i mit sidste indlæg gennemgik vi opsætning af en ekstern USB-trådløs adapter og gik gennem konfigurationstrinnene for at sætte adapteren i skærmtilstand. Vi kiggede også på standardoutputtet fra airodump-ng, og var i stand til at få en masse god information om alle adgangspunkterne omkring os, inklusive deres ESSID, BSSID, hvilken kanal de opererede på, hvilken type kryptering de bruger, og hvilken type godkendelse de bruger.
nu hvor vi har alle disse oplysninger, kan vi vælge en enkelt AP til at være vores mål med det formål at forsøge at bryde app2 pre-shared key (PSK), der er konfigureret på adgangspunktet. Når vi er i stand til at få den PSK, vil vi være i stand til at forbinde med adgangspunktet og begynde at prodding omkring det netværk, det er forbundet med.
opsætning af vores Adapter og valg af et mål
vi starter med at sætte vores usb-trådløse adapter i skærmtilstand. Hvis du ikke er sikker på, hvad der sker her, henvises til den forrige artikel.
lad os nu se, hvilke adgangspunkter der er i nærheden af os, og vælg en at målrette mod. For at gøre dette kører vi airodump-ng i sin mest grundlæggende form, idet vi kun tager en enkelt parameter – navnet på skærmgrænsefladen.
airodump-ng wlan1mon
fra denne liste vælger vi en AP, der skal målrettes mod. Vi bliver nødt til at notere BSSID, ESSID og kanal af AP. Da vi målretter mod app2-PSK i dette eksempel, skal vi vælge en AP, hvis krypteringstype er angivet som app2, og hvis AUTH-type er PSK.
optagelse af rammer til/fra den målrettede AP
når vi har disse oplysninger, kan vi bruge airodump-ng til at målrette den AP og dens tilsluttede klienter specifikt. Mens vi gør dette, vil vi også specificere yderligere parametre, som vi ikke specificerede før. Vi skal angive navnet på den kanal, som vores mål AP kører på med-C –kontakten, navnet på BSSID med-bssid-kontakten og navnet på en outputfil med-V-kontakten.
outputfilen indeholder alle de optagne rammer, som vores trådløse skærmtilstandsadapter er i stand til at fange. Det, vi ønsker at fange specifikt, er et apa2-PSK-godkendelseshåndtryk mellem en klient og AP. Det håndtryk indeholder en hashed version af den foruddelte nøgle, som vi vil være bruit-tvinge senere.
i dette eksempel bruger jeg de værdier, der kom fra mit mål AP (med BSSID lidt forvirret af privatlivets fred). Du bruger dine egne værdier, opnået fra vores tidligere airodump-ng-session til at erstatte min. Du behøver ikke at angive en udvidelse til din outputfil, da der automatisk oprettes flere, hver med en passende udvidelse.
airodump-ng -c 1 --bssid 00:15:FF:EE:EE:EE -w capture wlan1mon
du vil bemærke, at denne airodump-ng-udgang ligner den sidste udgang, kun listen over APs er ikke befolket med mere end blot den, vi har angivet. Kanalfeltet i øverste venstre hjørne jager heller ikke, da vi specificerede kanalen på kommandolinjen. airodump-ng fanger nu kun pakke til den AP, vi specificerede, på den kanal, vi specificerede. I bunden af terminalen skal listen over tilsluttede klienter begynde at udfylde.
denne proces kan tage lidt længere tid at køre, især hvis der ikke er mange klienter forbundet med AP. For at dette skal fungere, har vi brug for mindst en tilsluttet klient, der taler til AP, men jo flere klienter der er forbundet samtidigt, jo lettere bliver det at fange et apa2-PSK-godkendelseshåndtryk.
fremskynde optagelsen med et Deauthenticationsangreb
hvis din trådløse adapter understøtter pakkeinjektion, kan vi fremskynde denne proces ved hjælp af aireplay-ng-værktøjet. Vi kan gøre dette ved at åbne en ny skal, da vi ønsker at holde airodump kørende / fange i baggrunden og bruge følgende kontekst.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE wlan1mon
-0-kontakten fortæller aireplay-ng, hvor mange deauthentication (deauth) – pakker, der skal sendes “fra AP.”I teorien, hvad der skal ske, er, at alle klienter, der er forbundet med AP, skal modtage disse DeAuth-udsendelser, deauthenticere fra AP og derefter automatisk authenticere til AP, når DeAuth-udsendelsen stopper. I dette eksempel sender vi 10, hvilket skal være nok til at tvinge et håndtryk til at ske ved genautentisering i betragtning af antallet af klienter, der er forbundet med denne AP.
