Взлом WPA/WPA2 паролей с Aircrack-ng: перебор по словарю, совместная работа с Hashcat, maskprocessor, statsprocessor, John the Ripper, Crunch, взлом в Windows
Успешно захваченное рукопожатие можно взламывать различными программами. Если вам удалось настроить проприетарные драйверы видеокарты, то, конечно, рекомендуется делать взлом программой Hashcat. Скорость перебора кандидатов в пароли будет на порядок выше.
Если вы хотите делать перебор WPA PSK паролей только силой процессора, то одной из подходящего для этого программ является Aircrack-ng. Из минусов этой программы можно отметить то, что она не использует видеокарту. Ещё большим минусом является отсутствие поддержки масок, правил и других вариантов перебора. Хотя последний недостаток нивелируется тем, что Aircrack-ng может работать в паре с другими программами, которые поддерживают эти самые маски, правила, генерацию паролей на лету.
Ещё одним плюсом программы является то, что она прекрасно работает под Windows.
Простейший вариант использования Aircrack-ng:
aircrack-ng -w путь_до_словаря -e ТД рукопожатие.cap
Хотя команда простая, поясним, что:
- -w путь_до_словаря — в словаре один кандидат в пароли должен быть расположен на отдельной строке, т. е. один пароль на одну строку.
- -e ТД. После этой опции нужно указать имя точки доступа. Если в файле захвата информация о нескольких точка доступа (а обычно так и бывает, если вы предварительно не сделали очистку этого файла), то Aircrack-ng спросит, для какой ТД нужно взламывать пароль. Т.е. эта опция является необязательной — выбор можно сделать после запуска программы. В качестве альтернативы можно использовать опцию -b, после которой нужно указать MAC адрес ТД.
- рукопожатие.cap — файл с захваченным рукопожатием
Итак, у меня словарь размещён в файле /home/mial/2ndHDD/newrockyou.txt, точка доступа носит имя dlink, а файл рукопожатия называется dlink-02.cap и размещён в текущей рабочей директории, тогда у меня получается команда:
aircrack-ng -w /home/mial/2ndHDD/newrockyou.txt -e dlink dlink-02.cap
Перебор запущен:
Как видим, все восемь ядер процесса загружены полностью:
Ключ найден!
Об этом нам говорит надпись KEY FOUND!
Aircrack-ng 1.2 rc4 [00:37:08] 7431796/9894689 keys tested (3186.12 k/s) Time left: 12 minutes, 53 seconds 75.11% KEY FOUND! [ pattayateam ] Master Key : D3 AD 16 B8 E1 F9 39 37 99 FE 25 FE EB AA 61 74 9C 81 E1 18 39 82 E9 D3 9F 3B 28 5C 4B FE 67 77 Transient Key : 8C 88 24 58 C7 E3 B2 DC 2C 9C 33 4A 9D 52 70 BA F1 56 9C 1B 14 46 C5 49 64 AC 1B 6B 6A 81 E4 88 7D D9 F8 25 70 C7 6C 3A 95 04 09 41 33 36 E2 AB 2E D5 90 A4 5F 90 41 ED 3A 54 2F 72 5B 8E BF 89 EAPOL HMAC : AF AD DC CE 9A 1F DF F4 8A 74 28 CC C5 CF 8C 87
Использование в Aircrack-ng паролей, созданных в других программах
Aircrack-ng может работать с любыми программами, выводящими пароли в стандартный вывод. Для этого с опцией -w вместо указания пути до словаря нужно поставить чёрточку (-). А сами пароли передать по трубе (|) из программы-генератора в Aircrack-ng. В общем виде команда выглядит так:
генератор_паролей | aircrack-ng -w - -e ТД рукопожатие.cap
Использование сгенерированных в Hashcat паролей в Aircrack-ng
Для того, чтобы не взламывать пароли, а только показать кандидаты, в Hashcat есть опция --stdout
Также нам нужно указать режим взлома (опция -a) и саму маску.
