私たちの最近のブログでは、Raspberry Pi Zero Wを設定し、モバイルデバイスを使用してリモートに接続する方法について説明しました。 https://hackernoon.com/setting-up-pi-zero-for-pi-fi-hacking?embedable=true 免責申告:このブログに表示されたすべてのものは、法的限界内で、ネットワーク所有者からの完全な許可を得て行われました。このコンテンツは、厳密に教育目的のためです。 このブログに表示されたすべてのものは、法律の範囲内で、ネットワークの所有者の完全な許可を得て行われました. このコンテンツは、厳密に教育目的のためにあります. 著者は、示された技術の誤った使用について責任を負いません。 Disclaimer: 今、私たちはLinuxの力を持っているので、WPAのハンドシェイクをキャプチャすることを見ていきましょう。 入り込む前に、ちょっとだけ見てみよう・・・。 WPAハンドシェイク(4 WAY HANDSHAKE) WPA/WPA2 は、WPA/WPA2 で最も広く使用されている Wi-Fi セキュリティ プロトコルの一つです。 (WPAハンドシェイク) クライアントおよびアクセスポイントおよび 暗号化キーは、 データ転送 4-way handshake authenticates establishes secure 名前のとおり、4つの手のひらは、 間で交換した そして、The ハンドシェイクは、クライアントが成功したときから始まります。 そして アクセスポイントとは four messages client (supplicant) access point (authenticator) authenticated associated 4 ハンドシェイクの使い方 メッセージを交換するためのキーフレーム EAPOL (Extensible Authentication Protocol Over LAN) 4 つの動的に生成されたキーは、クライアントとアクセス ポイント間の通信を暗号化します。 PMK(Pairwise Master Key) 認証の過程で得られた共有の秘密。 WPA2-Personal では、PMK は、Password-Based Key Derivation Function 2 (PBKDF2) を使用して Pre-Shared Key (PSK) から直接導出されます。 WPA2-Enterprise では、PMK は、クライアントとアクセス ポイントが認証中に交渉するマスター セッション キー (MSK) に由来します。 PTK(Pairwise Transient Key) このキーは、各クライアント-Access point pair にユニークであり、すべてのキーを暗号化するために使用されます。 クライアントとアクセスポイントの間のトラフィック unicast A を使用して生成されます。 次の入力とともに: Pseudo-Random Function (PRF) PTK = PRF( PMK + Anonce + SNonce + MAC(Access Point) + MAC(Client) ) GMK(グループマスターキー) このキーは、アクセスポイントでローカルで生成され、ワイヤレスで送信されることはありません。 GTK(グループタイムキー) このキーは、The key derived from the そして、同じアクセスポイントに接続されているすべてのクライアントに配布されます。 GMK 暗号化する そして アクセスポイントから顧客に送信されるトラフィック。 multicast broadcast 4 ハンドシェイクの働き方 最初の EAPOL メッセージ (AP → クライアント) アクセスポイントが送信する クライアントにとっては、それを引き出すために使うもの。 . ANonce(Authenticator Nonce) PTK (Pairwise Transient Key) お客様はすでに、 そして、The それは、自分自身とアクセスポイントの両方で、それから生成されます。 . PMK (Pairwise Master Key) MAC addresses SNonce (Supplicant Nonce) 第二のEAPOLメッセージ(クライアント→AP) クライアントが送る そしてA アクセスポイントに接続し、アクセスポイントが同じように接続できるようにします。 THE メッセージの整合性を確認し、 混同されていない。 SNonce (Supplicant Nonce) MIC (Message Integrity Code) PTK (Pairwise Transient Key). MIC (Message Integrity Code) SNonce 第三のEAPOLメッセージ(AP →クライアント) アクセスポイントが送信する クライアントに、暗号化され、 GTK (Group Temporal Key) PTK (Pairwise Transient Key). 第4回 EAPOL メッセージ(クライアント→AP) クライアントは、最終的な EAPOL メッセージを送信します。 