Брут WPA2 без handshake используя PMKID + hashcat

Скорее всего,захват возможен только при задействовании двух адаптеров.Один подключается.Второй дампит.Один адаптер находящийся в monitor mode,не может пдключаться к точке штатным методом.

 

Хм... а в чём проблема в режиме монитора, посылая пакеты, имитировать подключение, чтобы пакет M1 пришёл?

 

Думал об этом,но немогу сказать,что это реализовано в софте о котором идёт речь.Ведь если бы это было так,то наверняка бы всё срабатывало.
Нужно чтобы кто-нибудь отписался об успешном захвате PMKID без клиента.

 

Вопрос в другом - а чем это можно осуществить. aireplay-ng умеет имитировать подключение, но только к wep сетям.

А роутерскан можно обучить таким возможностям?

 

aireplay-ng с открытым кодом, и его можно научить этому.

Под Windows не всё так гладко с режимом монитора, а с инъекцией пакетов вообще не ахти.

 

Пробовал этот метод на альфе awus051nh v2 чип RT3572.
И вот что заметил - сообщения [FOUND PMKID] (как в цитате ниже) - не появляется.

Значит ли это, что этот адаптер не умеет эту атаку?

 

Не обязательно, может уязвимых точек в округе нет.

Для дополнительной уверенности можно попробовать проверить на другом адаптере.

 

Вот читаешь этот тред и диву даешься. Еще выше кто-то писал, что без клиентов не работает. Просто скину сюда свою же пасту.

Атака позволяет захватывать PMKID в 2 случаях - когда у точки уже есть клиент, если его нет скрипт сам выполнит пробное подключение.

+еще шейки иногда ловит, надо только их попробовать извлечь из файла.

Вот сейчас еще раз все проверил - в начале атаки скрипт нам показывает MAC нашего фейкового клиента:

root@yarr:~# hcxdumptool -o test1.pcapng -i wlan1 --enable_status=1

start capturing (stop with ctrl+c)
INTERFACE:...............: wlan1
FILTERLIST...............: 0 entries
MAC CLIENT...............: f0a225XXXXXX (client)
MAC ACCESS POINT.........: 00238XXXXXX (start NIC)
EAPOL TIMEOUT............: 150000
REPLAYCOUNT..............: 63545
ANONCE...................: d5a4547b0e4c344f7a6273737878ba314680c6e9ea139fde4cfaa9073b8dfd11

[17:16:11 - 001] b4a5efXXXXXX -> f0a225XXXXXXX [FOUND PMKID CLIENT-LESS]
[17:16:12 - 001] fcc897XXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS] ------->>> это мы получили с 1 ТД 2 PMKID (наш фейк клиент и реальный) и 1 HENDSHAKE
[17:16:12 - 001] fcc897XXXXXX -> 64a651XXXXXX [FOUND PMKID]
[17:16:12 - 001] fcc897XXXXXX -> 64a65192d9a8 [FOUND AUTHORIZED HANDSHAKE, EAPOL TIMEOUT 34896]
[17:16:57 - 006] 6c3b6bXXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS]
[17:17:23 - 003] 78312bXXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS]
[17:17:47 - 013] a039eeXXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS]
[17:18:32 - 003] cc4eecXXXXXX -> 8c3ae3XXXXXX [FOUND PMKID]
[17:18:39 - 007] fcc897XXXXXX-> 40490fXXXXXX [FOUND PMKID]
INFO: cha=2, rx=14304, rx(dropped)=4491, tx=2130, powned=9, err=0

FOUND PMKID-LESS - нашел с помощью пробного подключения, там нет клиентов или скрипт по каким-то причинам их не обнаружил.
FOUND PMKID - нашел с помощью клиента на точке.
FOUND AUTHORIZED HANDSHAKE - сабж.

Я параллельно airodump-ng чекал клиентов, все верно. И эти клиенты совпадают со значениями в логе.

К тому же те, кто следят за веткой на форуме hashcat и так прекрасно понимают что не всегда нужен клиент на уязвимых точках. + В оригинальной статье это прямым текстом сказано.

Вот немного про атаки от автора инструмента

Spoiler

hcxdumptool is able to run different attack vectors. And the client-less (PMKID) attack vector is only one of them:


ap-less:

Only one packet (M2) from a client required. You do not need to hunt for access points. Just wait until the clients come to you. Have patience - some clients will give you their PSK in the clear (hcxpcaptool -E -I -U)!

This attack vector is the most important one, because clients are weak! Try to annoy them!

You can run --nonce-error-corrections=0 on that handshake!


client-less:

Only one packet (M1 - PMKID) from an access point is required.

You have to hunt for access points (usually access points don't move). It's hard to annoy an access point.

You need to have a good antenna (high gain)!


m4 - retry:

After receipt of a single M4, M1, M2, M3 are requested as long as we didn't successfull captured an authorized handshake (M2/M3).

A client and an access point are required for this attack vector! You need to have a good antenna!


deauthentication (old school):

Disconnect a client from the network and capture the following authentication.

A client and an access point are required for this attack vector!

You need to have a good antenna (high gain)!

Attack vector will not work if PMF is enabled



Possible reason why you didn't receive a PMKID:

No access point with activated roaming is in range.


But so what:

A client is in range - play with him!

Там есть опции для максимальной скрытности от WIDS, + сейчас вендоры роутеров внедрют технологию защиты от DOS атак.

 

По поводу адаптеров, как выше кто-то писал - почти любой с возможностью инъекции пакетов. Я тестировал на 036H, ACH, TP LINK 721N (Atheros 9271 без L) + еще Intel, штеуд хуже всех, но все равно ловит, хоть и с ошибками. Думаю дело в его малой мощности, чувствительности и т.д.

 

Возможно дело в том, что сами инструменты активно обновляются. Надо раз в неделю гит проверять. Тоже сначала не понимал в чем дело. Стоит обратить внимание на опции --enable_status=1 это уровень детализации атаки.

 

Проверил на этом же адаптере, но в другой географии. Чего-то поймал, в смысле сообщение [FOUND PMKID] я увидел.
Так что этот чип тоже можно добавить в перечень годных.

 

Формула для акулы есть?
Запрос можно и вручную отправить. Автор на источнике указал примеры, там на 14 хэндшейков приходится 1 PMKID..

 

Spoiler: PMKD захвачен на обычном андроиде, при подключении к сети, tcpdump-ом:

 

Чем захвачен ? Можно подробней описать процесс?

 

В консоли: tcpdump -nei wlan0 -s0 -xx
если нужно сохранить файл то опция -w file.cap
отфильтровать только EAPOL пакеты - в конце добавить ether proto 0x888e
Суть в том, что свои EAPOL пакеты видны на wi-fi интерфейсе и без режима монитора.

 

Я правильно понимаю, что для tcpdump нужны root права? Или есть окольные пути?

 

То есть получается нужда в ловли хейндшека отпадает ? И возня с переводом адаптера в монитор мод тоже? Из этого следует что на Виндоус можно ловить pmkid и расшифровать. А из это следует что бинартмастер может прикрутить эту фичу вRS?

 

Права на запуск программы tcpdump определяются правами доступа к устройсву bpf (/dev/bpf0). Эти права можно регулировать через devfs. Если вы предоставляете, например, группе operator права на чтение из этого устройства, то это значит, что все члены этой группы смогут перехватывать любой трафик, в том числе трафик суперпользователя.

Если речь идет за андройд, то да, tcpdump там запускается от суперпользователя:
https://www.androidtcpdump.com/

Утилиту tcpdump можно использовать не только в Linux, но Windows.
TCPDUMP для Windows является клоном TCPDUMP, наиболее используемого сетевого анализатора / анализатора для UNIX, скомпилированного с исходным кодом tcpdump (tcpdump.org) и пакетом SDK от Microolap Packet Sniffer (без libpcap / WinPcap).
Клон TCPDUMP для Windows можно скачать на microolap.com
--------
https://wiki.dieg.info/tcpdump

 

Если что-то работает в Android (читай Linux), из этого не следует, что заработает в Windows.

Я много раз мониторил Wireshark'ом процесс подключения к точке (в managed режиме) под Windows. Никаких EAPOL пакетов не приходило.

Однако есть у меня одна мысля на этот счёт, возможно точки с включённым WPS поддадутся на один трюк...

 

Ага.

Это было бы верно, если бы все точки отдавали этот PMKID...