Скорее всего,захват возможен только при задействовании двух адаптеров.Один подключается.Второй дампит.Один адаптер находящийся в monitor mode,не может пдключаться к точке штатным методом.
Хм... а в чём проблема в режиме монитора, посылая пакеты, имитировать подключение, чтобы пакет M1 пришёл?
Думал об этом,но немогу сказать,что это реализовано в софте о котором идёт речь.Ведь если бы это было так,то наверняка бы всё срабатывало. Нужно чтобы кто-нибудь отписался об успешном захвате PMKID без клиента.
Вопрос в другом - а чем это можно осуществить. aireplay-ng умеет имитировать подключение, но только к wep сетям. А роутерскан можно обучить таким возможностям?
aireplay-ng с открытым кодом, и его можно научить этому. Под Windows не всё так гладко с режимом монитора, а с инъекцией пакетов вообще не ахти.
Пробовал этот метод на альфе awus051nh v2 чип RT3572. И вот что заметил - сообщения [FOUND PMKID] (как в цитате ниже) - не появляется. Значит ли это, что этот адаптер не умеет эту атаку?
Не обязательно, может уязвимых точек в округе нет. Для дополнительной уверенности можно попробовать проверить на другом адаптере.
Вот читаешь этот тред и диву даешься. Еще выше кто-то писал, что без клиентов не работает. Просто скину сюда свою же пасту. Атака позволяет захватывать PMKID в 2 случаях - когда у точки уже есть клиент, если его нет скрипт сам выполнит пробное подключение. +еще шейки иногда ловит, надо только их попробовать извлечь из файла. Вот сейчас еще раз все проверил - в начале атаки скрипт нам показывает MAC нашего фейкового клиента: root@yarr:~# hcxdumptool -o test1.pcapng -i wlan1 --enable_status=1 start capturing (stop with ctrl+c) INTERFACE:...............: wlan1 FILTERLIST...............: 0 entries MAC CLIENT...............: f0a225XXXXXX (client) MAC ACCESS POINT.........: 00238XXXXXX (start NIC) EAPOL TIMEOUT............: 150000 REPLAYCOUNT..............: 63545 ANONCE...................: d5a4547b0e4c344f7a6273737878ba314680c6e9ea139fde4cfaa9073b8dfd11 [17:16:11 - 001] b4a5efXXXXXX -> f0a225XXXXXXX [FOUND PMKID CLIENT-LESS] [17:16:12 - 001] fcc897XXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS] ------->>> это мы получили с 1 ТД 2 PMKID (наш фейк клиент и реальный) и 1 HENDSHAKE [17:16:12 - 001] fcc897XXXXXX -> 64a651XXXXXX [FOUND PMKID] [17:16:12 - 001] fcc897XXXXXX -> 64a65192d9a8 [FOUND AUTHORIZED HANDSHAKE, EAPOL TIMEOUT 34896] [17:16:57 - 006] 6c3b6bXXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS] [17:17:23 - 003] 78312bXXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS] [17:17:47 - 013] a039eeXXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS] [17:18:32 - 003] cc4eecXXXXXX -> 8c3ae3XXXXXX [FOUND PMKID] [17:18:39 - 007] fcc897XXXXXX-> 40490fXXXXXX [FOUND PMKID] INFO: cha=2, rx=14304, rx(dropped)=4491, tx=2130, powned=9, err=0 FOUND PMKID-LESS - нашел с помощью пробного подключения, там нет клиентов или скрипт по каким-то причинам их не обнаружил. FOUND PMKID - нашел с помощью клиента на точке. FOUND AUTHORIZED HANDSHAKE - сабж. Я параллельно airodump-ng чекал клиентов, все верно. И эти клиенты совпадают со значениями в логе. К тому же те, кто следят за веткой на форуме hashcat и так прекрасно понимают что не всегда нужен клиент на уязвимых точках. + В оригинальной статье это прямым текстом сказано. Вот немного про атаки от автора инструмента Spoiler hcxdumptool is able to run different attack vectors. And the client-less (PMKID) attack vector is only one of them: ap-less: Only one packet (M2) from a client required. You do not need to hunt for access points. Just wait until the clients come to you. Have patience - some clients will give you