Введение
Поскольку Android базируется на ядре Linux, в нем вполне могут работать утилиты из традиционных дистрибутивов Linux (в том числе специализированные программы для тестов на проникновение). Надо всего лишь параллельно запустить привычный дистрибутив (например, Kali Linux ARM) в изолированной среде.
Решается эта задача с помощью системной утилиты chroot и приложений, использующих ее возможности. Она создает отдельный корневой каталог и позволяет запустить две ОС одновременно — например, Android и Kali Linux, каждую в своем окружении. Однако дальше пентестера ждут неприятные сюрпризы.
Все программы, требующие использования внешних устройств и патчей уровня ядра, откажутся работать. К примеру, ты без проблем запустишь на смартфоне Aircrack-ng, Reaver или тот же Wifite через Linux Deploy, но не сможешь ничего сделать с ними «в прямом эфире» — только анализировать ранее перехваченные хендшейки с черепашьей скоростью.
Происходит так потому, что на встроенный в смартфоны модуль Wi-Fi обычно нет открытых спецификаций и написание драйвера с поддержкой режима мониторинга для него максимально затруднено. Любой внешний адаптер (даже из списка заведомо подходящих) тоже вряд ли заведется в дистрибутиве Linux, запущенном на смартфоне с использованием chroot.

Поэтому, если ты хочешь использовать Kali Linux на первом попавшемся смартфоне, простым монтированием образа в Linux Deploy не обойтись. Необходимо также найти драйверы, выполнить их кросс-компиляцию, пропатчить ядро и совершить прочие увлекательные действия с довольно высоким уровнем красноглазия.
Я же предлагаю пойти более простым путем и воспользоваться готовой сборкой Kali Linux, специально созданной для мобильных устройств. Она называется NetHunter и уже содержит все необходимые компоненты.
Я перехватил хендшейк. что с ним делать?
Четырехстороннее рукопожатие записывается скриптом Wifite2 в файл с расширением .cap.

TCPdump, Wireshark, Nmap и другие программы используют формат .pcap. Хендшейк PMKID будет иметь формат .16800.
По умолчанию Wifite использует для подбора паролей Aircrack-ng. Он отправляет команду вида
aircrack-ng yourhandshake.cap -w /yourwordlist.txt
В простейших вариантах этого достаточно, однако чаще приходится конвертировать хендшейки с помощью hcxtools, чтобы скормить одной из продвинутых утилит для перебора паролей. Например, John the Ripper или hashcat.
Установка Kali в VirtualBox
Устанавливаем последнюю версию VirtualBox и скачиваем Kali Linux VirtualBox 64-Bit (OVA) или 32-Bit. Запускаем VirtualBox и нажимаем на кнопку Импортировать.

Выбираем образ Kali Linux, назначаем количество ядер и ОЗУ для виртуальной машины и нажимаем на кнопку Импорт.

. Разница между WPA2 и WPA3
В июле 2022 года Wi-Fi Alliance выпустил протокол беспроводной безопасности WPA3. Посмотрим, чем он отличается от своего предшественника.
Недостатки WPA2:
- уязвим к взлому через WPS;
- возможен перехват рукопожатий и получение пароля с помощью брутфорса;
Преимущества WPA3 в сравнении с WPA2:
- устранена уязвимость четырехстороннего рукопожатия за счет применения технологии SAE (Simultaneous Authentication of Equals), которая защищает от офлайн атак по словарю.
- поддержка PMF (Protected Management Frames) для контроля целостности трафика;
- шифрование 192 бит в режиме WPA3-Enterprise и 128 бит в WPA3-Personal;
- упрощенная настройка IoT-устройств.
Недостатки WPA3:
- уязвим к взлому через WPS. [2]
Общее уязвимое место у WPA 2 и 3 – WPS (Wi-Fi Protected Setup).
Мониторинг сети
Если к компьютеру подключен USB Wi-Fi адаптер, включим его следующим образом: Устройства → USB → MediaTek 802.11 n WLAN. Название Wi-Fi адаптера может отличаться.

Узнаем имя Wi-Fi адаптера с помощью команды ifconfig или ip a.

ifconfigВ нашем случае адаптер называется wlan0.
Сначала отключим ненужные процессы:
sudo airmon-ng check killЗатем переключим адаптер в режим мониторинга:
sudo airmon-ng start wlan0Запустим bettercap следующей командой:
sudo bettercap --iface wlan0Начнем «слушать» Wi-Fi, введя в терминал wifi.recon on.

Для просмотра списка обнаруженных сетей введем wifi.show.

Получение рукопожатий
Выберем цель – точка доступа NX531J. Попробуем получить рукопожатия (англ. handshake) между точкой доступа NX531J и подключенным к ней устройством. Ждем, когда клиент отключится и подключится снова, либо принудительно отключим егокомандой деаутентификации:wifi.deauth MAC-адрес точки доступа
MAC-адрес – уникальный идентификатор сетевого устройства. Его значение берем из столбца BSSID. В нашем случае: wifi.deauth 90:c7:aa:bb:cc:dd.
Повторяем эту команду, пока не перехватим рукопожатия.
wifi.deauth * и wifi.deauth all отключают все устройства на всех точках доступа.

Выбор нужных рукопожатий
Чтобы выбрать интересующие нас рукопожатия и экспортировать их в отдельный файл, нам понадобится программа для анализа сетевых протоколов WireShark.
В Ubuntu установим WireShark:
sudo apt install wiresharkВведем в терминале команду wireshark. Откроется программа с графическим интерфейсом. Нажмем Сtrl O и откроем файл с рукопожатиями bettercap-wifi-handshakes.pcap
Отфильтруем данные по мак-адресу wlan.addr==90:c7:aa:bb:cc:dd и отсортируем по времени, кликнув по столбцу Time. Также можно отсортировать по номеру No..

Как видно, мы получили первое, второе и третье рукопожатия. Выделим все рукопожатия EAPOL, файл с именем сети SSID (в нашем случае это Association Request) и нажмем File → Export Specified Packets.

