КИБЕРВОИНВзлом Wi-Fi

Дорогой друг, ты обратился по адресу , я расскажу тебе об одном из способов взлома Wi-Fi сети.

Передовые роутеры используют протокол WPA2(Wi-Fi Protected Access) — протокол авторизации и шифрования данных в беспроводных сетях. В ближайшее время будут использовать разработанный в 2018 году протокол WPA3.

Одним из способов атаки на этот протокол является перехват handshake и его брутфорс (перебор пароля).

Handshake

Для подключения к Wi — Fi сети нужно ввести пароль от 8 до 32 символов. После ввода пароля он зашифровывается и помещается в пакет обмена ключами — Handshake, которые передаётся на роутер. Если пароль верный, то роутер выдает маркер доступа в сеть.

Уязвимость — перехват Handshake и его брутфорс. Для того, чтобы перехватить Handshake нужно отключить одного из клиентов Wi -Fi сети и выждать момент подключения его к роутеру.

Для использования уязвимости, будем использовать утилиту на ОС Kali linux Airocrack-ng ( набор инструментов для оценки безопасности Wi -Fi).

Поэтапный взлом Wi -Fi

1. Уничтожим все процессы использующие Wi -Fi интерфейс командой:

airmon-ng check kill

2.Запускаем беспроводной интерфейс в режиме мониторинга командой:

airmon-ng start wlan0

3. Теперь мы можем посмотреть доступные Wi -Fi точки доступа командой:

airodump-ng wlan0mon

Для любознательных рассмотрим каждое из значений всех столбцов таблицы:

BSSID

MAC адрес точки доступа. В клиентском отделе, BSSID «(not associated)» означает, что клиент не ассоциирован с какой-либо ТД. В этом неассоциированном состояни он ищет ТД для подключения.

PWR

Уровень сигнала, сообщённый картой. Это значение зависит от драйвера, но если сигнал повышается, значит вы приближаетесь к ТД или к станции. Если BSSID PWR равен -1, значит драйвер не поддерживает сообщение об уровне сигнала. Если PWR равен -1 для некоторых станций, значит это пакет, который пришёл с ТД клиенту, но клиентская передача вне зоны действия вашей карты. Означает, что вы слушаете только ½ связи. Если все клиенты имеют PWR -1, значит драйвер не поддерживает сообщение об уровне сигнала.

RXQ

Показывается только когда на фиксированном канале. Качество получения измеряется как процент пакетов (фреймов управления и данных) успешно полученных за последние 10 секунд. Он измеряется от всех фреймов управления и данных. Вот ключ, который позволит вам прочесть больше полезного из этой величины. Допустим вы получили 100 процентный RXQ и все 10 (ну или сколько там) приходящих маячков в секунду. Вдруг внезапно RXQ падает ниже 90, но всё ещё захватываете все отправленные маяки. Таким образом вы знаете, что ТД отправляет фреймы клиенту, но вы не можете слышать клиента или ТД, отправляющую клиенту (нужно быть ближе). Другое, что может быть, что у вас карта 11MB для наблюдения и захвата фреймов (допустим prism2.5) и у вас очень хорошая позиция к ТД. ТД настроена на 54MBit и тогда RXQ падает, следовательно вы знаете, что хотя бы один клиент подключился к ТД на скорости 54MBit.

Beacons

Количество маяков, отправленных ТД. Каждая точка доступа отправляет примерно десять маячков в секунду на самой низкой скорости (1M), поэтому они обычно набираются очень быстро.

#Data

Количество захваченных пакетов данных (если WEP, считаются только уникальные IV), включая широковещательные пакеты данных.

#/s

Количество пакетов данных в секунду, измеренное за последние 10 секунд.

CH

Номер канала (берётся из пакетов маяков). Примечание: иногда могут быть захвачены пакеты с других каналов, даже если airodump-ng не скачет, это от радиопомех.

MB

Максимальная скорость, поддерживаемая ТД. Если MB = 11, это 802.11b, если MB = 22 это 802.11b+, а более высокие скорости это 802.11g. Точка (после выше 54) означает поддержку короткой преамбулы, ‘e’ показывает, что сеть имеет включённый QoS (802.11e).

