Брут WPA2 без handshake используя PMKID + hashcat

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by Vikhedgehog, 6 Aug 2018.

  1. hydra

    hydra Well-Known Member

    Joined:
    24 Jul 2015
    Messages:
    1,317
    Likes Received:
    10,663
    Reputations:
    25
    Вот тут-то у меня засада.Сколько не пытался захватить PMKID без клиентов.так ни разу ничего не вышло.С клиентами ловится на раз-два.
    Юзал и hcxdumptool и wifite.py.Но они,похоже не инициируют подключение к целевой AP с произвольным паролем.Такое ощущение,что они просто ждут подключения от кого-нибудь.
    С таким подходом,смысла в ловле этого PMKID становится ещё меньше чем ожидалось.Единственный плюс остаётся в том,что не надо ждать полного ХШ.
     
  2. Tudiblad

    Tudiblad Member

    Joined:
    3 Oct 2017
    Messages:
    42
    Likes Received:
    16
    Reputations:
    0
    Ну про wifite.py ребята писали, что без клиента не ловит PMKID, а вот hcxdumptool не скажу про клиентов, а вообще ловит, ну правда может клиенты были.
     
  3. hydra

    hydra Well-Known Member

    Joined:
    24 Jul 2015
    Messages:
    1,317
    Likes Received:
    10,663
    Reputations:
    25
    Скорее всего,захват возможен только при задействовании двух адаптеров.Один подключается.Второй дампит.Один адаптер находящийся в monitor mode,не может пдключаться к точке штатным методом.
     
  4. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,285
    Likes Received:
    8,518
    Reputations:
    113
    Хм... а в чём проблема в режиме монитора, посылая пакеты, имитировать подключение, чтобы пакет M1 пришёл?
     
  5. hydra

    hydra Well-Known Member

    Joined:
    24 Jul 2015
    Messages:
    1,317
    Likes Received:
    10,663
    Reputations:
    25
    Думал об этом,но немогу сказать,что это реализовано в софте о котором идёт речь.Ведь если бы это было так,то наверняка бы всё срабатывало.
    Нужно чтобы кто-нибудь отписался об успешном захвате PMKID без клиента.
     
  6. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    900
    Likes Received:
    1,345
    Reputations:
    17
    Вопрос в другом - а чем это можно осуществить. aireplay-ng умеет имитировать подключение, но только к wep сетям.

    А роутерскан можно обучить таким возможностям?
     
  7. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,285
    Likes Received:
    8,518
    Reputations:
    113
    aireplay-ng с открытым кодом, и его можно научить этому.
    Под Windows не всё так гладко с режимом монитора, а с инъекцией пакетов вообще не ахти.
     
    Kakoluk, munki, hydra and 1 other person like this.
  8. Toroid

    Toroid Member

    Joined:
    9 Oct 2016
    Messages:
    75
    Likes Received:
    48
    Reputations:
    1
    Пробовал этот метод на альфе awus051nh v2 чип RT3572.
    И вот что заметил - сообщения [FOUND PMKID] (как в цитате ниже) - не появляется.

    Значит ли это, что этот адаптер не умеет эту атаку?
     
  9. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,285
    Likes Received:
    8,518
    Reputations:
    113
    Не обязательно, может уязвимых точек в округе нет.

    Для дополнительной уверенности можно попробовать проверить на другом адаптере.
     
    Toroid likes this.
  10. yarr

    yarr Member

    Joined:
    19 Aug 2017
    Messages:
    135
    Likes Received:
    87
    Reputations:
    2
    Вот читаешь этот тред и диву даешься. Еще выше кто-то писал, что без клиентов не работает. Просто скину сюда свою же пасту.

    Атака позволяет захватывать PMKID в 2 случаях - когда у точки уже есть клиент, если его нет скрипт сам выполнит пробное подключение.

    +еще шейки иногда ловит, надо только их попробовать извлечь из файла.

    Вот сейчас еще раз все проверил - в начале атаки скрипт нам показывает MAC нашего фейкового клиента:

    root@yarr:~# hcxdumptool -o test1.pcapng -i wlan1 --enable_status=1

    start capturing (stop with ctrl+c)
    INTERFACE:...............: wlan1
    FILTERLIST...............: 0 entries
    MAC CLIENT...............: f0a225XXXXXX (client)
    MAC ACCESS POINT.........: 00238XXXXXX (start NIC)
    EAPOL TIMEOUT............: 150000
    REPLAYCOUNT..............: 63545
    ANONCE...................: d5a4547b0e4c344f7a6273737878ba314680c6e9ea139fde4cfaa9073b8dfd11

    [17:16:11 - 001] b4a5efXXXXXX -> f0a225XXXXXXX [FOUND PMKID CLIENT-LESS]
    [17:16:12 - 001] fcc897XXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS] ------->>> это мы получили с 1 ТД 2 PMKID (наш фейк клиент и реальный) и 1 HENDSHAKE
    [17:16:12 - 001] fcc897XXXXXX -> 64a651XXXXXX [FOUND PMKID]
    [17:16:12 - 001] fcc897XXXXXX -> 64a65192d9a8 [FOUND AUTHORIZED HANDSHAKE, EAPOL TIMEOUT 34896]
    [17:16:57 - 006] 6c3b6bXXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS]
    [17:17:23 - 003] 78312bXXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS]
    [17:17:47 - 013] a039eeXXXXXX -> f0a225XXXXXX [FOUND PMKID CLIENT-LESS]
    [17:18:32 - 003] cc4eecXXXXXX -> 8c3ae3XXXXXX [FOUND PMKID]
    [17:18:39 - 007] fcc897XXXXXX-> 40490fXXXXXX [FOUND PMKID]
    INFO: cha=2, rx=14304, rx(dropped)=4491, tx=2130, powned=9, err=0

    FOUND PMKID-LESS - нашел с помощью пробного подключения, там нет клиентов или скрипт по каким-то причинам их не обнаружил.
    FOUND PMKID - нашел с помощью клиента на точке.
    FOUND AUTHORIZED HANDSHAKE - сабж.

