in mijn laatste bericht gingen we door het opzetten van een externe USB Wi-Fi adapter en gingen door de configuratie stappen om de adapter in monitor mode te zetten. We keken ook naar de standaarduitvoer van airodump-ng, en konden een hoop goede informatie verkrijgen over alle toegangspunten om ons heen, inclusief hun ESSID, BSSID, op welk kanaal ze werkten, op welk type encryptie ze gebruiken, en wat voor soort authenticatie ze gebruiken.
nu we al die informatie hebben, kunnen we een enkele AP kiezen die ons doel is om te proberen de WPA2 pre-shared key (PSK) te breken die is geconfigureerd op het toegangspunt. Zodra we in staat zijn om die PSK te verkrijgen, zullen we in staat zijn om te associëren met het access point en beginnen prikken rond welk netwerk Het is aangesloten op.
onze Adapter instellen en een doel kiezen
we beginnen met onze USB Wi-Fi-adapter in monitormodus te zetten. Als u niet zeker weet wat er hier gebeurt, raadpleeg dan het vorige artikel.
laten we nu eens kijken welke toegangspunten in de buurt van ons zijn, en kies er een om te richten. Om dit te doen, draaien we airodump-ng in zijn meest basale vorm, met slechts één parameter – de naam van de monitor interface.
airodump-ng wlan1mon
uit deze lijst kiezen we een doelwit. We moeten de BSSID, ESSID en het kanaal van de AP noteren. Aangezien we ons in dit voorbeeld richten op WPA2-PSK, moeten we een AP kiezen waarvan het coderingstype wordt vermeld als WPA2 en waarvan het AUTH-type PSK is.
Frames vastleggen van / naar de beoogde AP
zodra we die informatie hebben, kunnen we airodump-ng gebruiken om die AP en zijn verbonden clients specifiek te targeten. Terwijl we dit doen, gaan we ook extra parameters specificeren die we eerder niet hebben gespecificeerd. We gaan de naam specificeren van het kanaal waarop ons doel AP draait met de-c schakelaar, de naam van de BSSID met de –bssid schakelaar, en de naam van een uitvoerbestand met de-w schakelaar.
het uitvoerbestand bevat alle vastgelegde frames die onze monitor mode draadloze adapter kan vastleggen. Wat we specifiek willen vastleggen is een WPA2-PSK authenticatie handshake tussen een client en de AP. Die handdruk bevat een gehashte versie van de vooraf gedeelde sleutel, die we later zullen gebruiken.
in dit voorbeeld gebruik ik de waarden die van mijn target AP kwamen (met de BSSID enigszins verduisterd om privacyredenen). Je gebruikt je eigen waarden, verkregen uit onze vorige airodump-ng sessie om de mijne te vervangen. U hoeft geen extensie voor uw uitvoerbestand op te geven, omdat er automatisch meerdere zullen worden aangemaakt, elk met een geschikte extensie.
airodump-ng -c 1 --bssid 00:15:FF:EE:EE:EE -w capture wlan1mon
u zult merken dat deze airodump-ng uitvoer lijkt op de laatste uitvoer, alleen de lijst van APs is niet gevuld met meer dan alleen degene die we hebben opgegeven. Ook, het kanaal veld in de linkerbovenhoek is niet jagen, omdat we opgegeven het kanaal op de opdrachtregel. airodump-ng is nu alleen packet aan het vastleggen voor de AP die we hebben opgegeven, op het kanaal dat we hebben opgegeven. Onderaan de terminal moet de lijst met verbonden clients beginnen te vullen.
dit proces kan wat langer duren, vooral als er niet veel clients verbonden zijn met de AP. Om dit te laten werken, hebben we ten minste één verbonden client nodig die met de AP praat, maar hoe meer clients die tegelijkertijd verbonden zijn, hoe gemakkelijker het is om een WPA2-PSK authenticatie handshake vast te leggen.
