На последнем Red Team проекте для сети ритейлера точка входа во внутренний периметр нашлась не через VPN и не через фишинг, а через корпоративный Wi-Fi с WPA2-PSK. Пароль - название компании с годом и восклицательным знаком - лёг в Hashcat за 11 минут на одной RTX 4090. Три этажа офиса, двести сотрудников, сегментация VLAN - и всё это стало доступно с парковки через направленную антенну Alfa. Беспроводной вектор по-прежнему один из самых недооценённых путей initial access: заказчики вкладываются в WAF, EDR, SIEM, а Wi-Fi с паролем
Company2024! раздаёт доступ во внутреннюю сеть любому, кто приедет с ноутбуком.Место Wi-Fi атак в kill chain пентеста
Беспроводные атаки в MITRE ATT&CK покрывают сразу несколько тактик. Wi-Fi Discovery (T1016.002, Discovery) - разведка, когда атакующий маппит SSID, каналы и типы шифрования в радиусе досягаемости. Wi-Fi Networks (T1669, Initial Access) - непосредственная точка входа через беспроводную сеть. Network Sniffing (T1040, Credential Access / Discovery) - перехват трафика. Evil Twin (T1557.004, Credential Access / Collection) - MITM через поддельную точку доступа. Password Cracking (T1110.002, Credential Access) - офлайн-перебор захваченных хешей. Hardware Additions (T1200, Initial Access) - физическое внедрение rogue-устройства.На практике взлом wifi в рамках пентеста укладывается в один из двух сценариев. Первый: Red Team engagement, где задача - initial access без физического проникновения в здание. Атакующий перехватывает PMKID или handshake, ломает пароль и получает плацдарм для lateral movement. Второй: целевой беспроводной аудит безопасности - проверка сегментации, паролей, наличия legacy-протоколов и реакции WIDS на типовые атаки.
Результат компрометации Wi-Fi одинаков: доступ к внутренней сети открывает путь для ARP Cache Poisoning (T1557.002), сканирования сервисов и, при наличии legacy-сегментов, прямого доступа к критичным ресурсам.
Требования к окружению: железо, чипсеты и софт
Прежде чем запускать первую команду - о железе. На выборе Wi-Fi адаптера спотыкается каждый второй начинающий wireless-пентестер.ОС: Kali Linux 2024.4+ или Parrot Security. Инструменты предустановлены. Ubuntu/Debian потребуют ручной установки aircrack-ng, hcxtools, eaphammer.
Wi-Fi адаптер и чипсет: Atheros AR9271 (Alfa AWUS036NHA) - рабочая лошадка для 2.4 ГГц, стабильный monitor mode и packet injection из коробки. Realtek RTL8812AU - формально поддерживает инжекцию, но через сторонний драйвер (aircrack-ng/rtl8812au), который ломается на свежих ядрах и ведёт себя непредсказуемо в monitor mode. Если бюджет позволяет только один адаптер - берите MT7612U. Для Evil Twin нужны два адаптера одновременно: один для мониторинга, второй для rogue AP.
GPU для офлайн-перебора: Hashcat на RTX 3090 выдаёт ~900 kH/s–1 MH/s на WPA-PBKDF2 (mode 22000). RTX 4090 - до 1.6–1.8 MH/s. Словарь rockyou с правилом best64 (~1 млрд кандидатов) проходится за 10–15 минут. Для брутфорса 8-значных цифровых паролей этого хватает, а 12+ случайных символов со спецсимволами - вне досягаемости любого текущего железа.
