PoC - not working

[h0rac]

Hi, how to properly use poc.txt file, it is completely undocumented. When is send POC using same parameters as I. used for fuzzing changing -T to 0.. my device is not crashing at all. When I fuzz it crash. What I am missing ?

[E7mer]

You need to copy poc_log.txt content to poc.txt, then use "-T 0" to start owfuzz.

[h0rac]

Hi E7mer I was doing that but problem is that packets recorded as PoC do not crash destination client.

parallels@ubuntu-linux-22-04-desktop:~/Owfuzz/owfuzz/src$ sudo ./owfuzz -i wlx00c0caae5be9 -m ap -c 11 -t 44:73:d6:c2:e9:a5 -s 00:c0:ca:ae:5b:e9 -b 00:C0:CA:6B:07:95 -T 0 -A OPEN_NONE -I 10.0.0.3 -S LAB -l7 No seed value provided, using time(NULL)... [fuzz_control.c:2972] Interface: wlx00c0caae5be9, channel: 11 Fuzzing mode: ap Target MAC: 44:73:D6:C2:E9:A5 Source MAC: 00:C0:CA:AE:5B:E9 Bssid: 00:C0:CA:6B:07:95 Fuzzing target's SSID: LAB auth_type: 0 (OPEN_NONE) test_type: 0 (TEST_POC) Seed: srandom(NULL)... [fuzz_control.c:560] Configuring interface: wlx00c0caae5be9, channel: 11 kismet_interface_down on: wlx00c0caae5be9 kismet_set_mode (6) on: wlx00c0caae5be9 kismet_interface_up on: wlx00c0caae5be9 kismet_set_channel (11) on: wlx00c0caae5be9 kismet_get_mode on: wlx00c0caae5be9 current mode: 6 and channel: 11 [fuzz_control.c:587] Creating oi_receive_thread for interface: wlx00c0caae5be9 Log level: 7 Log file: unset Target IP: 10.0.0.3 Running 'test_bad_frame' Loaded 77 poc(s). sending payload... (management)IEEE80211_TYPE_TIMADVERT-->(370)\x60\x00\x00\x00\x44\x73\xD6\xC2\xE9\xA5\x00\xC0\xCA\xAE\x5B\xE9\x00\xC0\xCA\x6B\x07\x95\x26\x00\x00\xD0\x07\x00\x00\x00\x00\x00\x00\x00\x07\xA6\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 sending payload... (management)IEEE80211_TYPE_ASSOCRES-->(42)\x10\x00\x3A\x01\x44\x73\xD6\xC2\xE9\xA5\x00\xC0\xCA\xAE\x5B\xE9\x00\xC0\xCA\x6B\x07\x95\x31\x00\x01\x85\x00\x00\x01\x00\x01\x08\x82\x84\x8B\x96\x12\x24\x48\x6C\x01\x00 sending payload... (control)IEEE80211_TYPE_RTS-->(201)\xB4\x00\x3A\x01\x44\x73\xD6\xC2\xE9\xA5\x00\xC0\xCA\xAE\x5B\xE9\x88\xE0\x75\xC6\xB3\xB4\xD5\x58\x22\x20\x3D\x20\x20\x57\xBB\xB3\x79\xE0\x77\xE0\x0C\x7C\x9A\x63\xF1\xDD\xD3\x17\x2B\x20\xB3\xDA\x37\xFD\x34\x86\xC1\xF8\xB0\xC3\x88\xE0\x4B\xC5\x77\x1F\xDE\x59\xE0\x9A\xA0\xE8\xB0\xA7\x0A\x92\xB3\xE5\xEE\x97\xE8\xD9\xB5\xCD\x59\x21\xE3\xEC\x17\xBE\xFB\x3A\xE0\x97\xB4\x49\x1F\x3F\x1C\xB1\xED\x71\xF4\x0E\xAD\xBA\xBB\x16\xBA\x08\xAD\x34\xA9\xA6\xFB\xA2\xBA\x27\xE0\xE0\x00\x11\x8C\x0C\xA3\x38\xED\xB1\xAC\xFF\x8E\xB7\xBB\x6F\xB4\xBB\x8C\xED\x67\x24\x6F\xBB\x42\x69\xF8\xC7\x00\x76\xE4\x93\xE8\xA5\x54\xA9\xFE\xE4\x06\xFB\xE4\x29\x82\x28\x70\xA4\xF2\x1E\x03\x1F\x19\xB0\x3B\xDA\x6F\xA6\x71\x4B\xA7\x3A\x34\xDA\x10\x03\xCF\x6F\x9A\xC0\x93\xE6\xE5\xE5\xE5\x11\x97\x3A\xB7\x93\x74\xD8\x8A\x7F\x17\xB3\x14\xBE\xBE