- Сообщения
- 5.001
- Реакции
- 12.481
Взлом WPA/WPA2 PSK.
Часть первая: захват WPA/WPA2 four-way-handshake.
Один из способов взлома беспроводной точки доступа WPA/WPA2 PSK является офф-лайн атака по словарю захваченного four-way-handshake, или "рукопожатие". Что такое four-way-handshake - тема для отдельной стататьи, для наших целей пока достаточно знать что это 4 пакета с данными, которыми обмениваются беспроводная точка доступа и клиент. Wireshark называет эти пакеты как 1/4 2/4 3/4 4/4 так что для удобства будем называть и так же.
Инструментарий:
1. Любой дистрибутив основанный на Debian.
2. Набор программ Aircrack-ng.
3. Анализатор трафика Wireshark.
4. Программа для маскировки MAC адреса macchanger
5. Адаптер поддерживающий функции Packet Ingjection и Handshake Capture (самый простой - TP-LINK TL-WN722N мощностью 100 mW)
Внешний вид "тренировочного" адаптера:
Если у вас desktop дистрибутив (Ubuntu, Mint, Debian, Parrot Home etc) то установить нужные пакеты можно командой
Перевод адаптера в "боевой" режим monitor Mode.
Основной режим работы адаптера - station - используется для подключения к беспроводным точкам доступа и выхода в интернет. Однако, практически все современные адаптеры имеют и другой режим работы - monitor. В этом режиме адаптер может перехватывать все пакеты от всех точек доступа до которых от сможет "дотянуться", а так же проводить "инъекцию" пакетов - "впрыскивать" фальшивые пакеты в установленное соединение между беспроводной точкой доступа и клиентом. Первая задача юного хакера - научится переводить адаптер из "гражданского" режима в "боевой" и обратно.
Для начала необходимо узнать какое обозначение присвоено в системе "боевому" адаптеру. Для этого используется команда
На скриншоте два устройства имеют обозначение, начинающееся с английской W (Wireless) - они нам и нужны. На ноутбуках по умолчанию wlan0 это встроенный адаптер, wlan1 соответсвенно внешний.
Теперь можно переводить адаптер в "боевой" режим. Для этого используется команда
Если все сделано без ошибок, то система ответит что для выбранного устройства отключен режим station и включен режим monitor:
Маскировка сетевого MAC адреса.
MAC адрес - псевдоуникальный шестибайтовый идентификатор сетевых устройств формата XX:XX:XX:XX:XX:XX. Что бы не светить "номера" своего адаптера перед атакой нужно их "замазать" - подменить с помощью программы macchanger.
На заметку: macchanger именно "маскирует" родной MAC адрес, а не изменяет его. Для взлома чужого роутера этого достаточно, так как в консоли будет отображатся поддельный адрес. Однако обмануть базовую станцию сотового оператора подделав MAC адрес смартфона или модема не удастся. Она все равно увидит "железный" MAC, а попытка "заспуфить" MAC может вызвать ненужные подозрения.
Обращаю внимание читателя на два важных момента:
1. адаптер в режиме station и в режиме monitor для системы два разных устройства. Так что маскировать нужно после перевода в "боевой" режим. Если замаскировать MAC в "гражданском" то после перевода в режим monitor у устройства будет настоящий заводской адрес.
2. Маскировать MAC адрес можно только на отключенном устройстве.
Для отключения используется все та же команда ifconfig
Погаснувший светодиод на адаптере признак того что все сделано правильно. Теперь можно маскировать MAC, для маскировки используется команда $ sudo macchebger -r wlan1mon:
Система ответить тремя строками - верхние две "родной" MAC адрес адаптера, а нижняя - замаскированный. Теперь осталось обратно включить устройство и можно приступать к боевым действиям
Поиск цели.
Для поиска цели необходимо построить список всех точек доступа до которых "дотянулся" наш адаптер (722-ой tp-link имеет мощность всего 100mW так что выдающихся показателей от него ждать наивно, для сравнения AWUS036NH от "альфы" имеет мощность 2000mW и "стреляет" на расстояние до 1 км)/ Для сканирования используется и построения списка точек доступа используется другая программа из набора aircrack-ng - airodump-ng.
