<summary><strong>Aprenda hacking AWS do zero ao herói com</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
Junte-se ao servidor [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) para se comunicar com hackers experientes e caçadores de recompensas por bugs!
Airgeddon é um conjunto de scripts bash projetado para ajudar na auditoria de redes sem fio. Ele inclui várias ferramentas para realizar ataques de força bruta, desautenticação, falsificação de AP, entre outros. É uma ferramenta popular entre os profissionais de segurança cibernética para testar a segurança de redes Wi-Fi.
Ele pode realizar ataques de Evil Twin, KARMA e Beacons Conhecidos e depois usar um modelo de phishing para conseguir obter a senha real da rede ou capturar credenciais de redes sociais.
* Se for WPS: Ataque Pixie dust e ataque de força bruta (tenha cuidado, o ataque de força bruta pode levar muito tempo). Note que não tenta PIN nulo ou PINs gerados por banco de dados.
Ataques de **desautenticação**, um método prevalente em hacking Wi-Fi, envolvem forjar frames de "gerenciamento" para **desconectar dispositivos de uma rede à força**. Esses pacotes não criptografados enganam os clientes fazendo-os acreditar que são da rede legítima, permitindo que os atacantes coletem handshakes WPA para fins de quebra ou para interromper persistentemente conexões de rede. Esta tática, alarmante em sua simplicidade, é amplamente utilizada e tem implicações significativas para a segurança de rede.
* \-c 00:0F:B5:34:30:30 é o endereço MAC do cliente a desautenticar; se isso for omitido, então é enviada uma desautenticação de transmissão (nem sempre funciona)
**Pacotes de desassociação**, semelhantes aos pacotes de desautenticação, são um tipo de quadro de gestão usado em redes Wi-Fi. Esses pacotes servem para interromper a conexão entre um dispositivo (como um laptop ou smartphone) e um ponto de acesso (AP). A distinção principal entre desassociação e desautenticação reside nos cenários de uso. Enquanto um AP emite **pacotes de desautenticação para remover explicitamente dispositivos não autorizados da rede, os pacotes de desassociação são tipicamente enviados quando o AP está passando por um desligamento, reinicialização ou realocação, exigindo assim a desconexão de todos os nós conectados**.
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
O envio de quadros de autenticação para todos os Pontos de Acesso (APs) acessíveis dentro do alcance pode sobrecarregar esses APs, especialmente quando vários clientes estão envolvidos. Esse tráfego intenso pode levar a instabilidade do sistema, fazendo com que alguns APs travem ou mesmo reiniciem.
A sondagem de Pontos de Acesso (APs) verifica se um SSID é revelado corretamente e confirma o alcance do AP. Essa técnica, combinada com a **força bruta de SSIDs ocultos** com ou sem uma lista de palavras, ajuda a identificar e acessar redes escondidas.
O envio de pacotes aleatórios ou duplicados para diferentes filas de QoS pode acionar as Contramedidas de Michael em **APs TKIP**, levando a um desligamento do AP por um minuto. Este método é uma tática eficiente de ataque de **DoS** (Negação de Serviço).
Inundar um AP com **quadros EAPOL Start** cria **sessões falsas**, sobrecarregando o AP e bloqueando clientes legítimos. Alternativamente, injetar **mensagens falsas de EAPOL Logoff** desconecta clientes à força, ambos os métodos interrompem efetivamente o serviço de rede.
A interligação de clientes a vários nós WDS ou a falsos APs rogue pode manipular os Sistemas de Detecção e Prevenção de Intrusões, criando confusão e potencial abuso do sistema.
O WPS (Wi-Fi Protected Setup) simplifica o processo de conexão de dispositivos a um roteador, aprimorando a velocidade e facilidade de configuração para redes criptografadas com **WPA** ou **WPA2** Personal. É ineficaz para a segurança facilmente comprometida do WEP. O WPS emprega um PIN de 8 dígitos, validado em duas metades, tornando-o suscetível a ataques de força bruta devido ao seu número limitado de combinações (11.000 possibilidades).
* **Reaver** foi projetado para ser um ataque robusto e prático contra o WPS, e foi testado em uma ampla variedade de pontos de acesso e implementações do WPS.
* **Bully** é uma **nova implementação** do ataque de força bruta do WPS, escrita em C. Possui várias vantagens sobre o código original do reaver: menos dependências, melhor desempenho de memória e CPU, manipulação correta da endianness e um conjunto mais robusto de opções.