    Я параллельно airodump-ng чекал клиентов, все верно. И эти клиенты совпадают со значениями в логе.

    К тому же те, кто следят за веткой на форуме hashcat и так прекрасно понимают что не всегда нужен клиент на уязвимых точках. + В оригинальной статье это прямым текстом сказано.

    Вот немного про атаки от автора инструмента

    hcxdumptool is able to run different attack vectors. And the client-less (PMKID) attack vector is only one of them:


    ap-less:

    Only one packet (M2) from a client required. You do not need to hunt for access points. Just wait until the clients come to you. Have patience - some clients will give you their PSK in the clear (hcxpcaptool -E -I -U)!

    This attack vector is the most important one, because clients are weak! Try to annoy them!

    You can run --nonce-error-corrections=0 on that handshake!


    client-less:

    Only one packet (M1 - PMKID) from an access point is required.

    You have to hunt for access points (usually access points don't move). It's hard to annoy an access point.

    You need to have a good antenna (high gain)!


    m4 - retry:

    After receipt of a single M4, M1, M2, M3 are requested as long as we didn't successfull captured an authorized handshake (M2/M3).

    A client and an access point are required for this attack vector! You need to have a good antenna!


    deauthentication (old school):

    Disconnect a client from the network and capture the following authentication.

    A client and an access point are required for this attack vector!

    You need to have a good antenna (high gain)!

    Attack vector will not work if PMF is enabled



    Possible reason why you didn't receive a PMKID:

    No access point with activated roaming is in range.


    But so what:

    A client is in range - play with him!

    Там есть опции для максимальной скрытности от WIDS, + сейчас вендоры роутеров внедрют технологию защиты от DOS атак.
     
  11. yarr

    yarr Member

    Joined:
    19 Aug 2017
    Messages:
    135
    Likes Received:
    87
    Reputations:
    2
    По поводу адаптеров, как выше кто-то писал - почти любой с возможностью инъекции пакетов. Я тестировал на 036H, ACH, TP LINK 721N (Atheros 9271 без L) + еще Intel, штеуд хуже всех, но все равно ловит, хоть и с ошибками. Думаю дело в его малой мощности, чувствительности и т.д.
     
  12. hydra

    hydra Well-Known Member

    Joined:
    24 Jul 2015
    Messages:
    1,317
    Likes Received:
    10,663
    Reputations:
    25
    Вот этого-то я ниразу пока не видел.Хотя точки 100% уязвимы. TP LINK 722N (Atheros 9271)
     
  13. yarr

    yarr Member

    Joined:
    19 Aug 2017
    Messages:
    135
    Likes Received:
    87
    Reputations:
    2
    Возможно дело в том, что сами инструменты активно обновляются. Надо раз в неделю гит проверять. Тоже сначала не понимал в чем дело. Стоит обратить внимание на опции --enable_status=1 это уровень детализации атаки.
     
  14. Toroid

    Toroid Member

    Joined:
    9 Oct 2016
    Messages:
    75
    Likes Received:
    48
    Reputations:
    1
    Проверил на этом же адаптере, но в другой географии. Чего-то поймал, в смысле сообщение [FOUND PMKID] я увидел.
    Так что этот чип тоже можно добавить в перечень годных.
     
  15. Monashka

    Monashka Member

    Joined:
    20 Sep 2017
    Messages:
    50
    Likes Received:
    10
    Reputations:
    0
    Формула для акулы есть?
    Запрос можно и вручную отправить. Автор на источнике указал примеры, там на 14 хэндшейков приходится 1 PMKID..
     
  16. VasiliyP

    VasiliyP Well-Known Member

    Joined:
    30 Aug 2011
    Messages:
    216
    Likes Received:
    348
    Reputations:
    7
    [​IMG]
     
    munki, Triton_Mgn and CRACK211 like this.
  17. CRACK211

    CRACK211 Well-Known Member

    Joined:
    16 Sep 2009
    Messages:
    634
    Likes Received:
    611
    Reputations:
    4
    Чем захвачен ? Можно подробней описать процесс?
     
  18. VasiliyP

    VasiliyP Well-Known Member

    Joined:
    30 Aug 2011
    Messages:
    216
    Likes Received:
    348
    Reputations:
    7
    В консоли: tcpdump -nei wlan0 -s0 -xx
    если нужно сохранить файл то опция -w file.cap
    отфильтровать только EAPOL пакеты - в конце добавить ether proto 0x888e
    Суть в том, что свои EAPOL пакеты видны на wi-fi интерфейсе и без режима монитора.
     
    munki, Kakoluk, ms13 and 5 others like this.
  19. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,285
    Likes Received:
    8,518
    Reputations:
    113
    Я правильно понимаю, что для tcpdump нужны root права? Или есть окольные пути? :)
     
  20. CRACK211

    CRACK211 Well-Known Member

    Joined:
    16 Sep 2009
    Messages:
    634
    Likes Received:
    611
    Reputations:
    4
    То есть получается нужда в ловли хейндшека отпадает ? И возня с переводом адаптера в монитор мод тоже? Из этого следует что на Виндоус можно ловить pmkid и расшифровать. А из это следует что бинартмастер может прикрутить эту фичу вRS?
     
Loading...