Итак, я просматривал WPA и 4-сторонние механизмы рукопожатия, пытаясь провести мозговой штурм возможностей создания поддельной AP с WPA-шифрованием, вариант, который, кажется, отсутствует на авиабазе. Вот мои мысли: Я создаю поддельную AP с флагом шифрования WPA-PSK и устанавливаю ESSID в ESSID целевой точки. Отключив аутентификацию клиентов, подключенных к целевой точке доступа, нормальная реакция будет искать их AP в списке WiFi. Они попытаются подключиться к поддельной точке доступа, используя пароль, который я пытаюсь восстановить.Аутентификация клиента для подделки WPA AP без действительного PMK?
Согласно этой Википедии демонстрация 4-стороннего рукопожатия: https://en.wikipedia.org/wiki/IEEE_802.11i-2004#Protocol_operation ПТК никогда не делится на лету между AP и станцией (клиентом); вместо этого MIC сравниваются. В пакете 2/4 станция отправляет свой SNonce, подписанный с MIC. После получения этого пакета поддельная точка доступа пропустит построение PTK и просто отправит пакет 3/4 со случайно назначенным GTK и MIC (я не уверен, проверен ли этот MIC клиентом).
Итак, мои вопросы: Проверяет ли клиент MIC от 3-го пакета рукопожатия? Если это не так, значит ли это, что клиент успешно прошел аутентификацию и подключен к AP?
Дальнейшие мысли: В отсутствие AP-стороннего PTK я могу просто отправить необработанные незашифрованные пакеты данных клиенту с целью подмены DNS? В случае, если пакеты необработанных данных не принимаются клиентом, может ли использоваться уязвимость Hole196 (зарегистрированная здесь: http://www.airtightnetworks.com/WPA2-Hole196) для подмены DNS, учитывая, что GTK известен поддельной AP?
Надеюсь, вы увлечены моим вопросом; если вам потребуются дополнительные разъяснения, я буду рад ответить.