O modo promíscuo é um conceito em nível de Ethernet que deve permitir que você veja quadros de dados de outros dispositivos, mas quadros de dados são apenas um dos vários tipos de quadros 802.11. Para ver os outros tipos de quadros 802.11 (gerenciamento, controle, etc.) e possivelmente ver os cabeçalhos 802.11, é necessário usar o que é conhecido como Modo de Monitor 802.11.
Então, novamente, os quadros de chave EAPOL usados para o handshake de chaves seriam quadros de dados, portanto, se a placa 802.11 / driver estiver corretamente implementada no modo promíscuo, você ainda poderá vê-los.
Outra coisa a ter em conta é que os dispositivos 802.11 frequentemente transmitem quadros de dados unicast com a taxa mais alta que o transmissor pode transmitir, e que o receptor pode receber, dadas as tecnologias que o transmissor e receptor suportam, e as condições de RF entre eles. Portanto, se seu AP e o laptop alvo tiverem, digamos, uma placa 802.11ac de 3 fluxos (capaz de sinalizar 1300mbps com canais de 80MHz), e seu laptop Wireshark tiver apenas uma placa de fluxo 2 (capaz de taxas de até 867Mbps), então você não será capaz de capturar nenhum dos pacotes enviados usando a sinalização de 3-stream.
Ou se o seu ponto de acesso e o laptop de destino estiverem próximos, onde eles podem usar as taxas máximas, mas o laptop mais distante fica onde não há a relação sinal-ruído necessária para receber com êxito esses sinais, não vai vê-los.
Mesmo que você coloque seu farejador no meio do caminho entre o AP e o laptop alvo, se o AP e o laptop alvo estiverem fazendo o beamforming, eles farão caminhos que excluam seu laptop sniffer.