– a-kontakten specificerer ESSID for AP, og den endelige mulighed er bare navnet på vores skærmtilstandsgrænseflade.
efter at jeg har kørt DeAuth-angrebet, skal du bemærke noget, som vi ikke så før. I øverste højre hjørne af airodump-vinduet kan vi nu se, at der blev fanget et apa-håndtryk. (Rul op til det sidste billede for at se, at det ikke var der før). Da vi fangede vores outputfil hele tiden, skulle filen nu indeholde en optagelse af apa2-PSK-håndtrykket.
hvis du ikke kan fange et håndtryk med det samme, kan det være en god ide at vente et par minutter og prøve aireplay-angrebet igen. Det kan også være en god ide at være opmærksom på advarslen, som aireplay gav os, efter at jeg kørte kommandoen og udførte et målrettet angreb. I stedet for at sende udsendelser til alle tilsluttede klienter, dirigerer vi et deauthenticationsangreb mod en enkelt tilsluttet klient. Syntaksen for det er som følger.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE -c E0:46:9A:11:22:33 wlan1mon
et rettet angreb er stort set den samme kommando, men har-C-kontakten tilføjet og angiver MAC-adressen på den trådløse klient, som vi forsøger at deauth.
Frame Capture File Information
nu hvor vi har fanget et apa2-PSK-håndtryk, kan du stoppe airodump-sessionen ved at trykke på CTRL+C. Der vil nu være flere filer relateret til optagelsen i din hjemmekatalog. Den, vi er mest optaget af, er .cap-fil, der svarer til den optagelse, vi tog ovenfor. Jeg brugte kontakten til at kalde min capture output” capturefile”, så den fil, jeg er bekymret for, er capturefile-01.landbrugspolitik.
nu hvor vi har den fil, vi har brug for, kan vi tage den offline for at knække. Der er ingen grund til at forblive i nærheden af AP, som du målretter mod, hvis du ikke vil. Selvfølgelig, hvis dette er i et laboratoriemiljø, betyder det ikke noget, men i den virkelige verden kan det. Vi kommer tilbage, når vi (forhåbentlig) har brudt den foruddelte nøgle.
ud over bekvemmeligheden ved ikke at skulle hænge rundt om dit mål, mens deres hash bliver revnet (hvilket kan tage lang tid), findes der en anden bekvemmelighed i den virkelige verden, idet cracking hashes ved hjælp af CPU-strøm alene er en langsom og næsten meningsløs proces. Realistisk vil du tage capture-filen tilbage til en maskine, der kører en eller flere GPU ‘er, og bruge disse GPU’ er til at knække nøglen med et værktøj, der understøtter GPU-krakning, som Hashcat.
hvis du ikke tror, at en GPU ville gøre en stor forskel over en hurtig CPU, Bemærk denne virkelige undersøgelse, som jeg gjorde lige forleden. I et forsøg på at knække en apa2-PSK-nøgle brugte jeg en kommando, der ville køre hvert telefonnummer i en områdekode mod en fanget fil (mange brugere bruger et 10-cifret telefonnummer som apa2-nøgle). At vide, hvilken områdekode jeg skulle bruge, efterlod 10.000.000 muligheder. En Intel Core i5-7400 kører på 3.0 GH tog 8 timer og 14 minutter at fuldføre denne operation. En GeForce 1070 gjorde det samme på 52 sekunder.
i det næste indlæg viser jeg dig, hvordan du konverterer din .cap fil til en .fil, som er det format, Hashcat kan lide at arbejde med. Jeg vil også vise dig nogle af de metoder, som jeg kan lide at bruge til at knække hashes ved hjælp af Hashcat, som kan gælde for stort set enhver hash, ikke kun apa2-PSK hashes.
