Взлом wifi сети wifi роутера

Время на прочтение
3 мин

Количество просмотров 196K

Автор статьи, перевод которой мы сегодня публикуем, хочет рассказать о том, как взломать Wi-Fi-сеть, для защиты которой используются протоколы WPA и WPA2.

Статья написана исключительно в ознакомительных целях

Аппаратное и программное обеспечение

Я буду пользоваться дистрибутивом Kali Linux, установленным на VMware Workstation.

Кроме того, в моём распоряжении имеется Wi-Fi-адаптер Alfa AWUS036NH 2000mW 802.11b/g/n. Вот его основные характеристики:

  • Стандарты: IEEE 802.11b/g/n, USB 2.0.
  • Скорости передачи данных: 802.11b — 11 Мбит/с, 802.11g — 54 Мбит/с, 802.11n — 150 Мбит/с.
  • Разъём для подключения антенны: 1 x RP-SMA.
  • Частотные диапазоны: 2412~2462 МГц, 2412~2472 МГц, 2412~2484 МГц.
  • Питание: 5В.
  • Безопасность: WEP 64/128, поддержка 802.1X, WPS, WPA-PSK, WPA2.

Шаг 1

Нужно запустить Kali Linux в VMware и подключить к системе Wi-Fi-адаптер Alfa AWUS036NH, выполнив следующую последовательность действий:

VM > Removable Devices > Ralink 802.11n USB Wireless Lan Card > Connect

Подключение Wi-Fi-адаптера к ОС, работающей в VMware

Шаг 2

Теперь обратите внимание на средства управления Wi-Fi-подключениями в Kali Linux.

Управление Wi-Fi-подключениями в Kali Linux

Шаг 3

Откройте терминал и выполните команду airmon-ng для вывода сведений об интерфейсах беспроводных сетей.

Вывод сведений об интерфейсах беспроводных сетей

Шаг 4

Как видно, интерфейсу назначено имя wlan0. Зная это, выполним в терминале команду airmon-ng start wlan0. Благодаря этой команде Wi-Fi-адаптер будет переведён в режим мониторинга.

Перевод адаптера в режим мониторинга

Шаг 5

Теперь выполните такую команду: airodump-ng wlan0mon. Это позволит получить сведения о Wi-Fi-сетях, развёрнутых поблизости, о том, какие методы шифрования в них используются, а так же — о SSID.

Сведения о Wi-Fi-сетях

Шаг 6

Теперь воспользуемся такой командой:

airodump-ng -c [channel] –bssid [bssid] -w /root/Desktop/ [monitor interface]

В ней [channel] надо заменить на номер целевого канала, [bssid] — на целевой BSSID, [monitor interface] — на интерфейс мониторинга wlan0mon.

В результате моя команда будет выглядеть так:

airodump-ng -c 6 –bssid 4C:ED:FB:8A:4F:C0 -w /root/Desktop/ wlan0mon

Выполнение команды

Шаг 7

Теперь нужно подождать. Утилита airodump будет мониторить сеть, ожидая момента, когда кто-нибудь к ней подключится. Это даст нам возможность получить handshake-файлы, которые будут сохранены в папке /root/Desktop.

Вот как выглядит работа утилиты до того момента, как кто-то подключился к исследуемой сети.

Программа наблюдает за сетью

А вот что происходит после того, как то-то к сети подключился, и программе удалось получить нужные данные.

Получение необходимых данных

Шаг 8

Вы можете пропустить этот шаг в том случае, если у вас уже есть handshake-файлы. Здесь описан альтернативный способ получения соответствующих данных.

Речь идёт об использовании следующей команды:

aireplay-ng -0 2 -a [router bssid] -c [client bssid] wlan0mon

Здесь [router bssid] нужно заменить на BSSID Wi-Fi-сети, а [client bssid] — на идентификатор рабочей станции.

Эта команда позволяет получить handshake-данные в том случае, если вам не хочется ждать момента чьего-либо подключения к сети. Фактически, эта команда атакует маршрутизатор, выполняя внедрение пакетов. Параметр -0 2 можно заменить другим числом, например, указать тут число 50, или большее число, и дождаться получения handshake-данных

Использование утилиты aireplay-bg

Шаг 9

Теперь воспользуемся такой командой:

aircrack-ng -a2 -b [router bssid] -w [path to wordlist] /root/Desktop/*.cap

  • -a2 означает WPA.
  • -b — это BSSID сети.
  • -w — это путь к списку паролей.
  • *.cap — это шаблон имён файлов, содержащих пароли.

В моём случае эта команда выглядит так:

aircrack-ng -a2 -b 4C:ED:FB:8A:4F:C0 -w /root/Desktop/ww.txt /root/Desktop/*.cap

После выполнения этой команды начнётся процесс взлома пароля. Если пароль будет успешно взломан — вы увидите что-то, похожее на следующий скриншот.

Успешный взлом пароля

Как вы контролируете безопасность своих беспроводных сетей?

#статьи


  • 0

Показываем, как взломать ваш роутер за 2–3 часа. Будьте бдительны!

Редакция «Код» Skillbox Media

Онлайн-журнал для тех, кто влюблён в код и информационные технологии. Пишем для айтишников и об айтишниках.

В многоквартирных домах теснятся не только люди, но и множество маршрутизаторов. Получить доступ к соседскому Wi-Fi проще простого — достаточно знать пароль устройства. Обычные пользователи даже не догадываются, что у них проблемы с безопасностью и их роутеры прямо сейчас атакуют главную страницу «Яндекса».

Чтобы защититься от злоумышленников, нужно думать как злоумышленник. Поэтому попробуем взломать Wi-Fi. Практиковаться будем на своём роутере — мы же против нарушения законов! Попросите домашних изменить на нём пароль и не говорить вам.

Готово? Теперь у вас есть мотивация, цель и подробная инструкция.

Что нужно уметь?

  1. Установить Linux и работать с ОС на уровне рядового пользователя.
  2. Запускать терминал и выполнять простейшие команды.

Инструменты

  1. Kali Linux. Подойдёт любой дистрибутив Linux, но на Kali предустановлен необходимый софт.
  2. Wi-Fi-адаптер. Встроенный или внешний USB — разницы нет. Но есть нюансы, о которых поговорим далее.
  3. Aircrack-ng. Набор утилит для обнаружения Wi-Fi-сетей, анализа и перехвата трафика. Идёт в поставке Kali Linux.

Прежде чем надевать на голову чулок или балаклаву, нужно понять, как работает роутер. Для этого нужно немного вспомнить курс школьной физики. Беспроводной девайс ловит электромагнитные волны от ноутбука или смартфона, расшифровывает их, а полученные запросы отправляет в интернет через кабель.

Но чтобы обмениваться с роутером информацией, его надо как-то обнаружить — он же не кричит о себе на весь дом. Тут поможет… бекон.

Beacon frame — это пакет, который роутер рассылает, чтобы сообщить о себе. Смартфоны и другие пользовательские устройства периодически сканируют радиоканал и ловят «беконы». Они переключаются в режим монитора и выводят обнаруженные пакеты — это и есть доступные точки подключения.

После того как устройство обнаружило роутер, подключаемся. Давайте заглянем в этот процесс и познакомимся с терминами. Будем считать, что подключаемся через смартфон.

Если наш смартфон знает пароль, то передаёт его автоматически, если нет — роутер спрашивает его у нас. Во время подключения смартфон и роутер обмениваются «рукопожатием» (handshake).

Handshake — процесс знакомства клиента и сервера, во время которого устройства идентифицируют друг друга и обмениваются секретными ключами. Handshake происходит каждый раз, когда мы подключаемся к серверу.

