|
Подбор ключа к WPA/WPA2 с BackTrack 3/4
Нам необходимо:
- Дистрибутив BT3/4 (USB, CD - не имеет значения) - Адаптер, поддерживающий переход в режим монитора и пакетные инъекции. Cписок - Словарь для подбора. Можно посмотреть тут и тут. 1. Переводим адаптер в режим монитора Наберите в консоли: Цитата:
Отобразиться список всех доступных WiFi адаптеров. Выберите адаптер, который будете использовать. В моем случае это wlan0 (Intel 3945 ABG). После наберите Цитата:
2. Выбор точки Теперь мы будем искать точку с шифрованием WPA Цитата:
3. Атака цели Когда мы определились с целью, можно начинать атаку. Пишем Цитата:
(-w это параметр записи пакетов в файл, т.е. имя файла вы можете выставить произвольное, если использовать указанное в данном примере, то файл на выходе будет называться out-01.cap). Для подбора ключа нам нужен handshake (рукопожатие). Для того чтобы его “споймать”, нам либо остается ждать пока кто-нибудь не подключиться к точке и не скормит его нашему airodump'у. Но если на точке есть активный клиент, вы можете послать пакет для деавторизации клиента, что заставит его переподключиться. Выглядеть это будет так: http://img5.imageshack.us/img5/3685/36320712.png Запишем куда-нибудь мак адрес клиента и откроем новую консоль, не закрывая эту. Пишем Цитата:
http://img13.imageshack.us/img13/448/41428517.png Наш клиент удачно отсоединился от точки и наверное уже отдает нам handshake ;) Если клиентов нет, то будем использовать другой метод: Цитата:
Это практически тот же метод, что указан выше, только на случай, если клиентов на точке нету... Переходим в первую консоль, если airodump оповестит нас в правом верхнем углу, что у нас есть handshake, то можно приступать к следующему шагу... Если вы не успели\не смогли\забыли увидеть оповещение, то пишем Цитата:
http://img18.imageshack.us/img18/5776/40713833.png 4. Подбор ключа После того, как handshake оказался у нас, можем начинать подбор. Тут у нас есть два пути. Воспользоваться обычным методом, либо использовать программу cowpatty для генерации специального списка, что неплохо ускорит подбор. Сначала рассмотрим первый способ. Пишем Цитата:
http://img15.imageshack.us/img15/7403/15752463.png Если ключ оказался в словаре, мы получим сообщение, что ключ найден. Второй способ (CowPatty): Создаем базу данных с помощью airolib-ng Цитата:
Теперь импортируем этот файл в базу данных Цитата:
Цитата:
Цитата:
Когда процесс будет выполнен, экспортируем эту базу для использования в cowpatty Цитата:
Цитата:
http://img14.imageshack.us/img14/6237/71413518.png Ключ у вас, и вы можете использовать его по назначению. Это все. Доп: В разных релизах aircrack-ng разная скорость перебора, да и функциональность растет. Рекомедую вам обновить свой aircrack-ng. Как это сделать? Качаем этот файл, и сохраняем в вашу домашнюю папку (root, etc.) Открываем консоль: Цитата:
Готово. Ярлык появиться я вас на рабочем столе и/или в меню. Запускаем его, выберем первый пункт (по желанию, можно обновлять не только aircrack) и нажимаем Ok. http://img16.imageshack.us/img16/7823/upd.png После обновления появляется окошко "Successfully Installed". Можно пользоваться нашим новым aircrack'oм. Использовались материалы видео Dapirates (cowpatty&airolib-ng). Это видео можно найти в видео разделе. |
А в чем прикол этих двух методов!? И тот и другой по времени занимают одинаково, а вот телодвижений в CowPatty, во втором способе, намного больше!!!!
Спрашивается, когда применять второй вариант? |
У меня при подборе через cowpatty, скорость в более чем в 10 раз выше. Вот тогда и думай, где применять.
