Soft KARMA-атака с FruityWifi

Не мог пропустить такое интересное направление атак на беспроводные сети как KARMA. Самое известное воплощение этой уязвимости легендарный роутер/аппаратный сниффер Pineapple Mark от компании Hak5.

Сей девайс собирает beacon-фреймы, содержащие названия точек доступа. Каждое устройство, подключавшееся ранее по WiFi сохраняет у себя SSID знакомых точек, чтобы подключиться, когда снова будет в зоне его покрытия. Эти "имена" точек доступа потом используются чтобы притвориться знакомой ранее точкой. При переключении никакой авторизации не требуется, устройство будет полагать что оно подключено к "домашнему" вайфаю. Второй важный момент - устройство глушит настоящую точку доступа.
В итоге мы получает "злого двойника", который глушит настоящую точку доступа и автоматически переключает клиентов в обход авторизации.
Лично мне зачастую лень ждать перебора WPS reaver-ом или bully. А если у точки стоит ограничение 10 попыток в 5 минут, перебор занимает несколько суток. Если же WPS отключен то ловля handshake и его расшифровка это отдельные пляски с бубном. На моем рабочем ноуте 2007 года выпуска можно даже не пытаться. Поэтому - KARMA!
Не обязательно заказывать себе Mark V из США, воплощений этой уязвимости появилось множество: karma/hostapd, openWRT для TP-LINK MR 3020, WR703N, Mana-toolkit... и FruityWifi.

офф сайт

Ссылка скрыта от гостей

GitHub https://github.com/xtr4nge/FruityWifi

В Kali Linux "фруктовый вайфай" ставится коммандой

apt-get install fruitywifi

Потом ставим пакеты среди которых BEEF, bdfproxy, meterpreter, Geolocation, urlSnarf, SSLStrip, mitmf, bettercap, FruityDNS и много много других.

cd
cd FruityWifi
python install-modules.py

Сразу оговорка - установка всех пакетов сильно загрузит систему. Пробовал на малинке, приходится ставить вручную только те пакеты, которые нужны. Пять работающих модулей плюс две сетевые карты (одна для режима AP, вторая для режима мониторинга) за 5-10 минут приводят к ребуту RaspberryPi 3. Так что я ставлю вручную, ненужные удаляю.
Управление этой аццкой машиной осуществляется через веб-морду:

Ссылка скрыта от гостей

login: pass - admin:admin


Для корректной работы нужны модули: nginx, karma, AP + модуль WifiRecon(аналог PineAP) для сбора фреймов. Так же нужны 2 сетевые карты для AP и mon режимов. В качестве точки доступа подойдет TP-Link TL WR722N.
Самые интересные связки FruityWifi + BDFPROXY; FruityWifi + Geolocation (есть видео где кто то играет в PokemonGO на таймсквер); FruityWifi + FruityDNS, FruityWifi + Beef-framework. Дальше все зависит от полета фантазии.
Тестировал на MacOS Yosemite, Win7 - работает. Android 6.0.x и последние версии iOS - нет, и уже вроде как давно стоит защита. Кстати MacOS видит точку доступа, но показывает что по прежднему подключен к домашнему WiFi.

Это мой первый пост и первое сообщение. Не судите строго, я гуманитарий. Ах, да использование этого метода может быть нарушением законодательства или что то типа того. Использовать только в качестве этичного инструмента для пентеста! или нет

 

[Bafomet]

так, а реально на tplink wn722n провернуть такую атаку?

 

[paragon21]

так, а реально на tplink wn722n провернуть такую атаку?

Да, но нужна вторая карта в режиме мониторинга. Можно и без второй карты, но эффективность околонулевая.

 

[InK]

Как то собирал аналог Pineapple на базе MR3020, и этот монстр франкенштейна даже ожил, вот только, как написал автор темы:

Win7 - работает. Android 6.0.x и последние версии iOS - нет

Так что сильно не разгуляешься.

 

[Bafomet]

Как то собирал аналог Pineapple на базе MR3020, и этот монстр франкенштейна даже ожил, вот только, как написал автор темы:
Так что сильно не разгуляешься.

а каким образом ананасина собирается на mr3020?

 

[paragon21]

а каким образом ананасина собирается на mr3020?

https://github.com/smrx86/Wispi

Ссылка скрыта от гостей

 

[DoberGroup]

Android 6.0.x и последние версии iOS - нет, и уже вроде как давно стоит защита.