После «рукопожатия» смартфон переключается на рабочий канал и безопасно работает с роутером.

Канал — рабочая частота, на которой устройства обмениваются данными. У роутеров обычно от 1 до 15 каналов.

Теперь устройства доверяют друг другу, а у вас есть доступ в интернет.

Составим план взлома. Мы получим доступ к маршрутизатору в четыре шага:

  1. Найдём устройства с помощью Aircrack-ng.
  2. Выберем роутер и послушаем его трафик в ожидании handshake. Защита промышленных моделей наподобие Cisco, MikroTik может быть гораздо серьёзнее, и выполнить трюк будет сложнее.
  3. Возможно, дополнительно отправим сигнал отключения от точки для клиентских устройств, чтобы ускорить процесс.
  4. Перехватим handshake, расшифруем методом брутфорса и получим пароль.

Брутфорс — метод простого перебора паролей. Он примитивен и работает в лоб, поэтому и называется методом грубой силы. Это как если бы человек загадал трёхзначное число, а вы бы пытались его угадать, называя все числа от 100 до 999.

Плюсы нашей атаки:

  • роутер со стандартными настройками — лёгкая цель;
  • довольно простая реализация.

Минусы:

  • Перебор возможных паролей может занять много времени — его количество зависит от мощности машины и длины словаря. В среднем на пароль из 8 цифр уходит более 8 часов.
  • Если точкой никто не пользуется, то и handshake перехватить не получится: нет подключений, а значит, и нужных нам данных.

Не все адаптеры годятся для нашего плана. Нам нужен такой, у которого есть режим монитора и режим инъекции. Это аппаратные методы для одновременного анализа всех точек вокруг и перехвата чужих пакетов информации. Чтобы узнать, поддерживает ли ваше устройство такие режимы, нужно определить модель чипсета. Её можно найти в интернете по модели адаптера или с помощью команд:

  • lspci | grep «Network» — для встроенных адаптеров;
  • lsusb — для внешних устройств.

По названию ищем в поисковике информацию о чипсете. Нам нужно найти, поддерживает ли он monitor mode и packet injection.

Можно сразу искать чипсет на сайте, но там может не быть нужных данных.

Нам нужно узнать, как в системе именуется наше Wi-Fi-устройство. Запускаем терминал нажатием клавиш Ctrl + Alt + T и выполняем команду iwconfig для просмотра всех беспроводных адаптеров.

В моём случае найдено два устройства: wlx1cbfce4e2375 — внешний USB-адаптер и Wlp10s0 — встроенный.Чтобы проверить, способно ли устройство участвовать в атаке, нужно узнать его название. Встроенное — Realtek Semiconductor Co., Ltd. RTL8821CE — не поддерживает режим монитора и инъекции. А внешнее Ralink Technology, Corp. MT7601U Wireless Adapter — поддерживает. Его и будем использовать.

Нам необходимо переключить адаптер в режим монитора, в котором устройство анализирует весь беспроводной трафик вокруг себя.

Используем следующие команды:

sudo airmon-ng check kill

sudo airmon-ng start wlan0

Что делают:

  1. Выключают процессы, которые мешают работе с адаптером беспроводной сети.
  2. Включают режим монитора.

При запуске режима монитора утилита обнаружила, что моя карта заблокирована, и предложила выполнить команду для разблокировки. Выполняем команду.

Далее она автоматически переименовала длинное и странное имя адаптера в более простое. Теперь моя сеть мониторинга называется wlan0mon.

Нужно осмотреться! Запускаем утилиту Airodump-ng и мониторим сети.

sudo airodump-ng wlan0mon

Сверху у нас подробная таблица с точками доступа, а внизу — клиенты. Наша сеть — TP-Link_77D0, из таблицы узнаём её BSSID и CH-канал.

Переключаем наш адаптер в режим работы с этой точкой. Теперь утилита анализирует трафик точки и её клиентов. Лучше открыть дополнительный терминал для этих целей.

sudo airodump-ng wlan0 —channel 1 -w mycap

С помощью команды переключаем адаптер на канал 1. В случае поимки handshake данные сохраняются в файл с названием mycap. Он находится в папке, в которой запущен терминал.

Можно ничего не делать и ждать, когда рыба сама клюнет. Как только захватим handshake, сообщение «fixed channel wlan0:» сменится на «WPA handshake B0:BE: 76:A9:77:D0».

Чтобы ускорить процесс, можно подкинуть «наживки». Клиенты, подключенные к точке, могут отключиться, если мы отправим им соответствующий сигнал — пакет деаутентификации. Это вынудит клиента вновь обменяться handshake с атакуемым устройством.

Пакеты деаутентификации используются для исправления ошибок, обновления ключей и так далее. Они передаются незашифрованными, поэтому утилита может их подделать. Когда целевое устройство получит пакет деаутентификации, оно вынуждено отключиться от роутера.

С помощью команды отправляем 100 пакетов всем клиентам указанной сети.

sudo aireplay-ng -0 100 -a B0:BE: 76:A9:77:D0 wlan0

«-0» — это пакет деаутентификации, «100» — количество пакетов, «-a» — цель атаки, а «wlan0mon» — наш монитор.

И, вуаля, мы поймали рыбку! Зашифрованный пароль теперь в файле mycap.cap. Об этом говорит надпись «WPA handshake B0:BE: 76:A9:77:D0» в левом верхнем углу.

Пароль уже почти у нас. Осталось расшифровать полученный handshake. Сделать это несложно, но ресурсозатратно. Брутфорс требует больших мощностей и много времени.

Тут есть два пути.

Простой. Воспользоваться сайтами, которые расшифровывают данные. Их можно найти в поисковике по запросу «handshake decrypt online». У некоторых сервисов есть бесплатные тарифы, но обычно они берут небольшую сумму — выходит не дороже чашки кофе.

Сложный. Использовать специальный софт и подключать драйвера, которые будут использовать центральный процессор вместе с графическим для ускорения вычислений. Можно воспользоваться aircrack-ng — у неё есть модуль для расшифровки — или утилитой hashcat. Первая утилита содержит базовый набор функций, вторая — более серьёзный и расширенный.

Мы реализовали простую атаку на домашний роутер. Самое главное: мы научились не только взламывать чужие устройства, но и защищать свои:

  1. Не используйте стандартные слабые пароли. Для пароля из 8 цифр количество возможных комбинаций равно 134217728. Мощный компьютер расшифрует его довольно быстро. Но если добавить хотя бы одну латинскую букву, то количество вариантов возрастёт до 1.0633823966279327e+37, а шансы злоумышленников резко уменьшатся.
  2. Не использовать название модели роутера в имени сети. Зная модель роутера, злоумышленник может воспользоваться известными уязвимостями устройства. Например, для роутера TP-Link TL-WR840N есть эксплойт, позволяющий обойти аутентификацию. Кроме того, если вы не меняли пароль, взломщик может выяснить, какие заводские пароли использует роутер.
  3. Отключать обнаружение сети. Подключиться к такому устройству сложнее — придётся прописывать настройки вручную.
  4. Использовать фильтр подключений в роутере, который разрешает подключаться только известным устройствам. Даже если злоумышленник расшифрует пароль, фильтр не пропустит его в сеть.

Если хотите научиться защищать от хакерских атак не только домашние, но большие корпоративные сети, приходите на курс. «Специалист по кибербезопасности». Здесь студенты узнают о новых способах атак, учатся строить защиту, а лучшим мы помогаем с трудоустройством.

Жизнь можно сделать лучше!
Освойте востребованную профессию, зарабатывайте больше и получайте от работы удовольствие. А мы поможем с трудоустройством и важными для работодателей навыками.

Посмотреть курсы

В основе статьи лежит интервью с настоящим хакером Graf_Black.