Софт (версии актуальны на 2025): aircrack-ng 1.7+ (предустановлен в Kali), hcxdumptool (активно поддерживается, регулярные коммиты на GitHub от ZerBea), hcxpcapngtool из пакета hcxtools, Hashcat 6.2.6+, Bettercap 2.x, eaphammer (GitHub, активный проект), Wireshark для анализа захваченного трафика.
| Инструмент | Назначение | Преимущества | Ограничения | Когда НЕ подходит |
|---|---|---|---|---|
| hcxdumptool | Захват PMKID и handshakes | Не требует клиентов в сети, тихий режим | Совместим не со всеми чипсетами | WPA3-SAE only сети |
| Aircrack-ng suite | Разведка, deauth, взлом WPA/WEP | Зрелый стек, документация, предустановлен | Медленнее hcxdumptool для массового захвата | Wardrive-сессии на сотни AP |
| Hashcat | Офлайн-перебор на GPU | Скорость, правила мутации, поддержка mode 22000 | Требует мощный GPU | CPU-only среды |
| eaphammer | Evil Twin для WPA2-Enterprise | Автоматизация RADIUS, захват EAP credentials | Только Linux, нужен второй адаптер | WPA3-Enterprise 192-bit |
| Bettercap | MITM, сетевая разведка, rogue AP | Модульность, активная разработка | Шумный - WIDS засекает моментально | Скрытный Red Team |
Разведка эфира: от airodump-ng до карты целей
Перевод адаптера в monitor mode:airmon-ng start wlan0 создаёт интерфейс wlan0mon. Далее airodump-ng wlan0mon выводит все точки доступа в радиусе - BSSID, канал, тип шифрования, ESSID, мощность сигнала, количество подключённых клиентов.На что смотреть в выводе:
- ENC = OPN - открытая сеть. Перехват трафика тривиален, но TLS защищает прикладной уровень. Вектор для Evil Twin и MITM. Если поддерживается OWE (Opportunistic Wireless Encryption, RFC 8110, сертифицируется Wi-Fi Alliance как Enhanced Open параллельно с WPA3), пассивный перехват закрыт - каждый клиент получает индивидуальный ключ.
- ENC = WEP - встречается на промышленном оборудовании и legacy-устройствах. При активной инжекции (ARP replay через
aireplay-ng -3) - взлом за десятки минут; при пассивном сборе IV в малоактивной сети - может затянуться на часы. Если вы видите WEP в корпоративной сети - это уже находка для отчёта. - ENC = WPA2, AUTH = PSK - основная цель. PMKID-атака или деаутентификация с захватом handshake.
- ENC = WPA2, AUTH = MGT - Enterprise с RADIUS. Evil Twin для перехвата учётных данных.
- ENC = WPA3, AUTH = SAE - тут всё сильно сложнее. Офлайн-перебор невозможен. Но Transition Mode (WPA2+WPA3) - лазейка.
Применимость: пассивная разведка безопасна в любом контексте - внешний пентест, Red Team, внутренний аудит. Активные действия (deauth, Evil Twin) - строго в рамках scope и письменного разрешения.
PMKID-атака на WPA2: захват пароля без единого клиента
Deauthentication и захват handshake WPA2
Когда PMKID не захватывается (802.11r отключён, нет ответа на Association Request), работает классический handshake захват wifi через принудительное отключение клиента.aireplay-ng --deauth 5 -a <BSSID_AP> -c <MAC_клиента> wlan0mon отправляет деаутентификационные фреймы клиенту от имени точки доступа. Клиент разрывает соединение и пытается переподключиться. В этот момент параллельно запущенный airodump-ng -c <channel> --bssid <BSSID> -w capture wlan0mon ловит 4-way handshake. Далее - офлайн-перебор через aircrack-ng capture-01.cap -w wordlist.txt или конвертация для Hashcat.Ограничения деаутентификации в современных средах:
802.11w (Protected Management Frames), обязательный в WPA3 и опциональный в WPA2, шифрует Management Frames - deauth-спуфинг становится невозможным. На корпоративном оборудовании Cisco, Aruba, Meraki PMF включается всё чаще даже с WPA2. Проверяйте в выводе airodump-ng наличие флага PMF.
Деаутентификация атака - шумный приём. Массовая рассылка deauth-фреймов детектируется любой корпоративной WIDS за секунды. На реальном беспроводном пентесте рекомендация простая: 1–2 фрейма с паузой 30–60 секунд, а не серия из 50. Иногда клиент роумит сам - достаточно терпеливо ждать с запущенным airodump-ng. Терпение на Wi-Fi-пентесте окупается лучше, чем агрессия.
