RSN IE - это необязательное поле, которое можно найти в рамах управления 802.11. Одной из возможностей RSN является PMKID. PMKID вычисляется с использованием HMAC-SHA1, где ключ является PMK, а часть данных представляет собой конкатенацию фиксированной строковой метки «PMK Name», MAC-адрес точки доступа и MAC-адрес станции. Поскольку PMK такой же, как в обычном четырехстороннем рукопожатии EAPOL, это идеальный вектор атаки.

Мы получаем все необходимые данные в первом кадре EAPOL из AP.

Основное отличие от существующих атак заключается в том, что в этой атаке захват полного 4-стороннего рукопожатия EAPOL не требуется. Новая атака выполняется в IE RSN (надежный сетевой информационный элемент безопасности) одного кадра EAPOL.

В настоящее время мы не знаем, для каких поставщиков или для какого количества маршрутизаторов этот метод будет работать, но мы думаем, что он будет работать против всех сетей 802.11i / p / q / r с включенными функциями роуминга (большинство современных маршрутизаторов).

Основными преимуществами этой атаки являются следующие:

• Больше не требуется регулярных пользователей - потому что злоумышленник напрямую связывается с AP (иначе говоря, «без клиента»)
  
• Больше не нужно ждать полного 4-стороннего рукопожатия между обычным пользователем и AP
  
• Отсутствие ретрансмиссии кадров EAPOL (что может привести к результатам, которые невозможно устранить)
  
• Исключает неверные пароли, посланные обычным пользователем
  
• Больше нет потерянных кадров EAPOL, когда обычный пользователь или AP находится слишком далеко от злоумышленника
  
• Больше не требуется фиксировать значения nonce и replaycounter (что приводит к чуть более высоким скоростям)
  
• Больше нет специального формата вывода (pcap, hccapx и т. Д.) - окончательные данные будут отображаться как обычная строка с шестнадцатеричным кодированием

Нам потребуются:

• hcxdumptool v4.2.0 или выше
  
• hcxtools v4.2.0 или выше
  
• hashcat v4.2.0 или выше

Производим атаку:

1.

Ждем, пока в выводе не увидим что-то подобное:

2.

Переводим в нужный формат и скармливаем наш файл хэшкэту (да-да, по прежнему нужно брутить, так что пока не как с WEP)

Собственно на этом всё. Думаю это значительно облегчит брут точек с клиентскими устройствами, находящимися вне диапазона атакующего, а также откроет возможность быстрого сбора хэндшейков с пустых сетей в любых интересующих местах. Пишите, какие роутеры поддаются на практике, а то возможности протестировать пока нет. Осмелюсь также предположить, что в перспективе данная уязвимость будет лечиться обновлением прошивки на AP.

Оригинал статьи (советую почитать, я перевёл только основное) - https://hashcat.net/forum/thread-7717.html

Только что проверил на TL-WN722N v1, чип atheros. Работает, но из ~30-40 сетей за 10 минут прога бахнула только штуки 4. Конкретный BSSID там, насколько понял, указать нельзя, поэтому прога скачет по каналам и атакует всё, что шлёт хоть какие-то фреймы. В данный момент вижу [tx=7458, powned=4, err=0]. Из жертв - точки asus rt-ac66u и микротики пока что.

Протестировал Alfa 036 ACH, Alfa 036H, TP-LINK 721N, чипсет INTEL 3165 AC. Из них нормально работают только Alfa 036H и Alfa 036 ACH. Туполинк менее мощный (видит меньше сетей) и перебирает медленно. Но PMKID нашел. Чип от Intel работает на рандом, PMKID может поймать при везении, но хеш потом практически не возможно получить.

Сегодня, нашлось время протестировать

На даче был, только Ubiquiti WiFiStation

https://c.radikal.ru/c38/1808/58/ca01264e30fd.jpg

чип тот же, AR9271

---

По теме...PMKID + hashcat


Отличное решение для дачников (кто находится рядом с городскими поселениями), моряков и т.д., если клиентов не видно, но точка хорошо вещает

---

Расстояние, если верить яндекс картоизмерителю до близжайшего посёлка 580 метров

Устройство, отлично отработало),

нашло до х.. сетей c клиентами -1 PWR, в том числе совсем без клиентов,

из них 5 сетей с нормальной мощностью, которые были ....)

Так, что однозначно, Must Have!

Протестил также на rtl8192cu (TP-LINK WN821N v4) - полёт нормальный.

Находит пмкид у всех новых асусов, вне зависимости от модели.

Чуть интереснее обстоят дела с зухелем, свежую ультру II берёт через несколько секунд после запуска скрипта, а на кинетике 4G II 2014 года - ноль.

