Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 04-12-2012 14:49:08

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Les modules wifi de Metasploit

# cowsay++
  ____________
<
    Crack-Wifi    >
       ------------

             \   ,__,
              \  (oo)____
                 (__)        )\
                        ||--||   *

          =[ crack-wifi Propulsé par FluxBB
+ -- --=[ 5 218 membres - 7 420 discussions - 58 949 messages
+ -- --=[ 2 modérateurs - 1 admin
         =[ svn r16148 updated today (2012.12.04)

msf> help

[+] Salut smile

[+] J'ai un peu travaillé sur quelques modules Metasploit récemment mais je n'ai pas poussé le pentest à fond faute de cible. J'expose ici les résultats pour qu'on puisse voir ensemble et réfléchir si cela vous tente, le but et de comprendre et avec un peu d'imagination on saura faire la synthèse et intégrer le tout dans de nouveaux projets, mais aussi parce que la sécurité du WIFI est au cœur des discussions et de ce forum, j'essaie  alors  d'aborder en quoi Metasploit peut y contribuer de son coté. Je précise aussi qu'il n'y a pas le moindre tutoriel concernant ces modules sur le Net, Google fait chou blanc. En plus, toute la documentation est dans la langue de Nicki Minaj.

J'ai laissé de coté les modules concernant le Fuzzing ainsi que ceux basés sur le buffer overflow pour le moment (les exploits entre autre), je verrai si je peux faire une intro à sujet prochainement une fois que j'aurai bien creusé la question. Donc à part les modules de post exploitation dont j'avais parlé, on a les modules suivants:

> auxiliary/dos/wifi/cts_rts_flood
> auxiliary/dos/wifi/deauth
> auxiliary/dos/wifi/fakeap
> auxiliary/dos/wifi/file2air
> auxiliary/dos/wifi/ssidlist_beacon
> auxiliary/dos/wifi/wifun
> auxiliary/spoof/wifi/airpwn
> auxiliary/spoof/wifi/dnspwn

Tous ces modules ont besoin de la bibliothèque LORCON 2 pour les réseaux sans-fils afin d'être fonctionnels, ce n'est pas facile à installer cette bibliothèque sans  qu'elle pose quelques problèmes. Fort heureusement, un script existe automatisant son installation, il suffit juste d'adapter les chemins à savoir qu'entre BT4-R2, BT5-R1, BT5-R2 dans le répertoire opt il y a framework ou metasploit >

#!/bin/bash

# Script to install Lorcon2 on Backtrack 5 R2
# By Robert Portvliet
# Foundstone

# Set up variables
msfwifi_dir="/opt/metasploit/msf3/modules/auxiliary/dos/wifi/"
rubylorcon_dir="/opt/metasploit/msf3/external/ruby-lorcon2/"
msfuzz_dir="/opt/metasploit/msf3/modules/auxiliary/fuzzers/wifi/"

echo "[*] This script will install Lorcon2 on Backtrack 5 R2"

echo "[*] Install libnl netlink library"
apt-get install libnl-dev

echo "[*] Downloading Lorcon2 from SVN"
svn co http://802.11ninja.net/svn/lorcon/trunk lorcon2

echo "[*] Copying Lorcon2 to MSF"
cp -r ./lorcon2 $rubylorcon_dir

echo "[*] Fixing MSF wireless modules"
sed -i 's/+ channel.chr/+ datastore['\''CHANNEL'\''].to_i.chr/g' $msfwifi_dir/ssidlist_beacon.rb
sed -i 's/+ channel.chr/+ datastore['\''CHANNEL'\''].to_i.chr/g' $msfwifi_dir/netgear_*
sed -i 's/+ channel.chr/+ datastore['\''CHANNEL'\''].to_i.chr/g' $msfuzz_dir/*.rb 
sed -i 's/Lorcon/Lorcon2/g' $msfwifi_dir/ssidlist_beacon.rb

echo "[*] Fixing Ruby-Lorcon2 before building"
sed -i 's/STR2CSTR/StringValuePtr/g' $rubylorcon_dir/Lorcon2.c

echo "[*] Building Lorcon2"
cd $rubylorcon_dir/lorcon2
./configure --prefix=/usr && make && make install

cd ..

