Aircrack-Tutorial/WPA mit Client

24.04.2021

Vorwort

Dieses Tutorial soll keine Anleitung sein um mutwillig & illegal in fremde Netzwerke einzudringen. Es ist ausschließlich dazu gedacht, die Sicherheit von WPA-gesicherten Drahtlosnetzwerken zu überprüfen, sofern die Legitimation, durch Besitz oder Erlaubnis des Eigentümers, dazu bestehen.

Inhaltsverzeichnis

Voraussetzungen

Da auf dieses Thema (im Moment) nicht weiter eingegangen werden soll, sind die Voraussetzungen um dieses Tut durchführen zu können, wie folgt:

1.) Das Betriebssystem Backtrack3 (mittlerweile 5r3) wird benötigt.

2.) eine Injection-fähige WLAN-Karte z.B. mit Atheros-Chipsatz

Vorbereitung

Als erstes muss ein WLAN ausfindig gemacht werden, wozu Kismet oder ein anderer beliebiger Scanner genutzt wird. (Bei der erstmaligen Benutzung sollte nach erfolgreichem Start h gedrückt werden, um ein weiteres Vorgehen möglich zu machen)

Folgendes sollte notiert werden:

  • Name des Netzwerkes

  • BSSID des Netzwerkes z.B. 00:01:02:03:04:05

  • den Kanal (Channel) des Netzwerkes (z.B. 11)

  • die BSSID bzw. MAC-Adresse eines Clients der mit dem Router “wireless” verbunden ist (dieser Client muss nicht zwangsläufig aktiv sein)

Nun kann der Scanner geschlossen werden. Anschließend kommen wir zum nächsten Kapitel des Tutorials.

Start

Als erstes muss eure WLAN-Karte bzw. euer WLAN-Interface auf den Channel des Routers eingestellt werden. Dazu müssen eure jeweilig laufenden Interfaces runtergefahren, eingestellt und wieder neu gestartet werden.

WLAN-Interface ausrichten

Schaut zunächst unter ifconfig

nach, wie euer WLAN-Interface betitelt ist. In diesem Falle heißt das Gerät wifi0.

airmon-ng start wifi0 11

Erklärung:

  • wifi0 ist der Name des Interfaces.
  • 11 - ist der Kanal auf dem euer Router sendet.

Als nächstes muss das Interface ath0 und ath1 abgeschaltet werden (kann je nach Hardware abweichen und es können auch mehr oder weniger Interfaces sein), mit den Befehlen

wlanconfig ath0 destroy wlanconfig ath1 destroy

sollte das erledigt sein. Bei weiteren Interfaces wiederholt diesen Schritt bis nur noch wifi0 übrig bleibt. Nun folgt:

ifconfig ath0 up Mit diesem Befehl startet ihr das Interface ath0.

Mit iwconfig ath0 mode Monitor channel 11

habt ihr das Interface ath0 in den Monitormodus auf Kanal 11 geschaltet. Nun sollte bei der Ausgabe folgendes erscheinen:

Interface Chipset Driverwifi0 Atheros madwifi-ngath0 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode enabled)

Airodump-ng

Nun sollte airodump-ng gestartet werden um den Datenverkehr des Routers abzufangen.

airodump-ng -w psk -c 11 --bssid 00:01:02:03:04:05 ath0

Erklärung:

  • w - abgefangene Daten sollen unter psk gespeichert werden
  • c 11 - der Kanal auf dem der Router sendet
  • bssid - dies ist die MAC-Adresse des Routers
  • ath0 - das Interface welches ihr in den Monitormodus geschaltet habt

Jetzt öffnet ein neues Terminal.

Aireplay-ng

Das Werkzeug Aireplay-ng beinhaltet vielerlei Möglichkeiten. Ich werde hier nur eine, die Deauthattack ausführen (bei weiterem Interesse an Aireplay-ng gebt aireplay-ng -help ein), mit welcher ihr den verbundenen Client vom Router trennt. Sinn und Zweck des ganzen ist es so einen reconnect des Clients mit dem Router anzuregen um dadurch den HANDSHAKE zwischen AP und Client abzufangen. Würdet ihr das nicht tun könnte es unter umständen Stunden dauern um einen solchen Handshake aufzuzeichnen.

