Wifiphisher

Описание WiFite

Инструмент автоматизированной беспроводной атаки.

Wifite работает только на Linux.

Wifite был создан для использования с дистрибутивами на тестирование на проникновение, такими как Kali Linux, Pentoo, BackBox; любыми дистрибутивами Linux с пропатченным для инжекта беспроводными драйверами. По видимому, также работает на Ubuntu, Debian и Fedora.

Wifite должна быть запущена от рута. Это требуется набором программ, который она использует. Запуск загруженных скриптов от рута — это плохая идея. Я рекомендую использовать загрузочный Kali Linux Live CD, загрузочную флешку USB (для тестирования на проникновение) или виртуальную машину. Помните, что виртуальные машины не могут напрямую иметь доступ к железу, поэтому требуется беспроводной USB адаптер.

Wifite предполагает, что у вас есть беспроводная карта и подходящие драйверы, пропатченные для инжекта и неразборчивого режима/режима наблюдения.

Инструмент может атаковать множество зашифрованных сетей WEP, WPA и WPS подряд. Этот инструмент настраивается до автоматизма всего лишь несколькими аргументами. Цель Wifite — быть инструментом беспроводного аудита по принципу «установил и забыл».

Особенности:

  • сортирует цели по сигналу (в dB); первыми взламывает самые близкие точки доступа
  • автоматически деаутентифицирует клиентов скрытых сетей для раскрытия их SSID
  • набор фильтров для точного указания, что именно атаковать (wep/wpa/обе, выше определённой силы сигнала, каналы и т.д.)
  • гибкие настройки (таймауты, пакеты в секунду, другое)
  • функции «анонимности»: смена MAC на случайный адрес перед атакой, затем обратная смена, когда атака завершена
  • все захваченные рукопожатия WPA копируются в текущую директорию wifite.py
  • умная деаутентификация WPA; циклы между деаутентификацией всех клиентов и широковещательной
  • остановка любого взлома по Ctrl+C с опциями для продолжения, переход к следующей цели, пропуск взлома или выход
  • отображение общей информации по сессии при выходе; показ всех взломанных ключей
  • все пароли сохраняются в cracked.txt

Лицензия: GPLv2

На чем брутить пароли WiFi?

Локально перебирать пароли лучше на десктопном компе с мощной видюхой, а если его нет, воспользуйся онлайновыми сервисами. Бесплатно в них предлагаются ограниченные наборы, но даже их порой достаточно.


Взлом двух паролей WiFi онлайн

Еще один интересный вариант — использовать сеть распределенных вычислений. Сделать это позволяет, например, Elcomsoft Distributed Password Recovery. Эта универсальная программа понимает десятки форматов паролей и хешей, включая .cap, .pcap и .hccapx. Над одной задачей в ней одновременно могут работать до десяти тысяч компьютеров, объединяя ресурсы своих процессоров и видеокарт.


Распределенный брут хешей WPA

Плюс у нее очень продвинутый подход к словарной атаке. Можно использовать маски, приставки и мутации, фактически расширяя объем словаря в несколько раз.

Почему выполняют атаку по словарю вместо брута?

Ключ WPA(2)-PSK генерируется длиной 256 бит. Число возможных комбинаций (2^256) таково, что даже на мощном сервере с графическими ускорителями потребуются годы для их перебора. Поэтому реалистичнее выполнить словарную атаку.

Обычно Wifite2 делает это сам. После захвата хендшейка он проверяет его качество. Если все нужные данные в нем сохранились, то автоматически запускается атака по словарю wordlist-top4800-probable.txt. Как нетрудно догадаться, в нем всего 4800 самых распространенных паролей.

Он удобен тем, что быстро срабатывает даже на стареньком ноутбуке, однако с большой вероятностью искомой комбинации в этом словаре не будет. Поэтому стоит сделать свой.

Как составить свой словарь?

Сначала я собрал коллекцию словарей из разных источников. Это были предустановленные словари в программах для перебора паролей, каталог /usr/share/worldlists/ в самой Kali Linux, базы утекших в Сеть реальных паролей от разных аккаунтов и подборки на профильных форумах. Я привел их к единому формату (кодировке), используя утилиту recode. Дальше переименовал словари по шаблону dict##, где ## — счетчик из двух цифр. Получилось 80 словарей.