echo "[*] Building Ruby-Lorcon2"
ruby ./extconf.rb && make && make install

echo "[*] Copying Lorcon2 libraries into Metasploit"
cp $rubylorcon_dir/Lorcon2.so /opt/metasploit/ruby/lib/ruby/site_ruby/1.9.1/i686-linux/
cp /usr/lib/liborcon2* /opt/metasploit/msf3/lib/

echo "[*] Finished, fire up a wireless module and see if it works"


> auxiliary/dos/wifi/cts_rts_flood

Ce module permet de "Flooder" un réseau avec des trames CTS et RTS ou Clear/Request To Send, ces dernières sont un peu comme dans le trafic TCP où deux machines établissent une connexion pour se synchroniser et se mettre d'accord en s'envoyant les flags "SYN" "SYN-ACK" "ACK" ...etc. Dans le cas du Wifi entre émetteur et récepteur, c'est à dire entre une station et un AP, l’émetteur envoie une trame RTS au récepteur (je vais t'envoyer les données) identifié par son adresse MAC et celui-ci lui répond par une trame CTS (vas-y envois tout), ensuite l’émetteur transmet les DATAs et finalement le récepteur confirme l'acquisition de ces données en renvoyant cette fois-ci à l’émetteur un ACK. Et pendant ce temps d'échange entre la station et l'AP, toutes les autres stations sur le réseau doivent obligatoirement se taire, car l'AP ne sait communiquer qu'avec une station à fois.
Sauf que des stations peuvent oser quand même et braver cette interdiction, c'est ce qu'on appelle des collisions. Pour cela, les trames RTS et CTS transmettent, de part l'adresse source et de destination, la durée de la transmission des données ou tout simplement la durée de la communication entre la station et l'AP. Donc pour qu'une station puisse émettre sur le réseau elle doit avant tout écouter celui-ci et plus particulièrement la durée transmise dans les trames RTS et CTS entre une autre station et l'AP, elle déclenche ensuite un compteur ou un temporisateur appelé NAV pour Network Allocation Vector qui va calculer cette durée et ainsi différer sa transmission, une fois cette période écoulée, la station revient à nouveau à l'écoute afin d’émettre, ce mécanisme est appelé Virtual Carrier Sense.

Antares145 en avait déjà parlé de ces trames ici.

Maintenant que vous avez compris à quoi peut bien servir ces trames, vous imaginez déjà qu'est ce qu'on fait avec:

auxiliary(cts_rts_flood) >  set ADDR_DST  <-- l'adresse MAC de la cible
                            set ADDR_SRC  <-- et notre MAC
                            set CHANNEL   <-- Le canal par défaut 11
                            set INTERFACE <-- Adaptez l'interface par défaut wlan0
                            set NUM       <-- Nombre de trames à envoyer
                            set TYPE      <-- CTS ou RTS


> auxiliary/dos/wifi/deauth

Ce module est un équivalent à l'attaque de deauthentication d'aireplay-ng -0, à quoi ça peut bien servir si nous avons déjà la suite airecrack-ng ? tout simplement je crois que celui qui se sert de Metasploit n'est pas obligé d'avoir aussi toute la suite aircrack-ng. Il ne s'agit pas là d'essayer d'obtenir un handshake ou de craquer une clé, mais parce que ce module peut servir d’intermédiaire aux autres modules.

auxiliary(deauth) >         set ADDR_DST  <-- l'adresse MAC de la cible
                            set ADDR_BSS  <-- MAC AP
                            set ADDR_DST  <-- MAC station                      
                            set ADDR_SRC  <-- MAC de la machine d'attaque
                            set CHANNEL   <-- Le canal par défaut 11
                            set INTERFACE <-- Adaptez l'interface par défaut wlan0
                            set NUM       <-- Nombre de frames à envoyer


