Az én utolsó post mentünk keresztül beállítása egy külső USB Wi-Fi adapter és ment keresztül a konfigurációs lépéseket, hogy az adapter monitor módba. Megvizsgáltuk az airodump-ng szabványos kimenetét is, és rengeteg jó információt tudtunk szerezni a körülöttünk lévő összes hozzáférési pontról, beleértve az ESSID-t, a BSSID-t, azt, hogy milyen csatornán működnek, milyen típusú titkosítást használnak, és milyen típusú hitelesítést használnak.
most, hogy megvan az összes információ, kiválaszthatunk egyetlen AP-t, hogy célpontunk legyen a hozzáférési ponton konfigurált WPA2 pre-shared key (PSK) megtörésére. Amint képesek vagyunk megszerezni a PSK-t, képesek leszünk társítani a hozzáférési pontot, és elkezdjük keresni a hálózatot, amelyhez csatlakozik.
az Adapter beállítása és a cél kiválasztása
azzal kezdjük, hogy az USB Wi-Fi adaptert monitor módba állítjuk. Ha nem biztos benne, hogy mi történik itt, kérjük, olvassa el az előző cikket.
most nézzük meg, milyen hozzáférési pontok vannak a közelünkben, és válasszon egyet a célhoz. Ehhez az airodump-ng – t a legalapvetőbb formában futtatjuk, csak egyetlen paramétert-a monitor interfészének nevét.
airodump-ng wlan1mon
ebből a listából kiválasztunk egy AP-t a célhoz. Meg kell jegyeznünk az AP BSSID, ESSID és csatornáját. Mivel ebben a példában a WPA2-PSK-t célozzuk meg, olyan AP-t kell választanunk, amelynek titkosítási típusa WPA2, és amelynek AUTH típusa PSK.
képkockák rögzítése a megcélzott AP-hez
amint megvan ez az információ, képesek leszünk az airodump-ng segítségével kifejezetten megcélozni az AP-t és a csatlakoztatott klienseit. Ennek során további paramétereket is megadunk, amelyeket korábban nem adtunk meg. Megadjuk annak a csatornának a nevét, amelyen a cél AP fut a-c kapcsolóval, a BSSID nevét a –bssid kapcsolóval, valamint a kimeneti fájl nevét a-w kapcsolóval.
a kimeneti fájl tartalmazza az összes rögzített képkockát, amelyet a monitor módú vezeték nélküli adapterünk képes rögzíteni. Amit kifejezetten meg akarunk ragadni, az egy WPA2-PSK hitelesítési kézfogás az ügyfél és az AP között. Ez a kézfogás tartalmazza az előre megosztott kulcs kivonatolt változatát,amelyet később kényszerítünk.
ebben a példában a cél AP-ből származó értékeket használom (a BSSID-t adatvédelmi okokból kissé elhomályosították). Majd használja a saját értékeit, nyert az előző airodump-ng ülés helyett az enyém. Nem kell megadnia a kimeneti fájl kiterjesztését, mivel több, egyenként megfelelő kiterjesztéssel, automatikusan létrejön.
airodump-ng -c 1 --bssid 00:15:FF:EE:EE:EE -w capture wlan1mon
észre fogja venni, hogy ez az airodump-ng kimenet hasonló az utolsó kimenethez, csak az AP-k listája nem tölt be többet, mint amit megadtunk. Ezenkívül a bal felső sarokban lévő csatorna mező nem vadászik, mivel a csatornát a parancssorban adtuk meg. airodump-ng most csak elfog csomag az AP mi megadott, a csatornán mi megadott. A terminál alján el kell kezdeni a csatlakoztatott ügyfelek listáját.
ennek a folyamatnak a futtatása egy kicsit tovább tarthat, különösen, ha nincs sok kliens csatlakoztatva az AP-hez. Ahhoz, hogy ez működjön, szükségünk van legalább egy csatlakoztatott kliensre, aki beszél az AP-vel, de minél több kliens csatlakozik egyszerre, annál könnyebb lesz egy WPA2-PSK hitelesítési kézfogás rögzítése.
a rögzítés felgyorsítása Deauthentication Attack segítségével
ha a vezeték nélküli adapter támogatja a csomaginjekciót, felgyorsíthatjuk ezt a folyamatot az aireplay-ng segédprogram segítségével. Ezt megtehetjük egy új shell megnyitásával, mivel az airodump futtatását / rögzítését a háttérben szeretnénk tartani, a következő kontextus használatával.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE wlan1mon
a -0 kapcsoló megmondja az aireplay-ng-nek, hogy hány deauth (deauth) csomagot kell sugározni “az AP-től.”Elméletileg az kell történnie, hogy az AP-hez csatlakozó összes ügyfélnek meg kell kapnia ezeket a deauth-adásokat, hitelesítenie kell az AP-től, majd automatikusan újra hitelesítenie kell az AP-t, amint a deauth-adás leáll. Ebben a példában 10-et küldünk, amelynek elegendőnek kell lennie ahhoz, hogy egy kézfogás megtörténjen az újbóli hitelesítéskor, tekintettel az ehhez az AP-hez csatlakoztatott ügyfelek számára.
a-a kapcsoló megadja az AP ESSID-jét, a végső opció pedig csak a monitor mód interfészünk neve.
miután lefuttattam a deauth támadást, észreveszel valamit, amit korábban nem láttunk. Az airodump ablak jobb felső sarkában most láthatjuk, hogy egy WPA kézfogást rögzítettek. (Görgessen az utolsó képig, hogy lássa, hogy korábban nem volt ott). Mivel egész idő alatt rögzítettük a kimeneti fájlunkat, ennek a fájlnak most tartalmaznia kell a WPA2-PSK kézfogás rögzítését.
ha nem tudsz azonnal kézfogást rögzíteni, érdemes várni néhány percet, és újra megkísérelni az aireplay támadást. Az is jó ötlet lehet, ha figyelembe vesszük a figyelmeztetést, amelyet az aireplay adott nekünk a parancs futtatása után, és célzott támadást hajtunk végre. Ahelyett, hogy adásokat küldenénk az összes csatlakoztatott ügyfélnek, egy deauthentication támadást irányítunk egyetlen csatlakoztatott ügyfél ellen. Ennek szintaxisa a következő.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE -c E0:46:9A:11:22:33 wlan1mon
az irányított támadás alapvetően ugyanaz a parancs, de hozzá van adva a-c kapcsoló, és megadja a vezeték nélküli kliens MAC-címét, amelyet megpróbálunk deauthelni.
Frame Capture File Information
most, hogy rögzítettünk egy WPA2-PSK kézfogást, a CTRL+C megnyomásával leállíthatja az airodump munkamenetet. Az egyik mi leginkább érintett az .cap fájl, amely megfelel a fenti rögzítésnek. A-w kapcsolóval hívtam a rögzítési kimenetet “capturefile” -nek, tehát az a fájl, amellyel foglalkozom, a capturefile-01.cap.
most, hogy megvan a szükséges fájl, offline állapotba hozhatjuk a feltöréshez. Nincs ok arra, hogy a megcélzott AP közelében maradjon, ha nem akarja. Nyilvánvaló, hogy ha ez laboratóriumi környezetben van, akkor nem számít, de a való világban, lehet. Visszatérünk, miután (remélhetőleg) megtörtük az előre megosztott kulcsot.
azon kényelem mellett, hogy nem kell a célpont körül lógnia, miközben a hash-ját feltörik (ami hosszú időt vehet igénybe), egy másik valós kényelem létezik abban, hogy a hash-ok feltörése csak a CPU teljesítményével lassú és szinte értelmetlen folyamat. Reálisan, akkor fog a capture fájlt vissza a gép fut egy vagy több GPU, és használja azokat GPU feltörni a kulcsot egy segédprogram, amely támogatja a GPU repedés, mint a Hashcat.
ha nem gondolja, hogy a GPU nagy különbséget jelentene egy gyors CPU-val szemben, vegye figyelembe ezt a valós tanulmányt, amelyet éppen a minap készítettem. A WPA2-PSK kulcs feltörésére egy olyan parancsot használtam, amely a körzetszám minden telefonszámát futtatja egy rögzített fájl ellen (sok felhasználó 10 számjegyű telefonszámot használ WPA2 kulcsként). Tudva, hogy milyen körzetszámot fogok használni, ez 10 000 000 lehetőséget hagyott. Az Intel Core i5-7400 3,0 GHz-en futó 8 óra 14 percet vett igénybe a művelet befejezéséhez. A GeForce GTX 1070 ugyanezt tette 52 másodperc alatt.
a következő bejegyzésben megmutatom, hogyan kell átalakítani a .cap fájlt egy .hccapx fájl, amely az a formátum, amellyel a Hashcat szeret dolgozni. Megmutatom azokat a módszereket is, amelyeket szeretek hash-ek feltörésére használni a Hashcat használatával, amelyek gyakorlatilag bármilyen hash-ra alkalmazhatók, nem csak a WPA2-PSK hash-okra.