Подбор ключа к WPA/WPA2 с BackTrack 3/4

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by Stradi, 28 Mar 2009.

  1. Stradi

    Stradi Elder - Старейшина

    Joined:
    9 May 2008
    Messages:
    87
    Likes Received:
    31
    Reputations:
    5
    Нам необходимо:
    - Дистрибутив BT3/4 (USB, CD - не имеет значения)
    - Адаптер, поддерживающий переход в режим монитора и пакетные инъекции. Cписок
    - Словарь для подбора. Можно посмотреть тут и тут.

    1. Переводим адаптер в режим монитора

    Наберите в консоли:
    [​IMG]

    Отобразиться список всех доступных WiFi адаптеров.
    Выберите адаптер, который будете использовать.
    В моем случае это wlan0 (Intel 3945 ABG).
    После наберите
    и можем работать.

    2. Выбор точки

    Теперь мы будем искать точку с шифрованием WPA
    Выбираем точку, предварительно переписав\скопипастив куда-нибудь её сетевое имя (ESSID), сетевой адрес (BSSID), и канал (CH).

    3. Атака цели

    Когда мы определились с целью, можно начинать атаку. Пишем
    для сбора данных с точки и последующей атаки.
    (-w это параметр записи пакетов в файл, т.е. имя файла вы можете выставить произвольное, если использовать указанное в данном примере, то файл на выходе будет называться out-01.cap).

    Для подбора ключа нам нужен handshake (рукопожатие). Для того чтобы его “споймать”, нам либо остается ждать пока кто-нибудь не подключиться к точке и не скормит его нашему airodump'у. Но если на точке есть активный клиент, вы можете послать пакет для деавторизации клиента, что заставит его переподключиться.
    Выглядеть это будет так:
    [​IMG]
    Запишем куда-нибудь мак адрес клиента и откроем новую консоль, не закрывая эту.
    Пишем
    результат
    [​IMG]

    Наш клиент удачно отсоединился от точки и наверное уже отдает нам handshake ;)

    Если клиентов нет, то будем использовать другой метод:
    Он не гарантирован, и не всегда срабатывает.
    Это практически тот же метод, что указан выше, только на случай, если клиентов на точке нету...

    Переходим в первую консоль, если airodump оповестит нас в правом верхнем углу, что у нас есть handshake, то можно приступать к следующему шагу...
    Если вы не успели\не смогли\забыли увидеть оповещение, то пишем
    если же handshake у нас, то вы увидите
    [​IMG]

    4. Подбор ключа

    После того, как handshake оказался у нас, можем начинать подбор.
    Тут у нас есть два пути. Воспользоваться обычным методом, либо использовать программу cowpatty для генерации специального списка, что неплохо ускорит подбор.

    Сначала рассмотрим первый способ.
    Пишем
    Все, подбор пошел.
    [​IMG]
    Если ключ оказался в словаре, мы получим сообщение, что ключ найден.

    Второй способ (CowPatty):
    Создаем базу данных с помощью airolib-ng
    после создайте в root текстовый файл, и вставьте туда сетевое имя точки. Назовите его "e.txt".
    Теперь импортируем этот файл в базу данных
    потом импортируем словарь
    Далее генерируем базу хешей, которые потом будут использоваться для подбора
    Это займет некоторое время. Если словарь большой, можно пойти выпить кофейку и т.д.
    Когда процесс будет выполнен, экспортируем эту базу для использования в cowpatty
    Теперь запускам процесс подбора.
    Опять же - если ключ был в словаре, то подбор удачен.
    [​IMG]

    Ключ у вас, и вы можете использовать его по назначению.
    Это все.

    Доп:
    В разных релизах aircrack-ng разная скорость перебора, да и функциональность растет. Рекомедую вам обновить свой aircrack-ng.
    Как это сделать?

    Качаем этот файл, и сохраняем в вашу домашнюю папку (root, etc.)

    Открываем консоль:
    [таким образом можно устанавливать и другие .deb пакеты]

    Готово. Ярлык появиться я вас на рабочем столе и/или в меню. Запускаем его, выберем первый пункт (по желанию, можно обновлять не только aircrack) и нажимаем Ok.

