v mém posledním příspěvku jsme prošli nastavením externího USB WI-Fi adaptéru a prošli konfiguračními kroky pro uvedení adaptéru do režimu monitoru. Také jsme se podívali na standardní výstup airodump-ng a byli jsme schopni získat spoustu dobrých informací o všech přístupových bodech kolem nás, včetně jejich ESSID, BSSID, na jakém kanálu pracují, jaký typ šifrování používají a jaký typ autentizace používají.
Nyní, když máme všechny tyto informace, můžeme si vybrat jeden AP, který bude naším cílem pro účely pokusu o přerušení WPA2 pre-shared key (PSK), který je nakonfigurován v přístupovém bodě. Jakmile se nám podaří získat PSK, budeme se moci spojit s přístupovým bodem a začít se pohybovat po jakékoli síti, ke které je připojen.
nastavení našeho adaptéru a výběr cíle
začneme uvedením našeho adaptéru USB Wi-Fi do režimu monitoru. Pokud si nejste jisti, co se zde děje, přečtěte si předchozí článek.
nyní se podívejme, jaké přístupové body jsou blízko nás, a vyberte jeden, který chcete cílit. Za tímto účelem spustíme airodump-ng ve své nejzákladnější podobě, pouze s jediným parametrem-názvem rozhraní monitoru.
airodump-ng wlan1mon
z tohoto seznamu vybereme AP, na které se zaměříme. Musíme si uvědomit BSSID, ESSID a kanál AP. Protože v tomto příkladu cílíme na WPA2-PSK, budeme muset vybrat AP, jehož typ šifrování je uveden jako WPA2 a jehož typ AUTH je PSK.
zachycení snímků do / z cíleného AP
jakmile budeme mít tyto informace, budeme moci použít airodump-ng k cílení tohoto AP a jeho připojených klientů konkrétně. Při tom budeme také specifikovat další parametry, které jsme dříve nespecifikovali. Určíme název kanálu, na kterém běží náš cílový AP s přepínačem-c, název BSSID s přepínačem-bssid a název výstupního souboru s přepínačem-w.
výstupní soubor bude obsahovat všechny zachycené snímky, které náš bezdrátový adaptér monitor mode dokáže zachytit. To, co chceme konkrétně zachytit, je autentizační handshake WPA2-PSK mezi klientem a AP. Tento handshake obsahuje hashovanou verzi předem sdíleného klíče, kterou budeme později nutit.
v tomto příkladu používám hodnoty, které pocházejí z mého cílového AP (s BSSID mírně zmateným z důvodů ochrany osobních údajů). Budete používat své vlastní hodnoty, získané z naší předchozí relace airodump-ng, abyste nahradili Moje. Pro výstupní soubor nemusíte zadávat příponu, protože bude vytvořeno několik, každý s příslušnou příponou, automaticky.
airodump-ng -c 1 --bssid 00:15:FF:EE:EE:EE -w capture wlan1mon
Všimněte si, že tento výstup airodump-ng vypadá podobně jako poslední výstup, pouze seznam AP není naplněn více než jen ten, který jsme zadali. Také pole kanálu v levém horním rohu není lov, protože jsme určili kanál na příkazovém řádku. airodump-ng nyní zachycuje pouze paket pro AP, který jsme zadali, na kanálu, který jsme zadali. Ve spodní části terminálu by se měl začít naplňovat seznam připojených klientů.
spuštění tohoto procesu může trvat o něco déle, zejména pokud není k AP připojeno mnoho klientů. Aby to fungovalo, potřebujeme alespoň jednoho připojeného klienta, který mluví s AP, ale čím více klientů je připojeno současně, tím snazší bude zachytit autentizační handshake WPA2-PSK.
