Autor Tema: BULLY: Mejoras, bugs, aclaraciones, etc. (Leído 93902 veces)

alist3r · « **Respuesta #60 en:** 12-09-2013, 01:33 (Jueves) »

la verdad es que no he analizado el codigo del reaver lo suficiente, pero el problema es que para empezar a negociar con WPS se necesita una asociacion real, al estilo managed, por lo que es dificil no acabar teniendo problemas.

PD: algo que si tengo mas comprobado en dos máquinas viejas, es que una ipw2200 con el ultimo firmware disponible, no hay manera de hacerla andar en reaver o en bully.

USUARIONUEVO · « **Respuesta #61 en:** 12-09-2013, 01:41 (Jueves) »

Lee , mi post anterior a este.

si hago lo que dices va bien , con la interface abajo ..... MA LOL INCREDIBLE WTF ¿¿

Ahora como no me gustan las cosas a medias, ... me tocara buscar el por que si matas el gestor y remontas el driver si funciona.

Si se necesita una conexion REAL , no se si el wpa_supplicant , tendra algo que decir al respecto.

En mi caso , tal vez no este todo perdido ... en el menu de gestor de conexiones , tengo una entrada

STOP WICD

eso ejecuta un script ...

Código: [Seleccionar]

#!/bin/sh
/etc/rc.d/rc.wicd stop
killall wicd-client
killall wicd
killall wicd-monitor
killall wpa_supplicant
sleep 3
IW="$(iwconfig 2>/dev/null|cut -d" " -f1|grep -v "^$")"
IF="$(ifconfig|cut -d" " -f1)"

for x in $IW; do
	if [ ! "$(echo "$IF"|grep -x "$x")" ]; then
		echo "Levantando interface $x..."
		ifconfig $x up
	fi
done

no costaria mucho , identificar los drivers wifi , y remontarlos , para rematar la faena.

esa entrada es por si vemos que algo no va bien en auditoria , tumbarlo todo de un click.

Tengo que estudiar esto , por que podria ser el caso identico , el de las ralink.

Yo tengo una , aqui mismo una 3070 , voy a probar , y te digo.

alist3r · « **Respuesta #62 en:** 12-09-2013, 02:26 (Jueves) »

Cita de: USUARIONUEVO en 12-09-2013, 01:41 (Jueves)

Lee , mi post anterior a este.

si hago lo que dices va bien , con la interface abajo ..... MA LOL INCREDIBLE WTF ¿¿

Ahora como no me gustan las cosas a medias, ... me tocara buscar el por que si matas el gestor y remontas el driver si funciona.

Si se necesita una conexion REAL , no se si el wpa_supplicant , tendra algo que decir al respecto.

En mi caso , tal vez no este todo perdido ... en el menu de gestor de conexiones , tengo una entrada

STOP WICD

eso ejecuta un script ...

Código: [Seleccionar]
#!/bin/sh /etc/rc.d/rc.wicd stop killall wicd-client killall wicd killall wicd-monitor killall wpa_supplicant sleep 3 IW="$(iwconfig 2>/dev/null|cut -d" " -f1|grep -v "^$")" IF="$(ifconfig|cut -d" " -f1)" for x in $IW; do if [ ! "$(echo "$IF"|grep -x "$x")" ]; then echo "Levantando interface $x..." ifconfig $x up fi done

no costaria mucho , identificar los drivers wifi , y remontarlos , para rematar la faena.

esa entrada es por si vemos que algo no va bien en auditoria , tumbarlo todo de un click.

Tengo que estudiar esto , por que podria ser el caso identico , el de las ralink.

Yo tengo una , aqui mismo una 3070 , voy a probar , y te digo.

wpasupplicant o dhclient como posibles culpables de todo este rollo
ya sabes que la postura desde offensive security con backtrack y con kali siempre ha sido estricta:
"the quieter you are, the more you are able to hear"
o sea, que todas las interfaces al suelo desde el minuto cero.

PD: hay una cosa muy especial en el hecho de eliminar el driver y recargarlo: el adaptor NO TIENE un canal asignado

bdpurcell · « **Respuesta #63 en:** 12-09-2013, 03:27 (Jueves) »

Hola a todos !

Voy a tratar de responder a algunas preguntas , con la ayuda de la traducción de Google .

Hay mucha discusión alrededor del pasador respecto del índice , 7 frente a 8 dígitos , y así sucesivamente . Voy a explicar , aunque alister hice bastante bien explicar el concepto .