Evil Twin атака: перехват credentials в WPA2-Enterprise
WPA2-Enterprise (AUTH = MGT) использует RADIUS и EAP - клиенты отправляют доменные учётные данные через EAP-фрейм. Офлайн-перебор PSK здесь невозможен, но уязвимы сами клиенты.Большинство корпоративных ноутбуков и смартфонов настроены на автоматическое подключение к знакомому SSID. Если атакующий поднимает поддельную точку доступа (Evil Twin, T1557.004) с тем же SSID и более сильным сигналом, клиент подключится к ней и отправит credentials. По данным Synacktiv, это стандартная практика на Red Team: eaphammer автоматизирует весь процесс.
Bash:
# Генерация поддельных сертификатов RADIUS
eaphammer --cert-wizard
# Запуск Evil Twin для перехвата credentials
eaphammer --creds --interface wlan1 --essid CorpWiFi \
--bssid f2:ab:b8:12:34:56 --auth wpa-eap --channel 1Применимость: внешний пентест, Red Team. Нужны два Wi-Fi адаптера. Evil twin атака эффективна против организаций без certificate pinning на клиентских устройствах - а это подавляющее большинство. Контрмера: WPA3-Enterprise 192-bit mode (Suite B) с серверными сертификатами ECDSA-384 делает подмену практически невозможной, но в 2025 году проникновение этого стандарта минимально.
WPA3 атаки: SAE, Dragonblood и Transition Mode
WPA3-Personal заменяет PSK на SAE (Simultaneous Authentication of Equals) - протокол на базе Dragonfly key exchange. Принципиальное отличие: перехватив SAE-handshake, атакующий не может провести офлайн-перебор. Каждая попытка аутентификации требует интерактивного обмена с AP, что делает брутфорс на порядки медленнее и позволяет точке доступа применять rate limiting.Transition Mode - основной вектор WPA3 атак
Для обратной совместимости большинство точек доступа работают в режиме WPA2/WPA3 одновременно. Атакующий может принудить клиента к downgrade: поднять Evil Twin с тем же SSID, но только WPA2. Устройство, не поддерживающее WPA3 или настроенное на автовыбор, подключится по WPA2 - и далее классическая PMKID или handshake атака. По данным Synacktiv, при WPA3 Transition Mode PMF (802.11w) не всегда включён принудительно, что оставляет возможность для деаутентификации.Dragonblood
Семейство уязвимостей в реализации SAE, обнаруженных Mathy Vanhoef и Eyal Ronen. Side-channel атаки (timing-based и cache-based) позволяли восстанавливать пароль через микроархитектурные утечки. Инструменты dragondrain (DoS на SAE handshake) и dragonslayer (downgrade) были опубликованы авторами. Большинство вендоров выпустили патчи в 2019–2020, но legacy-оборудование на старых прошивках остаётся уязвимым. На пентесте проверяйте версию прошивки целевых AP - если Dragonblood не пропатчен, это рабочий вектор.802.11w и его влияние
Protected Management Frames в WPA3 обязательны и полностью закрывают деаутентификационные атаки. Для WPA3-only сетей без Transition Mode: deauth невозможен, PMKID не передаётся, офлайн-перебор SAE заблокирован. Что остаётся: социальная инженерия, атака на клиентские устройства через Evil Twin (если клиент не проверяет сертификат), и Dragonblood на непропатченных AP.Практический вывод: чистый WPA3-SAE без Transition Mode - серьёзный барьер. Но в реальности такие конфигурации в корпоративных сетях РФ пока крайне редки. Transition Mode доминирует, оставляя окно для downgrade-атаки.
Слепые зоны WIDS при беспроводном пентесте
Корпоративные WIDS/WIPS - Cisco Adaptive wIPS, Aruba RFProtect, специализированные решения типа AirMagnet - детектируют типовые wifi hacking kali linux атаки. Но у них есть предсказуемые слепые зоны, и именно они определяют OPSEC-стратегию пентестера.Что WIDS надёжно ловит: массовую деаутентификацию (десятки deauth-фреймов за секунду - тривиальный паттерн), rogue AP с SSID из корпоративного white-list (сравнение BSSID с легитимным реестром), появление WEP-трафика в сети с политикой WPA2-only, аномальную активность на неиспользуемых каналах.
