Speedpwn ~ PoC for Telekom/Arcadayan Router | Active Bruteforce

[joel]

(1) Was ich an der ganzen Sache mit den Wordlists nicht verstehe ist folgendes:

Es gibt doch auch die Möglichkeit sich per Shell in ein verschlüsseltes WLAN einzuloggen, kenne die genaue Syntax nicht glaube iwie über iw suite ging das. Wieso schreibt man sich dann nicht einfach ein Shellskript mit ner Wordlist und probiert solange sich zu verbinden bis ein PW zutrifft?

(2) Mit dem Tool hier habe ich auch "First EAPOL Frame timed out" gefolgt von "Can't associate" aus 1 m Entfernung zu einem 700V mit einem Alfa AWUS036H und Ubuntu 11.04.

Bitte beantwortet mir die 1. Frage, würde mich interessieren!

[asdf4321]

ok hab den Fehler gerade eben endeckt es war vor dem Interface ein - das führte zu dieser Felermeldung.

[maru]

So, ich hab mal wie angekündigt heute morgen ein bisschen rumgespielt.

Meine Testumgebung war Ubuntu 10.4 mit der Alfa Awus036H. Als Treiber habe ich sowohl den r8187 als auch rtl8187 durchprobiert. Beide führten in jedem Testfall zum selben Ergebnis.
Speedpwn habe ich wie in der README beschrieben aus der git repo mit dem aircrack 1.1 Sourcecode kompiliert.

Router 1: T-Sinus 1054 DSL

Seltsamerweise konnte ich den Fehler heute mit diesem Router NICHT reproduzieren. Wie durch ein Wunder hat der Angriff heute relativ oft geklappt. Leider unterstützt der Router nur WPA-PSK, daher konnte ich andere Verschlüsselungen nicht testen.

Das richtige Passwort wurde mir mit

Code:

Acesspoint responded but MAIC doesn't match: $Passwort

ausgegeben. Was die Fehlermeldung bedeutet, weiß ich leider nicht, aber speedpwn hat danach nicht gestoppt und die Wordlist weiterabgearbeitet - obwohl der ausgegebene Schlüssel richtig war.
Ausserdem war der Angriff nicht immer erfolgreich. In ca 40% der Versuche wurde der richtige Schlüssel aus der Wortliste zwar durchprobiert, aber nicht als richtig erkannt. Dies geschah unabhängig von der gewählten Geschwindigkeit (slow, medium, agressiv).
Mit zunehmender Entfernung zum Router trat dann wieder der "First EAPOL Frame timed out"-Fehler auf. Je weiter vom Router entfernt ich mich befand, desto häufger. Durch 2 Stockwerke hindurch aber nur in vielleicht 20% der Fälle, soweit läuft es also noch recht stabil.

Router 2: Sitecom WL-331 Wireless Accesspoint

Hier wieder das gleiche Problem wie das letzte mal. Unabhängig von der Entfernung zum Router, verwendeter Verschlüsselung (WPA & WPA2 mixed PSK wurden getestet, sowie verschiedene Kanäle ausprobiert) scheitert es immer am ersten EAPOL Frame, wie von mir im letzten Post beschrieben.

Habe hier mal das zum Sitecom gehörige .cap File angehängt. Musste es zippen da das Tool zum Anhänge hochladen die .cap Datei nicht akzeptieren wollte.


-------------------

Ein Verbesserungsvorschlag meinerseits wäre noch das Einfügen einer Funktion zum wiederaufnehmen des Angriffs an einer bestimmten Stelle. Öfter kam es bei mir nach einiger Zeit zu einem Abbruch. An dieser Stelle muss man dann selbst die Wordlist bearbeiten und schon durchprobierte Schlüssel entfernen bzw bei einem -0 Angriff sogar zwingend wieder bei 0% beginnen.

lg
maru

[der Gnoxter]

Es gibt doch auch die Möglichkeit sich per Shell in ein verschlüsseltes WLAN einzuloggen, kenne die genaue Syntax nicht glaube iwie über iw suite ging das. Wieso schreibt man sich dann nicht einfach ein Shellskript mit ner Wordlist und probiert solange sich zu verbinden bis ein PW zutrifft?

Das war auch mein erster Ansatz, aber selbst mit einem aufgehackten wpa_supplicant brauchte es pro Password > 4 Sekunden, sprich zu lange.

ausgegeben. Was die Fehlermeldung bedeutet, weiß ich leider nicht, aber speedpwn hat danach nicht gestoppt und die Wordlist weiterabgearbeitet - obwohl der ausgegebene Schlüssel richtig war.

Das ist ein "Bug" den ich mir nicht erklären kann. Interessanterweise stimmt die MAIC bei WPA nicht wenn ich die gegenprüfe obwohl es "theoretisch" das gleiche Verfahren wir bei WPA/WPA2 mixed ist. Ich hab die Fehlermeldung erstmal abgeändert.

