Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['generic-methodologies-and-resources/pentesting-wifi/README.

Browse source
This commit is contained in:
Translator 2024-02-01 22:35:58 +00:00
parent a308d5b561
commit 70f9af05ee
1 changed files with 61 additions and 61 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

122
generic-methodologies-and-resources/pentesting-wifi/README.md
View file

@ -8,7 +8,7 @@ Otras formas de apoyar a HackTricks:
* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
@ -16,18 +16,18 @@ Otras formas de apoyar a HackTricks:
<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
Únete al servidor de [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) para comunicarte con hackers experimentados y cazadores de recompensas por errores.
Únete al servidor de [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) para comunicarte con hackers experimentados y cazadores de recompensas por errores!
**Perspectivas de Hacking**\
Interactúa con contenido que profundiza en la emoción y los desafíos del hacking.
Interactúa con contenido que profundiza en la emoción y los desafíos del hacking
**Noticias de Hacking en Tiempo Real**\
Mantente al día con el mundo del hacking de ritmo rápido a través de noticias e insights en tiempo real.
Mantente al día con el mundo del hacking de ritmo rápido a través de noticias e insights en tiempo real
**Últimos Anuncios**\
Mantente informado con los lanzamientos de nuevas recompensas por errores y actualizaciones críticas de la plataforma.
Mantente informado con los lanzamientos de nuevas recompensas por errores y actualizaciones críticas de la plataforma
**Únete a nosotros en** [**Discord**](https://discord.com/invite/N3FrSbmwdy) y comienza a colaborar con los mejores hackers hoy mismo.
**Únete a nosotros en** [**Discord**](https://discord.com/invite/N3FrSbmwdy) y comienza a colaborar con los mejores hackers hoy mismo!
## Comandos básicos de Wifi
```bash
@ -105,7 +105,7 @@ Esta herramienta automatiza ataques **WPS/WEP/WPA-PSK**. Automáticamente:
* \[DoS +] **WPA handshake** captura + Descifrado
* **WPA-MGT**
* **Captura de nombre de usuario**
* **Fuerza bruta** Credenciales
* **Fuerza Bruta** Credenciales
* **Evil Twin** (con o sin DoS)
* **Open** Evil Twin \[+ DoS] -- Útil para capturar credenciales de portal cautivo y/o realizar ataques LAN
* **WPA-PSK** Evil Twin -- Útil para ataques de red si conoces la contraseña
@ -120,7 +120,7 @@ Esta herramienta automatiza ataques **WPS/WEP/WPA-PSK**. Automáticamente:
La forma más común de realizar este tipo de ataque es con paquetes de **desautenticación**. Estos son un tipo de trama de "gestión" responsable de desconectar un dispositivo de un punto de acceso. Falsificar estos paquetes es la clave para [hackear muchas redes Wi-Fi](https://null-byte.wonderhowto.com/how-to/wi-fi-hacking/), ya que puedes desconectar forzosamente a cualquier cliente de la red en cualquier momento. La facilidad con la que esto se puede hacer es algo aterrador y a menudo se hace como parte de la recolección de un handshake WPA para descifrar.
Además de usar momentáneamente esta desconexión para recolectar un handshake para descifrar, también puedes simplemente dejar que esos deauths sigan llegando, lo que tiene el efecto de bombardear al cliente con paquetes de deauth aparentemente provenientes de la red a la que están conectados. Debido a que estas tramas no están cifradas, muchos programas aprovechan las tramas de gestión falsificándolas y enviándolas a uno o todos los dispositivos en una red.\
Además de usar momentáneamente esta desconexión para recolectar un handshake para descifrar, también puedes dejar que esos deauths sigan llegando, lo que tiene el efecto de bombardear al cliente con paquetes de deauth aparentemente provenientes de la red a la que están conectados. Debido a que estas tramas no están cifradas, muchos programas aprovechan las tramas de gestión falsificándolas y enviándolas a uno o todos los dispositivos en una red.\
**Descripción de** [**aquí**](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)**.**
**Desautenticación usando Aireplay-ng**
@ -130,7 +130,7 @@ aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
* \-0 significa desautenticación
* 1 es el número de desautenticaciones a enviar (puedes enviar varias si lo deseas); 0 significa enviarlas continuamente
* \-a 00:14:6C:7E:40:80 es la dirección MAC del punto de acceso
* \-c 00:0F:B5:34:30:30 es la dirección MAC del cliente a desautenticar; si se omite, se envía una desautenticación de difusión (no siempre funciona)
* \-c 00:0F:B5:34:30:30 es la dirección MAC del cliente a desautenticar; si se omite, se envía una desautenticación broadcast (no siempre funciona)
* ath0 es el nombre de la interfaz
### Paquetes de Desasociación
@ -141,7 +141,7 @@ Un AP que busca desconectar un dispositivo no autorizado enviaría un paquete de
**Descripción de** [**aquí**](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)**.**
**Este ataque se puede realizar con mdk4(modo "d"):**
**Este ataque puede ser realizado por mdk4(modo "d"):**
```bash
# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
@ -180,7 +180,7 @@ Sondea APs y verifica respuestas, útil para comprobar si el SSID ha sido correc
**MODO DE ATAQUE m: Explotación de Contramedidas Michael**
Envía paquetes aleatorios o reinjecta duplicados en otra cola QoS para provocar Contramedidas Michael en **APs TKIP**. El AP se apagará durante un minuto entero, lo que lo convierte en un **DoS** efectivo.
Envía paquetes aleatorios o reinyecta duplicados en otra cola QoS para provocar Contramedidas Michael en **APs TKIP**. El AP se apagará durante un minuto entero, lo que lo convierte en un **DoS** efectivo.