Но кроме режима Karma есть же еще Dogma и комбинированные атаки.

 

[InK]

https://github.com/smrx86/Wispi

Ссылка скрыта от гостей

Спасибо, опередил меня. А по поводу вопроса - с 5 версией прошивки на 3020 проблемы, т.к. в 5ой версии ананаса два сетевых интерфейса, а в 3020 один. В общем как костыли не забивай, а полноценно работающей системы не выйдет, проще купить если деньги позволяют и есть необходимость.

 

[paragon21]

Спасибо, опередил меня. А по поводу вопроса - с 5 версией прошивки на 3020 проблемы, т.к. в 5ой версии ананаса два сетевых интерфейса, а в 3020 один. В общем как костыли не забивай, а полноценно работающей системы не выйдет, проще купить если деньги позволяют и есть необходимость.

Необходимости нет, изначально цель была хоть как то пристроить надоевшую Raspberry и сетевую карту. Хотел запустить на ней TOR - ноду, но не хочу ждать 70 дней верификацию. Очень заинтересовала атака Dogma. Не могу найти ее реализацию вне Ананаса. Знаешь какие нибудь проекты на гитхабе по этой атаке?

 

[paragon21]

Что Делает атака Dogma?

If Karma is the passive listening type, Dogma is it’s direct and aggressive sibling.

The Dogma PineAP module is intended to reinforce the MK5 Karma attack by advertising the spoofed Access Points, or honeypots. This is achieved by transmitting appropriately crafted beacon frames (packets) at uncommonly high rates for WiFi equipment. These frames mimic the networks defined by SSID values in the PineAP SSID Pool. This pool of network names are either defined by the penetration tester, or automatically collected by the Auto Harvester module. More on that in a bit.

For example the WiFi auditor is on an engagement for the ACME Corporation, they might specifically define SSID names derived from ACME corporate and branch offices.

A powerful Dogma feature is its ability to be configured with specific Source and Target MAC addresses. The Target MAC is that of the nearby clients or devices. If a target MAC address is specified, typically only that client (station) will observe the beacon frame advertising the honeypot.

The default target of FF:FF:FF:FF:FF:FF (otherwise known as Broadcast) makes these beacons visible to all nearby devices. This is very useful if the penetration tester is contracted to perform a WiFi audit on only a specific individual within the company.

The default Dogma configuration is to use the MAC address of the WiFi Pineapple as the beacon’s Source address. You may be wondering, why spoof the source address? The answer becomes apparent when using multiple WiFi Pineapples on an engagement. By spoofing the source address of Dogma’s beacons, the tester can use additional WiFi Pineapples to direct clients to a central WiFi Pineapple, either increasing the WiFi coverage area, or increasing the Dogma beacon throughput.

Throughput wise the Dogma module will transmit beacons at an incredibly high rate of around 400 per second. This is about 200-400 times more than most typical access points, which allows the WiFi Pineapple to mimic hundreds of SSIDs at once. The rate can be further increased by choosing Aggressive mode from the Dogma settings, however in our tests we’ve found the Normal mode to be effective even with very large SSID pools.

Взял с сайта производителя.

 

[Inject0r]

Насколько эта атака актуальна? Я пробовал через ману запускать когда-то, но фича в том, что устройство автоматически не подключается к фейковой точке. Чтобы подключение прошло пользователю необходимо явно кликнуть по фейковой точке в настройках вафли, тут уже больше социальная инженерия идет.

 

[paragon21]

Насколько эта атака актуальна? Я пробовал через ману запускать когда-то, но фича в том, что устройство автоматически не подключается к фейковой точке. Чтобы подключение прошло пользователю необходимо явно кликнуть по фейковой точке в настройках вафли, тут уже больше социальная инженерия идет.

Да, я сам недавно с маной бодался. Кое какие результаты дает hostapd,mac меняешь на bssid точки и ставишь karma loud=1. Тогда настоящий wifi вырубает и создает кучи фейков. Фрукт в этом плане лучше, по винде и маку можно включать прицельно через wifi recon. А в настройках видно будто что ты по прежднему пользуешься своей точкой. Нажимать на фейковую не нужно. Если еще mdk3 подключить, тошансовбудет поболее,но моя рапса такое не выдержит.

 

[paragon21]

да тут все просто узнаешь где жертва подключается к открытым ви-фи или ктем точкам которым ты знаешь пароль затем подцеляешь его к своей фейковой точки и проводишь фейковое обновление затем вытакиваешь все пароли из машины его и все

Ага, так реально гораздо проще, чем собрать SSID кармой. Только вот я пробовал обычные honey-spot'ы. Кроме древнего андроида 2.x.x ничего уже давно автоматом не переключается, уже лет 100 как. Обычного соответствия SSID уже недостаточно чтобы перебросить клиента на свою AP.

 

[paragon21]

незнаю у меня нормально 6 android конектиться через манку яблоки не пробывал нет такого но думаю также конектиться если в них стоит автоподключение к сетке также можно wi-fi pumkin ом

Пруф в студию, видел такое только с открытой сетью. Только вот не совсем ясно зачем это с открытой сетью вообще нужно. А если устройство - домашний ноут, ни разу не коннектившийся к открытой сетке? ИМХО - инструментом разочарован. Я настраивал hostapd даже на полное соотвествие BSSID, SSID, pass - авто коннекта нет.
Единственное что можно сделать - насобирать имен открытых точек, продублировать одну, и сделать deauth aireplay. И то 6 андрей не перескочил на точку. Так что за видео буду благодарен.

 

[paragon21]

как бы все эти инструм нацелены побольшей части на общественные wi fi либо как на запароленные wi-fi в европе с использованием radius сервера который при подключении требует аутефикации у нас такие стали часто испоьзовать в торговых центрах там то как раз и не вызывает подозрени вообще кстати фейковые сайты хорошо копировать интерцептором страницы получаются дыня в дыню как оригинал плюс сертификаты можно прикрутить жаль на линуксе при установки windows версии не весь функционал работает а так простейшие атаки в нем да еще и все по русски глаз радуется респкт и уважуха нашему братухи ваще красава он.
По поводу видео могу ссылок с ютюба накидать ну правда с озвучкой французкой или испанской но чаше с английской .наше смотришь толи специально делают усеченной то одно то другое вырежут делаешь не фига не получается забугорное посмотришь и вроде все понятно, конечно оно понятно чтоб наши бездумно не копировали мозгами думали но как это мне кажется неправильно как то по другому надо, коли выкладываешь так полностью и по полочкам а если не получается то лучше не как.

да кстати там deauth aireplay не поможет сильно а походу ддосить точку либо глушить на мертво при чем же на все это не потребство делать одновременно несколько адаптерами (тплинковскими бюджетно )либо этими девайсами на удалленном растоянии Ubiquiti Bullet M2HP , TP-LINK TL-WA7210N ну к этому парабалистическую антенку TL-ANT2424B

Спасибо, познавательно. Просто даже у разработчика в видео демонстрации авто коннект отсутствует. А мне инструмент интересен против точки wpa/wpa2, с откл. wps.

 

[paragon21]

#Upd
Видимо, плохому танцору кахонес мешают. По собственной невнимательности не заметил важные фичи модуля AP.

Ссылка скрыта от гостей

Модули Scatter, Picker, Polite
Сбор ssid, ответ, создание фейковых AP. С помощью фильтра можно выбрать клиента и работать точечно.
Тупое включение всех трех модулей начнет создание фейков на все подряд, фильтр scatter решает эту проблему.
Принудительно переключил Android 6.0 и iOS 10.X на свой RogueAP. Время на все 10 сек. Без взлома wps и хэндшейков.

 

[vasska]

#Upd
Видимо, плохому танцору кахонес мешают. По собственной невнимательности не заметил важные фичи модуля AP.

Ссылка скрыта от гостей

Модули Scatter, Picker, Polite
Сбор ssid, ответ, создание фейковых AP. С помощью фильтра можно выбрать клиента и работать точечно.
Тупое включение всех трех модулей начнет создание фейков на все подряд, фильтр scatter решает эту проблему.
Принудительно переключил Android 6.0 и iOS 10.X на свой RogueAP. Время на все 10 сек. Без взлома wps и хэндшейков.

Был бы признателен, если бы указали какие модули необходимы для работы. Уже неделю бьюсь с этой кармой. Если лишний модуль ставлю, то уже невозможно зайти в fruityWifi, получается ошибка 502 geteway, приходится kali linux2.0 переустанавливать.

 

[paragon21]

Был бы признателен, если бы указали какие модули необходимы для работы. Уже неделю бьюсь с этой кармой. Если лишний модуль ставлю, то уже невозможно зайти в fruityWifi, получается ошибка 502 geteway, приходится kali linux2.0 переустанавливать.