Объединение 80 словарей, пропуская одинаковые записи

На следующем этапе я объединил их в один, удалив явные повторы, после чего запустил утилиту PW-Inspector для очистки объединенного словаря от мусора. Поскольку пароль для WiFi может быть от 8 до 63 символов, я удалил все записи короче 8 и длиннее 63 знаков.

cat * > alldicts | sort | uniq
pw-inspector -i alldicts -m 8 -M 63 > WPAMegaDict

1
2

cat *>alldicts|sort|uniq

pw-inspector-ialldicts-m8-M63>WPAMegaDict

Затем я подумал, что получился слишком большой файл, который можно сократить сильнее без явного ущерба для эффективности перебора. Вы видели в реальной жизни пароли Wi-Fi длиннее 16 символов? Вот и я не видел.

pw-inspector -i WPAMegaDict -m 8 -M 16 > WPADict_8-16

1 pw-inspector-iWPAMegaDict-m8-M16>WPADict_8-16

На файлообменнике Кима Доткома можно  (647 Мб в ZIP-архиве, 2,8 Гб в распакованном виде).

Взлом WPS по наиболее вероятным пинам

Кроме уже рассмотренной атаке Pixie Dust, есть ещё одна очень интересная атака на Точки Доступа с включённым WPS. Дело в том, что для некоторых моделей роутеров пины генерируются по определённым алгоритмам, например, исходя из MAC адреса роутера или его серийного номера. Зная эти данные можно сгенерировать один или несколько пинов, которые с высокой долей вероятности подойдут для беспроводной Точки доступа.

Такая атака реализована в WiFi-autopwner (описание здесь) — в этом скрипте требуется Интернет-подключение для запроса ПИНов онлайн, но зато реализован фикс для адаптеров на чипсете Ralink (таких большинство).

Пример очень быстро взломанных Wi-Fi сетей этим методом:

Ещё аналогичная атака реализована в airgeddon. Но в этой программе WPS атаки не работают с адаптерами на чипсетах Ralink. В этой программе нужно использовать, например, Alfa AWUS036NHA (чипсет Atheros). Лучше всего с антенной Alfa ARS-N19. Именно такую связку используя и я.

Другие подробности смотрите в статье «Эффективный подбор WPS ПИНа по базе известных и сгенерированным ПИНам».

5 способов взлома WiFi сети

Взломать WiFi можно различными способами, начиная  с перехвата паролей используя handshake, заканчивая прямым получением пароля использую социальную инженерию.

1. Использование инструментов для взлома вай фай сети

Существует не малое количество инструментов, скриптов, которые помогают хакерам и тестировщикам уязвимостей находить различные методы получения пароля и применять их успешно на практике. Мы уже не раз писали про такие инструменты, давайте их вспомним:

  1. Infernal Wireless.
  2. Aircrack-ng.
  3. Список инструментов для Android.

Этот список — только то, о чем мы писали на данный момент и он никак не ограничивается, так как каждый день происходят новые атаки и попытки взлома, в следствии которых обнаруживаются новые уязвимости беспроводных сетей.

2. Aircrack-ng – один из лучших инструментов для взлома WiFi

Хочется выделить инструмент Aircrack-ng, так как он является одним из самых мощных и доступных инструментов для взлома WiFi. Он уже предустановлен на операционной системе Kali Linux, но так как он использует метод перебора паролей(brute force), необходимо иметь wordlist популярных комбинаций паролей или тех, что уже использовались и были выявлены ранее. Такой список вы сможете найти в статье про aircrack, там мы оставили ссылку.

3. Infernal Wireless

Infernal Wireless в свою очередь использует другие методы и имеет в своем составе GUI, в то время как aircrack-ng работает полностью при помощи терминала. Данный инструмент обладает следующим функционалом, а об его применении вы сможете почитать более подробно уже в самой статье.

