w moim ostatnim poście przeszliśmy konfigurację zewnętrznego adaptera Wi-Fi USB i przeszliśmy kroki konfiguracji, aby umieścić adapter w trybie monitora. Przyjrzeliśmy się również standardowemu wyjściu airodump-NG i udało nam się uzyskać wiele dobrych informacji o wszystkich punktach dostępowych wokół nas, w tym ich identyfikatorach ESSID, BSSID, na jakim kanale działają, jakiego rodzaju szyfrowania używają i jakiego rodzaju uwierzytelniania używają.
teraz, gdy mamy wszystkie te informacje, możemy wybrać pojedynczy punkt dostępu jako nasz cel w celu próby złamania klucza Pre-shared WPA2 (PSK) skonfigurowanego w punkcie dostępu. Kiedy będziemy w stanie zdobyć PSK, będziemy w stanie powiązać się z punktem dostępowym i zacząć grzebać w każdej sieci, do której jest podłączony.
Konfigurowanie naszego adaptera i Wybór celu
zaczniemy od umieszczenia naszego adaptera USB Wi-Fi w trybie monitora. Jeśli nie masz pewności, co się tu dzieje, zapoznaj się z poprzednim artykułem.
teraz zobaczmy, jakie punkty dostępowe są w pobliżu nas, i wybierz jeden cel. Aby to zrobić, uruchomimy airodump-NG w najbardziej podstawowej formie, przyjmując tylko jeden parametr-nazwę interfejsu monitora.
airodump-ng wlan1mon
z tej listy wybierzemy AP do celu. Musimy zwrócić uwagę na BSSID, ESSID i kanał AP. Ponieważ w tym przykładzie kierujemy się na WPA2-PSK, będziemy musieli wybrać AP, którego typ szyfrowania jest wymieniony jako WPA2, a którego typ AUTH to PSK.
przechwytywanie klatek do/Z docelowego punktu dostępowego
gdy uzyskamy te informacje, będziemy mogli użyć airodump-ng do kierowania tego punktu dostępowego i jego połączonych klientów. W tym celu podamy również dodatkowe parametry, których wcześniej nie określiliśmy. Podamy nazwę kanału, na którym działa nasz punkt docelowy za pomocą przełącznika – c, nazwę BSSID za pomocą przełącznika-bssid i nazwę pliku wyjściowego za pomocą przełącznika-W.
plik wyjściowy będzie zawierał wszystkie przechwycone klatki, które nasz Bezprzewodowy adapter trybu monitora jest w stanie przechwycić. To, co chcemy konkretnie uchwycić, to uścisk dłoni uwierzytelniania WPA2-PSK między Klientem a AP. Ten uścisk dłoni zawiera zaszyfrowaną wersję Pre-shared key, którą później będziemy zmuszać do bruit-forsowania.
w tym przykładzie używam wartości pochodzących z mojego docelowego punktu dostępowego (z BSSID nieco zaciemnionym ze względów prywatności). Użyjesz własnych wartości uzyskanych z naszej poprzedniej sesji airodump-Ng, aby zastąpić moje. Nie musisz określać rozszerzenia dla pliku wyjściowego, ponieważ kilka z nich zostanie utworzonych automatycznie, każdy z odpowiednim rozszerzeniem.
airodump-ng -c 1 --bssid 00:15:FF:EE:EE:EE -w capture wlan1mon
zauważysz, że to wyjście airodump-ng wygląda podobnie do ostatniego wyjścia, tylko lista punktów dostępowych nie zapełnia się czymś więcej niż tylko tym, który podaliśmy. Ponadto, pole kanału w lewym górnym rogu nie poluje, ponieważ określiliśmy kanał w wierszu poleceń. airodump-ng przechwytuje teraz tylko pakiet dla określonego przez nas AP, na określonym przez nas kanale. Na dole terminala lista podłączonych klientów powinna zacząć się wypełniać.
ten proces może potrwać nieco dłużej, zwłaszcza jeśli nie ma wielu klientów podłączonych do AP. Aby to działało, potrzebujemy co najmniej jednego połączonego klienta, który rozmawia z AP, ale im więcej klientów jest jednocześnie połączonych, tym łatwiej będzie uchwycić uścisk dłoni uwierzytelniania WPA2-PSK.