# | Режим ===+====== 0 | Прямой 1 | Комбинированный 3 | Брут-форс 6 | Гибридный словарь + маска 7 | Гибридный маска + словарь - [ Встроенные наборы символов ] - ? | Набор символов ===+========= l | abcdefghijklmnopqrstuvwxyz u | ABCDEFGHIJKLMNOPQRSTUVWXYZ d | 0123456789 h | 0123456789abcdef H | 0123456789ABCDEF s | !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~ a | ?l?u?d?s b | 0x00 - 0xff
В итоге команда для показа паролей выглядит так:
hashcat --stdout -a 3 pattaya?l?l?l?l
Здесь:
- --stdout означает только показывать кандидаты в пароли
- -a 3 выбран режим брутфорса/атаки по маске
- pattaya?l?l?l?l — сама маска. Все создаваемые пароли в начале слова будут иметь pattaya, а далее будут идти четыре маленькие буквы. Рекомендуется ознакомиться с правилами составления масок для Hashcat: https://kali.tools/?p=578
Команда передачи сгенерированных паролей из hashcat в aircrack-ng для моих данных выглядит так:
hashcat --stdout -a 3 pattaya?l?l?l?l | aircrack-ng -w - -e dlink dlink-02.cap
Совместная работа Aircrack-ng и maskprocessor
Программа maskprocessor является частью пакета hashcat. Её предназначение — генерировать кандидаты в пароли по маске. Использовать maskprocessor даже проще, чем саму hashcat, которая без необходимых зависимостей даже не запустится на некоторых системах.
Синтаксис команды очень прост:
maskprocessor маска
Например, для моего подобранного пароля маска могла бы быть pattaya?l?l?l?l Проверим:
maskprocessor pattaya?l?l?l?l | aircrack-ng -w - -e dlink dlink-02.cap
Начался перебор:
Готово:
Совместная работа Aircrack-ng и statsprocessor
Statsprocessor — это ещё одна программа, которая поставляется с Hashcat. Statsprocessor — это высокопроизводительный генератор слов (словарей), основан на по позиционной атаке Маркова, упакован в отдельный исполняемый файл.
Взлом Wi-Fi в Aircrack-ng с генерируемыми на лету паролями в Crunch
Crunch — генератор словарей с паролями, в которых можно определить стандартную или заданную кодировку. Crunch может создать список слов со всевозможными комбинациями и перестановками в соответствии с заданными критериями. Данные, которые выводит crunch, могут быть отображены на экране, сохранены в файл или переданы в другую программу.
Простой пример использования:
crunch <минимальная-длина> <максимальная-длина> [набор символов]
Вообще, Crunch очень гибкая программа, и чтобы использовать её на 100% нужно изучить её опции и ознакомиться с примерами. Разнообразные примеры использования crunch вы найдёте на странице: https://kali.tools/?p=720
Для моего случая можно было бы сделать так:
crunch 11 11 -t pattaya@@@@ | aircrack-ng -w - -e dlink dlink-02.cap
Или так:
crunch 11 11 -t @@@@@@@@@@@ | aircrack-ng -w - -e dlink dlink-02.cap
Взлом Wi-Fi паролей в Aircrack-ng с John the Ripper
John the Ripper поддерживает вывод кандидатов (опция --stdout), а также различные правила генерации паролей. У John the Ripper свой собственный синтаксис, но в целом можно достичь такого же результата, как и с уже рассмотренными программами. Поэтому если вы больше знакомы с John the Ripper, то можете использовать его в командах вида:
./john --wordlist=<wordlist> --rules --stdout | aircrack-ng -e <ESSID> -w - <capture>
Взлом WPA паролей с Aircrack-ng в Windows
Поскольку пакет Aircrack-ng является кроссплатформенным, то можно делать взлом WPA хендшейка и в Windows. Зайдите на официальный сайт, скачайте версию для Windows, распакуйте скаченный архив.
Перейдите в каталог, где размещён исполнимый файл aircrack-ng-avx.exe (у вас путь будет другим):
cd C:\Users\Alex\Downloads\aircrack-ng-1.2-rc4-win\bin\64bit\
Пример запуска взлома:
aircrack-ng-avx.exe -w D:\newrockyou.txt -e dlink dlink-02.cap
Где:
- -w D:\newrockyou.txt – это путь до словаря;
- -e dlink – выбранная для взлома точка доступа
- dlink-02.cap – файл с захваченным рукопожатием, размещён в той же папке, что и исполнимый файл.