```bash
# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
@ -193,13 +193,13 @@ Inunda un AP con marcos **EAPOL** Start para mantenerlo ocupado con **sesiones f
# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]
```
**MODO DE ATAQUE s: Ataques para redes de malla IEEE 802.11s**
**MODO DE ATAQUE s: Ataques para redes malladas IEEE 802.11s**
Varios ataques en la gestión de enlaces y enrutamiento en redes de malla. ¡Inunda vecinos y rutas, crea agujeros negros y desvía el tráfico!
Varios ataques en la gestión de enlaces y enrutamiento en redes malladas. ¡Inunda vecinos y rutas, crea agujeros negros y desvía el tráfico!
**MODO DE ATAQUE w: Confusión WIDS**
Confunde/Abusa de los Sistemas de Detección y Prevención de Intrusiones conectando clientes de manera cruzada a múltiples nodos WDS o APs falsos y maliciosos.
Confunde/Abusa de los Sistemas de Detección y Prevención de Intrusiones conectando clientes a múltiples nodos WDS o APs falsos y maliciosos.
```bash
# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]
@ -216,9 +216,9 @@ _**Airgeddon**_ ofrece la mayoría de los ataques propuestos en los comentarios
## WPS
WPS significa Wi-Fi Protected Setup. Es un estándar de seguridad de red inalámbrica que intenta hacer que las conexiones entre un enrutador y dispositivos inalámbricos sean más rápidas y fáciles. **WPS solo funciona para redes inalámbricas que usan una contraseña** que está cifrada con los protocolos de seguridad **WPA** Personal o **WPA2** Personal. WPS no funciona en redes inalámbricas que están utilizando la seguridad WEP obsoleta, la cual puede ser vulnerada fácilmente por cualquier hacker con un conjunto básico de herramientas y habilidades. (De [aquí](https://www.digitalcitizen.life/simple-questions-what-wps-wi-fi-protected-setup))
WPS significa Wi-Fi Protected Setup. Es un estándar de seguridad de redes inalámbricas que intenta hacer que las conexiones entre un enrutador y dispositivos inalámbricos sean más rápidas y fáciles. **WPS solo funciona para redes inalámbricas que usan una contraseña** que está cifrada con los protocolos de seguridad **WPA** Personal o **WPA2** Personal. WPS no funciona en redes inalámbricas que están utilizando la seguridad WEP obsoleta, la cual puede ser vulnerada fácilmente por cualquier hacker con un conjunto básico de herramientas y habilidades. (De [aquí](https://www.digitalcitizen.life/simple-questions-what-wps-wi-fi-protected-setup))
WPS utiliza un PIN de 8 dígitos para permitir que un usuario se conecte a la red, pero primero se verifica los primeros 4 números y, si son correctos, luego se verifica los segundos 4 números. Entonces, es posible hacer Brute-Force de la primera mitad y luego de la segunda mitad (solo 11000 posibilidades).
WPS utiliza un PIN de 8 dígitos para permitir que un usuario se conecte a la red, pero primero se verifica los primeros 4 números y, si son correctos, entonces se verifica los segundos 4 números. Entonces, es posible hacer Brute-Force de la primera mitad y luego de la segunda mitad (solo 11000 posibilidades).
### WPS Bruteforce
@ -228,9 +228,9 @@ Hay 2 herramientas principales para realizar esta acción: Reaver y Bully.
* **Bully** es una **nueva implementación** del ataque de fuerza bruta WPS, escrita en C. Tiene varias ventajas sobre el código original de reaver: menos dependencias, mejor rendimiento de memoria y CPU, manejo correcto de la endianness y un conjunto de opciones más robusto.
Este ataque aprovecha una **debilidad en el código PIN de WPS de ocho dígitos**; debido a este problema, el protocolo **revela información sobre los primeros cuatro dígitos del PIN**, y el **último** dígito funciona como un **checksum**, lo que facilita el brute forcing del AP WPS.\
Tenga en cuenta que algunos dispositivos incluyen **protecciones contra fuerza bruta**, que generalmente **bloquean direcciones MAC** que intentan atacar repetidamente. En ese caso, la complejidad de este ataque aumenta, porque tendrías que **rotar direcciones MAC** mientras pruebas los PINs.
Ten en cuenta que algunos dispositivos incluyen **protecciones contra fuerza bruta**, que generalmente **bloquean direcciones MAC** que intentan atacar repetidamente. En ese caso, la complejidad de este ataque aumenta, porque tendrías que **rotar direcciones MAC** mientras pruebas los PINs.
Si se encuentra el código WPS válido, tanto Bully como Reaver lo utilizarán para descubrir el PSK WPA/WPA2 utilizado para proteger la red, por lo que podrás conectarte siempre que lo necesites.
Si se encuentra el código WPS válido, tanto Bully como Reaver lo usarán para descubrir el PSK WPA/WPA2 utilizado para proteger la red, por lo que podrás conectarte siempre que lo necesites.
```bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3
@ -239,14 +239,14 @@ bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3
En lugar de comenzar probando todos los PIN posibles, deberías verificar si hay **PINs descubiertos para el AP que estás atacando** (dependiendo del MAC del fabricante) y los **PINs generados por software**.
* La base de datos de PINs conocidos está hecha para Puntos de Acceso de ciertos fabricantes para los cuales se sabe que usan los mismos PINs WPS. Esta base de datos contiene los primeros tres octetos de direcciones MAC y una lista de PINs correspondientes que son muy probables para este fabricante.
* Hay varios algoritmos para generar PINs WPS. Por ejemplo, ComputePIN y EasyBox usan la dirección MAC del Punto de Acceso en sus cálculos. Pero el algoritmo de Arcadyan también requiere una ID de dispositivo.
* La base de datos de PINs conocidos está hecha para Access Points de ciertos fabricantes para los cuales se sabe que usan los mismos PINs WPS. Esta base de datos contiene los primeros tres octetos de direcciones MAC y una lista de PINs correspondientes que son muy probables para este fabricante.