Я вообще в идеале как делаю - если не париться и нужно быстро проверить точку, то просто подбор по небольшому составленному мной словарику. Там можно и обойтись обычным aircrack, но если брутить серьезно - то только cowpatty. Даже не смотря на время генерации базы, все просто меркнет в сравнении со скоростью. Еще бы хотелось попробовать подбор средствами видеокарты от ElcomSoft, но никак руки не дойдут. |
у меня время генерации 22 минуты со скоростью 95 РМК/сек , и перебор по словарю так же со скоростью 95 РМК/сек ( 22 минуты) Это ноутбук :) :) :)
Но самое обидное, то !!! что если в словаре нет пароля который совпадает буква в букву 100%, VPA не взломать! Я тренеруюсь на своей точке (пока :) .....) Поставил VPA и пароль: своя фамилия англискими буквами. В словарь добавил несколько вариантов своего пароля. Взлом не проходит пока в словарь не дописать 100% пароль . Но это невариант взлома VPA ! МАЛО ЛИ ЧТО В ГОЛОВУ ВЗБРЕДЕТ НАПИСАТЬ В ПАСС. Так никаких словарей не наберешь. Может есть другие варианты? |
Для начала WPA.
Не вариант?! Все прекрасно работает, и сложные ключи мало когда ставят, главное правильно составить словарь и иметь прямые руки. Тем более ничто не мешает хапнуть handshake, и поставить на подбор на каком-нибудь дедике. С каких это пор при ПОДБОРЕ оно должно находить тебе пасс по аналогии? Это подбор точного значения, и это не WEP. Если не устраивает - не пользуйся. |
Цитата:
Цитата:
Цитата:
Но не всегда знаешь кого ломаешь, и что ему в голову пришло! Цитата:
А WEP уже не интересен, все вокруг переломано :eek: Цитата:
И не крутой я взломщик .... так шалю для удовольствия :D Вот решил с WPA разобраться. Понял что это не шняга, а всеже уже защита. А ЕСЛИ ПО ДЕЛУ: МОЖЕТ И НЕ УСТРАИВАЕТ НО ЛУЧШЕ ВЕДЬ НЕ ПРЕДРОГАЕШЬ.......ПОКА :) готов выслушат предложение, и к диалогу! |
"Предрогать" нечего. Обязательно сообщи мне, когда найдешь новую уязвимость в WPA.
Беру словарь с фамилиями, и летит твой пароль далеко, и надолго. Я же говорю - правильный словарь нужен, а не левые кейворды в нем. |
to Stradi
Цитата:
Хочу немного разъяснений. Сгенеривованную ( теперь каждую букву страшно писать, боюсь опять на урок граматики попасть :) ) базу хешей можно ли использовать в дальнейшем для подбора ключа WiFi точки, essid которой небыл включен (вписан) в e.txt то есть, стала светиться позже чем был сгенерирован wpadb? сегодня к примеру я вижу --essid Rider и --essid Toomas (я их вставил в e.txt) , а завтра начнет светиться --essid ThomsonBAD10E Как правильно поступаать, ........ какая последовательность действий? Заново создавать e.txt,импортировать,генериро ать..... тогда это долго! КАК СДЕЛАТЬ ПРОЩЕ ???? |
Хеш представляет из себя смесь (на сколько я понял) ESSID & пасс. Потому генерация списка и идет с ESSID. Одна база на один ESSID. Я не хешер, так что ничего сказать не могу.
В идеале - не помешало бы сделать словари на распостраненные ESSID. Но вес боюсь будет смущать... Где-то я видал top100 самых распостраненных ESSID'ов. PS: А ошибку все равно допустил, еще не одну. Ладно, забудь. Оправдание никудышнее... |
Всем привет!
Опять вопрос :) - чем база данных созданная с помощью airolib-ng отличается от WPA_PSK rainbow tables !? И что есть лучше, или хуже? |
Это (я не уверен, честно говоря), то это просто сгенерированные списки через тот же аэролиб. Только для определенных ссидов. Поковыряюсь сегодня как-нибудь, скажу конкреткретнее.
|
Цитата:
|
А я что написал? О_О
|
Обновил...
- Добавил способ для получения хандшейка без клиентов - Добавил мануал по легкому обновлению aircrack-ng - Поправил кое-какие ошибки... |
Цитата:
Второй вариан о котором ты пишешь, это когда на точке всего один клиент! Первый вариант используют когда на АР несколько клиентов, а отрываем одного конкретного клиента. Деаунтефикационный пакет шлется напрямую с нашего компа на компьютер клиента, и к нему надо находиться достаточно близко,- поэтому и применяем отрыв ( деаунтефикацию) конкретного клиента. Ведь они могут находиться все на разных расстояниях от нас. И так по очереди ( если их несколько), пока не поймаем handshake Цитата:
не понятная ? |
Вариант о котором я пишу прекрасно работает, проверил, перед тем как выложил.
