# KRACK ###### tags: `lesson` --- # KRACK - WPA2破解 助教: - 進行這個攻擊有什麼限制? 中間人裝置需在熱點AP與受害裝置訊號接收範圍 需要知道受害者裝置的MAC addr. - 假設攻擊成功,造成的影響與危害 - 在書面補上,無法成功的推測詳細說明 - 利用此技術可以做到什麼事情?跟其他使用行為有什麼差異 - 寫出過程中的新發現 ## 背景 ### Wi-Fi加密演進 Wi-Fi的加密協議標準演進如下圖所示,WEP使用RC4串流加密技術,但因為IV(Initial Vector)長度過短,因此有被暴力破解的可能性;WPA實作了大部分的802.11標準,但其主要使用的臨時密鑰完整性協議(TKIP)有可能被破解;WPA2為目前主流的網路存取點(Access Point)使用的加密協議標準,加密方式從RC4 & TKIP換成更安全的AES進階加密標準,在WPA2中,金鑰的交換使用了四向交握協議,此協議也是我們這次主要討論與破解的部分;WPA3使用了更安全的SAE實體同步驗證,但其尚未發展成熟所以暫不討論。 ![](https://i.imgur.com/R3FH8od.png) 表一、 Wi-Fi加密演進 目前主流的WPA/WPA2使用的加密協議可依加密類型進行分類: - WPA/WPA2:需要架設Radius伺服器,透過Radius伺服器進行各個使用者的身分認證,因此每個使用者所使用的金鑰會不同,且均由Radius伺服器管理,常用於公司等安全需求較高的環境。 - WPA/WPA2-PSK:使用預共享金鑰模式(Pre-Shared Key),AP端與使用者使用同一組雙方都知道的PSK金鑰,因為不用額外架設Radius伺服器,所以成本較低,較常用於家庭一般使用等僅須一般等級安全性的環境。 依據加密算法可分為: - Temporal Key Integrity Protocol(TKIP):臨時密鑰完整性協議,常用於WPA之加密標準,為較舊的加密標準,有被攻擊的可能性因此不建議使用。 - Advanced Encryption Standard(AES):高級加密標準,WPA與WPA2均可使用,安全性比TKIP高,較建議使用。 ### Wi-Fi連線 WIFI連線的粗略架構如下圖所示,依照連線使用定位可分為使用者(Client)、存取點(Access Point)與網路 使用者透過加密協議(如WPA2)與AP連接,AP再與網路透過HTTP/HTTPS等協議連接以提供使用者網路存取服務,這篇報告將會著重在討論使用者與AP連接的加密協議,並沒有討論到AP與網路間使用的加密協議。 對於使用者與AP間使用的加密協議而言,使用者的角色為加密協議的請求者(Supplicant),AP為加密協議的認證者(Authenticator)。 ![](https://i.imgur.com/QiujIzv.png) 圖二、 WIFI連線的粗略架構 WPA2的完整流程圖如下圖所示,第一部分(上方)為連線建立階段,第二部分(中間)為PTK四向交握階段,也是漏洞主要發生的位置,因此重點將放在此階段,第三部分(下方)為GTK交換階段。 ![](https://i.imgur.com/OBcqqIg.png) 圖三、 WPA2的完整連線流程 在討論四向交握之前須了解以下概念: 1. 四向交握使用的金鑰 臨時金鑰有以下兩種:成對瞬態金鑰(Pairwise Transient Key,PTK)與群組暫時金鑰(Group Temporal Key,GTK),各裝置間使用不同的PTK與AP成對達成協議,而連到同個AP下的裝置的GTK均為同一組。 PTK是由ANonce、SNonce與共享金鑰組合產生(ANonce與SNonce後面會提到),而GTK通常是由AP端產生。 ![](https://i.imgur.com/7CgckRY.png) 圖四、 PTK與GTK差異圖解 2. Nonce 在資訊安全中,Nonce是一個在加密通訊只能使用一次的數字。在認證協定中,它往往是一個隨機或偽隨機數。在四向交握中使用到兩種Nonce:第一種的ANonce與SNonce是由AP/client的MAC address與先前提到的共享金鑰(如WPA2-PSK中的PSK)組成;第二種是用於加密封包用的nonce,此nonce指的是封包號碼(packet number)。 四向交握可分為以下四步: 第一步: AP將共享金鑰與自己的MAC address結合產生ANonce,將ANonce傳給client。 (備註:圖片中的r是為了防止重放攻擊(replay attack)的數,此處不討論) 第一步之後第二步之前: client在收到ANonce後,因為可以算出自己的SNonce,共享金鑰也已知,因此能成功產生PTK並暫存在記憶體。 第二步: client將共享金鑰與自己的MAC address結合產生SNonce,將SNonce傳給client。 第二步之後: AP在收到ANonce後,成功產生PTK並暫存在記憶體。 ![](https://i.imgur.com/pzSx9zl.png) 圖五、 四向交握第一步與第二步 第三步: AP向client傳送確認訊息,確認要安裝此組PTK,並同時將GTK也一併傳送。 第四步: client收到確認訊息後回復AP端OK。 