私の最後の記事では、外付けUSB Wi-Fiアダプタの設定を経て、アダプタをモニタモードにするための設定手順を経ました。 また、airodump-ngの標準出力を見て、ESSID、BSSID、動作しているチャネル、使用している暗号化の種類、使用している認証の種類など、私たちの周りのすべてのアクセスポイこれですべての情報が得られたので、アクセスポイントで設定されているWPA2pre-shared key(PSK)を解除しようとする目的で、1つのAPをターゲットに選択できま そのPSKを取得できるようになったら、アクセスポイントに関連付けて、接続されているネットワークの周りを突進し始めることができます。
アダプタをセットアップし、ターゲットを選択する
まず、USB Wi-Fiアダプタをモニターモードにすることから始めます。 ここで何が起こっているのかわからない場合は、前の記事を参照してください。
今、私たちの近くにあるアクセスポイントを見て、ターゲットにするものを選択してみましょう。 これを行うには、airodump-ngを最も基本的な形式で実行し、単一のパラメータ、つまりモニターインターフェイスの名前のみを取ります。
airodump-ng wlan1mon
このリストから、対象とするAPを選択します。 APのbssid、ESSID、およびチャネルに注意する必要があります。 この例ではWPA2-PSKを対象としているため、暗号化タイプがWPA2としてリストされ、認証タイプがPSKであるAPを選択する必要があります。
対象となるAPとの間のフレームのキャプチャ
その情報が得られれば、airodump-ngを使用してそのAPとその接続されたクライアントを具体的にターゲッ これを行う間、我々はまた、我々は前に指定していなかった追加のパラメータを指定するつもりです。 ターゲットAPが実行しているチャネルの名前を-cスイッチで指定し、BSSIDの名前を–bssidスイッチで指定し、出力ファイルの名前を-wスイッチで指定します。
出力ファイルには、モニターモードワイヤレスアダプタがキャプチャできるキャプチャされたすべてのフレームが含まれます。 具体的にキャプチャしようとしているのは、クライアントとAPの間のWPA2-PSK認証ハンドシェイクです。 そのハンドシェイクには、事前共有キーのハッシュ化されたバージョンが含まれています。この例では、ターゲットAPからの値を使用しています(プライバシー上の理由からBSSIDがわずかに難読化されています)。 以前のairodump-ngセッションから取得した独自の値を使用して、mineを置き換えます。 それぞれが適切な拡張子を持つ複数のファイルが自動的に作成されるため、出力ファイルの拡張子を指定する必要はありません。
airodump-ng -c 1 --bssid 00:15:FF:EE:EE:EE -w capture wlan1mon
このairodump-ng出力は最後の出力と似ていますが、Apのリストだけが指定したもの以上のものを入力していないことに気付くでしょう。 また、コマンドラインでチャネルを指定したため、左上隅のチャネルフィールドは狩りではありません。 airodump-ngは、指定したチャネル上で、指定したAPのパケットのみをキャプチャしています。 端末の下部で、接続されているクライアントのリストが入力され始めるはずです。
このプロセスは、特にAPに接続されているクライアントが多くない場合、実行に少し時間がかかる可能性があります。 これが機能するためには、少なくとも1つの接続されたクライアントがAPと通信している必要がありますが、同時に接続されているクライアントが多ければ多いほど、WPA2-PSK認証ハンドシェイクをキャプチャするのが簡単になります。
認証解除攻撃によるキャプチャの高速化
ワイヤレスアダプタがパケットインジェクションをサポートしている場合、aireplay-ngユーティリティを使用してこのプロセスを高速化することができます。 Airodumpをバックグラウンドで実行/キャプチャし、次のコンテキストを使用し続けるため、新しいシェルを開くことでこれを行うことができます。
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE wlan1mon
-0スイッチは、APからブロードキャストするdeauthentication(deauth)パケットの数をaireplay-ngに通知します。”理論的には、APに接続されているすべてのクライアントがこれらのdeauthブロードキャストを受信し、APから認証を解除し、deauthブロードキャストが停止すると自動的にAPに再認証する必要があるということです。 この例では、このAPに接続されているクライアントの数を考えると、再認証時にハンドシェイクを強制的に実行するのに十分な10を送信します。
-aスイッチはAPのESSIDを指定し、最後のオプションはモニターモードインターフェイスの名前だけです。
deauth攻撃を実行した後、以前に見たことのないものに気づきます。 Airodumpウィンドウの右上隅に、WPAハンドシェイクがキャプチャされたことがわかります。 (それは前にそこになかったことを確認するために最後の画像までスクロールします)。 私たちはこの全体の時間を私たちの出力ファイルにキャプチャしていたので、そのファイルは今WPA2-PSKハンドシェイクのキャプチャが含まれてい
すぐにハンドシェイクをキャプチャできない場合は、数分待ってから、もう一度aireplay攻撃を試みることをお勧めします。 また、コマンドを実行して標的型攻撃を実行した後、aireplayが私たちに与えた警告に注意することをお勧めします。 接続されているすべてのクライアントにブロードキャストを送信するのではなく、接続されている単一のクライアントで認証解除攻撃を そのための構文は次のとおりです。
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE -c E0:46:9A:11:22:33 wlan1mon
指向攻撃は基本的に同じコマンドですが、-cスイッチが追加され、deauthしようとしているワイヤレスクライアントのMACアドレスを指定します。
フレームキャプチャファイル情報
WPA2-PSKハンドシェイクをキャプチャしたので、CTRL+Cを押してairodumpセッションを停止できます。 私たちが最も懸念しているのは、です。上記で取得したキャプチャに対応するcapファイル。 キャプチャ出力を”capturefile”と呼ぶために-wスイッチを使用したので、関係するファイルはcapturefile-01です。キャップ
必要なファイルができたので、オフラインでクラックすることができます。 あなたがしたくない場合は、ターゲットとしているAPの近くに滞在する理由はありません。 明らかに、これがラボ環境であれば問題ではありませんが、現実の世界では可能性があります。 私たちは(うまくいけば)事前共有キーを壊した後に戻ってくるでしょう。
ハッシュがクラックされている間にターゲットの周りにハングアップする必要がないという利便性に加えて(長い時間がかかる可能性があります)、CPUパワーだけを使用してハッシュをクラッキングすることは遅く、ほとんど無意味なプロセスであるという現実世界の利便性が存在します。 現実的には、キャプチャファイルを1つ以上のGpuを実行しているマシンに戻し、それらのGpuを使用して、HASHCATのようなGPUクラッキングをサポートするユーテGPUが高速CPUよりも大きな違いを生むとは思わない場合は、先日私が行ったこの現実世界の研究に注意してください。 WPA2-PSKキーを解読しようとすると、キャプチャされたファイルに対して市外局番のすべての電話番号を実行するコマンドを使用しました(多くのユー 私が使用しようとしていた市外局番を知って、それは10,000,000の可能性を残しました。 3.0GHzで実行されているIntel Core i5-7400は、その動作を完了するのに8時間14分かかりました。 GeForce GTX1070は52秒で同じことをしました。
次の投稿では、あなたの変換方法を紹介します。capファイルをaに変換します。hccapxファイルは、Hashcatが動作するのが好きな形式です。 また、HASHCATを使用してハッシュをクラックするために使用したい方法のいくつかを紹介します。