het vastleggen versnellen met een Deauthenticatieaanval
als uw draadloze adapter packet injection ondersteunt, kunnen we dit proces versnellen met behulp van het aireplay-ng hulpprogramma. We kunnen dit doen door een nieuwe shell te openen, omdat we airodump op de achtergrond willen laten draaien / vastleggen, en de volgende context gebruiken.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE wlan1mon
de -0 switch vertelt de aireplay-ng hoeveel deauthentication (deauth) pakketten uitgezonden moeten worden vanuit de AP.”In theorie, wat er moet gebeuren, is dat alle klanten aangesloten op de AP moet deze deauth uitzendingen ontvangen, deauthenticate van de AP, en dan automatisch opnieuw authenticate naar de AP zodra de deauth uitzending stopt. In dit voorbeeld sturen we 10, wat genoeg zou moeten zijn om een handshake te laten gebeuren bij reauthenticatie, gezien het aantal clients dat verbonden is met deze AP.
de-a switch specificeert de ESSID van de AP, en de laatste optie is alleen de naam van onze monitor mode interface.
nadat ik de deauth aanval heb uitgevoerd, merk je iets op dat we nog niet eerder hebben gezien. In de rechterbovenhoek van het airodump venster, kunnen we nu zien dat een WPA handshake werd gevangen. (Scroll naar de laatste afbeelding om te zien dat het er eerder niet was). Omdat we de hele tijd bezig waren met het vastleggen van ons uitvoerbestand, zou dat bestand nu een opname van de WPA2-PSK handshake moeten bevatten.
als u niet in staat bent om een handshake meteen vast te leggen, is het misschien een goed idee om een paar minuten te wachten en de aireplay-aanval opnieuw te proberen. Het kan ook een goed idee zijn om de waarschuwing die aireplay gaf ons na het uitvoeren van het commando en het uitvoeren van een gerichte aanval. In plaats van het verzenden van uitzendingen naar alle aangesloten klanten, zullen we een deauthentication aanval op een enkele aangesloten client. De syntaxis hiervoor is als volgt.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE -c E0:46:9A:11:22:33 wlan1mon
een gerichte aanval is in principe hetzelfde commando, maar heeft de-c switch toegevoegd en specificeert het MAC adres van de draadloze client die we proberen te deauth.
Frame Capture File Information
nu we een WPA2-PSK handshake hebben vastgelegd, kunt u de airodump sessie stoppen door op CTRL+C. te drukken.er zullen nu verschillende bestanden gerelateerd zijn aan de capture in uw persoonlijke map. Waar we ons het meest zorgen over maken is de .cap-bestand dat overeenkomt met de opname die we hierboven namen. Ik gebruikte de-w schakelaar om mijn capture output “capturefile” te noemen, dus het bestand waar ik me zorgen over maak is capturefile-01.GLB.
nu we het bestand hebben dat we nodig hebben, kunnen we het offline gebruiken om te kraken. Er is geen reden om in de buurt van de AP te blijven als je dat niet wilt. Het is duidelijk dat als dit in een lab omgeving is het niet uitmaakt, maar in de echte wereld, kan het. We komen terug nadat we (hopelijk) de vooraf gedeelde sleutel hebben gebroken.
naast het gemak om niet rond je doel te hoeven hangen terwijl hun hash wordt gekraakt (wat lang kan duren), bestaat er nog een echt gemak in dat het kraken van hashes met alleen CPU-stroom een langzaam en bijna zinloos proces is. Realistisch, je zou het capture bestand terug te nemen naar een machine met een of meer GPU ‘s, en gebruik maken van die GPU’ s om de sleutel te kraken met een hulpprogramma dat GPU kraken ondersteunt, zoals Hashcat.
als je niet denkt dat een GPU een groot verschil zou maken ten opzichte van een snelle CPU, noteer dan deze real-world studie die ik onlangs deed. In een poging om een WPA2-PSK-sleutel te kraken, ik gebruikte een commando dat elk telefoonnummer in een netnummer zou draaien tegen een gevangen bestand (veel gebruikers gebruiken een 10-cijferige telefoonnummer als een WPA2-sleutel). Wetende welk netnummer ik ging gebruiken, liet dat 10.000.000 mogelijkheden over. Een Intel Core i5-7400 draait op 3.0 GHz duurde 8 uur en 14 minuten om die operatie te voltooien. Een GeForce GTX 1070 deed hetzelfde in 52 seconden.
in het volgende bericht zal ik u laten zien hoe u uw .cap bestand naar een .hccapx bestand, dat is het formaat dat Hashcat graag om mee te werken. Ik zal u ook een aantal van de methoden die ik graag gebruiken om hashes kraken met behulp van Hashcat, die kan worden toegepast op vrijwel elke hash, niet alleen WPA2-PSK hashes.
