Ethical hacking and penetration testing

Qu’est-ce que le WPS?

Wi-Fi Protected Setup (WPS; à l’origine, Wi-Fi Simple Config) est une norme de sécurité réseau permettant de créer un réseau domestique sans fil sécurisé.

Une faille de sécurité majeure a été révélée en décembre 2011 qui affecte les routeurs sans fil dotés de la fonction PIN WPS, que la plupart des modèles récents ont activée par défaut. La faille permet à un attaquant distant de récupérer le code PIN WPS en quelques heures avec une attaque par force brute et, avec le code PIN WPS, la clé pré-partagée WPA/ WPA2 du réseau.

Il existe certains outils conçus pour attaquer les WPS. Les plus populaires sont Reaver et Bully. Dans ce manuel, je vais montrer comment utiliser Reaver pour pirater le Wi-Fi.

Vulnérabilités WPS

Attaque par force brute en ligne

En décembre 2011, le chercheur Stefan Viehböck a signalé une faille de conception et de mise en œuvre qui rend les attaques par force brute contre les WPS basés sur des BROCHES réalisables sur des réseaux Wi-Fi compatibles WPS. Une attaque réussie sur WPS permet aux parties non autorisées d’accéder au réseau, et la seule solution de contournement efficace consiste à désactiver WPS. La vulnérabilité se concentre sur les messages d’accusé de réception envoyés entre le registraire et l’inscrit lors de la tentative de validation d’un code PIN, qui est un numéro à huit chiffres utilisé pour ajouter de nouveaux inscrits WPA au réseau. Puisque le dernier chiffre est une somme de contrôle des chiffres précédents, il y a sept chiffres inconnus dans chaque BROCHE, ce qui donne 107 = 10 000 000 combinaisons possibles.

Lorsqu’un inscrit tente d’accéder à l’aide d’un code PIN, le bureau d’enregistrement signale la validité des première et deuxième moitiés du code PIN séparément. Étant donné que la première moitié de la broche se compose de quatre chiffres (10 000 possibilités) et que la seconde moitié n’a que trois chiffres actifs (1000 possibilités), au plus 11 000 suppositions sont nécessaires avant que la BROCHE ne soit récupérée. Il s’agit d’une réduction de trois ordres de grandeur par rapport au nombre de broches à tester. En conséquence, une attaque peut être terminée en moins de quatre heures. La facilité ou la difficulté d’exploiter cette faille dépend de la mise en œuvre, car les fabricants de routeurs Wi-Fi pourraient se défendre contre de telles attaques en ralentissant ou en désactivant la fonctionnalité WPS après plusieurs tentatives de validation des broches infructueuses.

Attaque par force brute hors ligne

À l’été 2014, Dominique Bongard a découvert ce qu’il a appelé l’attaque de la poussière de lutin. Cette attaque ne fonctionne que pour l’implémentation WPS par défaut de plusieurs fabricants de puces sans fil, notamment Ralink, MediaTek, Realtek et Broadcom. L’attaque se concentre sur un manque de randomisation lors de la génération des nonces “secrètes” E-S1 et E-S2. Connaissant ces deux nonces, la BROCHE peut être récupérée en quelques minutes. Un outil appelé pixiewps a été développé et une nouvelle version de Reaver a été développée pour automatiser le processus.

Étant donné que le point d’accès et le client (l’inscrit et le registraire, respectivement) doivent prouver qu’ils connaissent le code PIN pour s’assurer que le client ne se connecte pas à un point d’accès non autorisé, l’attaquant dispose déjà de deux hachages contenant chaque moitié du code PIN, et tout ce dont il a besoin est de forcer brutalement le code PIN réel. Le point d’accès envoie deux hachages, E-Hash1 et E-Hash2, au client, prouvant qu’il connaît également le code PIN. E-Hash1 et E-Hash2 sont des hachages de (E-S1/PSK1/PKe/PKr) et (E-S2|PSK2|PKe| PKr), respectivement. La fonction de hachage est HMAC-SHA-256 et utilise la “authkey” qui est la clé utilisée pour hacher les données.

Adaptateur / Dongles USB compatibles Reaver

En théorie, tout adaptateur sans fil répertorié ici devrait répondre aux besoins. Mais il existe des problèmes connus avec les périphériques qui utilisent des pilotes rt2800usb (puces RT3070, RT3272, RT3570, RT3572, etc.).

J’ai été testé Alfa AWUS036NHA avec Reaver et je recommande vivement cet adaptateur, car il a le chipset Atheros AR9271, qui fonctionne très bien avec Reaver.

Si vous n’avez qu’une carte sur le chipset Ralink, vous devriez apprendre:

• Correction des erreurs de Reaver: AVERTISSEMENT: Échec de l’association avec et échec de la transaction WPS (code: 0x03), réessayant la dernière broche
• WiFi – pilote automatique: script pour automatiser la recherche et l’audit des réseaux Wi-Fi avec une sécurité faible

Stratégie d’attaque WPS

1. Réglez l’interface sans fil en mode moniteur
2. Recherche de cibles à attaquer
3. Vérifiez la sensibilité à la poussière de lutin
4. Attaque des broches WPS basée sur des algorithmes de génération de broches connus
5. Force brute complète si les étapes précédentes ont échoué
6. Si un code PIN est reçu, mais que le mot de passe WPA n’est pas affiché, alors nous exécutez les commandes pour obtenir le mot de passe du Wi-Fi.

Comment configurer l’interface sans fil en mode moniteur

Pour rechercher des réseaux avec WPS, ainsi que pour les attaquer, nous devons transférer la carte Wi-Fi en mode moniteur.

