Брут WPA2 без handshake используя PMKID + hashcat

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by Vikhedgehog, 6 Aug 2018.

  1. 4Fun

    4Fun Member

    Joined:
    25 Jul 2018
    Messages:
    33
    Likes Received:
    41
    Reputations:
    0
    Файлы .cap разные у Airodump-ng и Tcpdump: разнятся link-type (EN10MB и IEEE_80211_11). Есть способ конвертировать файлы Tcpdump в пригодные для работы с Aircrack-ng.
    Нам понадобятся: WireShark, hcxtools.
    Как известно, для атаки требуются следующие данные:
    1) PMKID;
    2) BSSID целевой точки;
    3) MAC-адрес клиента (в данном случае MAC-адрес Wi-Fi смартфона, с которого производился захват PMKID);
    4) ESSID целевой точки.
    PMKID вытаскиваем из файла захвата tcpdump с помощью WireShark, остальное нам известно.
    Составляем файл file.16800 с такой строкой:
    <PMKID>*<BSSID>*<STA_MAC>*<ESSID>
    Пример:
    10da545f67a3117a9c76e2397626c8d2*181e7895869f*0243db682faa*546573744150
    (ESSID в шестнадцатеричном виде, можно переконвертировать с помощью http://www.unit-conversion.info/texttools/hexadecimal/).
    Финальный этап – конвертация в .cap для Aircrack-ng:
    hcxhash2cap --pmkid file.16800 -c file_aircrack.cap
     
    #201 4Fun, 22 Sep 2019
    Last edited: 26 Sep 2019
  2. DjonGerman

    DjonGerman New Member

    Joined:
    15 Nov 2018
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Никак не смог получить этот PMKID от роутера XIAOMI
    Значит не все роутеры могут отдать его
     
  3. munki

    munki Member

    Joined:
    27 May 2017
    Messages:
    29
    Likes Received:
    33
    Reputations:
    0
    да к сожалению не отдают или к примеру как практически все д-линки поголовно делают так:
    RSN PMKID: 00000000000000000000000000000000
     
  4. SEGA_1986

    SEGA_1986 Member

    Joined:
    25 Jan 2013
    Messages:
    109
    Likes Received:
    18
    Reputations:
    0
    Всем привет. Попробовал на 2х адаптерах, RaLink3070 и RTL8187
    Вылетает ошибка.

    Code:
    root@kali:~# hcxdumptool -I --check_driver
    wlan interfaces:
    00c0ca7ee1XX wlan0mon (rtl8187)  warning: probably a monitor interface!
    
    root@kali:~# hcxdumptool -i wlan0mpn -opmkid/capture.pcapng --enable_status=15
    initialization...
    failed to backup current interface flags, ioctl(SIOCGIFFLAGS) not supported by driver: No such device
    failed to init socket
    hcxdumptool need full and exclusive access to the adapter
    that is not the case
    try to use ip link to bring interface down/up
    and iw to set monitor mode
    
    terminating...
    failed to get interface information: No such device
    failed to set interface down: No such device
    failed to restore old SIOCSIWMODE: No such device
    failed to restore old SIOCSIFFLAGS and to bring interface up: No such device
    root@kali:~#
    
    Перезапускать down up пробовал, убивать процессы тоже (check kill)

    Кто что может подсказать?
     
    #204 SEGA_1986, 10 Nov 2019
    Last edited: 10 Nov 2019
  5. hydra

    hydra Well-Known Member

    Joined:
    24 Jul 2015
    Messages:
    2,147
    Likes Received:
    19,698
    Reputations:
    30
     
  6. SEGA_1986

    SEGA_1986 Member

    Joined:
    25 Jan 2013
    Messages:
    109
    Likes Received:
    18
    Reputations:
    0
    o_O:eek: вот я даю... невнимательность и спешка... ещё пробел забыл (-o pmkid)

    всё работает, на 2х адаптерах.
     
    #206 SEGA_1986, 10 Nov 2019
    Last edited: 11 Nov 2019
    4Fun likes this.
  7. SEGA_1986

    SEGA_1986 Member

    Joined:
    25 Jan 2013
    Messages:
    109
    Likes Received:
    18
    Reputations:
    0
    Адаптер RaLink3070.
    Точек много (30+), сигнал отличный (-44 -46), pmkid всего 4 поймал за 2 дня (все 4 подобраны, пароли найдены, ошибок нет)
    Роутеры - Asus RT10 RT12 и TP-Link (какой - хз, вываливается новая веб морда с вводом ЭЛ.почты и пароля)

    Но что-то маловато...
     
  8. kuz

    kuz Well-Known Member

    Joined:
    10 Jun 2015
    Messages:
    654
    Likes Received:
    502
    Reputations:
    3
    Это потому что
    Мои адаптеры на этом чипе давно лежат на полке, выбросить лень, продать тоже (стОят копейки), поэтому лежат про запас (сойдут на крайняк). Рекомендую присмотреться к альфе NHA (на ar9271).
     
    4Fun likes this.
  9. SEGA_1986

    SEGA_1986 Member

    Joined:
    25 Jan 2013
    Messages:
    109
    Likes Received:
    18
    Reputations:
    0
    Не, я про pmkid) что-то их мало, на 30-40 точек - всего 4 pmkid. Пусть даже не рабочие или пустые будут, но нет, всего 4...
    А точек то норм) Живу просто в таком районе где 1 пятиэтажка.
     
  10. kuz

    kuz Well-Known Member

    Joined:
    10 Jun 2015
    Messages:
    654
    Likes Received:
    502
    Reputations:
    3
    • Ты не понял. Возможно pmkid отдают больше ТД, НО... Условно говоря, когда чип ралинк 3070 "говорит" что
      , то это ни разу не соответствует действительности, уровень сигнала сильно завышен, и его приём может быть как нормальный, так и никакой (чаще второе). Это меня очень сильно напрягало в своё время, поэтому ради сохранения психики перешёл на чип ar9271, чего и тебе желаю.
     
    4Fun, SEGA_1986 and antis17 like this.
  11. Monohrom

    Monohrom Member

    Joined:
    26 Jan 2020
    Messages:
    4
    Likes Received:
    19
    Reputations:
    1
    Кому лень читать всю тему + часть моих дополнений

    1.
    Иногда нужно словить pmkid, а адаптера с монитор модом нет под рукой, можно словить pmkid на смартфоне (нужны рут права) вот общая инструкция:

    Как известно, для атаки требуются следующие данные:
    1) PMKID;
    2) BSSID целевой точки;
    3) MAC-адрес клиента (в данном случае MAC-адрес Wi-Fi моего смартфона);
    4) ESSID целевой точки.

    Данные под номерами 2, 3 и 4 мы знаем, а PMKID вытаскиваем вручную из файла захвата Tcpdump с помощью WireShark

    После этого всего мы составляем текстовый файл вида:
    <PMKID>*<BSSID>*<STA_MAC>*<ESSID>
    и сохраняем его как file.16800. Этот файл уже можно ломать с помощью Hashcat

    Но если нам требуется, чтобы он ломался через Aircrack-Ng, нужно переконвертировать его в .cap. Для этого устанавливаем утилиты: https://github.com/ZerBea/hcxtools и конвертируем наш файл командой: hcxhash2cap --pmkid file.16800 -c file_aircrack.cap

    Взято из недр форума спасибо @4Fun

    2.
    Судя по описанию можно ловить pmkid используя wpa_supplicant в режиме отладки
    https://github.com/Sinf0r0s0/pmkid-auto (скрипт бажный)
    инфа по поводу ловли pmkid с помощью wpa_supplicant
    https://www.wifi-libre.com/topic-1144-revolucion-en-el-crack-wpa-ataque-por-diccionario-contra-pmkid-page-2.html#p11773

    3.
    Ловля PMKID из под Windows
    1. Запустить Wireshark
    2. Включить режим монитора - wlanhelper {guid} mode monitor
    3. Запустить захват 802.11 пакетов
    4. Выключить режим монитора - wlanhelper {guid} mode managed (не останавливая захват пакетов)
    5. Подключиться к нужной сети с любым паролем - EAPOL Key 1 поймает

