کرک WPS با استفاده از Reaver

WPS مخفف Wi-Fi Protected Setup است و به گونه ای طراحی شده است که اتصال کاربران به AP را امن و ساده تر کند. اولین بار در سال 2006 معرفی شد و در سال 2011 کشف شد که یک نقص طراحی جدی دارد. پین WPS می تواند به سادگی با استفاده از ابزارهایی مانند Reaver بروت فورس brute force (حمله ‌ای برای کرک پسورد) شود.

ابزار Reaver چیست؟

ریور Reaver یک ابزار متن باز برای کرک WPS است که از یک حفره امنیتی در روترهای وایرلس بهره‌برداری میکند و می تواند پسورد روتری که WPS آن فعال است را به آسانی کرک کند. این ابزار در کالی لینوکس از قبل نصب شده است، اما شما می توانید آن را در سایر توزیع‌های لینوکس از طریق سورس کد آن نصب کنید. Reaver یک حمله بروت فورس را علیه شماره پین WPS اکسس پوینت انجام می دهد.

بعد از پیدا کردن پین WPS ، کلید WPA-PSK قابل بازیابی است.

توضیحات حمله:

Reaver تابع ثبت کننده خارجی را که توسط مشخصات Wi-Fi Protected Setup تنظیم شده، هدف قرار می دهد. registrar برای تایید اعتبار، باید نشان دهد که شماره پین ​​8 رقمی AP را می‌شناسد. ثبت کنندگان ممکن است در هر زمان و بدون تعامل کاربر، با یک AP تایید اعتبار کنند. از آنجا که پروتکل WPS بر روی EAP انجام می شود، ثبت کننده فقط باید با AP همراه باشد و نیازی به  دانستن کلید AP ندارد.

Reaver یک حمله بروت فورس را علیه AP انجام می دهد و برای به دست آوردن شماره پین ​​8 رقمی AP هر نوع ترکیب ممکن را آزمایش می‌کند. این ابزار ابتدا نیمه اول پین و سپس نیمه دوم پین را بروت فورس می کند، به این معنی که کل فضای کلید برای شماره پین WPS را می توان در 10999 تلاش بدست آورد. بعد از کشف کردن پین WPS، می توان از آن برای یافتن کلید PSK (رمز عبور) WPA2 استفاده کرد.

سرعتی که Reaver قادر به آزمایش اعداد پین است، کاملاً محدود به سرعتی است که AP می تواند درخواست‌های WPS را پردازش کند. برخی از ‌AP ها به اندازه کافی سریع هستند که می توانند در هر ثانیه یک پین را آزمایش کنند. اما مابقی کندتر هستند و فقط در هر ده ثانیه به یک پین اجازه می دهند. از نظر آماری فقط نیمی از این زمان به طول می انجامد تا حدس بزنید شماره درست پین را حدس بزنید.

Reaver در کالی وجود دارد، اما برای نصب آن در توزیع‌ دبیان از طریق سورس کد، دستورات زیر را اجرا کنید:

sudo apt -y install build-essential libpcap-dev aircrack-ng pixiewps
wget https://github.com/t6x/reaver-wps-fork-t6x/archive/master.zip
unzip master.zip
cd reaver-wps-fork-t6x*
cd src
./configure
make
sudo make install

اگر آموزش قبلی را خوانده باشید، می دانید که ابتدا باید کارت وایرلس خود را در حالت مانیتور قرار دهیم و سپس شروع به اسکن کنیم.

1- قرار دادن کارت وایرلس در حالت Monitor

ابتدا برنامه هایی را که ممکن است باعث ایجاد مشکل شوند را متوقف کنید، سپس کارت خود را در حالت مانیتور قرار می دهید.

airmon-ng check kill
airmon-ng start wlan0

در اینجا wlan0 اینترفیس کارت وایرلس من است، شما می توانید به راحتی با تایپ iwconfig در ترمینال اینترفیس کارت وایرلس خود را بررسی کنید.

2- اسکن محیط برای شبکه‌های WPS

ابزار Airodump-ng نمی تواند فعال بودن WPS روترها را شناسایی کند. برای این منظور از دستور Wash استفاده می کنیم که همراه Reaver نصب می شود و به ما کمک می کند تا روترهای که WPS فعال دارند را شناسایی کنیم.

wash -i wlan0mon

این دستور یک خروجی مشابه زیر را نشان می دهد.

به ستون “LCK” مخفف “WPS Locked” توجه کنید. اکسس پوینت‌هایی که قفل (lock) نیستند به احتمال زیاد حمله بروت فورس بهتر روی آنها جواب می‌دهد. شما همچنین می توانید روی AP که WPS آن قفل است این حمله انجام دهید، اما شانس موفقیت چندان مناسب نیست. اینجا،

• ESSID/Target: wifi
• BSSID: 64:64:B3:BE:BE:07
• Channel: 1
• WPS Locked: No

در بعضی موارد ممکن است، BSSID توسط حمله بروت فورس هکر lock شود. در این حالت Reaver قادر به انجام حمله WPS pin نخواهد بود.

3- کرک WPS با ابزار Reaver

بعد از مشاهده BSSID هدف، از Reaver استفاده کنید تا حمله WPS pin را روی آن امتحان کنید.

reaver --help
reaver -i wlan0mon -b 64:64:B3:BE:BE:07 -c 1 -vv

اگر Reaver موفق شود یک پین را بعد از دیگری امتحان کند، پین WPS و کلید WPA2-PSK در کمتر از چند ساعت کرک می‌شود. در حالت ایده آل، دستور اصلی کار می کند و حمله همانطور که انتظار می رود پیشرفت می کند. اما در واقعیت، تولید کنندگان روترها سعی در محافظت در برابر حملات به سبک Reaver داشته اند و ممکن است لازم باشد سوئیچ هایی به دستور اصلی اضافه کنیم تا حمله انجام شود.

reaver -i wlan0mon -b 64:64:B3:BE:BE:07 -c 1 -vv -L -N -d 15 -T .5 -r 3:15

• ‎-L وضعیت WPS قفل شده را نادیده بگیر
• ‎-N بسته های NACK را هنگام شناسایی خطا ارسال نکن
• ‎-d 15 بین تلاش‌های پین 15 ثانیه تأخیر کن
• ‎-T مدت زمان پایان را نیم ثانیه تنظیم کن
• ‎-r 3:15 پس از 3 تلاش، 15 ثانیه صبر کن

4- کرک WPS با ابزار Bully

ابزار Bully یک نسخه بهبود یافته Reaver است که چند مزیت خوب به آن اضافه شده است. این ابزار از حمله آفلاین Pixie Dust پشتیبانی می‌کند و برخلاف سایر ابزارهای کرک ‌wps دارای چندین مزیت از جمله بهبود عملکرد حافظه و پردازنده، وابستگی‌های کمتر، مدیریت صحیح پایان حمله، تشخیص و مدیریت پیشرفت ها، مجموعه قوی تری از گزینه ها و غیره دارد.

این ابزار به طور پیش فرض در کالی موجود است. شما می‌توانید در سایر توزیع‌ها طبق دستورات زیر آن را نصب کنید:

apt install build-essential libpcap-dev aircrack-ng pixiewps -y
git clone https://github.com/aanarchyy/bully
cd bully*/
cd src/
make
sudo make install

بعد از آنکه با Airodump-Ng اطلاعات هدف را بدست آوردید، آن را در دستور Bully وارد کنید:

bully --help
bully  wlan0mon -b 64:64:B3:BE:BE:07 -e wifi -c 1

• wlan0mon اینترفیس کارت وایرلس درحالت مانیتور
• ‎-b مک آدرس (BSSID) هدف
• ‎ -eنام اکسس پوینت (SSID) هدف
• ‎-c کانال AP هدف

با دستور bully گزینه‌های ابزار را مشاهده کنید:

• ‎-d اجرای حمله Pixie Dust
• ‎ -vمشاهده جزییات حمله اجرا شده

حمله Pixie Dust برای کرک WPS

حمله Pixie Dust یک حمله آفلاین است که از آسیب پذیری WPS استفاده می کند. برای این حمله ابزار Pixiewps، با زبان C نوشته شده و با نسخه اصلاح شده Reaver نیز کار می‌کند. درصورتی که یک روتر بی سیم در معرض این حمله باشد، در عرض چند ثانیه می توانید رمیز عبور را بازیابی کنید. این حمله از نظر ماهیت بسیار خاص است و روی همه روترها کار نمی‌کند. حمله Pixie Dust روی روترهایی با چیپست Ralink و RealTek موفقیت دارد، اما روی چیپست‌ Broadcom ممکن است موفقیتی نداشته باشد. در اینجا می‌توانید لیست روترهایی که در برابر این حمله آسیب پذیرند را ببینید.

reaver -i wlan0mon -b 64:64:B3:BE:BE:07 -c 1 -vvKf

• ‎-K حمله pixiedust

این حمله روی روترهایی که wps فعال دارند کار می‌کند و حداکثر 30 دقیقه طول می‌کشد.

البته روش‌های سریع‌تر و حرفه‌ای تری هم برای انجام این حمله حتی روی WPS های قفل شده وجود دارد.

یک حقیقت در مورد WPS

اکسس پوینت‌های جدید دیگر این آسیب پذیری را ندارند. این حمله فقط روی روترهای فروخته شده در طی سال‌های 2006 تا 2012 کار خواهد کرد. از آنجا که مردم سالها روترهای خود را نگه می دارند، هنوز هم تعداد زیادی روتر آسیب پذیر وجود دارد. بنابراین این حمله می تواند مفید باشد.

اقدامات متقابل  برای جلوگیری از حمله WPS Pin

1. بررسی کنید که روتر شما بعد از سال 2012 تولید شده باشد، شاید آسیب پذیر نباشد.
2. در صورت وجود آسیب پذیری، در تنظیمات روتر WPS را خاموش کنید یا با دکمه WPS آن خاموش کنید.
3. شما می‌توانید با استفاده از آپدیت‌‌های امنیتی ارائه شده، روتر‌ خود را از این باگ ایمن کنید. برای اینکار به سایت رسمی روتر خود بروید و از قسمت firmware مدل روتر خود را جستجو کنید.

منتظر آموزش بعدی باشید و اگر سؤالی داشتید، حتماً در نظرات زیر بپرسید.