    [​IMG]

    После обновления появляется окошко "Successfully Installed". Можно пользоваться нашим новым aircrack'oм.

    Использовались материалы видео Dapirates (cowpatty&airolib-ng).
    Это видео можно найти в видео разделе.
     
    #1 Stradi, 28 Mar 2009
    Last edited: 7 Apr 2009
    8 people like this.
  2. Zonanet

    Zonanet New Member

    Joined:
    28 Mar 2009
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    А в чем прикол этих двух методов!? И тот и другой по времени занимают одинаково, а вот телодвижений в CowPatty, во втором способе, намного больше!!!!
    Спрашивается, когда применять второй вариант?
     
    #2 Zonanet, 31 Mar 2009
    Last edited: 31 Mar 2009
  3. Stradi

    Stradi Elder - Старейшина

    Joined:
    9 May 2008
    Messages:
    87
    Likes Received:
    31
    Reputations:
    5
    У меня при подборе через cowpatty, скорость в более чем в 10 раз выше. Вот тогда и думай, где применять.
    Я вообще в идеале как делаю - если не париться и нужно быстро проверить точку, то просто подбор по небольшому составленному мной словарику. Там можно и обойтись обычным aircrack, но если брутить серьезно - то только cowpatty. Даже не смотря на время генерации базы, все просто меркнет в сравнении со скоростью. Еще бы хотелось попробовать подбор средствами видеокарты от ElcomSoft, но никак руки не дойдут.
     
    #3 Stradi, 31 Mar 2009
    Last edited: 31 Mar 2009
  4. Zonanet

    Zonanet New Member

    Joined:
    28 Mar 2009
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    у меня время генерации 22 минуты со скоростью 95 РМК/сек , и перебор по словарю так же со скоростью 95 РМК/сек ( 22 минуты) Это ноутбук :) :) :)

    Но самое обидное, то !!! что если в словаре нет пароля который совпадает буква в букву 100%, VPA не взломать! Я тренеруюсь на своей точке (пока :) .....) Поставил VPA и пароль: своя фамилия англискими буквами. В словарь добавил несколько вариантов своего пароля. Взлом не проходит пока в словарь не дописать 100% пароль .

    Но это невариант взлома VPA ! МАЛО ЛИ ЧТО В ГОЛОВУ ВЗБРЕДЕТ НАПИСАТЬ В ПАСС.
    Так никаких словарей не наберешь. Может есть другие варианты?
     
  5. Stradi

    Stradi Elder - Старейшина

    Joined:
    9 May 2008
    Messages:
    87
    Likes Received:
    31
    Reputations:
    5
    Для начала WPA.
    Не вариант?! Все прекрасно работает, и сложные ключи мало когда ставят, главное правильно составить словарь и иметь прямые руки. Тем более ничто не мешает хапнуть handshake, и поставить на подбор на каком-нибудь дедике.
    С каких это пор при ПОДБОРЕ оно должно находить тебе пасс по аналогии? Это подбор точного значения, и это не WEP. Если не устраивает - не пользуйся.
     
    #5 Stradi, 31 Mar 2009
    Last edited: 31 Mar 2009
    1 person likes this.
  6. Zonanet

    Zonanet New Member

    Joined:
    28 Mar 2009
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    Не надо быть таким педантичным. Поняли друг друга и хорошо :p

    Хапнул handshake и свой, и близ лежащий. Не совсем руки кривые ;)

    У меня ключ это моя фамилия к примеру. Ничего сложого в ключе. Хочешь handshake вышлю ;) ВЗЛОМАЕШЬ??? :)
    Но не всегда знаешь кого ломаешь, и что ему в голову пришло!

    Я всеж надеялся что как то поинтелектуальнее это все решиться с WPA :mad:
    А WEP уже не интересен, все вокруг переломано :eek:

    Как то не по доброму писано.....терпеливее надо быть и добрее ;) Я ценю твой труд в натисании этого материала, мне могое стало понятнее,- короче ничего личного,просто я сдесь на форуме рассуждаю.
    И не крутой я взломщик .... так шалю для удовольствия :D
    Вот решил с WPA разобраться. Понял что это не шняга, а всеже уже защита.
    А ЕСЛИ ПО ДЕЛУ: МОЖЕТ И НЕ УСТРАИВАЕТ НО ЛУЧШЕ ВЕДЬ НЕ ПРЕДРОГАЕШЬ.......ПОКА :)
    готов выслушат предложение, и к диалогу!
     
