Autoblog de brico-wifi

Updating database... Please wait.

Ça fait un moment que aircrack-ng n'a pas réalisé de nouvelle version en stable, par contre le logiciel a continué d'évoluer dans sa version trunk, avec de nouveaux outils et des améliorations.

Pour télécharger la version trunk il faut le logiciel subversion, vous pourrez ensuite télécharger les sources à cette adresse:

svn co http://trac.aircrack-ng.org/svn/trunk/
mv trunk aircrack-ng

La compilation:
cd aircrack-ng
make

Installation facultative:
sudo make install

Quoi de neuf ?

Dans le répertoire scripts vous avez:

airmon-ng.freebsd, ducoup il doit y avoir des drivers fonctionnels pour au moins le mode monitor sous freebsd.
airmon-zc qui est la prochaine version de airmon-ng
versuck-ng qui permet de retrouver la clé wep des "actiontec routeur" je connais pas je sais pas si c'est utilisé en France.

Dans le répertoire src:

besside-ng-crawler, lui on lui donne un répertoire à surveiller et il va rechercher les fichiers au format pcap, quand un tel fichier est détecté il extrait le(s) handshake pour le(s) placer dans un autre fichier, cela permet d'avoir un fichier contenant juste les donnés importantes.
#################################################

Use: ./besside-ng-crawler <SearchDir> <CapFileOut>
What does it do?

It recurses the SearchDir directory
Opens all files in there, searching for pcap-dumpfiles
Filters out a single beacon and all EAPOL frames from the WPA networks in there
And saves them to CapFileOut.

This tool is supposed to crawl capfiles for upload to sorbo's WPA statistic server!
http://wpa.darkircop.org

besside-ng, c'est un nouvel outil d'autocracking, pour le moment je le test depuis ~2 heures et je peux vous dire que c'est efficace.
Quand vous lancez besside-ng il va créer 3 fichiers, un besside.log (format texte) qui va contenir les clés WEP découvertes + si il a des handshake de points d'accès utilisant du WPA, un wep.cap qui est donc la capture des paquets pour le WEP et un wpa.cap pour les handshake.

Le logiciel effectue un scan de tous les canaux et créé une liste des points d'accès ensuite il va parcourir la liste et tenter de casser un par un la clé WEP ou récupérer le handshake pour un ap en WPA, le nom de la liste est TO-OWN quand une attaque se termine par un succès il place le nom du point d'accès dans une nouvelle liste OWNED
Quand la liste est terminé il refait un scan puis rebelote.

Ce qui est pas mal dans le logiciel c'est la stabilité, quand vous injectez manuellement il arrive que le point d'accès ne réponde plus par exemple, et bien si c'est le cas besside-ng va pas rester bloqué dessus il va passer au suivant de la liste, une fois la liste terminé il va refaire un scan et donc tenter de réattaquer les points d'accès ou il a échoué.
Idem avec le WPA il passe pas 3 heures à deauth, ce qui fait que les attaques sont fluide.
Si vous avez un problème vous pouvez ctrl+c sans nettoyage du dossier quand vous relancerez besside il va ajouter les donnés à celles déjà collectés (et non écraser).


Au final c'est juste une petite commande et ensuite vous pouvez faire un puzzle ou je ne sais quoi, besside va s'occuper du cracking.

Sinon, aircrack-ng supporte un mode serveur, peut préparer une capture pour un cracking avec le logiciel elcomsoft ou encore hashcat.
airodump-ng dispose d'une option pour le problème des drivers mac80211 non patchés, cela fixe l'affichage du canal (sinon c'est -1).

Notez que pour mon test besside-ng j'utilise un kernel 3.x avec mon alfa network, la suite aircrack utilise le driver livré avec mon noyau, le driver n'est pas patché (et les résultats sont ok) (driver rtl8187)

Pour le reste je vous laisse découvrir, j'ai pas regardé si il y avait d'autres choses. (il n'y a pas de manuel et de documentation officiel pour besside-ng, mais c'est ultra simple à utiliser)

Node.js utilise le moteur javascript google v8 et lui ajoute les fonctionnalités I/O (input output), il est relativement populaire et les gens disent que c'est très rapide, je vais pas m'étendre sur le sujet car j'ai jamais fait de benchmark sur Node.js.
Comme on entend principalement du bien de Node.js, voici un lien (en Anglais) "Node.js is Cancer" qui à le mérite de donner un point de vue appuyé par des tests.
http://teddziuba.com/2011/10/node-js-is-cancer.html

Ce soir megaupload est dead sur ma connexion SFR, mais comme on sait que SFR n'est pas forcement ce qu'il y a de plus honnête, j'ai même pas essayé des tests j'ai directement changé mes dns.
Étrangement en utilisant le dns de google (ou opendns) le site megaupload répond parfaitement et le débit est comme d'hab…

Bref pour changer de dns sous linux il suffit d'éditer /etc/resolv.conf et c'est tout, il n'y a pas besoin de se reconnecter les changements sont effectifs dés la sauvegarde de votre resolv.conf.