С D-Link DSL-2640NRU и DAP-1360 тоже пока по нулям.

Продолжаю наблюдение

Уязвимы ростеловские:

Mitrastar

Sagemcom

Eltex

ZAO NPK RoTeK

OJSC Ufimskiy Zavod Promsvyaz

На скорость перебора я так понимаю никак не влияет?

Скорость идентична перебору хендшейка wpa/wpa2.

Линуксоиды, распишите виндузятнику на пальцах, как запустить эту прогу. На WiFiSlax должна заработать?

А атаку на конкретную точку доступа возможно провести или только пачкой (полным прослушиванием эфира)? А так получается, я даже не знаю, от какой точки доступа у меня PMKID, может уже та, что у меня есть.

Возможно корявенько получилось, но не пинайте сильно, я ненастоящий сварщик (с)

Делал в Кали. Все в терминале

1. git clone https://github.com/ZerBea/hcxdumptool

2. cd hcxdumptool

3. make

4. sudo make install

После этого получаем установленным первый компонент. После этого можно запускать атаку, единственно что у меня ключ --enable_status попросил значение, я тупо сложил все возможные числа из хелпа и указал 15

Он чего-то наловит в файл.

Чтобы сконвертировать, надо установить hcxpcaptool. Все аналогично устанавливается:

5. git clone https://github.com/ZerBea/hcxtools

6. cd hcxtools

7. make

8. У меня начало ругаться на недостающие библиотеки, пришлось их доустанавливать (5 минут в Гугле) apt install libssl-dev libcurl4-openssl-dev и еще apt install libz-dev

9. После этого make прошел без ошибок

10. sudo make install

В ветке https://hashcat.net/forum/thread-7717.html упоминаются ключи --filtermode=2 --filterlist=filter.txt

Я создал файлик filter.txt, куда вписал мак интересующей точки (взял из airodump'а), только убрав двоеточия. Глянул потом в файл test.pcapng wireshark'ом, там все доступные сети в округе. Т.е. фильтр не работает. Или я что-то не так делаю...

Похоже,что так оно и есть.Пробовал добавлять в фильтр целевую AP.И наооборот,все AP,кроме целевой.В обоих случаях,атака идёт на все видимые AP.

У меня хэшкота нет (нетбук), но я попробовал так (увидел на Гитхабе):

файл после первого этапа заливаю на wpa-sec.stanev.org предварительно сменив расширение на cap.

Когда я первый раз туда загрузил файл, в my nets отобразились несколько сетей. А после того, как я попробовал с фильтром и загрузил файл - только одна, мак которой я указал. Хотя в файле полно названия сетей... может быть он пакеты захватывает, пишет названия сетей, но дальнейшие данные по ним не пишет.

Но мне еще предстоит атака на заветную точку - там проводное подключение к роутеру, вайфай в пустоту светит - хэндшейк на ней вообще не ловится и подключенных клиентов я не вижу. Вот тогда и поглядим...

Если я правильно понял, то при наличии двух ноутов, те две программы из первого поста не нужны ? С одного ноута пытаемся подключиться с "левым" паролем, а другим ловим хендшейк ? Если так, то объясните пожалуйста, как выдрать из "акулы" PMKID и как подсунуть его "коту" (в смысле какой тип атаки выбирать) ??

Пользуюсь "котом" 3.2 или нужен более поздний ?

Используй hcxpcaptool

-m 16800

Нужен не ниже 4.2.1

Доброго дня всем. Кто знает, что означают цифры:

- you can run --enable-status=1 --enable-status=2 --enable-status=4 --enable-status=8

- or use the bitmask: --enable-status3 (= --enable-status=1 + --enable-status=2)?

Спасибо, всё получилось, один пароль нашёл (Huawei HG8245H), остальные безклиентские точки ТПлинки,- обидно.

Мне всё же кажется, что через "левый" CAP с неправильным паролем делать удобнее.

Если кому надо - готовые XZM модули для WIFISLAX-4-12 hcxdumptool и hcxtools

https://yadi.sk/d/jRcYuntq3aJ3mz

Интересно, существует ли ГУИ для "кота" в котором есть этот пункт PMKID ?

Ругается на твои модули при загрузке.Спрашивает-модуло коррупто? )) Это для 32битной 4.12 или для 64 битной?

Upd-разобрался,там перед xzm пробел лишний в названии

Научи пожалуйста, как это вставить в WIFISLAX-4-12 и ещё вопрос: в wifislax64-1.1-final это можно вставить? Я всегда пользовался готовой сборкой.

Чисто для себя запилил в стандартный win GUI Hashcat 1.1 beta 0 от сюда: https://hashkiller.co.uk/hashcat-gui.aspx

поддержку формата 16800 PMKID.