Откроется диалоговое окно, в котором выберем Selected packets only и сохраним файл под названием hs.pcap.

Alfa awus052nh в качестве точке доступа
При написании статьи «Создание мошеннической Wi-Fi точки доступа» в качестве AP я как раз использовал Alfa AWUS052NH
Это мощная трёх антенная машинка, на момент покупки была одной из лучших. Моя сеть называется MiAl, если вы читали инструкцию про мошенническую точку доступа, то знаете, что свою сеть я называл sasha. Мой эксперимент был очень прост – я удалялся от дома и делал скриншоты телефона с доступными Wi-Fi сетями.
На этом я только вышел из подъезда, обе сети доступны, но у Alfa AWUS052NH
Постепенно удаляюсь, сигнал на прежнем уровне, чуть изменился порядок ТД:
Аналогично:
В какой-то момент моя ТД перестала быть видимой, а Alfa AWUS052NH
Замечания и дополнения к этому материалу приветствуются в комментариях.
Связанные статьи:
Kasens n9600
Помимо альфы вполне работоспособны изделия фирмы KASENS, например N9600, хотя он крупнее по сравнению с альфой. Эта модель Wi-Fi адаптера подойдет для стационарной установки.
Адаптер KASENS N9600 150Mbps High Power 6600MW USB Wireless WiFi с 80DBI антеннойЭто USB-адаптер Wi-Fi, встроенная в том же корпусе, как Wi-Fi антенны с высоким коэффициентом усиления, прикрепленной к удлинителем длиной USB. Compliant IEEE 802.11 г / б / н технологии. Оснащен кабелем USB 5 метров. Скорость Передающая поддержки 150Mbps, стабильный и прочный.
Нормальный вполне себе вайфай адаптер на вардрайверском чипе Ralink 3070L
Купить KASENS N9600
У этого адаптера довольно качественная панельная антенна, поэтому его можно рекомендовать для разведки радиоэфира. На практике девайс радует чувствительностью приема. Там, где на другие адаптеры ловится от силы двадцать хотспотов, он легко находит больше пятидесяти, особенно если его медленно вращать на манер радара.
Ну вот теперь вы знаете чем взломать WiFi. В следующей статье мы поговорим о софте для взлома сетей.
Весь приведенный выше материал опубликован с целью ликвидации безграмотности населения в области безопастности сетей, а не как руководство к действию. Помните что взлом частной сети — ПРЕСТУПЛЕНИЕ!
Предыдушая статья: Взлом WiFi пароля начало. Термины и понятия.
Следующая статья: Взлом WiFi пароля — софт. Программа для взлома WiFi
Nethunter
Kali NetHunter — это облегченный Kali Linux для смартфонов, который можно установить поверх обычной прошивки устройства. Кроме самих утилит Kali, NetHunter содержит набор драйверов для беспроводных адаптеров, а также модифицированное ядро Linux с поддержкой модулей ядра и патчами для корректной работы Aircrack-ng.

