So-net無料ブログ作成
Aircrack-ng ブログトップ
前の3件 | -

【Aircrack-ng Hirte WEP クライアントアタック(3)】 [Aircrack-ng]

Hirte Attack は、クライアントにパケットインジェクションを行って、WEP キーをクラックする。
同様の攻撃 Caffe Latte Attack の拡張版だ。

前の記事は、airbase-ng と airodump-ng のみを使った方法だが、今回の3番目記事は、加えて aireplay-ng を使った方法だ。
たぶん仕組みは同じだが、こちらの方が状況把握しやすい。

環境は前の記事と同じで、攻撃が BackTrack 4 R1, realtek RTL8187(ドライバ:r8187)。
ターゲットは Windows Vista, Broadcom BCM94311MCG wlan mini-PCI, SSID「WEPCONN」で WEP キー 13文字を登録。

  1. airmon-ng start wlan0 で モニターモードにする。
  2. airbase-ng チャンネル指定で偽 AP を作り、WEP クライアント(Vista)からの接続を待つ。
  3. airodump-ng チャンネル指定でキャプチャする。
  4. aireplay-ng –7 (hirte attack) をクライアント(00:1A:73:8B:XX:XX)に実行する。
  5. aircrack-ng で、キャプチャした IV から WEP キーをクラックする。

image

ディスクトップ4画面構成で↑のコマンドを実行。

snapshot99

aireplay-ng –7 … の実行画面で、利用するパケットを選択できる。
インジェクションをしている様子(送信パケット数, パケット数/秒)が表示される。

image

↑のとおり、先頭の Frame Control Field 0849 のパケット選択で、インジェクションが成功、#Data が増加する。

image

aircrack-ng でWEPキーをクラック。

snapshot104

この方法を使っても、結局成功した WEP クライアントは、Wifi が Broadcom の HP 製 Vista ノートPC のみだ。
Youtube の hirte attack チュートリアルビデオは、ターゲットクライアントの Mac アドレスが 00:1F:3C… なので Intel のWifi だ。
http://www.coffer.com/mac_find/?string=00:1F:3C

ターゲットクライアントが Ralink RT73, Realtek RTL8187, Atheros AR5006 いずれも相変わらず成功していない。
Wifi が Intel の クライアント、他 Broadcom クライアント(iphone等)を試したいが持って無い。

【Aircrack-ng Hirte WEP クライアントアタック】:Royal Windows:So-net blog

【Aircrack-ng Hirte WEP クライアントアタック(2)】:Royal Windows:So-net blog


【Aircrack-ng Hirte WEP クライアントアタック(2)】 [Aircrack-ng]

Hirte アタックは、クライアントにパケットインジェクションを行って、WEP キーをクラックする。
家での実験でも、アクセスポイント(親機)に接続していない分離した状態のノート PC から WEP キーをクラックできた。 
前記事でも説明したが、条件が厳しいみたいで、まだ成否の条件が分からない。

今回は、BackTrack 4 R1 のディスクトップ PC を攻撃用にしたが、Hirte アタックが成功したクライアントは、依然として Broadcom ワイヤレス内蔵の Windows Vista ノートだけだ。
この Vista ノートだけは、何度やっても成功する。
一方で、Windows XP ネットブック(Atheros)、Windows 7 ディスクトップ(RT73 or RTL8187) はインジェクションが成功しなかった。

前記事との違いは、攻撃用 PC のワイヤレスが、Realtek RTL8187 Wireless Adapter である点だ。

このスクリーンショットでは、BackTrack 4 R1 で攻撃を行い、約3分半で WEP キーを解析するのに十分な約6万パケットをクライアントから受信している。クライアントは Windows が動いているだけで、無線LANに接続していない。
snapshot2 

ターミナル①は airodump-ng でパケットをキャプチャする。
受信パケット数/秒(#/s)が 500 近くまで増加して、短時間で約6万パケットをキャプチャできている。

image 

ターミナル②は airbase-ng で SSID:WEPCONN のソフト AP を作る。
ソフト AP が広報している SSID が登録してあるSSIDと同じだから、ということで参加して来たクライアントにインジェクション(パケット注入)を行う。
インジェクションが成功すると、ターミナル①の airodump-ng で受信パケットが増加する。

image

ターミナル③は aircrack-ng でキャプチャデータを解析。WEPキーをクラック。

image

BackTrack 4 R1 には Realtek RTL8187 のドライバが2種あるが r8187 を使った。
rtl8187 では全くクライアントからのパケットが受信できなかった。
BT4 の標準は rtl8187 なので以下のコマンドで切り替えた。

rmmod rtl8187
modprobe r8187

前記事でも攻撃 PC の Ralink RT73 の標準ドライバ rt73usb を rt73 に切り替えて成功している。

ターゲットクライアントの無線LANの種類も関係する気がするが、家の PC だけでは判断できない。
とりあえず成功したターゲットクライアントは、Vista で wireless が Broadcom だけだ。
ネットブックなどは wireless に miniPCI-e の atheros や Ralink を使っている場合が多い。
高価な国産ノートだと Intel が多いし、USBドングルの wireless は Ralink や Realtek が多い。

iPhone や iPad の wireless は Broadcom だ。
Caffe Latte attack のビデオでも iPhone をターゲットにしていた。
【Aircrack-ng カフェラテ攻撃 (Caffe Latte Attack) ?】:Royal Windows:So-net blog

クライアントが登録している SSIDが分からないとソフトAP が作れない。
またクライアントがWEPなのかそれ以外なのかも調べる必要がある。
その調査には、前記事で WiFish Finder を使用した。

クライアントから WEP キーを回収して、その後どうするのか?は、いろいろ考えられる。
そのWEP キーで、実際に接続できる偽APを作られてしまったら、暗号化してない通信を盗聴されてしまう。
mitmap や ettercap で USER/PASS を盗まれてしまう。
ettercap については↓
【MITM 攻撃 ettercap NG-0.7.3】:Royal Windows:So-net blog 

盗聴だけではなく、攻撃マシンと通信可能状態になるので、リモートアクセスなどで改ざんや破壊行為も可能になる。


【Aircrack-ng Hirte WEP クライアントアタック】 [Aircrack-ng]

image Hirte アタックは、クライアントにパケットインジェクションを行う。
クライアントをターゲットにして WEP キークラックを行うので、無線 LAN アクセスポイントの存在は不要だ。

Hirte アタックは、以前記事にした Caffe-Latte Attack の拡張版。

実際やってみたら、以下のパターンでしか成功しなかった。
攻撃 PC, ターゲット PC の無線 LAN カードの種類、ドライバで成否が分かれるみたいだ。

唯一成功したパターン

ターゲット PC

  • OS: Windows Vista
  • 無線 LAN カード: Broadcom BCM94311MCG wlan mini-PCI rev 02

攻撃 PCimage

  • OS: BackTrack 4 final 日本語版
  • 無線 LAN アダプタ: バッファロー WLI-U2-SG54HP(rt73)
  • ドライバ: RaLink RT73 USB Enhanced Driver (rt73.ko)
    BT4 標準の rt73usb ドライバは無効にする。
    vi /etc/modprobe.d/blacklist  -> blacklist rt73usb, #blacklist rt73

仕組みは、攻撃 PC が偽アクセスポイントになり、ターゲット PC が接続してきたらインジェクションを行い、ターゲット PC からの ARP 応答をキャプチャして WEP キーをクラックする。
偽 AP からインジェクションまで airbase-ng が行ってくれる。 
 airbase-ng [Aircrack-ng]

ターゲット PC (Windows Vista)で、ワイヤレスネットワークの管理を開き、セキュリティの種類 WEP で、ネットワークを追加する。
ネットワーク名、セキュリティキーは任意(実際に無線 LAN につなぐ必要はない)。
「ネットワークがブロードキャストを行っていない場合でも接続する」にチェックする(チェック無しだとプローブしないので調査ツール↓が使えない)。

攻撃 PC は↑の設定を知らない想定なので、ターゲット PC が攻撃可能か? - 登録済 SSIDは? WEP か? - を調べる必要がある。
その調査ツールとして、WiFish finder v0.2 を攻撃 PC にインストールした。
WiFish Finder: WiFi Client vulnerability assessment made simple

インストール及び使用は、↑からソースの WiFishFinder-v0.2.zip をダウンロードして、

unzip WiFishFinder-v0.2.zip
cd WiFishFinder-v0.2
common.mak の 52行目 CFLAGS … の –Werror を消す(makeを通すため)。
make
make install

airmon-ng start rausb0
wifishfinder rausb0

wifishfinder を実行してしばらく待つと、ターゲット PC が WEP で SSID が WEPCONN であることが分かる。

image

airbase-ng で立ち上げる「偽 AP」の SSID を WEPCONN にすれば、ターゲット PC が接続してくるはずだ。

ターミナルで、airbase-ng を実行する。-N はHirte Attack –c 9 はチャンネル

airbase-ng -c 9 -e WEPCONN -N -W 1 rausb0

airbase-ng は、SSID: WEPCONN で偽APをスタート、42秒後にターゲット PC が参加、ターゲット PC にインジェクションを実行。
image

同時に別のターミナルで、airodump-ng を実行する。

airodump-ng -c 9 -w capture rausb0

インジェクションが成功し、airodump-ng の #Data が増加。capture-01.cap に記録される。
image

#Data が増加してきたら別のターミナルで、aircrack-ng を実行する。

aircrack-ng -f 4 capture-01.cap

capture-01.cap を aircrack-ng で解析した結果、WEP キーが判明している。
image

------
ターゲット PC の無線 LAN デバイスを Rtl8187/RT73、攻撃 PC の無線 LAN デバイスを Atheros/RTL8187 等いくつかパターンを試したが、全く反応がなかったり、#Data が増えないなど問題があった。
airbase-ng の説明でもドライバやチップによる制限があるとのことだ。
http://www.aircrack-ng.org/doku.php?id=airbase-ng#driver_limitations

成功例は、攻撃 PC が RT73(ドライバ: rt73)、ターゲット PC が Broadcom だった。
ターゲット PC の無線 LAN チップも関係がある様な気がする。
そういえば、iPhone, iPad も Wifi は Broadcom だった。
【iPad の Wifi に問題?(2)】:Royal Windows:So-net blog

とにかく成功例ではかなり短時間(3分)でクラックが成功している。
Caffe Latte attack は、カフェラテを飲んでる間にクラックされるという意味だ。

今回の実験は、なかなか成功せず大変だった。
成功したら、是非、攻撃/ターゲット(iphone?)の組み合わせを教えてください。

------
ハッカージャパン(9月号)は、また無線LANをやっている。


前の3件 | - Aircrack-ng ブログトップ