En primer lugar, he añadido " - i N " a los argumentos de matón. Esto es diferente de " - pin N " ahora. Los argumentos son mutuamente excluyentes porque se utilizan para dos modos de funcionamiento diferentes . " - p" es el número de PIN actual para empezar cuando se ejecuta matón en modo secuencial . " - i" se utiliza en modo aleatorio. Desde pins azar se almacenan en un archivo , es necesario hacer un seguimiento de nuestra ubicación en ese archivo. Esto es lo que hace el índice. En la sesión de almacenamiento de archivos , verá dos números , por ejemplo:

iiiiiiii : pppppppp : 0 ::

El primer número es el índice, el segundo número es el PIN. Al utilizar el modo secuencial , esos dos números son exactamente los mismos . Sin embargo , si se utiliza el modo aleatorio , que serán diferentes . El segundo número será el pasador en la ubicación especificada por el primer número , en el archivo " patillas" . Bully realiza un seguimiento de este puesto de trabajo entre períodos de sesiones, y también lo utiliza para verificar que el archivo pin no se ha modificado entre sesiones. Bully también imprime advertencias si se cambian los modos , ya que esto causaría resultados impredecibles .

En la línea de comandos , tanto " - p" y "- i" Acepto 7 argumentos dígitos, A MENOS QUE " - B " está en efecto ( . Véase más abajo ) Si se dan menos de 7 dígitos, ceros se rellenan a la izquierda . Tenga en cuenta que no dan el dígito de comprobación , ya que se genera de forma automática:

" - p 123" -> 0000123X (X = suma de comprobación)
"- p 1234000 " - > 1234000X

Para " - i " se aplica el mismo relleno. El número se toma en dos secciones . Los primeros 4 dígitos especificar la ubicación de la primera mitad de la espiga en el archivo pin azar, y los 3 últimos dígitos especificar la ubicación de la segunda parte de la espiga (el archivo es de 2 secciones. ) Se ensamblaron a producir el PIN .

Ahora tenemos un nuevo switch, " - B ", que hace de matón Bruteforce dígito de suma de comprobación. Todavía se puede hacer de forma secuencial o al azar , la única diferencia es que ahora le dan 8 dígitos para el PIN o el índice . El relleno es el mismo que el anterior :

" - p 1239 " -> 00001239 ( 9 = suma de comprobación)
" - p 12340009 " -> 12340009

Espero que esto no es confuso para la gente . El sonido de las cañas están afiladas me pone nervioso .

El README ha cambiado un poco, y voy a trabajar en un buen FAQ como el tiempo lo permite .

El siguiente cambio importante va a añadir la traducción española de alister a las fuentes originales . Viva el software en español !

B

bdpurcell · « **Respuesta #64 en:** 12-09-2013, 03:37 (Jueves) »

Casi se me olvida ...

Con la revisión 15, el formato de los archivos de pin y la sesión ha cambiado. Los archivos antiguos son obsoletos. Escriba sus pines descubiertos y claves de red, a continuación,

rm-rf ~ /. bully

Mejor aún,

mv ~ /. bully ~ /. bully.old

Que tengan un buen día!

USUARIONUEVO · « **Respuesta #65 en:** 12-09-2013, 03:37 (Jueves) »

Hi ,

I think people need a parameter for indicate a 4 first digits for permanent attack.

Some routers hace a 4 static digits pin and only change de 4 in the back part,,

For example

One specific model hace EVER

1234XXXX

1234875X
1234573X

pEOPLE NEED FUNCTION TO FIX attack whit first 4 numbers , because some models have ever de 4 same numbers and only change de 4 back.

Of couse when try -fix 1234 ONLY WANT TEST 12340000 - 12349999 PINS sequence.... fixing the 4 numbers in first positions.

People want this , because reaver when put -p 1234 , automatically test 1234000X TO 1234999X , user knows the 4 first digits.

bdpurcell · « **Respuesta #66 en:** 12-09-2013, 04:16 (Jueves) »

Then just use

--pin 1234000

IF 1234 is the correct first half, bully will try 1234000x through 1234999x

USUARIONUEVO · « **Respuesta #67 en:** 12-09-2013, 04:28 (Jueves) »

Cita de: bdpurcell en 12-09-2013, 04:16 (Jueves)

Then just use

--pin 1234000

IF 1234 is the correct first half, bully will try 1234000x through 1234999x

No , sorry but i say for some reason.

when put -p 1234000

bully FIX ALL 7 DIGITS , AND ONLY ADD THE LAST CHECKSUM NUMBER.

You can see ..try -p 1234000 , an you get FORVER AND EVER

PIN 12340002

AND NO MORE PINS....because 1234000 are FIXED.