Официально работа NetHunter гарантируется на следующих устройствах:
- смартфонах и планшетах серии Nexus (Nexus 4 (mako), 5 (hammerhead), 5x (bullhead), 6 (shamu), 6P (angler), 7 2022 (flo), 9 (flounder), 10 (manta));
- смартфонах OnePlus (OnePlus One (oneplusl), 2 (oneplus2), 3 и 3T (oneplus3), X (oneplusx));
- смартфонах Samsung серии Galaxy (Note 3 (hlte), S5 (kite), S7 (herolte), S7 edge (hero2lte));
- смартфонах LG (G5 T-Mobile (h830), G5 International (h850), V20T-Mobile(h918), V20 US Unlocked (us996))
- смартфонах HTC One M7GPE (onem7gpe) и HTC 10 (htc.pmewl);
- смартфонах Sony Xperia ZR (dogo) и Sony Xperia Z (yuga);
- планшетах Nvidia SHIELD (shieldtablet) и SHIELD tablet K1;
- смартфоне ZTE Axon 7 (ailsa_ii).
Wi-fi адаптер для взлома wps
В настоящее время программы для взлома WPS (Reaver, Bully, Penetrator-WPS) не работают с чипсетами Ralink и Intel – непрерывно возникает ошибка «WARNING: Failed to associate with». Например, не получиться взломать WPS такими картами как:
Тем не менее, для всех этих карт имеется решение проблемы для работы с Reaver. Смотрите «Решение проблем Reaver: WARNING: Failed to associate with и WPS transaction failed (code: 0x03), re-trying last pin».
Некоторые из этих карт (Alfa AWUS036NHBully.
Без всяких ухищрений хорошо взламывает WPS карта Alfa AWUS036NHA
Адаптер alfa awus052nh для kali linux
Появилась новая двухчастотная беспроводная карта Alfa AWUS052NHAlfa AWUS051NH
Атака по словарю на пароль wi-fi
Теперь нам нужно запустить перебор данных.
Подготовим словарь:
cp /usr/share/wordlists/rockyou.txt.gz . gunzip rockyou.txt.gz cat rockyou.txt | sort | uniq | pw-inspector -m 8 -M 63 > newrockyou.txt
Файл словаря в этом случае называется newrockyou.txt.
Чтобы узнать имя захваченного рукопожатия выполните команду:
ls -l capture*
При этом будет выведено что-то вроде следующего (записей может быть больше, если вы неоднократно захватывали рукопожатия):
-rw-r--r-- 1 root root 73164 сен 30 08:24 capture-01.cap -rw-r--r-- 1 root root 478 сен 30 08:24 capture-01.csv -rw-r--r-- 1 root root 583 сен 30 08:24 capture-01.kismet.csv -rw-r--r-- 1 root root 2766 сен 30 08:24 capture-01.kismet.netxml
Нас интересует только файл capture-01.cap – именно он содержит рукопожатие.
Для перебора по словарю используется следующая команда:
aircrack-ng -w ФАЙЛ_СЛОВАРЯ ФАЙЛ_ЗАХВАТА
Итак, в моём случае точная команда следующая:
aircrack-ng -w newrockyou.txt capture-01.cap
Эта команда запускает подбор пароля, в процессе перебора показывается следующее окно:
Пароль подобран:
Об этом говорит запись KEY FOUND! [ pattayateam ], в которой паролем от Wi-Fi сети является pattayateam. Используя этот пароль можно подключиться к беспроводной точке доступа с любого устройства (компьютера, телефона) как это делают другие легитимные пользователи.
Выполнение атаки деаутентификация
Для выполнения деаутентификации, не прекращая записи трафика, запущенного на предыдущем этапе, откройте новое окно консоли и введите туда команду вида:
sudo aireplay-ng -0 3 -a MAC_АДРЕС ИНТЕРФЕЙС
Где:
- MAC_АДРЕС – это BSSID атакуемой ТД
- ИНТЕРФЕЙС – имя беспроводного интерфейса в режиме монитора
В моём случае команда выглядит так:
sudo aireplay-ng -0 3 -a 00:1E:58:C6:AC:FB wlan0
Программа выведет примерно следующее:
08:17:30 Waiting for beacon frame (BSSID: 00:1E:58:C6:AC:FB) on channel 6 NB: this attack is more effective when targeting a connected wireless client (-c <client's mac>). 08:17:30 Sending DeAuth to broadcast -- BSSID: [00:1E:58:C6:AC:FB] 08:17:30 Sending DeAuth to broadcast -- BSSID: [00:1E:58:C6:AC:FB] 08:17:31 Sending DeAuth to broadcast -- BSSID: [00:1E:58:C6:AC:FB]
А в правом верхнем углу экрана для захвата данных появится новая запись:
WPA handshake: 00:1E:58:C6:AC:FB
Она означает, что рукопожатие успешно захвачено.
Зачем покупать дополнительную беспроводную карту для kali linux
Мне повезло, встроенный в мой ноут Wi-Fi приёмник весьма неплох, несмотря на то, что ноут я покупал 4 года назад, а самой модели уже вообще лет 5-6, моя беспроводная карта поддерживает беспроводной стандарт N, является двухчастотной (поддерживает 2,4 ГГЦ и 5 ГГц), прекрасно работает в режиме монитора и способна на инжект. Тем не менее, покупка отдельной Wi-Fi имеет ряд существенных преимуществ:
- мощность, если сравнивать встроенные в ноутбук и хорошую отдельную карту, то последняя окажется мощнее раз в 5 (цифры примерные, в ноутах разные карты и USB карты тоже не одинаковые)
- возможность поменять/подключить внешнюю антенну, в том числе направленную
- имея USB карту, можно работать из виртуальной машины (VirtualBox), в противном случае, вам нужно загружаться с флешки или устанавливать Kali Linux в качестве второй системы
- некоторые программы для работы требуют две беспроводные карты
Как автоматизировать аудит точек доступа wi-fi?
Порог вхождения для обучения взлому WiFi постоянно снижается. За последние пару лет снова выросла подборка простых и эффективных утилит, автоматизирующих выполнение большинства типов атак по каналам беспроводной связи. Когда-то в Kali (тогда еще BackTrack) были только сырые скрипты, а сейчас глаза разбегаются от обилия готовых инструментов.
Сегодня даже не обязательно начинать с изучения Aircrack-ng — пакета, на котором основаны практически все инструменты взлома Wi-Fi. Быстро получить практический результат помогут скрипты WiFi-autopwner от Алексея Милосердова и Wifite2 от Derv Merkler (псевдоним программиста из Сиэтла).
Мне нравятся оба скрипта, но привычнее Wifite2 и его народный форк. Он грамотно использует дополнительные утилиты для повышения эффективности аудита и позволяет автоматически выполнять пять самых распространенных типов атак на все сразу или только на указанные точки доступа.
Wifite2 применяет bully, tshark и reaver для выполнения атак на WPS методом PixieDust или перебором пинов. Он использует coWPAtty и pyrit для проверки хендшейков, захваченных во время атаки на WPA(2), и реализует новую атаку на PMKID с использованием hashcat.

Все типы атак уже отсортированы по скорости выполнения. Сначала для выбранной точки доступа используются самые быстрые (WPS, WEP, PMKID), а в случае неудачи скрипт переходит к следующим вариантам. Более того, при включении режима verbose -vv в терминале выводятся все использованные команды и их результат. По сути, это режим обучения и отладки.
Как использовать на ноуте linux, не удаляя windows?
Разработчики не рекомендуют устанавливать Kali на жесткий диск, хотя технически вариант с мультизагрузкой вполне реализуем через тот же GRUB. Просто границы законных действий во время аудита очень размыты, и ради вашей же безопасности лучше использовать режим Live Persistence.
На мой взгляд, карта памяти удобнее флешки, так как она не занимает порт USB и не торчит под рукой. Порты (особенно с раздельным питанием) всегда в дефиците на ноутбуках. Выберайте карточку хотя бы с маркировкой Class 10 (заявленная скорость линейной записи 10 Мбайт/с), а лучше — UHS-I V30 и шустрее (если встроенный картридер ее поддерживает).
Как определить, в каком режиме беспроводная карта
Чтобы контролировать процесс, давайте для начала научимся определять, в каком режиме беспроводная карта. Это можно сделать командой:
iwconfig
root@HackWare:~# iwconfig eth0 no wireless extensions. wlan0 IEEE 802.11abgn ESSID:off/any Mode:Managed Access Point: Not-Associated Tx-Power=15 dBm Retry short limit:7 RTS thr:off Fragment thr:off Encryption key:off Power Management:off lo no wireless extensions.
В моём случае, два интерфейса (eth0 и lo) не имеют беспроводных расширений (no wireless extensions.), они нас не интересуют и к ним мы возвращаться не будем. Нас интересует wlan0. Из всей приведённой информации, в настоящее время, для нас является важной строка Mode:Managed. Это означает, что беспроводная карта находиться в управляемом режиме.
Как переключиться в диапазон 5 ггц?
Сначала нужно подключить Wi-Fi-адаптер с поддержкой 5 ГГц и оснастить его подходящей антенной (они тоже делаются для разных диапазонов). Затем просто запустите Wifite с ключом -5, и увидите пятигигагерцевые точки доступа. Обычно их гораздо меньше, чем 2,4 ГГц.