    #6 Zonanet, 31 Mar 2009
    Last edited: 31 Mar 2009
  7. Stradi

    Stradi Elder - Старейшина

    Joined:
    9 May 2008
    Messages:
    87
    Likes Received:
    31
    Reputations:
    5
    "Предрогать" нечего. Обязательно сообщи мне, когда найдешь новую уязвимость в WPA.
    Беру словарь с фамилиями, и летит твой пароль далеко, и надолго. Я же говорю - правильный словарь нужен, а не левые кейворды в нем.
     
  8. Zonanet

    Zonanet New Member

    Joined:
    28 Mar 2009
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    to Stradi

    Спасибо за граматику. не туда нажал на клавеатуре. Хотя ошибки мне, это позволительно. Живу я не в России(и не жил никогда ;) ), да и словарь с фамилиями думаю не содержит ее. ЭТО НА СЧЕТ ПРАВИЛЬНЫХ СЛОВАРЕЙ .

    Хочу немного разъяснений.
    Сгенеривованную ( теперь каждую букву страшно писать, боюсь опять на урок граматики попасть :) ) базу хешей можно ли использовать в дальнейшем для подбора ключа WiFi точки, essid которой небыл включен (вписан) в e.txt
    то есть, стала светиться позже чем был сгенерирован wpadb?

    сегодня к примеру я вижу --essid Rider и --essid Toomas (я их вставил в e.txt) , а завтра начнет светиться --essid ThomsonBAD10E

    Как правильно поступаать, ........ какая последовательность действий? Заново создавать e.txt,импортировать,генерировать..... тогда это долго!
    КАК СДЕЛАТЬ ПРОЩЕ ????
     
    #8 Zonanet, 1 Apr 2009
    Last edited: 1 Apr 2009
  9. Stradi

    Stradi Elder - Старейшина

    Joined:
    9 May 2008
    Messages:
    87
    Likes Received:
    31
    Reputations:
    5
    Хеш представляет из себя смесь (на сколько я понял) ESSID & пасс. Потому генерация списка и идет с ESSID. Одна база на один ESSID. Я не хешер, так что ничего сказать не могу.
    В идеале - не помешало бы сделать словари на распостраненные ESSID. Но вес боюсь будет смущать... Где-то я видал top100 самых распостраненных ESSID'ов.
    PS: А ошибку все равно допустил, еще не одну. Ладно, забудь. Оправдание никудышнее...
     
    #9 Stradi, 1 Apr 2009
    Last edited: 1 Apr 2009
  10. Zonanet

    Zonanet New Member

    Joined:
    28 Mar 2009
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    Всем привет!

    Опять вопрос :) - чем база данных созданная с помощью airolib-ng отличается от WPA_PSK rainbow tables !?
    И что есть лучше, или хуже?
     
    1 person likes this.
  11. Stradi

    Stradi Elder - Старейшина

    Joined:
    9 May 2008
    Messages:
    87
    Likes Received:
    31
    Reputations:
    5
    Это (я не уверен, честно говоря), то это просто сгенерированные списки через тот же аэролиб. Только для определенных ссидов. Поковыряюсь сегодня как-нибудь, скажу конкреткретнее.
     
  12. Zonanet

    Zonanet New Member

    Joined:
    28 Mar 2009
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    WPA_PSK rainbow tables тоже вроде бы только для определенных ссидов.
     
  13. Stradi

    Stradi Elder - Старейшина

    Joined:
    9 May 2008
    Messages:
    87
    Likes Received:
    31
    Reputations:
    5
    А я что написал? О_О
     
  14. Stradi

    Stradi Elder - Старейшина

    Joined:
    9 May 2008
    Messages:
    87
    Likes Received:
    31
    Reputations:
    5
    Обновил...
    - Добавил способ для получения хандшейка без клиентов
    - Добавил мануал по легкому обновлению aircrack-ng
    - Поправил кое-какие ошибки...
     
