Статья Взлом паролей WPA2-PSK с помощью Aircrack-Ng

Sergei webware

Sergei webware

Well-known member
07.02.2016
72
274
После разработки Wi-Fi в конце 1990-х годов для обеспечения безопасности беспроводных коммуникаций был создан эквивалент конфиденциальности проводных сетей. WEP оказался крайне несовершенным и легко взламываемым стандартом. Частично тема была затронута в моём руководстве по взлому Wi-Fi для начинающих.

Сейчас большинство беспроводных точек доступа используют защищённый доступ Wi-Fi 2 с предварительным ключом, так же известный как WPA2-PSK. В WPA2 применяется более сильный алгоритм шифрования AES, который очень сложно взломать (но это возможно).

Слабость системы WPA2-PSK заключается в том, что зашифрованный пароль передаётся путём 4-стороннего рукопожатия. Когда клиент совершает вход в точку доступа (AP), начинается процесс его аутентификации, состоящий из 4 этапов. Если мы перехватим пароль в этот момент, то сможем попытаться его взломать.

1578085962236.png


В данном руководстве, входящем в серию статей по взлому Wi-Fi, мы рассмотрим использование и для расшифровки пароля, перехваченного во время 4-стороннего рукопожатия. Уверен, что вас заинтересуют эти две темы:
Шаг 1: Переключите Wi-Fi адаптер в режим мониторинга с помощью Airmon-Ng

Для начала, давайте переключим наш беспроводной адаптер в режим мониторинга. За информацией о том, какой адаптер вам нужен, обратитесь к этому руководству. Это почти то же самое, что переключение беспроводного адаптера в смешанный режим, и позволяет нам видеть весь трафик, передающийся в нашей зоне действия. Давайте откроем терминал и введём следующую команду:
Код:
airmon-ng start wlan0
1578085974302.png


Обратите внимание на то, что airmon-ng переименовал наш адаптер wlan0, назвав его mon0.

Шаг 2: Перехватите трафик, воспользовавшись Airodump-Ng

Теперь, когда наш беспроводной адаптер находится в режиме мониторинга, вы способны следить за всем проходящим трафиком. Для перехвата этого трафика можно воспользоваться командой airodump-ng.

Эта команда перехватывает весь беспроводной трафик и отображает важную информацию о нём, включая BSSID (MAC адрес точки доступа), мощность, число сигнальных кадров, число кадров с данными, канал, скорость, шифрование (если оно есть) и, наконец, ESSID (большинство из нас называют его SSID). Для этого, введите:
Код:
airodump-ng mon0
1578085983436.png


Как видите, все доступные точки доступа отображаются в верхней части экрана, а клиенты находятся в нижней.

Шаг 3: Сосредоточьте Airodump-Ng на одной точке доступа и одном канале

Далее, нам необходимо сфокусировать свои усилия на одной точке доступа и одном канале для получения ключевых данных. Для этого нам нужен BSSID и канал. Откройте ещё одно окно терминала и введите:
Код:
airodump-ng --bssid 08:86:30:74:22:76 -c 6 --write WPAcrack mon0
1578085991313.png

  • 08:86:30:74:22:76 - это BSSID точки доступа
  • -c 6 - канал, на котором работает точка доступа
  • WPAcrack - файл для записи данных
  • mon0 беспроводной адаптер, занимающийся мониторингом*
Скриншот выше демонстрирует, что мы сосредоточили внимание на перехвате данных точки доступа с ESSID «Belkin276», работающей на 6 канале. Belkin276, скорее всего, является стандартным SSID, а значит, данная точка доступа является отличной целью для взлома, ведь пользователей, которые не потрудились изменить ESSID по умолчанию, вероятно, не беспокоит безопасность их точки доступа.

