Найти в Дзене
Social Engineering
15 подписчиков

Pixie WPS - или взлом wifi за 5 секунд

1
2 мин
WPS - наверно самый дырявый стандрат безопасности. Что мы с ним только не делаем, и брутим, и принудительно узнаем (Belkin) и просто дефолтный пины, но все это вишенка на торте по сравнению с PIXIE WPS, эта уязвимость затрагивает ОГРОМНОЕ до невозможности число роутеров! Вообщем давайте приступим! Как работает атака? Страшно да? Это как устроен сам WPS, но давайте я вам попытаюсь на пальцах обьяснить как работает атака. Значит есть два числа которые шифрует наш пинкод, проблема в том что они генерируются довольно предсказуемо, (E-S1 & E-S2), а зная их мы с легкостью узнаем pin! Когда мы подключаемся роутер отдает нам подтвержение что наш pin не верный и вместе с этим его hash, ведь нужно доказать что он сам его знает (Это противодействие от фейковых точек доступа, без хеша гг)
REALTEK для генерации таких чисел функция использует Аналогично Broadcom, N1 и E-S1,2 генерирует одна функция.И если весь обмен происходит в ту же секунду, E-S1 = E-S2 = N1
Исходники
github.com/skristiansson/uCl
Оглавление

Стрёмное лого?)
Стрёмное лого?)

WPS - наверно самый дырявый стандрат безопасности. Что мы с ним только не делаем, и брутим, и принудительно узнаем (Belkin) и просто дефолтный пины, но все это вишенка на торте по сравнению с PIXIE WPS, эта уязвимость затрагивает ОГРОМНОЕ до невозможности число роутеров! Вообщем давайте приступим!

-2

Как работает атака?

-3

Страшно да? Это как устроен сам WPS, но давайте я вам попытаюсь на пальцах обьяснить как работает атака. Значит есть два числа которые шифрует наш пинкод, проблема в том что они генерируются довольно предсказуемо, (E-S1 & E-S2), а зная их мы с легкостью узнаем pin! Когда мы подключаемся роутер отдает нам подтвержение что наш pin не верный и вместе с этим его hash, ведь нужно доказать что он сам его знает (Это противодействие от фейковых точек доступа, без хеша гг)
REALTEK для генерации таких чисел функция использует Аналогично Broadcom, N1 и E-S1,2 генерирует одна функция.И если весь обмен происходит в ту же секунду, E-S1 = E-S2 = N1
Исходники
github.com/skristiansson/uClibc-or1k/blob/master/libc/stdlib/random_r.c

В “Ralink” E-S1 и E-S2 никогда не генерятся. Они всегда равны 0.

E-S1 = E-S2 = 0

В “MediaTek” и “Celeno” такая же история!

Ну вот мы изучили немного теории время начинать!)

Атака

Мы расмотрим 2 метода: Приложением и через адаптер. Впринципе разница не большая, но адаптер можно юзать и на ПК и бьет дальше следовательно больше шансов, если его нету то, через приложение сойдет!
Ну а пожалуй вишенка на торте — эта штука ломает TP-LINK, я напомню что шансы относительно большие в плане атаки, но не 100% пробуйте все сети

WIFI WPS TESTER

Конечно же для вас будет лежать ссылка на премиум в конце статьи!
1.Заходим в приложение и сканируем сети
2.Выбираем нужную нам сеть, даже если будет стоять "низкая вероятность" к PIXIE это НЕ относится
3.PIXIE DUST MODE - перед этим выключаем wifi, и все ждем пин не более 5 минут

Начинаем атаку
Начинаем атаку

И через пару секунд, вуаля!

Пин для подключения
Пин для подключения

После этого приложение попробует само подключится но на некоторых прошивок не выйдет, просто потом введите пин в любом другом подобном приложении ведь вы его уже знаете!

Используем адаптер

Здесь все очень просто!
1.Подключаем наш адаптер к телефону/ПК
2.Запускаем wifite и фильтруем только сети с WPS

wifite --wps-only

3.Выбираем конкретную цель, но я рекомендую прописать all и просто ждать!В подтверждение своих слов про Tp-Link показываю личный скрин!

-6

Но после 2 минут еще + 2 сети

-7

Вообщем из моих 20 сетей которые у меня ловило 7 минусанулись!

-8

WWTP - скачать

источник