Dans mon dernier article, nous avons configuré un adaptateur Wi-Fi USB externe et suivi les étapes de configuration pour mettre l’adaptateur en mode moniteur. Nous avons également examiné la sortie standard d’airodump-ng, et avons pu obtenir un tas de bonnes informations sur tous les points d’accès autour de nous, y compris leur ESSID, leur BSSID, le canal sur lequel ils opéraient, le type de cryptage qu’ils utilisent et le type d’authentification qu’ils utilisent.
Maintenant que nous avons toutes ces informations, nous pouvons choisir un seul point d’accès comme cible afin d’essayer de casser la clé pré-partagée WPA2 (PSK) configurée sur le point d’accès. Une fois que nous serons en mesure d’obtenir ce PSK, nous pourrons nous associer au point d’accès et commencer à contourner le réseau auquel il est connecté.
Configuration de notre Adaptateur et Choix d’une Cible
Nous commencerons par mettre notre adaptateur Wi-Fi USB en mode moniteur. Si vous n’êtes pas sûr de ce qui se passe ici, veuillez vous référer à l’article précédent.
Voyons maintenant quels points d’accès sont près de nous et choisissons-en un à cibler. Pour ce faire, nous allons exécuter airodump-ng sous sa forme la plus basique, en ne prenant qu’un seul paramètre – le nom de l’interface du moniteur.
airodump-ng wlan1mon
Dans cette liste, nous choisirons un point d’accès à cibler. Nous devrons noter le BSSID, l’ESSID et le canal de l’AP. Puisque nous ciblons WPA2-PSK dans cet exemple, nous devrons choisir un point d’accès dont le type de cryptage est répertorié comme WPA2 et dont le type d’AUTHENTIFICATION est PSK.
Capture de trames vers / depuis l’AP ciblé
Une fois que nous aurons ces informations, nous pourrons utiliser airodump-ng pour cibler spécifiquement cet AP et ses clients connectés. En faisant cela, nous allons également spécifier des paramètres supplémentaires que nous n’avions pas spécifiés auparavant. Nous allons spécifier le nom du canal sur lequel notre point d’accès cible s’exécute avec le commutateur -c, le nom du BSSID avec le commutateur –bssid et le nom d’un fichier de sortie avec le commutateur -w.
Le fichier de sortie contiendra toutes les images capturées que notre adaptateur sans fil en mode moniteur est capable de capturer. Ce que nous cherchons à capturer spécifiquement est une poignée de main d’authentification WPA2-PSK entre un client et AP. Cette poignée de main contient une version hachée de la clé pré-partagée, que nous forcerons plus tard.
Dans cet exemple, j’utilise les valeurs provenant de mon point d’accès cible (avec le BSSID légèrement obscurci pour des raisons de confidentialité). Vous utiliserez vos propres valeurs, obtenues lors de notre précédente session airodump-ng pour remplacer les miennes. Vous n’avez pas besoin de spécifier une extension pour votre fichier de sortie, car plusieurs seront créés automatiquement, chacun avec une extension appropriée.
airodump-ng -c 1 --bssid 00:15:FF:EE:EE:EE -w capture wlan1mon
Vous remarquerez que cette sortie airodump-ng ressemble à la dernière sortie, seule la liste des points d’accès ne contient pas plus que celle que nous avons spécifiée. De plus, le champ canal dans le coin supérieur gauche ne chasse pas, car nous avons spécifié le canal sur la ligne de commande. airodump-ng capture maintenant uniquement le paquet pour l’AP que nous avons spécifié, sur le canal que nous avons spécifié. Au bas du terminal, la liste des clients connectés devrait commencer à se remplir.
Ce processus pourrait prendre un peu plus de temps à exécuter, surtout s’il n’y a pas beaucoup de clients connectés au point d’accès. Pour que cela fonctionne, nous avons besoin d’au moins un client connecté qui parle à l’AP, mais plus il y a de clients connectés simultanément, plus il sera facile de capturer une poignée de main d’authentification WPA2-PSK.