their PSK in the clear (hcxpcaptool -E -I -U)! This attack vector is the most important one, because clients are weak! Try to annoy them! You can run --nonce-error-corrections=0 on that handshake! client-less: Only one packet (M1 - PMKID) from an access point is required. You have to hunt for access points (usually access points don't move). It's hard to annoy an access point. You need to have a good antenna (high gain)! m4 - retry: After receipt of a single M4, M1, M2, M3 are requested as long as we didn't successfull captured an authorized handshake (M2/M3). A client and an access point are required for this attack vector! You need to have a good antenna! deauthentication (old school): Disconnect a client from the network and capture the following authentication. A client and an access point are required for this attack vector! You need to have a good antenna (high gain)! Attack vector will not work if PMF is enabled Possible reason why you didn't receive a PMKID: No access point with activated roaming is in range. But so what: A client is in range - play with him! Там есть опции для максимальной скрытности от WIDS, + сейчас вендоры роутеров внедрют технологию защиты от DOS атак.
По поводу адаптеров, как выше кто-то писал - почти любой с возможностью инъекции пакетов. Я тестировал на 036H, ACH, TP LINK 721N (Atheros 9271 без L) + еще Intel, штеуд хуже всех, но все равно ловит, хоть и с ошибками. Думаю дело в его малой мощности, чувствительности и т.д.
Возможно дело в том, что сами инструменты активно обновляются. Надо раз в неделю гит проверять. Тоже сначала не понимал в чем дело. Стоит обратить внимание на опции --enable_status=1 это уровень детализации атаки.
Проверил на этом же адаптере, но в другой географии. Чего-то поймал, в смысле сообщение [FOUND PMKID] я увидел. Так что этот чип тоже можно добавить в перечень годных.
Формула для акулы есть? Запрос можно и вручную отправить. Автор на источнике указал примеры, там на 14 хэндшейков приходится 1 PMKID..
В консоли: tcpdump -nei wlan0 -s0 -xx если нужно сохранить файл то опция -w file.cap отфильтровать только EAPOL пакеты - в конце добавить ether proto 0x888e Суть в том, что свои EAPOL пакеты видны на wi-fi интерфейсе и без режима монитора.
То есть получается нужда в ловли хейндшека отпадает ? И возня с переводом адаптера в монитор мод тоже? Из этого следует что на Виндоус можно ловить pmkid и расшифровать. А из это следует что бинартмастер может прикрутить эту фичу вRS?
Права на запуск программы tcpdump определяются правами доступа к устройсву bpf (/dev/bpf0). Эти права можно регулировать через devfs. Если вы предоставляете, например, группе operator права на чтение из этого устройства, то это значит, что все члены этой группы смогут перехватывать любой трафик, в том числе трафик суперпользователя. Если речь идет за андройд, то да, tcpdump там запускается от суперпользователя: https://www.androidtcpdump.com/ Утилиту tcpdump можно использовать не только в Linux, но Windows. TCPDUMP для Windows является клоном TCPDUMP, наиболее используемого сетевого анализатора / анализатора для UNIX, скомпилированного с исходным кодом tcpdump (tcpdump.org) и пакетом SDK от Microolap Packet Sniffer (без libpcap / WinPcap). Клон TCPDUMP для Windows можно скачать на microolap.com -------- https://wiki.dieg.info/tcpdump
Если что-то работает в Android (читай Linux), из этого не следует, что заработает в Windows. Я много раз мониторил Wireshark'ом процесс подключения к точке (в managed режиме) под Windows. Никаких EAPOL пакетов не приходило. Однако есть у меня одна мысля на этот счёт, возможно точки с включённым WPS поддадутся на один трюк...