    Взято из недр форума спасибо @binarymaster

    4.
    В консоли: tcpdump -nei wlan0 -s0 -xx
    если нужно сохранить файл то опция -w file.cap
    отфильтровать только EAPOL пакеты - в конце добавить ether proto 0x888e
    Суть в том, что свои EAPOL пакеты видны на wi-fi интерфейсе и без режима монитора.
    Cмотреть вывод logcat. У там проскакивают пары bssid + essid, соответственно можно их скриптом выковыривать. Примерно так:
    Code:
    logcat -d | perl -nle 'BEGIN{undef $/;} for(/line=bssid=\K(\S+.+?ssid=[^\n]+)/sg) {print "$1 ".unpack("H*", $2)." ($2)" if /^(\S+).+?ssid=(.+)/s}'
    Взято из недр форума спасибо @VasiliyP

    5
    ссылка на tcpdump
    https://www.androidtcpdump.com/android-tcpdump/downloads

    6.
    По PMKID

    Пока что список уязвимого следующий:
    Mikrotik Routerboard (есть галочка отключить pmkid)
    Cisco точки доступа
    Tenda (ralink chipset)
    Netis, totolink, asus rt-n10/n12, huawei ws319 под вопросом (pmkid = 00000000..) (realtek chipset)
    Dlink DSL-2640U 96333AWG_F7S, Dsl-2650u (broadcom chipset)
    ASUS RT-N10U, RT-N18U (broadcom chipset)
    Dlink DIR-615 (broadcom chipset)
    Netgear WNR1000v3.
    TP-LINK (Broadcom)


    Взято из недр форума спасибо
    @TOX1C за список и @VasiliyP (TP-LINK)
     
    #211 Monohrom, 26 Jan 2020
    Last edited: 27 Jan 2020
    WELK, Triton_Mgn, Af5G4337 and 7 others like this.
  12. kuz

    kuz Well-Known Member

    Joined:
    10 Jun 2015
    Messages:
    654
    Likes Received:
    502
    Reputations:
    3
    Спасибо за труды, на всякий случай небольшое примечание - после конвертации pmkid2cap пароль нужно брутить только новыми аиркряком, ewsa и wifipr (т.е. теми версиями, которые умеют работать с PMKID), старые версии с конвертированным *cap не работают.
     
    Monohrom and 4Fun like this.
  13. antis17

    antis17 Well-Known Member

    Joined:
    25 Apr 2017
    Messages:
    135
    Likes Received:
    871
    Reputations:
    5
    Новый aircrack-ng 1.6 уже работает с PMKID.
    Если кому надо для коллекции конвертер pmkid2cap под Windows, cкомпилил в Cygwin.
    http://wdfiles.ru/rnGZ
     
    Af5G4337, kuz and CRACK211 like this.
  14. kuz

    kuz Well-Known Member

    Joined:
    10 Jun 2015
    Messages:
    654
    Likes Received:
    502
    Reputations:
    3
    Он уже работает ещё с версии 1.4 ;)
    Но не в этом дело, я упомянул его строго в контексте брута *cap, конвертированного из PMKID'а, для тех кто использует его старые версии.
     
    #214 kuz, 27 Jan 2020
    Last edited: 27 Jan 2020
  15. V777

    V777 Well-Known Member

    Joined:
    12 May 2015
    Messages:
    1,116
    Likes Received:
    2,240
    Reputations:
    20
    hcxpcaptool. под виндовс есть ?
     
  16. antis17

    antis17 Well-Known Member

    Joined:
    25 Apr 2017
    Messages:
    135
    Likes Received:
    871
    Reputations:
    5
    V777 and ms13 like this.
  17. WELK

    WELK Member

    Joined:
    14 Jan 2017
    Messages:
    89
    Likes Received:
    8
    Reputations:
    0
    где именно бажный? планирую на своем андроиде использовать.
     
  18. eurosanya

    eurosanya New Member

    Joined:
    24 Apr 2017
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    У кого есть возможность, выложите на другой обменник. zalil.su не отдает файл.
     
  19. USER_X

    USER_X Well-Known Member

    Joined:
    1 Oct 2016
    Messages:
    2,546
    Likes Received:
    31,712
    Reputations:
    70
    hash-modes.xml
     
  20. hcker

    hcker New Member

    Joined:
    2 Jun 2017
    Messages:
    42
    Likes Received:
    0
    Reputations:
    0
    Ребята не могу поставить hcxdumptool при установке ругается на отсутствии
    Code:
    Openssl/evp.h
    установлена kali 2017.2 репозиторий обновлял. Но не помогло.
     
Loading...