Un exemple du mien:

# Generated by dhcpcd from eth0
# /etc/resolv.conf.head can replace this line

#google dns
nameserver 8.8.8.8
nameserver 8.8.8.4

#opendns
#nameserver 208.67.222.222
#nameserver 208.67.220.220

#box dns
#nameserver 192.168.1.1
# /etc/resolv.conf.tail can replace this line

Ettercap-ng passe en version 0.7.4.2, en fonctionnalités c'est pareil qu'avant mais du gros bug fix à été appliqué. Il faut dire que ettercap est un outil relativement vieux et laissé à l'abandon par les deux principaux mainteneurs (alor / naga) donc il y avait du travail.

Comme indiqué les deux mainteneurs ont laissé tomber le projet, et c'est donc un nouveau groupe de programmeurs qui s'en occupe au travers de la plateforme github.

(Il y a cependant rien d'officiel, le site chez sourceforge n'indique pas la reprise des travaux par un nouveau groupe)

Téléchargement:

https://github.com/drizztbsd/ettercap/tags

Sur arch linux (aur):
yaourt -S ettercap-drizzbsd

Si vous avez installé le paquet xorg-server-utils (sous arch) vous disposez d'un keylogger sur votre système, le logiciel se nomme xinput et vous feriez bien de vous en débarrasser si il est installé.

Le logiciel n'est pas prévu pour être utilisé en keylogger cela dit il le fait très bien…


xinput --list                                                                                                                                       ~
⎡ Virtual core pointer                     id=2 [master pointer  (3)]
⎜   ↳ Virtual core XTEST pointer               id=4 [slave  pointer  (2)]
⎜   ↳ Microsoft  Microsoft Basic Optical Mouse id=8 [slave  pointer  (2)]
⎣ Virtual core keyboard                   id=3 [master keyboard (2)]
    ↳ Virtual core XTEST keyboard             id=5 [slave  keyboard (3)]
    ↳ Power Button                             id=6 [slave  keyboard (3)]
    ↳ Power Button                             id=7 [slave  keyboard (3)]
    ↳ Microsoft Wired Keyboard 400             id=9 [slave  keyboard (3)]

Ubertooth est une plateforme de développement bluetooth open source, ce qui signifie que vous avez les plans pour faire votre ubertooth et des logiciels permettant son fonctionnement, il gère notamment le mode monitor (ce qui vous permet d'enregistrer les transferts bluetooth d'une cible) *(kismet compatible), il peut aussi faire analyseur de spectre ce qui est très intéressant.

L'injection et d'autres choses sympa seront aussi possible.

Les plans de la construction du ubertooth 0 sont dispo  (c'est l'équivalent d'un class 3, donc pas terrible en porté) cela dit l'ubertooth one est l’équivalent d'un class 1 (donc longue porté ~ 100M)
L'ubertooth one est en vente sinon pour 79£, le design est similaire au zero, je pense que plus de details sur la construction viendront avec le temps.

Techniquement ça à l'air sympa mais la construction n'est pas à la porté de tout le monde (le step by step est un poil lège) bref si vous avez du temps un peu d'argent et des compétences en électronique je pense que c'est intéressant à faire.

La page du projet: http://ubertooth.sourceforge.net

La page de vente: http://rfidiot.org/ (dans le tableau)

Après mon article sur john the ripper opencl, j'ai regardé ce qu'offrait de nouveau le patch jumbo dans les dernières versions, et j'ai eu des bonnes surprises. John the ripper peut s'utiliser simplement sur du pdf de l'archive rar et ssh via pdf2john rar2john et ssh2john.

Mais il y a mieux, pour ceux qui utilisaient incremental mode, il y a maintenant markov.
Incremental est géré par un fichier de configuration et suivant la configuration il va effectuer des mutations sur une liste de mots (par défaut password.lst), ex: dans password.lst j'ai root avec incremental je peux tester à la volé des choses comme 1root root1 root! ...

Markov est un pure outil de probabilités et se base sur une liste de mots de passes déjà récupérés, à partir de la il va effectuer des mutations en fonction des résultats trouvés.

Alors j'ai testé le truc sur une liste de MD5 non crackés disponible sur le web.

J'ai commencé par parser la liste pour récupérer que les MD5 raw (il y avait aussi des MD5 unix), j'arrive à 1610 hash.

