Perché la scheda di rete wireless del tuo smartphone effettua il roaming, ovvero tenta di connettersi ad ognuna delle reti wireless salvate, alla ricerca di quella migliore quando non associato (comprese quelle fuori portata). Se il tuo smartphone si autentica ad un punto di accesso, con molta probabilità vedrai solo l'SSID di quel punto di accesso su airodump.
- Stato
se mandi troppi deauth attacchi i client potrebbero non riuscire a riconnettersi e quindi la cattura dell'handshake fallire,oppure non riusciresti a prenderne uno completo ,comunque molte volte ne bastano pure solo due parti dei quattro messaggi eapol per decifrare la wpa,quindi mandane solo pochi alla volta massimo due o tre,cominci con uno a salire e vedi se riesci,non più di 5 però.per il segnale fino a -70 pwr o -75 pwr dovresti riuscirci ,poi dipende pure dalla scheda e dal chipset che usa,con alcune schede ho notato più facilità.
Vuol dire che il WPS si è bloccato, poiché su alcuni chipset wireless è stata inserita una protezione che dopo tot tentativi si blocca. Per sbloccarlo dovresti riavviare il dispositivo vittima, oppure attendere che si sblocchi, oppure ancora forzare l'unlock con un attacco mdk3.
In sostanza sì, prima con la cattura dell'handshake, poi con la creazione di un access point senza protezione con SSID identico alla rete attaccata. Nel contempo, vengono inviati continuamente pacchetti di deautenticazione ai client connessi al punto di accesso vittima, in modo da costringerli a connettersi al tuo punto di accesso wireless senza protezione. Una volta connessi, quando tenteranno la navigazione Internet su qualsiasi browser, verranno rediretti automaticamente ad una pagina web che chiederà loro di inserire la password wireless del punto di accesso vittima per motivi di sicurezza (nel caso dello script Linset). Una volta inserita, essa verrà confrontata con l'handshake precedentemente catturato, e se c'è un riscontro positivo ti apparirà la password in chiaro. Ti avverto che questo attacco potrebbe richiedere diverso tempo (delle ore, dei giorni, o addirittura delle settimane), per cui bisogna avere molta pazienza, riprovando più volte.
il programma migliore per farlo è fluxion https://github.com/deltaxflux/fluxion (erede di linset) puoi usare una solo scheda wifi ,non è complicato perchè questo script ti fa tutto in automatico ,mentre si facendo manualmente tutto dal terminale è un'po' complicato,poi per quanto riguarda l'attacco una cosa importante è cercare di capire se durante l'attacco il canale cambia per il fatto che molte persone quando non navigano riavviano semplicemente il modem e se è impostato il canale automatico ,questo passerà da 5 peresempio a 10 ecc e l'attacco sarà inutile perchè la deautenticazione di mdk3 si fermerà (essendo rimasta nel canale precedente) e torneranno a navigare nella rete originale ,quindi bisogna riavviare fluxion da capo.poi altra cosa importante è il segnale specie quello dei client,puoi anche usare questa versione di fluxion con i template dei modem https://www.inforge.net/xi/threads/pagine-template-per-linset.447036/ ,il metodo è buono provato personalmente e anche altri utenti del forum te lo possono confermare,poi se i client navigano da android si connetteranno in automatico alla rete fake,mentre i pc manualmente,poi le persone non sono tutte esperte e se non gli permetti di navigare potrebbero connettersi anche manualmente ,vale la pena tentare avendo pazienza di aspettare.
non conosco di preciso le prestazioni di questa scheda ma dovranno essere buone per fare un bruteforce del genere ,almeno che la pass sia solo numerica di 8 cifre visto che in alcuni modem tp-link è cosi,prova prima con crunch 8 8 1234567890 ,anche se essendo il modem un modello diverso da quelli soliti penso non sia cosi,ma puoi provare.comunque il mask attack è un po' diverso dal bruteforce,il mask attack prova le combinazioni a seconda della posizione ed è più adatto se si conosce un parte della pass (cosa molto rara) tipo cosi ?a?a?a?a1994 : dove il programma proverà le combinazioni solo nei promi 4 caratteri,oppure puoi scegliere quali caratteri precisi provare per ogni parte della pass ,esempio prima quattro caratteri solo lettere minuscole ,restanti caratteri solo numeri,invece il bruteforce prova tutti i caratteri possibili in tutte le posizioni,melgio quindi il bruteforce specia quando non si sa di preciso com'è la wpa2.
