Pmkid无客户端一键批量抓包测试

传统的握手捕获和暴力破解方法会等待客户端取消认证和重新认证。而在2018年8月4日一位研究员于hashcat论坛中发表帖子，表示发现了新的WPA/WPA2攻击方式。在这种攻击中，不需要捕获完整的EAPOL 4次握手，因为攻击者直接与AP通信(也称为“无客户端”攻击)。

本文使用小白抓包软件演示该抓包过程（内置hcxdumptool）。

百度网盘下载：https://pan.baidu.com/s/1Q9oWrHF_nKgwOtKyVcb7IQ?pwd=xxwd

123云盘下载：https://www.123684.com/s/q496Td-Ru95H

• 插入用于抓包的USB网卡（本次实验实验mt7921u，如不清楚网卡是否支持，点下检测会有提示信息），启动程序。

image-20250905005237016

• 切换模式为批量模式。

image-20250905005339219

• 点击开始抓包，软件默认会先花几十秒时间扫描确认周围活动的无线信道（如果不需要在设置中取消勾选启用预扫描即可，但建议开启，避免在空信道上浪费时间）。

image-20250905005452642

• 而后软件会循环扫描周围。若出现PMK标识，则表示捕获到了PMKID信息。

image-20250905012904944

• 点击停止抓包，等待报文分离提取完毕，再点击下载将报文下载下来（如不需要按BSSID分离为多个报文，则下载前在设置中取消勾选最小化抓包下载，下载下来就是一个报文）。

image-20250905013014361

• 解压下载下来的压缩包，看到有pmk开头文件即捕获到的PMKID报文（其他eap开头的则为传统方法捕获的握手）。使用wireshark打开能在EAPOL报文中看到pmkid的字段信息，其值为一串16进制数。

image-20250905013324335

image-20250905013637608

• 将该报文导入跑包软件中（如EWSA），也可以读取到相关信息，后续如进行字典攻击与传统的握手包处理操作方式无异。

image-20250905013749420

通过实时的抓包分析可以看到，hcxdumptool在抓包时，除了像常规握手包捕获的时会发送去认证报文使客户端断线重连，还会发送认证报文和关联报文假装尝试接入目标AP，进而捕获到AP发送的PMKID信息。

所有路由器都容易受到PMKID攻击吗？不会。只有启用或存在漫游功能的路由器易受攻击。hashcat论坛原帖作者描述：“不知道这种技术将适用于哪些供应商或多少台路由器，但我们认为它将适用于所有启用了漫游功能的802.11i/p/q/r网络(大多数现代路由器)。”

另外hcxdumptool捕获的报文不包含data帧（降低报文空间占用考虑），而跑包软件EWSA和WiFiPR在导入握手哈希时会通过4次握手后是否包含data帧来验证握手是否有效。因此除pmkid报文外，其他常规方法捕获的eapol报文均无法验证有效性。

image-20250907105257843

但如果在捕获握手时没有人为尝试使用错误密码接入，握手都是有效的。且实际上工具作者提供了另一种验证握手有效性的方法，就是通过观察握手是否包含M3帧（4次握手中的第3次握手），因为只有密码校验通过，AP才会发送M3帧。

image-20250907105727685