Sie sind auf Seite 1von 4

AirCrack oder coWPAtty auch auf jeder beliebigen Linux-Installation einrichten �

Kali hat den Vorteil, dass quasi alles an Bord ist. Die Distribution l�sst sich
auch innerhalb virtueller Systeme wie VMware oder VirtualBox nutzen. Der Login ist
�>>> root <<< �, das Passwort ist>>> toor <<< .

>>> iwconfig <<< ein, das zeigt Ihnen ob die WLAN-Karte erkannt wurde und aktiv
ist. Per

>>> airmon-ng start wlan0 <<<

(letzteres ist der Karten-Name) startet der Monitoring-Modus. Dieser l�uft parallel
zur bestehenden Karte und tr�gt meist �mon� im Namen, unser Testsystem hie�
wlan0mon. Es kann dabei sein, dass der Netzwerk-Manager von Linux Probleme macht,
notfalls k�nnen Sie alle st�renden Prozesse per

>>> airmon-ng check kill <<<

F�r einen Angriff ben�tigt man drei Dinge:

1. Eine Liste mit m�glichen Passw�rtern;

2. Die BSSID des anzugreifenden Access Points;

3. Einen mitgeschnittenen Handshake;

Die Crux ist Punkt 1, eine gute Passwortliste ist der Stolz jedes Hackers.
Gl�cklicherweise gibt es den Daniel Miessler, der auf Github eine umfangreiche
Sammlung an ins Web geleakter Zugangsdaten kuratiert. Eigene Listen lassen sich
beispielsweise mit Tools wie �crunch� oder �CeWL� erstellen.

maskprocessor A?u?u?u?u?u?u?u -o/usr/a.txt


maskprocessor B?u?u?u?u?u?u?u -o/usr/b.txt
maskprocessor C?u?u?u?u?u?u?u -o/usr/c.txt
usw usw
maskprocessor A?u?u?u?u?u?u?u --combinations

Ist eine Liste vorhanden, geht es an die n�chste Aufgabe, das Herausfinden der
anzugreifenden BSSID. Das erledigt der Befehl

>>> airodump-ng wlan0mon <<<

Dieser sucht nach nach alle aktiven WLAN Access Points in Reichweite. Daraus gibt
es einige interessante Informationen: Neben der BSSID zeigt CH den genutzten
Funkkanal. ENC gibt einen Aufschluss �ber die genutzte Verschl�sselung, AUTH zeigt
zudem die Authentifizierung (PSK steht f�r Pre-Shared Key, MGT taucht auf, wenn
zus�tzliche Verwaltungssysteme zum Einsatz kommen).

Damit zum wichtigsten, dem Handshake. Airodump-ng kann diesen direkt mitschneiden
wenn sich ein Ger�t neu am WLAN anmeldet und in eine *.cap-Datei schreiben. Der
passende Befehl lautet:

>>> airodump-ng --bssid 00:00:00:00:00:00 -c 11 --write Logdatei wlan0mon <<<

Die Werte f�r bssid und c lassen sich aus dem ersten airodump-ng-Ergebnis auslesen,
wlan0mon steht f�r den Namen der Monitoring-Karte.

Nun kann man warten, bis sich ein Nutzer neu verbindet � oder aktive Ger�te zum
Neuverbinden zwingen. Dazu nutzt man eine Deauthentication-Attacke. Diese kickt
verbundene Ger�te vom jeweiligen Access Point � sobald sie sich neu verbinden, wird
der Handshake eingefangen. Der Befehl dazu lautet:

>>> aireplay-ng --deauth 100 -a 00:00:00:00:00:00 wlan0mon <<<

Auch hier muss die BSSID hinter dem -a-Argument eingegeben werden.

Sobald das Programm erfolgreich ist, taucht die Option �WPA handshake� oben rechts
in airodump-ng auf. Dann l�sst sich das Tool via STRG+C beenden, ein Handshake
reicht v�llig. Normalerweise sollte das innerhalb weniger Minuten erledigt sein,
vor allem wenn die Deauthentication-Attacke genutzt wird.

Im letzten Schritt wird der eingefangene Handshake gegen die Passwortliste gepr�ft.
Ist das Kennwort darin enthalten, kann aircrack den Hash des Handshakes aufl�sen
und das Kennwort im Klartext zeigen. Der Befehl dazu ist:

>>> aircrack-ng handshake.cap -w /Pfad/Zur/Passwortliste <<<

aircrack-ng -a 2 -b bssid -w pfad passwortliste pfad handshake

Danach hei�t es warten � je nachdem wie gut die Liste ist, desto eher findet das
Tool das passenden Kennwort. Ein Anhaltspunkt: Die virtuelle Maschine im Test
konnte 2372,58 Keys pro Sekunde testen. Dedizierte Systeme kommen in die Millionen.
Dennoch: Ist der Key nicht Teil der Passwortliste, findet ihn selbst das schnellste
System nicht.
coWPAtty � Alternative zu aircrack

CoWPAtty ist eine Alternative zu aircrack. Das Tool erreicht eine h�here
Geschwindigkeit, da es unter anderem direkt mit Hash-Werten arbeiten kann. Das kann
den eigentlichen Knack-Vorgang beschleunigen, passende Listen bietet beispielsweise
die Church of WiFi zum Download an. Gerade f�r Attacken auf Netzwerke mit reiner
WPA-Verschl�sselung eignet sich coWPAtty sehr gut. Das Programm ben�tigt wie
aircrack-ng einen aufgezeichneten Handshake. Der Crack-Versuch startet mit dem
Befehl:

