Брут WPA2 без handshake используя PMKID + hashcat

Обсуждение в разделе «Беспроводные технологии/Wi-Fi/Wardriving», начал(-а) Vikhedgehog, 6.08.2018.

  1. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Регистрация:
    24.07.2013
    Сообщения:
    367
    Одобрения:
    163
    Репутация:
    19
    RSN IE - это необязательное поле, которое можно найти в рамах управления 802.11. Одной из возможностей RSN является PMKID. PMKID вычисляется с использованием HMAC-SHA1, где ключ является PMK, а часть данных представляет собой конкатенацию фиксированной строковой метки «PMK Name», MAC-адрес точки доступа и MAC-адрес станции. Поскольку PMK такой же, как в обычном четырехстороннем рукопожатии EAPOL, это идеальный вектор атаки.

    Мы получаем все необходимые данные в первом кадре EAPOL из AP.


    Основное отличие от существующих атак заключается в том, что в этой атаке захват полного 4-стороннего рукопожатия EAPOL не требуется. Новая атака выполняется в IE RSN (надежный сетевой информационный элемент безопасности) одного кадра EAPOL.

    В настоящее время мы не знаем, для каких поставщиков или для какого количества маршрутизаторов этот метод будет работать, но мы думаем, что он будет работать против всех сетей 802.11i / p / q / r с включенными функциями роуминга (большинство современных маршрутизаторов).

    Основными преимуществами этой атаки являются следующие:
    • Больше не требуется регулярных пользователей - потому что злоумышленник напрямую связывается с AP (иначе говоря, «без клиента»)
    • Больше не нужно ждать полного 4-стороннего рукопожатия между обычным пользователем и AP
    • Отсутствие ретрансмиссии кадров EAPOL (что может привести к результатам, которые невозможно устранить)
    • Исключает неверные пароли, посланные обычным пользователем
    • Больше нет потерянных кадров EAPOL, когда обычный пользователь или AP находится слишком далеко от злоумышленника
    • Больше не требуется фиксировать значения nonce и replaycounter (что приводит к чуть более высоким скоростям)
    • Больше нет специального формата вывода (pcap, hccapx и т. Д.) - окончательные данные будут отображаться как обычная строка с шестнадцатеричным кодированием
    Нам потребуются:
    Производим атаку:
    1.
    Code:
    $ ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status
    Ждем, пока в выводе не увидим что-то подобное:
    Code:
    [13:29:57 - 011] 89acf0e761f4 -> 4604ba734d4e <ESSID> [ASSOCIATIONREQUEST, SEQUENCE 4]
    [13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [ASSOCIATIONRESPONSE, SEQUENCE 1206]
    [13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [FOUND PMKID]
    2.
    Переводим в нужный формат и скармливаем наш файл хэшкэту (да-да, по прежнему нужно брутить, так что пока не как с WEP)
    Code:
    $ ./hcxpcaptool -z test.16800 test.pcapng
    Собственно на этом всё. Думаю это значительно облегчит брут точек с клиентскими устройствами, находящимися вне диапазона атакующего, а также откроет возможность быстрого сбора хэндшейков с пустых сетей в любых интересующих местах. Пишите, какие роутеры поддаются на практике, а то возможности протестировать пока нет. Осмелюсь также предположить, что в перспективе данная уязвимость будет лечиться обновлением прошивки на AP.

    Оригинал статьи (советую почитать, я перевёл только основное) - https://hashcat.net/forum/thread-7717.html
     
    #1 Vikhedgehog, 6.08.2018
    В последний раз редактировалось: 6.08.2018
  2. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Регистрация:
    24.07.2013
    Сообщения:
    367
    Одобрения:
    163
    Репутация:
    19
    Только что проверил на TL-WN722N v1, чип atheros. Работает, но из ~30-40 сетей за 10 минут прога бахнула только штуки 4. Конкретный BSSID там, насколько понял, указать нельзя, поэтому прога скачет по каналам и атакует всё, что шлёт хоть какие-то фреймы. В данный момент вижу [tx=7458, powned=4, err=0]. Из жертв - точки asus rt-ac66u и микротики пока что.
     
  3. yarr

    yarr Member

    Регистрация:
    19.08.2017
    Сообщения:
    135
    Одобрения:
    88
    Репутация:
    2
    Протестировал Alfa 036 ACH, Alfa 036H, TP-LINK 721N, чипсет INTEL 3165 AC. Из них нормально работают только Alfa 036H и Alfa 036 ACH. Туполинк менее мощный (видит меньше сетей) и перебирает медленно. Но PMKID нашел. Чип от Intel работает на рандом, PMKID может поймать при везении, но хеш потом практически не возможно получить.
     
    Это одобряют quite gray, Gashek и CRACK211.
  4. Gashek

    Gashek Well-Known Member

    Регистрация:
    16.02.2017
    Сообщения:
    220
    Одобрения:
    744
    Репутация:
    13
    Сегодня, нашлось время протестировать
    На даче был, только Ubiquiti WiFiStation
    [​IMG]
    чип тот же, AR9271
    ---
    По теме...PMKID + hashcat

    Отличное решение для дачников (кто находится рядом с городскими поселениями), моряков и т.д., если клиентов не видно, но точка хорошо вещает
    ---
    Расстояние, если верить яндекс картоизмерителю до близжайшего посёлка 580 метров
    Устройство, отлично отработало),
    нашло до х.. сетей c клиентами -1 PWR, в том числе совсем без клиентов,
    из них 5 сетей с нормальной мощностью, которые были ....)
    Так, что однозначно, Must Have!
     
  5. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Регистрация:
    24.07.2013
    Сообщения:
    367
    Одобрения:
    163
    Репутация:
    19
    Протестил также на rtl8192cu (TP-LINK WN821N v4) - полёт нормальный.
    Находит пмкид у всех новых асусов, вне зависимости от модели.
    Чуть интереснее обстоят дела с зухелем, свежую ультру II берёт через несколько секунд после запуска скрипта, а на кинетике 4G II 2014 года - ноль.
    С D-Link DSL-2640NRU и DAP-1360 тоже пока по нулям.
    Продолжаю наблюдение :D
     
  6. TOX1C

    TOX1C Elder - Старейшина

    Регистрация:
    24.03.2012
    Сообщения:
    1 138
    Одобрения:
    1 939
    Репутация:
    24
    Адаптеры скорее всего будут работать все в независимости от чипсета и т.д., главное чтобы инжектить пакеты умел.

    С точками все просто. В wireshark нужно выбрать первый eapol пакет, раскрыть дерево 802.1x Auth. Если внизу поле WPA Key Data Length = 0, точка не сдастся.

    В противном случае можно хоть с неполного хендшейка выдрать pmkid, хоть самому подключиться к точке с неверным паролем и так же получить искомое.

    [​IMG]

    Пока что список уязвимого следующий:
    Mikrotik Routerboard
    Cisco точки доступа
    Tenda (ralink chipset)
    Netis, totolink, asus rt-n10/n12, huawei ws319 под вопросом (pmkid = 00000000..) (realtek chipset)
    Dlink DSL-2640U 96333AWG_F7S, Dsl-2650u (broadcom chipset)
    ASUS RT-N10U, RT-N18U (broadcom chipset)
    Dlink DIR-615 (broadcom chipset)

    Неуязвимы
    Похоже что все tp-link
    Tenda (broadcom chipset)
    huawei hg532e
    zte h108n, zte h108l
    ubiquiti
    d-link старых ревизий dir 300/320, dsl-2640
    Zyxel со старыми прошивками
     
    #6 TOX1C, 10.08.2018
    В последний раз редактировалось: 10.08.2018
  7. hydra

    hydra Elder - Старейшина

    Регистрация:
    24.07.2015
    Сообщения:
    3 513
    Одобрения:
    38 507
    Репутация:
    85
    Уязвимы ростеловские:
    Mitrastar
    Sagemcom
    Eltex
    ZAO NPK RoTeK
    OJSC Ufimskiy Zavod Promsvyaz
     
    #7 hydra, 11.08.2018
    В последний раз редактировалось: 19.08.2018
    Это одобряет Piligrim740.
  8. WELK

    WELK Member

    Регистрация:
    14.01.2017
    Сообщения:
    96
    Одобрения:
    8
    Репутация:
    0
    На скорость перебора я так понимаю никак не влияет?
     
  9. user100

    user100 Moderator

    Регистрация:
    24.12.2011
    Сообщения:
    4 877
    Одобрения:
    18 850
    Репутация:
    377
    Скорость идентична перебору хендшейка wpa/wpa2.
     
    _________________________
  10. alian

    alian Member

    Регистрация:
    7.12.2009
    Сообщения:
    67
    Одобрения:
    56
    Репутация:
    0
    Линуксоиды, распишите виндузятнику на пальцах, как запустить эту прогу. На WiFiSlax должна заработать?
     
  11. Tudiblad

    Tudiblad Member

    Регистрация:
    3.10.2017
    Сообщения:
    58
    Одобрения:
    19
    Репутация:
    0
    А атаку на конкретную точку доступа возможно провести или только пачкой (полным прослушиванием эфира)? А так получается, я даже не знаю, от какой точки доступа у меня PMKID, может уже та, что у меня есть.
     
    #11 Tudiblad, 15.08.2018
    В последний раз редактировалось: 15.08.2018
  12. Toroid

    Toroid Member

    Регистрация:
    9.10.2016
    Сообщения:
    92
    Одобрения:
    61
    Репутация:
    1
    Возможно корявенько получилось, но не пинайте сильно, я ненастоящий сварщик (с)

    Делал в Кали. Все в терминале
    1. git clone https://github.com/ZerBea/hcxdumptool
    2. cd hcxdumptool
    3. make
    4. sudo make install
    После этого получаем установленным первый компонент. После этого можно запускать атаку, единственно что у меня ключ --enable_status попросил значение, я тупо сложил все возможные числа из хелпа и указал 15

    Он чего-то наловит в файл.

    Чтобы сконвертировать, надо установить hcxpcaptool. Все аналогично устанавливается:
    5. git clone https://github.com/ZerBea/hcxtools
    6. cd hcxtools
    7. make
    8. У меня начало ругаться на недостающие библиотеки, пришлось их доустанавливать (5 минут в Гугле) apt install libssl-dev libcurl4-openssl-dev и еще apt install libz-dev
    9. После этого make прошел без ошибок
    10. sudo make install
     
  13. Toroid

    Toroid Member

    Регистрация:
    9.10.2016
    Сообщения:
    92
    Одобрения:
    61
    Репутация:
    1
    В ветке https://hashcat.net/forum/thread-7717.html упоминаются ключи --filtermode=2 --filterlist=filter.txt
    Я создал файлик filter.txt, куда вписал мак интересующей точки (взял из airodump'а), только убрав двоеточия. Глянул потом в файл test.pcapng wireshark'ом, там все доступные сети в округе. Т.е. фильтр не работает. Или я что-то не так делаю...
     
  14. hydra

    hydra Elder - Старейшина

    Регистрация:
    24.07.2015
    Сообщения:
    3 513
    Одобрения:
    38 507
    Репутация:
    85
    Похоже,что так оно и есть.Пробовал добавлять в фильтр целевую AP.И наооборот,все AP,кроме целевой.В обоих случаях,атака идёт на все видимые AP.
     
  15. Toroid

    Toroid Member

    Регистрация:
    9.10.2016
    Сообщения:
    92
    Одобрения:
    61
    Репутация:
    1
    У меня хэшкота нет (нетбук), но я попробовал так (увидел на Гитхабе):
    файл после первого этапа заливаю на wpa-sec.stanev.org предварительно сменив расширение на cap.
    Когда я первый раз туда загрузил файл, в my nets отобразились несколько сетей. А после того, как я попробовал с фильтром и загрузил файл - только одна, мак которой я указал. Хотя в файле полно названия сетей... может быть он пакеты захватывает, пишет названия сетей, но дальнейшие данные по ним не пишет.

    Но мне еще предстоит атака на заветную точку - там проводное подключение к роутеру, вайфай в пустоту светит - хэндшейк на ней вообще не ловится и подключенных клиентов я не вижу. Вот тогда и поглядим...
     
  16. igrek

    igrek Member

    Регистрация:
    20.08.2016
    Сообщения:
    106
    Одобрения:
    63
    Репутация:
    1
    Если я правильно понял, то при наличии двух ноутов, те две программы из первого поста не нужны ? С одного ноута пытаемся подключиться с "левым" паролем, а другим ловим хендшейк ? Если так, то объясните пожалуйста, как выдрать из "акулы" PMKID и как подсунуть его "коту" (в смысле какой тип атаки выбирать) ??

    Пользуюсь "котом" 3.2 или нужен более поздний ?
     
  17. hydra

    hydra Elder - Старейшина

    Регистрация:
    24.07.2015
    Сообщения:
    3 513
    Одобрения:
    38 507
    Репутация:
    85
    Используй hcxpcaptool
    -m 16800
    Нужен не ниже 4.2.1
     
  18. Tudiblad

    Tudiblad Member

    Регистрация:
    3.10.2017
    Сообщения:
    58
    Одобрения:
    19
    Репутация:
    0
    Доброго дня всем. Кто знает, что означают цифры:
    - you can run --enable-status=1 --enable-status=2 --enable-status=4 --enable-status=8
    - or use the bitmask: --enable-status3 (= --enable-status=1 + --enable-status=2)?
     
  19. igrek

    igrek Member

    Регистрация:
    20.08.2016
    Сообщения:
    106
    Одобрения:
    63
    Репутация:
    1
    Спасибо, всё получилось, один пароль нашёл (Huawei HG8245H), остальные безклиентские точки ТПлинки,- обидно.
    Мне всё же кажется, что через "левый" CAP с неправильным паролем делать удобнее.

    Если кому надо - готовые XZM модули для WIFISLAX-4-12 hcxdumptool и hcxtools
    https://yadi.sk/d/jRcYuntq3aJ3mz

    Интересно, существует ли ГУИ для "кота" в котором есть этот пункт PMKID ?
     
  20. yx-ex

    yx-ex Well-Known Member

    Регистрация:
    14.05.2011
    Сообщения:
    758
    Одобрения:
    787
    Репутация:
    10
    Ругается на твои модули при загрузке.Спрашивает-модуло коррупто? )) Это для 32битной 4.12 или для 64 битной?

    Upd-разобрался,там перед xzm пробел лишний в названии
     
    #20 yx-ex, 16.08.2018
    В последний раз редактировалось: 16.08.2018
Загрузка...
Similar Threads - Брут WPA2 handshake
  1. user100
    Ответы:
    53 270
    Просмотры:
    27 005 438