> auxiliary/dos/wifi/fakeap

Alors celui-là est spécial, ce module permet de créer des millions de faux AP ! il envoie des impulsions de beacons sous pression dont chacun véhicule un BSSID et SSID aléatoire, un vrai feu d'artifice. Une station à proximité verrait dans les connexions sans fil une multitude de réseaux, mais malheureusement je n'ai pas réussi à le faire fonctionner pourtant il indiquait bien qu'il diffusé, ça doit sûrement coincer quelque part. Bon, maintenant la question cruciale est à quoi peut bien servir ce pétard ?  puisqu'on est dans le déni de service peut-être qu'en encombrant l'environnement d'une station avec des faux AP permet de noyer les AP légitimes.

auxiliary(fakeap) >         set BSSID     <-- On indique ici une adresse MAC n'importe                           
                            set SSID      <-- Un nom de réseau au choix       
                            set CHANNEL   <-- Le canal par défaut toujours 11
                            set INTERFACE <-- Adaptez l'interface par défaut aussi wlan0
                            set NUM       <-- Nombre de beacons 100 ou 10000 ou 1000000 comme vous voulez


> auxiliary/dos/wifi/file2air

Ce module est à base de "file2air", cet outil est propre au Wifi pourtant on ne l'a jamais évoqué sur le forum, il a certainement un équivalent quelque part, suite aircrack-ng, mdk3, etc. L'outil "file2air" permet en effet comme son nom l'indique d'injecter des paquets 802.11 à partir d'un fichier, et ce qui m'échappe, c'est que ce fichier doit être de type binaire. Mais son utilisation est très simple à l'instar d'aireplay-ng dont voici un petit tuto et on peut voir qu'il peut être combiné avec aireplay-ng afin de choper facilement un ARP. Dans le cadre de ce module, il suffit de lui spécifier un fichier et il se charge d'injecter des trames. D'après l'explication de Metasploit " Inspired by Josh Wright's file2air, this module writes wireless frames from a binary file to the air, allowing you to substitute some addresses before it gets sent. Unlike the original file2air (currently v1.1), this module *does* take into account the ToDS and FromDS flags in the frame when replacing any specified addresses " en agissant sur les flags ToDS et FromDS (Pour et Venant du Système de Distribution) on va pouvoir rediriger le trafic dans les deux sens. Pas la peine d'expliquer ici ce qui est ce système de distribution, encore une fois antares145 nous donne une explication à ce sujet, et il a même fait une autre détaillée pour les motivés, les tarés et autres grands malades. Mais en réfléchissant un petit peu, si on analyse le trafic avec Wireshark et en sélectionnant un paquet contenant les flags To/FromDS, on applique ensuite un clique droit Export Select Paquet Bytes permet d'enregistrer ce paquet sous forme binaire ou via Follow TCP Stream. Mais il doit y avoir une méthode simple et rapide, à moins de préparer plusieurs fichiers BIN avec les flags qu'on veut et les adresses MAC sélectionnées.

Voici deux fichiers BIN de deux trames IEEE 802.11 contenant des flags DS différents:

bt:~# hexdump -C  file_1 et file_2

.... ..01 = DS status: Frame from STA to DS via an AP (To DS: 1 From DS: 0) (0x01)

00000000  88 01 3c 00 f4  ca e5 ec   9e 7d 00 21 5d 17 94 fa    ..<......}.!]...
00000010  01 00 5e 7f  f f  fa b0 06   00 00 aa aa 03 00 00 00   ..^.............
00000020  08 00 45 00 00 a1 59 4e  00 00 01 11 f5 a8 4e  fb    ..E...YN......N.

.... .. 10 = DS status: Frame from DS to a STA via AP (To DS: 0 From DS: 1) (0x02)

00000000  08 02 00 00 01 00 5e 7f   f f  fa f4 ca e5 ec 9e 7d      ......^........}
00000010  00 21 5d 17 94 fa 20 5a   aa aa 03 00 00 00 08 00   .!]... Z........
00000020  45 00 00 a1 59 4d 00 00  01 11 f5 a9 4e fb 2b 60     E...YM......N.+

auxiliary(file2air) >       set ADDR_DST  <-- MAC cible                           
                            set ADDR_SRC  <-- MAC source
                            set BSSID     <-- MAC AP       
                            set CHANNEL   <-- Le canal 
                            set FILE      <-- Le fichier, un petit PWD pour savoir ou le shell va le chercher
                            set INTERFACE <-- Adaptez l'interface
                            set NUM       <-- Nombre de de trames à envoyer par défaut 1