Что WIDS пропускает или видит плохо: единичные deauth-фреймы с паузами 30–60 секунд - ниже порога алертинга большинства систем. PMKID-захват через hcxdumptool - Association Request неотличим от обычного клиентского поведения. Evil Twin на 5 ГГц канале, если сенсоры WIDS покрывают только 2.4 ГГц (частая ошибка при развёртывании - экономят на dual-band сенсорах). Атаки с направленной антенной из-за периметра здания - сигнал за пределами зоны покрытия сенсоров.
OPSEC-рекомендации: hcxdumptool вместо aireplay-ng для захвата (тише), минимум deauth до 1–2 фреймов, Evil Twin на канале без мониторинга, мощность передатчика - минимально необходимая. На Red Team engagement начинайте с PMKID - эта атака практически невидима для защитных систем (при условии поддержки RSN PMKID caching на целевой AP).
Выбор вектора: decision tree для беспроводного пентеста
| Что видит airodump-ng | Вектор атаки | Инструмент | Шансы на успех |
|---|---|---|---|
| WPA2-PSK, 802.11r включён | PMKID capture | hcxdumptool + Hashcat | Высокие (при слабом пароле) |
| WPA2-PSK, 802.11r выключен, есть клиенты | Deauth + handshake | aireplay-ng + Hashcat | Высокие (при слабом пароле) |
| WPA2-PSK, PMF включён | Только PMKID (deauth блокирован) | hcxdumptool | Средние |
| WPA2-Enterprise (PEAP/MSCHAPv2) | Evil Twin | eaphammer | Высокие (без cert pinning) |
| WPA3-SAE, Transition Mode | Downgrade до WPA2 + PMKID | Evil Twin WPA2 + hcxdumptool | Средние |
| WPA3-SAE only, без Transition | Dragonblood (на уязвимых прошивках) | dragondrain / dragonslayer | Низкие |
| WPA3-Enterprise 192-bit | Минимальные возможности | - | Очень низкие |
| Open / OWE | MITM, Evil Twin | Bettercap, tcpdump | Зависит от TLS-покрытия |
| WEP (legacy/industrial) | Сбор IV + crack | aircrack-ng | Очень высокие |
Алгоритм: разведка показала WPA2-PSK - запускаете hcxdumptool для PMKID. Не получилось за 5–10 минут - переходите к deauth (при отсутствии PMF). Enterprise? Готовьте Evil Twin с eaphammer. WPA3 Transition - пробуйте downgrade. WPA3-only - обсуждайте с заказчиком: это может быть за пределами текущих возможностей без подтверждённой уязвимости Dragonblood на конкретной прошивке.
За пять лет инструментарий беспроводного пентеста не изменился кардинально - hcxdumptool, aircrack-ng и Hashcat по-прежнему составляют основу. Изменился контекст: WPA3 Transition Mode создаёт иллюзию безопасности, а реальное внедрение WPA3-only в корпоративном секторе отстаёт от маркетинговых обещаний вендоров. По моему опыту за последний год, большинство корпоративных Wi-Fi сетей, которые попадались на аудитах, работают на WPA2-PSK или WPA2-Enterprise без certificate pinning на клиентских устройствах. Transition Mode даёт WPA3-лейбл в спецификации, а фактически оставляет атакующему те же самые инструменты.
Отдельное наблюдение: пароли к корпоративному Wi-Fi нередко оказываются предсказуемыми - название компании с годом. Не WIDS, не Transition Mode и не новый стандарт шифрования, а банальный сильный пароль длиной 15+ символов - единственная мера, которая действительно останавливает PMKID-атаку. Всё остальное замедляет атакующего, но не блокирует. Если кто-то из коллег считает, что WPA3 закрыл тему беспроводной безопасности - попробуйте на следующем аудите найти хотя бы одну корпоративную сеть в чистом SAE без Transition Mode. Буду рад услышать о таком кейсе на форуме.
