Dissecando e atacando o WPA com o Aircrack
Olá, viajante! Nesse artigo, trago um estudo prático de todos os estágios da autenticação e invasão a uma rede Wi-Fi através de um ataque de força bruta, utilizando a suite do Aircrack. Enjoy!
Last updated
Olá, viajante! Nesse artigo, trago um estudo prático de todos os estágios da autenticação e invasão a uma rede Wi-Fi através de um ataque de força bruta, utilizando a suite do Aircrack. Enjoy!
Last updated
Para realizar este ataque, precisaremos de um adaptador de rede sem fio adicional, para que possamos utilizar o modo Monitor.
Antes de falarmos sobre o ataque em si, vamos falar um pouco sobre o protocolo. O WPA (Wi-Fi Protected Access) surgiu com o objetivo de substituir o antigo WEP (Wired Equivalent Privacy), ao qual possui diversas vulnerabilidades. O processo de autenticação em redes WPA funciona através do WPA 4-Way Handshake, que consiste numa "conversação" inicial entre uma estação e um roteador, para que a conexão seja estabelecida com segurança.
Durante o processo de conexão de um ativo a uma rede sem fio com criptografia WPA, existe uma troca de mensagens que precisa ser estabelecida para que a conexão seja bem-sucedida. Esse processo é chamado de WPA 4-Way Handshake:
O processo do WPA 4-Way Handshake funciona da seguinte forma:
No primeiro estágio do aperto de mão, a estação envia uma solicitação de conexão ao roteador.
Nesse estágio, o roteador envia um desafio (nonce) aleatório para a estação. O nonce nesse caso é um valor único, que será utilizado nas duas próximas etapas para a criação das chaves de criptografia. O cliente também envia um nonce gerado a partir do para o ponto de acesso.
Aqui, a estação recebe o nonce enviado pelo roteador e utiliza a senha fornecida pelo usuário. A partir da senha fornecida, também é calculada a chave de pré-compartilhamento (PSK), que é utilizado como um segredo compartilhado entre a estação e o ponto de acesso. Também é enviado pela estação um valor chamado PMK (Pairwise Master Key), gerado a partir do cálculo da PSK.
No estágio final, o ponto de acesso também calcula o PMK utilizando a senha e o nonce enviados pela estação, realiza a comparação entre os dois PMK e, se eles coincidirem, a autenticação é bem-sucedida.
Agora que temos o contexto de como funcionam as conexões em redes Wi-Fi WPA, prosseguimos para o ataque. Aqui, podemos capturar o WPA 4-Way Handshake, provocado por um processo de desautenticação (deauth) de uma ou mais estações e, em seguida, utilizarmos os pacotes que interceptamos e capturamos para tentar quebrar a senha através de um ataque de força bruta.
Nesse estágio, primeiramente, configuraremos a interface de rede em modo Monitor:
Após isso, utilizaremos a ferramenta Airodump-NG para monitorar os pontos de acesso próximos no modo 5GHz:
Para nosso estudo, utilizaremos a rede Sgoluc Lab. Agora que já identificamos nosso ponto de acesso alvo, devemos realizar um novo Airodump-NG, filtrando pelo BSSID e canal atuais da rede selecionada:
Agora, podemos forçar um ataque de deauth, para que a estação identificada na última linha do print acima seja desconectada e conectada novamente ao roteador e consigamos capturar o WPA 4-Way Handshake (EAPOL):
A partir do momento em que desautenticamos propositalmente o ativo e ele se reconecta ao ponto de acesso, podemos capturar o WPA 4-Way Handshake (indicado no campo Notes como EAPOL):
Após a captura do WPA 4-Way Handshake, podemos parar o Airodump-NG e analisar os pacotes capturados via Wireshark.
Agora, filtramos por pacotes do protocolo EAPOL:
Agora, utilizamos o Aircrack-NG para tentar quebrar a senha contida na conversação acima utilizando um dicionário de senhas:
Peace!