Сергей Александрович Бабин

г. Кемерово

babins@inbox.ru

Материал, изложенный в этой статье  первоначально планировалось включить отдельной темой в  книгу под рабочим названием «Инструментарий хакера», которая должна вот- вот выйти в свет в издательстве БХВ (С-Петербург). Но, так  получилось, что книга уже была  сдана в набор, а данная  глава была еще  не совсем готова. Поскольку это может оказаться интересным для многих читателей то решено было сделать отдельную публикацию.

В основе статьи лежит интервью с настоящим хакером, что согласитесь, не часто можно встретить.

Не будем рассказывать о том, как произошло это знакомство, и как удалось уговорить хакера на придание огласке  нашей беседы. Отметим только, что весь диалог был виртуальным.

Наибольший интерес представляет даже не техническая сторона  конкретного взлома, о котором мы будем говорить,  а личное отношение интервьюера к некоторым аспектам  обсуждаемой темы. Итак, вот это интервью, правда, с некоторыми литературными правками, что не позволяет в полной мере оценить всю харизматичность  опрашиваемого, но дало возможность представить в более общепринятом виде.

С.А.Б.: Как мне вас называть?

Хакер: Сегодня можно – Graf_Black!

С.А.Б.: Вы хакер!

Graf_Black: Не думаю, что являюсь таковым в том смысле как Вы это  себе представляете.

 С.А.Б.:?

Graf_Black: Может быть я несколько витиевато выражаюсь! Но, во всяком случае, я не взламываю системы для проникновения в них  ради какой- то выгоды, да и вообще с целью проникновения.  Можно было бы меня назвать этичным хакером, но у меня нет и заказчиков для тестирования систем. Я просто изучаю системы ради интереса, и вообще стараюсь не  нарушать  закона, никому не делать зла.

С.А.Б.: Как Вы относитесь к различной литературе по теме хакинга?

Graf_Black: Да какая же это литература? «Сначала был ARPANET…. Потом был Интернет…Далее — первый  червь Морриса…. Появился  World Wide Web.  Хакер это тот- то, и тот-то… , и т.д.».  В таком духе — пару  сотен страниц! Не хочу кидать камня в Вашу строну, надеюсь, что будет по-другому.

С.А.Б.: Ну хорошо, перейдем к основному вопросу,  ради которого мы и договорились об этой встрече (если можно ее так назвать).

Вопрос в следующем: Сегодня Интернет  переполнен  описанием различных уязвимостей, методик по взлому, и так далее. Информации настолько много, что казалось бы, каждый второй должен бы стать опытным хакером, каждый третий защитником информации…. Однако, как мне кажется,  этого не происходит. Как правило,  опубликованные примеры почему-то не срабатывают. Почему?

Graf_Black: Для того чтобы ответить на этот вопрос давайте в качестве примера рассмотрим взлом WiFI роутера по протоколу WPS, который из всех опубликованных   на сегодня   способов представляется наиболее эффективным и простым!

Напомним: WPS – (Wi-Fi Protected Setup) протокол применяют  для  упрощения одноименного процесса настройки беспроводной сети.  Грубо говоря – протокол для ленивых, используемый в процессе подключения WiFi-устройства к роутеру, участвующий в процессе настройки этого устройства. Делается это так, что пользователю  не требуется стараться при конфигурировании подключаемого устройства, вводить сложный  секретный ключ для WPA2-PSK.  Нужно только знать pin-код устройства, состоящий всего из 8-и цифр (который по утверждению всех источников можно считать с этикетки на корпусе роутера). При настройке, если воспользоваться WPS, роутер сам выдаст устройству значение секретного ключа. Чтобы взломать устройство WiFi требуется знать только pin-код, и  не требуется производить сложных атак для  WPA2-PSK (например, пробовать взлом по словарю с применением заумных, сложных мутаций, и не факт что  это может привести к успеху).

Оказывается структура pin-кода  и самого процесса авторизации такова, что количество комбинаций при брутфорсе (взломе пароля методом перебора) значительно меньше, чем можно было бы предположить, за счет того, что код состоит  из трех частей: 

— последняя цифра  это контрольная сумма, полученная из первых 7-цифр (только за счет этого уже значительно   уменьшилось количество комбинаций),

— две части из 4-х и 3-х цифр участвуют в авторизации по отдельности  (в результате чего для полного перебора требуется еще меньше комбинаций).

Благодаря  Интернету укоренилось  мнение:   в результате того, что в указанном  протоколе  (WPS) имеется уязвимость, можно с легкостью взломать чуть ли не каждый роутер и  за считанные часы.

Но, теория теорией, а  действительность  такова, что взламывать – то оказывается и нечего (сразу оговорюсь – количественные оценки сделаны на основе личного опыта):

  • Некоторые  давно изготовленные роутеры  вообще не поддерживают протокол WPS (процентов 10).
  • Часть маршрутизаторов с момента опубликования уязвимости, уже «перепрошита» более новыми версиями программного обеспечения (процентов 20), в котором производители учли эту уязвимость «вкрутив»  туда блок,   отвечающий  за то, что при слишком уж частом, неуспешном обращении по указанному протоколу  увеличивается  тайм-аут для  «отлупа» тому, кто пытается получить авторизацию. Указанный программный блок   в таком случае   дает команду роутеру на время  «замкнуться в себе» (напоминает  мою подругу:  обидевшись на что-то, она может по неделе со мной не разговаривать, и я называю это  состояние — «замкнуться в себе»), или даже вообще — «предписывает» перманентный «бан» нападающему. Причем интересно, что  исправляющие уязвимость «перепрошивки» были установлены пользователями (или теми, кто  обслуживает их роутер) даже вовсе не по причине наличия обсуждаемой уязвимости, а просто  потому, что во всех этих роутерах  хватает и других «багов» не устраивающих пользователя. Устранение  возможности взлома  произошло не нарочно, по воле пользователя, а как бы попутно!
  • Некоторые  устройства уже более новые и программное обеспечение учитывает обсуждаемую уязвимость (процентов 40):  по умолчанию протокол WPS не включается, или при частом обращении в роутере происходят  те же действия, какие указаны   в предыдущем пункте  (роутер «замыкается  в себе»,  вас посылают…., не пугайтесь,  я хотел сказать – посылают  в «перманентный бан»).
  • На части роутеров (5 процентов) продвинутым пользователем протокол WPS отключен принудительно. Отключен потому что, во-первых, программное обеспечение  роутера это позволяет, во-вторых, пользователь  знает о наличии уязвимости (рисунок 1):

Рисунок  1.

  • Часть роутеров, находящихся в окружении атакующего, вообще со слабым сигналом (15 процентов). А для взлома по указанной  уязвимости, как известно, требуется очень мощный сигнал.  Т.е., нужно находиться в непосредственной близости от взламываемого роутера.

Были названы не все причины, только основные! На этой цифре 10+20+40+5+15=90% WiFi роутеров, не подлежащих взлому,  пожалуй, и остановлюсь! А то ненароком, увлекшись,  насчитаю более 100  процентов! Оставим себе шанс, что процентов  около 10% роутеров, находящихся  в Вашем окружении,  все же взломать можно.

Сплошные сложности. И это еще не все! Пойдем дальше.  О том, что для взлома роутера требуется максимум 10 – часов, как описывается во всех без исключения  статьях на эту тему,  вообще  какая-то слишком уж  теоретическая цифра!  Сказал однажды кто-то, и все: как аксиома тиражируется всеми, никто не подверг сомнению! Уверяю Вас – на практике  нужно до  48 часов.  Если на взламываемом  роутере pin-код имеет значение 99999991, то вы потратите 2-ое суток (в худшем случае может быть даже немного больше). А если  значение pin-кода – 09999991, можно  обойтись и за 2-4 часа.