> auxiliary/dos/wifi/ssidlist_beacon

Ce module permet de diffuser plein de beacons véhiculant des SSID avec des noms préparés dans un fichier (un seul nom par ligne) et des BSSID que le module se charge d'attribuer à chacun de façon aléatoire. D'après l'explication de Metasploit, ce module peut être combiné avec une attaque de Karmetasploit mais j'ai pas encore compris comment peut-on le combiner avec Karmetasploit car celui qui crée le réseau c'est bien airbase-ng et nom pas Metasploit. Voici une liste de tous les SSID connus donnée par Metasploit."This module sends out beacon frames using SSID's identified in a specified file and randomly selected BSSID's. This is useful when combined with a Karmetasploit attack to get clients configured to not probe for networks in their PNL to start probing when they see a matching SSID in from this script. For a list of common SSID's to use with this script. If a file of SSID's is not specified, a default list of 20 SSID's will be used. This script will run indefinitely until interrupted".

auxiliary(ssidlist_beacon) >       
                           set CHANNEL    <-- Le canal 
                           set INTERFACE  <-- Adaptez l'interface
                           set SSIDS_FILE <-- Le fichier contenant les ESSIDs


> auxiliary/dos/wifi/wifun

Ce module permet de tester les différents drivers installés afin de s'assurer qu'ils supportent l'injection, il suffit de taper le nom du driver dans l'option Drivers du shell, mais je pense que ce module vérifie en fonction de Lorcon2:

auxiliary(wifun) >       
                           set CHANNEL    <-- Le canal par défaut 11 
                           set INTERFACE  <-- L'interface par défaut wlan0
                           set DRIVER     <-- Le module à tester


> auxiliary/spoof/wifi/airpwn

Là on n'est plus dans le Denial of Service mais bien dans le Spoofing. Ce module est un équivalent à l'outil Airpwn mais avec plus de fonctionnalités, un peu comme Wifitap de Sid. Si on regarde le tuto de Yop ou celui de Nagual ainsi que la video de Benjy on constate que la corruption du flux s'effectue en une seule ligne:  airpwn -c conf/test_html -i wlan0 -d rtl8180 -vv -F  avec aussi l'option -k pour une clé WEP, permet une insertion d'HTML, JS, Flash, payload, etc et ce vers toutes les stations en open ou WEP. J'avoue que je n'ai pas tout compris car ce module est comme une puce dont il faut connaitre la fonction de chaque patte pour le brancher..."TCP streams are 'protected' only in so much as the sequence number is not guessable. Wifi is shared media. Got your nose. Responses which do not begin with Header: Value assumed to be HTML only and will have Header:Value data prepended. Responses which do not include a Content-Length header will have one generated" Attachez vos ceintures:

Channel -> Sur quel canal envoyer par défaut toujours 11. Driver -> Le driver est auto détecté, mais Lorcon doit y être. Interface -> Par défaut wlan0. Filter -> Le filtre est un BPF et permet de renseigner le port. Match -> "Default request match (default: GET ([^ ?]+) HTTP)" Avec cette option il va falloir faire du regex afin de trier ce qui va être recherché et par quoi va être remplacé avec la méthode GET et POST aussi je crois, les Zeros en ont fait un cours sur le regex et un autre ici. RESPONSE -> C'est ici qu'il faut mettre le contenu à injecter: HTML, JS, SWF, JPEG, file, etc. PCAPFILE ->"The name of the PCAP capture file to process" Donc ce module travaille sur un fichier de capture PCAP, est-ce que ça implique qu'il faut écouter en même temps en live ou pas ? j'y reviens. RHOST -> Ici on indique l'adresse IP de la cible, cela suppose qu'on connait préalablement cette adresse par l’intermédiaire d'une écoute, et donc fixer une cible parmi d'autres. SITELIST -> Dans cette option, il faudrait indiquer un fichier d'extension YML, c'est à dire dans un format YAML et dans lequel on introduit une paire d'URL: URL par son URL de remplacement, par défaut le shell va chercher ce fichier dans /opt/framework/msf3/data/exploits/wifi/airpwn/sitelist.yml mais je ne sais pas si l'option Match viendrait fouiller dedans. USESITEFILE -> Use site list file for match/response Presque pareil que cette dernière option sauf que ce n'est pas un fichier de type YAML, une liste de sites. SNAPLEN -> Le nombre de bytes à capturer, je précise en Bytes par défaut c'est 65535. Mais que capture t-il ? le fichier PCAP de l'option PCAPFILE ? il est sans aucun doute que ce module capture avant d'injecter. TIMEOUT-> Le nombre de secondes à attendre de nouvelles données par défaut 500, donc il capture. GATEWAY-> "The gateway IP address. This will be used rather than a random remote address for the UDP probe, if set".NETMASK -> "The local network mask. This is used to decide if an address is in the local network.". UDP_SECRET ->" The 32-bit cookie for UDP probe requests "

Nous avons quand même deux options qui peuvent ne pas être requises.

auxiliary(airpwn) >   
                           Name                           Required
        
                           set CHANNEL                    yes
                           set DRIVER                     yes
                           set FILTER                     yes
                           set INTERFACE                  yes
                           set MATCH                      yes
                           set PCAPFILE                   no
                           set RESPONSE                   yes
                           set RHOST                      yes
                           set SITELIST                   no
                           set SNAPLEN                    yes
                           set TIMEOUT                    yes
                           set USESITEFILE                yes


> auxiliary/spoof/wifi/dnspwn

Le dernier module est un frère jumeau du précédent et permet, vous l'avez deviné, de modifier les requêtes DNS. Ce sont les mêmes options qu'on a vu à l'exception de quatre qu'il faut changer, mais il reste toujours compliquer à configurer. Voyons voir quelles sont ses options:

DNSLIST -> "YAML file of DNS entries for replacement" Le même format YAML pour écrire les données, et aussi par défaut le shell va chercher le fichier dnslist.yml dans /opt/framework/msf3/data/exploits/wifi/airpwn/dnslist.yml. DURATION -> "Duration of spoofed IP record" par défaut 99999 en seconde. USEDNSFILE-> " Use dns list file for response". IP -> "IP for host resolution".

auxiliary(dnspwn) >   
                           Name                           Required
        
                           set CHANNEL                    yes
                           set DRIVER                     yes
                           set FILTER                     yes
                           set INTERFACE                  yes
                           set MATCH                      yes
                           set PCAPFILE                   no
                           set RHOST                      yes
                           set IP                         yes
                           set DNSLIST                    no
                           set SNAPLEN                    yes
                           set TIMEOUT                    yes
                           set USEDNSFILE                 yes


Je vous l'avais bien dit, ces deux modules c'est une usine à gaz, le temps de configurer toutes leurs options et la victime est déjà au lit. On est loin du Airpwn traditionnel, pas étonnant vu le caractère intrusif de Metasploit.


Retour à Karmetasploit, il a évolué disons depuis le buzz d'Alan-Smithee et essayant de voir dans quel recoin nous pouvons introduire notre module fétiche, le ssidlist_beacon. Il n'y a pas que les cookies qui sont en jeu mais il permet aussi d'envoyer un Meterpreter, ou bien acheter des cookies et payer en Meterpreter, et qu'on vient pas nous demander comment crypter ce petit cafard !

Pour commencer, reprenons l'explication de Metasploit "This module sends out beacon frames using SSID's identified in a specified file and randomly selected BSSID's. This is useful when combined with a Karmetasploit attack to get clients configured to not probe for networks in their PNL to start probing when they see a matching SSID in from this script. For a list of common SSID's to use with this script. If a file of SSID's is not specified, a default list of 20 SSID's will be used. This script will run indefinitely until interrupted" si je ne suis pas à coté de la plaque, une PNL est d'après Google une séquence d'opérations exécutées en vue d'atteindre un objectif, à moins que ce soit une attaque, un driver, une librairie. Donc éviter de sonder le réseau, rechercher, préparer, etc et ainsi mettre au point une attaque karmetasploit avec un faux AP qui diffuse plein d'ESSIDs et non pas un seul, pour cibler des clients bien choisis.

En effet, Karmetasploit se sert d'airbase-ng pour créer un réseau, elle crée un réseau unique via l'option -e et grâce à l'option -P prend toutes les demandes de connexion. Mais si on jette un oeil à ses options on trouve une permettant de prendre plusieurs ESSID contenus dans un fichier avec le filtre --essids <file> ?

Options:

-a                          Bssid: indique l'adresse MAC du Point d'Accès
-c                          Canal: règle le canal sur lequel l'AP fonctionne
-f                           MAC exclues: exclue les client MACs spécifiés (defaut: authorisés)
-h                          Adresse MAC: MAC d'origine pour le mode MITM
-i                           Interface: capture les pacquets depuis cette interface
-q                          Silencieux (n'affiche pas les statistiques
-s                          Force l'authentification à clé partagée (shared key)
-v                          Verbeux (affiche plus de messages) (long --verbose)
-w                         Clé WEP: utilise cette clé WEP pour encrypter/décrypter les paquets
-x                          Nbpps: nombre de paquets par seconde (defaut: 100)
-y                          Désactive la réponse aux interogations broadcasts (broadcast probes)
-z                          Type: authorise WPA1. 1=WEP40 2=TKIP 3=WRAP 4=CCMP 5=WEP104

-A                          Mode Ad-Hoc (authorise d'autres client au poste) (long --ad-hoc)
-C                          Secondes: active le suivi des requète d'interrogation des ESSID
-F                          Prefix: écrit toutes les frames envoyées et reçus dans dans un fichier pcap du nom de prefix
-I                          Intervale: règle la valeur de l'intervalle des beacons en ms
-L                          Attaque “Caffe-Latte” (long --caffe-latte)
-M                         MITM entre clients et bssids [spécifiés] (PAS ENCORE IMPLÉMENTÉ)
-N                         Attaque “Hirte” (cfrag attack), crée des requètes arp contre le client WEP (long –cfrag)
-0                         Authorise tous les cryptages WPA,WEP,open. Ne peut être utilisé avec -z & -Z
-P                         Répond à toutes les requètes d'interrogation, même avec celles avec ESSIDs spécifiés
-S                         Indique la longueur de la clé partagé (defaut: 128)
-V                         Type: faux EAPOL 1=MD5 2=SHA1 3=auto
-W                        0|1: règle [ou pas] le flag WEP flag dans les beacons 0|1 (defaut: auto)
-Y                         In|out|both: traitement des paquets externes
-X                         ESSID cachée (long --hidden)
-Z                         Type: même que -z, mais pour WPA2

Options de filtrage:

--bssid <MAC>      BSSID à filtrer/utiliser (short -b)
--bssids <file>      Lis et utilise une liste de BSSID contenue dans le fichier (short -B)
--client <MAC>      MAC du client à accepter (short -d)
--clients <file>      Lis et utilise une liste de MACs contenue dans le fichier (short -D)
--essid <ESSID>   Spécifie un ESSID unique (short -e)
--essids <file>      Lis et utilise une liste d'ESSIDs contenue dans le fichier (short -E)

--help                   Affiche l'écran d'aide (short -H)

src.[aircrack-ng]

Là je ne suis pas sûr, à mois de créer une deuxième carte virtuelle pour le module, si d'une part airbase-ng et le module ssidlist_beacon se servent de la même interface Wlan0 sur des canaux distincts pour agir ? puisque airbase-ng ne fait que prendre toutes les demandes de connexion en restant en arrière plan, le module quant à lui va miroiter des noms de réseaux et jouer l'appât. En plus, il y a deux options dans ce module que j'ai omis de citer car elles ne sont pas requises:       

TXMOD > The injected modulation type (accepted: DEFAULT, FHSS, DSSS, OFDM, TURBO, MIMO, MIMOGF) (default: DSSS)
TXRATE > The injected transmit rate (default: 2)

Par défaut c'est DSSS, pourtant ces options n’apparaissent pas dans le la configuration du module même dans advanced, mais si elles sont là uniquement dans ce module ce n'est pas pour rien. Si on veut changer cette modulation il faut passer par Iwlist modulation de la Wlan0 et cela m'indique no modulation information.