第四步之後: client會安裝記在記憶體的PTK與剛收到的GTK,並將代表封包號碼的Nonce設為0,AP也會把此PTK與此client連結與安裝。 ![](https://i.imgur.com/CnAywoF.png) 圖六、 四向交握第三步與第四步 ![](https://i.imgur.com/yYMZRv1.png) 圖七、 四向交握第四步結束後重製Nonce為0 安裝完PTK後,PTK會與各封包號碼(nonce)結合產生keystream,之後兩者間的通訊會利用keystream做加密,因為每個封包的號碼(nonce)都不同,因此較難解密。 ![](https://i.imgur.com/vPBXtnG.png) 圖八、 PTK加密方式圖解 就安全性來說,四向交握有被證明是安全的,透過PTK與封包號碼的加密金鑰方式也是安全的,但是當兩者結合後,在實作方面就可能產生漏洞,因為四向交握實作時無法保證金鑰只被安裝一次,加密金鑰在證明安全性時並沒有考慮到使用的封包號碼可能重複,兩者合起來就會造成漏洞,四向交握也沒有確認記錄PTK的記憶體有沒有受過更改,KRACK就是利用這些漏洞進行解密。 ## KRACK KRACK(Key Reinstallation AttaCK),由Mathy Vanhoef在Black Hat Europe 2017上公開漏洞,主要利用 WPA2的四向交握(4-way handshake),攻擊者可在第三次的交握中,欺騙存取點向裝置重複傳送加密金鑰,但在裝置重複安裝相同的金鑰時,Nonce 金鑰就會被重設。由於 Nonce 金鑰可被重用,攻擊者便可破解加密。KRACK的特色在於攻擊方的中間者**不需要知道WIFI密碼也能破解**,因此危害度很高,但**攻擊方需在AP的訊號範圍內**並能同時接收到受害者與AP的訊號,因受到此物理限制,所以無法進行大量自動攻擊。 我們選擇KRACK攻擊的目標在於使用中間人攻擊擷取相同AP下其他裝置網路封包,並重現KRACK攻擊,破解WPA2加密機制,解密其他裝置傳送的封包內容以獲取帳號密碼等敏感性資料。 KRACK攻擊有許多種實作方式,這邊僅列出金鑰重新安裝與全零PTK兩種攻擊方式。 ### KRACK-金鑰重新安裝 第一種KRACK的實作方式為金鑰重新安裝,首先在client與AP間增加能同時接收到兩者訊號的中間人(Man In The Middle),此中間人會捕捉到AP使用到的頻道並將其屏蔽,並產生一個使用不同頻道的假AP讓client連結,對AP而言連線進來的是正常用戶,對client來說也與連到正常AP的行為無差異,因此雙方皆難以察覺。 在四向交握的過程中,中間人先正常協助轉傳前兩步的連線訊息,但在交換第三與第四訊息時,中間人會將從client端傳到AP端的第四訊息阻擋,阻擋造成的結果為client認為已經成功安裝PTK,並將Nonce清為0,但AP端因為沒收到第四訊息,因此認為此PTK尚未安裝成功。 ![](https://i.imgur.com/HWYGyUK.png) 圖九、 阻擋第四訊息 因為AP端未收到第四訊息,在超時後便會重新發送第三訊息,client端在收到第三訊息後會再送一次第四訊息,但因為對client來說PTK是已經安裝完成的狀態,因此會將此訊息四加密後送出,並且此次使用的Nonce為1,送出此加密後的訊息四後,client會重新安裝PTK並再次將Nonce清為0,中間人不阻擋此訊息四,因此client與AP成功利用此PTK建立加密連線。 ![](https://i.imgur.com/zbpis7i.png) 圖十、 重新安裝PTK並重製Nonce為0 在加密連線成功後,從client端發出的第一個加密訊息使用的Nonce為1,與之前訊息四使用的Nonce相同,因此只要能解出加密訊息四的keystream,就能解密出可能含有敏感資料的此訊息。 ![](https://i.imgur.com/GpPAAPk.png) 圖十一、 兩者使用相同Nonce (Nonce皆為1) 在中間人接收到的訊息中,有包含加密前的訊息四與加密後的訊息四,因為訊息四的內容僅為回覆OK,內容相對簡單,兩者絕大多數的欄位是相同內容,因此能成功解出Nonce為1的keystream,再將此keystream用來解密第一個加密的訊息即可成功解密,成功實現金鑰重新安裝攻擊。 ![](https://i.imgur.com/tKl8hdl.png) 圖十二、 解密流程圖解 ### KRACK-全零PTK 此攻擊是針對使用Android與Linux架構的裝置,利用Android與Linux在實作WPA2時未考慮到的漏洞進行攻擊,也是我們這次實作時使用的攻擊方式,基本上攻擊流程與金鑰重新安裝攻擊相似,一樣是正常轉傳第一第二訊息,收到第三訊息後阻擋第四訊息。在client端收到第一次訊息三時,系統會使用記憶體中記錄的PTK進行安裝,此次安裝的PTK是正常的PTK,在安裝完後系統會將記錄PTK用的此段記憶體清空為全0。 ![](https://i.imgur.com/CqSkRzF.png) 圖十三、 第一次安裝PTK 因為AP端未收到第四訊息,在超時後便會重新發送第三訊息,client端在收到第三訊息後會再送一次第四訊息,並再次安裝PTK,但因為上次安裝完後存放PTK用的記憶體已被清空,因此此次安裝的PTK即為有漏洞的全零金鑰,根據前述圖八所示,加密用的keystream是由PTK與封包號碼(Nonce)組成,因為此處使用的PTK為已知的全0,封包號碼也直接寫在封包欄位中未進行加密,將兩者結合可獲得加密使用的keystream,因此可利用此keystream解密出封包內容。 ![](https://i.imgur.com/X14m6pT.png) 圖十四、 重新安裝全零PTK --- ## 實作 --- ## 補充資料 與KRACK相關的CVE漏洞列表如下所示: CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake. CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake. CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake. CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake. CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake. CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT)Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it. CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake. CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake. CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame. CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame. ## 參考資料 Black Hat Europe 2017: https://www.youtube.com/watch?v=fZ1R9RliM1w KRACK專網: https://www.krackattacks.com/ 實作: https://www.youtube.com/watch?v=Oh4WURZoR98 https://github.com/vanhoefm/krackattacks-scripts https://github.com/vanhoefm/krackattacks-poc-zerokey https://github.com/lucascouto/krackattack-all-zero-tk-key --- # dump --- 官網 https://www.krackattacks.com/ --- Black hat Europe 2017 https://www.youtube.com/watch?v=fZ1R9RliM1w 裝兩次KEY AP-user 傳PTK(ANouce) user-AP 傳PTK(SNouce) 以上已確保PTK隱密 7:25如何加密 理論上不能強制nouce number變成0 會讓連線重連 10:00 中間人 24:43 ALL ZERO --- 實作 https://www.youtube.com/watch?v=Oh4WURZoR98 --- https://www.techbang.com/posts/54497-krack-authors-in-person-13-qa-quick-responses-to-your-questions 4路的握手協議已經在數學上被證明了是夠安全的,為什麼KRACK攻擊會成功? "簡單的回答,就是目前的4路握手協議並沒有辦法確保金鑰只能被安裝一次。它只能確保金鑰維持隱密性,以及握手過程中傳遞的訊息並不會被偽造。 KRACK並沒有破解4路握手協議的安全性。事實上,在過程中傳遞的加密金鑰依然是安全的,以及握手協議過程中,用來確認AP端以及客戶端的身份驗證性也是安全的。KRACK並沒有破解加密金鑰,因此4路握手協議依然是安全的。" --- Kali USB https://www.kali.org/docs/usb/kali-linux-live-usb-install/ 網卡驅動 https://www.kalitut.com/2019/05/how-to-install-rtl8812au.html ~~以下無效 作廢 https://blog.tenyi.com/2019/03/ubuntu-dlink-dwa-182-80211ac-usb.html install bc~~ WPA wiki https://zh.wikipedia.org/wiki/WPA KRACK wiki https://zh.wikipedia.org/wiki/KRACK lucascouto https://github.com/lucascouto/krackattack-all-zero-tk-key vanhoefm https://github.com/vanhoefm/krackattacks-scripts