Шаг 4: Воспользуйтесь Aireplay-Ng Deauth

Чтобы перехватить зашифрованный пароль, нам нужно, чтобы клиент вновь вошёл на точку доступа. Если пользователь уже авторизован, мы можем отключить его, заставив входить заново. В процессе этой аутентификации мы успеем перехватить зашифрованный пароль. Давайте откроем ещё одно окно терминала и введём:
Код:
aireplay-ng --deauth 100 -a 08:86:30:74:22:76 mon0
1578085998763.png

  • 100 - число кадров деаутентификации, которое мы хотим отправить
  • 08:86:30:74:22:76 - BSSID точки доступа
  • mon0 - это название беспроводного адаптера
Шаг 5: Перехватите рукопожатие

В предыдущем шаге мы выкинули пользователя с его собственной точки доступа, и теперь, когда он начнёт повторную процедуру аутентификации, airodump-ng попытается перехватить пароль во время нового 4-стороннего рукопожатия. Вернёмся к нашему терминалу airodump-ng и проверим, добились ли мы успеха.

1578086008709.png


В верхней правой части терминала airodump-ng появится строчка «WPA рукопожатие». Это значит, что мы сумели перехватить зашифрованный пароль! Первый шаг на пути к успеху!

Шаг 6: Взломайте этот пароль с помощью Aircrack-Ng !

Теперь в нашем файле WPAcrack находится зашифрованный пароль. Мы можем воспользоваться aircrack-ng и предпочитаемым файлом с паролями для его расшифровки. Помните, что успешность атаки такого типа зависит от качества вашего файла с паролями. Я воспользуюсь стандартным списком паролей, входящим в состав aircrack-ng и Kali Linux. Он называется darkcOde.

После этого, попытаемся взломать пароль, открыв ещё один термина и выполнив следующие команды:
Код:
aircrack-ng WPAcrack-01.cap -w /pentest/passwords/wordlists/darkc0de
1578086017352.png

  • WPAcrack-01.cap - название файла, в который мы записывали данные с помощью команды airodump-ng
  • /pentest/passwords/wordlist/darkc0de - абсолютный путь к файлу с паролями
Сколько времени на это потребуется?

Расшифровка может стать относительно медленным и скучным занятием. В зависимости от размера вашего файла с паролями, на это может потребоваться от нескольких минут, до нескольких дней. Мой двухъядерный процессор Intel 2.8 ГГц способен тестировать более 500 паролей в секунду. Получается около 1,8 миллионов паролей в час.

Как только пароль будет найден, он появится на вашем экране. Помните, что качество списка паролей имеет решающее значение. Сначала попробуйте стандартный файл, а затем, если расшифровать пароль не получилось, переключитесь на файл большего размера, к примеру, один из этих:
Ждите новых руководств по взлому беспроводных сетей

В будущих руководствах мы рассмотрим более продвинутые способы взлома беспроводных сетей. Если вы не видели другие руководства по взлому Wi-Fi, ознакомьтесь с ними здесь. В частности, рекомендую вам прочитать статью о Взлом паролей WEP с помощью Aircrack-Ng и Взлом Wi-Fi пароля (WPA/WPA2), используя pyrit и cowpatty в Kali Linux.

Как обычно, если у вас возникли вопросы, задайте их в комментариях ниже. Если тематика вопроса не связана с данной публикацией, воспользуйтесь форумом.

 
D

Dev1LSide

Качал давно для компа такую же прогу, но осенью решил начать изучать Линукс.Твой гайд весьма информативный.Спасибо
 
id2746

id2746

Grey Team
12.11.2016
402
632
Всё это конечно круто, олдскульно и красиво, но получить хендшейк, т.е. пройти первые 5 шагов можно и при помощи автоматизированных утилит. Того же link removed. Потому как писать команды (особенно новичкам) занимает больше времени. Особенно это удручает когда надо наловить хеншейков на ночной брут )
А вот брутить эйркрэком собранные хендшейки поддерживаю, сам так люблю делать )

Вообще советую идти по пути наименьшего сопротивления к большему. Может как-нибудь напишу статью на примере какого-нибудь соседа, который случайно забыл пароль от ТД после праздников ;)
 
  • Нравится
Реакции: ArtyomHC и ghostphisher
R

RESPECT

Доброго времени суток. Очень извиняюсь за офтоп.
Моя плата wifi не поддерживает режим мониторинга. Посоветуйте пожалуйста бюджетный вариант usb платы для новичка.
 
id2746

id2746

Grey Team
12.11.2016
402
632
Доброго времени суток. Очень извиняюсь за офтоп.
Моя плата wifi не поддерживает режим мониторинга. Посоветуйте пожалуйста бюджетный вариант usb платы для новичка.
Я пользуюсь [HIDEpl="20,20"] [/HIDEpl]Работает на ура, неплохая антенна в комплекте.
 