Ein Verbesserungsvorschlag meinerseits wäre noch das Einfügen einer Funktion zum wiederaufnehmen des Angriffs an einer bestimmten Stelle. Öfter kam es bei mir nach einiger Zeit zu einem Abbruch. An dieser Stelle muss man dann selbst die Wordlist bearbeiten und schon durchprobierte Schlüssel entfernen bzw bei einem -0 Angriff sogar zwingend wieder bei 0% beginnen.

Gibt es nun (-p). Bei -1 sind es dann Prozent*10, wenn man bei 38.4% fortfahren will also -p 380.

Habe hier mal das zum Sitecom gehörige .cap File angehängt.

Danke, ich werde es mir die Tage angucken.


mfg Gnoxter

[ichbinraus]

Hallo,

wie bekomme ich das Skript zum laufen?

Bin leider kein Linux Experte.

Und wie funktioniert das mit dem Git Repo?

Nutze Backtrack 5

Vielen Dank für die Hilfe

[kiff4]

Hallo,

ich habe das script von git runtergeladen und erfolgreich unter BT5 compiliert.

Gibt es nun (-p). Bei -1 sind es dann Prozent*10, wenn man bei 38.4% fortfahren will also -p 380.

mfg Gnoxter

Beim testen der neuen Wiederaufnahmefunktion fiel mir auf das es bei der option -1 -p 300 (start @ passwort 300 oder größer 30%) zu einer längeren Wartezeit kahm ,die dann von einem "can´t assosiate" timeout gefolgt wurde.

eine abänderung des scriptes speedpwn.c von

printf("Starting Telekom/Arcayan Attack..\n");

for (z = 0; z < 10; z++) {
for (y = 0; y < 10; y++) {
for (x = 0; x < 10; x++) {
gettimeofday(&start, NULL);

while(1) { gettimeofday(&actual, NULL);
if ((actual.tv_usec-start.tv_usec) >= 30000 || (actual.tv_usec-start.tv_usec) < 0)
break;}

if( i >= opt.state) {
sprintf(passphrase, "SP-%c%c%c%c%c%c%c%c%c",g,charset[z],h,d,e,f,charset[x],charset[y],charset[z]);
i++;
printf("\rPackets: %lu Check: %s %3.2f%% \r", nb_pkt_sent, passphrase, (((float)100/(float)1000)*(float)i), i);
fflush(stdout);
ret = check_passphrase(passphrase);
if( ret == -2) {i--; x--;}
} else {i++;}
}
}
}

in

printf("Starting Telekom/Arcayan Attack..\n");

for (z = 0; z < 10; z++) {
for (y = 0; y < 10; y++) {
for (x = 0; x < 10; x++) {

if( i >= opt.state) {
gettimeofday(&start, NULL);

while(1) { gettimeofday(&actual, NULL);
if ((actual.tv_usec-start.tv_usec) >= 30000 || (actual.tv_usec-start.tv_usec) < 0)
break;}

sprintf(passphrase, "SP-%c%c%c%c%c%c%c%c%c",g,charset[z],h,d,e,f,charset[x],charset[y],charset[z]);
i++;
printf("\rPackets: %lu Check: %s %3.2f%% \r", nb_pkt_sent, passphrase, (((float)100/(float)1000)*(float)i), i);
fflush(stdout);
ret = check_passphrase(passphrase);
if( ret == -2) {i--; x--;}
} else {i++;}
}
}
}

brachte schnelle Abhilfe.

Mfg Kiff4

[Magnus34]

Habe es mit einem Speedport 700 getestet und da klappts hin und wieder.

Z.T. hatte ich airodump-ng parallel mitlaufen und dann ging es besser wie ohne, bei ca. 10 Meter Entfernung zum Gerät und --agressiv.

Durch zwei Mauern in der gleichen Wohnung war der Erfahrung genauso.

Aber schon interessant, dass die Standardkeys dadurch hinfällig sind.

Gerade eher unbedarfte Kunden lassen ja den Standardkey und genau die erreicht die Information über die Lücke, jetzt auch bestimmt als letztes.

Grüsse
MAG

[ichbinraus]

Hallo,

kann mir jemand sagen wie ich ein Wörterbuch selbst erstellen kann?
Ich habe einen WPA-Handshake meines Speedports gemacht und wollte jetzt das spezifische Wörterbuch darauf ansetzen.

Im Wiki steht ein Skrip zum generieren eines Wörterbuchs, weiß aber nicht wie man das benutzt. Oder kann ich das mit Speedpwn generieren lassen?

[maru]

Mit Speedpwn geht das nicht. Damit kannst du nur ein bereits generiertes Wörterbuch benutzen.

Mit dem Script habe ich noch keine Erfahrung gemacht. Ich persönlich benutze für unter Linux Crunch zum generieren von Wörterbüchern.

Hier ist ein ganz nettes Tutorial dazu: Klick mich!

[der Gnoxter]

Allerdings ist in dem Repo auch ein Script was einem mit der übergebenen MAC und ESSID eine Liste erstellt.

Code:

./speedport-arcadyan.pl $ESSID $MAC > speedy.list

Das Script im Wiki kann man sich in eine Textdatei kopieren, mit chmod u+x ausführbar machen und dann mit "./dateiname" ausführen.

mfg Gnoxter