Of course bully is svn 15

And want fix ,only 1234 no want fix the 000 numbers.

bdpurcell · « **Respuesta #68 en:** 12-09-2013, 05:00 (Jueves) »

Can you post your full command line and output please?

USUARIONUEVO · « **Respuesta #69 en:** 12-09-2013, 05:10 (Jueves) »

Código: [Seleccionar]

bully -b XX:XX:XX:XX:XX:XX -p 1234000 -c 1 mon0
Get this ... Pin is with 1234000 fixed , and only add the final number "2"

USUARIONUEVO · « **Respuesta #70 en:** 12-09-2013, 05:15 (Jueves) »

I think a posibility to fix the string and randomize de other 3 + checksum

-p 1234???

? = ramdomize

1234

+ checksum number

bdpurcell · « **Respuesta #71 en:** 12-09-2013, 11:19 (Jueves) »

That is an entirely different problem.

Try adding these options to your command line :

-a 50 -m 5000 -t 2000

alist3r · « **Respuesta #72 en:** 12-09-2013, 15:42 (Jueves) »

Cita de: bdpurcell en 12-09-2013, 03:27 (Jueves)

Hola a todos !

Voy a tratar de responder a algunas preguntas , con la ayuda de la traducción de Google .

Hay mucha discusión respecto del tema del índice, de los 7 digitos de pin frente a los 8 dígitos , etc . Voy a explicar , aunque alister explicó bastante bien el concepto .

En primer lugar, he añadido
-i N
a los argumentos de BULLY. Esto ahora es diferente de
-p N.
Los argumentos son mutuamente excluyentes porque se utilizan para dos modos de funcionamiento diferentes. - p es el número de PIN actual para empezar cuando se ejecuta matón en modo secuencial. - i se utiliza en modo aleatorio. Dado que los pins aleatorios se almacenan en un archivo, es necesario hacer un seguimiento de nuestra posición en ese archivo. Eso es para lo que sirve el índice. En el archivo de almacenamiento de la sesión, veréis dos números , por ejemplo:

iiiiiiii : pppppppp : 0 ::

El primer número es el índice, el segundo número es el PIN. Al utilizar el modo secuencial , esos dos números son exactamente los mismos . Sin embargo , si se utiliza el modo aleatorio , serán diferentes . El segundo número será el PIN que está escrito en la posición especificada por el primer número en el archivo de PINs. Bully realiza un seguimiento de esta posición entre sesiones de trabajo, y también lo utiliza para verificar que el archivo de PINs no se ha modificado entre sesiones.
Bully también imprime advertencias si se cambian los modos , ya que esto causaría resultados impredecibles.

En la línea de comandos , tanto " - p" como "- i" Aceptan argumentos de 7 dígitos, A MENOS QUE la nueva opción " - B " se active tambien ( . Véase más abajo ) Si se dan menos de 7 dígitos, se rellena con ceros por la izquierda. Tenga en cuenta que no se pasa el dígito de comprobación (el checksum del WPS PIN , ya que se genera de forma automática:

-p 123 -> 0000123X (X = checksum)
-p 1234000 - > 1234000X

Para -i se aplica el mismo relleno. El número se toma en dos secciones . Los primeros 4 dígitos especificar la ubicación de la primera mitad del PIN en el archivo de PINs aleatorios, y los 3 últimos dígitos especifican la ubicación de la segunda parte del PIN (el archivo es de 2 secciones.) Ambas secciones se ensamblan y se genera el PIN resultante.

Ahora tenemos un nuevo switch, " -B ", que hace que BUlly haga ataques por fuerza bruta al último del PIN, el que supuestamente tiene que ser el dígito de checksum. Incluso con -B, todavia se puede trabajar en modo secuencial o en modo aleatorio, la única diferencia es que usando -B hay que pasar 8 dígitos al PIN -p o al índice -i . El relleno es el mismo que el anterior :

-p 1239 -> 00001239 ( 9 = suma de comprobación)
-p 12340009 -> 12340009

Espero que esto no sea confuso para la gente.

El README ha cambiado un poco, y voy a trabajar en un buen FAQ cuando mi tiempo libre me lo permita.

El siguiente cambio importante va a añadir la traducción española de alister a las fuentes originales . Viva el software en español ! >:-(

ah, casi se me olvidaba

Con la revisión 15, el formato de los archivos de pin y la sesión ha cambiado. Los archivos antiguos son obsoletos. Anotad en sitio seguro vuestros pines y claves de red descubiertas, a continuación,

rm-rf ~ /. bully

o Mejor aún,

mv ~ /. bully ~ /. bully.old

Que tengan un buen día!

