{"id":637,"date":"2021-02-11T10:04:49","date_gmt":"2021-02-11T09:04:49","guid":{"rendered":"http:\/\/blog.r00x.at\/?p=637"},"modified":"2026-03-15T21:24:01","modified_gmt":"2026-03-15T20:24:01","slug":"wpa-wpa2-hacking-mit-pmkid","status":"publish","type":"post","link":"https:\/\/blog.r00x.at\/?p=637","title":{"rendered":"WPA2 hacking mit PMKID"},"content":{"rendered":"\n

Seit 2018 gibt es eine neue Methode das verschl\u00fcsselte Passwort von WPA\/WPA2 aufzuzeichnen. Die Methode wurde vom hashcat Team gefunden, als diese auf der Suche waren WPA3 zu hacken. Hier die Quelle.<\/a> Dabei haben Sie entdeckt, dass es nicht immer zwingend n\u00f6tig ist einen Handshake aufzuzeichnen. Es gen\u00fcgt die PMKID. Vorteil dieser Methode ist es, dass der Angriff ohne deauthen <\/strong>der Clients funktioniert und nichtmal ein Client verbunden sein muss.<\/p>\n\n\n\n

Das Tool zum aufzeichnen von PMKID findet man bei Github –> HIER<\/a>. Der Anleitung zur Installation kann man folgen. Zus\u00e4tzlich sollte man sich hxctools<\/a> ansehen. Ebenfalls eine m\u00e4chtige Sammlung an Programmen f\u00fcr den erfolgreichen Angriff auf ein WLAN Netz.<\/p>\n\n\n\n

Wenn alle verf\u00fcgbaren Pakete installiert sind, kann man mit der Aufzeichnung beginnen.<\/p>\n\n\n\n

Zun\u00e4chst m\u00fcssen kollidierende Services beendet werden.<\/p>\n\n\n\n

sudo systemctl stop NetworkManager.service\nsudo systemctl stop wpa_supplicant.service<\/pre>\n\n\n\n
Danach l\u00e4sst man sich den Namen des wlan interaces anzeigen.<\/p>\n\n\n\n
hcxdumptool -I<\/pre>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Nun zeichnet man die PMKID auf. F\u00fcr einen gezielten Angriff muss eine Filter<\/strong> (ex. filter.txt) erstellt werden.<\/p>\n\n\n\n
sudo hcxdumptool -i wlx00c0ca978743 -o target.pcapng --filtermode=1 --filterlist_ap=filter.txt --enable_status=1\n\n# filtermode=1\t\tschlie\u00dft angegebene BSSID's (MAC-Adr.) aus\n# filtermode=2\t\tgreift nur diese BSSID's (MAC-ADr.) an\n# filterlist_ap=filter.txt\tFORMAT: 001122334455<\/pre>\n\n\n\n
Schon beginnt die Aufzeichnung. In meinem Fall habe ich keine Filter angegeben (somit l\u00e4sst man die Filtermode Option einfach weg und es werden alle PMKID aufgezeichnet. Die Ausgabe sieht nach dem Start so aus<\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Nach einigen Minuten kann man die Aufzeichnung (mit Strg+C) beenden. Man sieht das Tool hat mehrere Netzwerke aufgezeichnet.<\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
DIe erstellte Datei (in meinem Fall target.pcapng) kann man bei einem Online WPA PSK Auditor<\/a> hochladen. Die hinzugef\u00fcgten Netze werden durch die Community versucht zu cracken. Auf der Seite kann man die verwendeten Wordlists <\/a>einsehen. <\/p>\n\n\n\n
Auf der Hauptseite werden die hinzugef\u00fcten Netze angezeigt. Ohne „Key“ sieht man nur, dass des Passwort gefunden wurde.<\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Wurde das Passwort gefunden und loggt sich mit seinem Key ein (welchen man per E-Mail bekommt). Kann man sich das Passwort im Klartext ansehen. (Anm.: Habe meinen Key vom Bild entfernt!)<\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Um das Passwort selbst zu cracken, muss die Datei in ein hashcat kompatibles Format gebracht werden. Dazu ist noch ein weiterer Schritt n\u00f6tig.<\/p>\n\n\n\n
sudo hcxpcaptool -z out.16800 target.pcapng\nsudo hcxpcapngtool --all -o out.22000 -E wl -I wl -U wl target.pcapng<\/pre>\n\n\n\n
\"\"<\/a>
Ausgabe vom 16800 Hash<\/figcaption><\/figure>\n\n\n\n
\"\"<\/a>
Ausgabe vom 22000 Hash<\/figcaption><\/figure>\n\n\n\n
Zum Zeitpunkt des Blogeintrages, kann man den Hashmode -m 22000 nur mit der Beta Version von hashcat verwenden. Anbei noch das Beispiel zum cracken des Hashes (genau gleich funktioniert dies auch f\u00fcr den -m 22000 Hashmode)<\/p>\n\n\n\n
hashcat.exe -m 16800 -a 0 out.16800 wordlist.txt<\/pre>\n\n\n\n
W\u00e4hrend hashcat l\u00e4uft, kann man mit der Taste s<\/strong> den aktuellen Status anzeigen.<\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Falls das Passwort in der Wordlist vorkommt wird dies inkl. der passenden SSID ausgegeben.<\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Im Beispiel sieht man Madness:kukok246 – ersteres ist die SSID des Routers darauf folgend  das zugeh\u00f6rige Passwort.<\/p>\n\n\n\n
Sollte man das Fenster geschlossen haben, ohne sich das Passwort zu speichern, kann man mittels Befehl nochmal das Passwort ausgeben lassen. (hashcat speichert alle Ergebnisse)<\/p>\n\n\n\n
hashcat.exe -m 16800 --show out.16800<\/pre>\n\n\n\n
\"\"<\/a><\/figure>\n","protected":false},"excerpt":{"rendered":"
Seit 2018 gibt es eine neue Methode das verschl\u00fcsselte Passwort von WPA\/WPA2 aufzuzeichnen. Die Methode wurde vom hashcat Team gefunden, als diese auf der Suche waren WPA3 zu hacken. Hier die Quelle. Dabei haben Sie …<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-637","post","type-post","status-publish","format-standard","hentry","category-pentest"],"_links":{"self":[{"href":"https:\/\/blog.r00x.at\/index.php?rest_route=\/wp\/v2\/posts\/637","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.r00x.at\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.r00x.at\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.r00x.at\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.r00x.at\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=637"}],"version-history":[{"count":9,"href":"https:\/\/blog.r00x.at\/index.php?rest_route=\/wp\/v2\/posts\/637\/revisions"}],"predecessor-version":[{"id":755,"href":"https:\/\/blog.r00x.at\/index.php?rest_route=\/wp\/v2\/posts\/637\/revisions\/755"}],"wp:attachment":[{"href":"https:\/\/blog.r00x.at\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=637"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.r00x.at\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=637"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.r00x.at\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=637"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}