    #14 Stradi, 7 Apr 2009
    Last edited: 7 Apr 2009
  15. Zonanet

    Zonanet New Member

    Joined:
    28 Mar 2009
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    По моему это бред. Из уважения, даже попробывал, так сказать второй метод,..... но он не срабатывает. С кем это произойдет "рукопожатие" если НИКОГО нет, если клиентов на точке нету... :eek: ?? С нами, пиратами, что-ли точка обменяется "ключами". ?Причем там четырехсторонний как бы обмен происходит

    Второй вариан о котором ты пишешь, это когда на точке всего один клиент!

    Первый вариант используют когда на АР несколько клиентов, а отрываем одного конкретного клиента.
    Деаунтефикационный пакет шлется напрямую с нашего компа на компьютер клиента, и к нему надо находиться достаточно близко,- поэтому и применяем отрыв ( деаунтефикацию) конкретного клиента. Ведь они могут находиться все на разных расстояниях от нас. И так по очереди ( если их несколько), пока не поймаем handshake

    ссылочка по обновлению aircrack-ng
    не понятная ?
     
    #15 Zonanet, 8 Apr 2009
    Last edited: 8 Apr 2009
  16. Stradi

    Stradi Elder - Старейшина

    Joined:
    9 May 2008
    Messages:
    87
    Likes Received:
    31
    Reputations:
    5
    Вариант о котором я пишу прекрасно работает, проверил, перед тем как выложил.
    Сработало на одной точке из 3. Я понятия не имею, каким образом точка отдает нам handshake, кто даст почитать - отплюсую, ибо не я создавал инъекцию =\
    Смотри ВНИМАТЕЛЬНО http://rapidshare.com/files/218589700/WPA_NO_CLIENTS.flv.html [thx to _SEREGA_] или гугли wpa no clients. Посмотрел? Молодец, возьми с полки пирожок и не задавай больше глупых вопросов.
    Первый способ может использоваться не только, если на точке 2 или больше клиентов. Все прекрасно работает, если клиент один.
    Второй вопрос вообще не смог понять\прочитать.
    Твой пост состоит чуть более, нем на половину из бреда. Будь любезен, пиши внятно...
     
    1 person likes this.
  17. Zonanet

    Zonanet New Member

    Joined:
    28 Mar 2009
    Messages:
    15
    Likes Received:
    1
    Reputations:
    0
    Хотелось бы услышать коментарии других форумчан.
    А то как то у нас с тобой Stradi диалог получается....

    ГДЕ МНЕНИЯ СООБЩЕСТВА!?!?!?!
     
  18. trottle

    trottle New Member

    Joined:
    25 Sep 2008
    Messages:
    16
    Likes Received:
    1
    Reputations:
    0
    Первый и второй способы деаутентификации отличаются, как правильно заметил Zonanet, лиш адресацией - первый - адресный, второй - широковещательный. Каким образом посылка пяти широковещательных пакетов может помочь получить хэндшейк - х/з. Склоняюсь к тому, что если и поможет, то это всего-лишь совпадение....
    Пойду доки почитаю - самому надо.

    Но если легитимных клиентов действительно нет, то никакие инъекции хэндшейк не подарят - факт!
     
  19. Stradi

    Stradi Elder - Старейшина

    Joined:
    9 May 2008
    Messages:
    87
    Likes Received:
    31
    Reputations:
    5
    На счет шировещательного - это и так понятно. Но вот способ не отличаеться - после запуска пишеться, что-то вроде "эта атака лучше работает, когда имеет клиента". Т.е. если подставить мак клиента - эффект что от первой, что от второй атаки одинаковый. В доках кроме первой атаки ничего нету... Может этот "выброс" расчитан на тех клиентов, которые не в "зоне доступа"? Ибо как раз на такой точке у меня и сработал метод (на точке хорошая дата генерилась, но клиентов не видно). Если гуглить - ничего конкретного нету.
     
  20. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,127
    Likes Received:
    130
    Reputations:
    23
    а вот мне непонятно следующее моменты:
    - как быть, когда SSID "скрыт" ? т.е. в настройках ТД стоит галка "скрыть точку доступа"?

    - причем тут handshake ? он же создается тогда, когда ключи, пароли совпадаются !?
    в данном ситации если получаем "рукопожатие", то смысл брутить уже WPA ?
    как то не понятно этот момент..
     
Loading...