* Hay varios algoritmos para generar PINs WPS. Por ejemplo, ComputePIN y EasyBox usan la dirección MAC del Access Point en sus cálculos. Pero el algoritmo de Arcadyan también requiere una ID de dispositivo.
### Ataque WPS Pixie Dust
Dominique Bongard descubrió que algunos APs tienen formas débiles de generar **nonces** (conocidos como **E-S1** y **E-S2**) que se supone que son secretos. Si podemos descubrir cuáles son estos nonces, podemos encontrar fácilmente el PIN WPS de un AP ya que el AP debe dárnoslo en un hash para probar que también conoce el PIN, y que el cliente no se está conectando a un AP falso. Estos E-S1 y E-S2 son esencialmente las "llaves para desbloquear la caja fuerte" que contiene el PIN WPS. Más información aquí: [https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)](https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-\(Offline-WPS-Attack\))
Básicamente, algunas implementaciones fallaron en el uso de claves aleatorias para encriptar las 2 partes del PIN (ya que se descompone en 2 partes durante la comunicación de autenticación y se envía al cliente), por lo que se podría utilizar un ataque offline para forzar bruscamente el PIN válido.
Básicamente, algunas implementaciones fallaron en el uso de claves aleatorias para encriptar las 2 partes del PIN (ya que se descompone en 2 partes durante la comunicación de autenticación y se envía al cliente), por lo que se podría usar un ataque offline para forzar bruscamente el PIN válido.
```
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3
@ -264,7 +264,7 @@ Todos los ataques WPS propuestos se pueden realizar fácilmente utilizando _**ai
![](<../../.gitbook/assets/image (124).png>)
* 5 y 6 te permiten probar **tu PIN personalizado** (si tienes alguno)
* 7 y 8 realizan el ataque **Pixie Dust**
* 7 y 8 realizan el **ataque Pixie Dust**
* 13 te permite probar el **PIN NULO**
* 11 y 12 **recopilarán los PINes relacionados con el AP seleccionado de bases de datos disponibles** y **generarán** posibles **PINes** utilizando: ComputePIN, EasyBox y opcionalmente Arcadyan (recomendado, ¿por qué no?)
* 9 y 10 probarán **todos los PINes posibles**
@ -318,7 +318,7 @@ hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1
```
Los **PMKIDs capturados** se mostrarán en la **consola** y también se **guardarán** dentro de \_**/tmp/attack.pcap**\_
Ahora, convierte la captura al formato de **hashcat/john** y descríptala:
Ahora, convierta la captura al formato **hashcat/john** y descríbala:
```bash
hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
@ -327,7 +327,7 @@ john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt
Tenga en cuenta que el formato de un hash correcto contiene **4 partes**, como: _4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7\*566f6461666f6e65436f6e6e6563743034383131343838_\
\_\_Si el suyo **solo** contiene **3 partes**, entonces, es **inválido** (la captura de PMKID no fue válida).
Note que `hcxdumptool` **también captura handshakes** (algo así aparecerá: **`MP:M1M2 RC:63258 EAPOLTIME:17091`**). Podría **transformar** los **handshakes** al formato de **hashcat**/**john** utilizando `cap2hccapx`
Note que `hcxdumptool` **también captura handshakes** (algo así aparecerá: **`MP:M1M2 RC:63258 EAPOLTIME:17091`**). Podría **transformar** los **handshakes** al formato de **hashcat**/**john** usando `cap2hccapx`
```bash
tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
@ -335,7 +335,7 @@ hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes
```
_He notado que algunos handshakes capturados con esta herramienta no pudieron ser descifrados incluso sabiendo la contraseña correcta. Recomendaría capturar handshakes también de manera tradicional si es posible, o capturar varios de ellos usando esta herramienta._
_He notado que algunos handshakes capturados con esta herramienta no pudieron ser descifrados incluso conociendo la contraseña correcta. Recomendaría capturar handshakes también de manera tradicional si es posible, o capturar varios de ellos usando esta herramienta._
### Captura de Handshake
@ -350,7 +350,7 @@ aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, not al
```
_Nota que como el cliente fue desautenticado, podría intentar conectarse a un AP diferente o, en otros casos, a una red diferente._
Una vez que en `airodump-ng` aparece información del handshake, esto significa que el handshake fue capturado y puedes dejar de escuchar:
Una vez que en `airodump-ng` aparezca información del handshake, esto significa que el handshake fue capturado y puedes dejar de escuchar:
![](<../../.gitbook/assets/image (172) (1).png>)
@ -389,11 +389,11 @@ Es importante hablar sobre los **diferentes métodos de autenticación** que pod
Principales algoritmos de autenticación utilizados en este caso:
* **EAP-GTC:** Es un método EAP para soportar el uso de tokens de hardware y contraseñas de un solo uso con EAP-PEAP. Su implementación es similar a MSCHAPv2, pero no utiliza un desafío entre pares. En cambio, las contraseñas se envían al punto de acceso en **texto plano** (muy interesante para ataques de degradación).
* **EAP-MD-5 (Message Digest):** El cliente envía el hash MD5 de la contraseña. **No recomendado**: Vulnerable a ataques de diccionario, no hay autenticación del servidor y no hay forma de generar claves de privacidad equivalentes al cableado (WEP) por sesión.
* **EAP-TLS (Transport Layer Security):** Se basa en **certificados del lado del cliente y del servidor** para realizar la autenticación y se puede utilizar para generar dinámicamente claves WEP basadas en el usuario y la sesión para asegurar las comunicaciones posteriores.
* **EAP-TTLS (Tunneled Transport Layer Security):** **Autenticación mutua** del cliente y la red a través de un canal cifrado (o túnel), así como un medio para derivar claves WEP dinámicas, por usuario y por sesión. A diferencia de EAP-TLS, **EAP-TTLS solo requiere certificados del lado del servidor (el cliente usará credenciales)**.