Последнее редактирование модератором:
  • Нравится
Реакции: RESPECT и ArtyomHC
z3RoTooL

z3RoTooL

Well-known member
28.02.2016
716
695
можно по
Всё это конечно круто, олдскульно и красиво, но получить хендшейк, т.е. пройти первые 5 шагов можно и при помощи автоматизированных утилит. Того же link removed. Потому как писать команды (особенно новичкам) занимает больше времени. Особенно это удручает когда надо наловить хеншейков на ночной брут )
А вот брутить эйркрэком собранные хендшейки поддерживаю, сам так люблю делать )

Вообще советую идти по пути наименьшего сопротивления к большему. Может как-нибудь напишу статью на примере какого-нибудь соседа, который случайно забыл пароль от ТД после праздников ;)
можно подумать, там прямо стопицот команд надо знать...
 
  • Нравится
Реакции: Underwood и ghostphisher
U

Underwood

можно по

можно подумать, там прямо стопицот команд надо знать...
Поддерживаю! Более того, я считаю просто необходимо научиться делать это вручную, чтобы понять принцип работы автоматизированных утилит.
 
  • Нравится
Реакции: Andr705 и Vander
z3RoTooL

z3RoTooL

Well-known member
28.02.2016
716
695
Поддерживаю! Более того, я считаю просто необходимо научиться делать это вручную, чтобы понять принцип работы автоматизированных утилит.
ща не модно знать принципы, ща модно жать на красную кнопку ПОХЕКАТЬ ВИФИ САСЕДАВ
 
id2746

id2746

Grey Team
12.11.2016
402
632
ща не модно знать принципы, ща модно жать на красную кнопку ПОХЕКАТЬ ВИФИ САСЕДАВ
уважаемый kuklofon, я нисколько не хотел задеть ваше или еще чье-либо самолюбие или упрекнуть в нецелесообразности знания команд консоли или любого другого приложения. Я и сам буквально недавно начал в очередной раз изучать кали и как можно больше стараюсь делать именно руками и даже завел себе конспект чтобы обозначать тезисы и побольше там писать и запоминать ;)
А в своем сообщении касательно шагов 1-5 я хотел показать только простоту их прохождения альтернативным вариантом для достижения одного и того же результата. А еще все стремятся к автоматизации процессов и типовых задач. И я реально не вижу ничего плохого в "нажимании кнопок", если при этом самом "нажимании" есть понимание того что делаешь.

Еще раз извиняюсь если кого-то задел за живое или оскорбил.
 
z3RoTooL

z3RoTooL

Well-known member
28.02.2016
716
695
уважаемый kuklofon, я нисколько не хотел задеть ваше или еще чье-либо самолюбие или упрекнуть в нецелесообразности знания команд консоли или любого другого приложения. Я и сам буквально недавно начал в очередной раз изучать кали и как можно больше стараюсь делать именно руками и даже завел себе конспект чтобы обозначать тезисы и побольше там писать и запоминать ;)
А в своем сообщении касательно шагов 1-5 я хотел показать только простоту их прохождения альтернативным вариантом для достижения одного и того же результата. А еще все стремятся к автоматизации процессов и типовых задач. И я реально не вижу ничего плохого в "нажимании кнопок", если при этом самом "нажимании" есть понимание того что делаешь.

Еще раз извиняюсь если кого-то задел за живое или оскорбил.
да никого ты не задел :))) нельзя просто так взять и не потроллить :))))
А то, что команды пишешь руками, ещё и блокнот завёл - так это вообще молодец. И давай на ты, я же не олежа какой-то... до седых ***** ещё не дожил пока.
 