В результате получится примерно вот такая таблица (BSSID и ESSID закрыты купюрами по понятным причинам):
Дабы преждевременно не загружать читателя информацией расскажу лишь про те параметры, которые важны для захвата хэндшейка.
1. Beacons - Таблица разделена по горизонтали на две части - верхняя бОльшая часть это список точек доступа, которые в данный момент посылают "в эфир" так называемые "маячки" (beacons). Эти маячки используются для оповещения что точка включена и доступна. Каждая точка посылает примерно 10 таких маячков в секунду. Если маячкм активно приростают то точка расположена относительно близко и ее можно "поработать". Если же маячки до нас долетают через раз или вовсе не далетают то тут уже без шансов (важно помнить что роутер может быть гораздо мощнее адаптера - так что маячки приниматься будут, а вот инъекция пакетов от адаптера в роутер "не долетит").
2. Stations or Clients - Помимо количества маячков следует обратить внимание на нижнюю часть таблицы. В ней отображаются пары "точка доступа (bssid) - клиент (station)", т.е. к эти точкам доступа в данный момент подключены какие-то устройства (ноутбуки, смартфоны) а значит была произведена успешная аутентификация этих устройств.
3. PWR - Мощность точки доступа. Чем меньше, тем устойчивее связь и меньше помех, проще поймать не "битый" хэндшейк.
4. Data - количество пакетов с данными. Активный прирост в данной колонке говорит о том что устройство не просто подключено но и активно обменивается данными с точкой доступа, а значит ввладелец устройства вероятнее всего в данный момент им пользуется.
5. СH - канал на котором работает роутер (от 1 до 14).
Если учесть все эти параметры то "портрет потенциальной жертвы" складывается следующий - для захвата хэндшейка нам нужна точка доступка в которой в данный момент успешно аутентифицирован и активно оменивается пакетами клиент (при нескольких вариантах выбираем точку с максимально мощным сигналом)
Атака деаутентификации.
Хендшейк можно захватить двумя способами. "Естественный" захватывается в тот момент когда к точке доступа подключается какой то клиент (например владелец вернулся с работы, его смартфон автоматически нашел точку и подключился к ней). Этот способ очеь долгий и может занимать часы, но если у вас кроме встроенного в ноутбук адаптера ничего нет то это единственный вариант - просто оставляем включенным на несколько часов airodump-ng, а после ищем EAPOL пакеты в wireshark.
"Форсированный" захват требует "боевого" адаптера и занимает меньше минуты (тестовый захват для мануала занял ровно 30 секунд). Для этого используется так называемая атака деаутентификации - в установленное соединение точка доступа - клиент "впрыскиваются" ложные пакеты, сообщающие клиенту (например ноутбуку) что он деаутентифицирован. Разумеется тут же происходит повторная аутентификация и обмен теми самыми 4 пакетами, которые мы разумеется захватим. Сначала нам нужно настроить airodump-ng на атакуемую точку доступа. Делается это так:
Где
-с - канал атакуемого
--bssid - MAC адрес атакуемого роутера
-w имя дампа в который программа автоматически запишет все пакеты
Далее самое интересное:
Атакующий пакет из набора aicrack-ng это aireplay-ng. Он может "стрелять" разными боеприпасами, но нам в данном случае нужна "лента на 64патрона пакета" фейковой деаутентификации. Заряжаем "автоматическую пушку":
Где
-0 - атака деаутентификации
1 - количество "лент"
-a MAC адрес атакуемого роутера
-с MAC адрес атакуемого клиента
Скриншот успешной атаки (все 64 "патрона" попали в цель) - в терминале справа вверху система подтвердила захват хэндшейка с указанного устройства:
Теперь нам остается загрузить .cap файл (первый из четырех, они в разделе /home) в анализатор траффика, ввести в строку сверху параметр фильтра EAPOL и убедится что у нас есть либо все 4 пакета либо как минимум комбинация 1/4+2/4 или 2/4+3/4 и можно приступать к брутфорсу.
Мануал написан эксклюзивно для форума ruTOR.
При написании использовались следующие материалы:
1.
2.
3.
Часть первая: захват WPA/WPA2 four-way-handshake.