Кстати, вы найдёте три схожих файла:
- aircrack-ng-avx.exe
- aircrack-ng-avx2.exe
- aircrack-ng-sse2.exe
Попробуйте их все – у них будет разная производительность, а некоторые могут не запуститься.
Заключение
Aircrack-ng хорошо комбинируется с генераторами паролей и способна работать под Windows. Тем не менее, намного больших результатов можно получить взламывая пароль используя графическую карту.
Связанные статьи:
- Виды атак Hashcat (60.7%)
- Семейство программ *Hashcat: как научиться взламывать пароли, создавать и оптимизировать словари (60.7%)
- Продвинутые техники создания словарей (60.4%)
- Программы для создания словарей (59.7%)
- Как использовать предварительно вычисленные таблицы для взлома паролей Wi-Fi в Hashcat и John the Ripper (57.6%)
- Инструкция по использованию RouterSploit (RANDOM - 1.1%)
Здравствуйте объясните что означает <capture> в команде
Нужно ли вводить полный адрес до <wordlist> ???
<capture> означает файл с захваченным рукопожатием.
Путь до <wordlist> (словаря) нужно вводить в первой части команды — там, где стоит этот заполнитель. Что касается второй части, то у aircrack-ng указана опция -w (после которой должен идти путь до словаря), но вместо пути до словаря, указано - (чёрточка), которая означает считывать кандидаты в пароли из стандартного ввода. В свою очередь john (первая часть команды), обрабатывает словарь и, т. к. указана опция --stdout, отправляет их в стандартный вывод.
Этот вариант не для новичков, а для тех, кто умеет пользоваться правилами генерации паролей john и для подбора пароля хочет использовать указанную связку. Если вы её не понимаете, то ничего страшного — используйте более простые варианты.
добрый день
при брутфорсе аиркряк находит пароль, но! продолжает дальше перебор…. с чем может быть связано? надпись ключ найден выскакивает и дальше перебор..
Приветствую! Возможно в файле несколько хэндшейков?
Така же ситуация. Дело не в хендшейках. У старой версии 1.2 этого бага нет, как только программа находила пароль, она останавливалась. Новые версии 1.5.2, 1.6 продолжають дальше перебирать пароли, даже если он уже был найден.
Теперь, есть еще 2 бага в этой сборке программ - 1) airmon-ng переключает сетевую карту в режим мониторинга, название сетевой карты остается преждним, а переключить в режим управления получается только вручную - с помощью ifconfig, iwconfig - у версии 1.2 rc4-2 (debian) (rc4-4 ubuntu) все было нормально: интерфейс переименовывался, команда airmon-ng переключала корректно в любом направлении. 2) Второй баг - команда aireplay-ng отправляет слишком много пакетов, кажется, игнорит количество пакетов деавтентификации.
приветствую.
каким инструментом можно сгенерировать список, состоящий из 4букв и 4цифр, которые будут в неопределенном порядке?
Попробуйте посмотреть Программы для создания словарей.
А как при генерации паролей по маске исключить определенные маски?
Думаю, вам помогут пользовательские наборы символов (если не помогут, значит задачу нужно решать с помощью программирования или создания словарей и последующей фильтрации).
К примеру, мы хотим попробовать пароль, в котором вначале идёт слово «John», а затем 3 цифры. Но мы знаем, что John не любит цифры больше 500, поэтому нам хотелось бы проверить только пароли от 000 до 500. Тогда делаем так:
В этой команде:
В результате будут сгенерированы пароли от John000 до John499.
Также рекомендуется прочитать:
Это не подойдет…Мне нужно забрутить хендшейк от WIFI коробки, который состоит из 10 символов с чередованием цифр, строчных и заглавных англ букв. Тут нужна специализированная маска, которую не могу найти в инете, но делаю сам. Если знаете как сгенерить маску для брута паролей роутеров определенного провайдера по SSID, то буду рад услышать.