1.Chuẩn bị :
1.1.Phần cứng :
_ 1 AP có hỗ trợ bảo mật WPA
_ 1 PC có wireless card -> Client
_ 1 PC có wireless card có hỗ trợ monitor (xem tại đây http://www.aircrack-ng.org/doku.php?id=compatible_cards) -> Attacker
1.2.Phần mềm :
PC của Attacker :
_ Cài HĐH Linux (ở đây sẽ là BackTrack 4)
_ Aircrack-ng
_ 1 file từ điển chứa các từ khóa có khả năng là password , hoặc 1 pre-computed database (dùng airolib-ng để tạo)
2.Hack WPA :
2.1.Các bước cơ bản :
_ Bước 1 : chuyển wireless card về chế độ monitor
_ Bước 2 : scan mạng wireless và bắt dữ liệu từ AP target
_ Bước 3 : bắt 4-way handshake
_ Bước 4 : dùng aircrack-ng + file từ điển (hoặc pre-computed database) để dò password
2.2.Thực hiện :
2.2.1.Bước 1 :
Xem các interface của card mạng :
Trường hợp này wireless card có interface là wlan0
Chuyển wlan0 về chế độ Monitor
airmon-ng sẽ tạo ra card mạng ảo dùng cho việc Monitor tên là mon0
2.2.2.Bước 2:
Scan mạng wireless trong “vùng bắt sóng” của wireless card
Ở đây ta có 1 AP có BSSID là 00:13:d4: 68 :d2:08 , channel 7 , bảo mật WPA2 , mã hóa kiểu CCMP , chứng thực PSK , cột ESSID ghi là <length: 7> tức là AP ẩn ,
và có 1 client 00:13:e8:be:e9:c5 đang connect
Ta sẽ bắt dữ liệu từ AP ẩn có BSSID 00:13:d4: 68: d2:08 trên channel 7 và ghi vào file wpa2.cap
2.2.3.Bước 3 :
Trong cơ chế bảo mật WPA , khi muốn kết nối với AP , client sẽ gởi gói tin có chứa 4-way handshake đến đến AP , trong gói tin đó có chứa thông tin về password (đã được hash) của mạng WPA . Ta phải được gói tin có chứa 4-way handshake thì mới có thể tìm ra được password.
Để làm được điều này , ta phải “đá” client ra :
aireplay-ng -0 1 : deauthenticate 1 lần
-a 00:13:d4: 68 :d2:08 : setAccess Point MAC address
-c 00:16: 44 :7b:f9:bc : set Destination MAC address
mon0 : interface ảo của wireless card dùng cho việc monitor
=> lệnh này có nghĩa là : mon0 sẽ giả danh AP 00:13:d4: 68 :d2:08 và gởi đến client 00:16: 44 :7b:f9:bc thông tin rằng “anh đã bị đá ra khỏi mạng” , client sẽ phải gởi gói tin chứa 4-way handshake yêu cầu kết nối lại với AP. Lúc này lệnh airodump-ng ở trên sẽ bắt được gói tin chứa 4-way handshake , và cũng sẽ dò ra được SSID của AP .
(quay lại cửa sổ airodump-ng)
Bước 4 :
Công việc cần làm bây giờ là phải dò ra password từ gói dữ liệu chứa 4-way handshake mà ta bắt được (đã lưu vào file .cap)
Ta chỉ quan tâm đến 3 file :
_ database : file pre-computed database , chứa các từ khóa đã được hash (ở dạng binary) cho phù hợp với các SSID cụ thể (xem Video hướng dẫn tạo database)
_ dic : file từ điển , chứa các từ khóa (ở dạng text) có thể là password của AP
_ wpa2-01.cap : file chứa 4-way handshake , được tạo ra bởi lệnh airodump-ng ở bước 2 + 3
Người viết đã có :
+ file từ điển dung lượng ~ 40MB chưa ~ 3 triệu từ khóa
+ file database được tạo nên từ file từ điển trên , tương thích với SSID là default
Bắt đầu dùng aircrack-ng kết hợp với file từ điển đề dò password bắt được trong file .cap :
Như ta thấy , nếu chỉ dùng file từ điển thô thì tốc độ dò chỉ khoảng 400 từ trên 1 giây -> muốn dò được hết file từ điển 3 triệu từ thì mất khoảng 7500 giây ~ 2 giờ 5 phút
Để rút ngắn thời gian thì ta sẽ dùng aircrack-ng kết hợp với database :
Tốc độ đạt được gần 40K từ trên 1 giây -> 3 triệu từ mất hơn 1 phút !!!