Сработало на одной точке из 3. Я понятия не имею, каким образом точка отдает нам handshake, кто даст почитать - отплюсую, ибо не я создавал инъекцию =\ Смотри ВНИМАТЕЛЬНО http://rapidshare.com/files/218589700/WPA_NO_CLIENTS.flv.html [thx to _SEREGA_] или гугли wpa no clients. Посмотрел? Молодец, возьми с полки пирожок и не задавай больше глупых вопросов. Первый способ может использоваться не только, если на точке 2 или больше клиентов. Все прекрасно работает, если клиент один. Второй вопрос вообще не смог понять\прочитать. Твой пост состоит чуть более, нем на половину из бреда. Будь любезен, пиши внятно... |
Хотелось бы услышать коментарии других форумчан.
А то как то у нас с тобой Stradi диалог получается.... ГДЕ МНЕНИЯ СООБЩЕСТВА!?!?!?! |
Первый и второй способы деаутентификации отличаются, как правильно заметил Zonanet, лиш адресацией - первый - адресный, второй - широковещательный. Каким образом посылка пяти широковещательных пакетов может помочь получить хэндшейк - х/з. Склоняюсь к тому, что если и поможет, то это всего-лишь совпадение....
Пойду доки почитаю - самому надо. Но если легитимных клиентов действительно нет, то никакие инъекции хэндшейк не подарят - факт! |
На счет шировещательного - это и так понятно. Но вот способ не отличаеться - после запуска пишеться, что-то вроде "эта атака лучше работает, когда имеет клиента". Т.е. если подставить мак клиента - эффект что от первой, что от второй атаки одинаковый. В доках кроме первой атаки ничего нету... Может этот "выброс" расчитан на тех клиентов, которые не в "зоне доступа"? Ибо как раз на такой точке у меня и сработал метод (на точке хорошая дата генерилась, но клиентов не видно). Если гуглить - ничего конкретного нету.
|
а вот мне непонятно следующее моменты:
- как быть, когда SSID "скрыт" ? т.е. в настройках ТД стоит галка "скрыть точку доступа"? - причем тут handshake ? он же создается тогда, когда ключи, пароли совпадаются !? в данном ситации если получаем "рукопожатие", то смысл брутить уже WPA ? как то не понятно этот момент.. |
Цитата:
1 И что что скрыт? это значит что пакеты-маячки не генерирует ТД. А airdump и kismet на это пох. т.к. они вычисляют SSID на ответах клиетов. SSID содержится в заголовке пакета. 2 handshake это пойманый ARP пакет в котором хэшированый пассворд! |
Цитата:
ПОВТОРЮСЬ: Деаунтефикационный пакет шлется напрямую с нашего компа на компьютер клиента, и к нему надо находиться достаточно близко чтобы получить handshake. |
Цитата:
В аиродампе отображаються клиенты, которые видит адаптер, а те, до котрых не хватает сигнала - нет, понимаешь? Такие ссиды можно увидеть, используя wifizoo, зайдя в схему клиентов. Там же отображаеться уровень сигнала. Так вот, клиент скорее всего находиться вне зоны моего адаптера, но подключен к точке, и генерирует дату. Таким образом посылая пакеты широковещательно, есть шанс что он долетит до клиента (только не говори, что у тебя ни разу не бывало, что на сканере иногда появляються точки, к которым нельзя законнектиться, ибо сигнал очень слаб, а большая часть пакетов - лосты). |
_SEREGA_
+ спасибо. давай еще раз повторим: 1. Я раньше работал net stumbler, и там не определился. (под windows) airdump и kismet уже видят, да? то есть NIX очередной раз тру :) 2. получается, что я могу на улице с ноутом украсть handshake пакет и потом дома спокойно брутить? я думал, что так только WEP можно брутить ))) P.S. все таки не понимаю логику перемешения в каждом пакете пакеты "рукопожатия". Не достаточно ли и бесопасно только во время аутентификации сделать запрос ответ и все ? |
Цитата:
Да, можешь - только нужно (в основном, см. наши пререкания) чтобы там был клиент - ты посылаешь ему деавторизацию, и при пересоединении забираешь хэндшейк и подбираешь ключ где хочешь. В веп немного другая система - там ключ не брутиться, хотя брутить тоже можно. (но не нужно) Рукопожатие как раз передается во время авторизации на точке, в этом и проблема... |
