Projet: rogue AP/WPS

koala · 08-01-2012 18:21:48

Salut wink

J'ai pu tester un truc chez un pote qui est chez orange, je reviens de quelque test qui m'ont permis de mettre en oeuvre une idée qui me trottai en tete.

Config de test:
2 livebox sagem en locale
Un de pc sous linux mint connecté a une livebox [victime]
Un pc sous unbutu 10.04 avec une seconde livebox d'une meme modèle a savoir les livebox2 de Sagem [attaquant]

L'attaquant se fixe sur le canal de la livebox victime en lui prenant son ssid, on envoi une deauth sur la livebox victime (uniquement la box et non la station c'est important pour la suite).Avec la livebox de l'attaquant on appui sur le bouton wifi qui est le meme pour le WPS (on appui pas trop longtemps sans quoi vous désactiverez le wifi) au bout d'une courte période le pc victime se retrouve connecté sur la livebox de l'attaquant oui mais problème la connexion en question ne dure qu'une dizaine de seconde sur la livebox pirate pour une raison que j'ignore encore.

Conclusion:

Peu-etre qu'en poussant les tests un peu plus loin avec 2 équipement équipé du wps on peut arriver a obtenir quelque chose.Voila ce que m'a renvoyé la commande arp -a durant ce laps de temps sur le pc victime:

hostsystem ~ # arp -a
? (192.168.1.1) at <incomplete> on wlan0

Je n'ai pas de windaube sous la main mais il serait interèssant de voir ce que ça donne et de comprendre pourquoi je me suis déconnecté après m'etre connecté sur la box de l'attaquant du pc victime, ce qui je l'avoue a un peu gâché ma joie.

Cette piste est a mon avis a explorer.

koala · 08-01-2012 19:57:13

J'oubliais pour ce qui ne savent pas trop comment faire pour tester avec windows:

Tuto connexion WPS sous windows

koala · 10-01-2012 21:43:07

Apparemment il apparait selon plusieurs test qu'il est possible de faire connecter un pc a une box en WPA/2 équipé du systeme WPS.

RoZZ a écrit:

c est justement pour sa que je vous demander comment sa a pue se connecter vue que j ai appuyer sur rien du tout je pensse pas que sa soit le voisin qu il est fait sa c est connecter immediatement

Reaver permet-t'il effectivement ça? il nous faudrait d'autres testeurs pour confirmer.
Et meme si reaver ne permet pas ça, il faudrait essayer de tenter la reconnexion automatique de la victime a la box pirate.Vous allez me dire a quoi ça sert? tout simplement le principe serait de faire une rogue AP qui prendrai moins de temps et avec laquelle on pourrait optimiser nos chances de réussite.

J'en appelle donc a vous afin de tester sous windows smile

Bilbo · 14-01-2012 19:42:28

Je sais pas créer des points d'accès illégitimes donc malheureusement je peux pas t'aider sans passer par la case "apprenez encore un max de trucs, comme si la liste était pas déjà blindée"... smile

Mais ça me déplairait pas que d'autres s'y intéressent, ça semble valoir le coup!

koala · 14-01-2012 21:11:35

Mais ça me déplairait pas que d'autres s'y intéressent, ça semble valoir le coup!

J'aimerais aussi wink mais bon avec l'arrivée de reaver, les gens se consacrent d'avantage a ce dernier.Pour les test le cryptage doit etre le meme, si la box victime et en WPA/2 alors celle de l'attaquant devra etre configurer en WPA/2 aussi avec le meme canal et le meme ssid.Sous linux la connexion a la box de l'attaquant dur très peu mais elle est bien présente sans rien toucher sur le pc victime, a voir sous windows maintenant.Les scénarios possibles sont les suivants:

1-Si sous windows il y a connexion automatique aussi ça sera intérèssant car une fois cette étape réussie le reste est pas compliquer a faire pour rediriger la victime sur une fake page ou un trojan (wirelles key view) a télécharger.

2- C'est une manière de tromper la victime qui en s'impatientant et voyant que ça connexion wifi plante ira dans les réseaux sans file et cliquera sur tout ce qui porte le nom de son réseau.