przyspieszenie przechwytywania za pomocą ataku Deauthentication
jeśli twój bezprzewodowy adapter obsługuje wstrzykiwanie pakietów, możemy przyspieszyć ten proces za pomocą narzędzia aireplay-ng. Możemy to zrobić, otwierając nową powłokę, ponieważ chcemy, aby airodump działał / przechwytywał w tle i używał następującego kontekstu.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE wlan1mon
przełącznik -0 informuje aireplay-ng, ile pakietów deauthentication (deauth) ma nadawać „z AP.”Teoretycznie powinno się zdarzyć, że wszyscy klienci podłączeni do AP powinni odbierać te transmisje deauth, deauthenticate z AP, a następnie automatycznie reauthenticate do AP po zatrzymaniu transmisji deauth. W tym przykładzie wyślemy 10, co powinno wystarczyć, aby wymusić uścisk dłoni po ponownym uwierzytelnieniu, biorąc pod uwagę liczbę klientów podłączonych do tego punktu dostępu.
przełącznik-A określa ESSID punktu AP, a ostatnią opcją jest tylko nazwa naszego interfejsu trybu monitora.
po tym, jak przeprowadzę atak deauth, zauważmy coś, czego wcześniej nie widzieliśmy. W prawym górnym rogu okna airodump możemy teraz zobaczyć, że uchwycony został uścisk dłoni WPA. (Przewiń do ostatniego obrazu, aby zobaczyć, że wcześniej go nie było). Ponieważ przez cały ten czas przechwytywaliśmy do naszego pliku wyjściowego, plik ten powinien teraz zawierać przechwycenie uścisku dłoni WPA2-PSK.
jeśli nie jesteś w stanie uchwycić uścisku dłoni od razu, dobrym pomysłem może być odczekanie kilku minut i ponowna próba ataku aireplay. Dobrym pomysłem może być również zwrócenie uwagi na Ostrzeżenie, które aireplay dał nam po tym, jak uruchomiłem komendę i przeprowadziłem ukierunkowany atak. Zamiast wysyłać transmisje do wszystkich połączonych klientów, skierujemy atak deauthentication na jednego połączonego klienta. Składnia jest następująca.
aireplay-ng -0 10 -a 00:15:FF:EE:EE:EE -c E0:46:9A:11:22:33 wlan1mon
atak kierowany jest zasadniczo tym samym poleceniem, ale ma dodany przełącznik-c i określa adres MAC klienta sieci bezprzewodowej, który próbujemy wyłączyć.
informacje o pliku przechwytywania Ramki
teraz, gdy przechwyciliśmy uścisk dłoni WPA2-PSK, możesz zatrzymać sesję airodump, naciskając CTRL+C. w Twoim katalogu domowym będzie teraz kilka plików związanych z przechwytywaniem. Najbardziej interesuje nas … plik cap, który odpowiada przechwyceniu, które zrobiliśmy powyżej. Użyłem przełącznika-w, aby wywołać moje wyjście przechwytywania „capturefile”, więc plik, którym się martwię, to capturefile-01.cap.
teraz, gdy mamy plik, którego potrzebujemy, możemy go wyłączyć, aby złamać. Nie ma powodu, aby pozostać w pobliżu punktu dostępowego, którego kierujesz, jeśli nie chcesz. Oczywiście, jeśli to jest w środowisku laboratoryjnym, to nie ma znaczenia, ale w prawdziwym świecie, może. Wrócimy po tym, jak (miejmy nadzieję) złamaliśmy wcześniej udostępniony klucz.
oprócz wygody, jaką jest brak konieczności kręcenia się wokół celu, podczas gdy jego hash jest łamany (co może zająć dużo czasu), Inna wygoda w świecie rzeczywistym istnieje, że łamanie hashów przy użyciu samej mocy procesora jest procesem powolnym i prawie bezsensownym. Realistycznie można by zabrać plik przechwytywania z powrotem do komputera z jednym lub więcej procesorami graficznymi i użyć tych procesorów do złamania klucza za pomocą narzędzia obsługującego łamanie GPU, takiego jak Hashcat.
jeśli nie uważasz, że GPU zrobiłoby dużą różnicę w stosunku do szybkiego procesora, zwróć uwagę na to prawdziwe badanie, które zrobiłem niedawno. Próbując złamać klucz WPA2-PSK, użyłem polecenia, które uruchamiałoby każdy numer telefonu w kodzie kierunkowym przeciwko przechwyconemu plikowi (wielu użytkowników używa 10-cyfrowego numeru telefonu jako klucza WPA2). Wiedząc, jakiego Kodu Kierunkowego użyję, pozostało 10,000,000 możliwości. Procesor Intel Core i5-7400 pracujący z częstotliwością 3,0 GHz trwał 8 godzin i 14 minut. GeForce GTX 1070 zrobił to samo w 52 sekundy.
w następnym poście pokażę Ci, jak przekonwertować swój .plik cap do a .plik hccapx, który jest formatem, w którym Hashcat lubi pracować. Pokażę Ci również niektóre z metod, których lubię używać do łamania skrótów za pomocą Hashcat, które można zastosować do praktycznie każdego skrótu, nie tylko skrótów WPA2-PSK.