  • gui; оценка безопасности беспроводной сети
  • suit Impelemented;
  • взлом WPA2;
  • взлом WEP;
  • взлом предприятия WPA2;
  • беспроводная социальная инженерия;
  • полоса SSL;
  • генерация отчетов
  • отчет PDF HTML-отчет.

Не стоит забывать о том, что данный инструмент написан на Python и прекрасно работает на всех операционных системах, если установлены все необходимые зависимости. И да, метод взлома беспроводных сетей с помощью перебора паролей тут также присутствует.

4. Приложения для операционной системы Android с Root доступом

Список лучших приложений для взлома, а также других полезных приложений опубликован на нашем сайте, ссылка в начале статьи. Здесь хочется отметить, что большинство приложений требуют root доступ, из-за чего не каждый может себе позволить их использовать, так как боится или просто не хочет получать root права на Android. Однако, если вы все таки решились, но пока что не знаете, как это сделать, можете почитать статью о том, как получить root права на Android без риска остаться с керпичем на руках.

Из всех существующих приложений, я бы выделил следующие, так как они максимально подходят для взлома WiFi:

AndroDummper.

AndroDumpper – это приложение, позволяющее проверить уязвимость собственной точки доступа по WPS-протоколу. Здесь для получения пароля WiFi сети необходимо, чтобы была включена возможность подключения через WPS.

WPS Connect.

Данное приложение максимально похоже на предыдущее, однако они оба могут сработать или не сработать в разных ситуациях. Также WPS Connect можно использовать без root прав для взлома WiFi точки доступа, однако методов подбора WPS ключа будет значительно меньше.

Termux.

Хоть Termux и не может напрямую, без лишних знаний, ничего дать сам по себе — он является лучшим эмулятором терминала на сегодняшний день. А если у нас есть root доступ и терминал, все методы взлома вай фай сети мы можем без проблем использовать.

5. Использование социальной инженерии для взлома WiFi сетей

В момент, когда вы подумаете о взломе вай фай важно понимать уровень безопасности каждой отдельной сети. Здесь на помощь приходит социальная инженерия, которой должен обладать каждый уважающий себя специалист, начинающий и уже с опытом хакер

Методы выбора точки вай фай с помощью социальной инженерии есть на сайте, также как и информация по социальной инженерии в общем.

В данном случае лучше всего подойдет метод получения доверия от сторонних лиц, таким образом можно получить пароль без использования инструментов для взлома. Особенно понравится данный метод людям, которые ещё не изучали технических аспектов, но имеют хорошие навыки в общении.

Украсть пароль WiFi с помощью Wifiphisher. Возможности скрипта.

Скрипт начинает искать близлежащие сети. Подождите пару минут и остановите его работу нажатием Ctrl + C:

Так выглядит список жертв из окна авто у любой многоэтажки. Представьте себе список в “более общественном” месте?

Сразу после останова работы скрипт предлагает выбрать жертву из представленного списка. Каждой потенциальной цели присваивается порядковый номер (столбец num слева). Описание других столбцов окна включает:

  • ch – номер транслируемого канала
  • ESSID – имя беспроводной точки
  • BSSID – mac адрес устройства
  • encr – тип шифрования
  • vendor – производитель роутера

Как только хакер вводит номер жертвы, wifiphisher сразу переходит к следующему окну, в котором предлагает уже выбор типа атаки, с помощью которого можно украсть пароль к WiFi. Смотрим. Вот как выглядит окно после ручной доработки:

один из собственных вариантов

нажмите, чтобы увеличить

Терминал по умолчанию предлагает четыре варианта выуживания пароля в соответствие со следующими планами:

  • Network Manager Connect. Жертва, которая в данный момент находится в сети, увидит обрыв сетевого соединения в браузере пустой страницей и сообщением об отключении или подключению к другой сети. Теоретически скрипт подсовывает поддельную страницу аутентификации, которую, впрочем, пользователь никогда до того не видел. Где на английском (а после несложных манипуляций и на русском) будет предложено заново ввести пароль Pre-Shared Key от своей ТД. Для современных версий браузеров работает уже не очень удачно.
  • Firmware Upgrade Page. Более вероятное развитие событий. Жертве подсовывается псевдостраница с предложением обновить программное обеспечение роутера. Я бы нажал с удовольствием… Опять же на английском, однако, интуитивно понятно и оправдано. В описании страницы на фоне вполне приличного пользовательского соглашения опять появляется просьба обновить ПО роутера с просьбой повторно ввести пароль WiFi и не отключаться от сети. Более цивильный вариант фишинга. Вот как выглядит поддельная страница на смартфоне под управлением Andriod:

осталось ввести пароль…

а хакер видит в консоли вот так:

  • Browser Plugin Update. Вариант с обновлением некоего плагина к браузеру, например Adobe Flash Player. На самом деле жертве подсовывается зловредный исполнительный файл – идеальный вариант размещения на компьютере жертвы троянского коня.
  • OAuth Login Page – жертва видит на экране страницу аутентификации от Facebook с просьбой подтвердить логин и пароль для бесплатного использования этой ТД. Со стороны хакера создаётся поддельная точка доступа с неброским именем, через которую он будет анализировать трафик жертв, предварительно перехватив пароль к указанной сети. Путём нехитрых команд, описанных в статье, страница с вводом пароля для Facebook легко подменяется на страницу авторизации отечественной сети ( и ), после чего хакер срисовывает ваши пароли и уходит. Так, после несложных преобразований и простеньких подставлений в коде страницы:

Жертва может увидеть на экране ноутбука или планшета вот это:

PHISHING SCENARIOS

Wifiphisher supports community-built templates for different phishing scenarios. Currently, the following phishing scenarios are in place:

  • Firmware Upgrade Page: A router configuration page without logos or brands asking for WPA/WPA2 password due to a firmware upgrade. Mobile-friendly.
  • OAuth Login Page: A free Wi-Fi Service asking for Facebook credentials to authenticate using OAuth.
  • Browser Plugin Update: A generic browser plugin update page that can be used to serve payloads to the victims.
  • Network Manager Connect: Imitates the behavior of the network manager. This template shows Chrome’s «Connection Failed» page and displays a network manager window through the page asking for the pre-shared key. Currently, the network managers of Windows and MAC OS are supported.

Creating a custom phishing scenario

For specific target-oriented attacks, custom scenarios may be necessary.
Creating a phishing scenario is easy and consists of two steps:

  1. Create the config.ini

    A config.ini file lies in template’s root directory and its contents can be divided into two sections:

    1. info: This section defines the scenario’s characteristics.
    • Name (mandatory): The name of the phishing scenario
    • Description (mandatory): A quick description (
    • PayloadPath (optional): If the phishing scenario pushes malwares to victims, users can insert the absolute path of the malicious executable here
  2. context: This section is optional and holds user-defined variables that may be later injected to the template.

Here’s an example of a config.ini file:

> # This is a comment
> 
> Name: ISP warning page
> Description: A warning page from victim's ISP asking for DSL credentials
>
> 
> victim_name: John Phisher
> victim_ISP: Interwebz

Create the template files

A template contains the static parts of the desired HTML output and may consist of several static HTML files, images, CSS or Javascript files. Dynamic languages (e.g. PHP) are not supported.

Placeholders

The HTML files may also contain some special syntax (think placeholders) describing how dynamic content will be inserted. The dynamic contect may originate from two sources:

  1. Beacon frames.

Beacon frames contain all the information about the target network and can be used for information gathering. The main process gathers all the interesting information and passes them to the chosen template on the runtime.

At the time of writing, the main process passes the following data:

  • target_ap_essid <str>: The ESSID of the target Access Point
  • target_ap_bssid <str>: The BSSID (MAC) address of the target Access Point
  • target_ap_channel <str<: The channel of the target Access Point
  • target_ap_vendor <str>: The vendor’s name of the target Access Point
  • target_ap_logo_path <str>: The relative path of the target Access Point vendor’s logo in the filesystem
  • APs_context <list>: A list containing dictionaries of the Access Points captured during the AP selection phase
  • AP <dict>: A dictionary holding the following information regarding an Access Point:
    • channel <str>: The channel of the Access Point
    • essid <str> The ESSID of the Access Point
    • bssid <str> The BSSID (MAC) address of the Access Point
    • vendor <str> The vendor’s name of the Access Point

Note that the above values may be ‘None’ accordingly. For example, all the target_* values will be None if there user did not target an Access Point (by using —essid option). The ‘target_ap_logo_path’ will be None if the logo of the specific vendor does not exist in the repository.

config.ini file (described above).

