Захват Four-Way-Handshake WPA/WPA2 PSK

Один из способов взлома беспроводной точки доступа WPA/WPA2 PSK является оффлайн атака по словарю захваченного four-way-handshake (или «рукопожатие»). Что такое four-way-handshake — тема для отдельной статьи. Для наших целей пока достаточно знать, что это 4 пакета с данными, которыми обменивается беспроводная точка доступа и клиент. Wireshark

называет эти пакеты как 1/4 2/4 3/4 4/4, так что для удобства будем называть их также.

Инструментарий:

1. Дистрибутив, основанный на Debian
2. Набор программ Aircrack-ng
3. Анализатор трафика Wireshark
4. Программа для маскировки MAC-адреса macchanger
5. Адаптер, поддерживающий функции Packet Ingjection и Handshake Capture
   (самый простой — TP-LINK TL-WN722N мощностью 100 mW)

Внешний вид «тренировочного» адаптера

Если у вас desktop дистрибутив (Ubuntu, Mint, Debian, Parrot Home etc), то установить нужные пакеты можно командой:

sudo apt install aircrack-ng wireshark macchanger -y

Перевод адаптера в «боевой» режим monitor Mode

Основной режим работы адаптера — station — используется для подключения к беспроводным точкам доступа и выхода в интернет. Однако, практически все современные адаптеры имеют и другой режим работы — monitor

. В этом режиме адаптер может перехватывать все пакеты от всех точек доступа до которых он сможет «дотянуться», а также проводить «инъекцию» пакетов — «впрыскивать» фальшивые пакеты в установленное соединение между беспроводной точкой доступа и клиентом. Первая задача юного хакера — научится переводить адаптер из «гражданского» режима в «боевой» и обратно.
Для начала необходимо узнать, какое обозначение присвоено в системе «боевому» адаптеру. Для этого используется команда:

ifconfig

Теперь можно переводить адаптер в «боевой» режим. Для этого используется команда:

sudo airmon-ng start wlan1

Если все сделано без ошибок, то система ответит, что для выбранного устройства отключен режим station и включен режим monitor.

Маскировка сетевого MAC адреса

MAC-адрес — псевдоуникальный шестибайтовый идентификатор сетевых устройств формата XX:XX:XX:XX:XX:XX. Чтобы не светить «номера» своего адаптера перед атакой, нужно их «замазать» — подменить с помощью программы macchanger.
На заметку: macchanger именно «маскирует» родной MAC-адрес, а не изменяет его. Для взлома чужого роутера этого достаточно, так как в консоли будет отображаться поддельный адрес. Однако, обмануть базовую станцию сотового оператора подделав MAC-адрес смартфона или модема не удастся. Она все равно увидит «железный» MAC, а попытка «заспуфить» MAC может вызвать ненужные подозрения.
Обращаем ваше внимание на два важных момента:
1. Адаптер в режиме station и в режиме monitor для системы — два разных устройства. Так что маскировать нужно после перевода в «боевой» режим. Если замаскировать MAC в «гражданском», то после перевода в режим monitor у устройства будет настоящий заводской адрес.
2. Маскировать MAC-адрес можно только на отключенном устройстве.
Для отключения используется все та же команда ifconfig:

sudo ifconfig wlan1mon down

Погаснувший светодиод на адаптере признак того, что все сделано правильно. Теперь можно маскировать MAC. Для маскировки используется команда:

$ sudo macchebger -r wlan1mon

Система ответит тремя строками. Верхние две — «родной» MAC адрес адаптера, а нижняя — замаскированный. Теперь осталось обратно включить устройство, и можно приступать к боевым действиям:

sudo ifconfig wlan1mon up

Поиск цели

Для поиска цели необходимо построить список всех точек доступа, до которых «дотянулся» наш адаптер (722-ой tp-link имеет мощность всего 100mW, так что выдающихся показателей от него ждать наивно. Для сравнения AWUS036NH от «альфы» имеет мощность 2000mW и «стреляет» на расстояние до 1 км). Для сканирования и построения списка точек доступа используется другая программа из набора aircrack-ng — airodump-ng:

sudo airodump-ng wlan1mon

1. Beacons — Таблица разделена по горизонтали на две части. Верхняя большая часть — это список точек доступа, которые в данный момент посылают «в эфир» так называемые «маячки» (beacons). Эти маячки используются для оповещения, что точка включена и доступна. Каждая точка посылает примерно 10 таких маячков в секунду. Если маячки активно приростают, то точка расположена относительно близко и ее можно «поработать». Если же маячки до нас долетают через раз или вовсе не далетают, то тут уже без шансов (важно помнить, что роутер может быть гораздо мощнее адаптера — так что маячки приниматься будут, а вот инъекция пакетов от адаптера в роутер «не долетит»).

2. Stations or Clients — Помимо количества маячков следует обратить внимание на нижнюю часть таблицы. В ней отображаются пары «точка доступа (bssid) — клиент (station)», т.е. к эти точкам доступа в данный момент подключены какие-то устройства (ноутбуки, смартфоны), а значит была произведена успешная аутентификация этих устройств.

3. PWR — Мощность точки доступа. Чем меньше, тем устойчивее связь и меньше помех, проще поймать не «битый» хэндшейк.

4. Data — количество пакетов с данными. Активный прирост в данной колонке говорит о том, что устройство не просто подключено, но и активно обменивается данными с точкой доступа, а значит владелец устройства вероятнее всего в данный момент им пользуется.

5. СH — канал на котором работает роутер (от 1 до 14).

Если учесть все эти параметры то «портрет потенциальной жертвы» складывается следующий — для захвата хэндшейка нам нужна точка доступа, в которой в данный момент успешно аутентифицирован и активно обменивается пакетами клиент (при нескольких вариантах выбираем точку с максимально мощным сигналом).

Атака деаутентификации

Хендшейк можно захватить двумя способами.

«Естественный» захватывается в тот момент, когда к точке доступа подключается какой-то клиент (например, владелец вернулся с работы, его смартфон автоматически нашел точку и подключился к ней). Этот способ очеь долгий и может занимать часы, но если у вас кроме встроенного в ноутбук адаптера ничего нет, то это единственный вариант — просто оставляем включенным на несколько часов airodump-ng, а после ищем EAPOL пакеты в wireshark.

«Форсированный» захват требует «боевого» адаптера и занимает меньше минуты (тестовый захват для мануала занял ровно 30 секунд). Для этого используется так называемая атака деаутентификации — в установленное соединение точка доступа — клиент «впрыскиваются» ложные пакеты, сообщающие клиенту (например, ноутбуку), что он деаутентифицирован. Разумеется, тут же происходит повторная аутентификация и обмен теми самыми 4 пакетами, которые мы захватим. Сначала нам нужно настроить airodump-ng на атакуемую точку доступа. Делается это так:

sudo airodump-ng -с 6 --bssid xx:xx:xx:xx:xx:xx -w rutor wlan1mon

Где:

-с — канал атакуемого;

—bssid — MAC-адрес атакуемого роутера;

-w — имя дампа в который программа автоматически запишет все пакеты.

Далее самое интересное. Запускаем атакующий пакет из набора aicrack-ng, это aireplay-ng:

sudo aireplay-ng -0 1 -a xx:xx:xx:xx:xx -c xx:xx:xx:xx:xx:xx wlan1mon

Где:

-0 — атака деаутентификации;

1 — количество «лент»;

-a — MAC-адрес атакуемого роутера;

-с — MAC-адрес атакуемого клиента.

Теперь нам остается загрузить .cap файл (первый из четырех, они в разделе /home) в анализатор трафика, ввести в строку сверху параметр фильтра EAPOL и убедиться, что у нас есть либо все 4 пакета, либо как минимум комбинация 1/4+2/4 или 2/4+3/4, и можно приступать к брутфорсу.
Надеемся данная статья была полезной для вас, с уважением команда HelpU.