Подбор ключа к WPA/WPA2 с BackTrack 3/4

Нам необходимо:
- Дистрибутив BT3/4 (USB, CD - не имеет значения)
- Адаптер, поддерживающий переход в режим монитора и пакетные инъекции. Cписок
- Словарь для подбора. Можно посмотреть тут и тут.

1. Переводим адаптер в режим монитора

Наберите в консоли:

Отобразиться список всех доступных WiFi адаптеров.
Выберите адаптер, который будете использовать.
В моем случае это wlan0 (Intel 3945 ABG).
После наберите

и можем работать.

2. Выбор точки

Теперь мы будем искать точку с шифрованием WPA

Выбираем точку, предварительно переписав\скопипастив куда-нибудь её сетевое имя (ESSID), сетевой адрес (BSSID), и канал (CH).

3. Атака цели

Когда мы определились с целью, можно начинать атаку. Пишем

для сбора данных с точки и последующей атаки.
(-w это параметр записи пакетов в файл, т.е. имя файла вы можете выставить произвольное, если использовать указанное в данном примере, то файл на выходе будет называться out-01.cap).

Для подбора ключа нам нужен handshake (рукопожатие). Для того чтобы его “споймать”, нам либо остается ждать пока кто-нибудь не подключиться к точке и не скормит его нашему airodump'у. Но если на точке есть активный клиент, вы можете послать пакет для деавторизации клиента, что заставит его переподключиться.
Выглядеть это будет так:

Запишем куда-нибудь мак адрес клиента и откроем новую консоль, не закрывая эту.
Пишем

результат


Наш клиент удачно отсоединился от точки и наверное уже отдает нам handshake

Если клиентов нет, то будем использовать другой метод:

Он не гарантирован, и не всегда срабатывает.
Это практически тот же метод, что указан выше, только на случай, если клиентов на точке нету...

Переходим в первую консоль, если airodump оповестит нас в правом верхнем углу, что у нас есть handshake, то можно приступать к следующему шагу...
Если вы не успели\не смогли\забыли увидеть оповещение, то пишем

если же handshake у нас, то вы увидите


4. Подбор ключа

После того, как handshake оказался у нас, можем начинать подбор.
Тут у нас есть два пути. Воспользоваться обычным методом, либо использовать программу cowpatty для генерации специального списка, что неплохо ускорит подбор.

Сначала рассмотрим первый способ.
Пишем

Все, подбор пошел.

Если ключ оказался в словаре, мы получим сообщение, что ключ найден.

Второй способ (CowPatty):
Создаем базу данных с помощью airolib-ng

после создайте в root текстовый файл, и вставьте туда сетевое имя точки. Назовите его "e.txt".
Теперь импортируем этот файл в базу данных

потом импортируем словарь

Далее генерируем базу хешей, которые потом будут использоваться для подбора

Это займет некоторое время. Если словарь большой, можно пойти выпить кофейку и т.д.
Когда процесс будет выполнен, экспортируем эту базу для использования в cowpatty

Теперь запускам процесс подбора.

Опять же - если ключ был в словаре, то подбор удачен.


Ключ у вас, и вы можете использовать его по назначению.
Это все.

Доп:
В разных релизах aircrack-ng разная скорость перебора, да и функциональность растет. Рекомедую вам обновить свой aircrack-ng.
Как это сделать?

Качаем этот файл, и сохраняем в вашу домашнюю папку (root, etc.)

Открываем консоль:

[таким образом можно устанавливать и другие .deb пакеты]

Готово. Ярлык появиться я вас на рабочем столе и/или в меню. Запускаем его, выберем первый пункт (по желанию, можно обновлять не только aircrack) и нажимаем Ok.



После обновления появляется окошко "Successfully Installed". Можно пользоваться нашим новым aircrack'oм.

Использовались материалы видео Dapirates (cowpatty&airolib-ng).
Это видео можно найти в видео разделе.

 

А в чем прикол этих двух методов!? И тот и другой по времени занимают одинаково, а вот телодвижений в CowPatty, во втором способе, намного больше!!!!
Спрашивается, когда применять второй вариант?