ENC

Используемый алгоритм шифрования. OPN = нет шифрования, «WEP?» = WEP или выше (недостаточно данных для выбора между WEP и WPA/WPA2), WEP (без знака вопроса) показывает статичный или динамичный WEP, и WPA или WPA2 если представлены TKIP или CCMP или MGT.

CIPHER

Обнаруженный шифр. Один из CCMP, WRAP, TKIP, WEP, WEP40, или WEP104. Не обязательно, но обычно TKIP используется с WPA, а CCMP обычно используется с WPA2. WEP40 показывается когда индекс ключа больше 0. Стандартные состояния: индекс может быть 0-3 для 40 бит и должен быть 0 для 104 бит.

AUTH

Используемый протокол аутентификации. Один из MGT (WPA/WPA2 используя отдельный сервер аутентификации), SKA (общий ключ для WEP), PSK (предварительно согласованный ключ для WPA/WPA2) или OPN (открытый для WEP).

WPS

Это показывается только при указании ключа —wps (или -W). Если ТД поддерживает WPS, первое поле колонки показывает поддерживаемую версию. Второе поле указывает на метод конфигурации WPS (может быть более чем один метод, разделённые запятой): USB = метод USB, ETHER = Ethernet, LAB = Label, DISP = Display, EXTNFC = Внешний NFC, INTNFC = Внутренний NFC, NFCINTF = Интерфейс NFC, PBC = Нажатием кнопки, KPAD = Keypad. Locked отображается когда настройка ТД заблокирована.

ESSID

Так называемый SSID, который может быть пустым, если активировано сокрытие SSID. В этом случае airodump-ng попробует восстановить SSID из зондирующих запросов ассоциирования.

STATION

MAC адрес каждой ассоциированной станции или станций в поисках ТД для подключения. Клиенты, в настоящий момент не ассоциированные с ТД, имеют BSSID «(not associated)».

Rate

Это значение отображается только при использовании одного канала. Первый номер — это последняя скорость данных от ТД (BSSID) Клиенту (СТАНЦИИ). Второй номер — это последняя скорость данных от Клиента (СТАНЦИИ) к ТД (BSSID).

Lost

Это означает потерянные пакеты, пришедшие от клиента.

Определение количества потерянных пакетов: есть поле показывающее порядок каждого неуправляющего фрейма, поэтому вы можете вычесть номер предпоследнего из номера последнего и таким образом вы узнаете, как много пакетов вы потеряли.

Packets

Количество пакетов данных отправленных клиентом.

Probes

ESSID прозондированные клиентом. Это сети, к которым клиент пытается подключиться, если он не подключён в настоящее время.

Первая часть — это найденные точки доступа. Вторая часть — это список найденных беспроводных клиентов, станций. Опираясь на мощности сигнала, можно даже физически определить местоположение данной станции.

4. Теперь выбираем жертву ( точку доступа от которой хотим получит пароль) и нам нужно перехватить handshake командой:

airodump-ng -c [ номер канала] —bssid [мак-адрес роутера] -w [название файла для сохранения] wlan0mon

5. Принудительно отключаем одного из пользователей выбранной точки доступа, для того чтобы он подключился повторно и мы могли перехватить зашифрованный пароль, команда:

aireplay-ng —deauth 100 -a EC:F0:FE:B2:B1:20 -c BC:2C:54:1F:B4:5C wlan0mon

—deauth <число сообщений> — отправка запроса  деаунтифицировать. (0 не ограниченное число пакетов)

-a <MAC> — Мас адрес точки доступа.

-с <MAC> — Мас адрес клиента.

wlan0mon — интерфейс.

Когда наша жертва заново подключиться у нас появиться уведомление о перехваченном handshake:

6. Теперь нам останется расшифровать перехваченный пакет с зашифрованным паролем , для этого командой:

aircrack-ng -w rockyou.txt -b EC:F0:FE:B2:B1:20   [мак-адрес точки доступа].cap

Словарь был взят по пути: /usr/share/wordlists/rockyou.txt.gz

-w <путь/файл словаря> — Указываем словарь для перебора паролей.

-b <MAC>  — Мас адрес точки доступа.

WPA.cap — Файл с  handshake.

Про создание и использование словарей я расскажу в отдельной статье в ближайшее время!!! Спасибо за внимание!