Брут WPA2 без handshake используя PMKID + hashcat

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by Vikhedgehog, 6 Aug 2018.

  1. hydra

    hydra Elder - Старейшина

    Joined:
    24 Jul 2015
    Messages:
    3,345
    Likes Received:
    36,497
    Reputations:
    70
    Скорее всего,захват возможен только при задействовании двух адаптеров.Один подключается.Второй дампит.Один адаптер находящийся в monitor mode,не может пдключаться к точке штатным методом.
     
  2. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Хм... а в чём проблема в режиме монитора, посылая пакеты, имитировать подключение, чтобы пакет M1 пришёл?
     
    hydra and 4Fun like this.
  3. hydra

    hydra Elder - Старейшина

    Joined:
    24 Jul 2015
    Messages:
    3,345
    Likes Received:
    36,497
    Reputations:
    70
    Думал об этом,но немогу сказать,что это реализовано в софте о котором идёт речь.Ведь если бы это было так,то наверняка бы всё срабатывало.
    Нужно чтобы кто-нибудь отписался об успешном захвате PMKID без клиента.
     
  4. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    1,135
    Likes Received:
    1,931
    Reputations:
    24
    Вопрос в другом - а чем это можно осуществить. aireplay-ng умеет имитировать подключение, но только к wep сетям.

    А роутерскан можно обучить таким возможностям?
     
  5. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    aireplay-ng с открытым кодом, и его можно научить этому.
    Под Windows не всё так гладко с режимом монитора, а с инъекцией пакетов вообще не ахти.
     
    4Fun, Kakoluk, munki and 2 others like this.
  6. Toroid

    Toroid Member

    Joined:
    9 Oct 2016
    Messages:
    92
    Likes Received:
    61
    Reputations:
    1
    Пробовал этот метод на альфе awus051nh v2 чип RT3572.
    И вот что заметил - сообщения [FOUND PMKID] (как в цитате ниже) - не появляется.

    Значит ли это, что этот адаптер не умеет эту атаку?
     
  7. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Не обязательно, может уязвимых точек в округе нет.

    Для дополнительной уверенности можно попробовать проверить на другом адаптере.
     
    4Fun and Toroid like this.
  8. yarr

    yarr Member

    Joined:
    19 Aug 2017
    Messages:
    135
    Likes Received:
    88
    Reputations:
    2
    Вот читаешь этот тред и диву даешься. Еще выше кто-то писал, что без клиентов не работает. Просто скину сюда свою же пасту.

    Атака позволяет захватывать PMKID в 2 случаях - когда у точки уже есть клиент, если его нет скрипт сам выполнит пробное подключение.

    +еще шейки иногда ловит, надо только их попробовать извлечь из файла.

    Вот сейчас еще раз все проверил - в начале атаки скрипт нам показывает MAC нашего фейкового клиента:

    root@yarr:~# hcxdumptool -o test1.pcapng -i wlan1 --enable_status=1

    start capturing (stop with ctrl+c)
    INTERFACE:...............: wlan1
    FILTERLIST...............: 0 entries
    MAC CLIENT...............: f0a225XXXXXX (client)
    MAC ACCESS POINT.........: 00238XXXXXX (start NIC)
    EAPOL TIMEOUT............: 150000
    REPLAYCOUNT..............: 63545
    ANONCE...................: d5a4547b0e4c344f7a6273737878ba314680c6e9ea139fde4cfaa9073b8dfd11

    [17:16:11 - 001] b4a5efXXXXXX -> f0a225XXXXXXX [FOUND PMKID CLIENT-LESS]
    [17:16:12 - 001] fcc897XXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS] ------->>> это мы получили с 1 ТД 2 PMKID (наш фейк клиент и реальный) и 1 HENDSHAKE
    [17:16:12 - 001] fcc897XXXXXX -> 64a651XXXXXX [FOUND PMKID]
    [17:16:12 - 001] fcc897XXXXXX -> 64a65192d9a8 [FOUND AUTHORIZED HANDSHAKE, EAPOL TIMEOUT 34896]
    [17:16:57 - 006] 6c3b6bXXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS]
    [17:17:23 - 003] 78312bXXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS]
    [17:17:47 - 013] a039eeXXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS]
    [17:18:32 - 003] cc4eecXXXXXX -> 8c3ae3XXXXXX [FOUND PMKID]
    [17:18:39 - 007] fcc897XXXXXX-> 40490fXXXXXX [FOUND PMKID]
    INFO: cha=2, rx=14304, rx(dropped)=4491, tx=2130, powned=9, err=0

    FOUND PMKID-LESS - нашел с помощью пробного подключения, там нет клиентов или скрипт по каким-то причинам их не обнаружил.
    FOUND PMKID - нашел с помощью клиента на точке.
    FOUND AUTHORIZED HANDSHAKE - сабж.

    Я параллельно airodump-ng чекал клиентов, все верно. И эти клиенты совпадают со значениями в логе.

    К тому же те, кто следят за веткой на форуме hashcat и так прекрасно понимают что не всегда нужен клиент на уязвимых точках. + В оригинальной статье это прямым текстом сказано.

    Вот немного про атаки от автора инструмента

    hcxdumptool is able to run different attack vectors. And the client-less (PMKID) attack vector is only one of them:


    ap-less:

    Only one packet (M2) from a client required. You do not need to hunt for access points. Just wait until the clients come to you. Have patience - some clients will give you their PSK in the clear (hcxpcaptool -E -I -U)!

    This attack vector is the most important one, because clients are weak! Try to annoy them!

    You can run --nonce-error-corrections=0 on that handshake!


    client-less:

    Only one packet (M1 - PMKID) from an access point is required.

    You have to hunt for access points (usually access points don't move). It's hard to annoy an access point.

    You need to have a good antenna (high gain)!


    m4 - retry:

    After receipt of a single M4, M1, M2, M3 are requested as long as we didn't successfull captured an authorized handshake (M2/M3).

    A client and an access point are required for this attack vector! You need to have a good antenna!


    deauthentication (old school):

    Disconnect a client from the network and capture the following authentication.

    A client and an access point are required for this attack vector!

    You need to have a good antenna (high gain)!

    Attack vector will not work if PMF is enabled



    Possible reason why you didn't receive a PMKID:

    No access point with activated roaming is in range.


    But so what:

    A client is in range - play with him!

    Там есть опции для максимальной скрытности от WIDS, + сейчас вендоры роутеров внедрют технологию защиты от DOS атак.
     
    hydra, Triton_Mgn, ZartArn and 2 others like this.
  9. yarr

    yarr Member

    Joined:
    19 Aug 2017
    Messages:
    135
    Likes Received:
    88
    Reputations:
    2
    По поводу адаптеров, как выше кто-то писал - почти любой с возможностью инъекции пакетов. Я тестировал на 036H, ACH, TP LINK 721N (Atheros 9271 без L) + еще Intel, штеуд хуже всех, но все равно ловит, хоть и с ошибками. Думаю дело в его малой мощности, чувствительности и т.д.
     
  10. yarr

    yarr Member

    Joined:
    19 Aug 2017
    Messages:
    135
    Likes Received:
    88
    Reputations:
    2
    Возможно дело в том, что сами инструменты активно обновляются. Надо раз в неделю гит проверять. Тоже сначала не понимал в чем дело. Стоит обратить внимание на опции --enable_status=1 это уровень детализации атаки.
     
  11. Toroid

    Toroid Member

    Joined:
    9 Oct 2016
    Messages:
    92
    Likes Received:
    61
    Reputations:
    1
    Проверил на этом же адаптере, но в другой географии. Чего-то поймал, в смысле сообщение [FOUND PMKID] я увидел.
    Так что этот чип тоже можно добавить в перечень годных.
     
  12. Monashka

    Monashka Member

    Joined:
    20 Sep 2017
    Messages:
    51
    Likes Received:
    10
    Reputations:
    0
    Формула для акулы есть?
    Запрос можно и вручную отправить. Автор на источнике указал примеры, там на 14 хэндшейков приходится 1 PMKID..
     
  13. VasiliyP

    VasiliyP Elder - Старейшина

    Joined:
    30 Aug 2011
    Messages:
    365
    Likes Received:
    676
    Reputations:
    11
    [​IMG]
     
    hydra, 4Fun, munki and 2 others like this.
  14. CRACK211

    CRACK211 Elder - Старейшина

    Joined:
    16 Sep 2009
    Messages:
    1,047
    Likes Received:
    1,127
    Reputations:
    11
    Чем захвачен ? Можно подробней описать процесс?
     
  15. VasiliyP

    VasiliyP Elder - Старейшина

    Joined:
    30 Aug 2011
    Messages:
    365
    Likes Received:
    676
    Reputations:
    11
    В консоли: tcpdump -nei wlan0 -s0 -xx
    если нужно сохранить файл то опция -w file.cap
    отфильтровать только EAPOL пакеты - в конце добавить ether proto 0x888e
    Суть в том, что свои EAPOL пакеты видны на wi-fi интерфейсе и без режима монитора.
     
    munki, Kakoluk, erwerr2321 and 5 others like this.
  16. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Я правильно понимаю, что для tcpdump нужны root права? Или есть окольные пути? :)
     
  17. CRACK211

    CRACK211 Elder - Старейшина

    Joined:
    16 Sep 2009
    Messages:
    1,047
    Likes Received:
    1,127
    Reputations:
    11
    То есть получается нужда в ловли хейндшека отпадает ? И возня с переводом адаптера в монитор мод тоже? Из этого следует что на Виндоус можно ловить pmkid и расшифровать. А из это следует что бинартмастер может прикрутить эту фичу вRS?
     
  18. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,811
    Likes Received:
    18,426
    Reputations:
    377
    Права на запуск программы tcpdump определяются правами доступа к устройсву bpf (/dev/bpf0). Эти права можно регулировать через devfs. Если вы предоставляете, например, группе operator права на чтение из этого устройства, то это значит, что все члены этой группы смогут перехватывать любой трафик, в том числе трафик суперпользователя.

    Если речь идет за андройд, то да, tcpdump там запускается от суперпользователя:
    https://www.androidtcpdump.com/

    Утилиту tcpdump можно использовать не только в Linux, но Windows.
    TCPDUMP для Windows является клоном TCPDUMP, наиболее используемого сетевого анализатора / анализатора для UNIX, скомпилированного с исходным кодом tcpdump (tcpdump.org) и пакетом SDK от Microolap Packet Sniffer (без libpcap / WinPcap).
    Клон TCPDUMP для Windows можно скачать на microolap.com
    --------
    https://wiki.dieg.info/tcpdump
     
    _________________________
  19. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Если что-то работает в Android (читай Linux), из этого не следует, что заработает в Windows.

    Я много раз мониторил Wireshark'ом процесс подключения к точке (в managed режиме) под Windows. Никаких EAPOL пакетов не приходило.

    Однако есть у меня одна мысля на этот счёт, возможно точки с включённым WPS поддадутся на один трюк...
     
    4Fun, Kakoluk, Piligrim740 and 9 others like this.
  20. VasiliyP

    VasiliyP Elder - Старейшина

    Joined:
    30 Aug 2011
    Messages:
    365
    Likes Received:
    676
    Reputations:
    11
    Ага.
    Это было бы верно, если бы все точки отдавали этот PMKID...
     
    CRACK211, 4Fun and hydra like this.
Loading...