传统的握手捕获和暴力破解方法会等待客户端取消认证和重新认证。而在2018年8月4日一位研究员于hashcat论坛中发表帖子,表示发现了新的WPA/WPA2攻击方式。在这种攻击中,不需要捕获完整的EAPOL 4次握手,因为攻击者直接与AP通信(也称为“无客户端”攻击)。
本文使用小白抓包软件WiFiGrab演示。WiFiGrab集成封装kali系统,图形化操作无需命令行,虽不免费,但适合不爱折腾或不会上手kali的新手使用。
百度网盘下载:pan.baidu.com/s/1Q9oWrHF_…
123云盘下载:www.123684.com/s/q496Td-Ru…
- 插入用于抓包的USB网卡(本次实验实验mt7921u,如不清楚网卡是否支持,点下检测会有提示信息),启动程序。
- 切换模式为批量模式。
- 点击开始抓包,软件默认会先花几十秒时间扫描确认周围活动的无线信道(如果不需要在设置中取消勾选
启用预扫描即可,但建议开启,避免在空信道上浪费时间)。
- 而后软件会循环扫描周围。若出现PMK标识,则表示捕获到了PMKID信息。
- 点击停止抓包,等待报文分离提取完毕,再点击下载将报文下载下来(如不需要按BSSID分离为多个报文,则下载前在设置中取消勾选
最小化抓包下载,下载下来就是一个报文)。
- 解压下载下来的压缩包,看到有pmk开头文件即捕获到的PMKID报文(其他eap开头的则为传统方法捕获的握手)。使用wireshark打开能在EAPOL报文中看到pmkid的字段信息,其值为一串16进制数。
- 将该报文导入跑包软件中(如EWSA),也可以读取到相关信息,后续如进行字典攻击与传统的握手包处理操作方式无异。
通过实时的抓包分析可以看到,hcxdumptool在抓包时,除了像常规握手包捕获的时会发送去认证报文使客户端断线重连,还会发送认证报文和关联报文假装尝试接入目标AP,进而捕获到AP发送的PMKID信息。
所有路由器都容易受到PMKID攻击吗?不会。只有启用或存在漫游功能的路由器易受攻击。hashcat论坛原帖作者描述:“不知道这种技术将适用于哪些供应商或多少台路由器,但我们认为它将适用于所有启用了漫游功能的802.11i/p/q/r网络(大多数现代路由器)。”
另外hcxdumptool捕获的报文不包含data帧(降低报文空间占用考虑),而跑包软件EWSA和WiFiPR在导入握手哈希时会通过4次握手后是否包含data帧来验证握手是否有效。因此除pmkid报文外,其他常规方法捕获的eapol报文均无法验证有效性。
但如果在捕获握手时没有人为尝试使用错误密码接入,握手都是有效的。且实际上工具作者提供了另一种验证握手有效性的方法,就是通过观察握手是否包含M3帧(4次握手中的第3次握手),因为只有密码校验通过,AP才会发送M3帧。