Как подключить нестандартную антенну?
На практике антенны приходится менять, поэтому выбирать стоит адаптер с разъемом для подключения внешней антенны. Проблема в том, что они бывают разные и не подходят друг к другу. Обычно для оборудования внутри помещений применяется миниатюрный разъем RP-SMA, а у более мощных «уличных» адаптеров типа Alfa Tube-UNA — большое гнездо N-Type.
Подружить их помогают коаксиальные переходники. Выбирайте максимально качественные, иначе сильно ухудшится соотношение сигнал/шум (SNR). На фото показан переходник N-Type — RP-SMA. Я использовал его для подключения антенн ARS-N19 и APA-M25 к Alfa Tube-UNA со встроенным усилителем сигнала.

Как сделать загрузочную флешку с kali и разделом persistence?
Для этого на USB Flash или SD-карточке нужно создать два раздела. Один будет FAT32 для запуска ОС — на него распаковывается образ с kali.org. Второй раздел — ext3 для сохранения настроек, собственных файлов и сессионных изменений.
Windows не умеет работать с флешками, на которых больше одного раздела, и не поддерживает ext3. Однако в ней такая разметка элементарно делается бесплатной утилитой Rufus. Главное — запускать обычную версию (не portable).

Как составить свой словарь?
Сначала я собрал коллекцию словарей из разных источников. Это были предустановленные словари в программах для перебора паролей, каталог /usr/share/worldlists/ в самой Kali Linux, базы утекших в Сеть реальных паролей от разных аккаунтов и подборки на профильных форумах.

На следующем этапе я объединил их в один, удалив явные повторы, после чего запустил утилиту PW-Inspector для очистки объединенного словаря от мусора. Поскольку пароль для WiFi может быть от 8 до 63 символов, я удалил все записи короче 8 и длиннее 63 знаков.
cat * > alldicts | sort | uniq pw-inspector -i alldicts -m 8 -M 63 > WPAMegaDict
Затем я подумал, что получился слишком большой файл, который можно сократить сильнее без явного ущерба для эффективности перебора. Вы видели в реальной жизни пароли Wi-Fi длиннее 16 символов? Вот и я не видел.
pw-inspector -i WPAMegaDict -m 8 -M 16 > WPADict_8-16
Какая лучшая wi-fi карта для вардрайвинга?
На этот вопрос не получится ответить однозначно, чтобы не вызвать споры. Я для себя на современном этапе выбрал Alfa AWUS052NH
- отлично подходит для целей тестирования на проникновение беспроводных сетей с Kali Linux: поддерживает режим монитора, инъекции
- хорошая чувствительность в отношении тех ТД, которые она видит, это является важным для самой главной атаки – захват рукопожатия
- хорошая мощность передачи сигнала – очень важно для деаутентификации, глушения Wi-Fi, организации фальшивых точек доступа и различных фишинговых атак с использованием мошеннических ТД
- не смотря на проблемы с WPS, Alfa AWUS052NH
может взламывать WPS пин как это описано в инструкции «Решение проблем Reaver: WARNING: Failed to associate with и WPS transaction failed (code: 0x03), re-trying last pin». Поскольку перебор пина чувствителен к качеству связи, мощность Alfa AWUS052NH
позволяет осуществить эту атаку лучше, чем многие другие беспроводные адаптеры
- работает на частотах 2.4 ГГц и 5 ГГц
- поддерживает беспроводной стандарт N
- поддерживает замену антенны
- поддерживает режим AP
- «из коробки» работает в Kali Linux, Arch Linux, BlackArch и многих других, в том числе в VirtualBox
Какая техника взлома wifi самая быстрая?
Раньше я бы ответил: WPS. Если на точке доступа включен Wi-Fi Protected Setup, то с большой вероятностью она вскрывается перебором известных пинов или более изящной атакой PixieDust. Список пинов для перебора берется из дефолтных конфигов производителя, который определяется по MAC-адресу.

