Брут WPA2 без handshake используя PMKID + hashcat

RSN IE - это необязательное поле, которое можно найти в рамах управления 802.11. Одной из возможностей RSN является PMKID. PMKID вычисляется с использованием HMAC-SHA1, где ключ является PMK, а часть данных представляет собой конкатенацию фиксированной строковой метки «PMK Name», MAC-адрес точки доступа и MAC-адрес станции. Поскольку PMK такой же, как в обычном четырехстороннем рукопожатии EAPOL, это идеальный вектор атаки.

Мы получаем все необходимые данные в первом кадре EAPOL из AP.


Основное отличие от существующих атак заключается в том, что в этой атаке захват полного 4-стороннего рукопожатия EAPOL не требуется. Новая атака выполняется в IE RSN (надежный сетевой информационный элемент безопасности) одного кадра EAPOL.

В настоящее время мы не знаем, для каких поставщиков или для какого количества маршрутизаторов этот метод будет работать, но мы думаем, что он будет работать против всех сетей 802.11i / p / q / r с включенными функциями роуминга (большинство современных маршрутизаторов).

Основными преимуществами этой атаки являются следующие:

• Больше не требуется регулярных пользователей - потому что злоумышленник напрямую связывается с AP (иначе говоря, «без клиента»)
  
• Больше не нужно ждать полного 4-стороннего рукопожатия между обычным пользователем и AP
  
• Отсутствие ретрансмиссии кадров EAPOL (что может привести к результатам, которые невозможно устранить)
  
• Исключает неверные пароли, посланные обычным пользователем
  
• Больше нет потерянных кадров EAPOL, когда обычный пользователь или AP находится слишком далеко от злоумышленника
  
• Больше не требуется фиксировать значения nonce и replaycounter (что приводит к чуть более высоким скоростям)
  
• Больше нет специального формата вывода (pcap, hccapx и т. Д.) - окончательные данные будут отображаться как обычная строка с шестнадцатеричным кодированием

Нам потребуются:

• hcxdumptool v4.2.0 или выше
  
• hcxtools v4.2.0 или выше
  
• hashcat v4.2.0 или выше

Производим атаку:
1.

Code:

$ ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status

Ждем, пока в выводе не увидим что-то подобное:

Code:

[13:29:57 - 011] 89acf0e761f4 -> 4604ba734d4e <ESSID> [ASSOCIATIONREQUEST, SEQUENCE 4]
[13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [ASSOCIATIONRESPONSE, SEQUENCE 1206]
[13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [FOUND PMKID]

2.
Переводим в нужный формат и скармливаем наш файл хэшкэту (да-да, по прежнему нужно брутить, так что пока не как с WEP)

Code:

$ ./hcxpcaptool -z test.16800 test.pcapng

Собственно на этом всё. Думаю это значительно облегчит брут точек с клиентскими устройствами, находящимися вне диапазона атакующего, а также откроет возможность быстрого сбора хэндшейков с пустых сетей в любых интересующих местах. Пишите, какие роутеры поддаются на практике, а то возможности протестировать пока нет. Осмелюсь также предположить, что в перспективе данная уязвимость будет лечиться обновлением прошивки на AP.

Оригинал статьи (советую почитать, я перевёл только основное) - https://hashcat.net/forum/thread-7717.html

 

Только что проверил на TL-WN722N v1, чип atheros. Работает, но из ~30-40 сетей за 10 минут прога бахнула только штуки 4. Конкретный BSSID там, насколько понял, указать нельзя, поэтому прога скачет по каналам и атакует всё, что шлёт хоть какие-то фреймы. В данный момент вижу [tx=7458, powned=4, err=0]. Из жертв - точки asus rt-ac66u и микротики пока что.

 

Протестировал Alfa 036 ACH, Alfa 036H, TP-LINK 721N, чипсет INTEL 3165 AC. Из них нормально работают только Alfa 036H и Alfa 036 ACH. Туполинк менее мощный (видит меньше сетей) и перебирает медленно. Но PMKID нашел. Чип от Intel работает на рандом, PMKID может поймать при везении, но хеш потом практически не возможно получить.

 

Сегодня, нашлось время протестировать
На даче был, только Ubiquiti WiFiStation

чип тот же, AR9271
---
По теме...PMKID + hashcat

Отличное решение для дачников (кто находится рядом с городскими поселениями), моряков и т.д., если клиентов не видно, но точка хорошо вещает
---
Расстояние, если верить яндекс картоизмерителю до близжайшего посёлка 580 метров
Устройство, отлично отработало),
нашло до х.. сетей c клиентами -1 PWR, в том числе совсем без клиентов,
из них 5 сетей с нормальной мощностью, которые были ....)
Так, что однозначно, Must Have!

 

Протестил также на rtl8192cu (TP-LINK WN821N v4) - полёт нормальный.
Находит пмкид у всех новых асусов, вне зависимости от модели.
Чуть интереснее обстоят дела с зухелем, свежую ультру II берёт через несколько секунд после запуска скрипта, а на кинетике 4G II 2014 года - ноль.
С D-Link DSL-2640NRU и DAP-1360 тоже пока по нулям.
Продолжаю наблюдение

 

Адаптеры скорее всего будут работать все в независимости от чипсета и т.д., главное чтобы инжектить пакеты умел.