Stradi
+ вот оно как значит. Цитата:
И как выглядет перехваченный WPA (handshake) пакет? он как MD5 хэш ? брутить можно через passwords pro как обычные бруты? если есть возможность, покажите кто небуть содержание перехваченых данных. |
Имеено. На первой странице я об этом и писал :)
Хеш, правда точно не знаю, там спецефический. Либо из словаря генерируеться на ходу aircrack-ng, либо предварительно сгенерировать хеши (скорость возростает) (cowpatty). |
Цитата:
так вот если бы там был бы хэш типа MD5 который ломался на Password Pro то было бы счастье, там хоть скорость брута приличная! а в aircrack медлееная и токо по словарю,а там и прямым перебором! Есть такие новые идеи брутить на видяхе =) у видяхи GPU для таких вычислений лучше! скорость брута во много раз лучше! вот когда будет нормальное железо тогда и можно пробовать ломать! Короче качай backtrack 4 beta http://www.remote-exploit.org/backtrack_download.html с windows для этого дела лучше не связывайся! т.к. не умеют делать под это говно дрова! запускай kismet и смотри чё у тя в округе твориться=) читай маны и пробуй! |
_SEREGA_, не гони - АРП к ВПА-хэндшейку вообще никакого отношения не имеет - не путай людей. Реплей АРП юзают чтоб нагнать трафик для сбора инициализационных векторов.
На счет ГПУ - так не идеи, а реализации уже есть - pyrit. Возвращаясь к теме широковещательных деаутентификационных пакетов - я чего думаю. Я думаю, что есть нюанс, который мы возможно не знаем. Например, при аутентификации карточки некоторых производителей повышают мощность на максимум. Вот и получается, что близкий к ТД клиент работает на минимальной мощности, и его не видно, но получив деаутентификацию, поднимает мощность до предела, и мы ловим хендшейк. Ну и еще вариант - деаутентификация может заставлять переконнекчиватся клиентов с нестабильным коннектом - у меня дома такая фишка канает. |
_SEREGA_
хмм, мне кажется trottle прав насчет Цитата:
короче хз.. сам не уверен точно, по этому на 100% немогу подтвердить |
http://sgordey.blogspot.com/2008/11/wpa.html o_O
Кто-нибудь знает об этом что-нибудь хорошее? ||| А вот тут подробно про handshake http://en.wikipedia.org/wiki/802.11i#The_Four-Way_Handshake Therefore the four-way handshake is used to establish another key called the PTK (Pairwise Transient Key). Иными словами - хендшейк, это и есть пакет, в котором содержится PTK (поправьте, если ошибаюсь). Арп тут не причем. И как написано там же, PTK содержит "PMK, AP nonce (ANonce), STA nonce (SNonce), AP MAC address and STA MAC address". После вся эта куча шифруется в спецефический хеш. aircrack и cowpatty делают тоже, только вместо PMK подставляют значение из словаря, добавляют в хеш всю дребедень, и после сравнивают результат. "PMK – обновляемый симметричный ключ, владение которым означает разрешение (авторизацию) на доступ к среде передачи данных в течение данной сессии. PMK создается на основе MK. Для каждой пары STA и AP в каждой сессии создается новый PMK." Вот и ответ - таким образом, PMK и есть наш ключ. Посылая, пакет деавторизации мы разрываем эту сессию, и после обмена создается новый PMK (т.е. мы забираем хендшейк). |
Я был не прав,НО я не думаю что это пакет называется "wpa handshake"
насчёт ARP я думал что там handshake потому что он первый посылается при коннекте клиента к ТД. Но я точно знаю что протокол по которому wpa handshake передаётся назывется EAP http://en.wikipedia.org/wiki/Extensi...ation_Protocol и называется он (пакет) коректно я думаю EAP packet. По крайней мере так его называют на форуме backtack 'a Цитата:
|
так-так... сколько начинаю глубше смотреть - столько много непонятки вижу :)
вот например: Цитата:
Цитата:
|
Первое - имелось ввиду, что при каждом новом контакте (разные маки, адаптеры) создаеться хандшейк, в котором есть PMK.