All the variables defined in the «Context» section may be used from within the template files.
In case of naming conflicts, the variables from the configuration file will override those coming from the beacon frames.

Logging credentials

In order for wifiphisher to know which credentials to log, the values of the ‘name’ HTML attributes need to be prefixed with the ‘wfphshr’ string. During POST requests, wifiphisher will log all variables that are prefixed with this string.

About

Wifiphisher is…

  • …powerful. Wifiphisher can run for hours inside a Raspberry Pi device
    executing all modern Wi-Fi association techniques (including «Evil Twin», «KARMA» and «Known Beacons»).

  • …flexible. Supports dozens of arguments and comes with a set of
    community-driven phishing templates for different deployment scenarios.

  • …easy to use. Advanced users can utilize the rich set of features that Wifiphisher offers but beginners may start out as simply as «./bin/wifiphisher». The interactive Textual User Interface guides the tester through the build process of the attack.

  • …the result of an extensive research. Attacks like «Known Beacons» and «Lure10» as well as state-of-the-art phishing techniques, were disclosed by our developers, and Wifiphisher was the first tool to incorporate them.

  • …supported by an awesome community of developers and users.

  • …free. Wifiphisher is available for free download, and also comes with full
    source code that you may study, change, or distribute under the terms of the
    GPLv3 license.

Ограничения WinPcap и Wi-Fi трафик в Wireshark

Ограничения захвата WiFi пакетов в Windows зависят от Winpcap, а не от самого Wireshark. Wireshark, однако, включает в себя поддержку Airpcap, специального WiFi сетевого адаптера, драйверы которого поддерживают мониторинг сетевого трафика в режиме мониторинга в Windows, что называется перехватом трафика в WiFi сети в беспорядочном режиме. Однако этот тип карт устарел и не может перехватывать трафик в сетях с новейшими стандартами WiFi (802.11ac).

Acrylic Wi-Fi является инновационной альтернативой для захвата сетевого трафика Wi-Fi в режиме монитора из Windows, включая новейшие стандарты 802.11ac.

Acrylic Wi-Fi Sniffer

Acrylic WiFi Sniffer также позволяет захватывать пакеты WiFi в режиме монитора с помощью Wireshark из Windows (в последних версиях Wireshark 3.0.0 или выше) и с помощью других продуктов Acrylic WiFi, таких как Heatmaps или Professional. Поскольку он был разработан как экономичная и легко конфигурируемая альтернатива конкретному оборудованию типа AirPCAP, он может восстанавливать все данные, доступные на картах этого типа, включая значения SNR, а также быть совместим с последними стандартами 802.11ac со всеми полосами пропускания (20, 40, 80 и 160 МГц).

Если вы хотите узнать больше о режимах захвата или ознакомиться с функциями, предоставляемыми этими двумя альтернативами в продуктах Acrylic Wi-Fi, вы можете посетить статью «Режим монитора и родной режим захвата в Acrylic Wi-Fi«.

Usage

Run the tool by typing or (from inside the tool’s directory).

