Вопрос такой, есть ТД с включенным wps, к ней подключен клиент, как перехватить hendshake с пином wps?!

Airgeddon
https://codeby.net/threads/airgeddon-dlja-novichkov-zaxvat-i-vzlom-xendshejkov.59037/
https://codeby.net/threads/vzlom-wifi-dlja-chajnikov.58099/

HT-WPS-Breaker
https://codeby.net/threads/wps-pin-hack.59305/

Fluxion
https://codeby.net/threads/fluxion-v0-23-rev-108-buduschee-mitm-wpa-atak.58794/
https://codeby.net/threads/samyj-prostoj-sposob-vzloma-wifi-fluxion.58017/

Пакет Aircrack-ng

а зачем тебе хендшейк когда там wps включен?
слушай сюда.
заходи в терминал и там пиши - iwconfig. В результате смотри как называется адаптер который ты будешь использовать для атаки, например wlan1.
Потом в терминале пиши: airmon-ng start wlan1- так ты переведешь адаптер в режим монитора и сможешь начинать тестирование своей точки на уязвимости.

Далее в терминале пиши wash -i wlan1mon(после перевода твоего адаптераwlan1в режим монитора его название станетwlan1mon, может и другим, это ты увидишь в терминале, но в большинстве случаев именно таким)

Получишь результаты сканирования в которых увидишь точки с включенным wps. Окно не закрывай, результаты из него пригодятся в следующем шаге.

Открываешь терминал и там пишешь:
reaver-i wlan1mon -bмакадрессТД-сканал-f -K 1
- макадрессТД - копируешь из предыдущего окна, это мак тестируемой ТД;
- канал - смотришь там же;
-f опция, которая отключает прыгание по канал во время тестирования, просто оставь как есть
-K 1 - атака по пиксидаст, в ряде случаев отдаст тебе пароль за 10 секунд. Если не сработало увидишь сообщение и начинай атаку без этого параметра, т.е. reaver-i wlan1mon -bмакадрессТД-сканал-f
Чтобы видеть развернутый ход атаки допиши в конце-vv

ИТОГО, на выходе команда:
reaver-i wlan1mon -bмакадрессТД-сканал-f -K 1
либо
reaver-i wlan1mon -bмакадрессТД-сканал-f -vv

Дальше можно идти курить на пару часов, при условии, что на целевой ТД нет блокировок от брута wps.

П.С. Если не поможет пиши, научуловить хендшейки брутить его нахешкетес офигенной скоростью.

Банзай!

Это все хорошо, если прошивка ТД не обновлена. Производители железа чутко реагируют на уязвимости)))) Если и ловить хендшейк автору, то лучше сразу к Fluxion обратиться. Очень мощный инструмент против ~80% пользователей.

я за автоматизацию, да. Если ловить хендшейк с fluxion то согласен, быстро и просто, писать ничего не надо, пара кнопок и готово. Если говорить о fluxion, как об инструменте получения пассворда в чистом виде, то от утверждения о 80% успеха у меня глаз дергается.

Касательно производителей железа соглашусь - реагируют. Только пользователи железа не реагируют

Парни спасибо за ответы, но я не много не то имел ввиду, и видимо не понятно написал, опишу подробней.
reaver работает и потихоньку атакует (имею ввиду с медленной скоростью).
По сути можно перехватить handshake с wps пином, и пробрутить его hashcat.
Отсюда у меня вопрос, как перехватить именно handhsake с пином wps используя стандартный набор airodupm-ng и aireplay-ng?!
Может быть я просто не догоняю или не правильно формулирую мысль, но надеюсь смысл понятен...
[doublepost=1494770940,1494769945][/doublepost]

Если я перехватываю handshake, используя airodump-ng и aireplay-ng:
Airodump-ng пишет что захватил WPA handshake.
Насколько я понимаю, это рукопожатие с WPA/WPA2 пассом.
Если это так, то брудить это возможно придется годами) (естественно проще дождаться reaver)
Возможно я не правильно понимаю, и в этом перехваченном WPA handshake есть wps пин
Ну и логично, что hashcat пробрутить 10^8 гораздо быстрей,чем сидеть и ждать пока справится reaver.

Словарь на 1.2 ГБ хэшкэт на ноуте с nvidia gtx670mx перебирает за час. Словарь "insidePRO_WPA" - точно не помню общую статистику, но на онлайн сервисах по перебору процент успеха примерно 30% (если ошибаюсь поправьте).
По точкам отрабатываемым мной лично статистика выше - примерно 70%

По теме: пина в хендшейке нет.

П.С. Ривер с параметром -K 1 пробовали?
[doublepost=1494773542,1494773398][/doublepost]у меня задача поинтересней сейчас.. Нужно кроме стандартной еще пройти авторизацию по сертификату )

У меня глаз дергается от ожидания процесса перебора))))) И пользователи - да, сами рады оказать помощь. Пентест нескольких офисов "по приглашению" проводил, поэтому и говорю про 80%.

Да первым делом -K, но не прокатило!!)

reaver вот так запустил:

reaver -i ***** -b ************* -c * --dh-small -s -L -d 5 --lock-delay=315 –T 0.5 –x 360 –vvv

Все работает хорошо, но ТД блочит на 5 минут после 40 проверенных пинов, ждать придется возможно долго, поэтому и задумался что проще было 10^8 прогнать в hashcat, только не могу понять, как перехватить именно wps пин.

WPS PIN не передается в явном виде. Почитайте про WPS и его алгоритм.

согласен, дело в том, что на просторах сети я как то читал статью (или смотрел видео), но не могу её найти :-( так вот в ней парень перехватывал именно wps пин, потом hashcat брутел handshake, а потом reaver задавал конкретный wps пин и на выходе получал заветный пасс.
[doublepost=1494776695,1494776491][/doublepost]запомнилось тем, что он за чем то генерировал пасс лист, когда hashcat можно было просто атаковать по маске.

еще один вариант, маловероятный к успеху, но интересный.
если известен внешний ip роутера (или хотя бы диапазон), просканируйте на открытые 80, 8080... Возможно получится проэксплуатировать роутер и залезть снаружи )
Вот вам в помощь отличный многофункцинальный сканнер:
[doublepost=1494777242,1494776914][/doublepost]для этого может пригодится ресурс

Спасибо за ответы, но все же возможно ли перехватить handshake с wps пином?
Данную ТД уже дождусь пока вскроет reaver!!)

Хэш с пином WPS не покидает роутер.

Нет, не прокатит типо перехватить хендшейк в котором есть пин, который потом будет легко отбрутить, потому что там как бы они цифры.

перечитал про WPS и всё встало на свои места, спасибо за ответы!!