O ataque explora a **vulnerabilidade do PIN do WPS**, particularmente a exposição dos quatro primeiros dígitos e o papel do último dígito como um checksum, facilitando o ataque de força bruta. No entanto, defesas contra ataques de força bruta, como **bloquear endereços MAC** de atacantes agressivos, exigem **rotação de endereços MAC** para continuar o ataque.
1.**PINs Pré-descobertos**: Utilize um banco de dados de PINs conhecidos vinculados a fabricantes específicos conhecidos por usar PINs WPS uniformes. Este banco de dados correlaciona os três primeiros octetos dos endereços MAC com PINs prováveis para esses fabricantes.
2.**Algoritmos de Geração de PIN**: Aproveite algoritmos como ComputePIN e EasyBox, que calculam PINs WPS com base no endereço MAC do AP. O algoritmo Arcadyan requer adicionalmente um ID de dispositivo, adicionando uma camada ao processo de geração de PIN.
**Dominique Bongard** descobriu uma falha em alguns Pontos de Acesso (APs) relacionada à criação de códigos secretos, conhecidos como **nonces** (**E-S1** e **E-S2**). Se esses nonces puderem ser descobertos, quebrar o PIN WPS do AP se torna fácil. O AP revela o PIN dentro de um código especial (hash) para provar que é legítimo e não um AP falso (rogue). Esses nonces são essencialmente as "chaves" para desbloquear o "cofre" que contém o PIN WPS. Mais informações sobre isso podem ser encontradas [aqui](https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-\(Offline-WPS-Attack\)).
Em termos simples, o problema é que alguns APs não usavam chaves aleatórias o suficiente para criptografar o PIN durante o processo de conexão. Isso torna o PIN vulnerável a ser adivinhado de fora da rede (ataque de força bruta offline).
Se você não quer mudar o dispositivo para o modo de monitoramento, ou se `reaver` e `bully` apresentarem algum problema, você pode tentar o [OneShot-C](https://github.com/nikita-yfh/OneShot-C).
Esta ferramenta pode realizar o ataque Pixie Dust sem a necessidade de mudar para o modo de monitoramento.
Alguns sistemas mal projetados até permitem que um **PIN Nulo** (um PIN vazio ou inexistente) conceda acesso, o que é bastante incomum. A ferramenta **Reaver** é capaz de testar essa vulnerabilidade, ao contrário do **Bully**.
* 11 e 12 irão **recolher os PINs relacionados ao AP selecionado a partir de bancos de dados disponíveis** e **gerar** possíveis **PINs** usando: ComputePIN, EasyBox e opcionalmente Arcadyan (recomendado, por que não?)
Tão quebrado e não utilizado nos dias de hoje. Apenas saiba que o _**airgeddon**_ tem uma opção WEP chamada "All-in-One" para atacar esse tipo de proteção. Mais ferramentas oferecem opções semelhantes.
Junte-se ao servidor [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) para se comunicar com hackers experientes e caçadores de recompensas por bugs!
Em 2018, o **hashcat** [revelou](https://hashcat.net/forum/thread-7717.html) um novo método de ataque, único porque só precisa de **um único pacote** e não requer que nenhum cliente esteja conectado ao AP de destino - apenas interação entre o atacante e o AP.
Muitos roteadores modernos adicionam um **campo opcional** ao **primeiro quadro EAPOL** durante a associação, conhecido como `Rede de Segurança Robusta`. Isso inclui o `PMKID`.
Dado que o "Nome PMK" é constante, conhecemos o BSSID do AP e da estação, e o `PMK` é idêntico ao de um aperto de mão completo de 4 vias, o **hashcat** pode usar essas informações para quebrar o PSK e recuperar a frase secreta!
Por favor, note que o formato correto de um hash contém **4 partes**, como: `4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838`
Se o seu contém **apenas****3 partes**, então, ele é **inválido** (a captura PMKID não foi válida).
Observe que o `hcxdumptool`**também captura handshakes** (algo assim aparecerá: **`MP:M1M2 RC:63258 EAPOLTIME:17091`**). Você pode **transformar** os **handshakes** para o formato **hashcat**/**john** usando `cap2hccapx`
_Notei que alguns handshakes capturados com esta ferramenta não puderam ser quebrados mesmo sabendo a senha correta. Recomendaria capturar handshakes também de forma tradicional, se possível, ou capturar vários deles usando esta ferramenta._
Um ataque em redes **WPA/WPA2** pode ser executado capturando um **handshake** e tentando **quebrar** a senha **offline**. Esse processo envolve monitorar a comunicação de uma rede específica e **BSSID** em um **canal** específico. Aqui está um guia simplificado:
1. Identifique o **BSSID**, **canal** e um **cliente conectado** da rede alvo.
2. Use `airodump-ng` para monitorar o tráfego de rede no canal e BSSID especificados, na esperança de capturar um handshake. O comando será semelhante a este:
3. Para aumentar a chance de capturar um handshake, desconecte momentaneamente o cliente da rede para forçar uma nova autenticação. Isso pode ser feito usando o comando `aireplay-ng`, que envia pacotes de desautenticação para o cliente:
Em **configurações de WiFi empresarial, você encontrará vários métodos de autenticação**, cada um fornecendo diferentes níveis de segurança e recursos de gerenciamento. Ao usar ferramentas como `airodump-ng` para inspecionar o tráfego de rede, você pode notar identificadores para esses tipos de autenticação. Alguns métodos comuns incluem:
- Este método suporta tokens de hardware e senhas únicas dentro do EAP-PEAP. Ao contrário do MSCHAPv2, não utiliza um desafio de pares e envia senhas em texto simples para o ponto de acesso, representando um risco para ataques de degradação.
2.**EAP-MD5 (Message Digest 5)**:
- Envolve o envio do hash MD5 da senha do cliente. **Não é recomendado** devido à vulnerabilidade a ataques de dicionário, falta de autenticação do servidor e incapacidade de gerar chaves WEP específicas da sessão.
3.**EAP-TLS (Transport Layer Security)**:
- Utiliza certificados do lado do cliente e do lado do servidor para autenticação e pode gerar dinamicamente chaves WEP baseadas no usuário e na sessão para garantir a segurança das comunicações.
4.**EAP-TTLS (Tunneled Transport Layer Security)**:
- Fornece autenticação mútua por meio de um túnel criptografado, juntamente com um método para derivar chaves WEP dinâmicas, por usuário e por sessão. Requer apenas certificados do lado do servidor, com os clientes usando credenciais.
- Funciona de forma semelhante ao EAP, criando um túnel TLS para comunicação protegida. Permite o uso de protocolos de autenticação mais fracos sobre o EAP devido à proteção oferecida pelo túnel.
* **PEAP-MSCHAPv2**: Frequentemente referido como PEAP, combina o mecanismo de desafio/resposta vulnerável MSCHAPv2 com um túnel TLS protetor.
* **PEAP-EAP-TLS (ou PEAP-TLS)**: Semelhante ao EAP-TLS, mas inicia um túnel TLS antes da troca de certificados, oferecendo uma camada adicional de segurança.
Você pode encontrar mais informações sobre esses métodos de autenticação [aqui](https://en.wikipedia.org/wiki/Extensible\_Authentication\_Protocol)e [aqui](https://www.intel.com/content/www/us/en/support/articles/000006999/network-and-i-o/wireless-networking.html).
Lendo [https://tools.ietf.org/html/rfc3748#page-27](https://tools.ietf.org/html/rfc3748#page-27) parece que se você estiver usando **EAP**, as **mensagens "Identidade"** devem ser **suportadas**, e o **nome de usuário** será enviado em **texto claro** nas **mensagens "Resposta de Identidade"**.
Mesmo usando um dos métodos de autenticação mais seguros: **PEAP-EAP-TLS**, é possível **capturar o nome de usuário enviado no protocolo EAP**. Para fazer isso, **capture uma comunicação de autenticação** (inicie `airodump-ng` em um canal e `wireshark` na mesma interface) e filtre os pacotes por `eapol`.\
Dentro do pacote "**Resposta, Identidade**", o **nome de usuário** do cliente aparecerá.