3- On plante l'AP légitime avec airbase-ng en lui passant ses propres paramètres (cf airbase-ng --help):

airbase-ng -c $ch -e $essid -a $bssid -I 600 -0 mon0

Ce qui se passe a ce moment la c'est que le gestionnaire de réseaux sans fil ne reconnait plus le réseau et par sécurité un message s'affiche en dessous "Les paramètres du réseau ne correspondent pas a ceux enregistrés sur cette ordinateur" il est donc impossible de se connecter, d'ailleur l'option -0 d'airbase fou un sacré b**** et je pense, en ayant testé il y a quelques mois que c'est bon de l'utiliser pour perturber le gestionnaire sans fil de windows.Airbase est plus subtile a utiliser que mdk3 et radical.Pour revenir a nos moutons, si la victime ne peut pas se connecter a son réseau elle verra un autre réseau en WPA du meme nom que le sien (qui correspond a la box de l'attaquant donc) et se connectera dessus car la configuration ne lui laisse pas le choix et étant donné que Mr et Mme toutlemonde sont préssés que ça marche ils mordront sans doute a l'hameçon.De notre coté quelque soit le scénario on veille que le WPS soit actif durant la durée de l'attaque en pressant régulièrement le bouton de la box qui sert de supercherie et que la victime puisse s'y connecter toute seul.

Dans les 3 scénarios on est gagnant donc motivez vous un peu pour tester ! smile

Ps: j'oubliais, hostapd gère t-il le WPS? il me vient une idée.

Dernière modification par koala (14-01-2012 21:27:13)

koala · 15-01-2012 00:01:55

Je viens de faire des screenshoot après avoir fait des test, ça vaut mieux que des explications.

Sur le PC attaquant pendant la deauth:

On s'aperçoit qu'une station tente de se connecter sans obtenir d'ip (192.168.1.13 est l'ip du pc attaquant)

Sur le PC victime quasi au meme moment:

La commande arp -a est pas clair.J'ai l'impression que c'est un problème de dhcp qu'en pensez vous? je testerai en désactivant le dhcp de la box et tentant un réglage a la volée.

Sur le pc attaquant une fois la deauth enlevée et l'attaque fini:

Tout redeviens Ok, conclusion quelque chose m'empeche d'obtenir une ip sur le réseau factice.

Bilbo · 15-01-2012 21:48:10

Oui si ta conclusion est bonne c'est une question de DHCP on dirait. Pour vérifier il me semble que tu peux régler la box pour qu'elle donne automatiquement une adresse fixe à ton PC cible, passant outre le DHCP. Je testerai ton projet quand j'aurais accès à un 2ème PC et assez de temps pour m'en servir avant qu'il reparte avec son proprio smile

Et si t'as le temps... vu que tu as une Liveboite 2 je t'en voudrais pas si l'envie te prenait de claquer un petit quart d'heure sur les tests avec wpa_cli dont je parle dans le sujet sur Reaver roll

Dernière modification par Bilbo (15-01-2012 21:48:51)

RoZZ · 17-01-2012 18:29:15

Oui effectivement c'est bien un souci de DHCP car quand j'étais connecté sur la Livebox via le WPS le DHCP n'était pas activé sur ma carte réseau .

J'ai du nouveau après avoir reussi l'appareillage de la livebox par le Wps
Bin j'ai installé WirelesseKeyView qui ma révéler la véritable clé WPA big_smile :D:D:D:D:D:D:D

Bilbo · 17-01-2012 20:32:37

Si j'ai bien compris une fois connecté par WPS la clef WPA a automatiquement été enregistrée dans le registre Windows de ton PC, permettant à WirelessKeyView de l'afficher en clair?

Le problème RoZZ c'est que je vois pas du tout comment même toi tu pourrais reproduire cette connexion WPS, alors quelqu'un d'autre... :p
De la façon dont tu l'as décrit ça m'avait l'air assez pifométrique quand même, tu as essayé de le refaire depuis?

koala · 17-01-2012 21:32:03

Bonsoir wink
@RoZZ

J'ai du nouveau après avoir reussi l'appareillage de la livebox par le Wps

Tu as donc réussi ce dont je parle?

@Bilbo

De la façon dont tu l'as décrit ça m'avait l'air assez pifométrique quand même, tu as essayé de le refaire depuis?