Accélération de la capture avec une attaque de désauthentification
Si votre adaptateur sans fil prend en charge l’injection de paquets, nous pouvons accélérer ce processus à l’aide de l’utilitaire aireplay-ng. Nous pouvons le faire en ouvrant un nouveau shell, car nous voulons garder airodump en cours d’exécution / capture en arrière-plan, et en utilisant le contexte suivant.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE wlan1mon
Le commutateur -0 indique à aireplay-ng le nombre de paquets de désauthentification (deauth) à diffuser » à partir de l’AP. »En théorie, ce qui devrait arriver, c’est que tous les clients connectés à l’AP devraient recevoir ces émissions deauth, se désauthentifier de l’AP, puis se réauthentifier automatiquement à l’AP une fois que la diffusion deauth s’arrête. Dans cet exemple, nous en enverrons 10, ce qui devrait suffire à forcer une poignée de main à se produire lors de la réauthentification, étant donné le nombre de clients connectés à cet AP.
Le commutateur -a spécifie l’ESSID de l’AP, et l’option finale est juste le nom de notre interface de mode moniteur.
Après avoir lancé l’attaque deauth, remarquez quelque chose que nous n’avions pas vu auparavant. Dans le coin supérieur droit de la fenêtre airodump, nous pouvons maintenant voir qu’une poignée de main WPA a été capturée. (Faites défiler jusqu’à la dernière image pour voir qu’elle n’était pas là auparavant). Puisque nous avons capturé dans notre fichier de sortie tout ce temps, ce fichier devrait maintenant contenir une capture de la poignée de main WPA2-PSK.
Si vous ne parvenez pas à capturer une poignée de main tout de suite, il peut être judicieux d’attendre quelques minutes et de tenter à nouveau l’attaque aireplay. Il pourrait également être judicieux de tenir compte de l’avertissement que aireplay nous a donné après avoir exécuté la commande et effectué une attaque ciblée. Plutôt que d’envoyer des diffusions à tous les clients connectés, nous dirigerons une attaque de désauthentification sur un seul client connecté. La syntaxe pour cela est la suivante.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE -c E0:46:9A:11:22:33 wlan1mon
Une attaque dirigée est fondamentalement la même commande, mais le commutateur -c est ajouté et spécifie l’adresse MAC du client sans fil que nous essayons de supprimer.
Informations sur le fichier de capture d’image
Maintenant que nous avons capturé une poignée de main WPA2-PSK, vous pouvez arrêter la session airodump en appuyant sur CTRL + C. Il y aura maintenant plusieurs fichiers liés à la capture dans votre répertoire personnel. Celui qui nous préoccupe le plus est le.fichier cap qui correspond à la capture que nous avons prise ci-dessus. J’ai utilisé le commutateur -w pour appeler ma sortie de capture « capturefile », donc le fichier qui me concerne est capturefile-01.Cap.
Maintenant que nous avons le fichier dont nous avons besoin, nous pouvons le mettre hors ligne pour le casser. Il n’y a aucune raison de rester à proximité de l’AP que vous ciblez si vous ne le souhaitez pas. Évidemment, si c’est dans un environnement de laboratoire, cela n’a pas d’importance, mais dans le monde réel, cela peut. Nous reviendrons après avoir (espérons-le) cassé la clé pré-partagée.
En plus de la commodité de ne pas avoir à traîner autour de votre cible pendant que son hachage est en train d’être craqué (ce qui peut prendre beaucoup de temps), une autre commodité réelle existe en ce que le craquage des hachages en utilisant la seule puissance du PROCESSEUR est un processus lent et presque inutile. De manière réaliste, vous ramèneriez le fichier de capture sur une machine exécutant un ou plusieurs GPU et utiliseriez ces GPU pour casser la clé avec un utilitaire prenant en charge le craquage GPU, comme Hashcat.
Si vous ne pensez pas qu’un GPU ferait une grande différence par rapport à un processeur rapide, notez cette étude du monde réel que j’ai faite l’autre jour. Pour tenter de casser une clé WPA2-PSK, j’ai utilisé une commande qui exécuterait chaque numéro de téléphone d’un indicatif régional sur un fichier capturé (de nombreux utilisateurs utilisent un numéro de téléphone à 10 chiffres comme clé WPA2). Sachant quel indicatif régional j’allais utiliser, cela laissait 10 000 000 de possibilités. Un Intel Core i5-7400 fonctionnant à 3,0 GHz a pris 8 heures et 14 minutes pour terminer cette opération. Une GeForce GTX 1070 a fait de même en 52 secondes.
Dans le prochain article, je vais vous montrer comment convertir votre.plafonner le fichier à a.fichier hccapx, qui est le format avec lequel Hashcat aime travailler. Je vais également vous montrer certaines des méthodes que j’aime utiliser pour casser les hachages à l’aide de Hashcat, qui peuvent s’appliquer à pratiquement tous les hachages, pas seulement aux hachages WPA2-PSK.