About Teletype
Join
hackerplace.org
@hackerplace_org
January 20, 2023

Как взломать чужой Wi-Fi

Расскажу вам о методах взлома Wi-Fi, которыми пользуюсь сам.

Всем салют, дорогие друзья!

В этой статье, по вашим многочисленным просьбам, я собрал все самые эффективные методики взлома Wi-Fi, которые в совокупности всегда приносят мне результат.

Эта статья будет отличной шпаргалкой для новичков, поскольку большинство методов довольно простые и практически все они позволяют быстро добиться нужного результата.

  • Вот пример собранных паролей в одном из моих предыдущих мест жительства (азиатская глубинка с трёхэтажными домами):

Строки, которые начинаются на [+], добыты с помощью OneShot, строки, которые начинаются на {"result":true,"data":{ добыты с помощью 3WiFi. 3BB-KANCHANANAT подобрал брутфорсом. Большая часть паролей была собрана всего минут за 20-30.

Что нужно для взлома Wi-Fi

1. Нужно достаточное количество беспроводных сетей. Если вы живёте на краю села и у вас в пределах досягаемости одна Wi-Fi сеть, которую то видно, то невидно, что шансов не особо много.

Чем больше сетей в округе, тем лучше.

2. Нет каких-то особых требований к железу, причём для некоторых атак подойдут даже Wi-Fi адаптеры, которые не поддерживают режим монитора. Тем не менее я крайне настоятельно рекомендую адаптеры с внешней антенной, причём если антенна съёмная, то лучше купить ещё одну побольше.

ИМХО, половина «скилов» взломщика Wi-Fi в большой антенне…

Необходимые команды

Дальше я буду только говорить «адаптер в режиме монитора» или «адаптер в управляемом режиме», эти команды я не буду дублировать.

  • Чтобы посмотреть имена беспроводных интерфейсов и их текущий режим:

iw dev

  • Для перевода Wi-Fi карты в режим монитора:

sudo ip link set <ИНТЕРФЕЙС> down

sudo iw <ИНТЕРФЕЙС> set monitor control

sudo ip link set <ИНТЕРФЕЙС> up

  • Если для атаки не нужно Интернет-подключение (а для некоторых оно нужно), то лучше остановить процессы, которые могут помешать (при выполнении первой команды пропадёт Интернет-подключение):

sudo systemctl stop NetworkManager

sudo airmon-ng check kill

  • Возврат в управляемый режим:

sudo ip link set <ИНТЕРФЕЙС> down

sudo iw <ИНТЕРФЕЙС> set type managed

sudo ip link set <ИНТЕРФЕЙС> up

Или просто отключите и подключите Wi-Fi адаптер — по умолчанию он включается всегда в управляемом режиме.
  • Если вы остановили NetworkManager, то для его запуска выполните:

sudo systemctl start NetworkManager

Поиск уже взломанных беспроводных Точек Доступа

Это самый простой метод, он не требует беспроводного режима, но требует Интернет-подключения.

После окончания сканирования, когда происходит проверка увиденных ТД по базе данных, Wi-Fi адаптер (выполнявший сканирование) уже не используется. То есть пока проходит проверка, можно перейти к следующей атаке.

  • Если у вас есть другой, не гостевой аккаунт 3WiFi, то в самом скрипте замените API и уберите строку:

sleep 15;

В этом случае скрипт не будет делать пауз между проверками.

В Windows для просмотра BSSID вы можете использовать программу Router Scan by Stas'M, а затем искать по 3WiFi. Router Scan может в автоматическом режиме проверять увиденные им Точки Доступа по базе данных 3WiFi.

Pixie Dust без режима монитора

Про программу OneShot мне написал автор актуального мода — с тех пор это самая любимая моя программа.

Эта программа может получать пароли только от ТД с включённым WPS, зато не нужен режим монитора. При атаке Pixie Dust пароль можно получить в считанные секунды.

Для Windows аналогом является Router Scan by Stas'M

Быстрый брут-форс пароля

К сожалению, точек доступа с включённым WPS не особо много. Тем не менее мы ещё вернёмся к ним. Сейчас мы рассмотрим классический вариант захвата рукопожатия и взлома пароля. Его быстрота заключается в следующем:

  1. выполняется автоматический захват рукопожатий для всех Точек Доступа в пределах досягаемости
  2. запускается два вида брут-форса с Hashcat: по словарю и по маске в восемь цифр. Опыт показывает, довольно много ТД поддаются. У этого способа тоже хорошее соотношение затрат времени к получаемому результату
  • Итак, переводим беспроводной интерфейс в режим монитора.
  • Запускаем команду для сбора рукопожатий:

sudo besside-ng ИНТЕРФЕЙС -W

  • Все рукопожатия будут сохранены в файл wpa.cap.
  • Если вы собираетесь взламывать их все, то можно все разом конвертировать в формат hashcat с помощью cap2hccapx:

cap2hccapx wpa.cap output.hccapx

Если вам нужны только хеш определённой Точки Доступа, то в качестве фильтра используйте имя сети (ESSID).

