¶ Tutorial: WPA2 Handshake Bruteforcen
¶ 📋 Worum geht es
Natürlich gibt es viele weitere Programme (Wireshark, Airgeddon, usw.) mit denen dies möglich ist. Hier geht es aber um die Grundlagen und um die Standardprogramme, die bei Kali Linux ab Werk mit an Bord sind.
⚠️ Achtung: Gerade Hacks mit Kali, bei denen man auf Hardware (hier die WLAN-Karte) zugreifen muss, kann in einer VM Schwierigkeiten machen. Daher empfehle ich Anfängern eine Linux Installation auf einen alten Rechner zu bevorzugen, um überhaupt mit der Materie in Berührung zu kommen.
¶ ⚖️ Wichtiger Hinweis
🚨 RECHTLICHER HINWEIS
Die gezeigten Methoden, Befehle und Techniken dienen der Sensibilisierung und dem Selbststudium, und dürfen unter gar keinen Umständen für böse Absichten eingesetzt werden.
Darüber hinaus ist es in Deutschland strafbar fremde Netzwerke, Webseiten, Server oder ähnliches zu hacken, ohne schriftliche Genehmigung des Eigentümers.
¶ 🛠️ Voraussetzungen
Hardware:
- Laptop/Rechner mit WLAN-Karte
Software:
- Aktuelle Kali Linux Version
¶ 🎯 Let's Hack - Step by Step
¶ Schritt 1: WLAN-Karte in den Monitormodus versetzen
Zunächst müssen wir die WLAN-Karte in den Monitormodus versetzen, denn wir benötigen diese als unser Werkzeug.
Befehl:
sudo airmon-ng start wlan0
Was passiert hier?
Wir werden von Kali darauf hingewiesen, dass noch zwei Prozesse auf die Karte zugreifen. Uns wird auch der passende Befehl angeboten, um diese beiden Prozesse zu beenden (killen).
¶ Schritt 2: Störende Prozesse beenden
Befehl:
sudo airmon-ng check kill
Danach steht uns die WLAN-Karte voll und ganz zur Verfügung.
¶ Schritt 3: Netzwerke in der Umgebung scannen
Nun schauen wir, was wir alles in unserer Umgebung empfangen können.
Befehl:
sudo airodump-ng start wlan0mon
Hinweis:
wlan0monist nun der Name unseres Netzwerkinterfaces, welches sich im Monitor-Mode befindet, daher das "mon" am Ende.
¶ Schritt 4: Scan-Ergebnisse interpretieren
Was sehen wir nun? Wie kann man das Angezeigte interpretieren?
Wir sehen also drei Netzwerke in unserer Reichweite:
| Spalte | Bedeutung |
|---|---|
| BSSID | Einzigartige MAC-Adresse des Netzwerks |
| PWR | Power/Signalstärke in dBm (immer negativ). Je höher der Wert (näher an 0), desto näher ist man. Beispiel: -35 ist näher als -54 |
| ENC | Verschlüsselungsart: OPN (offen), WEP, WPA2, WPA3 |
| ESSID | Extended Service Set Identifier - der "WLAN-Name" |
Wichtige Beobachtung:
- Es handelt sich um ein Gerät der Marke TP-Link
- Die ESSID scheint nicht benutzerangepasst zu sein
- Bei TP-Link folgt die ESSID immer dem Schema: Markenname + letzte 4 Zeichen der MAC-Adresse
- Konkret in diesem Beispiel: "68F0"
💡 Merke: Beim WLAN-Hacking gilt: Je dichter, desto besser!
¶ Schritt 5: Handshake aufzeichnen
Um eine WPA2-Verschlüsselung zu erraten, benötigen wir den Handshake zwischen Sender und Empfänger.
Befehl:
sudo airodump-ng start wlan0mon --bssid C0:C9:E3:B3:68:F0 -w handshake
Erklärung:
- Mit diesem Befehl weisen wir an, dass nur die Datenpakete, die mit der angegebenen BSSID (unserem Zielnetzwerk) zu tun haben, aufgezeichnet werden sollen
- Der Parameter
-w(write) gibt an, dass die Aufzeichnung in die Datei "handshake" geschrieben werden soll - Das Programm erstellt automatisch die benötigte
.capDatei
¶ Schritt 6: Auf Handshake warten
Es öffnet sich die folgende Anzeige mit unserem Zielnetzwerk:
Wichtig: Die Stelle oben rechts ist für uns interessant - dort wird angezeigt, wenn ein Handshake eingefangen wurde.
Methoden zum Einfangen eines Handshakes:
- Warten, bis sich ein Gerät (z.B. Handy) mit dem Netzwerk verbindet
- Mit dem DEAUTH-Befehl verbundene Geräte kurz aus dem Netzwerk kicken (diese verbinden sich dann automatisch wieder)
Für Schulungszwecke wurde hier ein Handy mit dem Netzwerk verbunden.
Erfolg! Wir können erkennen, dass mindestens ein Handshake aufgezeichnet wurde.
¶ Schritt 7: Aufzeichnung beenden
Nun können wir die Aufzeichnung des WLAN-Verkehrs beenden:
Tastenkombination:
[STRG] + [C]
¶ 🧠 Spezialwissen über TP-Link
Nun kommt die Stelle, die ein Scriptkiddie von einem Penetration Tester unterscheidet:
Wichtige Fakten über TP-Link WLAN-Produkte:
- TP-Link verwendet bei allen WLAN-Produkten den WPA2-Mindeststandard bei der Passwortlänge: 8 Zeichen
- Die WLAN-Passwörter bei TP-Link bestehen in der Grundkonfiguration immer nur aus Zahlen
Kali verfügt über eine mächtige eingebaute Wortliste (rockyou.txt), aber ein Angriff damit würde nichts bringen, da dort nicht das benötigte Passwort drinsteht.