 
Malheureusement je repars comme en quatorze, il me refait le même coup que le module "fakeap" pourtant tout indique qu'il diffusait  notamment via  Wireshark, airbase-ng  en revanche de son coté fonctionnait très  bien, ça  doit  venir de Lorcon ou la carte/pilote RT3070 peut-être wink

msf> show accueil forum

Dernière modification par Fuji (21-01-2015 09:00:04)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 07-12-2012 16:35:04

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Les modules wifi de Metasploit

En voilà un beau post comme je les aime ! smile Bien joué, belle synthèse des possibilités, je connaissais la plupart de ces modules mais je n'ai jamais pris le temps de voir en détail ce que Metasploit proposait au niveau du WiFi.
Et accessoirement, c'est un peu flippant de voir quelqu'un qui se souvient de mes posts et capable de les sortir comme ça dans le contexte  big_smile

Un module qui m'intéresse, c'est celui qui concerne airpwn : l"utilisation directe de airpwn (premier du nom) donnait des résultats mitigés la dernière fois que j'ai essayé, peut-être que celui-ci tournera mieux. Il faut quand même admettre que les possibilités de cet outil sont énormes !
Le file2air m'intrigue un peu, j'en avais jamais entendu parler. Je pensais que c'était un équivalent à Wifitap mais ça a l'air plus subtil que ça... Le fait d'injecter des charges utiles directement sous forme binaire est intéressant (ça prend moins de place à stocker et les en-têtes sont faciles à modifier), mais je ne sais pas trop comment "forger" (ou capturer) des paquets sous cette forme... A creuser à l'occasion !

Le Karmetasploit, il faudra aussi que je le teste en détail un de ces jours. Du temps de sa "gloire" il était quand même tout sauf discret (la grosse page noire avec juste "Loading..." écrit en grand), mais il avait le mérite de fonctionner. Le nombre d'options est impressionnant, mais elles concernent toutes la partie "AP", avec ce que je vois ici j'ai du mal à déterminer ce qu'il a en plus qu'un "simple" fake AP avec airbase-ng.
Par contre, ce que je peux dire c'est que tu ne peux pas utiliser la même carte sur deux canaux différents, c'est une limitation physique wink

Pour la partie "PNL", ça peut correspondre à la programmation neuro-linguistique (mais là on est plutôt dans le social engineering :p) ou bien la "Preferred Network List" (liste des réseaux favoris, en Français dans le texte). ce que dit l'explication sus-citée, c'est que certains clients n'envoient pas de probe requests tant qu'ils n'ont pas capté un beacon correspondant. Je m'explique : quand un client veut se connecter à un réseau, il envoie ce qu'on appelle une probe request, en gros un paquet pour dire "Hé, est-ce que le réseau untel est là ?". Le réseau demandé peut alors répondre qu'il est là (probe response) et le client commence à se connecter (association, authentification,...). Le comportement par défaut de Windows, c'est de balancer à intervalle régulier un probe request pour tous ses "réseaux favoris" (même celui du MacDo de Dublin où vous n'avez mis les pieds qu'une fois) ; c'est d'ailleurs ce qui permet à airbase-ng de se faire passer pour le réseau recherché (il répond "oui oui c'est moi que tu cherches"), cfr la colonne "probes" dans airodump-ng. Par contre, certains clients n'envoient une probe request QUE s'ils reçoivent d'abord un beacon (annonce de l'AP) avec le SSID correspondant. C'est pour ça que Karmetasploit propose d'utiliser une liste des réseaux les plus courants, pour émettre des beacons à leur nom et voir si ça intéresse un client à portée. Ou bien on fournit notre propre liste, ou bien Karmetasploit utilisera une liste des 20 SSID les plus courants (genre "linksys").