Sau 1 phút 19 giây thì đã dò ra được password
LƯU Ý
1. Tùy vào cấu trúc phần cứng mà có thể gặp các trường hợp sau :
+ interface của card wireless là ATH hoặc WLAN hoặc WIFI
+ interface ảo mon0 có thể có hoặc không (nếu ko có thì dùng interface mặc định ban đầu)
+ nếu không chuyển về chế độ monitor bằng lệnh airmon-ng thì có thể dùng lệnh sau :
# iwconfig < interface> mode Monitor
2. Bắt buộc phải có ít nhất 1 client “đang hoạt động” và “trong tầm bắt sóng” của wireless card
(trên mạng có nói về kỹ thuật Korek và Fragment có thể hack WEP mà không cần Client , nhưng người thực hiện lab đã test nhiều lần mà vẫn không thành công, có thể là do kỹ thuật này không còn dùng được với các AP sau này)
3. Nên dùng hệ điều hành BackTrack , vì nó đã tích hợp đủ “đồ nghề” cần thiết . Có thể chạy nó trên Live CD , USB , hoặc trên máy ảo
4. Hack WPA nào cũng dùng cách tương tự như nhau
5. Hack WEP thì tỉ lệ thành công là 100% , nhưng hack WPA thì không được như vậy . Aircrack-ng không có cơ chế tự tổ hợp những từ khóa , ký tự (vét cạn) mà chỉ có thể so sánh các từ khóa có trong file từ điển (hoặc database) với password đã được hash, có nghĩa là trong file từ điển (hoặc database) phải có chính xác từ khóa trùng với password
Video
Hướng dẫn tạo pre-computed database (cái clip làm database này của người ta , để hôm nào rãnh làm lại cái clip này)
1.1.Phần cứng :
_ 1 AP có hỗ trợ bảo mật WPA
_ 1 PC có wireless card -> Client
_ 1 PC có wireless card có hỗ trợ monitor (xem tại đây http://www.aircrack-ng.org/doku.php?id=compatible_cards) -> Attacker
1.2.Phần mềm :
PC của Attacker :
_ Cài HĐH Linux (ở đây sẽ là BackTrack 4)
_ Aircrack-ng
_ 1 file từ điển chứa các từ khóa có khả năng là password , hoặc 1 pre-computed database (dùng airolib-ng để tạo)
2.Hack WPA :
2.1.Các bước cơ bản :
_ Bước 1 : chuyển wireless card về chế độ monitor
_ Bước 2 : scan mạng wireless và bắt dữ liệu từ AP target
_ Bước 3 : bắt 4-way handshake
_ Bước 4 : dùng aircrack-ng + file từ điển (hoặc pre-computed database) để dò password
2.2.Thực hiện :
2.2.1.Bước 1 :
Xem các interface của card mạng :
Chuyển wlan0 về chế độ Monitor
2.2.2.Bước 2:
Scan mạng wireless trong “vùng bắt sóng” của wireless card
và có 1 client 00:13:e8:be:e9:c5 đang connect
2.2.3.Bước 3 :
Trong cơ chế bảo mật WPA , khi muốn kết nối với AP , client sẽ gởi gói tin có chứa 4-way handshake đến đến AP , trong gói tin đó có chứa thông tin về password (đã được hash) của mạng WPA . Ta phải được gói tin có chứa 4-way handshake thì mới có thể tìm ra được password.