urychlení zachycení útokem Deauthentication
pokud váš bezdrátový adaptér podporuje vstřikování paketů, můžeme tento proces urychlit pomocí nástroje aireplay-ng. Můžeme to udělat otevřením nového shellu, protože chceme udržet airodump běžící / zachycující na pozadí a pomocí následujícího kontextu.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE wlan1mon
přepínač -0 říká aireplay-ng, kolik deauthentication (deauth) paketů vysílat “ z AP.“Teoreticky by se mělo stát, že všichni klienti připojeni k AP by měli dostávat tato deauthentická vysílání, deauthenticovat od AP a poté automaticky znovu autorizovat AP, jakmile se vysílání deauth zastaví. V tomto příkladu, pošleme 10, což by mělo stačit k tomu, aby se při opětovné autorizaci stalo podání ruky, vzhledem k počtu klientů připojených k tomuto AP.
přepínač-a určuje ESSID AP a poslední možností je pouze název našeho rozhraní režimu monitoru.
až spustím deauth útok, všimni si něčeho, co jsme předtím neviděli. V pravém horním rohu okna airodump nyní vidíme, že byl zachycen handshake WPA. (Přejděte na poslední obrázek a uvidíte, že tam předtím nebyl). Protože jsme celou dobu zachytávali do našeho výstupního souboru, měl by tento soubor nyní obsahovat zachycení handshake WPA2-PSK.
pokud nejste schopni zachytit handshake hned, to by mohlo být dobrý nápad počkat několik minut, a pokusit se aireplay útok znovu. Také by mohlo být dobré dbát na varování, které nám aireplay dal poté, co jsem spustil příkaz a provedl cílený útok. Spíše než posílat vysílání všem připojeným klientům, nasměrujeme deautentizační útok na jednoho připojeného klienta. Syntaxe je následující.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE -c E0:46:9A:11:22:33 wlan1mon
řízený útok je v podstatě stejný příkaz, ale má přepínač-c přidán a určuje MAC adresu bezdrátového klienta, kterého se pokoušíme deauth.
Frame Capture File Information
Nyní, když jsme zachytili handshake WPA2-PSK, můžete zastavit relaci airodump stisknutím kláves CTRL + C. nyní bude ve vašem domovském adresáři několik souborů souvisejících se zachycením. Ten, který nás nejvíce zajímá, je .cap soubor, který odpovídá zachycení jsme vzali výše. Použil jsem přepínač-w, abych nazval svůj záznamový výstup „capturefile“, takže soubor, o který se zajímám, je capturefile-01.Cap.
Nyní, když máme soubor, který potřebujeme, můžeme jej offline rozbít. Není důvod zůstat v blízkosti AP, na kterou cílíte, pokud nechcete. Je zřejmé, že pokud je to v laboratorním prostředí, nezáleží na tom, ale ve skutečném světě, může. Vrátíme se poté, co jsme (doufejme) porušili předem sdílený klíč.
kromě pohodlí, že nemusíte viset kolem svého cíle, zatímco jejich hash je prasklý (což může trvat dlouho), existuje další pohodlí v reálném světě v tom, že praskání hashů pomocí samotného výkonu CPU je pomalý a téměř zbytečný proces. Realisticky byste vzali soubor capture zpět do počítače s jedním nebo více GPU a pomocí těchto GPU rozluštili klíč pomocí nástroje, který podporuje praskání GPU, jako je Hashcat.
pokud si nemyslíte, že GPU by udělal velký rozdíl oproti rychlému CPU, poznamenejte si tuto studii v reálném světě, kterou jsem udělal právě druhý den. Ve snaze rozlousknout klíč WPA2-PSK jsem použil příkaz, který by spustil každé telefonní číslo v předvolbě proti zachycenému souboru (mnoho uživatelů používá 10místné telefonní číslo jako klíč WPA2). Vědět, jaké směrové číslo oblasti jsem chtěl použít, to zanechalo 10 000 000 možností. Intel Core i5-7400 běžící na 3.0 GHz trvalo dokončení této operace 8 hodin a 14 minut. GeForce GTX 1070 udělal totéž za 52 sekund.
v dalším příspěvku vám ukážu, jak převést vaše .soubor cap do a.soubor hccapx, což je formát, se kterým Hashcat rád pracuje. Ukážu vám také některé z metod, které rád používám k prasknutí hashe pomocí Hashcat, které se mohou vztahovat prakticky na jakýkoli hash, nejen na hashe WPA2-PSK.