sending payload... (control)IEEE80211_TYPE_PSPOLL-->(236)\xA4\x00\x3A\x01\x44\x73\xD6\xC2\xE9\xA5\x00\xC0\xCA\xAE\x5B\xE9\xF8\xFB\xA9\x70\x8C\xDB\x73\x5B\x1E\x18\x4E\xE4\xF0\xA9\x0E\xB7\x91\xC0\xB4\x00\xE5\xF0\x92\x91\x91\x3C\x82\xF1\x63\x71\x89\xB1\x3D\xC0\xC2\x78\xA5\x67\xE6\x5B\x92\xD3\x76\xC0\xEE\x58\x06\xDD\x5B\xC5\xFB\xD5\x72\xB1\xF8\x47\x71\x70\x70\xCC\xB2\x9B\x70\x8F\x3D\x71\x4B\xDB\xC0\x0E\x82\x52\xA5\x9B\xDD\xB3\x90\xBB\x22\x8C\xE3\xE2\xE2\x08\xC0\x87\xBB\xE5\x09\xD8\x16\x8C\x82\x4C\xCC\x81\x59\x03\x00\x58\x88\x9B\x5E\x02\xDA\xA6\xD2\xCB\x87\xE7\xB1\xCD\xCB\x09\x81\xE7\xA8\x42\x38\xE4\x70\xBF\xF8\x95\xE5\xD0\x5F\x4C\x16\x57\x38\x88\xE3\xF6\xB7\x8E\x7B\x92\x42\x3D\x4C\x38\x67\xF0\xEC\x9C\x0E\x96\x81\x7B\x19\xA4\xCB\xE4\x66\x11\x10\x10\xE4\xAB\xAE\xB2\xB1\xB1\x82\x46\x9B\xA6\xD3\xB7\xD0\xAB\xDE\xD3\x76\x8A\xE2\xC8\x2E\x78\x47\x31\x2D\xF8\x4A\x0E\x19\x6D\xA8\x9E\x95\xB1\xDC\x6C\x0E\x87\xAE\xDC\x47\x6B\x08\x87\x0A\xE2\x91\x55\x9A\xAB\xAB\xB7\x72\xFF\x68\x01\x0F\x82\xA8\x76\xF4\x39 sending payload... (data)IEEE80211_TYPE_DATACFACK-->(48)\x18\xDA\x3A\x01\x44\x73\xD6\xC2\xE9\xA5\x00\xC0\xCA\x6B\x07\x95\x00\xC0\xCA\xAE\x5B\xE9\x2E\x00\x6E\x00\x52\x63\x00\xF7\x3D\x60\x91\x36\x60\x45\x84\xC7\xCD\x4E\x43\xBD\xCD\x5C\x74\x4F\x3E\xA8 sending payload..

and so on.. Additionally I am running AP on another card with ESSID LAB.

parallels@ubuntu-linux-22-04-desktop:~$ sudo airbase-ng -e LAB -c11 wlx00c0ca6b0795 [sudo] password for parallels: 14:05:15 Created tap interface at0 14:05:15 Trying to set MTU on at0 to 1500 14:05:15 Trying to set MTU on wlx00c0ca6b0795 to 1800 14:05:15 Access Point with BSSID 00:C0:CA:6B:07:95 started. 14:07:14 Client 44:73:D6:C2:E9:A5 associated (unencrypted) to ESSID: "LAB"

at0 interface is configured with 10.0.0.1/24 IP and client has static 10.0.0.3/24

[E7mer]

Target client may not crash. Here is try to verify.

[h0rac]

But it's crashing all the time during fuzzing. However when I am using poc_log.txt as poc.txt for TEST_POC operation it is not working. Also I found another problem Channel is always incorrect during fuzzing because it is not copied from fuzzing_opts structure to packet. But even fixing channel is still a problem of non working crash during POC test.