С точками все просто. В wireshark нужно выбрать первый eapol пакет, раскрыть дерево 802.1x Auth. Если внизу поле WPA Key Data Length = 0, точка не сдастся.

В противном случае можно хоть с неполного хендшейка выдрать pmkid, хоть самому подключиться к точке с неверным паролем и так же получить искомое.

Spoiler: pic

Пока что список уязвимого следующий:
Mikrotik Routerboard
Cisco точки доступа
Tenda (ralink chipset)
Netis, totolink, asus rt-n10/n12, huawei ws319 под вопросом (pmkid = 00000000..) (realtek chipset)
Dlink DSL-2640U 96333AWG_F7S, Dsl-2650u (broadcom chipset)
ASUS RT-N10U, RT-N18U (broadcom chipset)
Dlink DIR-615 (broadcom chipset)

Неуязвимы
Похоже что все tp-link
Tenda (broadcom chipset)
huawei hg532e
zte h108n, zte h108l
ubiquiti
d-link старых ревизий dir 300/320, dsl-2640
Zyxel со старыми прошивками

 

Уязвимы ростеловские:
Mitrastar
Sagemcom
Eltex
ZAO NPK RoTeK
OJSC Ufimskiy Zavod Promsvyaz

 

На скорость перебора я так понимаю никак не влияет?

 

Скорость идентична перебору хендшейка wpa/wpa2.

 

Линуксоиды, распишите виндузятнику на пальцах, как запустить эту прогу. На WiFiSlax должна заработать?

 

А атаку на конкретную точку доступа возможно провести или только пачкой (полным прослушиванием эфира)? А так получается, я даже не знаю, от какой точки доступа у меня PMKID, может уже та, что у меня есть.

 

Возможно корявенько получилось, но не пинайте сильно, я ненастоящий сварщик (с)

Делал в Кали. Все в терминале
1. git clone https://github.com/ZerBea/hcxdumptool
2. cd hcxdumptool
3. make
4. sudo make install
После этого получаем установленным первый компонент. После этого можно запускать атаку, единственно что у меня ключ --enable_status попросил значение, я тупо сложил все возможные числа из хелпа и указал 15

Он чего-то наловит в файл.

Чтобы сконвертировать, надо установить hcxpcaptool. Все аналогично устанавливается:
5. git clone https://github.com/ZerBea/hcxtools
6. cd hcxtools
7. make
8. У меня начало ругаться на недостающие библиотеки, пришлось их доустанавливать (5 минут в Гугле) apt install libssl-dev libcurl4-openssl-dev и еще apt install libz-dev
9. После этого make прошел без ошибок
10. sudo make install

 

В ветке https://hashcat.net/forum/thread-7717.html упоминаются ключи --filtermode=2 --filterlist=filter.txt
Я создал файлик filter.txt, куда вписал мак интересующей точки (взял из airodump'а), только убрав двоеточия. Глянул потом в файл test.pcapng wireshark'ом, там все доступные сети в округе. Т.е. фильтр не работает. Или я что-то не так делаю...

 

Похоже,что так оно и есть.Пробовал добавлять в фильтр целевую AP.И наооборот,все AP,кроме целевой.В обоих случаях,атака идёт на все видимые AP.

 

У меня хэшкота нет (нетбук), но я попробовал так (увидел на Гитхабе):
файл после первого этапа заливаю на wpa-sec.stanev.org предварительно сменив расширение на cap.
Когда я первый раз туда загрузил файл, в my nets отобразились несколько сетей. А после того, как я попробовал с фильтром и загрузил файл - только одна, мак которой я указал. Хотя в файле полно названия сетей... может быть он пакеты захватывает, пишет названия сетей, но дальнейшие данные по ним не пишет.

Но мне еще предстоит атака на заветную точку - там проводное подключение к роутеру, вайфай в пустоту светит - хэндшейк на ней вообще не ловится и подключенных клиентов я не вижу. Вот тогда и поглядим...

 

Если я правильно понял, то при наличии двух ноутов, те две программы из первого поста не нужны ? С одного ноута пытаемся подключиться с "левым" паролем, а другим ловим хендшейк ? Если так, то объясните пожалуйста, как выдрать из "акулы" PMKID и как подсунуть его "коту" (в смысле какой тип атаки выбирать) ??

Пользуюсь "котом" 3.2 или нужен более поздний ?

 

Используй hcxpcaptool

-m 16800

Нужен не ниже 4.2.1

 

Доброго дня всем. Кто знает, что означают цифры:
- you can run --enable-status=1 --enable-status=2 --enable-status=4 --enable-status=8
- or use the bitmask: --enable-status3 (= --enable-status=1 + --enable-status=2)?

 

Спасибо, всё получилось, один пароль нашёл (Huawei HG8245H), остальные безклиентские точки ТПлинки,- обидно.
Мне всё же кажется, что через "левый" CAP с неправильным паролем делать удобнее.

Если кому надо - готовые XZM модули для WIFISLAX-4-12 hcxdumptool и hcxtools
https://yadi.sk/d/jRcYuntq3aJ3mz

Интересно, существует ли ГУИ для "кота" в котором есть этот пункт PMKID ?

 

Ругается на твои модули при загрузке.Спрашивает-модуло коррупто? )) Это для 32битной 4.12 или для 64 битной?

Upd-разобрался,там перед xzm пробел лишний в названии