Ducoup le plus simple est de commencer par une wordlist de qualité (pas le dico fr et autre, une grosse liste de vrai passwords) (j'utilise notamment rockyou, les crackers de passwords connaissent bien cette liste)

Résultat en deux secondes j'arrive à 333 hash découverts.
guesses: 333  time: 0:00:00:02 DONE

Markov utilise le fichier "stats" alors on peut le générer au préalable avec sa wordlist (bonne wordlist je rappelle, avec doublon < important) ou lancer directement john avec l'option markov, c'est ce que j'ai fait.

Ducoup markov va se baser sur les 333 passwords découverts et générer son fichier stat, ensuite il va utiliser les probabilités pour générer des mots (caractères les plus utilisés etc).

tiré de la doc:

"--markov:LEVEL:START:END:LENGTH

Where:
* LEVEL is the "Markov level". This value is the maximum strength of passwords
that are going to be cracked. When LEVEL increases, the quantity of passwords
that are going to be tested increases exponentially."

(le level max est de 295 il me semble)

Première session:


./john -markov:240:0:0:12 --format=raw-md5 tester
guesses: 188  time: 0:00:22:47 DONE

188 passwords supplémentaires en 22 minutes

2eme:


./john -markov:247:0:0:12 --format=raw-md5 tester
guesses: 25  time: 0:00:46:39 DONE

25 en plus en 46 minutes.

Notez que j'augmente la difficulté donc le temps augmente, de plus markov ne se base plus sur 333 passwords puisqu'il y en a 188 supplémentaires.


./john -markov:260:0:0:10 --format=raw-md5 tester
guesses: 39  time: 0:02:36:09 DONE

39 en plus en 2 heures 36, ici j'ai baissé le max lenght de 12 à 10 caractères pour limiter la monté en difficulté.

./john -markov:270:0:0:9 --format=raw-md5 tester
guesses: 23  time: 0:03:51:32 94.34%

à 270 j'ai ctrl+c au bout de 3H51 ( 94.34%  ) dodo... et 23 passwords en bonus.

Bilan:
sur 1610, j'ai récupéré 610 passwords, dont 333 en deux secondes et le reste en ~8 heures ce qui montre bien l’efficacité redoutable de markov.

Alors évidemment c'était juste pour tester, une rainbow table aurait été beaucoup plus efficace, vu qu'ici il n'y a pas de sel.

####
Pour les wordlist si vous êtes intéressé par le cracking, j'ai déposé une archive sur filesonic avec ni plus ni moins que les meilleurs wordlists dispo (entre autre rockyou) avec aussi celle de chez hotmail myspace phpbb etc, j'ai ajouté une de chez lulzsec que j'ai parsé (extraction des pass uniquement).
Le dossier contient 9 wordlists (véritable passwords avec doublons) idéal pour les proba. ( + les 9 en une sans les doublons).

http://www.filesonic.com/file/1311500691

(par contre je garantis pas la validité du lien x temps, donc si vous téléchargez gardez les précieusement)

Pour markov il est dispo chez openwall (john the ripper version jumbo)

Après ma rapide introduction sur les outils permettant de trouver les virtualhost d'un site j'ai fait le mien en bash, parce que les deux qui me semblaient intéressants tournent sous ruby1.8 et je suis en ruby1.9 (et installer ruby1.8 pour un script c'est un peu ridicule).

Ducoup le script utilise le moteur de recherche bing et extrait les donnés (wget grep sed), seulement il y a une limitation, bing a besoin de javascript pour les pages supérieur à 20 ce qui fait que le script s’arrête à la page 20.
Si l'IP ciblé contient plus de 200 virtualhost le script ne pourra en lister que 200 au max, puisque wget n'a pas de moteur javascript.

J'ai pensé à un truc pour passer cette limitation mais je l'ai pas implémenté, cela consiste à faire une recherche avec ip: et ajouter -domain: en précisant le nom de ceux que ont déja été récupérés (20 premières pages) mais la requête ne serait pas accepté (trop longue) ducoup il faudrait séparer avec genre une dizaine de host en moins.

Ce qui donne 20 requêtes de 10 hosts qui crawl 20 pages = 400 pages et un résultat incertain (vu que l'on ne blacklist pas tous les domaines par requêtes on risque de se retrouver avec plein de doublon).
Donc comme indiqué j'ai pas testé car je pense que cela ferait trop de flood par rapport au résultat.

wget http://bricowifi.free.fr/utile/virtualhost-finder
chmod +x virtualhost-finder
./virtualhost-finder

fonctionnement:
1er argument l'IP (ipv4) ou le NDD
2 eme argument facultatif "w" pour écrire le résultat dans votre home.

ex:

