взлом соседского вай фая или адово зло своими руками))

hacktheplanet

Новорег
28 Июн 2018
1
0
1
Захват four-way-handshake.

Один из способов взлома беспроводной точки доступа WPA/WPA2 PSK является офф-лайн атака по словарю захваченного four-way-handshake, или "рукопожатие". Что такое four-way-handshake - тема для отдельной стататьи, для наших целей пока достаточно знать что это 4 пакета с данными, которыми обмениваются беспроводная точка доступа и клиент. Wireshark называет эти пакеты как 1/4 2/4 3/4 4/4 так что для удобства будем называть и так же.

Инструментарий:


1. Любой дистрибутив основанный на Debian.
2. Набор программ Aircrack-ng.
3. Анализатор трафика Wireshark.
4. Программа для маскировки MAC адреса macchanger

Если у вас desktop дистрибутив (Ubuntu, Mint, Debian, Parrot Home etc) то установить нужные пакеты можно командой

Код:

sudo apt install aircrack-ng wireshark macchanger -y



Перевод адаптера в "боевой" режим monitor Mode.

Основной режим работы адаптера - station - используется для подключения к беспроводным точкам доступа и выхода в интернет. Однако, практически все современные адаптеры имеют и другой режим работы - monitor. В этом режиме адаптер может перехватывать все пакеты от всех точек доступа до которых от сможет "дотянуться", а так же проводить "инъекцию" пакетов - "впрыскивать" фальшивые пакеты в установленное соединение между беспроводной точкой доступа и клиентом. Первая задача юного хакера - научится переводить адаптер из "гражданского" режима в "боевой" и обратно.

Для начала необходимо узнать какое обозначение присвоено в системе "боевому" адаптеру. Для этого используется команда

Код:

ifconfig



На ноутбуках по умолчанию wlan0 это встроенный адаптер, wlan1 соответсвенно внешний.

Теперь можно переводить адаптер в "боевой" режим. Для этого используется команда

Код:

sudo airmon-ng start wlan1



Если все сделано без ошибок, то система ответит что для выбранного устройства отключен режим station и включен режим monitor:



Маскировка сетевого MAC адреса.

MAC адрес - псевдоуникальный шестибайтовый идентификатор сетевых устройств формата XX:XX:XX:XX:XX:XX. Что бы не светить "номера" своего адаптера перед атакой нужно их "замазать" - подменить с помощью программы macchanger.

На заметку: macchanger именно "маскирует" родной MAC адрес, а не изменяет его. Для взлома чужого роутера этого достаточно, так как в консоли будет отображатся поддельный адрес. Однако обмануть базовую станцию сотового оператора подделав MAC адрес смартфона или модема не удастся. Она все равно увидит "железный" MAC, а попытка "заспуфить" MAC может вызвать ненужные подозрения.

Обращаю внимание читателя на два важных момента:

1. адаптер в режиме station и в режиме monitor для системы два разных устройства. Так что маскировать нужно после перевода в "боевой" режим. Если замаскировать MAC в "гражданском" то после перевода в режим monitor у устройства будет настоящий заводской адрес.

2. Маскировать MAC адрес можно только на отключенном устройстве.

Для отключения используется все та же команда ifconfig

Код:

sudo ifconfig wlan1mon down



Погаснувший светодиод на адаптере признак того что все сделано правильно. Теперь можно маскировать MAC, для маскировки используется команда $ sudo macchanger -r wlan1mon:

Система ответить тремя строками - верхние две "родной" MAC адрес адаптера, а нижняя - замаскированный. Теперь осталось обратно включить устройство и можно приступать к боевым действиям

Код:

sudo ifconfig wlan1mon up



Поиск цели.

Для поиска цели необходимо построить список всех точек доступа до которых "дотянулся" наш адаптер (722-ой tp-link имеет мощность всего 100mW так что выдающихся показателей от него ждать наивно, для сравнения AWUS036NH от "альфы" имеет мощность 2000mW и "стреляет" на расстояние до 1 км)/ Для сканирования используется и построения списка точек доступа используется другая программа из набора aircrack-ng - airodump-ng.

Код:

sudo airodump-ng wlan1mon



Дабы преждевременно не загружать читателя информацией расскажу лишь про те параметры, которые важны для захвата хэндшейка.

1. Beacons - Таблица разделена по горизонтали на две части - верхняя бОльшая часть это список точек доступа, которые в данный момент посылают "в эфир" так называемые "маячки" (beacons). Эти маячки используются для оповещения что точка включена и доступна. Каждая точка посылает примерно 10 таких маячков в секунду. Если маячкм активно приростают то точка расположена относительно близко и ее можно "поработать". Если же маячки до нас долетают через раз или вовсе не далетают то тут уже без шансов (важно помнить что роутер может быть гораздо мощнее адаптера - так что маячки приниматься будут, а вот инъекция пакетов от адаптера в роутер "не долетит").
2. Stations or Clients - Помимо количества маячков следует обратить внимание на нижнюю часть таблицы. В ней отображаются пары "точка доступа (bssid) - клиент (station)", т.е. к эти точкам доступа в данный момент подключены какие-то устройства (ноутбуки, смартфоны) а значит была произведена успешная аутентификация этих устройств.
3. PWR - Мощность точки доступа. Чем меньше, тем устойчивее связь и меньше помех, проще поймать не "битый" хэндшейк.
4. Data - количество пакетов с данными. Активный прирост в данной колонке говорит о том что устройство не просто подключено но и активно обменивается данными с точкой доступа, а значит ввладелец устройства вероятнее всего в данный момент им пользуется.
5. СH - канал на котором работает роутер (от 1 до 14).

Если учесть все эти параметры то "портрет потенциальной жертвы" складывается следующий - для захвата хэндшейка нам нужна точка доступка в которой в данный момент успешно аутентифицирован и активно оменивается пакетами клиент (при нескольких вариантах выбираем точку с максимально мощным сигналом)

Атака деаутентификации.


Хендшейк можно захватить двумя способами. "Естественный" захватывается в тот момент когда к точке доступа подключается какой то клиент (например владелец вернулся с работы, его смартфон автоматически нашел точку и подключился к ней). Этот способ очеь долгий и может занимать часы, но если у вас кроме встроенного в ноутбук адаптера ничего нет то это единственный вариант - просто оставляем включенным на несколько часов airodump-ng, а после ищем EAPOL пакеты в wireshark.

"Форсированный" захват требует "боевого" адаптера и занимает меньше минуты (тестовый захват для мануала занял ровно 30 секунд). Для этого используется так называемая атака деаутентификации - в установленное соединение точка доступа - клиент "впрыскиваются" ложные пакеты, сообщающие клиенту (например ноутбуку) что он деаутентифицирован. Разумеется тут же происходит повторная аутентификация и обмен теми самыми 4 пакетами, которые мы разумеется захватим. Сначала нам нужно настроить airodump-ng на атакуемую точку доступа. Делается это так:

Код:

sudo airodump-ng -с 6 --bssid xx:xx:xx:xx:xx:xx -w rutor wlan1mon



Где

-с - канал атакуемого
--bssid - MAC адрес атакуемого роутера
-w имя дампа в который программа автоматически запишет все пакеты

Далее самое интересное:

Атакующий пакет из набора aicrack-ng это aireplay-ng. Он может "стрелять" разными боеприпасами, но нам в данном случае нужна "лента на 64 патрона пакета" фейковой деаутентификации. Заряжаем "автоматическую пушку":

Код:

sudo aireplay-ng -0 1 -a xx:xx:xx:xx:xx -c xx:xx:xx:xx:xx:xx wlan1mon



Где

-0 - атака деаутентификации
1 - количество "лент"
-a MAC адрес атакуемого роутера
-с MAC адрес атакуемого клиента


Теперь нам остается загрузить .cap файл (первый из четырех, они в разделе /home) в анализатор траффика, ввести в строку сверху параметр фильтра EAPOL и убедится что у нас есть либо все 4 пакета либо как минимум комбинация 1/4+2/4 или 2/4+3/4 и можно приступать к брутфорсу.

если у кого виндоус стучите в лс киберхулиганы. будет интересно запилю для винды так как эиркрэк есть и для винды))))всем удачи спасибо что прочитали пацаны!!!!