* **PEAP (Protocolo de Autenticación Extensible Protegido):** PEAP es como el protocolo **EAP** pero creando un **túnel TLS** para proteger la comunicación. Luego, protocolos de autenticación débiles pueden ser utilizados sobre EAP ya que estarán protegidos por el túnel.
* **PEAP-MSCHAPv2**: Esto también es conocido simplemente como **PEAP** porque es ampliamente adoptado. Esto es solo el vulnerable desafío/respuesta llamado MSCHAPv2 sobre PEAP (está protegido por el túnel TLS).
* **EAP-MD-5 (Digestión de Mensaje)**: El cliente envía el hash MD5 de la contraseña. **No recomendado**: Vulnerable a ataques de diccionario, no hay autenticación del servidor y no hay forma de generar claves de privacidad equivalentes al cableado (WEP) por sesión.
* **EAP-TLS (Seguridad de la Capa de Transporte)**: Se basa en **certificados del lado del cliente y del servidor** para realizar la autenticación y se puede utilizar para generar dinámicamente claves WEP basadas en el usuario y la sesión para asegurar las comunicaciones subsiguientes.
* **EAP-TTLS (Seguridad de la Capa de Transporte Tunelizada)**: **Autenticación mutua** del cliente y la red a través de un canal cifrado (o túnel), así como un medio para derivar claves WEP dinámicas, por usuario y por sesión. A diferencia de EAP-TLS, **EAP-TTLS solo requiere certificados del lado del servidor (el cliente usará credenciales)**.
* **PEAP (Protocolo de Autenticación Extensible Protegido)**: PEAP es como el protocolo **EAP** pero creando un **túnel TLS** para proteger la comunicación. Luego, se pueden utilizar protocolos de autenticación débiles sobre EAP ya que estarán protegidos por el túnel.
* **PEAP-MSCHAPv2**: Esto también se conoce simplemente como **PEAP** porque es ampliamente adoptado. Esto es solo el desafío/respuesta vulnerable llamado MSCHAPv2 sobre PEAP (está protegido por el túnel TLS).
* **PEAP-EAP-TLS o simplemente PEAP-TLS**: Es muy similar a **EAP-TLS** pero se crea un túnel TLS antes de que se intercambien los certificados.
Puedes encontrar más información sobre estos métodos de autenticación [aquí](https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol) y [aquí](https://www.intel.com/content/www/us/en/support/articles/000006999/network-and-i-o/wireless-networking.html).
@ -411,27 +411,27 @@ Dentro del paquete "**Response, Identity**", aparecerá el **nombre de usuario**
(Información tomada de [https://www.interlinknetworks.com/app_notes/eap-peap.htm](https://www.interlinknetworks.com/app_notes/eap-peap.htm))
Tanto **EAP-PEAP como EAP-TTLS soportan ocultamiento de identidad**. En un entorno WiFi, el punto de acceso (AP) típicamente genera una solicitud de EAP-Identity como parte del proceso de asociación. Para preservar el anonimato, el cliente EAP en el sistema del usuario puede responder con solo suficiente información para permitir que el primer servidor RADIUS procese la solicitud, como se muestra en los siguientes ejemplos.
Tanto **EAP-PEAP como EAP-TTLS soportan ocultación de identidad**. En un entorno WiFi, el punto de acceso (AP) generalmente genera una solicitud de EAP-Identity como parte del proceso de asociación. Para preservar el anonimato, el cliente EAP en el sistema del usuario puede responder solo con la información suficiente para permitir que el primer servidor RADIUS de salto procese la solicitud, como se muestra en los siguientes ejemplos.
* _**EAP-Identity = anonymous**_
> En este ejemplo, todos los usuarios compartirán el pseudo-nombre de usuario “anonymous”. El primer servidor RADIUS es un servidor EAP-PEAP o EAP-TTLS que maneja el extremo del servidor del protocolo PEAP o TTLS. El tipo de autenticación interna (protegida) será entonces manejada localmente o proxy a un servidor RADIUS remoto (de origen).
> En este ejemplo, todos los usuarios compartirán el pseudo-nombre de usuario “anonymous”. El primer servidor RADIUS de salto es un servidor EAP-PEAP o EAP-TTLS que impulsa el extremo del servidor del protocolo PEAP o TTLS. El tipo de autenticación interna (protegida) será entonces manejada localmente o proxy a un servidor RADIUS remoto (de origen).
* _**EAP-Identity = anonymous@realm_x**_
> En este ejemplo, los usuarios pertenecientes a diferentes reinos ocultan su propia identidad pero indican a qué reino pertenecen para que el primer servidor RADIUS pueda hacer proxy de las solicitudes EAP-PEAP o EAP-TTLS a servidores RADIUS en sus reinos de origen que actuarán como el servidor PEAP o TTLS. El primer servidor actúa puramente como un nodo de retransmisión RADIUS.
> En este ejemplo, los usuarios pertenecientes a diferentes reinos ocultan su propia identidad pero indican a qué reino pertenecen para que el primer servidor RADIUS de salto pueda proxy las solicitudes EAP-PEAP o EAP-TTLS a servidores RADIUS en sus reinos de origen que actuarán como el servidor PEAP o TTLS. El primer servidor de salto actúa puramente como un nodo de retransmisión RADIUS.
>
> Alternativamente, el primer servidor puede actuar como el servidor EAP-PEAP o EAP-TTLS y procesar el método de autenticación protegido o hacer proxy a otro servidor. Esta opción puede ser utilizada para configurar diferentes políticas para diferentes reinos.
> Alternativamente, el primer servidor de salto puede actuar como el servidor EAP-PEAP o EAP-TTLS y procesar el método de autenticación protegido o proxy a otro servidor. Esta opción puede ser utilizada para configurar diferentes políticas para diferentes reinos.
En EAP-PEAP, una vez que el servidor PEAP y el cliente PEAP establecen el túnel TLS, el servidor PEAP genera una solicitud de EAP-Identity y la transmite a través del túnel TLS. El cliente responde a esta segunda solicitud de EAP-Identity enviando una respuesta de EAP-Identity que contiene la verdadera identidad del usuario a través del túnel cifrado. Esto evita que cualquiera que esté escuchando el tráfico 802.11 descubra la verdadera identidad del usuario.
En EAP-PEAP, una vez que el servidor PEAP y el cliente PEAP establecen el túnel TLS, el servidor PEAP genera una solicitud de EAP-Identity y la transmite a través del túnel TLS. El cliente responde a esta segunda solicitud de EAP-Identity enviando una respuesta de EAP-Identity que contiene la verdadera identidad del usuario a través del túnel cifrado. Esto evita que cualquier persona que intercepte el tráfico 802.11 descubra la verdadera identidad del usuario.
EAP-TTLS funciona ligeramente diferente. Con EAP-TTLS, el cliente típicamente se autentica a través de PAP o CHAP protegido por el túnel TLS. En este caso, el cliente incluirá un atributo User-Name y un atributo Password o CHAP-Password en el primer mensaje TLS enviado después de que se establezca el túnel.
Con cualquiera de los protocolos, el servidor PEAP/TTLS aprende la verdadera identidad del usuario una vez que se ha establecido el túnel TLS. La verdadera identidad puede ser en la forma _**user@realm**_ o simplemente _**user**_. Si el servidor PEAP/TTLS también está autenticando al _**usuario**_, ahora conoce la identidad del usuario y procede con el método de autenticación que está siendo protegido por el túnel TLS. Alternativamente, el servidor PEAP/TTLS puede reenviar una nueva solicitud RADIUS al servidor RADIUS de origen del usuario. Esta nueva solicitud RADIUS tiene el protocolo PEAP o TTLS eliminado. Si el método de autenticación protegido es EAP, los mensajes EAP internos se transmiten al servidor RADIUS de origen sin el envoltorio EAP-PEAP o EAP-TTLS. El atributo User-Name del mensaje RADIUS saliente contiene la verdadera identidad del usuario, no la identidad anónima del atributo User-Name de la solicitud RADIUS entrante. Si el método de autenticación protegido es PAP o CHAP (solo soportado por TTLS), el User-Name y otros atributos de autenticación recuperados del payload TLS se colocan en el mensaje RADIUS saliente en lugar del User-Name anónimo y los atributos EAP-Message de TTLS incluidos en la solicitud RADIUS entrante.
Con cualquiera de los protocolos, el servidor PEAP/TTLS aprende la verdadera identidad del usuario una vez que se ha establecido el túnel TLS. La verdadera identidad puede ser en la forma _**usuario@reino**_ o simplemente _**usuario**_. Si el servidor PEAP/TTLS también está autenticando al _**usuario**_, ahora conoce la identidad del usuario y procede con el método de autenticación que está siendo protegido por el túnel TLS. Alternativamente, el servidor PEAP/TTLS puede reenviar una nueva solicitud RADIUS al servidor RADIUS de origen del usuario. Esta nueva solicitud RADIUS tiene el protocolo PEAP o TTLS eliminado. Si el método de autenticación protegido es EAP, los mensajes EAP internos se transmiten al servidor RADIUS de origen sin el envoltorio EAP-PEAP o EAP-TTLS. El atributo User-Name del mensaje RADIUS saliente contiene la verdadera identidad del usuario, no la identidad anónima del atributo User-Name del mensaje RADIUS entrante. Si el método de autenticación protegido es PAP o CHAP (solo soportado por TTLS), el User-Name y otros atributos de autenticación recuperados del payload TLS se colocan en el mensaje RADIUS saliente en lugar del User-Name anónimo y los atributos TTLS EAP-Message incluidos en la solicitud RADIUS entrante.
### EAP-Bruteforce (password spray)
### EAP-Bruteforce (ataque de fuerza bruta con contraseñas comunes)
Si se espera que el cliente utilice un **nombre de usuario y contraseña** (nota que **EAP-TLS no será válido** en este caso), entonces podrías intentar obtener una **lista** de **nombres de usuario** (ver la siguiente parte) y **contraseñas** e intentar **fuerza bruta** en el acceso utilizando [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
Si se espera que el cliente utilice un **nombre de usuario y contraseña** (nota que **EAP-TLS no será válido** en este caso), entonces podrías intentar obtener una **lista** de **nombres de usuario** (ver la siguiente parte) y **contraseñas** e intentar **fuerza bruta** el acceso utilizando [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt
```
@ -457,17 +457,17 @@ Cada vez que una estación se conecta a una red inalámbrica, el ESSID de la red
En redes de infraestructura, los puntos de acceso transmiten periódicamente tramas de baliza para anunciar su presencia y capacidades a las estaciones cercanas. Las balizas son tramas de difusión, lo que significa que están destinadas a ser recibidas por todas las estaciones cercanas dentro del alcance. Las balizas incluyen información sobre las tasas soportadas por el AP, capacidades de cifrado, información adicional y, lo más importante, las tramas de baliza contienen el ESSID del AP (siempre que la difusión del ESSID no esté desactivada).
Durante el escaneo pasivo, el dispositivo cliente escucha las tramas de baliza de los puntos de acceso cercanos. Si el dispositivo cliente recibe una trama de baliza cuyo campo ESSID coincide con un ESSID de la PNL del cliente, el cliente se conectará automáticamente al punto de acceso que envió la trama de baliza. Luego, supongamos que queremos dirigirnos a un dispositivo inalámbrico que actualmente no está conectado a ninguna red inalámbrica. Si conocemos al menos una entrada en la PNL de ese cliente, podemos forzar al cliente a conectarse con nosotros simplemente creando nuestro propio punto de acceso con el ESSID de esa entrada.
Durante el escaneo pasivo, el dispositivo cliente escucha tramas de baliza de puntos de acceso cercanos. Si el dispositivo cliente recibe una trama de baliza cuyo campo ESSID coincide con un ESSID de la PNL del cliente, el cliente se conectará automáticamente al punto de acceso que envió la trama de baliza. Luego, supongamos que queremos dirigirnos a un dispositivo inalámbrico que actualmente no está conectado a ninguna red inalámbrica. Si conocemos al menos una entrada en la PNL de ese cliente, podemos forzar al cliente a conectarse con nosotros simplemente creando nuestro propio punto de acceso con el ESSID de esa entrada.
### Sondeo Activo
El segundo algoritmo de selección de red utilizado en 802.11 se conoce como Sondeo Activo. Los dispositivos clientes que utilizan sondeo activo transmiten continuamente tramas de solicitud de sondeo para determinar qué AP están al alcance, así como cuáles son sus capacidades. Las solicitudes de sondeo vienen en dos formas: dirigidas y de difusión. Las solicitudes de sondeo dirigidas están dirigidas a un ESSID específico y son la forma en que el cliente verifica si una red específica está cerca.
El segundo algoritmo de selección de red utilizado en 802.11 se conoce como Sondeo Activo. Los dispositivos clientes que utilizan sondeo activo transmiten continuamente tramas de solicitud de sondeo para determinar qué APs están al alcance, así como cuáles son sus capacidades. Las solicitudes de sondeo vienen en dos formas: dirigidas y de difusión. Las solicitudes de sondeo dirigidas están dirigidas a un ESSID específico y son la forma en que el cliente verifica si una red específica está cerca.
Los clientes que utilizan sondeo dirigido enviarán solicitudes de sondeo para cada red en su PNL. Cabe señalar que el sondeo dirigido es la única forma de identificar la presencia de redes ocultas cercanas. Las solicitudes de sondeo de difusión funcionan casi exactamente de la misma manera, pero se envían con el campo SSID establecido en NULL. Esto dirige la solicitud de sondeo de difusión a todos los puntos de acceso cercanos, permitiendo que la estación verifique si alguna de sus redes preferidas está cerca sin revelar el contenido de su PNL.
## AP Simple con redirección a Internet
Antes de explicar cómo realizar ataques más complejos, se explicará **cómo** simplemente **crear** un **AP** y **redirigir** su **tráfico** a una interfaz conectada **a** la **Internet**.
Antes de explicar cómo realizar ataques más complejos, se va a explicar **cómo** simplemente **crear** un **AP** y **redirigir** su **tráfico** a una interfaz conectada **a** la **Internet**.
Usando `ifconfig -a` verifica que la interfaz wlan para crear el AP y la interfaz conectada a Internet estén presentes.
@ -533,7 +533,7 @@ echo 1 > /proc/sys/net/ipv4/ip_forward
```
## Evil Twin
Un ataque Evil Twin es un tipo de ataque Wi-Fi que se aprovecha del hecho de que la mayoría de las computadoras y teléfonos solo verán el "nombre" o ESSID de una red inalámbrica (ya que la estación base no está obligada a autenticarse contra el cliente). Esto hace que sea muy difícil distinguir entre redes con el mismo nombre y el mismo tipo de cifrado. De hecho, muchas redes tendrán varios puntos de acceso que extienden la red, todos usando el mismo nombre para expandir el acceso sin confundir a los usuarios.
Un ataque Evil Twin es un tipo de ataque Wi-Fi que se aprovecha del hecho de que la mayoría de las computadoras y teléfonos solo verán el "nombre" o ESSID de una red inalámbrica (ya que la estación base no está obligada a autenticarse contra el cliente). Esto realmente hace que sea muy difícil distinguir entre redes con el mismo nombre y el mismo tipo de cifrado. De hecho, muchas redes tendrán varios puntos de acceso que extienden la red, todos usando el mismo nombre para expandir el acceso sin confundir a los usuarios.
Debido a cómo funciona la implementación de los clientes (recuerda que el protocolo 802.11 permite que las estaciones se muevan libremente entre puntos de acceso dentro del mismo ESS), es posible hacer que un dispositivo cambie la estación base a la que está conectado. Es posible hacerlo ofreciendo una mejor señal (lo cual no siempre es posible) o bloqueando el acceso a la estación base original (paquetes de desautenticación, interferencias o alguna otra forma de ataque DoS).
@ -551,11 +551,11 @@ O utilizando Airgeddon: `Opciones: 5,6,7,8,9 (dentro del menú de ataque Evil Tw
![](<../../.gitbook/assets/image (148).png>)
Por favor, ten en cuenta que por defecto si un ESSID en la PNL está guardado como protegido con WPA, el dispositivo no se conectará automáticamente a un Evil Twin abierto. Puedes intentar hacer DoS al AP real y esperar que el usuario se conecte manualmente a tu Evil Twin abierto, o podrías hacer DoS al AP real y usar un WPA Evil Twin para capturar el handshake (usando este método no podrás permitir que la víctima se conecte a ti ya que no conoces el PSK, pero puedes capturar el handshake e intentar descifrarlo).
Por favor, ten en cuenta que por defecto si un ESSID en la PNL está guardado como protegido por WPA, el dispositivo no se conectará automáticamente a un Evil Twin abierto. Puedes intentar hacer DoS al AP real y esperar que el usuario se conecte manualmente a tu Evil Twin abierto, o podrías hacer DoS al AP real y usar un Evil Twin WPA para capturar el handshake (usando este método no podrás permitir que la víctima se conecte a ti ya que no conoces el PSK, pero puedes capturar el handshake e intentar descifrarlo).
_Algunos sistemas operativos y antivirus advertirán al usuario que conectarse a una red abierta es peligroso..._
### WPA/WPA2 Evil Twin
### Evil Twin WPA/WPA2
Puedes crear un **Evil Twin usando WPA/2** y si los dispositivos están configurados para conectarse a ese SSID con WPA/2, intentarán conectarse. De todos modos, **para completar el 4-way-handshake** también necesitas **conocer** la **contraseña** que el cliente va a usar. Si **no la conoces**, la **conexión no se completará**.
```
@ -572,7 +572,7 @@ Para entender estos ataques, recomendaría leer primero la breve [explicación d
./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s
```
En el archivo de configuración puedes seleccionar muchas cosas diferentes como ssid, canal, archivos de usuario, cret/key, parámetros dh, versión wpa y autenticación...
En el archivo de configuración puedes seleccionar una gran variedad de cosas como ssid, canal, archivos de usuario, cret/key, parámetros dh, versión wpa y autenticación...
[**Usando hostapd-wpe con EAP-TLS para permitir que cualquier certificado inicie sesión.**](evil-twin-eap-tls.md)
@ -584,7 +584,7 @@ En el archivo de configuración puedes seleccionar muchas cosas diferentes como
# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds
```
Por defecto, EAPHammer utiliza estos métodos de autenticación (observe GTC como el primero en intentar obtener contraseñas en texto plano y luego el uso de métodos de autenticación más robustos):
Por defecto, EAPHammer utiliza estos métodos de autenticación (observa GTC como el primero en intentar obtener contraseñas en texto plano y luego el uso de métodos de autenticación más robustos):
```
GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5
```
@ -600,8 +600,8 @@ O también podrías usar:
**Usando Airgeddon**
`Airgeddon` puede usar certificados previamente generados para ofrecer autenticación EAP a redes WPA/WPA2-Enterprise. La red falsa degradará el protocolo de conexión a EAP-MD5 para poder **capturar el usuario y el MD5 de la contraseña**. Luego, el atacante puede intentar descifrar la contraseña.\
`Airggedon` te ofrece la posibilidad de un ataque **Evil Twin continuo (ruidoso)** o **solo crear el ataque Evil Twin hasta que alguien se conecte (suave).**
`Airgeddon` puede usar certificados previamente generados para ofrecer autenticación EAP a redes WPA/WPA2-Enterprise. La red falsa degradará el protocolo de conexión a EAP-MD5 para que pueda **capturar el usuario y el MD5 de la contraseña**. Luego, el atacante puede intentar descifrar la contraseña.\
`Airggedon` te ofrece la posibilidad de un **ataque Evil Twin continuo (ruidoso)** o **solo crear el ataque Evil Twin hasta que alguien se conecte (suave).**
![](<../../.gitbook/assets/image (129).png>)
@ -614,13 +614,13 @@ Esto hará que `hostapd-wpe` **intercambie claves usando RSA** en lugar de DH, p
Ahora inicia el **Evil Twin** usando **`hostapd-wpe`** con esa configuración modificada como de costumbre. Además, inicia **`wireshark`** en la **interfaz** que está realizando el ataque Evil Twin.
Ahora o más tarde (cuando ya hayas capturado algunos intentos de autenticación) puedes agregar la clave privada RSA a wireshark en: `Editar --> Preferencias --> Protocolos --> TLS --> (lista de claves RSA) Editar...`
Ahora o más tarde (cuando ya hayas capturado algunos intentos de autenticación) puedes agregar la clave privada RSA a wireshark en: `Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...`
Agrega una nueva entrada y completa el formulario con estos valores: **Dirección IP = cualquier** -- **Puerto = 0** -- **Protocolo = data** -- **Archivo de clave** (**selecciona tu archivo de clave**, para evitar problemas selecciona un archivo de clave **sin protección por contraseña**).
Agrega una nueva entrada y completa el formulario con estos valores: **IP address = any** -- **Port = 0** -- **Protocol = data** -- **Key File** (**selecciona tu archivo de clave**, para evitar problemas selecciona un archivo de clave **sin protección por contraseña**).
![](<../../.gitbook/assets/image (151).png>)
Y mira la nueva pestaña **"TLS descifrado"**:
Y mira la nueva pestaña **"Decrypted TLS"**:
![](<../../.gitbook/assets/image (152).png>)
@ -628,7 +628,7 @@ Y mira la nueva pestaña **"TLS descifrado"**:
### Listas negras/blancas de ESSID y MAC
La siguiente tabla enumera los diferentes tipos de MFACLs (Listas de Control de Acceso de Tramas de Gestión) disponibles, así como sus efectos cuando se utilizan:
La siguiente tabla enumera los diferentes tipos de MFACLs (Listas de Control de Acceso de Marcos de Gestión) disponibles, así como sus efectos cuando se utilizan:
![](<../../.gitbook/assets/image (149).png>)
```
@ -658,7 +658,7 @@ Los ataques KARMA son una segunda forma de ataque de punto de acceso falso que e
### MANA
Según Ian de Villiers y Dominic White, las estaciones modernas están diseñadas para protegerse contra ataques KARMA ignorando las respuestas de sondeo dirigidas de puntos de acceso que no hayan respondido al menos a una solicitud de sondeo de difusión. Esto llevó a una disminución significativa en el número de estaciones que eran vulnerables a ataques KARMA hasta 2015, cuando White y de Villiers desarrollaron un medio para eludir dichas protecciones. En el ataque KARMA mejorado de White y de Villiers (ataque MANA), se utilizan respuestas de sondeo dirigidas para reconstruir las PNL de las estaciones cercanas. Cuando se recibe una solicitud de sondeo de difusión de una estación, el punto de acceso del atacante responde con un SSID arbitrario de la PNL de la estación que ya se vio en un sondeo directo de ese dispositivo.