Befehl:

aireplay-ng -0 1 -a 00:01:02:03:04:05 -c 00:10:20:30:40:50 ath0

Erklärung:

  • 0 - deauthattack
  • 1 - das deauthsignal soll 1 mal geschickt werden
  • a - MAC des Routers
  • c - MAC des verbundenen Clients
  • ath0 - euer in den Monitormodus geschaltetes Interface

Nach erfolgreichem Deauth solltet ihr nun auf euer Airodump-Fenster achten, denn rechts oben im Fenster sollte schon bald HANDSHAKE erscheinen. Ist das nicht der Fall kann es sein das der Client kein auto-reconnect hat, was wiederum heißt, entweder noch ein wenig warten bis der User von selbst connectet oder einen (wenn vorhanden) weiteren Client “rausschmeißt”.

Ist der Handshake abgefangen kann auch schon aircrack-ng gestartet werden da bei einem Angriff auf eine WPA-Verschlüsselung keine IVs benötigt werden um den Schlüssel zu finden.

Aircrack-ng

Leider kommt nun der härteste Teil des Tutorials. Das Warten :-( . Aber zuerst wird noch aircrack-ng angeworfen.

aircrack-ng -w masterword.txt -h 00:01:02:03:04:05 psk\*.cap

Erklärung:

  • w - dies ist die Angabe eueres Dictionarys, in meinem Fall heißt es masterword.txt und liegt im Root-Verzeichnis
  • h - MAC des Routers (muss nicht zwangsläufig angegeben werden)
  • psk*.cap - das ist das mit airodump-ng abgefangene Päckchen in dem der Handshake hinterlegt ist.

Nun solltet noch eine Abfrage erscheinen welches Packet ihr genau verwenden wollt. Selbstverständlich gebt ihr die Nummer des gewünschten Netzwerkes ein und bestätigt dies.

So, wie schon vorab erwähnt kommt nun der härteste Teil und zwar der des Wartens. Je nachdem wie groß euer Wörterbuch und wie leistungsfähig euer Rechner ist kann es sich nur um Minuten, Stunden, Tage, Wochen, Monate, Jahre, …… handeln bis der richtige Schlüssel gefunden wurde. Oder eben auch nicht. Denn mit einer Wörterbuchattacke können nur Schlüssel ausprobiert werden die sich auch darin befinden. Von daher ist es nahezu ausgeschlossen dass ihr mit dieser Methode ein sog. “sicheres” Passwort knacken könnt z.B. dieses hier:

A0!wWoO0OoFmcxXx557!1Qlj6H4

Dieses Passwort ist noch nicht einmal besonders lang und ausgefallen, doch nahezu resistent gegen eine Wörterbuchattacke. Es sei denn ihr habt wider Erwarten dieses in eurem Wörterbuch ^^ .

Fazit

Ein Angriff mit einer Wörterbuchattacke ist nur in wenigen Fällen von Erfolg gekrönt bzw. nur in Fällen in denen der naive Besitzer des Routers ein Passwort verwendet welches in einem Wörterbuch steht. Allerdings gibt es auch Wörterbücher mit wesentlich umfangreicheren Passwörtern mit den unterschiedlichsten Kombinationen aus Buchstaben, Wörtern, Zeichen, Zahlen und Sprachen. Diese wiederum geben einen kleinen Grund zur Hoffnung den erwünschten Schlüssel doch zu finden.

Einen andere Möglichkeit den Schlüssel herauszufinden ist die bruteforce-Attacke. Doch von der möchte ich an dieser Stelle abraten da es im schlimmsten Fall Milliarden von Jahren dauern kann bis ihr das richtige Passwort gefunden bzw erraten habt.