Минимум: AP, karma. Для того чтобы цепануть шальной смартфон хватит. Олег Купреев правильно сказал - продукт очень сырой, несмотря на то что не новый.
попробуй обновить кали и репы перед установкой, ну и убедись что фрукт включен

/etc/init.d/fruitywifi start

Ну и обрати внимание на mana-toolkit, хорошая штука. По крайней мере стабильно работает. (не тот который в составе фрукта идет, а отдельный)

 

[vasska]

Большое спасибо! А то я все перерыл на англ.форуме, там только создатель обещает скоро все исправить, а то что говорят в помощь, мне не помогает. Как я понял, это обычное, как бывает на апач, что то устарело, а что то вставили новое, был PHP5 заменили на PHP7 и рузультат, как всегда! Буду mana-toolkit пробовать.

 

[MR.Apokrif]

Не мог пропустить такое интересное направление атак на беспроводные сети как KARMA. Самое известное воплощение этой уязвимости легендарный роутер/аппаратный сниффер Pineapple Mark от компании Hak5.
Посмотреть вложение 7745
Сей девайс собирает beacon-фреймы, содержащие названия точек доступа. Каждое устройство, подключавшееся ранее по WiFi сохраняет у себя SSID знакомых точек, чтобы подключиться, когда снова будет в зоне его покрытия. Эти "имена" точек доступа потом используются чтобы притвориться знакомой ранее точкой. При переключении никакой авторизации не требуется, устройство будет полагать что оно подключено к "домашнему" вайфаю. Второй важный момент - устройство глушит настоящую точку доступа.
В итоге мы получает "злого двойника", который глушит настоящую точку доступа и автоматически переключает клиентов в обход авторизации.
Лично мне зачастую лень ждать перебора WPS reaver-ом или bully. А если у точки стоит ограничение 10 попыток в 5 минут, перебор занимает несколько суток. Если же WPS отключен то ловля handshake и его расшифровка это отдельные пляски с бубном. На моем рабочем ноуте 2007 года выпуска можно даже не пытаться. Поэтому - KARMA!
Не обязательно заказывать себе Mark V из США, воплощений этой уязвимости появилось множество: karma/hostapd, openWRT для TP-LINK MR 3020, WR703N, Mana-toolkit... и FruityWifi.

офф сайт

Ссылка скрыта от гостей

GitHub xtr4nge/FruityWifi

В Kali Linux "фруктовый вайфай" ставится коммандой

apt-get install fruitywifi

Потом ставим пакеты среди которых BEEF, bdfproxy, meterpreter, Geolocation, urlSnarf, SSLStrip, mitmf, bettercap, FruityDNS и много много других.

cd
cd FruityWifi
python install-modules.py

Сразу оговорка - установка всех пакетов сильно загрузит систему. Пробовал на малинке, приходится ставить вручную только те пакеты, которые нужны. Пять работающих модулей плюс две сетевые карты (одна для режима AP, вторая для режима мониторинга) за 5-10 минут приводят к ребуту RaspberryPi 3. Так что я ставлю вручную, ненужные удаляю.
Управление этой аццкой машиной осуществляется через веб-морду:

Ссылка скрыта от гостей

login: pass - admin:admin
Посмотреть вложение 7744

Для корректной работы нужны модули: nginx, karma, AP + модуль WifiRecon(аналог PineAP) для сбора фреймов. Так же нужны 2 сетевые карты для AP и mon режимов. В качестве точки доступа подойдет TP-Link TL WR722N.
Самые интересные связки FruityWifi + BDFPROXY; FruityWifi + Geolocation (есть видео где кто то играет в PokemonGO на таймсквер); FruityWifi + FruityDNS, FruityWifi + Beef-framework. Дальше все зависит от полета фантазии.
Тестировал на MacOS Yosemite, Win7 - работает. Android 6.0.x и последние версии iOS - нет, и уже вроде как давно стоит защита. Кстати MacOS видит точку доступа, но показывает что по прежднему подключен к домашнему WiFi.

Это мой первый пост и первое сообщение. Не судите строго, я гуманитарий. Ах, да использование этого метода может быть нарушением законодательства или что то типа того. Использовать только в качестве этичного инструмента для пентеста! или нет

Как запустить FruityWifi после перезагрузки.Сам не стартует