Nel mio ultimo post abbiamo seguito la creazione di un adattatore Wi-Fi USB esterno e abbiamo seguito le fasi di configurazione per mettere l’adattatore in modalità monitor. Abbiamo anche esaminato lo standard output di airodump-ng e siamo stati in grado di ottenere un sacco di buone informazioni su tutti i punti di accesso intorno a noi, incluso il loro ESSID, BSSID, su quale canale stavano operando, che tipo di crittografia stanno usando e che tipo di autenticazione stanno usando.
Ora che abbiamo tutte queste informazioni, possiamo scegliere un singolo AP per essere il nostro obiettivo allo scopo di provare a rompere la chiave pre-condivisa WPA2 (PSK) configurata sul punto di accesso. Una volta che saremo in grado di ottenere quel PSK, saremo in grado di associarci al punto di accesso e iniziare a spronare qualsiasi rete a cui è connesso.
Impostazione del nostro adattatore e scelta di un target
Inizieremo mettendo il nostro adattatore Wi-Fi USB in modalità monitor. Se non siete sicuri di cosa sta succedendo qui, si prega di fare riferimento al precedente articolo.
Ora vediamo quali punti di accesso sono vicino a noi, e scegliere uno di destinazione. Per fare ciò, eseguiremo airodump-ng nella sua forma più elementare, prendendo solo un singolo parametro: il nome dell’interfaccia del monitor.
airodump-ng wlan1mon
Da questo elenco, sceglieremo un AP da indirizzare. Dovremo notare il BSSID, ESSID e il canale dell’AP. Dal momento che stiamo prendendo di mira WPA2-PSK in questo esempio, dovremo scegliere un AP il cui tipo di crittografia è elencato come WPA2 e il cui tipo di autenticazione è PSK.
Cattura dei frame da/verso l’AP di destinazione
Una volta che avremo queste informazioni, saremo in grado di utilizzare airodump-ng per indirizzare specificamente quell’AP e i suoi client connessi. Mentre si fa questo, stiamo anche andando a specificare parametri aggiuntivi che non abbiamo specificato prima. Specificheremo il nome del canale su cui è in esecuzione il nostro AP di destinazione con l’interruttore-c, il nome del BSSID con l’interruttore –bssid e il nome di un file di output con l’interruttore-w.
Il file di output conterrà tutti i fotogrammi catturati che il nostro adattatore wireless modalità monitor è in grado di catturare. Quello che stiamo cercando di catturare specificamente è una stretta di mano di autenticazione WPA2-PSK tra un client e l’AP. Quell’handshake contiene una versione con hash della chiave pre-condivisa,che forzeremo in seguito.
In questo esempio sto usando i valori provenienti dal mio AP di destinazione (con il BSSID leggermente offuscato per motivi di privacy). Userai i tuoi valori, ottenuti dalla nostra precedente sessione airodump-ng per sostituire i miei. Non è necessario specificare un’estensione per il file di output, poiché ne verranno creati diversi, ognuno con un’estensione appropriata, automaticamente.
airodump-ng -c 1 --bssid 00:15:FF:EE:EE:EE -w capture wlan1mon
Noterai che questo output di airodump-ng è simile all’ultimo output, solo l’elenco di AP non sta compilando più di quello specificato. Inoltre, il campo canale nell’angolo in alto a sinistra non è caccia, dal momento che abbiamo specificato il canale sulla riga di comando. airodump – ng ora sta catturando solo il pacchetto per l’AP che abbiamo specificato, sul canale che abbiamo specificato. Nella parte inferiore del terminale, l’elenco dei client connessi dovrebbe iniziare a popolare.
Questo processo potrebbe richiedere un po ‘ più tempo per essere eseguito, specialmente se non ci sono molti client connessi all’AP. Affinché questo funzioni, abbiamo bisogno di almeno un client connesso che sta parlando con l’AP, ma più client sono connessi contemporaneamente più facile sarà catturare un handshake di autenticazione WPA2-PSK.
Accelerare la cattura con un attacco di deautenticazione
Se l’adattatore wireless supporta l’iniezione di pacchetti, possiamo accelerare questo processo utilizzando l’utilità aireplay-ng. Possiamo farlo aprendo una nuova shell, poiché vogliamo mantenere airodump in esecuzione / cattura in background e utilizzando il seguente contesto.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE wlan1mon
L’interruttore -0 indica all’aireplay-ng quanti pacchetti di deauthentication (deauth) trasmettere “dall’AP.”In teoria, ciò che dovrebbe accadere, è che tutti i client connessi all’AP dovrebbero ricevere queste trasmissioni deauth, deauthenticate dall’AP e quindi automaticamente reauthenticate all’AP una volta che la trasmissione deauth si arresta. In questo esempio, invieremo 10, che dovrebbe essere sufficiente per forzare una stretta di mano al momento della riautenticazione, dato il numero di client connessi a questo AP.
L’interruttore-a specifica l’ESSID dell’AP e l’opzione finale è solo il nome della nostra interfaccia della modalità monitor.
Dopo aver eseguito l’attacco deauth, notare qualcosa che non abbiamo visto prima. Nell’angolo in alto a destra della finestra airodump, ora possiamo vedere che è stata catturata una stretta di mano WPA. (Scorri fino all’ultima immagine per vedere che non c’era prima). Dal momento che stavamo catturando il nostro file di output per tutto questo tempo, quel file dovrebbe ora contenere una cattura della stretta di mano WPA2-PSK.
Se non riesci a catturare subito una stretta di mano, potrebbe essere una buona idea aspettare qualche minuto e tentare di nuovo l’attacco aireplay. Potrebbe anche essere una buona idea prestare attenzione all’avvertimento che aireplay ci ha dato dopo aver eseguito il comando ed eseguito un attacco mirato. Invece di inviare trasmissioni a tutti i client connessi, dirigeremo un attacco di deautenticazione su un singolo client connesso. La sintassi per questo è la seguente.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE -c E0:46:9A:11:22:33 wlan1mon
Un attacco diretto è fondamentalmente lo stesso comando, ma ha aggiunto l’interruttore-c e specifica l’indirizzo MAC del client wireless che stiamo tentando di deauth.
Frame Capture File Information
Ora che abbiamo catturato una stretta di mano WPA2-PSK, puoi interrompere la sessione airodump premendo CTRL+C. Ora ci saranno diversi file relativi alla cattura nella tua home directory. Quello che ci interessa di più è il .file cap che corrisponde alla cattura abbiamo preso sopra. Ho usato l’interruttore-w per chiamare il mio output di acquisizione “capturefile”, quindi il file di cui mi occupo è capturefile-01.tappo.
Ora che abbiamo il file di cui abbiamo bisogno, possiamo portarlo offline per crackare. Non c’è motivo di rimanere nelle vicinanze dell’AP che stai prendendo di mira se non vuoi. Ovviamente se questo è in un ambiente di laboratorio non importa,ma nel mondo reale, può. Torneremo dopo che (si spera) abbiamo rotto la chiave pre-condivisa.
Oltre alla comodità di non dover aggirare il bersaglio mentre il loro hash viene incrinato (che può richiedere molto tempo), esiste un’altra convenienza del mondo reale in quanto gli hash cracking che utilizzano la sola potenza della CPU sono un processo lento e quasi inutile. Realisticamente, si dovrebbe prendere il file di acquisizione di nuovo a una macchina che esegue una o più GPU, e utilizzare quelle GPU per rompere la chiave con un programma di utilità che supporta GPU cracking, come Hashcat.
Se non pensi che una GPU farebbe una grande differenza rispetto a una CPU veloce, nota questo studio del mondo reale che ho fatto solo l’altro giorno. Nel tentativo di decifrare una chiave WPA2-PSK, ho usato un comando che eseguiva ogni numero di telefono in un prefisso contro un file catturato (molti utenti usano un numero di telefono a 10 cifre come chiave WPA2). Sapere quale prefisso avrei usato, ha lasciato 10.000.000 di possibilità. Un Intel Core i5-7400 in esecuzione a 3.0 GHz ha richiesto 8 ore e 14 minuti per completare tale operazione. Una GeForce GTX 1070 ha fatto lo stesso in 52 secondi.
Nel prossimo post, ti mostrerò come convertire il vostro .file cap ad un .file hccapx, che è il formato con cui Hashcat ama lavorare. Ti mostrerò anche alcuni dei metodi che mi piace usare per decifrare gli hash usando Hashcat, che possono applicarsi praticamente a qualsiasi hash, non solo agli hash WPA2-PSK.