На счет второго - тут еще проще, имелось ввиду что при реконнекте, они еще раз обмениваються пакетами, с хандшейком, с PMK. Практически тоже самое :) Кстати, хеши каждый раз отличаються, из-за каких-то изменений (я в это сильно не вникал), но все эти данные есть в пакетах, поэтому когда мы заберем два разных хандшейка от одной, и той же точки - хеш будет отличаться, но смысл останеться тот же (этим занимаються всякие cowpatty и aircrack'и). В общем - тут принцип кукисов, только мы можем эти куки "порвать" и после реконнекта сдампить их себе, после использовать в своих целях. |
Есть несколько моментов, на 2 пункта, излагаю :)
1. Скрытая точка доступа бывает 2х типов где essid скрывается полностью тогода пишется его длина=0, и неполностью, тогда длина essid выводится в kismet или airodump-ng. Добыть essid можно или брутом по словарю или поймав пакет клиента в сети. Но вы это и так знаете. 2. По написано в начале темы. Иногда airmong-ng не переводит карту в монитор мод, для этого можно использовать такую команду , как альтернативную: # ifconfig <интерфейс> down && iwconfig <интерфейс> mode monitor && ifconfig <интерфейс> up По поводу брута WPA , неблагодарное это дело да и вообще брут - гадость, скорее бы в протоколе нашли уязвимость, как было в своё время с wep |
Цитата:
|
Почитал форум, но нигде не встретил ответа на вопрос, который у меня возник.
А именно, можно ли каким-нибудь ключом указать aircrack-ng сколько процессоров использовать? Столкнулся с ситуацией сегодня, подбирал пароль на двухпроцессорном серваке с четырьмя ядрами на процессор, так он тока одно ядро использовал, а остальные, видимо, не видел... Есть мысли по этому поводу? |
Вообще то от проги это не зависит, а зависит от ос как она расспаралеливает процесс на smp системах.
|
Цитата:
Pyrit, кому интересно - штука злая. Не знаю, как там на рэд хатах и прочих rpm-based дистрибутивах (для них есть прекомпилированые пакеты), а у меня на кубунте 64-битной (равно как и на всех дебианах, скорее всего) с компиляцией пришлось повозиться. Основных засад было 2: 1. Под 64-битные линухи нет (неделю назад не было) релизного драйвера с поддержкой CUDA 2.2, а pyrit из свн-ов был к тому моменту уже версии 0.2.3, и требовал именно 2.2 КУДУ. Не сразу я это заметил, пришлось откатиться на пирит 0.2.2. 2. Пирит надо было собирать компилятором 4.1, а дефолтный в системе был 4.3, и ни в какую не переопределялся. Когда все победил, получил такой результат: Код:
а@Workstation:~$ pyrit benchmarkНо, во-первых, пирит не подбирает пароли, а только рассчитывает хэши, которые потом надо скормить cowpatty или aircrack'у, и во-вторых, чета капризничает с вордлистом. Для ковпатти он файлик выдает ну очень шустро, но (опять "но") ковпатти не любые хендшейки перебирать умеет. А в БД для аиркрэка он у меня выгонял 20 млн хэшей чуть ли не 12 часов. Все равно по итогу быстрее, чем все на проце считать, но неприятно как-то. И вот со словарем теперь разобраться не могу - первый подвернувшийся на 20 млн он схавал и не подавился - класс, думаю, наберу ща словарей, и скормлю ему все. Ага, чичас - взял словари с инсайдпро, слил в один файл, обрезал лишнее, скормил пириту - не хочет, сволочь, больше 40к слов обсчитывать. Запускаю батч - 40к и расчет останавливается. Причем, сам он не вываливается в командную строку, а работает, но 40к как было, так и не меняется, счетчик времени при этом исправно тикает. У меня ощущение, что ему какие-то слова в словаре не нравятся, но это только догадки, и где искать потверждение - ума не приложу... Ага, ну и еще нюанс - пирит для аиркрэка выдавать результат умеет только в БД. А аиркрэк, поставленный у меня из репозитория имел версию rc1, и БД работать не хотел, так что его тоже пришлось сносить и собирать из СВНов. Цитата:
Код:
Common options: |
2trottle
Спс! У меня почему-то по умолчанию иолько один использовался процессор. а с -р 8 - все загрузились на 100% и выдало 2440 k/s!!! Спасибо за помощь! |
| Время: 01:06 |