 

У меня при подборе через cowpatty, скорость в более чем в 10 раз выше. Вот тогда и думай, где применять.
Я вообще в идеале как делаю - если не париться и нужно быстро проверить точку, то просто подбор по небольшому составленному мной словарику. Там можно и обойтись обычным aircrack, но если брутить серьезно - то только cowpatty. Даже не смотря на время генерации базы, все просто меркнет в сравнении со скоростью. Еще бы хотелось попробовать подбор средствами видеокарты от ElcomSoft, но никак руки не дойдут.

 

у меня время генерации 22 минуты со скоростью 95 РМК/сек , и перебор по словарю так же со скоростью 95 РМК/сек ( 22 минуты) Это ноутбук

Но самое обидное, то !!! что если в словаре нет пароля который совпадает буква в букву 100%, VPA не взломать! Я тренеруюсь на своей точке (пока .....) Поставил VPA и пароль: своя фамилия англискими буквами. В словарь добавил несколько вариантов своего пароля. Взлом не проходит пока в словарь не дописать 100% пароль .

Но это невариант взлома VPA ! МАЛО ЛИ ЧТО В ГОЛОВУ ВЗБРЕДЕТ НАПИСАТЬ В ПАСС.
Так никаких словарей не наберешь. Может есть другие варианты?

 

Для начала WPA.
Не вариант?! Все прекрасно работает, и сложные ключи мало когда ставят, главное правильно составить словарь и иметь прямые руки. Тем более ничто не мешает хапнуть handshake, и поставить на подбор на каком-нибудь дедике.
С каких это пор при ПОДБОРЕ оно должно находить тебе пасс по аналогии? Это подбор точного значения, и это не WEP. Если не устраивает - не пользуйся.

 

Не надо быть таким педантичным. Поняли друг друга и хорошо

Хапнул handshake и свой, и близ лежащий. Не совсем руки кривые

У меня ключ это моя фамилия к примеру. Ничего сложого в ключе. Хочешь handshake вышлю ВЗЛОМАЕШЬ???
Но не всегда знаешь кого ломаешь, и что ему в голову пришло!

Я всеж надеялся что как то поинтелектуальнее это все решиться с WPA
А WEP уже не интересен, все вокруг переломано

Как то не по доброму писано.....терпеливее надо быть и добрее Я ценю твой труд в натисании этого материала, мне могое стало понятнее,- короче ничего личного,просто я сдесь на форуме рассуждаю.
И не крутой я взломщик .... так шалю для удовольствия
Вот решил с WPA разобраться. Понял что это не шняга, а всеже уже защита.
А ЕСЛИ ПО ДЕЛУ: МОЖЕТ И НЕ УСТРАИВАЕТ НО ЛУЧШЕ ВЕДЬ НЕ ПРЕДРОГАЕШЬ.......ПОКА
готов выслушат предложение, и к диалогу!

 

"Предрогать" нечего. Обязательно сообщи мне, когда найдешь новую уязвимость в WPA.
Беру словарь с фамилиями, и летит твой пароль далеко, и надолго. Я же говорю - правильный словарь нужен, а не левые кейворды в нем.

 

to Stradi

Спасибо за граматику. не туда нажал на клавеатуре. Хотя ошибки мне, это позволительно. Живу я не в России(и не жил никогда ), да и словарь с фамилиями думаю не содержит ее. ЭТО НА СЧЕТ ПРАВИЛЬНЫХ СЛОВАРЕЙ .

Хочу немного разъяснений. Сгенеривованную ( теперь каждую букву страшно писать, боюсь опять на урок граматики попасть ) базу хешей можно ли использовать в дальнейшем для подбора ключа WiFi точки, essid которой небыл включен (вписан) в e.txt
то есть, стала светиться позже чем был сгенерирован wpadb?

сегодня к примеру я вижу --essid Rider и --essid Toomas (я их вставил в e.txt) , а завтра начнет светиться --essid ThomsonBAD10E

Как правильно поступаать, ........ какая последовательность действий? Заново создавать e.txt,импортировать,генерировать..... тогда это долго!
КАК СДЕЛАТЬ ПРОЩЕ ????