Один из способов взлома беспроводной точки доступа WPA/WPA2 PSK является офф-лайн атака по словарю захваченного four-way-handshake, или "рукопожатие". Что такое four-way-handshake - тема для отдельной стататьи, для наших целей пока достаточно знать что это 4 пакета с данными, которыми обмениваются беспроводная точка доступа и клиент. Wireshark называет эти пакеты как 1/4 2/4 3/4 4/4 так что для удобства будем называть и так же.
Инструментарий:
1. Любой дистрибутив основанный на Debian.
2. Набор программ Aircrack-ng.
3. Анализатор трафика Wireshark.
4. Программа для маскировки MAC адреса macchanger
5. Адаптер поддерживающий функции Packet Ingjection и Handshake Capture (самый простой - TP-LINK TL-WN722N мощностью 100 mW)
Внешний вид "тренировочного" адаптера:
Если у вас desktop дистрибутив (Ubuntu, Mint, Debian, Parrot Home etc) то установить нужные пакеты можно командой
Код:
sudo apt install aircrack-ng wireshark macchanger -yПеревод адаптера в "боевой" режим monitor Mode.
Основной режим работы адаптера - station - используется для подключения к беспроводным точкам доступа и выхода в интернет. Однако, практически все современные адаптеры имеют и другой режим работы - monitor. В этом режиме адаптер может перехватывать все пакеты от всех точек доступа до которых от сможет "дотянуться", а так же проводить "инъекцию" пакетов - "впрыскивать" фальшивые пакеты в установленное соединение между беспроводной точкой доступа и клиентом. Первая задача юного хакера - научится переводить адаптер из "гражданского" режима в "боевой" и обратно.
Для начала необходимо узнать какое обозначение присвоено в системе "боевому" адаптеру. Для этого используется команда
Код:
ifconfigНа скриншоте два устройства имеют обозначение, начинающееся с английской W (Wireless) - они нам и нужны. На ноутбуках по умолчанию wlan0 это встроенный адаптер, wlan1 соответсвенно внешний.
Теперь можно переводить адаптер в "боевой" режим. Для этого используется команда
Код:
sudo airmon-ng start wlan1Если все сделано без ошибок, то система ответит что для выбранного устройства отключен режим station и включен режим monitor:
Маскировка сетевого MAC адреса.
MAC адрес - псевдоуникальный шестибайтовый идентификатор сетевых устройств формата XX:XX:XX:XX:XX:XX. Что бы не светить "номера" своего адаптера перед атакой нужно их "замазать" - подменить с помощью программы macchanger.
На заметку: macchanger именно "маскирует" родной MAC адрес, а не изменяет его. Для взлома чужого роутера этого достаточно, так как в консоли будет отображатся поддельный адрес. Однако обмануть базовую станцию сотового оператора подделав MAC адрес смартфона или модема не удастся. Она все равно увидит "железный" MAC, а попытка "заспуфить" MAC может вызвать ненужные подозрения.
Обращаю внимание читателя на два важных момента:
1. адаптер в режиме station и в режиме monitor для системы два разных устройства. Так что маскировать нужно после перевода в "боевой" режим. Если замаскировать MAC в "гражданском" то после перевода в режим monitor у устройства будет настоящий заводской адрес.
2. Маскировать MAC адрес можно только на отключенном устройстве.
Для отключения используется все та же команда ifconfig
Код:
sudo ifconfig wlan1mon downПогаснувший светодиод на адаптере признак того что все сделано правильно. Теперь можно маскировать MAC, для маскировки используется команда $ sudo macchebger -r wlan1mon:
Система ответить тремя строками - верхние две "родной" MAC адрес адаптера, а нижняя - замаскированный. Теперь осталось обратно включить устройство и можно приступать к боевым действиям
Код:
sudo ifconfig wlan1mon upПоиск цели.
Для поиска цели необходимо построить список всех точек доступа до которых "дотянулся" наш адаптер (722-ой tp-link имеет мощность всего 100mW так что выдающихся показателей от него ждать наивно, для сравнения AWUS036NH от "альфы" имеет мощность 2000mW и "стреляет" на расстояние до 1 км)/ Для сканирования используется и построения списка точек доступа используется другая программа из набора aircrack-ng - airodump-ng.