  • Нравится
Реакции: Underwood и id2746
nikos

nikos

Well-known member
25.12.2016
508
190
да никого ты не задел :))) нельзя просто так взять и не потроллить :))))
А то, что команды пишешб руками, ещё и блокнот завёл - так это вообще молодец. И давай на ты, я же не олежа какой-то... до седых ***** ещё не дожил пока.
Скажу так тема хорошия и я тоже сторонник (хотя и новичок) прописывать команды
 
  • Нравится
Реакции: Underwood и id2746
id2746

id2746

Grey Team
12.11.2016
402
632
да никого ты не задел :))) нельзя просто так взять и не потроллить :))))
А то, что команды пишешь руками, ещё и блокнот завёл - так это вообще молодец. И давай на ты, я же не олежа какой-то... до седых ***** ещё не дожил пока.
Договорились)
 
N

netwarriorng

Прошу сильно не пинать ногами, в моём варианте немного по другому!
#ifconfig - смотрим какие адапторы в системе есть, обычно это wlan0.
#airmon-ng check kill - убиваем все не нужные процессы.
#airmon-ng start wlan0 - переводим в режим монитора, позволяет получать все пакеты даже не адресованые вам, и мы видим новое названия нашего интерфейса wlan0mon.
#airmon-ng wlan0mon - последует поиск сетей.
#Ctrl+c - после нахождения сети останавливаем сканирование.
#airmon-ng --bssid 34:cd:be:ff:04:c3 --channel 8 -w ~/wi-fi/handshake wlan0mon - вводим команду airmon-ng с опциями --bssid мак адрес точки доступа --channel канал точки доступа -w путь и названия файла рукопожатия в конце имя нашего
интерфейса. Далее следует сканирование единственной точки доступа, где мы можем увидеть клиентов подключенных к точке доступа.
Рукопожатия можно ждать долго, можно воспользоваться командой, которая принудительно отключит пользователя тем самым заставить его переподключится заново.
Открываем новый терминал и вводим следующую команду: aireplay-ng и указываем опции количество пакетов деавторизации --deauth 20 обычно хватает -а мак адрес точки доступа и -с мак адрес клиента и в конце наш интерфейс.
#aireplay-ng --deauth 20 -a 34:cd:be:ff:04:c3 -c 08:ED:B9:49:B2:E5 wlan0mon
Смотрим предыдущий терминал если handshake пойман останавливаем перехват Ctrl+c в папке которую мы указывали в моём случае это ~/wi-fi/ появятся несколько файлов из которых нам понадобится handshake-01.cap его мы можем скопировать в
другую директорию тем самым создав бэкап, так как этот фаил содержит лишнею информацию мы его отчистим при помощи следующей команды: wpaclean путь и названия отчищенного фала и путь названия файла который будем чистить.
#wpaclean ~/wi-fi/clean_handshake.cap ~/wi-fi/handshake-01.cap
после успешного провидения команды скопируйте названия точки доступа и мак адрес в текстовой документ.
Приступим к взлому очищенного handshake следующей командой: aircrack-ng опция -w путь и словарь который можно сгенерировать утилитой crunch, -b мак адрес который мы сохранили в текстовом файле, и путь к очищенному handshake
#aircrack-ng -w ~/wi-fi/file.txt -b 34:cd:be:ff:04:c3 ~/wi-fi/clean_handshake.cap
Далее ждём окончания подбора, если всё правильно сделали терминал выведет найденный пароль:
KEY FOUND! [ wimax12743]
Взлом проводился в Kali установленную на флешки persistence то есть с возможностью сохранять настройки и файлы, как сделать persistence расскажу кому интересно...
а за словари автору спасибо!
 
A

Andr705

Добрый день ,

в дополнении к вышесказанному , еще можно воспользоваться Wifite с Кали Линук
она это все делает сама , но вот только , что-то плохо дружит , если 2 сетевых wifi интерфейса ,
на выборе ее клинит и далее не двигается , а так записывает файл handshake и далее можно его анализировать уже.

запускаю из терминала:
sudo wifite -i wlan1
если из меню Программ - выдает только HELP инфу
wifi интерфейс можно либо самому перевести в режим Monitor , либо прога сама спросит и переведет.