¶ Schritt 8: Passwortliste generieren
Daher generieren wir uns die passende Passwortliste:
Befehl:
crunch 8 8 0123456789 -o 8er_zahlen
Erklärung:
crunch= Das Programm zum Erstellen von Passwortlisten8 8= Mindest- und Maximallänge des Passworts (8 Zeichen)0123456789= Zeichensatz (nur Zahlen)-o 8er_zahlen= Output-Datei
Das Programm zeigt die zu erwartende Dateigröße: ca. 860 MB
Bei größeren Wortlisten gibt das Programm Statusupdates aus: "crunch: 91% completed generating output"
¶ Schritt 9: Verkürzte Liste für Schulungszwecke
Direkt im Anschluss erstellen wir eine verkürzte Version, die wesentlich schneller ist (nur ein paar Sekunden statt Stunden):
Befehl:
crunch 8 8 0123456789 -s 57880000 -e 78890000 -o 8er_zahlen_kurz
Erklärung der zusätzlichen Optionen:
-s(start) = Ab welchem Zahlenwert das Programm beginnen soll (Offset)-e(end) = Bis zu welchem Zahlenwert das Programm arbeiten soll
Diese verkürzte und angepasste Liste ist nicht mal 1 MB groß.
¶ Schritt 10: Dateien überprüfen
Nun prüfen wir, ob wir alles haben, was wir benötigen:
Befehl:
ll
Wichtig: Die Datei mit der Endung .cap ist am wichtigsten - dort ist der Handshake drin, den wir knacken wollen.
¶ Schritt 11: Handshake cracken
Nun können wir ans "Cracken" gehen:
Befehl:
aircrack-ng handshake-01.cap -w 8er_zahlen
⏱️ Zeitaufwand: Dieser Vorgang dauert je nach Hardware und Passwortliste von einigen Stunden bis hin zu Tagen.
¶ Schritt 12: Crack-Prozess verstehen
Was passiert hier?
- Das Programm versucht mit jedem "Wort" aus der Wortliste den Handshake zu knacken
- Da wir wissen, dass es eine reine 8-stellige Zahlenkombination ist, sehen wir das Programm mit Zahlen arbeiten
- In der Grafik wird gerade das Passwort "00017603" getestet
- Wir haben bereits 0.16% der Passwortliste abgearbeitet
Hardwareanforderungen:
Dieser Prozess benötigt viel Hardwareleistung. Profis nutzen dafür die GPU der Grafikkarte. Für Schulungszwecke reicht die Leistung der CPU völlig aus.
¶ Schritt 13: Zeitschätzung
Die geschätzte Zeitdauer passt sich schnell an.
💡 Faustformel: Ein Passwort mit 8 Stellen (nur Zahlen) kann über Nacht geknackt werden.
Für Schulungszwecke nutzen wir die kleinere Wortliste 8er_zahlen_kurz, um mehrere Stunden zu sparen.
¶ Schritt 14: Erfolg! 🎉
Den Erfolg kann man direkt sehen:
- Nach nicht mal einer Sekunde und 84,15% wurde das richtige Passwort erraten
- Das Passwort lautet: 57886046
¶ Schritt 15: Verifizierung
Ein kurzer Blick unter den Router verrät, dass wir das richtige Passwort haben.
¶ 🔍 Zusatzwissen: Was sagt uns das über den Benutzer/Admin?
Erkenntnisse:
- ✅ Der Router ist komplett default (ESSID und Werkspasswort)
- ✅ Die Wahrscheinlichkeit, dass die Logindaten des Routers auch noch default sind, ist sehr hoch
- ✅ Es gibt viele Seiten, wo man die Default-Passwörter der Hersteller/Modelle einsehen kann
¶ Schritt 16: System neustarten
Wir notieren uns den gefundenen Key und starten den Rechner neu.
Warum? Da wir unsere WLAN-Karte in den Monitormodus versetzt haben, können wir uns nicht direkt mit dem geknackten WLAN verbinden.
Der einfachste Weg, alles wieder in den Default-Zustand zu bekommen, ist ein Neustart:
Befehl:
sudo reboot now
¶ Schritt 17: Mit dem WLAN verbinden
Danach können wir uns mit dem verschlüsselten WLAN verbinden:
¶ Schritt 18: Verbindung verifizieren
Nun sind wir verbunden. Trotzdem checken wir es nochmal.
Befehl:
nmcli dev wifi
¶ ✅ Erfolg!
Jawohl, unser erster WLAN-Hack war erfolgreich!
¶ 📦 Testdaten zum Üben
Im originalen Git-Repository ist der Handshake der verwendeten Hardware enthalten. Der Autor erlaubt ausdrücklich, damit zu spielen und zu testen.
Jetzt habt ihr alles, was ihr braucht. Viel Spaß beim Nachmachen!
¶ 👤 Autor
Adam Jensen
Chief of Security (Sarif Industries)
Member of Task Force 29
¶ 📚 Zusammenfassung der verwendeten Tools
| Tool | Zweck |
|---|---|
airmon-ng |
WLAN-Karte in Monitormodus versetzen |
airodump-ng |
Netzwerke scannen und Handshake aufzeichnen |
crunch |
Passwortlisten generieren |
aircrack-ng |
WPA2-Handshake bruteforcen |
nmcli |
Netzwerkverbindung verwalten |
¶ 🔗 Weiterführende Links
Erstellt am: 25. November 2025
Quelle: https://github.com/AdamJensen3/Hacking-wlan-writeup-2024