В любом случае атака на WPS занимала до пяти минут и казалась скоростной по сравнению с ожиданием захвата хендшейка WPA, который потом еще надо мучительно долго брутить. Однако сейчас появился новый тип атаки — PMKID (Pairwise Master Key Identifier).
Поэтому оптимальный алгоритм взлома (аудита) следующий: определяем, включен ли на целевой точке доступа режим WPS. Если да, запускаем PixieDust. Безуспешно? Тогда перебор известных пинов. Не получилось? Проверяем, не включено ли шифрование WEP, которое тоже обходится влет.
Какие бывают режимы беспроводных карт
Прежде чем перейти к смену режима беспроводной карты, давайте разберёмся, какими они бывают и чем, собственно, нас не устраивает управляемый режим.
Установка режима работы устройства зависит от топологии сети и целей использования. Режим может быть:
- Ad-Hoc (сеть состоит только из одной ячейки без Точки Доступа),
- Managed — Управляемый (узел подключается к сети состоящей из множества Точек Доступа, есть роуминг)
- Master — Мастер (узел является мастером синхронизации или работает как Точка Доступа),
- Repeater — Повторитель (узел перенаправляет пакеты между другими беспроводными узлами)
- Secondary — Вторичный (узел выступает в качестве резервного мастера/повторителя),
- Monitor — Контроль (узел связан со всеми ячейками и пассивно мониторит все пакеты на частоте)
- Auto — Автоматический.
Уже из этого краткого описания становится понятно, что интересующим нас режимом является режим монитора (контроля).
Какую антенну использовать для взлома wifi?
Зависит от конкретных задач. Одни обеспечивают широту охвата, другие позволяют дотянуться до далекой точки доступа, фокусируя ЭМИ узким лучом.
Разведку в эфире удобнее выполнять с дипольными антеннами, у которых широкий угол излучения, но низкий коэффициент усиления (КУ). Эти величины всегда взаимосвязаны, поскольку антенна не добавляет мощности, а просто фокусирует электромагнитные волны. Поэтому при вертикальной ориентации в горизонтальном направлении связь улучшается, а в другом (в сторону верхних и нижних этажей) — ухудшается.
Самая широкая диаграмма направленности у крошечных антенн с КУ до 5 дБи. Здесь ради маркетингового эффекта используется децибел по отношению не к милливатту, а к изотропному излучателю — математической модели антенны с диаграммой в виде сферы. Если покупатель видит две антенны, у которых написано «5 дБи» и «3 дБм», то считает первую «более мощной», хотя они практически идентичны.
Простые дипольные антенны часто предлагаются в комплекте, и для начала их вполне достаточно. Затем рекомендую попробовать антенну Alfa ARS-N19 с КУ 9 дБи — максимально разумным для всенаправленных антенн. Это длинная удочка с более узким углом излучения, зато и дальность уверенного приема больше.
Главные недостатки таких антенн — габариты (у ARS-N19 — 39 см, в карман не положить) и небольшой частотный диапазон (либо 2,4 ГГц, либо 5 ГГц). Поэтому одной не обойтись.
Более компактная и универсальная антенна — Alfa APA-M25. Она панельная (частично направленная) и двухдиапазонная. На частоте 2,4 ГГц обеспечивает КУ 8 дБи, а на 5 ГГц — 10 дБи. С ней удобно атаковать предварительно выбранные точки доступа, расположение которых вы хотя бы примерно представляете. Антенну придется как отклонять по вертикали, так и крутить по горизонтали, чтобы нацелиться на выбранный роутер.
Совсем хардкорные варианты — направленные антенны с большим КУ и очень узким лучом (секторной диаграммой направленности). Такими можно достать цель хоть за километр, но выполнить и зафиксировать их точное наведение крайне сложно. Разрабатывались они преимущественно для стандартов 802.
Какую ос выбрать для взлома wifi?
«Линукс» позволяет тонко управлять устройствами (в частности, донглами) через опенсорсные драйверы. Подходит практически любой дистрибутив, но удобнее воспользоваться готовой сборкой. Например, BlackArch, BackBox, Parrot Security, Kali Linux.
Наиболее раскручены сборки Kali Linux, в которые уже интегрированы не только наборы хакерских утилит, но и драйверы большинства потенциально пригодных для вардрайвинга чипов плюс изначально сделаны мелкие твики.
В последних выпусках Kali очень многое переосмыслено. Теперь он может внешне мимикрировать под винду (чтобы пентестера не спалили, увидев странное на мониторе), рут по умолчанию отключен (либо включайте, либо пишите sudo перед командами, требующими права суперпользователя).
Комбо: alfa awus051nh 9dbi антенна alfa arsn19 7dbi направленная антенна apa m04 магнитное крепление
Пока я искал лучшие предложения о покупке Alfa AWUS051NHAlfa AWUS051NH
Цена комбо доставка в мой регион ниже (!) цены доставки этой же карты от других продавцов.
Проще говоря, нам предлагают в подарок антенны.
Эти антенны не особенно дорогие, и, на самом деле, не идеальные. Они предназначены для одной частоты — 2.4 ГГц. Но, во-первых, дарёному коню в зубы не смотрят, во-вторых, вокруг меня нет ни одной точки доступа на 5 ГГц — этот диапазон намного менее популярнее Wi-Fi на 2.4 ГГц.
Правда нет уверенности в версии карты. Всё-таки последняя ревизия имеет белую коробку.
Ссылка на комбо.
Фотографии комбо:
Если вас интересуют все предложения лучшей Wi-Fi карты для Kali Linux, то для поиска перейдите по ссылке Alfa AWUS051NH
Если вам хочется карту последней ревизии, то ищите белую коробку и внимательно смотрите на тыльную сторону коробки — она прозрачная и рядом с надписью Model:AWUS051NH стоит v2. Как на этой фотографии:
На первой версии рядом с надписью Model:AWUS051NH ничего нет. Вы можете убедиться в этом, посмотрев на эту фотографию:
Также обратите внимание на чёрный верх коробки.
По сообщениям пользователей, с Kali Linux хорошо работают все варианты этой карты. При этом вторая ревизия значительно дороже первой. Это связано с тем, что первая залежалась на складах и просто распродаётся. Что именно для вас важнее — решайте сами.
Можно ли атаковать скрытую сеть?
Да. Если имя сети (ESSID) скрыто, вы точно так же видите MAC-адрес точки доступа во время сканирования эфира. Первый же подключившийся клиент раскроет ее имя. Поэтому просто подождите коннекта или ускорьте процесс, разослав пакеты деаутентификации.

На чем брутить пароли wifi?
Локально перебирать пароли лучше на десктопном компе с мощной видюхой, а если его нет, воспользуйся онлайновыми сервисами. Бесплатно в них предлагаются ограниченные наборы, но даже их порой достаточно.

Еще один интересный вариант — использовать сеть распределенных вычислений. Сделать это позволяет, например, Elcomsoft Distributed Password Recovery. Эта универсальная программа понимает десятки форматов паролей и хешей, включая .cap, .pcap и .hccapx.