で、 両方のインストールの成功 そして . MIC acknowledging PTK (Pairwise Transient Key) GTK (Group Temporal Key) 理解するための簡単な方法 それは、人間が関係の中で信頼を構築する方法について考えることです。 4-way handshake それぞれの握手は重要な情報を交換し、両者が自分たちが誰であるかを確認し、信頼を築くのに役立ちます。 同様に、アクセスポイントとクライアントは、同じことを共有していることを確認するためのキー材料を交換します。 安全にコミュニケーションできる secret (PMK) 信頼が確立されると、安全なコミュニケーションは、2人の個人間のプライベートな関係のように始まります。 しかし、批判的な欠点がある: 誰でもあなたの会話に耳を傾けることができます。 誰でもあなたの会話に耳を傾けることができます。 The Flaw Wireless コミュニケーションは 範囲内で誰にでもできること ワイヤレストラフィック inherently exposed eavesdrop 4 方向のハンドシップでは、重要な値(ノンツやMAC アドレスなど)が暗号化されずに送信され、被動的なキャプチャが可能になります。 しかし、このデバイスは決して、 空気の向こう側に置いてあるので、その代わりに、 )の使用 機能です。 pre-shared key PMK (Pairwise Master Key PBKDF2 しかし、ハンドシェイクはパスワードを除くすべての必要な入力を提供しているため、攻撃者は: 辞書またはブルートフォース攻撃を使用して多くのパスワード推測を試す PBKDF2 を使用して PMK を導出する PRF を使用して PTK を作成する MICを計算し、キャプチャしたMICと比較します。 計算された MIC がキャプチャされた MIC に匹敵する場合、攻撃者はパスフレーズを見つけた。 4 方向のハンドシップとその根底にある脆弱性が明らかになった今、私たちは始めることができます。 WPA ハンドシェイク われわれは使用する , Wi-Fi ネットワークのセキュリティを評価するためのツールの完全なセットで、WPA ハンドシップをキャプチャする。 aircrack-ng セットアップ 無線アダプタがモニターモードをサポートしていることを確認する マイクロUSBポート(電源ポートではなく)にOTGケーブルを使用して接続します。 SSH経由でPiに接続する ネットワークインターフェイスをチェック ifconfig ifconfig が利用できない場合にも ip a を使用できます。 You can also use もし 未利用です。 ip a ifconfig さまざまな無線インターフェイス、例えば、 wlan0 そして wlan1 一つは通常、内部カードに属し、もう一つはワイヤレスアダプターに属します。 ただし、インタフェースが1つしか見えない場合は、適切に接続して実行されていることを確認してください。 lsusb これは、アダプターが正しく接続されているかどうかを確認します。 システムパッケージの更新 sudo apt update Aircrack-ng をインストールする sudo apt install aircrack-ng カリとパロットは通常、 aircrack-ng 初心者ですが、これでダメです。 モニターモードの設定 Airmon-ng のインターフェイスをチェック sudo airmon-ng コマンドは、各インタフェースをドライバーとチップセットと一緒に表示します。 Airmon-ng でモニターモードを有効にする sudo airmon-ng start <interface> あなたがコマンドを実行することを示唆するメッセージが表示される可能性があります。 sudo airmon-ng check kill このコマンドは、NetworkManager または wpa_supplicant などのモニターモードに干渉するプロセスを停止します. Since our SSH connection is active, this will likely terminate our session. あなたがコマンドを実行することを示唆するメッセージが表示される可能性があります。 sudo airmon-ng check kill このコマンドは、モニターモードに干渉する可能性のあるプロセスを停止します。 または 私たちのSSH接続がアクティブであるため、これは私たちのセッションを終了する可能性があります。 NetworkManager wpa_supplicant ハンドシェイク Dump all traffic sudo airodump-ng <interface> このコマンドは、検出されたアクセスポイントのリアルタイムリストと、接続されたクライアント(ステーション)のリストを投げ捨てます。 続ける前に、上記の結果を分析しましょう。 上のセクションでは、アクセスポイントのデータが表示されます: アクセスポイントの MAC アドレス BSSID : Wi-Fi アダプタまたはネットワーク インターフェイスによって報告された信号レベル. AP またはステーションに近づくと信号強度が向上します。 