Brian

(little changes for better understanding) | (pequeños cambios para mejor comprension)

USUARIONUEVO · « **Respuesta #73 en:** 12-09-2013, 16:04 (Jueves) »

Todo lo que querias decir y citar , pero sigo sin ver la opción de poder poner solo los 4 primeros dígitos.

Ya paso de explicarlo mas veces ...

si los comtrend modelo ni tu tia sabemos que los 4 primeros son fijos

8820XXXX

dime a mi por que tengo que esperar a que el ..descubra que son 8820 los cuatro primeros, y no haya un parámetro claro para eso.

además de que no lo hay ni claro ni oscuro , no lo hay y punto.

si yo se que el pin de mirouter enpieza por 1665

¿ con que parámetro le digo pruébame del 16650000 al 16659999 ...con ninguno.

alist3r · « **Respuesta #74 en:** 12-09-2013, 16:10 (Jueves) »

Cita de: USUARIONUEVO en 12-09-2013, 16:04 (Jueves)

Todo lo que querias decir y citar , pero sigo sin ver la opción de poder poner solo los 4 primeros dígitos.

Ya paso de explicarlo mas veces ...

si los comtrend modelo ni tu tia sabemos que los 4 primeros son fijos

8820XXXX

dime a mi por que tengo que esperar a que el ..descubra que son 8820 los cuatro primeros, y no haya un parámetro claro para eso.

además de que no lo hay ni claro ni oscuro , no lo hay y punto.

si yo se que el pin de mirouter enpieza por 1665

¿ con que parámetro le digo pruébame del 16650000 al 16659999 ...con ninguno.

personalmente no he entendido aún qué problema tienes. voy a leer de nuevo tus posts con brian porque no comprendo.

EDIT:
corrígeme si me equivoco.
quieres indicar por qué primera parte empieza el pin -p 1234xxxx, pero quieres usar el modo aleatorio para averiguar la segunda mitad.

EDIT2:
bully -p 12340000 consigue fijar la primera parte correctamente i probar combinaciones en la segunda parte, pero lógicamente eso te condena a utilizar el modo secuencial por fuerza.
¿es eso?

Chumpy · « **Respuesta #75 en:** 12-09-2013, 17:26 (Jueves) »

-Usuarionuevo dice que si tu a Bully le dices que el pin es 12340000 Bully calcula el checsum y prueba 12340002 unicamente.
-bdpurcell y alister dicen que si tu a Bully le dices que empieze por el pin 12340000 Bully comenzará a probar por el pin 12340000 y luego seguirá con el 12340001 y así sucesivamente hasta que encuentre el pin (que si fuera 12350315 encontraría, pues no para cuando llegue al 12349999 si no que sigue por que le has dicho por que númerto tiene que empezar, pero no en cual tiene que acabar.

Para mi lo que es más que evidente es que "el pin es 12340000" y "empieze por el pin 12340000" son dos cosas distintas, y en caso de que el programa permita hacer las dos es con parámetros diferentes, y ahora mismo no me apetece ponerme a leer cual es el parámetro que hace cada cosa.

alist3r · « **Respuesta #76 en:** 12-09-2013, 18:11 (Jueves) »

corregidme si me equivoco:

para fijar (lock) la primera parte del pin, y probar solamente la segunda, con checkusm:
bully -p 1234000
y que bully pruebe desde 1234000 en adelante

para firjar la primera parte del pin, y probar solamente la segunda, sin checksum:
bully -p 12340000 -B
y que bully pruebe desde 12340000 en adelante

queréis que bully haga esto, verdad?

y ahora usando -p, en lugar de probar el pin dado y si falla, cerrar el programa, que sería lo mas lógico, lo que hace es insistir con 1234000.
¿correcto?

es un problema de diseño. hay que pensar muy bien el flujo del programa para que pueda hacer todo lo que queremos de forma lo mas sencilla posible.

alist3r · « **Respuesta #77 en:** 12-09-2013, 18:24 (Jueves) »

¿que os pareceria esto?
(esto es un planteamiento teórico)

-p debe aceptar 4 / 7 / 8 digitos.

si se especifica un -p de 8 digitos , se tiene que habilitar -B aunque no se haya indicado (es lógico)

si se especifica -B, no se aceptan pines de 7 dígitos. se muestra error y se finaliza el programa. de este modo obligamos al usuario a que compruebe bien lo que está intentando decirnos, y le obligamos a corregir los datos que introduce porque claramente no están bien. no tiene sentido pedir bruteforce del checksum y pasar un pin de 7 digitos. en todo caso, solo tiene sentido pasar 4.