Để làm được điều này , ta phải “đá” client ra :
-a 00:13:d4: 68 :d2:08 : setAccess Point MAC address
-c 00:16: 44 :7b:f9:bc : set Destination MAC address
mon0 : interface ảo của wireless card dùng cho việc monitor
=> lệnh này có nghĩa là : mon0 sẽ giả danh AP 00:13:d4: 68 :d2:08 và gởi đến client 00:16: 44 :7b:f9:bc thông tin rằng “anh đã bị đá ra khỏi mạng” , client sẽ phải gởi gói tin chứa 4-way handshake yêu cầu kết nối lại với AP. Lúc này lệnh airodump-ng ở trên sẽ bắt được gói tin chứa 4-way handshake , và cũng sẽ dò ra được SSID của AP .
(quay lại cửa sổ airodump-ng)
Bước 4 :
Công việc cần làm bây giờ là phải dò ra password từ gói dữ liệu chứa 4-way handshake mà ta bắt được (đã lưu vào file .cap)
_ database : file pre-computed database , chứa các từ khóa đã được hash (ở dạng binary) cho phù hợp với các SSID cụ thể (xem Video hướng dẫn tạo database)
_ dic : file từ điển , chứa các từ khóa (ở dạng text) có thể là password của AP
_ wpa2-01.cap : file chứa 4-way handshake , được tạo ra bởi lệnh airodump-ng ở bước 2 + 3
Người viết đã có :
+ file từ điển dung lượng ~ 40MB chưa ~ 3 triệu từ khóa
+ file database được tạo nên từ file từ điển trên , tương thích với SSID là default
Bắt đầu dùng aircrack-ng kết hợp với file từ điển đề dò password bắt được trong file .cap :
Như ta thấy , nếu chỉ dùng file từ điển thô thì tốc độ dò chỉ khoảng 400 từ trên 1 giây -> muốn dò được hết file từ điển 3 triệu từ thì mất khoảng 7500 giây ~ 2 giờ 5 phút
Để rút ngắn thời gian thì ta sẽ dùng aircrack-ng kết hợp với database :
Tốc độ đạt được gần 40K từ trên 1 giây -> 3 triệu từ mất hơn 1 phút !!!
Sau 1 phút 19 giây thì đã dò ra được password
LƯU Ý
1. Tùy vào cấu trúc phần cứng mà có thể gặp các trường hợp sau :
+ interface của card wireless là ATH hoặc WLAN hoặc WIFI
+ interface ảo mon0 có thể có hoặc không (nếu ko có thì dùng interface mặc định ban đầu)
+ nếu không chuyển về chế độ monitor bằng lệnh airmon-ng thì có thể dùng lệnh sau :
# iwconfig < interface> mode Monitor
2. Bắt buộc phải có ít nhất 1 client “đang hoạt động” và “trong tầm bắt sóng” của wireless card
(trên mạng có nói về kỹ thuật Korek và Fragment có thể hack WEP mà không cần Client , nhưng người thực hiện lab đã test nhiều lần mà vẫn không thành công, có thể là do kỹ thuật này không còn dùng được với các AP sau này)
3. Nên dùng hệ điều hành BackTrack , vì nó đã tích hợp đủ “đồ nghề” cần thiết . Có thể chạy nó trên Live CD , USB , hoặc trên máy ảo
4. Hack WPA nào cũng dùng cách tương tự như nhau
5. Hack WEP thì tỉ lệ thành công là 100% , nhưng hack WPA thì không được như vậy . Aircrack-ng không có cơ chế tự tổ hợp những từ khóa , ký tự (vét cạn) mà chỉ có thể so sánh các từ khóa có trong file từ điển (hoặc database) với password đã được hash, có nghĩa là trong file từ điển (hoặc database) phải có chính xác từ khóa trùng với password
Video
Code:
http://www.youtube.com/watch?v=hqL2efcUoVc
Hướng dẫn tạo pre-computed database (cái clip làm database này của người ta , để hôm nào rãnh làm lại cái clip này)
Code:
http://www.youtube.com/watch?v=9L_Xh3nLwLw