Код:
sudo airodump-ng wlan1monВ результате получится примерно вот такая таблица (BSSID и ESSID закрыты купюрами по понятным причинам):
Дабы преждевременно не загружать читателя информацией расскажу лишь про те параметры, которые важны для захвата хэндшейка.
1. Beacons - Таблица разделена по горизонтали на две части - верхняя бОльшая часть это список точек доступа, которые в данный момент посылают "в эфир" так называемые "маячки" (beacons). Эти маячки используются для оповещения что точка включена и доступна. Каждая точка посылает примерно 10 таких маячков в секунду. Если маячкм активно приростают то точка расположена относительно близко и ее можно "поработать". Если же маячки до нас долетают через раз или вовсе не далетают то тут уже без шансов (важно помнить что роутер может быть гораздо мощнее адаптера - так что маячки приниматься будут, а вот инъекция пакетов от адаптера в роутер "не долетит").
2. Stations or Clients - Помимо количества маячков следует обратить внимание на нижнюю часть таблицы. В ней отображаются пары "точка доступа (bssid) - клиент (station)", т.е. к эти точкам доступа в данный момент подключены какие-то устройства (ноутбуки, смартфоны) а значит была произведена успешная аутентификация этих устройств.
3. PWR - Мощность точки доступа. Чем меньше, тем устойчивее связь и меньше помех, проще поймать не "битый" хэндшейк.
4. Data - количество пакетов с данными. Активный прирост в данной колонке говорит о том что устройство не просто подключено но и активно обменивается данными с точкой доступа, а значит ввладелец устройства вероятнее всего в данный момент им пользуется.
5. СH - канал на котором работает роутер (от 1 до 14).
Если учесть все эти параметры то "портрет потенциальной жертвы" складывается следующий - для захвата хэндшейка нам нужна точка доступка в которой в данный момент успешно аутентифицирован и активно оменивается пакетами клиент (при нескольких вариантах выбираем точку с максимально мощным сигналом)
Атака деаутентификации.
Хендшейк можно захватить двумя способами. "Естественный" захватывается в тот момент когда к точке доступа подключается какой то клиент (например владелец вернулся с работы, его смартфон автоматически нашел точку и подключился к ней). Этот способ очеь долгий и может занимать часы, но если у вас кроме встроенного в ноутбук адаптера ничего нет то это единственный вариант - просто оставляем включенным на несколько часов airodump-ng, а после ищем EAPOL пакеты в wireshark.
"Форсированный" захват требует "боевого" адаптера и занимает меньше минуты (тестовый захват для мануала занял ровно 30 секунд). Для этого используется так называемая атака деаутентификации - в установленное соединение точка доступа - клиент "впрыскиваются" ложные пакеты, сообщающие клиенту (например ноутбуку) что он деаутентифицирован. Разумеется тут же происходит повторная аутентификация и обмен теми самыми 4 пакетами, которые мы разумеется захватим. Сначала нам нужно настроить airodump-ng на атакуемую точку доступа. Делается это так:
Код:
sudo airodump-ng -с 6 --bssid xx:xx:xx:xx:xx:xx -w rutor wlan1monГде
-с - канал атакуемого
--bssid - MAC адрес атакуемого роутера
-w имя дампа в который программа автоматически запишет все пакеты
Далее самое интересное:
Атакующий пакет из набора aicrack-ng это aireplay-ng. Он может "стрелять" разными боеприпасами, но нам в данном случае нужна "лента на 64
Код:
sudo aireplay-ng -0 1 -a xx:xx:xx:xx:xx -c xx:xx:xx:xx:xx:xx wlan1monГде
-0 - атака деаутентификации
1 - количество "лент"
-a MAC адрес атакуемого роутера
-с MAC адрес атакуемого клиента
Скриншот успешной атаки (все 64 "патрона" попали в цель) - в терминале справа вверху система подтвердила захват хэндшейка с указанного устройства:
Теперь нам остается загрузить .cap файл (первый из четырех, они в разделе /home) в анализатор траффика, ввести в строку сверху параметр фильтра EAPOL и убедится что у нас есть либо все 4 пакета либо как минимум комбинация 1/4+2/4 или 2/4+3/4 и можно приступать к брутфорсу.
Мануал написан эксклюзивно для форума ruTOR.
При написании использовались следующие материалы:
1.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
2.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
3.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Последнее редактирование модератором:
