• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Атака PMKID на беспроводные точки доступа

ДИСКЛЕЙМЕР
Статья и видео к ней созданы в образовательных целях!
Все что вы делаете, делаете на свой страх и риск.
Автор не несет ответственности за использование этой информации в любых целях






Привет дорогие друзья!
В этой статье я бы хотел поделиться с вами информацией об атаке PMKID на wifi точки доступа.

Эта атака была открыта случайно во время поиска новых способов атаковать будущий стандарт безопасности WPA3. Этот WPA3 будет атаковать намного труднее из-за современного протокола установления ключей, называемого "Simultaneous Authentication of Equals" (SAE).

В чем же плюсы такой атаки ? А в том что больше не нужно ждать "соседей" пока они придут домой и подключаться к своему WIFI, что бы отключить их и поймать Рукопожатие - Handshake.

В процессе дампа информации от AP, мы сможем найти хеш даже в WireShark :

Screenshot at 2022-01-31 19-26-51.png


Ну и от дела давайте к практике.
Нам понадобиться : сетевая карта которая может переходить в режим монитора и пару утилит такие как hcxdumptool , hcxpcaptool .

Начнем сбор информации
Переведем нашу карту в режим монитора
airmon-ng start *wlan1*

Имя вашего адаптера вы можете узнать прописав команду airmon-ng
после того как перевели в режим монитора, воспользуемся утилитой hcxdumptool

hcxdumptool -o all-wifi.pcapng -i wlan1mon --enable_status 15

И расскажу не много хитрости которую не рассказал в видео ролике, пускай это будет некоторой эксклюзивностью если можно так сказать
Мы можем направить атаку не на все точки доступа сразу, а точечно, выбрать мак адрес и записывать в файл информацию только о нем, для этого

откроем airodump-ng -i wlan1mon

Найдем нужный нам SSID, скопируйте его MAC адрес и выполните следующую команду
echo "XXXXXXXXXXXX" > filterlist.txt - Давайте поясню для тех кто не понимает что это. Мы записали мак адрес в файл filterlist.txt
Но самое интересное то что утилита hxcdumptool принимает МАК адресс без разделителя :)).
И теперь если мы хотим атаковать определенную AP пишем

hcxdumptool -o all-wifi.pcapng -i wlan1mon --enable_status 15 --filterlist_ap=filterlist.txt --filtermode=2
теперь мы будем собирать всю инфу только с определнной AP.

P.S наберитесь терпения, за частую такая атака занимает большое кол-во времени. На сбор 1 PMKID в среднем требуется от 10 до 30 минут. Но бывает и дольше, Но и меньше :) Как повезет

После успешного сбора
После того как мы в логах увидели уведомление напротив пакета PMK FOUND , останавливаем процесс и двигаемся дальше.
Теперь нам понадобиться утилита
hcxpcaptool
Набираем
hcxpcaptool -z all-wifi.16800 all-wifi.pcapng

Хочу отметить что тут нужно сначала указывать имя выходного файла "all-wifi.16800", где 16800 напоминалка о режиме hashcat, но об этом не много позже, а all-wifi.pcapng это наш сборник информации из которого мы извлекаем PMKID для брут форса.


Должно получиться примерно такое :
pmkid-fourm.png


HASHCAT
hashcat-1000x479.jpg
Теперь за дело берется наш кот, кормим его не вискасом,а нашим хешем =)


hashcat -m 16800 -a 0 -w 3 *хеш из файла либо путь к нему* /home/user/all-wifi.16800 *путь к словарю* /home/user/rockyou.txt
И запускаем и ждем результатов
giga.png

Тут уже будет зависеть от ваших словарей, либо фантазии по маске в hashcat.


А на этом я буду заканчивать, а вдруг вам было лень прочитать и вы просто пролистали в низ, так же имеется Видео-версия данной статьи
Всем спасибо и приятного просмотра!
 
Последнее редактирование:

r4z0r5

Green Team
03.04.2018
14
18
BIT
0
В процессе дампа информации от AP, мы сможем найти хеш даже в WireShark :
Увидеть PMKID в Wireshark вполне ожидаемо, это один из нескольких ключей передаваемых по EAPOL в открытом виде (также как PTK, GTK, MSK и т.д.). Отдельно добавил бы что метод актуален только для точек с включенной функцией роаминга (бесшовное переключение между несколькими точками доступа), т.е для корпоративных сетей с большой зоной покрытия. PMKID как раз играет роль идентификатора Pairwise Master Key для ускорения процесса аутентификации клиента на точке, что и создает эффект "безшовности подключения".

P.S наберитесь терпения, за частую такая атака занимает большое кол-во времени. На сбор 1 PMKID в среднем требуется от 10 до 30 минут. Но бывает и дольше, Но и меньше :) Как повезет
Также добавлю что главная прелесть атаки в том что PMKID прилетает в ответ на 1 запрос аутентификации (откройте любой дамп беспроводного трафика и по фильтру eapol && wlan.rsn.ie.pmkid наверняка найдете там в первом же сообщении 4-хстороннего рукопожатия хеш PMKID). PMKID необходим на первом этапе хендшейка для создания парного переходного ключа на основе обмена данными между точкой и клиентом.
Что касается времени сбора PMKID, собрать их можно мгновенно со всех точек в эфире сделав "вспышку" аутентификацией. К примеру командой wifi.assoc all в туле Bettercap.

Извиняюсь, не мог пройти мимо как большой любитель WiFi.
 
  • Нравится
Реакции: danilka2012 и larchik
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!