Ce qui m'intéresse aussi ces des détails, quel rapport avec le dhcp de ta carte réseau RoZZ? le but est de forcer la connexion automatique (chose que j'ai réussi qu'a faire qu'une fois mais ça ne s'est pas reproduit et c'est assez hasardeux donc j'ai pas trainer sur le sujet).

Si il y a quelque chose a régler dans ce cas c'est sur l'AP servant de supercherie car on ne peut accéder au client si il n'est pas connecté a nous.Peut etre qu'en bidouillant dans les fréquences ou les beacons on pourrait y arriver, en attendant le prochain test que je ferais sera avec un dhcp manuellement configuré sur le fake AP.D'ici la je vous encourage tous a tester et a donner des détails smile

Dernière modification par koala (17-01-2012 21:33:58)

RoZZ · 17-01-2012 21:33:07

je confirme et signe ce que j'ai dit ;

Une fois rentrer le pin wps 12345670 dans vista lors de l'appareillage j'ai été connecter immédiatement a la Livebox

Pour vérifier j'ai été dans la page du routeur 192.168.1.1 j'ai rencontré un souci pour rentrer les passes par défaut donc j étais bloqué pour voir la clé WPA et de la impossible de rentrer dans la configuration du routeur en Admin..

Aujourd huit j'ai installé WirelessKey et la bingo la clé WPA y était donc je la récupe la rentre est là une fois arriver dans la page du routeur je rentre le passe par default et cette fois ça fonctionne

Je te promets que d ici peut pas mal de personne en parleront wink

Maintenant je ne sais pas trop comment t'expliquer le faite que sans avoir appuyé sur le bouton de la Livebox j'ai été immédiatement connecter appart le faite d'avoir une seconde auparavant lancer plusieurs Attack avec REAver avec différent attack wink Et d'avoir vite retiré mon antenne awus pour la mettre sur le PC vista pour m'y connecte wink

koala · 17-01-2012 21:38:15

Quels sont les commandes que tu as lancé avec reaver? j'ai bien envie de tester.

RoZZ · 17-01-2012 21:47:18

Voici les commandes que j ai faite mais je pense pas que sa soit specialement a cause de celle-ci mais tout simplement que le faite d avoir lancer plusieurs attack en même temps et sa pendant en gros 10 minutes
la box a bloquer laissant entrer automatiquement les clients avec le pin WPS par default sans devoir toucher a la box

dans un premier shell

sudo ./reaver -i mon0 -b 1---------0 -c 6 -d 1

<--- relancer toujours car me trouver le pin tout les 7 secondes (faux pin )

dans un second ouvert toujours dans src

sudo ./reaver -i mon0 -b 1---------0  -c 6 -vv

<-- idem relancer toujours avec pas mal d erreur

airodump-ng -c 6 --bssid 1---------0 mon0

<-- airodump m afficher un decloack

aireplay-ng -1 0 -b 1--------0  mon0

<-- aireplay je le lancer en boucle sans arret

Ps ; une fois teste les attacks pendant au moin 5 minutes utilise la meme carte wifi pour la connection wink

Dernière modification par RoZZ (17-01-2012 21:50:42)

koala · 17-01-2012 21:48:46

Merci, je test ça de suite wink

RoZZ · 17-01-2012 21:55:35

koala a écrit :

Merci, je test ça de suite

Pas de souci,

J insiste réellement sur sa
je vous promets que je ne ment pas
Sincerement penchez vous sur sa obligatoirement l un d entre vous retrouvera le même résultat que moi wink

koala · 17-01-2012 22:02:02

Pour l'instant j'ai réussi a m'associer meme sur du WPA, what the f***??

root@host-laptop:~# aireplay-ng -1 30 -e Livebox-1d2e -a 00:19:70:41:AB:AD -h 00:C0:CA:35:CA:C8 mon0
20:59:25  Waiting for beacon frame (BSSID: 00:19:70:41:AB:AD) on channel 6

20:59:25  Sending Authentication Request (Open System) [ACK]
20:59:25  Authentication successful
20:59:25  Sending Association Request [ACK]
20:59:25  Association successful :-) (AID: 1)

20:59:40  Sending keep-alive packet [ACK]
20:59:55  Sending Authentication Request (Open System)