Надо будет попробовать:
wpaclean ~/wi-fi/clean_handshake.cap ~/wi-fi/handshake-01.cap
просто интересно насколько прога хорошо чистит и выбирает хорошее рукопожатие ....

Для дальнейшего анализа рукопожатия можно использовать Wareshark , где уже будет видно , какой клиент был захвачен и сколько сообщений msg(1-4/4) есть в захвате.
В строке FILTER вводим (eapol || wlan.fc.type_subtype = = 0x08) , чтобы отбросить ненужный мусор , а оставить только нужные строки: Первая строка – BEACON FRAME , которая тоже нужна , а остальные сообщения обмена по авторизации точки доступа и клиентов.

Желательно , чтобы были все сообщений msg(1/4) msg(2/4) msg(3/4) msg(4/4) ,
нечетные сообщения msg(1/4) + msg(3/4) отправляются точкой доступа клиенту
четные сообщения msg(2/4) + msg(4/4) - ответы клиента точке доступа
поэтому желательно иметь все или хотя бы одну чётную и одно нечетную последовательность в одном временном интервале времени , то-есть один запрос точки доступа и следующий за ним ответ клиента , к которому точка доступа обращалась!!!

Потом правой кнопкой мышки выделяем по порядку Первую строку (Beacon) и нужные сообщения msg(1..4/4) с помощью "Mark packet" и через пункт Меню - "Save as" не забыть поставить галочку на "Marked packets" сохраняем рукопожатие уже маленького размера 1,5-3 кб со всей нужной инфой.

В файле захвата может быть несколько клиентов с неполными сообщениями msg(1...4/4) ,
поэтому лучше вручную выбрать лучший вариант с более полными msg.


как-то так я понял как начинающий ..... сорри если написал своим языком ....может быть непонятным для гуру ....
 
Последнее редактирование модератором:
  • Нравится
Реакции: Глюк
N

netwarriorng

Добрый день ,

в дополнении к вышесказанному , еще можно воспользоваться Wifite с Кали Линук
она это все делает сама , но вот только , что-то плохо дружит , если 2 сетевых wifi интерфейса ,
на выборе ее клинит и далее не двигается , а так записывает файл handshake и далее можно его анализировать уже.

запускаю из терминала:
sudo wifite -i wlan1
если из меню Программ - выдает только HELP инфу
wifi интерфейс можно либо самому перевести в режим Monitor , либо прога сама спросит и переведет.


Надо будет попробовать:
wpaclean ~/wi-fi/clean_handshake.cap ~/wi-fi/handshake-01.cap
просто интересно насколько прога хорошо чистит и выбирает хорошее рукопожатие ....

Для дальнейшего анализа рукопожатия можно использовать Wareshark , где уже будет видно , какой клиент был захвачен и сколько сообщений msg(1-4/4) есть в захвате.
В строке FILTER вводим (eapol || wlan.fc.type_subtype = = 0x08) , чтобы отбросить ненужный мусор , а оставить только нужные строки: Первая строка – BEACON FRAME , которая тоже нужна , а остальные сообщения обмена по авторизации точки доступа и клиентов.

Желательно , чтобы были все сообщений msg(1/4) msg(2/4) msg(3/4) msg(4/4) ,
нечетные сообщения msg(1/4) + msg(3/4) отправляются точкой доступа клиенту
четные сообщения msg(2/4) + msg(4/4) - ответы клиента точке доступа
поэтому желательно иметь все или хотя бы одну чётную и одно нечетную последовательность в одном временном интервале времени , то-есть один запрос точки доступа и следующий за ним ответ клиента , к которому точка доступа обращалась!!!

Потом правой кнопкой мышки выделяем по порядку Первую строку (Beacon) и нужные сообщения msg(1..4/4) с помощью "Mark packet" и через пункт Меню - "Save as" не забыть поставить галочку на "Marked packets" сохраняем рукопожатие уже маленького размера 1,5-3 кб со всей нужной инфой.

В файле захвата может быть несколько клиентов с неполными сообщениями msg(1...4/4) ,
поэтому лучше вручную выбрать лучший вариант с более полными msg.


как-то так я понял как начинающий ..... сорри если написал своим языком ....может быть непонятным для гуру ....
Попробуйте wpaclean
 
A

Andr705

Wpclean - в меню Application не нашел , запустил с терминала .....
Очистку произвела , размер файла конечно стал приличным 1 кб всего вместо 150 кб,
почекал потом c Wareshark , однако из трех имеющихся msg(1/4) msg(2/4) & msg(3/4) прога оставила только два первых
msg(1/4) & msg(2/4) , третье затёрла ...
гуру говорят , что вроде хватает двух первых , но для полного счастья лучше бы все четыре? ... ждем , что скажут сторожилы ...

---- Добавлено позже ----

.........но получить хендшейк, т.е. пройти первые 5 шагов можно и при помощи автоматизированных утилит. Того же link removed. П
почекал Fluxion на своей сети , прикольно однако , отрубает настоящую сеть и подсовывает такую открытую фейковую,
очень похоже на Airgeddon , перехватывает handshake , но вот куда он его пишет - не найти , либо удаляет после выхода,
т.е. надо его искать до закрытия проги.....

прошел до конца до ввода пароля на фейковом web-site , попробовал ввести неправильный пароль - заставляет ввести настоящий,
после этого интернет жертвы восстанавливается .....

p.s. если у клиента-жертвы открыт брузер с адрессом httpS (сертификат) то тут голяк , так как браузер уже предупреждает , что вы попали на небезопасный сайт и советует не открывать его далее ..... но если открывать http то тут все ОК - выпадает меню с просьбой ввести пароль и будет долбить пока не будет введен настоящий пароль , который прочекается с пойманым handshake

думаю это на жертву-просточка ........имхо ....

---- Добавлено позже ----

кстати в конце выдает терминальчик с паролем , где указано , что вскрыт с помощью Aircrack-ng :)
так , что вроде в теме ...

---- Добавлено позже ----

а вот нашел где прога положила handshake: /root/handshakes
почекал его с помощью WireShark и там только msg(1/4) & msg(2/4)
получается вместе с Beacon этого достаточно для взлома pwd ....
 
Последнее редактирование модератором:
N

netwarriorng

В команде airmon-ng --bssid 34:cd:be:ff:04:c3 --channel 8 -w ~/wi-fi/handshake wlan0mon была ошибка,правильно airodump-ng airmon-ng --bssid 34:cd:be:ff:04:c3 --channel 8 -w ~/wi-fi/handshake wlan0mon. Извиняюсь, кого ввёл в заблуждения.
 
A

Andr705

наверное все же без этого airmon-ng , наверное вы имели ввиду , что вместо airmon-ng должно быть airodump-ng

---- Добавлено позже ----

написали обе команды в одной строке....
 
Последнее редактирование модератором:
A

Andr705

вот заметил одну фишку : в настройках airodump-ng ставишь настройку , чтобы чекать только один канал (-с *)
однако на выход идут и точки доступа с других каналов - непонятка однако ...
 
N

netwarriorng

вот заметил одну фишку : в настройках airodump-ng ставишь настройку , чтобы чекать только один канал (-с *)
однако на выход идут и точки доступа с других каналов - непонятка однако ...
Попробуйте так:
#airmon-ng check kill
#airmon-ng start wlan0
#airodump-ng wlan0mon
#Ctrl+c
#airodump-ng --bssid 20:F3:A3:0C:10:A3 --channel 8 -w ~/wi-fi/handshake wlan0mon
В новом окне терминала:
#aireplay-ng --deauth 20 -a 20:F3:A3:0C:10:A3 -c C4:62:EA:6D:35:38 wlan0mon
#wpaclean ~/wi-fi/clean_handshake ~/wi-fi/handshake-01.cap
Переименуйте clean_handshake в clean_handshake.cap
aircrack-ng -w ~/wi-fi/file1.txt -b 20:F3:A3:0C:10:A3 ~/wi-fi/clean_handshake.cap
Проверил только что всё сработало... Версия Kali Linux 2017.2 установленная на флешку.
 
  • Нравится
Реакции: Bahamas
Мы в соцсетях: