都来试试Pmkid抓包,一网打尽附近热点
本帖最后由 gfjohttk 于 2024-4-6 01:10 编辑介绍
以往的断网攻击抓握手包,需要接入点有客户端在线,会出现抓不到包的情况。
2018年 hachcat 的作者揭露了一种新的攻击方法,pmkid抓包。这种方法只需要单个数据包,而且也不需要任何的客户端连接到我们的目标 AP,即使有客户端已连接,也不需要我们向它们发送 deauth 帧,在攻击者和客户端之间没有交互,只存在攻击者和 AP 之间的交互。如果路由器是可被攻击的,那么是几乎可以立刻完成攻击的!
这种攻击的主要优点如下:
[*]不再需要常规用户——攻击者直接与AP通信(又称“无客户端”攻击)
[*]不再需要等待普通用户和AP之间的完全4次握手
[*]不再发生EAPOL帧的最终重传(可能导致无法破解的结果)
[*]常规用户不再发送最终的无效密码
[*]当常规用户或AP离攻击者太远时,不会丢失EAPOL帧
[*]不再需要修复nonce和replaycounter值(表现为稍高的传输速度)
[*]没有更多特殊输出格式(pcap,hccapx等)——最终数据将显示为常规十六进制编码字符串
原理
RSN IE是802.11管理帧中的一个可选字段。RSN其中一个参数是PMKID。
https://p1.ssl.qhimg.com/t01f46fa42b9ea37b65.png
PMKID通过使用HMAC-SHA1计算生成,其密钥为PMK,数据部分由固定字符串标签“PMK Name”、接入点MAC地址和站MAC地址组合而成。
PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)
由于PMK与常规EAPOL 4次握手相同,因此是一种理想的攻击向量。
我们可以从AP接收的第一个EAPOL帧中获取所需数据。
抓包教程
在kali中,运行hcxdumptool,从AP请求PMKID并将收到的帧转储到文件中(存储为pcapng格式)。
$ ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status
start capturing (stop with ctrl+c)
INTERFACE:...............: wlp39s0f3u4u5
FILTERLIST...............: 0 entries
MAC CLIENT...............: 89acf0e761f4 (client)
MAC ACCESS POINT.........: 4604ba734d4e (start NIC)
EAPOL TIMEOUT............: 20000
DEAUTHENTICATIONINTERVALL: 10 beacons
GIVE UP DEAUTHENTICATIONS: 20 tries
REPLAYCOUNTER............: 62083
ANONCE...................: 9ddca61888470946305b27d413a28cf474f19ff64c71667e5c1aee144cd70a69
如果AP收到我们的关联请求数据包并支持发送PMKID,我们会在不久后看到一条“FOUND PMKID”消息:
89acf0e761f4 -> 4604ba734d4e <ESSID>
4604ba734d4e -> 89acf0e761f4
4604ba734d4e -> 89acf0e761f4
注意:由于wifi通道上的噪音,可能需要经过一段时间才能收到PMKID。我们建议在终止前最多运行hcxdumptool10分钟。
后记
抓包握手包后需要破解,需要一些pcapng跑包、pcap跑包、pmkid跑包的方法。对于有kali的朋友,可以使用hcxpcaptool将pcapng格式转换为hc22000格式,进行跑包。
对于嫌麻烦或者没有kali的朋友,咱自己做了一个小平台,可以解析这种pcapng、pcap格式,不妨来试一试。备注"anywlan",可以享受免电费跑包方案,不要傻乎乎的交电费:lol曹操wifi
PMKID抓包的,我试过了,只有像早期华硕的那种才能正常抓到。
新一点的路由器,或者普通家用路由器(TPLINK系、tenda系等),根本就不能用PMKID抓包 904570220 发表于 2024-4-6 00:59
PMKID抓包的,我试过了,只有像早期华硕的那种才能正常抓到。
新一点的路由器,或者普通家用路由器(TPLINK ...
实践出真知啊:lol
我这边有客户自己尝试抓过,能抓的种类还是很多的,有CMCC的光猫,还有各种型号的普通路由器。
附近大多数都能抓到,但也不是全部都能抓,他最想抓的那个还是没抓到。
所以能不能抓还得自己试一试才知道 我还是老老实实用kall抓包 你好,提示hcxdumptool:无效选项--“o” 怎么回事啊?
wc125123 发表于 2024-4-6 12:59
你好,提示hcxdumptool:无效选项--“o” 怎么回事啊?
推荐kimi.ai这个大模型,有不会的问AI,AI时代都开始了,要学会使用这些先进的工具 gfjohttk 发表于 2024-4-6 14:13
推荐kimi.ai这个大模型,有不会的问AI,AI时代都开始了,要学会使用这些先进的工具 ...
多谢,推荐 wc125123 发表于 2024-4-6 12:59
你好,提示hcxdumptool:无效选项--“o” 怎么回事啊?
hcxdumptool 高级攻击工具----简单篇
https://www.anywlan.com/thread-451382-1-1.html
gfjohttk 发表于 2024-4-6 01:05
实践出真知啊
我这边有客户自己尝试抓过,能抓的种类还是很多的,有CMCC的光猫,还有各种型号的普通路由 ...
能不能说说那些路由能抓PMKID,我只知道ASUS的能抓 HZHHH 发表于 2024-4-6 21:19
能不能说说那些路由能抓PMKID,我只知道ASUS的能抓
Tplink,CMCC的光猫都可以,其他的要自己试试 本帖最后由 上上网 于 2024-4-7 11:23 编辑
楼主发的是过时旧文章:lol,
新的工具发生了翻天覆地变化,握手包和Pmkid同时抓,一般只需在几秒内就能抓到,下图就可以看到一下子就能抓到10多个握手包,其中抓到7个有效包, 1个pmkid :lol
上上网 发表于 2024-4-7 11:13
楼主发的是过时旧文章,
新的工具发生了翻天覆地变化,握手包和Pmkid同时抓,一般只需在几秒内就能抓到, ...
好啊 分享一下啊:lol
页:
[1]
2