./virtualhost-finder ebay.com

Searching virtualhost for 66.135.205.14

Get: http://www.bing.com/search?q=ip%3A66.135.205.14&go=&first=11
Get: http://www.bing.com/search?q=ip%3A66.135.205.14&go=&first=21
Get: http://www.bing.com/search?q=ip%3A66.135.205.14&go=&first=31

http://artist-index.ebay.com
http://billmelater.ebay.com
http://blogs.ebay.com
http://category-keyword.ebay.com
http://chatboards.ebay.com
http://clp-index.ebay.com
http://ebay.com
http://financing-center.ebay.com
http://giftcard.ebay.com
http://givingworks.ebay.com
http://id.ebay.com
http://keyword-index.ebay.com
http://keyword-index.motors.ebay.com
http://mail.ebay.com
http://pages.ebay.com
http://pages.ebay.co.za
http://pages.e-bay.de
http://pages.half.ebay.com
http://pages.motors.ebay.com
http://product-index.ebay.com
http://srx.main.ebayrtm.com
http://store-index.ebay.com
http://www.ebaygivingworks.com

Virtualhost found: 23

Voici des tests de performances avec john the ripper, j'ai testé sur plateforme x86_64 avec GCC ICC et OpenCL, donc CPU (intel core I5 sur un des 4 coeurs) et GPU (Nvidia GTX460)

Notez que john the ripper sur GPU ne supporte pas beaucoup de cyphers:

1. Raw SHA-1
2. Raw MD5
3. Netscape LDAP SSHA
4. NT MD4

This patch is experimental and has lot of scope for improvement. If you are interested in hacking / extending JtR to work with GPUs this is the right place to begin ;)"

La détection de virtualhost permet de lister les domaines liés à un serveur ainsi que les sous domaines d'un site, bref c'est très utile.
Si un site web n'est pas vulnérable à une attaque, l'attaquant peut chercher les autres sites qui sont présent sur le serveur et ainsi tester la sécurité des autres sites.

Démonstration du module présent dans metasploit (copié collé de mon terminal), le module vhost_scanner ne permet que de lister les sous domaines.

msfconsole
##split

msf > search vhost


Matching Modules
================


   Name                                  Disclosure Date  Rank    Description
   ----                                  ---------------  ----    -----------
   auxiliary/scanner/http/vhost_scanner                   normal  HTTP Virtual Host Brute Force Scanner




msf > use auxiliary/scanner/http/vhost_scanner 
msf auxiliary(vhost_scanner) > show options


Module options (auxiliary/scanner/http/vhost_scanner):


   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   DOMAIN                    yes       Domain name
   HEADERS                   no        HTTP Headers
   PATH     /                yes       The PATH to use while testing
   Proxies                   no        Use a proxy chain
   QUERY                     no        HTTP URI Query
   RHOSTS                    yes       The target address range or CIDR identifier
   RPORT    80               yes       The target port
   THREADS  1                yes       The number of concurrent threads
   VERBOSE  false            yes       Detailed output
   VHOST                     no        HTTP server virtual host


msf auxiliary(vhost_scanner) > set DOMAIN google.com
DOMAIN => google.com
msf auxiliary(vhost_scanner) > ping -c 1 google.com
[*] exec: ping -c 1 google.com


PING google.com (209.85.146.104) 56(84) bytes of data.
64 bytes from bru01s01-in-f104.1e100.net (209.85.146.104): icmp_req=1 ttl=56 time=37.9 ms


--- google.com ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 37.948/37.948/37.948/0.000 ms
msf auxiliary(vhost_scanner) > set RHOSTS 209.85.146.104
RHOSTS => 209.85.146.104
msf auxiliary(vhost_scanner) > set THREADS 20
THREADS => 20
msf auxiliary(vhost_scanner) > show options


Module options (auxiliary/scanner/http/vhost_scanner):


   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   DOMAIN   google.com       yes       Domain name
   HEADERS                   no        HTTP Headers
   PATH     /                yes       The PATH to use while testing
   Proxies                   no        Use a proxy chain
   QUERY                     no        HTTP URI Query
   RHOSTS   209.85.146.104   yes       The target address range or CIDR identifier
   RPORT    80               yes       The target port
   THREADS  20               yes       The number of concurrent threads
   VERBOSE  false            yes       Detailed output
   VHOST                     no        HTTP server virtual host


msf auxiliary(vhost_scanner) > exploit


[*] [209.85.146.104] Sending request with random domain rPsOu.google.com 
[*] [209.85.146.104] Sending request with random domain yvcrc.google.com 
[*] [209.85.146.104] Vhost found  services.google.com 
[*] [209.85.146.104] Vhost found  apps.google.com 
[*] [209.85.146.104] Vhost found  mail.google.com 
[*] [209.85.146.104] Vhost found  www.google.com 
[*] [209.85.146.104] Vhost found  web.google.com 
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed