MDK3 avverte del downgrade WPA2 - come trovo la chiave in Wireshark?

5

Durante lo stress test del mio router usando MDK3, ho ricevuto il messaggio "DAVVERO GRANDE ATTENZIONE !!! Sembra che un client collegato all'AP di destinazione rilasci dati PLAINTEXT durante l'autenticazione !!"

Ho visto la sorgente dello strumento e ha mostrato che la chiave WPA2 è stata inviata in formato testo, dopo essere stata ripetutamente rifiutata a causa di MDK3 che negava tutto il traffico WPA. Come posso visualizzare il pacchetto contenente la chiave WPA2 in chiaro in Wireshark? Ho provato wlan_mgt.rsn.akms.type ma non è stato utile.

MDK3 è uno strumento di test Wi-Fi di ASPj di k2wrlz. Usa la libreria osdep dal progetto aircrack-ng per iniettare i frame.
modifica
Potrei aver erroneamente interpretato il codice sorgente di mdk3 . qualcuno può chiarire le cose specificando le origini di questo avvertimento e le sue cause (non sono un programmatore c ma posso ancora capire cosa sta facendo l'algoritmo).

if (wpa_old < wpad_cycles) {
if (wep_old < wpad_wep) {
    if (!warning) {
    printf("REALLY BIG WARNING!!! Seems like a client connected to your target AP leaks PLAINTEXT data while authenticating!!\n");
    warning = 1;
    }
}
}
    
posta Tawfik Khalifeh 15.09.2012 - 01:36
fonte

4 risposte

3

Hai trovato il testo in chiaro? In caso contrario, sembra che ci sia un errore nel codice che potrebbe spiegare questo.

Il codice interessante è:

  //Is encrypted?
  if (! (pkt_sniff[1] & 0x40)) {
      if ((pkt_sniff[30] == 0x88) && (pkt_sniff[31] == 0x8e)) { //802.1x Authentication!
          wpad_auth++;
      } else {
          wpad_wep++;
      }
  }
  //Check WPA Enabled
  if ((pkt_sniff[27] & 0xFC) == 0x00) {
      wpad_wep++;
      return rtnpkt;      
  }

Questo codice ha lo scopo di incrementare wpad_wep ogni volta che MDK3 identifica un pacchetto non crittografato o un pacchetto crittografato WPA inviato da un client all'AP e questo causerà il "DAVVERO GRANDE ATTENZIONE !!!" essere emesso sul prossimo aggiornamento di stato.

Ma c'è almeno un bug nel codice. Se il pacchetto è un pacchetto di dati QoS, l'intestazione del pacchetto ha altri due byte, nel qual caso sia il tipo di frame che l'indicazione WPA sarebbero due byte più tardi nel pacchetto grezzo - e il codice MDK3 corrente sta guardando i byte errati in il pacchetto. Quindi è abbastanza probabile che l'avviso che ricevi sia un falso positivo a causa di un client che utilizza i pacchetti di dati QoS.

    
risposta data 21.09.2012 - 10:08
fonte
1

Se si seleziona il nome del campo corretto nel menu Wireshark Expressions, è possibile quindi eseguire una relazione 'contains' o 'matches'. #esempio per http - > (http.host contiene "192.168"). Ciò potrebbe aiutarti a restringere il campo.

    
risposta data 20.09.2012 - 09:58
fonte
1

Se non si dispone di troppi client, è possibile connettere un client alla volta finché non si trova l'autore del reato. Fino a quando non ci saranno più informazioni che dovranno fare. Spero che questo aiuti.

    
risposta data 21.09.2012 - 05:55
fonte
0

È tutto in questo link Riferimento filtro di visualizzazione: 802.1X Autenticazione .
saluti

    
risposta data 20.09.2012 - 13:11
fonte

Leggi altre domande sui tag