Ocultar a identidade é suportado tanto pelo EAP-PEAP quanto pelo EAP-TTLS. No contexto de uma rede WiFi, uma solicitação de EAP-Identidade é tipicamente iniciada pelo ponto de acesso (AP) durante o processo de associação. Para garantir a proteção do anonimato do usuário, a resposta do cliente EAP no dispositivo do usuário contém apenas as informações essenciais necessárias para que o servidor RADIUS inicial processe a solicitação. Esse conceito é ilustrado pelos seguintes cenários:
- Neste cenário, todos os usuários empregam o pseudônimo "anônimo" como identificador de usuário. O servidor RADIUS inicial funciona como um servidor EAP-PEAP ou EAP-TTLS, responsável por gerenciar o lado do servidor do protocolo PEAP ou TTLS. O método de autenticação interno (protegido) é então tratado localmente ou delegado a um servidor RADIUS remoto (doméstico).
- Nesta situação, usuários de diferentes domínios ocultam suas identidades enquanto indicam seus respectivos domínios. Isso permite que o servidor RADIUS inicial encaminhe as solicitações EAP-PEAP ou EAP-TTLS para servidores RADIUS em seus domínios domésticos, que atuam como o servidor PEAP ou TTLS. O servidor RADIUS inicial opera exclusivamente como um nó de retransmissão RADIUS.
- Alternativamente, o servidor RADIUS inicial pode funcionar como o servidor EAP-PEAP ou EAP-TTLS e lidar com o método de autenticação protegido ou encaminhá-lo para outro servidor. Essa opção facilita a configuração de políticas distintas para vários domínios.
No EAP-PEAP, uma vez que o túnel TLS é estabelecido entre o servidor PEAP e o cliente PEAP, o servidor PEAP inicia uma solicitação de EAP-Identidade e a transmite através do túnel TLS. O cliente responde a esta segunda solicitação de EAP-Identidade enviando uma resposta de EAP-Identidade contendo a verdadeira identidade do usuário através do túnel criptografado. Esta abordagem impede efetivamente a revelação da identidade real do usuário para qualquer pessoa que esteja interceptando o tráfego 802.11.
O EAP-TTLS segue um procedimento ligeiramente diferente. Com o EAP-TTLS, o cliente normalmente se autentica usando PAP ou CHAP, protegido pelo túnel TLS. Neste caso, o cliente inclui um atributo Nome de Usuário e um atributo Senha ou CHAP-Senha na mensagem TLS inicial enviada após o estabelecimento do túnel.
Independentemente do protocolo escolhido, o servidor PEAP/TTLS obtém conhecimento da verdadeira identidade do usuário após o estabelecimento do túnel TLS. A verdadeira identidade pode ser representada como usuário@domínio ou simplesmente usuário. Se o servidor PEAP/TTLS também for responsável por autenticar o usuário, ele agora possui a identidade do usuário e prossegue com o método de autenticação protegido pelo túnel TLS. Alternativamente, o servidor PEAP/TTLS pode encaminhar uma nova solicitação RADIUS para o servidor RADIUS doméstico do usuário. Esta nova solicitação RADIUS omite a camada de protocolo PEAP ou TTLS. Nos casos em que o método de autenticação protegido é EAP, as mensagens EAP internas são transmitidas para o servidor RADIUS doméstico sem o invólucro EAP-PEAP ou EAP-TTLS. O atributo Nome de Usuário da mensagem RADIUS de saída contém a verdadeira identidade do usuário, substituindo o Nome de Usuário anônimo da solicitação RADIUS de entrada. Quando o método de autenticação protegido é PAP ou CHAP (suportado apenas pelo TTLS), os atributos de autenticação Nome de Usuário e outros extraídos da carga útil TLS são substituídos na mensagem RADIUS de saída, deslocando o Nome de Usuário anônimo e os atributos de Mensagem EAP-TTLS encontrados na solicitação RADIUS de entrada.
Se o cliente deve usar um **nome de usuário e senha** (observe que o **EAP-TLS não será válido** neste caso), então você pode tentar obter uma **lista** de **nomes de usuários** (veja a próxima parte) e **senhas** e tentar **forçar a entrada** usando [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
- O protocolo 802.11 define como uma estação se junta a um Conjunto de Serviço Estendido (ESS), mas não especifica os critérios para selecionar um ESS ou um ponto de acesso (AP) dentro dele.
- As estações podem se mover entre APs que compartilham o mesmo ESSID, mantendo a conectividade em um prédio ou área.
- O protocolo exige autenticação da estação ao ESS, mas não exige autenticação do AP à estação.
- As estações armazenam o ESSID de cada rede sem fio à qual se conectam em sua Lista de Redes Preferidas (PNL), juntamente com detalhes de configuração específicos da rede.