PWR : 品質は、過去10秒間に受信されたパッケージの割合で測定されます。 RXQ アクセスポイントによって送信された通知パッケージの数。 Beacons 収集したデータパケットの数 #Data 過去10秒間で測定されたデータパケットの数 CH:チャンネル番号。 #/s アクセスポイントがサポートする最大速度 MB : 使用中の暗号化アルゴリズム、OPNは暗号化なしを指します。 ENC サイファーが検出された。 CIPHER 使用した認証プロトコル AUTH ネットワーク名(SSID) ESSID 下のセクションでは、クライアント(ステーション)のデータが表示されます。 : 接続する AP を検索する各関連ステーションまたはステーションの MAC アドレス。 BSSIDは「(関連付けられていない)」の「AP」です。 STATION associated ステーションの受信率、その次に送信率。 RATE 序列番号に基づいて、過去10秒間に失われたデータパケットの数。 LOST : クライアントが送信したデータパッケージの数 注記: キャプチャした EAPOL または PMKID などのクライアントに関する追加情報。 Packets クライアントが調査した ESSID は、クライアントが現在接続していない場合に接続しようとしているネットワークです。 Probe Next, copy the and channel ( ) of your target access point, as you will need them in the next step. BSSID CH Dump traffic from the target access point. このために、新しいターミナル タブを開いて、継続的な操作を妨げないようにします。 セッション airodump タブの3つのポイントをクリックし、Duplicateを選択します。 走る ターゲット上 airodump-ng sudo airodump-ng --bssid <bssid> -c <channel_number> -w <output> <interface> ターゲットアクセスポイントのMACアドレス --bssid ターゲットアクセスポイントのチャンネル -c ファイルを指定してキャプチャを保存する -w コマンドは、アクセスポイントとそれに接続されているクライアント(ステーション)をリストします。 ご覧のとおり、ターゲットに接続されているクライアントは1つしかありません。 4 方向のハンドシェイク(オプション) デフォルトでは、WPAハンドシェイクをキャプチャするプロセスは 何事も送信せずに静かに Wi-Fi トラフィックを監視しますが、それは隠蔽的ですが、クライアントが自動的に再接続し、4 方向の握手を引き起こすのを待つ必要があります。 passive スピードを上げるためには、私たちは クライアント2 再接続と4方向のハンドシェイクを起動し、デアテスト攻撃を使用します。 force disconnect そのために、我々は、 送る ターゲットへのパッケージ aireplay-ng deauth 新しいターミナルを開く(残りの2つを走らせる) aireplay-ng sudo aireplay-ng --deauth 10 -a <target_bssid> <interface> SPECIFIES THE 攻撃 代替で、あなたは使用することができます 共通のアリスである。 攻撃 --deauth deauth -0 deauth is the number of パッケージ送信 10 deauth ターゲットのMACアドレス -a aireplay-ng deauthentication パッケージを送信する reason code 7 (Class 3 frame received from non-associated station) デフォルトで 特定のクライアントをターゲットに使用できます。 フラッグは、複数のクライアントが存在する場合にハンドシェイクを引き起こす可能性を高める: -c sudo aireplay-ng -0 10 -a <target_ap_mac> -c <client_mac> <interface> WPAハンドシェイクをチェック 前のタブに戻る(ランニング) (ターゲットアクセスポイント) airodump-ng EAPOL IN THE Notes クライアントのフィールドは、クライアントが4方向の握手を完了したことを示します。 最初のタブに戻る(ランニング) グローバル) airodump-ng 右上に、WPAハンドシェイクが表示され、WPAハンドシェイクの成功を確認します。 新しいターミナルでは、キャプチャした pcap が aircrack-ng を使用して WPA ハンドシェイクを含んでいることを確認します。 sudo aircrack-ng <captured_file.cap> WPA ハンドシェイクが使用可能であることを確認するには、Aircrack-ng はその構造を検証しようとします。 "No valid WPA handshakes found." 次のブログでは、歩きながら、 cracking the WPA handshake using Hashcat