Bon, ben on dirait que j'ai de quoi occuper mes soirées ! big_smile

Hors Ligne

#3 07-12-2012 17:45:26

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Les modules wifi de Metasploit

J'étais sûr que la PNL c'était autre chose, maintenant je comprends mieux le truc de Karmetasploit smile

Dernière modification par Fuji (21-01-2015 09:00:41)

Hors Ligne

#4 08-12-2012 04:30:54

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Les modules wifi de Metasploit

Donc laisser tourner le module sur une interface pendant que sur une autre Karmetasploit ou la rogue AP en général attend calmement avec airebase, un peu comme on balance des miettes de pain dans l'eau pour attirer les poissons alors qu'un hameçon traîne au milieu. En fait, je me rends compte que deux canaux différents c'est deux fréquences distinctes en même temps, et donc au niveau électronique ça bloque avec une unique interface, c'est bien ça non ?  il faudrait alors prendre un seul canal ou bien deux interfaces, mais ça implique d'avoir une deuxième antenne ? Parce que moi ce qui me troublé c’était tout cette myriade de modulations à choisir.

Hors Ligne

#5 09-12-2012 00:37:36

jlf
Membre Indétronable
Inscription : 06-10-2012
Messages : 195

Re : Les modules wifi de Metasploit

Pour une rogue AP un changement de canal ne pertube pas windows réellement il ce connecte quand meme
mais sous linux je sais pas

Hors Ligne

#6 09-12-2012 04:52:19

JeanCharles
Membre Indétronable
Lieu : Sainte-Anne
Inscription : 13-07-2012
Messages : 199

Re : Les modules wifi de Metasploit

Fuji a écrit :

J'avais modéré un peu quelques détails et supprimer un module, je le remets à sa place. Puisque ça n'a pas eu d’écho dans les premiers jours, je me suis dit que ce n'est pas vraiment intéressant.

Au contraire...c'est très impressionnant tout ces détails! et intéressant surtout venant de quelqu'un qui connait son sujet. Que dire de plus?...


« γνωθι σεαυτον »

Hors Ligne

#7 09-12-2012 17:47:40

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Les modules wifi de Metasploit

Fuji a écrit :

Donc laisser tourner le module sur une interface pendant que sur une autre Karmetasploit ou la rogue AP en général attend calmement avec airebase, un peu comme on balance des miettes de pain dans l'eau pour attirer les poissons alors qu'un hameçon traîne au milieu. En fait, je me rends compte que deux canaux différents c'est deux fréquences distinctes en même temps, et donc au niveau électronique ça bloque avec une unique interface, c'est bien ça non ?  il faudrait alors prendre un seul canal ou bien deux interfaces, mais ça implique d'avoir une deuxième antenne ? Parce que moi ce qui me troublé c’était tout cette myriade de modulations à choisir.

C'est quoi cette obsession de vouloir faire tourner deux modules en même temps ? big_smile

D'après ce que j'ai compris, Karmetasploit est très bien capable de se débrouiller tout seul, c'est quels modules que tu veux lancer ensembles ?

Au passage, je confirme que le problème du canal est effectivement lié à la fréquence (c'est pour ça que je parlais de limite physique), par contre je pense que deux modules différents peuvent utiliser la même interface (chacun à son tour).

Pour ce qui est de la modulation, tu peux tranquillement rester avec les valeurs par défaut, imposer une modulation en particulier revient surtout à faire varier le débit maximum utilisable (le 802.11n a besoin de l'OFDM, par exemple, même si celui-ci porte moins loin que le DSSS du 802.11b).

Hors Ligne

#8 09-12-2012 20:44:06

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : Les modules wifi de Metasploit

Ok, parfait smile

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
Quelle carte wifi choisir ? par Morpheus_Dotcom
2 106 05-12-2016 15:11:00 par Morpheus_Dotcom
2 152 04-12-2016 21:54:52 par GreyBird
8 300 17-11-2016 12:02:17 par koala
0 281 22-10-2016 19:03:48 par Antho3674
6 4771 05-10-2016 10:26:24 par X-Ecutioner

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.035 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]