PDA

Просмотр полной версии : Атака PMKID на беспроводные точки доступа


Rook
02.02.2022, 18:40
ДИСКЛЕЙМЕР

Статья и видео к ней созданы в образовательных целях!

Все что вы делаете, делаете на свой страх и риск.

Автор не несет ответственности за использование этой информации в любых целях

Привет дорогие друзья!

В этой статье я бы хотел поделиться с вами информацией об атаке PMKID на wifi точки доступа.
Эта атака была открыта случайно во время поиска новых способов атаковать будущий стандарт безопасности WPA3. Этот WPA3 будет атаковать намного труднее из-за современного протокола установления ключей, называемого "Simultaneous Authentication of Equals" (SAE).

В чем же плюсы такой атаки ? А в том что больше не нужно ждать "соседей" пока они придут домой и подключаться к своему WIFI, что бы отключить их и поймать Рукопожатие - Handshake.

В процессе дампа информации от AP, мы сможем найти хеш даже в WireShark :

https://forum.antichat.xyz/attachments/4916052/img_f8a5e7d930.png

Ну и от дела давайте к практике.
Нам понадобиться : сетевая карта которая может переходить в режим монитора и пару утилит такие как

hcxdumptool

,

hcxpcaptool

.


Начнем сбор информацииПереведем нашу карту в режим монитора


airmon-ng start *wlan1*


Имя вашего адаптера вы можете узнать прописав команду

airmon-ng


после того как перевели в режим монитора, воспользуемся утилитой

hcxdumptool



hcxdumptool -o all-wifi.pcapng -i wlan1mon --enable_status 15


И расскажу не много хитрости которую не рассказал в видео ролике, пускай это будет некоторой эксклюзивностью если можно так сказать
Мы можем направить атаку не на все точки доступа сразу, а точечно, выбрать мак адрес и записывать в файл информацию только о нем, для этого

откроем

airodump-ng -i wlan1mon


Найдем нужный нам SSID, скопируйте его MAC адрес и выполните следующую команду


echo "XXXXXXXXXXXX" > filterlist.txt

- Давайте поясню для тех кто не понимает что это. Мы записали мак адрес в файл filterlist.txt
Но самое интересное то что утилита

hxcdumptool

принимает МАК адресс без разделителя ).
И теперь если мы хотим атаковать определенную AP пишем


hcxdumptool -o all-wifi.pcapng -i wlan1mon --enable_status 15 --filterlist_ap=filterlist.txt --filtermode=2


теперь мы будем собирать всю инфу только с определнной AP.

P.S наберитесь терпения, за частую такая атака занимает большое кол-во времени. На сбор 1 PMKID в среднем требуется от 10 до 30 минут. Но бывает и дольше, Но и меньше Как повезет

После успешного сбораПосле того как мы в логах увидели уведомление напротив пакета

PMK FOUND
, останавливаем процесс и двигаемся дальше.

Теперь нам понадобиться утилита
hcxpcaptool


Набираем


hcxpcaptool -z all-wifi.16800 all-wifi.pcapng


Хочу отметить что тут нужно сначала указывать имя выходного файла "all-wifi.16800", где 16800 напоминалка о режиме hashcat, но об этом не много позже, а all-wifi.pcapng это наш сборник информации из которого мы извлекаем PMKID для брут форса.

Должно получиться примерно такое :
https://forum.antichat.xyz/attachments/4916052/img_57d787215b.png

HASHCAT

https://forum.antichat.xyz/attachments/4916052/img_f5ce6476a5.pngТеперь за дело берется наш кот, кормим его не вискасом,а нашим хешем =)


hashcat -m 16800 -a 0 -w 3 *хеш из файла либо путь к нему* /home/user/all-wifi.16800 *путь к словарю* /home/user/rockyou.txt


И запускаем и ждем результатов
https://forum.antichat.xyz/attachments/4916052/img_afcad78f6b.png
Тут уже будет зависеть от ваших словарей, либо фантазии по маске в hashcat.

А на этом я буду заканчивать, а вдруг вам было лень прочитать и вы просто пролистали в низ, так же имеется Видео-версия данной статьи
Всем спасибо и приятного просмотра!

r4z0r5
02.06.2023, 15:30
Rook сказал(а):

В процессе дампа информации от AP, мы сможем найти хеш даже в WireShark :


Увидеть PMKID в Wireshark вполне ожидаемо, это один из нескольких ключей передаваемых по EAPOL в открытом виде (также как PTK, GTK, MSK и т.д.). Отдельно добавил бы что метод актуален только для точек с включенной функцией роаминга (бесшовное переключение между несколькими точками доступа), т.е для корпоративных сетей с большой зоной покрытия. PMKID как раз играет роль идентификатора Pairwise Master Key для ускорения процесса аутентификации клиента на точке, что и создает эффект "безшовности подключения".



Rook сказал(а):

P.S наберитесь терпения, за частую такая атака занимает большое кол-во времени. На сбор 1 PMKID в среднем требуется от 10 до 30 минут. Но бывает и дольше, Но и меньше Как повезет


Также добавлю что главная прелесть атаки в том что PMKID прилетает в ответ на 1 запрос аутентификации (откройте любой дамп беспроводного трафика и по фильтру

eapol && wlan.rsn.ie.pmkid

наверняка найдете там в первом же сообщении 4-хстороннего рукопожатия хеш PMKID). PMKID необходим на первом этапе хендшейка для создания парного переходного ключа на основе обмена данными между точкой и клиентом.
Что касается времени сбора PMKID, собрать их можно мгновенно со всех точек в эфире сделав "вспышку" аутентификацией. К примеру командой

wifi.assoc all

в туле Bettercap.

Извиняюсь, не мог пройти мимо как большой любитель WiFi.

larchik
02.06.2023, 17:32
r4z0r5 сказал(а):

как большой любитель WiFi.


Не мог бы поделиться качественными материалами по атакам на WPA3 (персонал и энтерпрайз) или запилить статью?)