Плюс у нее очень продвинутый подход к словарной атаке. Можно использовать маски, приставки и мутации, фактически расширяя объем словаря в несколько раз.
Обзор wi-fi сетей
Чтобы атаковать Wi-Fi сеть нам нужно знать некоторые её характеристики. Чтобы получить список всех доступных в диапазоне досягаемости Wi-Fi сетей выполните команду:
sudo airodump-ng wlan0
Обратите внимание, что если у вас другое имя беспроводного интерфейса, то вместо wlan0 вам нужно вписать это имя.
Описанная атака применима только для сетей с защитой WPA2 или WPA – таких подавляющее большинство.
Будет выведен похожий список сетей:
Когда вы увидите в списке сеть, которую хотите атаковать, то остановите программу, для этого нажмите CTRL c.
Предположим, меня интересует сеть с ESSID (именем) dlink. Как видно из скриншота, её характеристиками являются: BSSID – это 00:1E:58:C6:AC:FB, она использует WPA2, работает на шестом канале. Также ненулевое значение #Data (захваченные данные, отправляемые это ТД) позволяет предположить, что к ней подключена одна или более станций.
Для захвата рукопожатия используется команда следующего вида:
sudo airodump-ng -c КАНАЛ --bssid MAC_АДРЕС -w ФАЙЛ ИНТЕРФЕЙС
Где:
- КАНАЛ – это канал, на котором работает ТД
- MAC_АДРЕС – это BSSID атакуемой ТД
- ФАЙЛ – имя файла, куда будет записано рукопожатие
- ИНТЕРФЕЙС – имя беспроводного интерфейса в режиме монитора
Для моих данных команда выглядит так:
sudo airodump-ng -c 6 --bssid 00:1E:58:C6:AC:FB -w capture wlan0
На следующем скриншоте вновь видна интересующая нас ТД, а также теперь виден раздел со станциями:
В полном списке ТД раздел со станциями также присутствовал, но уходил за нижний край экрана, поэтому на скриншот не попал.
Для станции мы в поле BSSID мы можем увидеть значение, которое соответствует BSSID Точки Доступа, т.е. 00:1E:58:C6:AC:FB, это означает, что в данный момент эта Станция подключена к интересующей нас ТД. Теперь имеется два варианта:
1) ждать пока Станция отсоединится и вновь подключится к ТД по естественным причинам
2) выполнить атаку деаутентификация для ускорения процесса
Перевод wi-fi адаптера в режим монитора
По умолчанию беспроводные адаптеры находятся в «управляемом» (managed) режиме. Этот режим позволяет подключаться к Точке Доступа в качестве обычного Клиента.
Режим монитора (monitor) предназначен для анализа Wi-Fi сетей. В этом режиме беспроводная карта принимает фреймы (их ещё называют кадры) от любых источников, находящихся на том же канале.
Поскольку нам нужно захватить рукопожатие, которое состоит из данных, которые Станция отправляет Точке Доступа и Точка Доступа отправляет Станции (т.е. которые ни на каком этапе не предназначены для нас), то нам необходимо перевести нашу Wi-Fi карту в режим монитора, чтобы она была способна увидеть эти данные и сохранить их для дальнейшей обработки.
Чтобы ввести команды для перевода Wi-Fi адаптера в режим монитора, нам нужно узнать имя беспроводного интерфейса. Для этого откройте консоль и введите команду:
sudo iw dev
Имя беспроводного интерфейса указано в строке со словом Interface, т.е. в моём случае именем является wlan0. Запоминаем это значение, поскольку в дальнейшем оно нам понадобиться.
Режим монитора не является чем-то обычным для операционной системы, поэтому некоторые программы без спроса, молча переводят Wi-Fi адаптер в управляемый режим. Нам это может помешать, поэтому следующими двумя командами мы закрываем программы, которые могут нам воспрепятствовать:
sudo systemctl stop NetworkManager sudo airmon-ng check kill
Теперь, наконец, мы можем перевести беспроводную карту в режим монитора. Для этого выполните последовательность команд
sudo ip link set <ИНТЕРФЕЙС> down sudo iw <ИНТЕРФЕЙС> set monitor control sudo ip link set <ИНТЕРФЕЙС> up
заменив <ИНТЕРФЕЙС> на действительное имя вашего беспроводного интерфейса (у меня это wlan0):
sudo ip link set wlan0 down sudo iw wlan0 set monitor control sudo ip link set wlan0 up
Кажется, что ничего не произошло, но набрав команду
sudo iw dev
Мы увидим примерно следующее:
В ней строка type monitor говорит о том, что наша беспроводная карта в режиме монитора.
Поддержка 802.11ac
Ещё одним минусом выбранного адаптера является отсутствие поддержки нового протокола 802.11ac, который был представлен в конце 2022 года. Но этот протокол слишком новый. Плюс 802.11ac обратно совместим с N, который сейчас используют большинство устройств.
N или 802.11n — это единственный стандарт 802.11, который работает одновременно в двух диапазонах — 2.4 и 5 GHz, в то время как 802.11ac работает только на 5 GHz, а старый 802.11g работает только в диапазоне 2.4 GHz.
Поскольку 802.11n работает в обоих диапазонах, производители устройств будут использовать N в течении долгого времени, чтобы дать возможность потребителям постепенно перейти на 802.11ac, а не мчаться в магазин за новым роутером.
Поэтому хотя сейчас и осуществляется поиск беспроводного USB адаптера/карты совместимого с 802.11ac и работающего в Kali Linux, на ближайшее будущее Alfa AWUS051NH
Поддержка диапазона 5 ghz
Двух диапазонными, в том числе с поддержкой 5 GHz являются, например, карты:
Они показывают ТД 5 GHz и способны перехватывать данные. Тем не менее, при тестировании возможности делать инъекцию разные пользователи получают разные данные. У некоторых пользователей всё работает, у некоторых на 5 ГГц может делать инжект только на каналах с 36 по 48.
На других (с 52 по 116), где есть radar detection, какие-то проблемы с инжектом пакетов деаутентификации. У некоторых инъекции не работают на всех каналах. Я отношусь к последним – у меня тест на инжект провалился на всех испробованных каналах. Вполне возможно, такой разброс связан с багом в aireplay-ng, автор программы на форуме подтвердил его наличие, на данный момент ошибка не исправлена.
Покупка alfa awus052nh
Я покупал Alfa AWUS052NHэтого продавца
Именно эта карта будет использоваться во многих инструкциях на этом сайте.
Способ 1
Сначала смотрим текущие параметры:
- iw dev показывает список беспроводных адаптеров и их максимально разрешенную настройками мощность. Обычно мы видим txpower 20.00 dBm ( 20 децибел по отношению к милливатту), что в теории означает мощность передатчика 100 мВт, а на практике — что ваш «свисток» атакуемые роутеры, скорее всего, не услышат.
- iw reg get отображает глобальные настройки ограничений по использованию WiFi. В частности, код страны по стандарту ISO 3166-1, доступные частотные диапазоны и ширину каналов. Если указано country 00, то страна не задана и действуют жесткие ограничения
Наиболее либеральные нормативы для WiFi у Гайаны (GY) и Белиза (BZ), где разрешается в десять раз большая мощность WiFi-адаптеров. Соответствующая запись в базе выглядит так: country BZ: DFS-JP. (2402 — 2482 @ 40), (30). (5735 — 5835 @ 80), (30). Аббревиатура DFS после кода страны означает Dynamic Frequency Selection — динамический выбор частоты. Он может выполняться по американской (FCC), европейской (ETSI) или японской (JP) схеме. Изменять ее не надо.
Дальше указывается частотное окно в диапазонах 2,4 и 5 ГГц и ширина канала в мегагерцах. От этих параметров зависит, сколько каналов вы увидите.
Чтобы сменить регион, просто пишем в терминале:
iw reg set BZ # Мысленно переносимся в Белиз вместе с ноутбуком ip link set wlan1 down # Отключаем внешний донгл, обозначенный как wlan1 iw dev wlan1 set txpower fixed 23 mBm # Увеличиваем вдвое мощность передатчика
Шкала здесь логарифмическая, поэтому повышение мощности в два раза (до 200 мВт) соответствует усилению на 3 dBm (до 23 дБм). Проще говоря, TxPower(dBm) = 10 * LOG(P/1), где P — мощность в милливаттах.

