Тут есть 2 способа.

1. Лайт -- сработает только если essid точки отличен от дефолтного, настройка точки делалась за один раз, с клиентского устройства и именно это устройство юзается клиентом в данный момент, и на нём не переставлялась ОС.

Поднимаешь точку с essid, равным дефолтному essid целевой точки (типа TP-LINK_1234, TP-Link_1234, TP-LINK_123456 и т.п.) и заботишься о том, чтобы клиент слышал её лучше, чем свою Если все условия выполнены, то клиент постучится на твою точку. Ловишь этот хш и брутишь его по словарю пинов, и в случае удачи, получаешь пин целевой точки (а клиент об этом даже не догадывается).

2. Жесть -- должно сработать при любой погоде, но не факт, что с первого раза, и будет много шума и пыли Перманентно глушишь целевую точку и одновременно наблюдаешь за действиями клиента. В какой-то момент клиент сделает сброс к заводским настройкам, и в эфире появится точка с дефолтным essid. Тогда прекращаешь флуд и ловишь хш.