Скачать можно тут:

http://zalil.su/6856679

Замените в ГУЕ в папке config файл hash-modes.xml на мой из ссылки выше, и будет вам счастье.

Естественно 32.

WIFISLAX-4-12 Не было 64бита, лично я на оф сайте не видел 4-12 64 бита.

Должно пойти и на 4.11 но не проверял.

Вставлять их надо к остальным модулям XZM в папку /wifislax/base на флешке . просто скопировать.

СПАСИБО, всё ок.

Ну я обычно в папу modules кидаю,да и проблема была в пробеле перед точкой с расширением.Убрал,и все норм.

Ты можешь прям пошагово расписать последовательность всего этого в вайфайслаксе?А то щас штудирую тему с источника в шапке-там вообще все все по разному делают,нифига не понятно нелинуксоиду.Команды разные,всё по разному,кто в лес кто по дрова...

Обновился скрипт wifite.py https://github.com/derv82/wifite2/releases/tag/2.1.7

Добавлена опция для автоматического получения PMKID.

Можете сразу обновитть в своих любимых слаксах.

Проверил,работает.

Работает,но без клиента PMKID не захватывает. С клиентом всё срабатывает.

На одном ноуте, под виндой, запускаю роутер-скан, на закладке вирилесс сканирую вайфай сети, вибираю нужную, через контекстное меню ПКМ выбираю пункт БРУТЕ-ФОРСЕ НЭТВОРК, указываю путь к маленькому словарику, на двести слов - СТАРТ. на этом ноуте пока всё.

На втором ноуте запускаю с флешки WIFISLAX-4-12 32 бита.

и ловлю хендшейк любой программой, предназначенной для этого, (я ловил прогой хендшейкер).

Пойманный хенжшейк конвертируем через терминал

( hcxpcaptool -z ТВОЙ.16800 ТВОЙ.cap ) без кавычек

без указывания адресов, - ВСЕ ФАЙЛЫ ДОЛЖНЫ НАХОДИТЬСЯ В ПАПКЕ root

там же найдём и результат - файл ТВОЙ.16800 , его мы и скормим "коту"

hcxpcaptool или hcxdumptool ?

hcxpcaptool

У меня в хендшейках почему то в ключах время стоит по нулям,из за чего при конвертировании пишет

Zero value timestamps detected in file: C:\1\111\111.cap.

This prevents correct EAPOL-Key timeout calculation.

Do not use preprocess the capture file with tools such as wpaclean.

Уже несколько раз ловил,одна и та же ситуация .А в шарке-вот как выглядит

http://prntscr.com/kjnrmz

Вот сам хендшейк http://rgho.st/8tJcMtGDq

Эти с нулевыми таймингами (скорее всего wpaclean постарался) конвертирует утилита из версии

hashcat-utils 1.7.

Это cap2hccapx и ругается,из сборки hashcat-utils 1.9

Как ни странно- 1.7 конвертнула без проблем!Огромное спасибо за наводку,отписываюсь сюда-вдруг кто тоже столкнется с подобной проблемой.

Это как раз некая защита от плохих хендшейков была сделана,так как при конвертации не видно тех самых таймингов

Вау!

Любопытное решение.

Ну тут уж точно скоро по мотивам скриптом инструмент нарисуют для wifislax

А по теме вопрос - в конце результат скармиливать строго и только коту? Или тот же wireless_password_recovery сможет тоже?

Пока может только кот версии 4.2.0 и выше.

актуально будет выкладывать формат .16800 в теме бесплатного перебора?

видел пару попыток, выкладывали, но никто не сбрутил. хотя.. может просто гиморнее колдовство с этим форматом)

гиморнее - не все hashcat'ом вообще пользуются, а тем более если без ESSID BSSID

А у меня почему то вручную другой результат получается , нежели с конвертацией с помощью утилиты hcxpcaptool .

Проверьте пожалуйста, если не в лом.

http://rgho.st/7yLGVXvhf

В архиве два файла - левый .CAP с неправильным паролем

и файл .16800 , сконвертированный утилитой hcxpcaptool .

P.S. А может такое быть, что пароля нет совсем, клиентов не было с момента появления ?

RSN PMKID: 04a5812a5094662784ca91f02bb7dc9d

и a5812a5094662784ca91f02bb7dc9d1a*e84dd0efa550*d46e0e10a30f*4855415745492d3232323 4

Вопрос к гуру.Что это?

Может Wireshark надо обновить? У меня вручную получается хеш, идентичный тому что в 16800 файле, который утилита генерирует.

Вот видео https://dropmefiles.com/6dndd