Не спешите сразу врубать донгл на полную. Для каждого девайса есть разумный предел, который подбирается экспериментально. У меня один из адаптеров стабильнее работает на 27 дБм (500 мВт), чем на 30 дБм (1000 мВт), а другой вообще бесполезно гнать выше 23 дБм.
Если же вам посчастливилось купить качественный донгл с большим запасом по мощности (например, уличного исполнения), то попробуйте указать регион PA. Это Панама, где разрешены передатчики до 4 Вт (36 дБм). Правда, от порта USB 2.0 вы столько не получите — нужен USB 3.0 или дополнительное питание.
Термины wi-fi сетей
Точка Доступа (также Access Point), сокращённо ТД, AP – устройство, которое обеспечивает работу сети Wi-Fi, к нему подключаются Клиенты. Чаще всего точками доступа являются роутеры.
Клиент (Станция) – устройство, которое подключается к Точке Доступа. Чаще всего это компьютеры, ноутбуки, сотовые телефоны и т.д.
ESSID и SSID – это имена беспроводных Wi-Fi сетей – именно их вы видите, когда выбираете к какой сети подключиться. Строго говоря, ESSID и SSID это не одно и то же, но в аудите Wi-Fi эти термины часто используются как взаимозаменяемые. На скриншоте ниже ESSID (именами сетей) являются MiAl, wifi88 и т.д.:
BSSID – это MAC-адрес беспроводной карты. Пример MAC-адреса: 50:46:5D:6E:8C:20. Более подробно о них рассказано в заметке «Как узнать MAC-адрес и Как по MAC-адресу узнать производителя».
Рукопожатие (также хэндшейк, handshake) – данные, которыми обмениваются Станция и Точка Доступа в момент создания Wi-Fi соединения. Эти данные содержат информацию, позволяющую подобрать пароль от сети Wi-Fi.
Брут-форс (также полный перебор) – метод атаки на пароль, заключающийся в переборе всех возможных вариантов пароля. Требует много времени и вычислительных ресурсов.
Перебор по словарю (атака по словарю) – метод атаки на пароль, заключающийся в переборе часто встречающихся вариантов пароля. Имеет хорошее соотношение затраченных ресурсов к полученным результатам.
Онлайн перебор пароля Wi-Fi – метод подбора пароля, который заключается в подключении к Точке Доступа с различными кандидатами в пароли. Практически не применяется из-за крайне низкой скорости перебора. Преимущества этого метода — не требуется беспроводной адаптер с поддержкой режима монитора. Недостаток — этот метод крайне медленный.
Офлайн перебор пароля Wi-Fi – метод подбора пароля, который заключается в захвате Рукопожатия и подборе такого пароля, который бы соответствовал этому рукопожатию. Этот подбор не требует подключения к Точке Доступа и выполняется на много порядков быстрее, чем онлайн перебор.
WPA и WPA2 – технология защищённого доступа к Wi-Fi, пришла на смену устаревшей технологии WEP.
Беспроводная Wi-Fi карта (или беспроводной Wi-Fi адаптер) – любая сетевая карта, способная подключаться к сети Wi-Fi. В ноутбуках и телефонах они встроены внутрь корпуса, в настольных компьютерах обычно представляют собой внешнее устройство, подключаемое по USB.
Режим монитора (Monitor Mode) – свойство некоторых беспроводных адаптеров принимать пакеты данных, которые предназначены не только для них, но и для других беспроводных устройств.
Сетевой интерфейс – имя, условное обозначение в Linux сетевых карт/адаптеров.
Канал сети Wi-Fi – условное цифровое обозначение частоты, на которой в данный момент работает Точка Доступа.
Установка
NetHunter следует устанавливать поверх стандартной прошивки смартфона или CyanogenMod. В данный момент NetHunter поддерживает стоковые прошивки Android 5.1.1 и 6.0.1 и CyanogenMod/LineageOS разных версий. Узнать, изменилась ли ситуация после выхода статьи, можно в wiki.
Сами сборки NetHunter для разных смартфонов и планшетов можно найти на этой странице.
Также тебе понадобится инструмент fastboot и драйверы для ADB. В Windows и то и другое можно установить с помощью простого инсталлятора. В Linux можно установить пакет android-platform-tools.
Еще проще использовать утилиту Nexus Rootkit Tool. Она сама скачает все необходимое и выполнит большую часть муторных операций, а если и застрянет на какой-то из них, то выдаст подробный мануал о том, что делать дальше.

Есть еще два необходимых компонента:
Когда все необходимые файлы будут на руках, можно приступить к установке кастомного рекавери и рутингу. Во время этого процесса ты лишишься всех данных на устройстве, поэтому предварительно сохрани их.
Сначала выключаем смартфон и включаем его с зажатой клавишей увеличения громкости. Он перейдет в режим fastboot. Подключаем смартфон к компу с помощью кабеля и выполняем следующую команду в ADB:
$ fastboot oem unlockЭта команда разблокирует загрузчик, попутно стирая все данные со смартфона. Теперь устанавливаем TWRP:
$ fastboot flash recovery образ-twrp.imgЕсли операция прошла успешно, выключаем смартфон и включаем его снова с зажатой клавишей уменьшения громкости. После перезагрузки должен появиться интерфейс TWRP. Записываем на смартфон SuperSU с помощью ADB:
$ adb push путькSuperSU.zip /sdcard/Нажав кнопку Install, прошиваем SuperSU. По окончании установки перезагружаем смартфон, делаем первичную настройку и устанавливаем BusyBox в /system/bin (путь установки важен!).
Далее снова перезагружаемся в TWRP и записываем на смартфон архив с NetHunter:
$ adb push путькnethunter.zip /sdcard/Прошиваем и перезагружаемся.

Установка может зависать на 90%, но при этом выполняется корректно. Просто убедись, что в отображаемом на экране логе есть строка успешного обнаружения BusyBox, и подожди еще минут десять. После можешь перезагрузить смартфон вручную, если он не сделает этого сам.
Во время установки NetHunter предложит установить несколько дополнительных приложений. Не отказывайся от установки Hacker’s Keyboard. На этой клавиатуре есть клавиши Ctrl, Alt, Shift, Break, F1–F12 и другие, без которых в консоли как без рук.
Чем взломать wifi? оборудование.
Чем взломать WiFi? Теперь поднакопив немного теоретических знаний перейдем к рассмотрению оборудования которое понадобится для наших целей.
Для перехвата хендшейков подойдет и самый слабый нетбук или ПК. Производительность системы влияет на расшифровку полученных пакетов, но об этом позже. Все что требуется от компьютера это свободный порт USB для подключения “правильного” адаптера Wi-Fi (можно использовать и встроенный, но это только если цель находится в одной с вами комнате, т.к. слабая мощность встроенного адаптера и его вялая антенна вряд ли смогут пробить хотя бы одну нормальную бетонную стенку, и тем более не дотянется на пару сотен метров до жертвы.
Адаптер Wi-Fi должен иметь внешнюю антенну с коэффициентом усиления минимум 3 dBi, лучше 5-7 dBi, подключаемую через разъем. Это позволит нам при необходимости подключить вместо штатной внешнюю направленную антенну и тем самым на порядок увеличить радиус действия.
Мощность выходного сигнала адаптера должна быть не менее 500 мВт, или 27 dBm что одно и то же. Сильно гнаться за мощностью адаптера тоже не стоит, так как успех перехвата хендшейка зависит не только от мощности передаваемого нами сигнала, но и от того насколько качественно наш адаптер слушает эфир. Ведь мониторить нам придется чаще всего ноуты или еще хуже — смартфоны со всеми недостатками их антенн.
Четырехстороннее рукопожатие
Четырехстороннее рукопожатие (англ. four-way handshake) – механизм создания парного переходного ключа PTK для защиты трафика.
PTK содержит:
- временный ключ TK;
- ключ подтверждения ключа EAPOL;
- ключ шифрования EAPOL-key.
Самое важное рукопожатие – второе. В дополнение к нему необходимо первое и/или третье рукопожатие. Лучший минимальный вариант – второе и третье рукопожатия.

Файл с рукопожатиями сохраняется в /root/bettercap-wifi-handshakes.pcap. Скопируем его в домашнюю директорию:
Чувствительность wi-fi адаптера
В теории, чем больше протоколов и частот поддерживает Wi-Fi, тем больше точек доступа он должен увидеть. Но поскольку большинство ТД размещаются на самых распространённых (давно используемых) частотах и используют самые ходовые протоколы, то, например, Wi-Fi адаптер с 5 ГГц может показать дополнительно всего 1-2 точки доступа, поскольку точек доступа на 5 ГГц просто мало.
При этом в зависимости от чувствительности чипсета, размер списка обнаруженных точек доступа может драматически различаться – в разы.
Посмотрите на список обнаруженных ТД встроенной картой Intel Corporation Centrino Advanced-N 6235 (rev 24):
Список показан не полностью, всего там 40 ТД.
А это список обнаруженных ТД с помощью адаптера на основе чипсета Ralink Technology, Corp. RT3572 (карта Alfa AWUS052NHPWR < -80, то во втором списке ТД с PWR меньше -80 вообще нет. С практической точки зрения это означает, что с Alfa AWUS052NH
Массовый автоматизированный захват рукопожатий в BlackArch с помощью zizzania» и практика подтвердила это. В файле с захваченными данными картой Intel оказывалась информацию о примерно в 2 раза большем количестве ТД и столько же или меньше ТД с хорошими рукопожатиями как и в файле, захваченном с помощью Alfa AWUS052NH
Вы намного больше увидите ТД используя следующие беспроводные карты:
Но это не означает, что вам легче будет заполучить рукопожатия. Довольно часто это проблемотично для ТД с PWR < -80 (а таких будет большинство в списках, построенных этими картами).
Шаг 5. получение handshake
Чтобы захватить зашифрованный пароль, нам нужно, чтобы клиент прошел аутентификацию (подключился к Wi-Fi). Если он уже аутентифицирован, мы можем его деаутентифицировать (отключить), тогда система автоматически повторно аутентифицируется (подключится), в результате чего мы можем получить зашифрованный пароль.
То есть нам просто нужно отключить подключенных пользователей, чтобы они подключились снова. Для этого открываем ещё один терминал и вводим:
$ aireplay-ng --deauth 100 -a 08:86:30:74:22:76 mon0
Теперь при повторном подключении окно которое мы оставили на предыдущем шаге поймает handshake. Давайте вернемся к нашему терминалу airodump-ng и посмотрим.
Обратите внимание на верхнюю строку справа, airodump-ng вывел: «Handshake WPA». То есть, мы успешно захватили зашифрованный пароль! Это первый шаг к успеху!