- Os APs periodicamente transmitem quadros de beacon, anunciando sua presença e recursos, incluindo o ESSID do AP, a menos que a transmissão esteja desativada.
- Durante a varredura passiva, as estações escutam os quadros de beacon. Se o ESSID de um beacon corresponder a uma entrada na PNL da estação, a estação pode se conectar automaticamente a esse AP.
- O conhecimento da PNL de um dispositivo permite a exploração potencial ao imitar o ESSID de uma rede conhecida, enganando o dispositivo para se conectar a um AP falso.
- A sondagem ativa envolve estações enviando solicitações de sondagem para descobrir APs próximos e suas características.
- As solicitações de sondagem direcionadas visam um ESSID específico, ajudando a detectar se uma rede em particular está ao alcance, mesmo que seja uma rede oculta.
- As solicitações de sondagem de transmissão têm um campo SSID nulo e são enviadas a todos os APs próximos, permitindo que a estação verifique qualquer rede preferida sem divulgar o conteúdo de sua PNL.
Antes de explicar como realizar ataques mais complexos, será explicado **como** simplesmente **criar** um **AP** e **redirecionar** seu **tráfego** para uma interface conectada **à****Internet**.
Hostapd é um daemon do host IEEE 802.11 AP e IEEE 802.1X/WPA/WPA2/EAP/RADIUS. Ele é usado para criar pontos de acesso Wi-Fi seguros em sistemas operacionais baseados em Linux.
Um ataque de evil twin explora a forma como os clientes de WiFi reconhecem redes, dependendo principalmente do nome da rede (ESSID) sem exigir que a estação base (ponto de acesso) se autentique ao cliente. Pontos-chave incluem:
- **Dificuldade de Diferenciação**: Dispositivos têm dificuldade em distinguir entre pontos de acesso legítimos e falsos quando compartilham o mesmo ESSID e tipo de criptografia. Redes do mundo real frequentemente usam vários pontos de acesso com o mesmo ESSID para estender a cobertura de forma transparente.
- **Roaming de Cliente e Manipulação de Conexão**: O protocolo 802.11 permite que dispositivos façam roaming entre pontos de acesso dentro do mesmo ESS. Atacantes podem explorar isso atraindo um dispositivo para se desconectar de sua estação base atual e se conectar a um ponto de acesso falso. Isso pode ser alcançado oferecendo um sinal mais forte ou interrompendo a conexão com o ponto de acesso legítimo por meio de métodos como pacotes de desautenticação ou interferência.
- **Desafios na Execução**: Executar com sucesso um ataque de evil twin em ambientes com vários pontos de acesso bem posicionados pode ser desafiador. Desautenticar um único ponto de acesso legítimo frequentemente resulta no dispositivo se conectando a outro ponto de acesso legítimo, a menos que o atacante consiga desautenticar todos os pontos de acesso próximos ou posicionar estrategicamente o ponto de acesso falso.
Você também pode criar um Evil Twin usando **eaphammer** (observe que para criar evil twins com eaphammer a interface **NÃO deve estar** no modo **monitor**):
Por favor, note que por padrão, se um ESSID na PNL for salvo como protegido por WPA, o dispositivo não se conectará automaticamente a um Evil Twin aberto. Você pode tentar fazer um DoS no AP real e esperar que o usuário se conecte manualmente ao seu Evil Twin aberto, ou poderia fazer um DoS no AP real e usar um WPA Evil Twin para capturar o handshake (usando este método você não poderá deixar a vítima se conectar a você, pois não conhece a PSK, mas pode capturar o handshake e tentar quebrá-lo).
Você pode criar um **Evil Twin usando WPA/2** e se os dispositivos estiverem configurados para se conectar a esse SSID com WPA/2, eles tentarão se conectar. De qualquer forma, **para completar o handshake de 4 vias**, você também precisa **saber** a **senha** que o cliente vai usar. Se você **não souber**, a **conexão não será concluída**.
O `hostapd-wpe` precisa de um arquivo de **configuração** para funcionar. Para **automatizar** a geração dessas configurações, você pode usar [https://github.com/WJDigby/apd\_launchpad](https://github.com/WJDigby/apd\_launchpad) (baixe o arquivo python dentro de _/etc/hostapd-wpe/_).