By running the tool without any options, it will find the right interfaces and interactively ask the user to pick the ESSID of the target network (out of a list with all the ESSIDs in the around area) as well as a phishing scenario to perform. By default, the tool will perform both Evil Twin and KARMA attacks.

wifiphisher -aI wlan0 -jI wlan4 -p firmware-upgrade --handshake_capture handshake.pcap

Use wlan0 for spawning the rogue Access Point and wlan4 for DoS attacks. Select the target network manually from the list and perform the «Firmware Upgrade» scenario. Verify that the captured Pre-Shared Key is correct by checking it against the handshake in the handshake.pcap file.

wifiphisher --essid CONFERENCE_WIFI -p plugin_update -pK s3cr3tp4ssw0rd

Automatically pick the right interfaces. Target the Wi-Fi with ESSID «CONFERENCE_WIFI» and perform the «Plugin Update» scenario. The Evil Twin will be password-protected with PSK «s3cr3tp4ssw0rd».

wifiphisher --nojamming --essid "FREE WI-FI" -p oauth-login

Do not target any network. Simply spawn an open Wi-Fi network with ESSID «FREE WI-FI» and perform the «OAuth Login» scenario.

python bin/wifiphisher --lure10-capture --nojamming

Proceed with only one card (—nojamming) and capture the BSSIDs that are discovered during AP selection phase.

python bin/wifiphisher --lure10-exploit area_20170414_123200 --essid "WiFiSense-Tagged-WLAN"

Make nearby Windows devices believe that are within the area that was previously captured with by fooling the Windows Location Service. Broadcast a WLAN that is tagged as WiFi-Sense in that area. This will result in automatic association of nearby Windows devices.

Following are all the options along with their descriptions (also available with ):

Short form Long form Explanation
-h —help show this help message and exit
-jI JAMMINGINTERFACE —jamminginterface JAMMINGINTERFACE Manually choose an interface that supports monitor mode for deauthenticating the victims. Example: -jI wlan1
-aI APINTERFACE —apinterface APINTERFACE Manually choose an interface that supports AP mode for spawning an AP. Example: -aI wlan0
-nJ —nojamming Skip the deauthentication phase. When this option is used, only one wireless interface is required
-e ESSID —essid ESSID Enter the ESSID of the rogue Access Point. This option will skip Access Point selection phase. Example: —essid ‘Free WiFi’
-p PHISHINGSCENARIO —phishingscenario PHISHINGSCENARIO Choose the phishing scenario to run.This option will skip the scenario selection phase. Example: -p firmware_upgrade
-pK PRESHAREDKEY —presharedkey PRESHAREDKEY Add WPA/WPA2 protection on the rogue Access Point. Example: -pK s3cr3tp4ssw0rd
-qS —quitonsuccess Stop the script after successfully retrieving one pair of credentials.
-lC —lure10-capture Capture the BSSIDs of the APs that are discovered during AP selection phase. This option is part of Lure10 attack.
-lE LURE10_EXPLOIT —lure10-exploit LURE10_EXPLOIT Fool the Windows Location Service of nearby Windows users to believe it is within an area that was previously captured with —lure10-capture. Part of the Lure10 attack.
-iAM —mac-ap-interface Specify the MAC address of the AP interface. Example: -iAM 38:EC:11:00:00:00
-iDM —mac-deauth-interface Specify the MAC address of the jamming interface. Example: -iDM E8:2A:EA:00:00:00
-iNM —no-mac-randomization Do not change any MAC address.
-hC —handshake-capture Capture of the WPA/WPA2 handshakes for verifying passphrase. Example: -hC capture.pcap
-dE —deauth-essid Deauth all the BSSIDs having same ESSID from AP selection or the ESSID given by -e option.
—logging Enable logging. Output will be saved to wifiphisher.log file.
—payload-path Enable the payload path. Intended for use with scenarios that serve payloads.

Заключение

Использование двухдиапазонной карты Alfa AWUS052NH подвело меня к мысли, что 5GHz ещё мало применяется, а в атаках на этот диапазон ещё много сырого.

Если вы хотите быть «во всеоружии», т.е. вам нужна поддержка 5GHz (возможно, даже не для атак, а для слежения за Wi-Fi сетями), то я бы рекомендовал Panda Wireless PAU09 N600 или Alfa AWUS052NH.

Если острой необходимости в поддержке 5GHz нет, то я бы рекомендовал что-то из Alfa AWUS036NH (по моим наблюдениям, самая популярная карта, о которой больше всего тёплых отзывов) или Alfa AWUS036NHA (должно быть меньше проблем с перебором WPS).

Полезные ссылки

Таблица беспроводных адаптеров/чипсетов

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий