• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь. Мобильный клиент для IOS находится в itunes по этой ссылке

Статья Новый способ взлома Wi-Fi | август 2018

06.03.2018
22
32
#1
Всем огромный привет, дорогие форумчане. В этой статье я хотел бы рассказать о новом способе взлома пароля к сети Wi-Fi.

Протокол WPA/WPA2 морально и физически устарел, и всё уже давно идет к тому что этот протокол пора обновить! И одним из таких ключевых толчков, стала опубликованная уязвимость в октябре 2017г Mathy Vanhoef, в протоколе WPA2, которая получила название key reinstallation attack (
Для просмотра контента необходимо: Войти или зарегистрироваться
). Конечно же, дыры прикрыли где смогли, но именно с этого момента началась разработка нового протокола шифрования WPA3 и
Wi-Fi Alliance® уже во всю проводит испытания нового протокола на потенциальные проблемы в протоколе, в рамках которого как раз и был выявлен новый вектор атаки на протокол WPA/WPA2.


Суть метода заключается в том что Вы можете получить идентификатор PMKID (Pairwise Master Key Identifier) в составе ответа EAPOL на запрос аутентификации (PMKID указывается в опциональном поле RSN IE (Robust Security Network Information Element)).
Наличие PMKID позволяет определить разделяемый ключ PSK (Pre-Shared Key, пароль к беспроводной сети) без непосредственного получения вычисленного на его основе PMK (Pairwise Master Key), передаваемого на этапе согласования соединения при успешной аутентификации нового пользователя. Основная разница этой атаки от существующих, в том что нет необходимости захватывать полное "рукопожатие", а достаточно одного кадра EOPOL, ну второе не менне важное - это то что нет необходимости ждать пользователя который подключиться к атакуемой сети, так как атака будет происходить непосредственно на саму AP.


И так для проведения атаки нам будет необходимо:
  1. Linux (в моем случае Linux parrot 4.16.0-parrot16-amd64)
  2. hcxtools
  3. hcxdumptool
  4. Hashcat v4.2.0
Для начала пройдемся по загрузке и установке:

Hcxtools (аналогично и для hcxdumptool)
  1. git clone ZerBea/hcxtools
  2. cd hcxtools
  3. make
  4. make install
Hashcat v4.2.0

Даже если у Вас уже установлен hashcat, но он ниже версии 4.2.0, то Вам нужно будет его удалить, затем скачать свежую версию и установить, как и я это делал, ну или обновить другим известным для Вас способом т.к. в старых версиях нет метода расшифровки PMKID для WPA/WPA2 (а именно 16800).
  1. git clone hashcat/hashcat
  2. cd hashcat
  3. make
  4. make install * (пояснения внизу)
Всю атаку я буду проводить на своем роутере. Марка Asus RT-N12C1. Прошивка последняя.

I. Переводим наш беспроводной интерфейс в режим монитора:
1 способ
Код:
airmon-ng start wlan0 (wlan0 - это Ваш интерфейс, посмотреть можно введя команду ifconfig)
airmon-ng check kill

2 способ

Код:
ifconfig wlan0 down
iwconfig wlan0 mode monitor
ifconfig wlan0 up
airmon-ng check kill
II. Запускаем сканирование Wi-Fi сетей
airodump wlan0mon (wlan0 в зависимости от того каким способом пользовались)
мой тестовый Wi-Fi называется "Happy_New_Year"

1.png

Сохраняем BSSID нашей тестовой AP БЕЗ ДВОЕТОЧИЙ в файл... я это сделал следующей командой:

Код:
echo "60A44C55D7C0" > filter.txt
III. Запускаем Hcxdumptool
hcxdumptool -i wlan0 -o hash --filterlist=filter.txt --filtermode=2 --enable_status=1 , где
-i wlan0 -имя нашего сетевого интерфейса
-o hash - выходной файл в pcapng формате в котором есть строка PMKID с хешем
--filtermode=2 - указываем что наш filter.txt будет целевым списком
--filterlist=filter.txt - файл с BSSID который мы Вы сохранили
--enable_status=1 - включаем сообщения по маске ( EAPOL,PROBEREQUEST,AUTHENTICATON или ASSOCIATION )

3.png

после получения сообщения "FOUND PMKID" мы останавливаем работу скрипта, и как вы можете заметить мне пришло аж сразу 3 сообщения о найденных пакетах в которм содержится строка с хешем PMKID. И так, Hcxdumptool справился со своей задачей и нашел нужный пакет с хешем... идем дальше!:cool::cool::cool:

IV Запускаем hcxpcaptool

hcxpcaptool -z hash_crack hash ,где
-z hash_crack - выходной файл, с хешем PMKID очищенной от лишней инфы, для hashcat (hashmod -m 16800). преобразован в обычный текст.
hash - файл в pcapng формате (все собранные пакеты hcxdumptool)

4.png

В моем случае он обнаружил 3 пакета, как я уже говорил, и все данные записал в мой текстовый файл hash_crack..... в 3 строки. Как раз эти строки мы и будем расшифровывать в HASHCAT

5.png

V. Запускаем HASHCAT

hashcat -m 16800 -a 3 -w 3 hash_crack '?u?s?d23456A' --force ,где хочу только пояснить
-m 16800 - новый hashmod который появился в версии 4.2.0
?u?s?d?d?d?d?d6A - мой пароль по маске + 2 последних символа которых я знаю из этого пароля


7.png

1 день и 4 часа:eek: проверять я конечно же не буду!), но я добавил ее пару известных символов и перезапустил... вот результат...

8.png

пароль был успешно найден)))))


Вывод из всего этого могу сделать только один.... данный метод на голову выше своих предыдущих вариантов атаки, к тому же я посмотрел на скорость которая хоть и не намного выше чем в aircrack-ng, но все же, а если учесть то что у некоторых есть хорошие видеокарты, то это вообще отличное подспорье! к тому же нет больше необходимости ждать юзверя и перехватывать "рукопожатие" + этих скриптов в том что можно это все делать не на одной точке а на нескольких одновременно... добавив в первичный текстовый файл BSSID разных AP.

З.Ы. Трудности с которыми я столкнулся:

1. наверно единственная была маленькая проблема при переустановке hashcat. После удаления (apt-get remove hashcat), перешел в папку свежескачанного скрипта.....
1. make
2. make install
и тут мне выдает ошибку - "include/ext_OpenCL.h:15:10: fatal error: CL/cl.h: No such file or directory #include <CL/cl.h>" , мол нет какой-то папки....так и правильно у меня в принципе не было OpenGL....так что порыскав, в течении пару минут нашел решение - apt-get install opencl-headers, после чего hashcat благополучно заработал!

На этом спешу откланяться!) Всем спасибо!
 
06.03.2018
22
32
#3
Перебор шёл на процессорной мощности или подключали GPU ? Перебор по этому хешу идёт быстрее чем в случае с перехватом обычного хендшейка ?
Да, только cpu! Скорость немного быстрее...обычный хедшейк у меня брутит со скоростью 1700, а pmkid 1850-1900
 
06.03.2018
22
32
#6
Симпатии: Понравилось tnAnGel
16.04.2017
29
22
#8
Ну и запарился же я что бы собрать эти утилиты под ubuntu 16...
В итоге дошёл до этапа дампа
Код:
hcxdumptool -i wlan0 -o hash --filterlist=filter.txt --filtermode=2 --enable_status=1
И сижу теперь как дурак, жду, когда поймается этот PMKID, но нифига не происходит. Ютуб смотрю, сеть не обрывается на устройстве, подключённом к моему вайфаю. Есть только надпись про то что Found authorized handshake и всё =(
Ниже пишет, что дропнуто полторы тысячи rx. Можно ли как-то ускорить этот процесс? И сколько он обычно занимает, в особенности когда нет подключённых клиентов =)

UPD: прошёл час, ни одного PMKID не появилось. Что делать?
Нашёлся второй авторизационный хэндшейк, а PMKID нету =(

UPD2: короче на третий час я вырубил эту тухлую тему. Попробую ещё на других вайфаях, но видимо тот, который делает IPad в режиме модема НЕУЯЗВИМ =)
 
Последнее редактирование:

5h3ll

Mod. Ethical Hacking
Red Team
23.01.2018
322
479
#9
разве не airodump-ng wlan0mon???

hcxdumptool -i wlan0 -o hash --filterlist=filter.txt --filtermode=2 --enable_status=1 , где
-i wlan0 -имя нашего сетевого интерфейса
разве после запуска карты в режим мониторигра она не пробретёт суфикс mon или после скана надо отрубать мониторинг ?
 
16.04.2017
29
22
#10
Для просмотра контента необходимо: Войти или зарегистрироваться


"Note: Based on the noise on the wifi channel it can take some time to recieve the PMKID. We recommend running hcxdumptool up to 10 minutes before aborting."

Здесь пишут, что надо подождать 10 минут, прежде чем обрывать. Видимо и правда работает одина раз на сотню вайфаев и если за 10 минут не нашло, то видимо и не найдёт.

Оказывается данная тема уже поднималась на этом форуме и чувак в этом сообщении (KRACK или взлом WPA2) пишет, что только ТПлинковскую точку смог вскрыть и то не меньше двух часов это у него заняло. Да и не на каждой карточке с режимом мониторинга она будет работать.
 
Последнее редактирование:
27.07.2018
69
30
#11
Здесь пишут, что надо подождать 10 минут, прежде чем обрывать.
А вот тут пишут
Для просмотра контента необходимо: Войти или зарегистрироваться

"Атака применима к любым сетям 802.11i/p/q/r с включенным румингом (поддерживается на большинстве современных точек доступа). Суть метода в возможности получения идентификатора PMKID (Pairwise Master Key Identifier) в составе ответа EAPOL на запрос аутентификации (PMKID указывается в опциональном поле RSN IE (Robust Security Network Information Element))."
 
16.04.2017
29
22
#12
А вот тут пишут
Для просмотра контента необходимо: Войти или зарегистрироваться

"Атака применима к любым сетям 802.11i/p/q/r с включенным румингом (поддерживается на большинстве современных точек доступа). Суть метода в возможности получения идентификатора PMKID (Pairwise Master Key Identifier) в составе ответа EAPOL на запрос аутентификации (PMKID указывается в опциональном поле RSN IE (Robust Security Network Information Element))."
Не совсем понял про опциональный режим. Это где указывается? В настройках ТД?
 
27.07.2018
69
30
#13
Не совсем понял про опциональный режим. Это где указывается? В настройках ТД?
Насколько понимаю, зависит от того какой стандарт поддерживает ТД ("802.11i/p/q/r с включенным румингом")
 

Tom

Премиум
27.07.2018
69
30
#15
на 6-ти 1080 как быстро расшифровка будет идти?
Как обычно:
- в 1.5 раза быстрее, чем на 4-х
- в 6 раз быстрее, чем на одной
Если перебор по словарю, то зависит от места "пароля" в словаре. и т.д.
 
16.04.2017
29
22
#16
Стоило поднести ноут к окну и убрать фильтр по макам... Так через 3 часа нашлось 2 PMKID.
Поскольку я не помню пароля вообще, приходится задавать маску
Guess.Mask.......: ?a?a?a?a?a?a?a?a [8]
Ну а прогнозируемая дата окончания перебора на моей видяхе 970-ой
Time.Estimated...: Next Big Bang (27009 years, 48 days)
Speed.Dev.#1.....: 58162 H/s

Наверное у меня нет шансов на узбек...
 
Последнее редактирование:

Tom

Премиум
27.07.2018
69
30
#17
Ну а прогнозируемая дата окончания перебора на моей видяхе 970-ой
Time.Estimated...: Next Big Bang (27009 years, 48 days)

Наверное у меня нет шансов на узбек...
Да ладно Вам, этож буквально "на днях"...))
А если серьезно, то купите что-нить более мощное... (для брутфорс, да еще для 4-х видях... вроде 8-позиционный пароль брутфорсился совсем не долго...
 
16.04.2017
29
22
#18
Да ладно Вам, этож буквально "на днях"...))
А если серьезно, то купите что-нить более мощное... (для брутфорс, да еще для 4-х видях... вроде 8-позиционный пароль брутфорсился совсем не долго...
И это ради халявного инета? Полагаю, что дешевле купить себе пожизненный тариф в сеть.
 
16.04.2017
29
22
#19
Вести с полей описываются русским словом из трёх букв.
Решил, что есть шанс подобрать эти два PMKID, если они состоят только из цифр, что встречается довольно часто и задал циферную маску из 8-ми символов. На это уже прогноз перебора всего 3 часа, но результата не получилось

Код:
Session..........: hashcat                       
Status...........: Exhausted
Hash.Type........: WPA-PMKID-PBKDF2
Hash.Target......: ../data/PMKID.txt
Time.Started.....: Wed Aug 15 02:46:53 2018 (3 hours, 11 mins)
Time.Estimated...: Wed Aug 15 05:58:23 2018 (0 secs)
Guess.Mask.......: ?d?d?d?d?d?d?d?d [8]
Guess.Queue......: 1/1 (100.00%)
Speed.Dev.#1.....:    60925 H/s (24.99ms) @ Accel:32 Loops:32 Thr:1024 Vec:1
Recovered........: 0/7 (0.00%) Digests, 0/7 (0.00%) Salts
Progress.........: 700000000/700000000 (100.00%)
Rejected.........: 0/700000000 (0.00%)
Restore.Point....: 10000000/10000000 (100.00%)
Candidates.#1....: 68956464 -> 67646497
HWMon.Dev.#1.....: Temp: 75c Fan: 77% Util: 96% Core:1379MHz Mem:3004MHz Bus:16

Started: Wed Aug 15 02:46:50 2018
Stopped: Wed Aug 15 05:58:24 2018
 
11.01.2018
20
7
#20
UPD: прошёл час, ни одного PMKID не появилось. Что делать?
Нашёлся второй авторизационный хэндшейк, а PMKID нету =(
При установке не было ошибок? Я так и не смог установить без ошибок на kali linux 2018.2
Чего то не хватает, файлов библиотек, а без правильной установки никаких PMKID не поймает, хотя показывает работу, как будто ищет и такие же сообщения про хэндшейк.
В итоге установкой файлов библиотек загубил систему, теперь буду пробовать на виртуальной машине.
 
Вверх Снизу