  • К примеру, меня интересует только рукопожатие Wi-Fi сети netis56 и я хочу сохранить его в файл netis56.hccapx:

cap2hccapx wpa.cap netis56.hccapx netis56

Для атаки по словарю я использую словарь rockyou, очищенный вариант можно скачать по этой ссылке.

  • Пример удачного взлома по словарю (время взлома 9 секунд):
  • Ещё один пример удачного взлома по словарю (время взлома 13 секунд):
  • Моя команда для запуска выглядит так:

hashcat --force --hwmon-temp-abort=100 -m 2500 -D 1,2 -a 0 'ХЕШ.hccapx' /ПУТЬ/ДО/rockyou_cleaned.txt

В этой команде обязательные опции:

  • 'ХЕШ.hccapx' — ваш файл hccapx с одним или более хешей
  • /ПУТЬ/ДО/rockyou_cleaned.txt — путь до словаря
  • -m 2500 — указан тип взламываемого хеша

Необязательные опции:

  • -a 0 — тип атаки: атака по словарю. Можно пропустить, т. к. подразумевается по умолчанию
  • -D 1,2 — означает использовать и центральный процессор и видеокарту для взлома пароля. Если не указать, скорее всего будет выбрана только видеокарта
  • --force — означает игнорировать предупреждения. У меня без этой опции не задействуется центральный процессор для взлома паролей. Будьте осторожны с этой опцией
  • --hwmon-temp-abort=100 — это максимальная температура, при которой брут-форс будет принудительно прерван. У меня такой климат, что днём в комнате всегда больше +30℃, к тому же, я запускаю брут-форс на ноутбуке (не рекомендую это делать на ноутбуке), поэтому в моих условиях дефолтный барьер в +90℃ достигается очень быстро и перебор останавливается. Этой опцией, установленной на температуру выше дефолтных 90, можно реально сжечь свой комп/видеокарту/лэптоп. Используйте исключительно на свой страх и риск — Я ВАС ПРЕДУПРЕДИЛ!!!

Для запуска атаки по маске:

hashcat --force --hwmon-temp-abort=100 -m 2500 -D 1,2 -a 3 'ХЕШ.hccapx' ?d?d?d?d?d?d?d?d

Из нового в этой команде:

  • ?d?d?d?d?d?d?d?d — маска, означает восемь цифр, на моём железе перебирается примерно минут за 20. Для создания маски в больше количество цифр, добавляйте ?d.
  • -a 3 — означает атаку по маске.

Кроме паролей в 8 цифр, также распространены пароли в 9-11 цифр (последние чаще всего являются номерами телефонов, поэтому можно указывать маску как 89?d?d?d?d?d?d?d?d?d), но каждая дополнительная цифра увеличивает время перебора в 10 раз.

Взлом WPS по наиболее вероятным пинам

Кроме уже рассмотренной атаки Pixie Dust, есть ещё одна очень интересная атака на Точки Доступа с включённым WPS. Дело в том, что для некоторых моделей роутеров пины генерируются по определённым алгоритмам, например, исходя из MAC адреса роутера или его серийного номера. Зная эти данные можно сгенерировать один или несколько пинов, которые с высокой долей вероятности подойдут для беспроводной Точки доступа.

Такая атака реализована в WiFi-autopwner — в этом скрипте требуется Интернет-подключение для запроса ПИНов онлайн, но зато реализован фикс для адаптеров на чипсете Ralink (таких большинство).

  • Пример очень быстро взломанных Wi-Fi сетей этим методом:

Ещё аналогичная атака реализована в airgeddon. Но в этой программе WPS атаки не работают с адаптерами на чипсетах Ralink. В этой программе нужно использовать, например, Alfa AWUS036NHA (чипсет Atheros). Лучше всего с антенной Alfa ARS-N19. Именно такую связку используя и я. Это в целом очень хороший Wi-Fi адаптер для взлома беспроводных сетей, в том числе для атаки на WPS. Минус этой карты в том, что она довольно старенькая и не поддерживает современные протоколы.

На сегодня это все! Желаю удачной охоты :)

January 20, 2023, 14:07
0 views
0 reposts