martes, 1 de mayo de 2012

Atacando un punto de acceso con WPS

 Hace unos meses surgió una vulnerabilidad que afectaba a un tipo de autentificación mediante WPS que por falta de hardware, no había podido probar hasta ahora.
 
  En este post voy a intentar explicar como explotarla, como siempre desde Backtrack 5 R2.
Lo primero será comentar los tres tipos de conexión mediante WPS:
  • En el primer método el router posee un botón que al pulsarlo y activar su correspondiente enlace del dispositivo que quiera conectarse se establecerá la conexión entre ambos, este método no es afectado por la vulnerabilidad.
  • El siguiente método consiste en agregar desde el router el dispositivo deseado, este tipo, como la anterior tampoco es vulnerable.
  • El tercero y último consiste en que el dispositivo que desea conectarse introducirá un pin proporcionado por el router y se establecerá la conexión. Este método SI QUE ES VULNERABLE.

  Ahora que ya sabemos que tipo de WPS es vulnerable vamos a conocer el alcance de la vulnerabilidad:
  Con este ataque podemos obtener el pin de acceso (para conectarnos por WPS), pero además nos mostrará la clave WPA/WPA2 asociada al punto de acceso (AP), todo esto en unas horas, que comparado con los ataques de diccionario para WPA es mucho mas efectivo.

 Para realizar este ataque necesitaremos 2 herramientas, wash y reaver. No voy a entrar en como instalar estas herramientas ya que en Backtrack ya vienen incluidas, aunque podemos descargarlas de aquí (en el interior del .tar.gz, en el directorio docs explica como instalarlo).



 Para empezar a trabajar necesitamos poner nuestra tarjeta en modo monitor, para ello utilizaremos la herramienta airmon-ng (perteneciente a la suite Aircrack-ng):
airmon-ng start <interfaz>
 para el ejemplo:
airmon-ng start wlan0
La interfaz en modo monitor pasará a ser mon0.

Nuestro siguiente paso es buscar puntos de acceso vulnerables con WPS al alcance, para ello usaremos wash.
wash -i <interfaz>
para el ejemplo:
wash -i mon0
  aquí veremos los AP vulnerables, nosotros escogeremos "wireless" y apuntaremos su MAC (00:22:33:44:55:66).


 Ahora ya tendremos solo nos quedará lanzar reaver y esperar:
reaver -i <interfaz> -b <MAC del punto de acceso>
 siguiendo con el ejemplo:
reaver -i mon0 -b 00:22:33:44:55:66

  Como vemos en la última imagen hemos obtenido el pin WPS junto con la clave WPA, todo en unas 3 horas (en otras pruebas que hice el proceso duró unas horas mas, unas 11 concretamente xD).



  Como el proceso puede durar bastante tiempo, y para no perder las pruebas realizadas, reaver nos permite suspender la sesión para continuarla cuando nos venga bien, esto es tan simple como interrumpir el programa con CTRL+C:
  y para continuarlo volvemos a llamar a reaver de la misma forma que antes (reaver -i <interfaz> -b <MAC del punto de acceso>):

  Documentos interesantes:

Con este par de documentos me despido, nos leemos en breve.

Aetsu

No hay comentarios:

Publicar un comentario