Alcuni chipset wireless dei modem/router, se l'impostazione del canale è impostata su "Automatico", effettuano una scansione periodica dei canali, cercando quello più libero e cambiandolo di conseguenza (anche senza essere riavviato o spento e riacceso). Visto che con l'evil twin viene creata una rete wireless con lo stesso canale, allora ecco che il punto di accesso attaccato cambia canale (questo è anche il caso dei Vodafone).
ragazzi ci siamo!! nella mia zona ci sono stati dei temporali forti e il mio vicino ha spento e riacceso l'ap quindi il wps ora è sbloccato! 
adesso prima di creare dei casini e farlo bloccare di nuovo voglio un vostro consiglio.
lancio il comando:
reaver -i mon0 -b 14:CC:20
5:8E:5B -c 5 - vv - p 39956118
che faccio ci provo?
ho visto con wash che l'RSSI è -73 cosa vuol dire? mentre RXQ è 100 e PWR è -69
adesso prima di creare dei casini e farlo bloccare di nuovo voglio un vostro consiglio.
lancio il comando:
reaver -i mon0 -b 14:CC:20
5:8E:5B -c 5 - vv - p 39956118che faccio ci provo?
ho visto con wash che l'RSSI è -73 cosa vuol dire? mentre RXQ è 100 e PWR è -69
ragazzi ci siamo!! nella mia zona ci sono stati dei temporali forti e il mio vicino ha spento e riacceso l'ap quindi il wps ora è sbloccato!
adesso prima di creare dei casini e farlo bloccare di nuovo voglio un vostro consiglio.
lancio il comando:
reaver -i mon0 -b 14:CC:20
che faccio ci provo?
ho visto con wash che l'RSSI è -73 cosa vuol dire? mentre RXQ è 100 e PWR è -69
il pin l'hai calcolato con quel metodo che hai trovato nella discussione tp-link-pin ,allora devi sperare che sia corretto ,se è cosi è fatta sennò si bloccherà comunque ancora,non esiste un metodo per non farlo bloccare ,l'unico modo per non farlo bloccare sarebbe diminuire il tempo di prova tra un pin e l'altro con l'opzione -d o -r ,ma cosi facendo l'attacco ci metterebbe molto più tempo è quindi non è molto consigliabile.l'rssi -73 e -69 pwr sarebbero la potenza del segnale della rete,per il rxq 100 va più che bene solo che devi vedere se è stabile ,perchè se fa sbalzi tipo -00 poi 90 o peggio sotto 80 ogni qualche secondo puoi avere problemi con reaver comunque,puoi provarci ma secondo me ti conviene insistere con l'evil twin ,l'attacco wps su reti tp-link è sempre abbastanza ostico da portare a termine è difficile.
mi sembra che il blocco sia calcolato soltanto dal tempo che passa tra un tentativo e l'altro,quindi teoricamente se provi pure 20 pin ma uno ogni 5 minuti non dovrebbe bloccarsi ,però come ho detto prima non conosco il tempoi preciso,varia da ap a ap ,quindi credo che in questo caso ci voglia almeno 40 secondi o un minuto di attesa,poi per il calcolo del pin,dipende dall'algoritmo usato che poi viene combinato con il mac address per generare il pin se è lo stesso usato dal modem,oppure puo essere che sia completamente causale o ancora che utilizzi una conversione del mac in cifre decimali come per il metodo scritto nel forum.per sapere il modello preciso puoi provare a usare reaver 1.5.3 con -K 1 e quando escono tutti i valori di output vedi se riesci a capire che modello è.
Ultima modifica:
ho provato sia in automatico con wifite e quindi molti deauth.. sia manualmente con airodump insieme ad aireplay, appena vedevo associato un mac lo disconnettevo, l'ho fatto una decina di volte
cmq ho notato una cosa.. airodump riesce a trovare le reti salvate nel mio smartphone. non appena lo accendo compare il mio mac con la lista di tutte le wifi a cui mi sono collegato in passato, ma appena stacco il wifi sul telefono, il mac ci mette alcuni minuti prima di scomparire: com'è possibile, non è aggiornata in tempo reale?
ps vorrei farlo da windows perchè ho da poco aggiornato i driver del mio awus036nh e sembra che sia diventata più sensibile su windows che su kali
cmq ho notato una cosa.. airodump riesce a trovare le reti salvate nel mio smartphone. non appena lo accendo compare il mio mac con la lista di tutte le wifi a cui mi sono collegato in passato, ma appena stacco il wifi sul telefono, il mac ci mette alcuni minuti prima di scomparire: com'è possibile, non è aggiornata in tempo reale?
ps vorrei farlo da windows perchè ho da poco aggiornato i driver del mio awus036nh e sembra che sia diventata più sensibile su windows che su kali
Scusa avevo letto : "airodump riesce a vedere le reti salvate sul mio telefono" da li pensavo tu avessi usato kali sul smartphone
Inviata da SM-G350 tramite app ufficiale di Inforge.net
Inviata da SM-G350 tramite app ufficiale di Inforge.net
Si nella lista di tutti i Mac (associati e non) compare anche il Mac del mio e di qualsiasi altro dispositivo con le rispettive reti salvate. Per esempio sul telefono di mio fratello c'erano quattro reti wifi salvate. Beh in airodump comparivano tutte.....come è possibile...chi mi da dare una spiegazione?
ottimo!
comunque non riesco ad ottenere l'handshake, forse sarà perchè devo inviare il segnale di deauth solo per pochi secondi? se lo mando in continuazione cosa succede? e poi, i valori pwr e rxq come devono essere? forse non sono in una posizione ideale per catturare?
comunque non riesco ad ottenere l'handshake, forse sarà perchè devo inviare il segnale di deauth solo per pochi secondi? se lo mando in continuazione cosa succede? e poi, i valori pwr e rxq come devono essere? forse non sono in una posizione ideale per catturare?