No ficheiro de configuração, pode selecionar várias coisas diferentes como ssid, canal, ficheiros de utilizador, cret/key, parâmetros dh, versão wpa e autenticação...
Por padrão, o EAPHammer utiliza esses métodos de autenticação (observe o GTC como o primeiro a ser tentado para obter senhas em texto simples e depois o uso de métodos de autenticação mais robustos):
Esta é a metodologia padrão para evitar tempos de conexão longos. No entanto, você também pode especificar ao servidor os métodos de autenticação do mais fraco para o mais forte:
*`--negotiate gtc-downgrade` para usar uma implementação de downgrade GTC altamente eficiente (senhas em texto simples)
*`--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP` para especificar manualmente os métodos oferecidos (oferecer os mesmos métodos de autenticação na mesma ordem que a organização tornará o ataque muito mais difícil de detectar).
* [Encontre mais informações na wiki](http://solstice.sh/wireless/eaphammer/2019/09/10/eap-downgrade-attacks/)
`Airgeddon` pode usar certificados previamente gerados para oferecer autenticação EAP a redes WPA/WPA2-Enterprise. A rede falsa irá degradar o protocolo de conexão para EAP-MD5 para poder **capturar o usuário e o MD5 da senha**. Posteriormente, o atacante pode tentar quebrar a senha.\
`Airggedon` oferece a possibilidade de um **ataque Evil Twin contínuo (barulhento)** ou **apenas criar o Evil Attack até que alguém se conecte (suave).**
Dentro da **configuração** do _hostapd-wpe_, **comente** a linha que contém _**dh\_file**_ (de `dh_file=/etc/hostapd-wpe/certs/dh` para `#dh_file=/etc/hostapd-wpe/certs/dh`)\
Isso fará com que o `hostapd-wpe`**troque chaves usando RSA** em vez de DH, para que você possa **descriptografar** o tráfego posteriormente **conhecendo a chave privada do servidor**.
Agora inicie o **Evil Twin** usando o **`hostapd-wpe`** com essa configuração modificada como de costume. Além disso, inicie o **`wireshark`** na **interface** que está realizando o ataque Evil Twin.
Agora ou mais tarde (quando você já capturou algumas intenções de autenticação), você pode adicionar a chave privada RSA ao wireshark em: `Editar --> Preferências --> Protocolos --> TLS --> (Lista de chaves RSA) Editar...`
Adicione uma nova entrada e preencha o formulário com estes valores: **Endereço IP = qualquer** -- **Porta = 0** -- **Protocolo = dados** -- **Arquivo de Chave** (**selecione seu arquivo de chave**, para evitar problemas selecione um arquivo de chave **sem proteção por senha**).
Diferentes tipos de Listas de Filtro de Controle de Acesso de Controle de Mídia (MFACLs) e seus modos correspondentes e efeitos no comportamento de um Ponto de Acesso (AP) falso:
- O AP falso responderá apenas a solicitações de sonda de dispositivos especificados na lista branca, permanecendo invisível para todos os outros não listados.
2.**Lista Negra Baseada em MAC**:
- O AP falso ignorará solicitações de sonda de dispositivos na lista negra, tornando efetivamente o AP falso invisível para esses dispositivos específicos.
- O AP falso responderá a solicitações de sonda apenas para ESSIDs específicos listados, tornando-o invisível para dispositivos cujas Listas de Rede Preferidas (PNLs) não contenham esses ESSIDs.
- O AP falso não responderá a solicitações de sonda para os ESSIDs específicos na lista negra, tornando-o invisível para dispositivos que procuram essas redes específicas.
Este método permite a um **atacante criar um ponto de acesso (AP) malicioso que responde a todos os pedidos de sondagem** de dispositivos que procuram conectar-se a redes. Esta técnica **enganar dispositivos para se conectarem ao AP do atacante** imitando as redes que os dispositivos estão procurando. Uma vez que um dispositivo envia um pedido de conexão para este AP falso, ele completa a conexão, levando o dispositivo a se conectar erroneamente à rede do atacante.
Então, **os dispositivos começaram a ignorar respostas de rede não solicitadas**, reduzindo a eficácia do ataque karma original. No entanto, um novo método, conhecido como o **ataque MANA**, foi introduzido por Ian de Villiers e Dominic White. Este método envolve o AP falso **capturando as Listas de Redes Preferidas (PNL) dos dispositivos respondendo aos seus pedidos de sondagem de transmissão** com nomes de redes (SSIDs) previamente solicitados pelos dispositivos. Este sofisticado ataque contorna as proteções contra o ataque karma original, explorando a forma como os dispositivos lembram e priorizam redes conhecidas.
