MDK3 advierte sobre la baja de calificación de WPA2: ¿cómo puedo encontrar la clave en Wireshark?

Navega tus respuestas
5

Mientras realizaba una prueba de estrés en mi enrutador con MDK3, recibí el mensaje "¡¡¡ADVERTENCIA REALMENTE GRANDE !!! Parece que un cliente conectado a su punto de acceso de destino pierde datos de PLAINTEXT mientras se autentica !!"

Vi la fuente de la herramienta y demostré que la clave WPA2 se envía en texto sin formato, luego de ser rechazada repetidamente debido a que MDK3 niega todo el tráfico WPA. ¿Cómo puedo ver el paquete que contiene la clave WPA2 de texto simple en Wireshark? Intenté wlan_mgt.rsn.akms.type pero no fue útil.

MDK3 es una herramienta de prueba de Wi-Fi de ASPj de k2wrlz. Utiliza la biblioteca osdep del proyecto aircrack-ng para inyectar marcos.

editar
es posible que haya malinterpretado el código fuente de mdk3 . ¿Alguien puede aclarar las cosas especificando los orígenes de esta advertencia y sus causas? (No soy programador de c, pero todavía puedo averiguar qué está haciendo el algoritmo). 

if (wpa_old < wpad_cycles) {
if (wep_old < wpad_wep) {
    if (!warning) {
    printf("REALLY BIG WARNING!!! Seems like a client connected to your target AP leaks PLAINTEXT data while authenticating!!\n");
    warning = 1;
    }
}
}
    
pregunta Tawfik Khalifeh 15.09.2012 - 01:36
fuente

4 respuestas

3

¿Has encontrado el texto claro? Si no, parece que hay un error en el código que podría explicar esto.

El código interesante es: 

  //Is encrypted?
  if (! (pkt_sniff[1] & 0x40)) {
      if ((pkt_sniff[30] == 0x88) && (pkt_sniff[31] == 0x8e)) { //802.1x Authentication!
          wpad_auth++;
      } else {
          wpad_wep++;
      }
  }
  //Check WPA Enabled
  if ((pkt_sniff[27] & 0xFC) == 0x00) {
      wpad_wep++;
      return rtnpkt;      
  }

Este código está destinado a incrementar cada vez wpad_wep MDK3 identifica ya sea un paquete no encriptado o cifrado WPA un paquete enviado por un cliente al AP - y esto hará que el "ADVERTENCIA realmente grande !!!" para salir en la próxima actualización de estado.

Pero hay al menos un error en el código. Si el paquete es un paquete de datos de QoS, el encabezado del paquete tiene dos bytes adicionales, en cuyo caso tanto el tipo de trama como la indicación WPA serían dos bytes más adelante en el paquete sin procesar, y el código MDK3 actual está buscando los bytes incorrectos en el paquete. Por lo tanto, es muy posible que la advertencia que está recibiendo sea un falso positivo debido a que un cliente utiliza paquetes de datos de QoS.

    
respondido por el David Wachtfogel 21.09.2012 - 10:08
fuente
1

Si selecciona el nombre de campo adecuado en el menú de expresiones de Wireshark, puede hacer una relación de "contiene" o "coincidencias". #ejemplo para http - > (http.host contiene "192.168"). Eso podría ayudarte a reducirlo.

    
respondido por el runexec 20.09.2012 - 09:58
fuente
1

Si no tiene demasiados clientes, puede conectar un cliente a la vez hasta que encuentre al delincuente. Hasta que haya más información, esto tendrá que hacer. Espero que esto ayude.

    
respondido por el runexec 21.09.2012 - 05:55
fuente
0

Todo está en este enlace Referencia de filtro de pantalla: Autenticación 802.1X .
saludos

    
respondido por el Tawfik Khalifeh 20.09.2012 - 13:11
fuente

Lea otras preguntas en las etiquetas

Android, cómo proteger en caso de robo ¿Cómo hackear Linux a través de la vulnerabilidad de inclusión de archivos locales?