Ultima modifica:
quindi provo con:
aireplay-ng --deauth 1 -a BSSID mon0
poi con
aireplay-ng --deauth 2 -a BSSID mon0
e così via?
ps con il segnale ci sto dentro ma per quanto riguarda il valore rxq?
pps se per esempio riuscissi a catturare solo due parti su quattro come faccio a capirlo, perchè suppongo che airodump mostri "[ WPA handshake: **" solo quando lo ha catturato interamente..
mi rispondo da solo: per quanto riguarda il valore RXQ ho letto che dev'essere prossimo a 100 (piu' alto e' meglio e'), il mio valore RXQ massimo e' 5.
Analizzando il file cap con wireshark non trovo nemmeno un pacchetto di associazione (era prevedibile) e ho notato una cosa che non mi e' chiara: ci sono dei pacchetti di probe response che hanno come sorgente l'ap e come destinatario un client che non compariva nella schermata di airodump.
poi volevo un'ulteriore chiarimento sulla schermata di airodump. questo e' quello che vedo tra gli elementi associati e non:
BSSID STATION PWR Rate Lost Frames Probe
68:A0:F6:07:36:63 00:25:86:BA:26:90 -72 0 - 1 0 12 Mxxxx_Casa
nel campo BSSID ci dev'essere il client e nel campo STATION l'ap? e' corretto?
quando invio il segnale di deauth:
root@kali:~# aireplay-ng --deauth 1 -a 00:25:86:BA:26:90 mon0 -c 68:A0:F6:07:36:63
15:32:05 Waiting for beacon frame (BSSID: 00:25:86:BA:26:90) on channel 6
15:32:05 Sending 64 directed DeAuth. STMAC: [68:A0:F6:07:36:63] [ 0| 0 ACKs]
volevo sapere perche' c'e' scritto Sending 64 directed DeAuth. Poi cosa vuol dire [ 0| 0 ACKs]?
Ultima modifica:
se su airodump-ng non appare nessun wpa handshake allora è logico che su wireshark non c'è nessun pacchetto eapol(airodump ti segnala la cattura dell'handshake anche con due soli eapol molte volte),poi per quanto riguarda la schermata di airodump,brevemente nella scritta station ci sono i client associati alla rete wifi ,nella prima colonna bssid c'è il bssid dell'access point ,nell'altra colonna il client associato,poi per i deauth dice 0 perchè evidentemente i pacchetti di disconnessione non vanno a segno ,forse perchè sei un'po' distante e la scheda non riesce a raggiungere i client,se il valore degl'ACKs non sale no riuscirai a prendere l'handshake,poi infine il rxq basta anche su un 85 % o 90,leggi qua e vedi https://www.aircrack-ng.org/doku.php?id=deauthentication ,è in inglese,traducilo se non capisci.
Ultima modifica:
gr
halo90 ha detto che a volte bastano solo due messaggi EAPOL quindi sono fiducioso. magari ho inviato troppi deauth. può essere questo?
grazie, stavolta mi sono concentrato su un'altra wifi con l'RXQ direi ottimo (prossimo a 100) ma c'è un problema ecco il file cap: http://www107.zippyshare.com/v/bZzP70bT/file.html in pratica non ci sono tutte e quattro le parti del messaggio ma solo 1 di 4 e 3 di 4..e nella schermata di airodump non compariva "[ WPA handshake: **"
halo90 ha detto che a volte bastano solo due messaggi EAPOL quindi sono fiducioso. magari ho inviato troppi deauth. può essere questo?
si puo essere che hai mandato troppi deauth ,anche perchè il file cap è un'po' troppo sporco con tante messaggi di autenticazione (ma dovrebbe funzionare comunque),ma se airodump non ti segnala wpa handshake allora vuol dire che non l'hai catturato ,anche se con wireshark risultano due pacchetti ,si vede che non sono i pacchetti giusti che contengono le informazioni cifrati della password,possono bastare due ma quelli giusti ,ma dipende a volte ne servono 3 pacchetti ,a volte tutti e quattro,(ti ho detto cosi ,perchè a me è capitato che con due me lo dava catturato),poi in ogni caso se aircrack non te lo da catturato non inizia il bruteforce,quindi continua a provare ,magari cerca di avvicinarti con il segnale,anche qualche pwr in più puo fare la differenza ,se continui ad avere problemi prova a settare il rate a 1m molte volte risolve ,cosi iwconfig wlan0 rate 1 o 1M non ricordo bene,oppure avvia la monitor bloccandola sul canale dell'ap ,cosi airmon-ng start wlan0 5 (5 sarebbe il canale) ,poi a volte dipende anche dal chipset ,con gl'atheros molte volte mi è capitato di catturarlo anche con un segnale di -79 pwr,che scheda hai .
- Stato
DISCUSSIONI SIMILI
-
- 4
-
- 757
-
- 0
-
- 335