O ataque MANA opera monitorizando tanto os pedidos de sondagem direcionados como os de transmissão dos dispositivos. Para pedidos direcionados, ele regista o endereço MAC do dispositivo e o nome da rede solicitada, adicionando esta informação a uma lista. Quando é recebido um pedido de transmissão, o AP responde com informações correspondentes a qualquer uma das redes na lista do dispositivo, atraindo o dispositivo para se conectar ao AP falso.
Um ataque **Loud MANA** é uma estratégia avançada para quando os dispositivos não utilizam sondagem direcionada ou quando suas Listas de Redes Preferidas (PNL) são desconhecidas pelo atacante. Ele opera com base no princípio de que **dispositivos na mesma área provavelmente compartilham alguns nomes de rede em suas PNLs**. Em vez de responder seletivamente, esse ataque transmite respostas de sondagem para cada nome de rede (ESSID) encontrado nas PNLs combinadas de todos os dispositivos observados. Essa abordagem ampla aumenta a chance de um dispositivo reconhecer uma rede familiar e tentar se conectar ao Ponto de Acesso (AP) falso.
Quando o ataque **Loud MANA** pode não ser suficiente, o **Ataque de Beacon Conhecido** apresenta outra abordagem. Este método **força a conexão ao simular um AP que responde a qualquer nome de rede, percorrendo uma lista de ESSIDs potenciais** derivados de uma lista de palavras. Isso simula a presença de inúmeras redes, na esperança de corresponder a um ESSID dentro da PNL da vítima, provocando uma tentativa de conexão ao AP fabricado. O ataque pode ser amplificado combinando-o com a opção `--loud` para uma tentativa mais agressiva de capturar dispositivos.
O Eaphammer implementou este ataque como um ataque MANA onde todos os ESSIDs dentro de uma lista são carregados (você também pode combinar isso com `--loud` para criar um ataque Loud MANA + Beacon Conhecido):
O **Ataque de Rajada de Beacons Conhecidos** envolve **a transmissão em rápida sucessão de quadros de beacons para cada ESSID listado em um arquivo**. Isso cria um ambiente denso de redes falsas, aumentando significativamente a probabilidade de dispositivos se conectarem ao AP fraudulento, especialmente quando combinado com um ataque MANA. Essa técnica aproveita a velocidade e o volume para sobrecarregar os mecanismos de seleção de rede dos dispositivos.
**Wi-Fi Direct** é um protocolo que permite que dispositivos se conectem diretamente entre si usando Wi-Fi sem a necessidade de um ponto de acesso sem fio tradicional. Essa capacidade está integrada em vários dispositivos da Internet das Coisas (IoT), como impressoras e televisões, facilitando a comunicação direta de dispositivo para dispositivo. Uma característica notável do Wi-Fi Direct é que um dispositivo assume o papel de ponto de acesso, conhecido como proprietário do grupo, para gerenciar a conexão.
A segurança das conexões Wi-Fi Direct é estabelecida através do **Wi-Fi Protected Setup (WPS)**, que suporta vários métodos para emparelhamento seguro, incluindo:
Esses métodos, especialmente a inserção de PIN, são suscetíveis às mesmas vulnerabilidades que o WPS em redes Wi-Fi tradicionais, tornando-os alvos para vetores de ataque semelhantes.
**Sequestro EvilDirect** é um ataque específico ao Wi-Fi Direct. Ele espelha o conceito de um ataque Evil Twin, mas direcionado às conexões Wi-Fi Direct. Nesse cenário, um atacante se passa por um proprietário de grupo legítimo com o objetivo de enganar dispositivos para se conectarem a uma entidade maliciosa. Esse método pode ser executado usando ferramentas como `airbase-ng`, especificando o canal, ESSID e endereço MAC do dispositivo falsificado:
TODO: Dê uma olhada em [https://github.com/wifiphisher/wifiphisher](https://github.com/wifiphisher/wifiphisher) (login com facebook e imitação de WPA em portais cativos)
<summary><strong>Aprenda hacking AWS do zero ao herói com</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).