 

Хеш представляет из себя смесь (на сколько я понял) ESSID & пасс. Потому генерация списка и идет с ESSID. Одна база на один ESSID. Я не хешер, так что ничего сказать не могу.
В идеале - не помешало бы сделать словари на распостраненные ESSID. Но вес боюсь будет смущать... Где-то я видал top100 самых распостраненных ESSID'ов.
PS: А ошибку все равно допустил, еще не одну. Ладно, забудь. Оправдание никудышнее...

 

Всем привет!

Опять вопрос - чем база данных созданная с помощью airolib-ng отличается от WPA_PSK rainbow tables !?
И что есть лучше, или хуже?

 

Это (я не уверен, честно говоря), то это просто сгенерированные списки через тот же аэролиб. Только для определенных ссидов. Поковыряюсь сегодня как-нибудь, скажу конкреткретнее.

 

WPA_PSK rainbow tables тоже вроде бы только для определенных ссидов.

 

А я что написал? О_О

 

Обновил...
- Добавил способ для получения хандшейка без клиентов
- Добавил мануал по легкому обновлению aircrack-ng
- Поправил кое-какие ошибки...

 

По моему это бред. Из уважения, даже попробывал, так сказать второй метод,..... но он не срабатывает. С кем это произойдет "рукопожатие" если НИКОГО нет, если клиентов на точке нету... ?? С нами, пиратами, что-ли точка обменяется "ключами". ?Причем там четырехсторонний как бы обмен происходит

Второй вариан о котором ты пишешь, это когда на точке всего один клиент!

Первый вариант используют когда на АР несколько клиентов, а отрываем одного конкретного клиента.
Деаунтефикационный пакет шлется напрямую с нашего компа на компьютер клиента, и к нему надо находиться достаточно близко,- поэтому и применяем отрыв ( деаунтефикацию) конкретного клиента. Ведь они могут находиться все на разных расстояниях от нас. И так по очереди ( если их несколько), пока не поймаем handshake

ссылочка по обновлению aircrack-ng
не понятная ?

 

Вариант о котором я пишу прекрасно работает, проверил, перед тем как выложил.
Сработало на одной точке из 3. Я понятия не имею, каким образом точка отдает нам handshake, кто даст почитать - отплюсую, ибо не я создавал инъекцию =\
Смотри ВНИМАТЕЛЬНО http://rapidshare.com/files/218589700/WPA_NO_CLIENTS.flv.html [thx to _SEREGA_] или гугли wpa no clients. Посмотрел? Молодец, возьми с полки пирожок и не задавай больше глупых вопросов.
Первый способ может использоваться не только, если на точке 2 или больше клиентов. Все прекрасно работает, если клиент один.
Второй вопрос вообще не смог понять\прочитать.
Твой пост состоит чуть более, нем на половину из бреда. Будь любезен, пиши внятно...

 

Хотелось бы услышать коментарии других форумчан.
А то как то у нас с тобой Stradi диалог получается....

ГДЕ МНЕНИЯ СООБЩЕСТВА!?!?!?!

 

Первый и второй способы деаутентификации отличаются, как правильно заметил Zonanet, лиш адресацией - первый - адресный, второй - широковещательный. Каким образом посылка пяти широковещательных пакетов может помочь получить хэндшейк - х/з. Склоняюсь к тому, что если и поможет, то это всего-лишь совпадение....
Пойду доки почитаю - самому надо.

Но если легитимных клиентов действительно нет, то никакие инъекции хэндшейк не подарят - факт!

 

На счет шировещательного - это и так понятно. Но вот способ не отличаеться - после запуска пишеться, что-то вроде "эта атака лучше работает, когда имеет клиента". Т.е. если подставить мак клиента - эффект что от первой, что от второй атаки одинаковый. В доках кроме первой атаки ничего нету... Может этот "выброс" расчитан на тех клиентов, которые не в "зоне доступа"? Ибо как раз на такой точке у меня и сработал метод (на точке хорошая дата генерилась, но клиентов не видно). Если гуглить - ничего конкретного нету.

 

а вот мне непонятно следующее моменты:
- как быть, когда SSID "скрыт" ? т.е. в настройках ТД стоит галка "скрыть точку доступа"?

- причем тут handshake ? он же создается тогда, когда ключи, пароли совпадаются !?
в данном ситации если получаем "рукопожатие", то смысл брутить уже WPA ?
как то не понятно этот момент..