Роутер с таким значением pin-кода, как на рисунке 2, можно  взломать даже менее чем за час:

Рисунок  2.

Правда,  вряд ли  Вам удастся взломать, именно это устройство! Просто   потому что это мой роутер, и  вхожу  в 5 процентов  тех,  кто в курсе. Шучу! Кроме того, как вы видите  pin-код можно и поменять, остановившись на большем его значении!

Попутно  замечу, что не встречал ни в одной из статей по обсуждаемой уязвимости,  упоминания о том, что pin-код может быть не написан на корпусе, а выводится в одном из меню роутера (как мы видим в  случае на рисунке 2).

Переходим непосредственно к практике взлома. Я, повторяясь,  подробно опишу уже известный порядок.  Сделаем это, для того чтобы не отсылать вас на другие ресурсы. Если Вы впервые хотите «войти в тему» пусть будет все «в одном флаконе». Кроме того, такой подход поможет лучше понять мою мысль о том, почему обычному человеку трудно повторить атаку успешно по широко «разрекламированному» алгоритму.

1. Получим  в Интернете  какой-нибудь не очень древний набор BackTrack 5  (рисунок 3) и загрузим  Linux.  Причем все равно как мы это сделаем: установим набор на жесткий диск, или загрузимся,   сделав  загрузочный  компакт-диск (флешку), используя образ…

Рисунок  3.

2.В  нашем примере мы использовали   комакт-диск. Linux загрузился в режиме командной  строки. Для того чтобы загрузиться в графическом режиме наберем команду startx (рисунок 4):

Рисунок  4.

Возможно, что для вашей версии потребуется ввести пароль пользователя root (имя суперпользователя, под которым мы будем работать). Используйте тогда  пароль: <toor>.

Проверим наличие программы сетевой карты поддерживающей WiFI , для чего  первоначально войдем в терминальный  режим ( Aplications → Accessories→ Terminal, рисунок 5):

Рисунок  5.

Затем выполним команду:

iwconfig

По результату срабатывания  указанной команды видим, что WiFi-адатер он работает, и нужный нам  интерфейс будет обозначен как Wlan0 (рисунок 6):

Рисунок  6.

Убедимся, что  в состав набора входит программа для взлома reaver. Для этого  попробуем запустить  программу также в терминальной сессии (рисунок 7):

Рисунок  7.

Необходимо, чтобы программа reaver, реализующая взлом по уязвимости протокола WPS, входила бы в состав этого  дистрибутива, и чтобы она была не ниже  версии 1.4. Поэтому в п.1. мы говорили о том, что сборка BackTrack 5 (BT5)  не должна быть очень старой. Если программы нет,  Вам придется ее устанавливать, например,  так (способов вообще-то много):

2.1. Способ 1. Выполнить команды:

apt-get update

apt-cache search reaver

apt-get install reaver

Первая команда  обновляет  список доступных пакетов. Вторая позволяет проверит есть ли  reaver. Третья команда установит reaver

2.2. Способ 2. Выполнить команды:

svn cleanup reaver-wps

svn checkout http://reaver-wps.googlecode.com/svn/trunk reaver-wps

Часть скрин-шота от команды  svn checkout  приведена на рисунке 8:

Рисунок 8.

Далее нужно выполнить команды:

cd ./reaver-wps/src/

./configure

make

make install

«Перегрузим» сетевой интерфейс командами:

ifconfig wlan0 down

ifconfig wlan0 up

После каждой перезагрузки интерфейса будем проверять имя интерфейса присвоенного системой (команда iwconfig).

Понятно, что для установки программы нужно, чтобы у Вас было соединение с Интернет. Настраивается в меню: Aplication → Internet→Wicd Network Manager (рисунки 9,10):

Рисунок  9.

Рисунок  10.

Повторимся: эти шаги по установке вам вряд ли придется делать, так как в последних сборах нужная нам программа  присутствует!

3.В терминальном режиме запустим программу для перевода  интерфейса в режим монитора:

airmon-ng start wlan0

Получим результат (рисунок 11):

Рисунок  11.

4. Командой wash проверим наличие точек доступа, которые можно взламывать:

wash –i  mon0  

О том, что протокол WPS на роутере не блокирован, обозначено значением  <No> в столбце <MPS Locked> (рисунок 12):

Рисунок  12.

Необходимо понимать, что если по п.3 команда airmon-ng показывала имя монитора не mon0, а   mon1 (или какое-то другое), то  и в команде wash следует в качестве значения ключа ставить mon1 (или какое-то другое).  Напоминаем об этом, потому что  значение в имени монитора  цифра может каждый раз увеличиваться после перезагрузки сетевого  интерфейса (ifconfig wlan0 down, ifconfig wlan0 up).

5.Выбрав жертву  запустим команду  reaver,  указав MAC-адрес жертвы:

reaver  -i  mon0 –b 64:66:6С:58:D4:1C –c  4  –vv  —dh-small

Если все пойдет нормально, увидим обмен  пакетами с роутером для различных значений pin-кода, т.е. будет осуществляться брутфорс-атака (рисунок 13). Значение  подбираемого pin-кода будет все время увеличиваться.

Рисунок  13.

Что касается ключей команды  reaver,  то укажем некоторые, неочевидные, которые использовались  в нашем случае:

  • -с     -указывается  номер канала на котором работает роутер-жертва, чтобы не перебирать все каналы в поисках роутера (по результатам действия команды на рисунке 12 мы  видим, что для выбранной жертвы нужно указывать 4-ый канал);
  • -vv       -выводится  вся подробная информацию по работе команды reaver;
  • —dh-small        -убыстряется скорость работы, за счет того что используется небольшое значение секретного ключа.

Все другие ключи Вы  найдете в Интернете.

Оказалось что, дойдя до определенного значения подбираемого  pin-кода, не приходит никаких  ответов на все наши  запросы. Когда в течение нескольких часов мы уже начинаем понимать, что уже никаких ответов больше не получим дальнейшая атака не имеет смысла, используя комбинацию клавиш Ctrl+C, прерываем сессию (рисунок 14):

Рисунок  14.

Кстати, обратите внимание: при прерывании  — сессия взлома запоминается (Session saved), и впоследствии  ее возможно продолжить с этого же места.

Можно было бы подумать, что роутер просто «завис». Но, если начать взлом сначала, не используя запомненную сессию, для чего после повторения команды:

reaver  -i  mon0 –b 64:66:6С:58:D4:1C –c  4  –vv  —dh-small

на запрос об использовании запомненной ранее  сессии ответить <N> (no), мы с удивлением видим, что роутер по-прежнему работает и отвечает на наши запросы.

Аналогичная ситуация по «долгому  timeout» повторялась для любого из трех наугад выбранных роутеров, только значения pin-кода на которых они «затыкались» для каждого роутера было свое:

39525673 – для нашего роутера,

69975677 и 20630287 для двух других.

В чем же дело? Не знаю! Могу предположить, что  это хитрый прием защиты применяемый разработчиками роутеров. Да  это  сейчас и не  важно!

Важно то, что  продолжить атаку, обойдя  значение Pin-кода на котором мы застопорились, невозможно.  Просто потому, что программа не имеет ключа (или я просто его не нашел), с вводом которого мы могли бы начать атаку с нужного нам значения.  Ключ <pin> – не спасет, потому что он применяется для того, чтобы «долбится» на роутер с одним конкретным значением pin –кода.

Вспомним известный пример, о том, что делать  выводы на малом количестве испытуемого материала – дело опасное:

Возьмем первые попавшиеся нечетные цифры из общего числового ряда – 1,3,5, 7…

Пожалуй, достаточно (мы же взяли первые попавшиеся, да и не так уж мало). Что можно решить, проанализировав эту выборку? По результатам анализа  делаем ошеломляющий вывод (ошибочный): все нечетные цифры являются простыми (делятся только сами на себя и единицу)!

А ведь для того, чтобы не сделать ошибочного вывода, можно было просто случайно использовать другие, пусть,  примеру, следующие, четыре цифры: 9, 11, 13, 15…. Причем даже три цифры  можно было взять, девятка уже делится не только  сама на себя.

Тем не менее, не имея лаборатории, большого количества роутеров различных марок, и попробовав  взломать первых попавшихся в свободном пространстве три подходящих роутера, получив нулевой вариант  — все же рискнем сделать   вывод: на практике вероятность взлома роутеров WiFi близка к  0%!.  Если значение pin Для роутера не слишком маленькое (что редко), Вы просто рано или поздно дойдете до точки «затыка».

А сейчас вернемся немного в наших рассуждениях назад! Ранее, по публикациям в Интернете  мы  наивно думали:  взломаем все,  что попадется под руку! Таков уж общий настрой от этих публикаций. Об имеющейся проблеме  никто не пишет!

Таким образом,  мы ответили на Ваш вопрос, почему имея огромное количество статей  по этой теме, в основном скомпилированных от первоисточника, обычные пользователи на практике не могут осуществить якобы совсем простого взлома.

Да! Чуть не забыл: пользователь, немного  потыкавшись как слепой котенок, не очень то бежит рассказывать всем, что он пробовал, а ничего не получилось (боится – засмеют, осудят:  может не так что делал)! Как правило, он отложит все для «разборок» на потом. А позже понемногу интерес проходит, и он уже не возвращается к этой  теме.

С.А.Б.: Стоп! Стоп! Стоп! По Вашей логике получается  причина  неудач в том, что при обнаружении уязвимости, в печати или других средствах массовой информации, изначально появляется какая-то переводная статья (более близкая к теории чем к практике), а далее – как лавина размножаются скомпилированные на ее основе другие тексты…  В итоге,  потому что нет практики, нет реальности, у пользователей ничего не выходит… Тогда, если сейчас мы с Вами  не приведем какого- то решения, хотя бы для данного обсуждаемого случая (думаю, оно есть), никто не поверит, что я разговаривал с настоящим хакером! Чтобы доказать правдивость Ваших умозаключений  Вы просто обязаны поделиться! Большей части читателей нужен только взлом, а не разговоры о  его вероятности!

Graf_ Black: Опять Вы про хакера…. Сколько раз говорить – не хакер я! Лично я считаю хакерами тех людей, которые сами находят уязвимости и пишут соответствующие программы  для взлома с использованием найденных возможностей! Таких единицы! Все остальные те, кто пользуются этими программами:  либо шалунишки, либо просто откровенное  хулиганье! А может это просто любознательные (и таких немало)!

Конечно, взлом по указанной уязвимости все же возможен для тех 10 процентов, на которых мы остановились до перехода к практике…

Вообще-то роутеры взламывать не нужно! У меня есть много знакомых, которые ругают своего соседа (причем они его даже не знают в лицо), потому, что тот в очередной раз вовремя не заплатил провайдеру 1-го числа за Интернет, в результате  бедняги  пару дней не могли им (Интернетом) пользоваться.

Расскажу, как все же получить положительный результат. Но, обещайте, что все  будет использовано только в благих целях!

С.А.Б.: Обещаю за всех!

Graf_ Black: Перед нами стоит задача: как продолжить атаку с заданного значения pin-кода?! Как видно (рисунок 14) после прерывания сессии все необходимые данные куда-то записываются. Нужно просто найти это файл и исправить в нем значение для нашего злополучного примера с 39525673, скажем на 40000000, обойдя (с небольшим запасом) злополучное место!

Ищем файл. Оказывается  файлов два,  и расположены они по следующему пути:

/usr/local/etc/reaver/ 

Причем один файл с расширением wpc (название его числовое и соответствует MAC адресу роутера)  можно прочитать текстовым редактором, а другой, имеет расширение – db (reaver.db), и он  бинарный, структуры <SQLlite format 3> (это становится понятно по  надписи в теле фала при просмотре  каким-нибудь редактором).

В нашем наборе файл reaver.db можно просмотреть и редактировать программой sqlite, входящей в набор BackTrack 5 . Но, поскольку все делается с командной строки, чтобы не разбираться в синтаксисе этой программы, просто скопируем целиком весь каталог с файлами на любой, подмонтированный  раздел жесткого диска (при желании можно   перенести файлы и на другой компьютер). И, перезагрузившись в Windows, подберем в Интернете программу,  которая понимает формат SQLlite 3 (возможно есть какая-то графическая утилита и для Linux, но я не искал).  Установим бесплатную версию программы SqliteDog (сайт –  http://sqlitedog.com/ru/) . Откроем файл <reaver.db3>:

Оказывается, база данных включает в себя три таблицы:

— history

—  status

— survey

Устанавливая по очереди курсор на  название каждой из таблиц, используя правую клавишу мыши, просмотрим все таблицы, посредство меню  <Получить данные>  (рисунок 15):

Рисунок 15.

Внесем нужные нам изменения в таблицу history: значение 3958 заменим на 4000. Чтобы внести изменения  возымели действие, нажимаем  на прямоугольную кнопку  с плюсом (рисунок 16).

Рисунок 16.

Таблица survey тоже интересна, хотя в  ней нам ничего не нужно править (рисунок 17):

Рисунок 17.

В файле *.wpc   вносим изменения в 4-е цифры вначале файла, поменяв значение 3958 на 4000 (рисунок 18):

Рисунок 18.

Данные подготовлены. Вновь загружаем BackTrack 5. Возвращаем  измененные файлы в каталог /usr/local/etc/reaver/.  Если сомневаетесь – можете проверить права пользователя на файлы (доступны ли на изменение), но это вряд ли необходимо.

Повторяем команды:

airmon-ng start wlan0

wash -i mon0  

Вот незадача!  Пока мы возились c исправлениями базы данных reaver, пользователь роутера уже переместил его с 4-го канала на 9-ый.  Видимо атаки на WPS все же тормозят устройство, и хозяин решил, что помехи в 4-канале слишком велики. Поэтому это нужно будет учесть, указав  при продолжении атаки другой канал.

Ну и последний штрих, запуск reaver:

reaver  -i  mon0 –b 64:66:6С:58:D4:1C –c  9  –vv  —dh-small

Номер канала  в команде reaver уже исправлен на 9-ый. Соглашаемся продолжить сессию с  прерванного места (рисунок 19), ответив <Y>:

Рисунок 19.

Далее атака продолжится уже на  9-ом канале с нового, нужного нам значения pin-кода 40000000, обойдя место «затыка». И вот, наконец, после всех  манипуляций, долгожданный  результат получен (рисунок 20):

Рисунок  20.

Таким образом, кроме того, что была решена проблема, существующая при атаке на WiFi роутеры, вдобавок  фактически мы еще получили способ вести нападение, распределив необходимые временные затраты на части.  Это удобно, потому что, попытку взлома можно сделать более незаметной,  да и не нужно тратить двое суток непрерывной работы компьютера, если он еще  кому-то нужен в семье. Вот и все! Убедил ли я Вас, что взломать можно процентов десять роутеров?

С.А.Б.: Да, конечно!

Graf_Black:  Так вот:  я вам наврал! Пошутил я! На самом деле  все же эта цифра может доходить процентов до  30.  Во-первых,  описывалась  заведомо  наихудшая ситуация. Во-вторых, процент взломанных роутеров возрастет, за счет компьютеров, которые были исключены из зоны успеха  в связи с низким уровнем сигнала. В конце – концов,  можно было просто поиграть местоположением при взломе,  поставить специальную антенну, запитать ноутбук от автомобиля, и свершить «набег» в несколько приемов, чтобы не «торчать» двое суток возле  интересующего объекта.

С.А.Б.: Еще один вопрос?!

Graf_Black: Хорошо, но один, не больше! Никогда так не уставал!

С.А.Б.: Сколько Вам лет:

Graf_Black: 82 года мне!

С.А.Б.: Ого! Да Вы оказывается еще совсем молоды… Не побоюсь этого слова: Вы дали сейчас надежду новому поколению юных хакеров (будем надеяться — законопослушным, этичным хакерам). Оказывается что-то все же возможно сделать когда, казалось бы,  выхода нет. «Бороться и  искать, найти и не сдаваться…»!  Ох! Что-то я уже не туда…. Извините, тоже шучу! Удачи Вам и скорейшего  взросления!

ноябрь 2013, г.Кемерово

Текст статьи не является руководством к действию и публикуется для ознакомления с методами взлома и построения грамотной защиты. Напоминаем, что за преступления в сфере компьютерной информации предусмотрена ответственность по статье 274 УК РФ.

***

Разработчики Kali предупреждают, что в виртуальной машине не получится установить драйвера для Nvidia и соответственно мы не сможем проводить расчеты на ГП. Подтверждаю, у меня драйвера не установились. В таком случае лучше ставить Kali как вторую ОС. Расчет на ЦП в виртуальной машине работает нормально.

В статье представлены рецепты для Kali Linux 20.04 и Ubuntu 20.04. Если Kali не устраивает, у нее есть аналог – Parrot OS.

1. Установка Kali в VirtualBox

Устанавливаем последнюю версию VirtualBox и скачиваем Kali Linux VirtualBox 64-Bit (OVA) или 32-Bit. Запускаем VirtualBox и нажимаем на кнопку Импортировать.

Рис. 1. Установка Kali Linux в VirtualBox

Рис. 1. Установка Kali Linux в VirtualBox

Выбираем образ Kali Linux, назначаем количество ядер и ОЗУ для виртуальной машины и нажимаем на кнопку Импорт.

Рис. 2. Установка Kali Linux в VirtualBox

Рис. 2. Установка Kali Linux в VirtualBox

Запускаем Kali Linux и вводим логин kali и пароль kali.

Рис. 3. Ввод логина и пароля в Kali Linux

Рис. 3. Ввод логина и пароля в Kali Linux

2. Установка aircrack-ng

Aircrack-ng – набор инструментов для мониторинга, пентестинга Wi-Fi сетей и взлома WEP, WPA 1 и 2. В Kali утилита aircrack-ng предустановлена. В Ubuntu выполним следующую команду:

        sudo apt install aircrack-ng
    

3. Установка bettercap

Bettercap – программа для мониторинга и спуфинга. Установим bettercap из исходников. Введем в терминале следующие команды:

        sudo apt update
sudo apt install golang git build-essential libpcap-dev libusb-1.0-0-dev libnetfilter-queue-dev

#эта команда выполняется долго
go get github.com/bettercap/bettercap
    

Перейдем в каталог с bettercap:

        #в Kali:
cd /home/kali/go/src/github.com/bettercap/bettercap/

#в Ubuntu:
cd /home/USERNAME/go/src/github.com/bettercap/bettercap/

#Затем введем:
make build
sudo make install
    

Если к компьютеру подключен USB Wi-Fi адаптер, включим его следующим образом: УстройстваUSBMediaTek 802.11 n WLAN. Название Wi-Fi адаптера может отличаться.

Рис. 4. Включение беспроводного USB Wi-Fi адаптера в Kali Linux в VirtualBox

Рис. 4. Включение беспроводного USB Wi-Fi адаптера в Kali Linux в VirtualBox
Рис. 5. Wi-Fi адаптер из AliExpress за 150 руб., который использовался для мониторинга Wi-Fi
Рис. 5. Wi-Fi адаптер из AliExpress за 150 руб., который использовался для мониторинга Wi-Fi

Узнаем имя Wi-Fi адаптера с помощью команды ifconfig или ip a.

Рис. 6. Узнаем имя адаптера командой <code class="inline-code">ifconfig</code>

Рис. 6. Узнаем имя адаптера командой ifconfig

В нашем случае адаптер называется wlan0.

Сначала отключим ненужные процессы:

        sudo airmon-ng check kill
    

Затем переключим адаптер в режим мониторинга:

        sudo airmon-ng start wlan0
    

Запустим bettercap следующей командой:

        sudo bettercap --iface wlan0
    

Рис. 7. Запуск bettercap в Kali Linux

Рис. 7. Запуск bettercap в Kali Linux

Начнем «слушать» Wi-Fi, введя в терминал wifi.recon on.

Рис. 8. Мониторинг Wi-Fi сетей с помощью bettercap в Kali Linux

Рис. 8. Мониторинг Wi-Fi сетей с помощью bettercap в Kali Linux

Для просмотра списка обнаруженных сетей введем wifi.show.

Рис. 9. Просмотр обнаруженных W-Fi сетей с помощью bettercap в Kali Linux

Рис. 9. Просмотр обнаруженных W-Fi сетей с помощью bettercap в Kali Linux

5. Получение рукопожатий

Выберем цель – точка доступа NX531J. Попробуем получить рукопожатия (англ. handshake) между точкой доступа NX531J и подключенным к ней устройством. Ждем, когда клиент отключится и подключится снова, либо принудительно отключим его командой деаутентификации: wifi.deauth MAC-адрес точки доступа

MAC-адрес – уникальный идентификатор сетевого устройства. Его значение берем из столбца BSSID. В нашем случае: wifi.deauth 90:c7:aa:bb:cc:dd.

Повторяем эту команду, пока не перехватим рукопожатия.

wifi.deauth * и wifi.deauth all отключают все устройства на всех точках доступа.

Рис. 10. Перехват рукопожатий с помощью bettercap в Kali Linux

Рис. 10. Перехват рукопожатий с помощью bettercap в Kali Linux

Четырехстороннее рукопожатие

Четырехстороннее рукопожатие (англ. four-way handshake) – механизм создания парного переходного ключа PTK для защиты трафика.

PTK содержит:

  • временный ключ TK;
  • ключ подтверждения ключа EAPOL;
  • ключ шифрования EAPOL-key.

Первое рукопожатие

Точка доступа отправляет клиенту случайное 32-байтное число ANonce.

Второе рукопожатие

Клиент в ответ генерирует свое случайное 32-байтное число SNonce. ANonce, SNonce и общий PMK (парный мастер-ключ) образуют PTK (парный переходной ключ). Во втором сообщении клиент отправляет SNonce и MIC (код целостности сообщения) точке доступа.

Третье рукопожатие

Точка доступа генерирует свой PTK для проверки значений MIC из второго сообщения. Если все верно, точка доступа отправляет клиенту сообщение о применении PTK.

Четвертое рукопожатие

Клиент подтверждает использование ключа PTK. [1]

Самое важное рукопожатие – второе. В дополнение к нему необходимо первое и/или третье рукопожатие. Лучший минимальный вариант – второе и третье рукопожатия.

Рис. 11. Схема четырехстороннего рукопожатия точки доступа (AP) и клиента (STA)

Рис. 11. Схема четырехстороннего рукопожатия точки доступа (AP) и клиента (STA)

Файл с рукопожатиями сохраняется в /root/bettercap-wifi-handshakes.pcap. Скопируем его в домашнюю директорию:

        #в Kali:
sudo cp /root/bettercap-wifi-handshakes.pcap /home/kali/

#в Ubuntu:
sudo cp /root/bettercap-wifi-handshakes.pcap /home/USERNAME/
    

6. Выбор нужных рукопожатий

Чтобы выбрать интересующие нас рукопожатия и экспортировать их в отдельный файл, нам понадобится программа для анализа сетевых протоколов WireShark.

В Ubuntu установим WireShark:

        sudo apt install wireshark
    

Введем в терминале команду wireshark. Откроется программа с графическим интерфейсом. Нажмем Сtrl+O и откроем файл с рукопожатиями bettercap-wifi-handshakes.pcap

Отфильтруем данные по мак-адресу wlan.addr==90:c7:aa:bb:cc:dd и отсортируем по времени, кликнув по столбцу Time. Также можно отсортировать по номеру No.. Значения ANonce и SNonce меняются каждую сессию, поэтому выбираем рукопожатия, разделенные небольшим временным промежутком (десятки миллисекунд). Рукопожатия из разных сессий для взлома непригодны.

Рис. 12. Просмотр рукопожатий в программе WireShark

Рис. 12. Просмотр рукопожатий в программе WireShark

Как видно, мы получили первое, второе и третье рукопожатия. Выделим все рукопожатия EAPOL, файл с именем сети SSID (в нашем случае это Association Request) и нажмем FileExport Specified Packets.

Рис. 13. Экспорт рукопожатий в программе WireShark

Рис. 13. Экспорт рукопожатий в программе WireShark

Откроется диалоговое окно, в котором выберем Selected packets only и сохраним файл под названием hs.pcap.

Рис. 14. Сохранение рукопожатий в программе WireShark

Рис. 14. Сохранение рукопожатий в программе WireShark

7. Получаем пароль

Для начала, конвертируем файл hs.pcap в файл hs.hccapx (в команде новый файл пишется без расширения, только название):

        #в Kali:
sudo aircrack-ng -j /home/kali/hs /home/kali/hs.pcap

#в Ubuntu:
sudo aircrack-ng -j /home/USERNAME/hs /home/USERNAME/hs.pcap
    

Это нужно, чтобы программа по расшифровке хеша hashcat смогла прочесть файл. Она подбирает пароли с помощью ЦП и/или ГП.

Рис. 15. Конвертация из .pcap в .hccapx утилитой hashcat

Рис. 15. Конвертация из .pcap в .hccapx утилитой hashcat

8. Подбор по словарю

В Ubuntu установим hashcat командой:

        sudo apt install hashcat
    

Словарь – txt-файл с одним словом в каждой строке (рис. 16) Создадим или скачаем словарь (см. доп. материалы) и поместим его в /home/kali, либо /home/USERNAME для Ubuntu.

Рис. 16. Пример словаря для атаки по словарю

Рис. 16. Пример словаря для атаки по словарю

Пароль от моей точки доступа: qwerty12. Он присутствует в словаре для подбора пароля.

Чтобы начать перебор по словарю введем команду:

        #в Kali:
hashcat --force -m2500 -a0 /home/kali/hs.hccapx /home/kali/dic.txt

#в Ubuntu:
hashcat --force -m2500 -a0 /home/USERNAME/hs.hccapx /home/USERNAME/dic.txt
    

Расшифруем значения опций:

--force – скрыть ошибки.

-m2500 – тип взламываемого хеша WPA-EAPOL-PBKDF2.

-a0 – атака по словарю. Можно без этого флага, так как он работает по умолчанию.

/home/kali/hs.hccapx – файл хеша.

/home/kali/dic.txt – словарь.

В случае успеха статус взлома примет значение Cracked и мы получим пароль (рис. 17).

Рис. 17. Успешный взлом пароля атакой по словарю утилитой hashcat

Рис. 17. Успешный взлом пароля атакой по словарю утилитой hashcat
Тип атаки Пример команды
Словарь hashcat -a0 -m2500 example.hash example.dict
Словарь + Правила hashcat -a0 -m2500 example0.hash example.dict -r rules/best64.rule
Брутфорс hashcat -a3 -m2500 example.hash ?a?a?a?a?a?a
Комбинаторная атака hashcat -a1 -m2500 example.hash example1.dict example2.dict

9. Брутфорс и атака по маске

При брутфорсе (англ. brute force) перебираются все возможные символы. Используя маски, мы сужаем диапазон подбираемых символов, например, только числа или только числа и строчные символы. Таким образом на перебор требуется меньше времени. Этот подход удобен, если мы примерно знаем, как человек придумывает пароли. Из атаки по маске можно сделать брутфорс, включив в перебор все символы.

Для атаки по маске введем следующую команду:

        #в Kali:
hashcat -m2500 -a3 -1?l -2?d /home/kali/hs.hccapx ?1werty?2?2

#в Ubuntu:
hashcat -m2500 -a3 -1?l -2?d /home/USERNAME/hs.hccapx ?1werty?2?2
    

Значения опций:

-m2500 – тип взламываемого хеша, WPA-EAPOL-PBKDF2.

-a3 – атака по маске.

-1?l – маска по прописным латинскими буквам (прописная буква L).

-2?d – маска по цифрам.

hs.hccapx – файл хеша.

?1werty?2?2 – предполагаемый пароль с неизвестными символами. В данном случае задача упрощена для экономии времени.

Рис. 18. Успешный взлом пароля атакой по маске утилитой hashcat

Рис. 18. Успешный взлом пароля атакой по маске утилитой hashcat
? Символы
l (прописная буква L) abcdefghijklmnopqrstuvwxyz
u ABCDEFGHIJKLMNOPQRSTUVWXYZ
d 0123456789
h 0123456789abcdef
H 0123456789ABCDEF
s !»#$%&'()*+,-./:;<=>?@[\]^_`{|}~
a ?l?u?d?s
b 0x00 – 0xff

Команда для расчета через видеокарту:

        hashcat -D2 -m2500 -a3 -1?l -2?d hs.hccapx ?1werty?2?2
    

Здесь -D2 – устройство для расчета, ГП.

Номер Устройство
1 ЦП
2 ГП
3 FPGA, DSP, Co-Processor

10. Комбинаторная атака

В комбинаторной атаке используются два словаря. Слова из двух словарей конкатенируются. Если словари содержат следующие слова:

        Hello
World
5588
!
    

то после их соединения получим такой словарь:

        HelloHello
HelloWorld
Hello5588
Hello!
WorldHello
WorldWorld
World5588
World!
5588Hello
5588World
55885588
5588!
!Hello
!World
!5588
!!

    

Запустим комбинаторную атаку:

        #в Kali:
hashcat -m2500 -a1 /home/kali/hs.hccapx /home/kali/dic1.txt /home/kali/dic2.txt

#в Ubuntu:
hashcat -m2500 -a1 /home/USERNAME/hs.hccapx /home/USERNAME/dic1.txt /home/USERNAME/dic2.txt
    

Здесь:

/home/kali/dic1.txt – первый словарь.

/home/kali/dic2.txt – второй словарь.

Рис. 19. Успешный взлом пароля комбинаторной атакой утилитой hashcat

Рис. 19. Успешный взлом пароля комбинаторной атакой утилитой hashcat

11. Куда сохраняется пароль

После удачной расшифровки пароль выводится на экран и записывается в файл ~/.hashcat/hashcat.potfile.

Откроем его в текстовом редакторе, чтобы посмотреть результат:

        sudo nano ~/.hashcat/hashcat.potfile
    

12. Онлайн-сервисы по расшифровке хеша

Также хеш был отправлен в бесплатный онлайн-сервис по расшифровке хеша onlinehashcrack.com и через 12 часов 6 минут пришло письмо, что пароль получен (рис. 20).

