмениваются серией сообщений (M1, M2 и т. д.) для аутентификации.
  2. Обмен Nonce: Во время этого рукопожатия они обмениваются "nonce" (E-S1 и E-S2), которые должны быть большими, случайными числами, используемыми только один раз.
  3. Уязвимость: Уязвимость Pixie-Dust существует в точках доступа, которые генерируют эти nonce с использованием слабого или предсказуемого алгоритма. Вместо того чтобы быть по-настоящему случайными, nonce выводятся из секретных данных или тесно связаны с ними, которые могут быть использованы для взлома PIN-кода.
  4. Офлайн-взлом: Reaver захватывает два nonce (E-S1, E-S2) и два хэша (E-Hash1, E-Hash2) из точки доступа. Имея эти четыре значения, он получает достаточно информации для выполнения офлайн вычислений. Он методом полного перебора подбирает PIN-код на вашей локальной машине, не отправляя больше запросов к точке доступа.

Поскольку процесс взлома выполняется офлайн и использует математическую слабость в генерации nonce, он обходит механизмы ограничения скорости точки доступа и почти мгновенно находит правильный PIN-код.

Наблюдение почти мгновенного восстановления PIN-кода и ключа

На этом заключительном этапе вы увидите успешный результат атаки. После того как Reaver выполнит офлайн-вычисления, он отобразит восстановленные учетные данные.

Заключительная часть вывода Reaver из Шага 3 должна выглядеть следующим образом:

...
[+] Pixie-Dust attack...
[+] 100.00% complete @ 2023-10-27 10:30:00 (0 seconds remaining)
[+] WPS PIN: '12345670'
[+] WPA PSK: 'SuperSecretPassword'
[+] AP SSID: 'VulnerableAP'

Разберем полученную информацию:

  • WPS PIN: '12345670': Это 8-значный PIN-код для функции WPS маршрутизатора. Вы можете использовать этот PIN-код для подключения других устройств с поддержкой WPS к сети.
  • WPA PSK: 'SuperSecretPassword': Это общий ключ WPA/WPA2 (Pre-Shared Key), который является фактическим паролем Wi-Fi для сети. Это конечная цель атаки.
  • AP SSID: 'VulnerableAP': Это подтверждает имя сети, которую вы успешно скомпрометировали.

Наиболее примечательным аспектом является скорость. Обратите внимание на "0 seconds remaining" (осталось 0 секунд) в выводе. Весь процесс, от начала рукопожатия до восстановления ключа, занял всего несколько секунд. Это резко контрастирует с традиционной атакой методом полного перебора WPS, которая может занять много часов или даже быть невозможной, если точка доступа блокирует WPS после нескольких неудачных попыток. Теперь вы успешно продемонстрировали эффективность атаки WPS Pixie-Dust.

Резюме

В этой лабораторной работе вы успешно выполнили атаку WPS Pixie-Dust в симулированной среде. Вы получили практический опыт работы с основными инструментами и концепциями оценки безопасности Wi-Fi.

Вы научились:

  • Использовать airmon-ng для включения режима мониторинга на беспроводном интерфейсе.
  • Использовать wash для сканирования и идентификации точек доступа с поддержкой WPS.
  • Понимать назначение флага -K (--pixie-dust) в Reaver.
  • Выполнять целевую атаку Pixie-Dust с использованием reaver, указывая BSSID цели.
  • Интерпретировать вывод, чтобы понять, как атака использует уязвимость в генерации nonce.
  • Наблюдать почти мгновенное восстановление как WPS PIN, так и WPA PSK.

Эта лабораторная работа подчеркивает значительную уязвимость в реальном мире. Наиболее эффективной защитой от этой и других атак, связанных с WPS, является полное отключение функции WPS в настройках администратора вашего маршрутизатора.