si se especifica un -p de 4 digitos, esta primera mitad se bloquea y se prueba la segunda mitad aleatoriamente.
si bully descubre que esa primera mitad es incorrecta (eso se puede saber despues del primer intento), creo que lo mejor es detener el programa y mostrar un error, para que el usuario sea consciente de que el pin no es el que él cree que es.
si se agotan las posibilidades en la segunda mitad, game over. mensaje de error, y fin del programa. (no tiene sentido probar cambiando la primera mitad porque ha sido el usuario quien nos la ha proporcionado, lo mas natural seria avisar al usuario de que está equivocado, y que él decida cómo quiere continuar el siguiente ataque)

si se especifica un pin de 7 u 8 digitos, se prueba directamente. si se demuestra que no es el pin correcto. mensaje de error y fin del programa. creo que es importante darle feedback al usuario cuando nos introduce parámetros que resultan incorrectos. no me parece buena idea pedirle a bully que haga suposiciones acerca de cómo debe resolver problemas de -p incorrectos.

si un usuario se ha equivocado y ha puesto un -p incorrecto, creo que es mejor que lo sepa, que tome conciencia del hecho de que en realidad no sabe qué pin wps tiene el router, y que vuelva a repetir un ataque sin especificar -p

creo que esta manera de funcionar resolver muchos problemas y haría el uso del programa más sencillo.

¿cómo lo véis?

USUARIONUEVO · « **Respuesta #78 en:** 12-09-2013, 22:31 (Jueves) »

lo que mas se aproxima es que el

-p debe aceptar 4 digitos.

ya lo dije 2 o 3 veces , se supone que si meto los 4 primeros y añado 3 ceros , los ceros deberian ir variando aleatoriamente ,PERO QUEDAN FIJADOS...

ES MAS QUEDAN TAN FIJADOS , que es como si metiese 7 que de hecho ESTOY METIENDO 7 ...

Bully no es adivino ....si yo meto 7 , el no sabe si los tres ceros son fijos o no ...

¿ tanto os cuesta lanzar el comando y verlo ?

si en bully pone -p 1234 , NO VALE DE NADA
si en reaver pones -p 1234 , los cuatro primeros se fijan y se buscan solo los 4 de a atras.

No se como os esta costando la vida misma de entener el problema ...

si lanzaris el mismo comando en ambos veriais enseguida la diferencia, y solo tardais 10 segundos.

diciisss de rellenar con ceros ..pero si metes ceros, esos ceros quedan fijados...ES EXACTAMENTE LO MISMO QUE METER 7 , POR QUE ESTAS METIENDO 7 , ASI QUE SOLO CALCULA EL UKLTIMO ,Y NO PRUIEBA MAS QUE ESE PIN.

Hay varios modelos que de routers que la primera mitad es siempre

1665 , y solo varia la mitad de atras ...

repito por enesima vez ...

¿ como fijamos el 1665 y que solo busque la mitad de atras ? ...........NO SE PUEDE .....ASI DE SIMPLE.

SI METES CEROS PARA """"" RELLENAR """""" ESOS CEROS LOS TOMA FIJOS TAMBIEN .... $:-\$

** ONLY NEED A OPTION TO FIX 4 FIRST DIGITS , AND SEARCH DE 4 ON THE BACK SIDE ***

When revaer receive some like this

-p 1665

*only 4 digits ...

he puts this 4 , FIXED , and probe only de other 4 on the back side.

bdpurcell · « **Respuesta #79 en:** 12-09-2013, 23:12 (Jueves) »

Cita de: USUARIONUEVO en 12-09-2013, 05:10 (Jueves)

Código: [Seleccionar]
bully -b XX:XX:XX:XX:XX:XX -p 1234000 -c 1 mon0
Get this ... Pin is with 1234000 fixed , and only add the final number "2"

I don't mean to be rude, but you are wrong. The zeros are not "fixed."

The problem you are having is that the WPS transactions are timing out, and the same pin gets tried over and over.

You never get 'PIN2BAD' because of this, and that is why the pin doesn't advance.

If you add -a 50 -m 5000 -t 2000 I think you will see different results.

Noticias:

Autor Tema: BULLY: Mejoras, bugs, aclaraciones, etc. (Leído 93902 veces)

alist3r

alist3r

bdpurcell

bdpurcell

bdpurcell

bdpurcell

bdpurcell

alist3r

alist3r

Chumpy

alist3r

alist3r

bdpurcell