Рис. 20. Результаты взлома пароля с помощью сервиса onlinehashcrack.com

Рис. 20. Результаты взлома пароля с помощью сервиса onlinehashcrack.com

Платформа passcrack.online получила пароль за 5 минут (рис. 21). С отправки в онлайн-сервисы лучше начинать расшифровку, так как вычислительных ресурсов у них больше, чем у домашнего компьютера.

Рис. 21. Результаты взлома пароля с помощью сервиса passcrack.online

Рис. 21. Результаты взлома пароля с помощью сервиса passcrack.online

13. Разница между WPA2 и WPA3

В июле 2018 года Wi-Fi Alliance выпустил протокол беспроводной безопасности WPA3. Посмотрим, чем он отличается от своего предшественника.

Недостатки WPA2:

  • уязвим к взлому через WPS;
  • возможен перехват рукопожатий и получение пароля с помощью брутфорса;

Преимущества WPA3 в сравнении с WPA2:

  • устранена уязвимость четырехстороннего рукопожатия за счет применения технологии SAE (Simultaneous Authentication of Equals), которая защищает от офлайн атак по словарю.
  • поддержка PMF (Protected Management Frames) для контроля целостности трафика;
  • шифрование 192 бит в режиме WPA3-Enterprise и 128 бит в WPA3-Personal;
  • упрощенная настройка IoT-устройств.

Недостатки WPA3:

  • уязвим к взлому через WPS. [2]

Общее уязвимое место у WPA 2 и 3 – WPS (Wi-Fi Protected Setup).

14. Дополнительные материалы

Файл .hccapx для практики

На сайте hashecat доступен для скачивания файл .hccapx, на котором можно попрактиковаться в расшифровке. Зашифрованный пароль: hashcat!.

Онлайн-конвертер .pcap в .hccapx

  • hashcat.net/cap2hccapx/

Словари

  • wpa2-wordlists – GitHub;
  • SecLists – GitHub;
  • Probable-Wordlists – GitHub;
  • naive-hashcat – GitHub, файл rockyou.txt, 14 300 000 слов
  • wordlists – GitHub, 460 000 слов;
  • english-words – GitHub;
  • md5this.com – пароль к архивам md5this.com;
  • Rocktastic12a – 1.37 ГБ;
  • crackstation.net;
  • wirelesshack.org;
  • wpa-sec.stanev.org.

Онлайн-платформы для расшифровки хеша

Бесплатные

  • crypt-fud.ru – принимает файлы .cap и .hccapx;
  • passcrack.online – принимает только файлы .hccapx размером не более 5Кб. Ссылка на страницу загрузки файла для расшифровки придет в письме после регистрации;
  • onlinehashcrack.com – бесплатно, если пароль простой «12345678» или он есть в словаре из 20 млн слов. В ином случае используется брутфорс на ГП 9$/час.
  • wpa-sec.stanev.org – распределенная система;
  • kraken-client – распределенная система;

Платные

  • gpuhash.me – в случае успеха нужно заплатить 0.001BTC;
  • xsrc.ru – 100 руб. за пароль.

Чем открыть большой текстовой файл

Бесплатные программы для чтения и редактирования больших txt-файлов.

Чтение

  • Large Text File Viewer (Windows);
  • klogg (Windows, macOS, Linux);
  • LogExpert (Windows);
  • loxx (Windows);
  • readfileonline.com (Web).

Редактирование

  • Vim (Windows, macOS, Linux);
  • Emacs (Windows, macOS, Linux);
  • Notepad++ (Windows);
  • Large File Editor (Windows);
  • GigaEdit (Windows);

Полезные ссылки

  • wifi-arsenal – Awesome-список по взлому/безопасности Wi-Fi.
  • Awesome Learn Wifi Security – еще один Awesome-список по Wi-Fi;

Законодательство

  • Статья 274 УК РФ о преступлениях в сфере компьютерной информации.

Саундтреки из сериала «Мистер Робот»

  • Яндекс.Музыка – часть 1, 2, 3, 4, 5, 6, 7;
  • Spotify – часть 1, 2, 3, 4, 5, 6, 7 и все треки;
  • iTunes – часть 1, 2, 3, 4, 5, 6, 7;
  • YouTube – часть 1&2, 3, 4, 5, 6, 7.

***

Мы научились мониторить Wi-Fi сети, проводить деаутентификацию подключенных к точке доступа устройств, перехватывать рукопожатия, получать пароли методом подбора по словарю и брутфорсом. Также узнали разницу между WPA2 и WPA3, и определили их общее уязвимое место.

Несколько рекомендаций, повышающих информационную безопасность:

  • использовать сложный пароль и периодически менять его;
  • отключить функцию WPS в роутере;
  • регулярно обновлять прошивку роутера;
  • использовать VPN (виртуальная частная сеть): OpenVPN, WireGuard и прочие.

Источники

[1] Самль, С. Д., Роуминг в защищенных беспроводных сетях с использованием IEEE 802.11i. «Научно-практический электронный журнал Аллея Науки» №6(22) 2018.

[2] Кухта А. И., Анализ методов защиты беспроводной сети Wi-Fi. «Молодой исследователь Дона» №2(23) 2020.

Добрый день, сегодня я расскажу как взломать пароль от вайфая. Сразу скажу, что способ действенный, однако на процентов 50. Никто гарантию на полный взлом вам не дает, однако если найти хорошую базу данных самых распространенных паролей, то что-то может таки получится.

Итак, приступим.

Первым делом скачиваем программу для взлома, а точнее для перебора паролей. Такая программка называется WIBR, скачать ее можно с Tрешбокса по этой ссылке. После скачивания и установки, было бы желательно найти в просторах интернета архив паролей в формате .txt. Однако и без этого можно обойтись. Интерфейс программы выглядит так (на данный момент)

Играемся с Wi-Fi #4: Взлом пароля от роутера

Чтоб начать взлом, необходимо добавить ту самую точку доступа, которую нужно взломать, по кнопке «Добавить сеть». После нажатия, высветится список доступных точек Wi-Fi.

Играемся с Wi-Fi #4: Взлом пароля от роутера

В зависимости от того, какую точку нужно взломать, на ту и нажимаете. Откроется меню выбора словаря (архива паролей). Тут у вас несколько вариантов, либо быстро, но мало паролей, то бишь мало вероятности взлома, либо средний словарь с большим, которые более эффективны, но не настолько быстрые. Если вы скачали или сами сделали свой сборник паролей в формате .txt и скинули их на свой смартфон/планшет, то можно просто нажав на «Добавить словарь» выбрать его через ваш файловый менеджер.

Играемся с Wi-Fi #4: Взлом пароля от роутера

Если выбрать «Глубокий поиск», и настроить его, то можно сэкономить время.

Играемся с Wi-Fi #4: Взлом пароля от роутера

Сохраняем конфигурацию, и нажимаем «Добавить в очередь». Появится примерно такое окно, но с названием взламываемого роутера.

Играемся с Wi-Fi #4: Взлом пароля от роутера

Готово, осталось только ждать. Но опять же повторюсь, гарантию на взлом давать не могу, шансы равны 50%. Удачи.

Ах да, все вещи я делал со своей точкой. Пользуйтесь этим способом лишь для проверки надежности вашей точки. Взлом Wi-Fi сетей уголовно наказуемое преступление.

#3

#2

#1

  • Весь мтс как подключить роутер
  • Введите имя пользователя введите пароль роутера
  • Взять в аренду вай фай роутер мегафон
  • Вам фай роутер для lg
  • Взлом wifi при помощи роутера