ANTICHAT - Новая атака на WPA/WPA2/WPA3-PSK с использованием PMKID

ANTICHAT (https://forum.antichat.xyz/index.php)

- Электроника и Фрикинг (https://forum.antichat.xyz/forumdisplay.php?f=21)

- - Новая атака на WPA/WPA2/WPA3-PSK с использованием PMKID (https://forum.antichat.xyz/showthread.php?t=564384)

Провел тест, всего ТД уязвимых нашел 5 штук, одна из них в 5ГГц.

Совместимые адаптеры: Alfa 036H, Alfa 036ACH - оба на Realtek.
Поиск шустый, не забываем перед атакой перевести адаптер в режим прослушивания. В случае с Alfa 036H не нужно перед атакой убивать wpa_supplicant командой airmon-ng check kill. В случае с Alfa 036ACH нужно.
Соответственно Alfa 036H нашел только 4 из 5 сетей, так как не может в 5 ГГц, Alfa 036ACH нашел 5.

Так же работает с TL-WN721N, перебор помедленнее, адаптер видит всего 3 уязвимые сети из 5 из-за плохой мощности.
Встроенный в ноутбук (MSI GL62) адаптер не работает - поиск идет, но не видит уязвимость ТД.

Уязвимые ТД все в с хорошим сигналом, так что возможно нужно быть близко к ТД для эксплуатации.

P.S. тестировал в Kali Linux, вот отличия:

1. Ставим зависимость для hcxtools:
# apt-get install libcurl4-gnutls-dev

2. Команды пишите без ./
# hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status
# hashcat -m 16800 test.16800 -a 3 -w 3 '?l?l?l?l?l?lt!'
и т.д.

3. 4 дня назад обновился hashcat, скорее всего в Вашей версии Kali стоит старый (в старой версии нет режима 16800.).
Делаем инкрементальный бекап, ставим поверх старой версии новую из исходников (make, make install).

4. Как тестить проще всего:
Если ваша ТД уязвима создаем словарь txt маленький, пихаем свой пароль
Словарь и документ с хешами должны быть в 1 папке, открываем из нее терминал и скармливаем hashcat хеши.
# hashcat -b -D 1,2,3 --force --optimized-kernel-enable -m 16800 hash dictionary

Цитата:

Tom сказал(а):

Были ли сети (ТД) которые НЕ подвержены данной уязвимости?

Т.е. видимо были ТД НЕ подверженные данной уязвимости... Я привильно понял?

Да, есть такие.

В ошибку уходит если не в состоянии завести монитор либо проблема совместимости дров/адаптера. Например если не завести монитор, но начать атаку.

Это был экспресс-тест как и твой, не было времени на подробный с цифрами.

Собственно мануалов пока не видел, все перепостили из источника и не додумались даже свой мануал запилить.

Предлагаю кидать в этот тред свои заметки, чтобы не плодить темы.

Цитата:

WPA/WPA2/WPA3-PSK сказал(а):

Если в ошибку не уходят, то все нормально и в теории должно работать? Долетают и падают пакеты примерно в равном количестве?
Всего от 100 тысяч пакетов?

И за какое время удалось получить результат?

Как я выше писал я не фиксировал цифры, не помню уже, но если это важно то позже отпишусь.
За 2 минуты (с запасом) были найдены 5 PMKID. Остальные 8 минут простоя.

Цитата:

Tom сказал(а):

Т.е. видимо были ТД НЕ подверженные данной уязвимости... Я привильно понял?

Да, не для всех ТД, которые были в выдаче окна, где проводилась атака были найдены PMKID. С чем это связано не могу сказать.
Если запустить airodump то точек адаптер видит больше, чем в выдаче окна атаки.
Точки с более-менее доступным сигналом были протестированы, из них не для всех был найден PMKID. Около 11 точек с приличным сигналом, из них 5 уязвимы.
Остальные ТД программа не атаковала из-за слабого сигнала.

Думаю для эксплуатации уязвимости надо быть близко к ТД.

Интересно как эта атака будет обнаруживаться WIDS/останавливаться WIPS.

Цитата:

WPA/WPA2/WPA3-PSK сказал(а):

Как вы это обходите? Я не встречал подобного в защите WiFi.

Я ничего не обхожу. Существует скрипт - waidps, частично повторяющий функционал промышленных WIDS/WIPS. Он детектирует атаки деаутентификации.
В скрипте airgeddon (атакующий) я видел атаку "запутывания" WIDS, её я не проверял.

Цитата:

WPA/WPA2/WPA3-PSK сказал(а):

У меня вообще не работает с монитором. Вручную не перевожу, запускаю так.
Без монитора пакеты долетают до цели, не падают и не попадают в ошибку. Но как я написал в первом посте, инструменты ведут себя не совсем адекватно. На форуме Hashcat есть немного про это.
Нормальных устройств пока что нет в наличии, из-за этого используется чипсет Broadcom (стандартный драйвер, в Kali Linux "из коробки"), но с поддержкой монитора, инъекций и прочего.

Логов не осталось. Во время сканирования вместо ESSID $HEX и набор цифр. PMKID не поймался.
Тестирование заняло незначительное количество времени.

Появился скрипт, еще не тестировался. Наблюдайте за оригинальной темой на форуме Hascat.

Код:

Код:

github.com/stryngs/scripts/tree/master/pmkid2hashcat

Спасибо, посмотрю.

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
UPD1. Обновлена информация по чипсету Intel. Атака частично поддерживается с помощью airmon-ng (был извлечен хеш). Подробности под спойлером выше.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
UPD2. Проверил адаптер TP-Link TL-WN721N.

Адаптер на 100% совместим с данной атакой.

Ошибки возникают в случае кратковременного обрыва соединения (что случается редко).

Тест проводился на Kali Linux 2018.2 с 16 ядром, обновления от 17.07 (жду когда дрова Nvidia допилят).
Тест проведен в тех же условиях, что и c предыдущим адаптером.

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
UPD3. Проверил адаптер Alfa Network AWUS036H.

Адаптер на 100% совместим с данной атакой.

Ошибки возникают в случае кратковременного обрыва соединения (что случается редко).

Тест проводился на Kali Linux 2018.2 с 16 ядром, обновления от 17.07 (жду когда дрова Nvidia допилят).
Тест проведен в тех же условиях, что и c предыдущим адаптером, со стандартной антенной, без повышения мощности.

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
UPD4. Проверил адаптер Alfa Network AWUS036ACH.

Адаптер на 100% совместим с данной атакой.

Если у кого-нибудь есть адаптеры, работающие в monitor mode - напишите в похожем формате, как они перебирают с разными вариантами включения монитора.

Есть логи по TP-LINK, Intel, Alfa036H, по ACH результат похож на H, только ловит больше PMKID из-за 5 ГГц и лучшей чувствительности.
Оставил только 3 октета MAC-адресов, обезличены имена ТД. Если кому нужно для изучения - в ЛС.
Остальные адаптеры, которые корректно отрабатывают есть в шапке темы, а так же тут:
Брут WPA2 без handshake используя PMKID + hashcat
New attack on WPA/WPA2 using PMKID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
UPD5.Проверил атаку на детект SOHO-WIDS (AtEar и waidps) - они не определяют атаку.
Проверил комбинацию Alfa 036H + Яга, перебирает шустрее чем обычно, PMKID поймал 10 штук. Значит атака будет нормально работать даже если Вы находитесь относительно далеко от точки, но антенна хорошая.
Сделали небольшой FAQ - YAWA - Yet Another WPA Attack - an analysis - NetGab - The daily networking madness

Цитата:

Magnit сказал(а):

после ввода команды: hcxdumptool -o test3.pcapng -i wlan0 --enable_status
Получаю такой ответ, в чем может быть причина?
hcxdumptool: option '--enable_status' requires an argument
invalid argument specified

Скрипт был обновлен и оптимизирован.

Код:

Код:

hcxdumptool -o test1.pcapng -i wlan1mon --enable_status=1

На будущее:

Код:

Код:

hcxdumptool --help

За 8 минут - 8 валидных PMKID (TP-LINK 721N). Вообще там любой адаптер подойдет котрый может проводить инъекцию пакетов.

Цитата:

Nowasivem сказал(а):

В разных источниках стоят разные цифры "--enable_status=1", больше всего встречал 2, так где правильно? И вообще, что обозначают данные цифры?

Правильно будет так:

Код:

Код:

hcxdumptool --help

Параметр enable_status задает уровень детализации атаки.

Скрипт WiFite.py добавил себе пункт с захватом PMKID

Прежде чем написать ответ в данную тему, я пять минут бился в конвульсиях от стыда за автора статьи.

Цитата:

WPA/WPA2/WPA3-PSK сказал(а):

Именно по этой причине я упомянул WPA3. Эта уязвимость его буквально уничтожит

1. WPA3 не подвержен, и не будет подвержен атаке PMKID
2. PMKID расположен в RSN ID, а эти данные в свою очередь расположены в пакете EAPOL Key 1 — если бы автор не поленился изучить матчасть протокола WPA3, то открыл бы для себя, что из нового протокола выпилено всё, что имело отношение к RSN (WPA2)

Цитата:

WPA/WPA2/WPA3-PSK сказал(а):

полностью переписывать протокол не совсем целесообразно.

3. Не совсем целесообразно, это когда у тебя технологии стоят на месте, и железо не развивается, следовательно старые дыры остаются на месте (в Wi-Fi Alliance конечно же такого не допустили)

Цитата:

WPA/WPA2/WPA3-PSK сказал(а):

он будет работать против всех сетей 802.11i/p/q/r

4. А стандарт 802.11q вообще пока не используется, название зарезервировано (источник), копипаста без понимания да и только

Поясните, пожалуйста, чем является PMK.

Цитата:

keshavredina сказал(а):

Поясните, пожалуйста, чем является PMK.

Вот вроде не плохое обЪяснение

Цитата:

Xulinam сказал(а):

Вот вроде не плохое обЪяснение

Здесь нет информации о том, как формируется PMK. Уже разобрался, спасибо: PMK - Pairwise Master Key, формируется так:

Код:

Код:

PMK = PBKDF2(HMAC−SHA1, PSK, SSID, 4096, 256)

Источник: Understanding WPA/WPA2 PSK Hash Cracking