20:59:57  Sending Authentication Request (Open System) [ACK]
20:59:57  Authentication successful
20:59:57  Sending Association Request [ACK]
21:00:01  Association successful :-) (AID: 1)

21:00:16  Sending keep-alive packet [ACK]
21:00:31  Sending Authentication Request (Open System)

21:00:33  Sending Authentication Request (Open System)
21:00:33  Authentication successful
21:00:33  Sending Association Request [ACK]
21:00:33  Association successful :-) (AID: 1)

21:00:48  Sending keep-alive packet [ACK]
21:00:48  Got a disassociation packet! (Waiting 3 seconds)

21:00:48  Sending Authentication Request (Open System) [ACK]
21:00:48  Authentication successful
21:00:48  Sending Association Request [ACK]
21:00:48  Association successful :-) (AID:

A suivre, l'attaque est en cours mais meme si le reste marche pas une association sur du WPA/2 avouez que ça donne des idées big_smile

RoZZ · 17-01-2012 22:04:16

Et oui Koala tu verra que je n ai pas menti wink

koala · 17-01-2012 22:08:06

Attends c'est pas fini la réeinjection de paquet semble marcher aussi:

root@host-laptop:~# aireplay-ng -3 -e Livebox-1d2e -a 00:19:70:41:AB:AD -h 00:C0:CA:35:CA:C8 -x 30 mon0
21:05:49  Waiting for beacon frame (ESSID: Livebox-1d2e) on channel 6
Found BSSID "00:19:70:41:AB:AD" to given ESSID "Livebox-1d2e".
Saving ARP requests in replay_arp-0117-210549.cap
You should also start airodump-ng to capture replies.
^Cad 3489 packets (got 0 ARP requests and 10 ACKs), sent 0 packets...(0 pps)

superbobo · 17-01-2012 22:24:21

Je suis tout ça avec intérêt... Même si je ne peux pas faire de tests de mon côté.

Koala: il se passe quoi quand tu rentres le pin dans vista en parallèle des attaques?

kcdtv · 17-01-2012 22:25:50

RoZZ, j'ai édité ton message précédant.
Pense a utiliser la balise code lorsque tu mets des lignes de code. Pour nous permettre de mieux te comprendre car tout cela est très intéressant wink

koala · 17-01-2012 22:31:54

Je n'ai pas de vista sous la main ni de windows d'ailleurs.je suis en train de me renseigner sous linux comment faire une connexion wps sans appuyer sur le bouton.

RoZZ · 17-01-2012 22:32:39

Oups, desoler Merci je vais rarement sur les forums (le temps de m adapter wink )

Oui très intéressant , je t assure que quand j ai vue sa j en ai pas cru mes yeux . big_smile

Dernière modification par RoZZ (17-01-2012 22:34:40)

superbobo · 17-01-2012 22:34:21

Rozz, t'as réessayé de faire tes manips (attaques + pin sous vista) avec succès?

superbobo · 17-01-2012 22:35:57

koala: c'est expliqué ici: http://svn.dd-wrt.com:8000/browser/src/ … ?rev=16495 à partir de la ligne 116

RoZZ · 17-01-2012 22:40:55

Bin la je suis juste entrain de refaire le test
Je vous tiens au courant
je reste une bonne partie de la soirée dessus je veux absolument le re réussie pour le prouver

Discussion	Réponses	Vues	Dernier message
Rogue AP sous Android: apparemment, c'est possible ! par superbobo	0	117	10-05-2012 20:25:27 par superbobo
Rogue SFR et FREEWIFI en meme temps par barnaber91	0	207	28-04-2012 21:46:56 par barnaber91
Épinglée : Épinglée :: Les pages rogue AP finalisées: le topic dédié par M1ck3y [ 1 2 ]	45	17627	22-04-2012 12:17:54 par jubackalfa
Drivers : Alfatools 1.0.0 by madantrax (projet "tweaking AWUS036H") par kcdtv	9	407	19-02-2012 16:50:48 par kcdtv
Projet wordlist WPA optimisé type Rockyou par vances1	5	945	19-02-2012 09:37:17 par vances1

Crack-wifi.com FORUM

Annonce

#1 08-01-2012 18:21:48