Fermez les programmes qui pourraient gêner notre attaque:

sudo systemctl stop NetworkManagersudo airmon-ng check kill

Trouvez le nom de l’interface sans fil:

sudo iw dev

Et nous le mettons en mode moniteur (remplacez wlan0 par le nom de votre interface si elle diffère):

sudo ip link set wlan0 downsudo iw wlan0 set monitor controlsudo ip link set wlan0 up

Le nouveau l’interface réseau en mode moniteur est également appelée wlan0.

Si vous avez un nom différent de l’interface réseau sans fil, insérez-le dans toutes les commandes suivantes au lieu de wlan0.

Rechercher des points d’accès avec WPS activé

Pour collecter des informations sur les points d’accès, nous utilisons le programme Wash, fourni avec Reaver.

sudo wash -i wlan0

Quelques minutes plus tard, le programme affichera une liste similaire:

Pour quitter le programme, appuyez sur CTRL +c.

Wash affichera uniquement les points d’accès prenant en charge WPS. Wash affiche les informations suivantes pour chaque point d’accès découvert:

BSSID Le BSSID de l'APCh Le canal APs, tel que spécifié dans le paquet de balises de l'APDBM Les valeurs dbmwps La version WPS prise en charge par l'APLck L'état verrouillé du WPS, tel que rapporté dans le paquet de balises de l'APVENDOR Les vendeurs de chipset APESSID L'ESSID de l'AP

Seuls les points d’accès qui n’en ont pas dans la colonne Lck conviennent.

Par défaut, wash effectuera une enquête passive. Cependant, wash peut être chargé par l’option -s d’envoyer des demandes de sonde à chaque AP afin d’obtenir plus d’informations sur l’AP. En envoyant des demandes de sonde, wash suscitera une réponse de sonde de chaque AP. Pour les points d’accès compatibles WPS, l’élément d’information WPS contient généralement des informations supplémentaires sur le point d’accès, y compris les données de marque, de modèle et de version.

Pour effectuer une recherche sur les canaux 5 GHz 802.11, l’option -5 est utilisée.

Plus d’informations sur Wash et ses options, ainsi que des liens vers des guides supplémentaires peuvent être trouvés ici https://en.kali.tools/?p=341.

Vérification de la vulnérabilité de la poussière de lutin dans Reaver

L’attaque de la poussière de lutin vous permet d’obtenir un code PIN très rapidement. Mais tous les points d’accès ne sont pas vulnérables à cette vulnérabilité.

Pour rechercher un point d’accès spécifique pour cette vulnérabilité à l’aide de Reaver, l’option -K est utilisée. Par conséquent, la commande a la forme suivante:

sudo reaver -i interface -b AP_MAC -K

L’adresse MAC du Point d’accès peut être extraite de la colonne BSSID de la sortie reçue dans le Wash.

Par exemple, je me suis intéressé au point d’accès suivant:

 BSSID Ch dBm WPS Lck Vendor ESSID-------------------------------------------------------------------------------- EE:43:F6:CF:C3:08 3 -81 2.0 Pas de RalinkTe Keenetic-8955

Alors la commande pour l’attaque ressemblera à ceci:

sudo reaver -i wlan0 -b EE:43:F6:CF:C3:08 -K

Comme on peut le voir dans la capture d’écran, AP est vulnérable et a reçu son code pin WPS est:

Pin WPS: 36158805

Lorsque vous effectuez une attaque de poussière de lutin, vous ne recevez pas de mot de passe WPA (un mot de passe d’un réseau Wi-Fi), comment l’obtenir sera indiqué ci-dessous.

Si le point d’accès n’est pas vulnérable à la Poussière de Lutin, avant de passer à une force brute complète, il est recommandé d’essayer les BROCHES les plus probables pour le Point d’accès attaqué. La procédure à suivre est décrite dans le guide “Attaque efficace des broches WPS basée sur des algorithmes de génération de broches et de broches connus”.

Comment pirater le Wi-Fi avec Reaver

Si aucune des méthodes décrites ci-dessus n’a aidé, nous procédons à une force brute complète, ce qui peut prendre des heures, voire une journée.

La commande pour démarrer la force brute est similaire à la précédente, mais aucune option ne déclenche l’attaque de la poussière de lutin:

sudo reaver -i interface -b AP_MAC

Il est suggéré d’exécuter Reaver en mode verbeux (l’option -vv) afin d’obtenir des informations plus détaillées sur l’attaque au fur et à mesure qu’elle progresse :

sudo reaver -i wlan0 -b EE:43:F6:CF:C3:08 -vv

Pour plus d’informations sur les autres options de Reaver, ainsi qu’une description détaillée des autres options, veuillez cliquer ici: https://en.kali.tools/?p=346

Comment obtenir un mot de passe Wi-Fi avec un code pin WPS connu dans Reaver

Si l’attaque de Pixie Dust a réussi, seul le code PIN est affiché. Si vous avez déjà un code PIN, vous devez utiliser l’option -p dans Reaver pour obtenir le mot de passe Wi-Fi, après quoi vous pouvez spécifier le code PIN connu.

Exemple:

sudo reaver -i wlan0 -b EE:43:F6:CF:C3:08 -p 36158805

Si l’option -p ne fonctionne pas pour vous pour une raison quelconque, essayez d’utiliser wpa_supplicant, comme décrit dans le guide ‘Reaver a craqué le code PIN WPS mais ne révèle pas le mot de passe WPA-PSK’.