>>> cowpatty -f /PFAD/ZUR/PASSWORTLISTE/ -r /PFAD/ZUM/HANDSHAKE.cap.cap -s WLAN-


SSID <<<
WPS � M�gliche Hintert�r ins WLAN

Eine M�glichkeit, den Zugang ohne Passwortliste zu bekommen, ist eine Schwachstelle
im Wi-Fi Protected Setup (WPS). 2011 wurde eine Schwachstelle in der
Implementierung festgestellt, bei der sich in wenigen Minuten das Kennwort
herausfinden l�sst. Kali bringt die notwendigen Tools, Reaver oder PixiWPS sowie
das Schn�ffeltool wash mit. Wash zeigt �ber den Befehl

>>> wash -i wlan0mon <<<

alle Access Points im Umkreis, die sich per Reaver oder PixiWPS attackieren lassen.

Reaver ist einfach zu nutzen, das Tool ben�tigt lediglich die BSSID des
anzugreifenden Access Points, danach l�uft es automatisch ab (mehr Informationen
dazu finden Sie in diesem Artikel). Inzwischen haben die meisten Hersteller ihre
Ger�te gegen die Attacken gesch�tzt, entsprechend sind erfolgreiche Angriffe per
Reaver oder PixiWPS eher ein Gl�cksfall als eine zuverl�ssige Alternative.

Step 1: Find the Cowpatty

Cowpatty is one of the hundreds of pieces of software that are included in the
BackTrack [Download] and Kali [Download] OS�s. If you are using a different Distro,
you can download and install coWPAtty Here. For this demo, I will be using
BackTrack. For some reason in BackTrack, it was not placed in the /pentest/wireless
directory, but instead was left in the /usr/local/bin directory, so let�s navigate
there.

>>> cd /usr/local/bin <<<

Because cowpatty is in the /usr/local/bin directory and this directory should be in


your PATH, we should be able to run it from any directory in BackTrack.
Step 2: Find the Cowpatty Help Screen

To get a brief rundown of the cowpatty options, simply type:

>>> cowpatty <<<

BackTrack will provide you a brief help screen. Take a note that cowpatty requires
all of the following:

a word list
a file where the password hash has been captured
the SSID of the target AP

Step 3: Find the AP

Just as in cracking with aircrack-ng, we need to put the wireless adapter into
monitor mode.

>>> airmon-ng start wlan0 <<<

Now, look at the available APs using the monitor interface and airodump:

>>> airodump-ng mon0 <<<

leave this screen by hitting CTRL+C

Step 4: Start a Capture File

Next, we need to start a capture file where the hashed password will be stored when
we capture the 4-way handshake.

>>> airodump-ng �bssid 00:25:9C:97:4F:48 -c 9 -w cowcrack mon0 <<<

This will start a dump on the selected AP (00:25:9C:97:4F:48), on the selected


channel (-c 9) and save the the hash in a file named cowcrack.
Step 5: Capture the Handshake

Now when someone connects to the AP, we�ll capture the hash and airdump-ng will
show us it has been captured in the upper right-hand corner. Some people just wait
for a computer to connect. Other people send DEAUTH packets to kick them off the
wifi, and then they automatically connect again, at which time you will capture the
handshake. I may cover this tomorrow or the next day.

Step 6: Run the Cowpatty

Now that we have the hash of the password, we can use it with cowpatty and our
wordlist to crack the hash.

>>> cowpatty -f /pentest/passwords/wordlists/darkc0de.lst -r /root/cowcrack-


01.cap -s Mandela2 <<<

As you can see in the screenshot above, cowpatty is generating a hash of every word
on our wordlist with the SSID as a seed and comparing it to the captured hash. When
the hashes match, it dsplays the password of the AP.
Step 7: Make Your Own Hash

Although running cowpatty can be rather simple, it can also be very slow. The
password hash is hashed with SHA1 with a seed of the SSID. This means that the same
password on different SSIDs will generate different hashes. This prevents us from
simply using a rainbow table against all APs. Cowpatty must take the password list
you provide and compute the hash with the SSID for each word. This is very CPU
intensive and slow.

Cowpatty now supports using a pre-computed hash file rather than a plain-text word
file, making the cracking of the WPA2-PSK password 1000x faster! Pre-computed hash
files are available from the Church of WiFi [ Link ], and these pre-computed hash
files are generated using 172,000 dictionary file and the 1,000 most popular SSIDs.
As useful as this is, if your SSID is not in that 1,000, the hash list really
doesn�t help us. Plus rainbow tables are Gargantuan to download!

In that case, we need to generate our own hashes for our target SSID. We can do
this by using an application called genpmk. We can generate our hash file for the
�darkcode� wordlist for the SSID �Mandela2� by typing:

>>> genpmk -f /pentest/passwords/wordlists/darkc0de.lst -d hashes -s Mandela2


<<<

Step 8: Using Our Hash

Once we have generated our hashes for the particular SSIDs, we can then crack the
password with cowpatty by typing:

>>> cowpatty -d hashfile -r dumpfile -s ssid <<<

Stay Tuned for More Wireless Hacking Guides

Keep coming back for more on Wi-Fi hacking and other hacking techniques!