Según Ian de Villiers y Dominic White, las estaciones modernas están diseñadas para protegerse contra ataques KARMA ignorando respuestas de sondeo dirigidas de puntos de acceso que no hayan respondido al menos a una solicitud de sondeo de difusión. Esto llevó a una disminución significativa en el número de estaciones vulnerables a ataques KARMA hasta 2015, cuando White y de Villiers desarrollaron un medio para eludir dichas protecciones. En el ataque KARMA mejorado de White y de Villiers (ataque MANA), se utilizan respuestas de sondeo dirigidas para reconstruir las PNL de las estaciones cercanas. Cuando se recibe una solicitud de sondeo de difusión de una estación, el punto de acceso del atacante responde con un SSID arbitrario de la PNL de la estación que ya se vio en un sondeo directo de ese dispositivo.
En resumen, el algoritmo MANA funciona así: cada vez que el punto de acceso recibe una solicitud de sondeo, primero determina si es una solicitud de sondeo de difusión o dirigida. Si es dirigida, la dirección MAC del remitente se agrega a la tabla hash (si aún no está allí) y el ESSID se agrega a la PNL de ese dispositivo. El AP luego responde con una respuesta de sondeo dirigida. Si es una solicitud de sondeo de difusión, el punto de acceso responde con respuestas de sondeo para cada una de las redes en la PNL de ese dispositivo.
@ -672,7 +672,7 @@ Tenga en cuenta que el ataque MANA estándar aún no nos permite atacar disposit
Una posibilidad es lo que se llama ataque Loud MANA. Este ataque se basa en la idea de que los dispositivos cliente que se encuentran en proximidad física cercana entre sí probablemente tengan al menos algunas entradas comunes en sus PNLs.
En resumen, el ataque Loud MANA en lugar de responder a las solicitudes de sondeo con cada ESSID en la PNL de un dispositivo en particular, el AP malicioso envía respuestas de sondeo para cada ESSID en todas las PNLs de todos los dispositivos que ha visto antes. Relacionando esto con la teoría de conjuntos, podemos decir que el AP envía respuestas de sondeo para cada ESSID en la unión de todas las PNLs de los dispositivos cercanos.
En resumen, el ataque Loud MANA en lugar de responder a las solicitudes de sondeo con cada ESSID en la PNL de un dispositivo en particular, el AP malicioso envía respuestas de sondeo para cada ESSID en cada PNL de todos los dispositivos que ha visto antes. Relacionando esto con la teoría de conjuntos, podemos decir que el AP envía respuestas de sondeo para cada ESSID en la unión de todas las PNLs de los dispositivos cercanos.
```
./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]
```
@ -680,7 +680,7 @@ En resumen, el ataque Loud MANA en lugar de responder a las solicitudes de sonde
Aún hay casos en los que el ataque Loud MANA no tendrá éxito.\
El ataque Known Beacon es una forma de "Fuerza Bruta" para intentar que la víctima se conecte con el atacante. El atacante crea un AP que responde a cualquier ESSID y ejecuta código enviando beacons que fingen ESSIDs de cada nombre dentro de una lista de palabras. Con suerte, la víctima contendrá algunos de estos nombres de ESSID dentro de su PNL e intentará conectarse al AP falso.\
Eaphammer implementó este ataque como un ataque MANA donde todos los ESSIDs dentro de una lista se cargan (también podrías combinar esto con `--loud` para crear un ataque Loud MANA + Known beacons):
Eaphammer implementó este ataque como un ataque MANA donde todos los ESSIDs dentro de una lista son cargados (también podrías combinar esto con `--loud` para crear un ataque Loud MANA + Known beacons):
```
./eaphammer -i wlan0 --mana [--loud] --known-beacons --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]
```
@ -699,13 +699,13 @@ Como es sabido, los beacons son ruidosos. Puedes usar un script dentro del proye
Wi-Fi Direct es un estándar de Wi-Fi que permite a los dispositivos conectarse entre sí sin un AP inalámbrico, ya que uno de los dos dispositivos actuará como AP (llamado propietario del grupo). Puedes encontrar Wi-Fi Direct en muchos dispositivos IoT como impresoras, televisores...
Wi-Fi Direct depende de Wi-Fi Protected Setup (**WPS**) para conectar los dispositivos de manera segura. WPS tiene múltiples métodos de configuración como Configuración de **Push-Button** (PBC), entrada de **PIN** y Comunicación de **Campo Cercano** (NFC)
Wi-Fi Direct depende de Wi-Fi Protected Setup (**WPS**) para conectar los dispositivos de manera segura. WPS tiene varios métodos de configuración como Configuración **Push-Button** (PBC), entrada de **PIN** y Comunicación **Near-Field** (NFC)
Por lo tanto, los ataques previamente vistos a WPS PIN también son válidos aquí si se utiliza PIN.
### Secuestro de EvilDirect
### EvilDirect Hijacking
Esto funciona como un Evil-Twin pero para Wi-Fi direct, puedes suplantar a un propietario de grupo para intentar que otros dispositivos como teléfonos se conecten a ti: `airbase-ng -c 6 -e DIRECT-5x-BRAVIA -a BB:BB:BB:BB:BB:BB mon0`
Esto funciona como un Evil-Twin pero para Wi-Fi direct, puedes suplantar a un propietario del grupo para intentar que otros dispositivos como teléfonos se conecten a ti: `airbase-ng -c 6 -e DIRECT-5x-BRAVIA -a BB:BB:BB:BB:BB:BB mon0`
## Referencias
@ -731,7 +731,7 @@ Interactúa con contenido que profundiza en la emoción y los desafíos del hack
Mantente al día con el mundo del hacking a través de noticias e insights en tiempo real.
**Últimos Anuncios**\
Mantente informado con los lanzamientos de nuevas recompensas por errores y actualizaciones cruciales de la plataforma.
Mantente informado con los lanzamientos de nuevas recompensas por errores y actualizaciones críticas de la plataforma.
**Únete a nosotros en** [**Discord**](https://discord.com/invite/N3FrSbmwdy) y comienza a colaborar con los mejores hackers hoy mismo.
@ -745,6 +745,6 @@ Otras formas de apoyar a HackTricks:
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos.
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sigue** a **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) en github.
</details>