Pentesting Wifi
Last updated
Last updated
Rejoignez le serveur HackenProof Discord pour communiquer avec des pirates expérimentés et des chasseurs de primes en bugs !
Perspectives de piratage Engagez-vous avec du contenu qui explore le frisson et les défis du piratage
Actualités de piratage en temps réel Restez à jour avec le monde du piratage en évolution rapide grâce aux actualités et aux informations en temps réel
Dernières annonces Restez informé des dernières primes de bugs lancées et des mises à jour cruciales de la plateforme
Rejoignez-nous sur Discord et commencez à collaborer avec les meilleurs pirates dès aujourd'hui !
Airgeddon est un outil tout-en-un pour les tests de sécurité sans fil sur les réseaux Wi-Fi. Il combine de nombreuses attaques puissantes dans un seul framework, ce qui en fait un choix populaire parmi les pentesteurs et les chercheurs en sécurité.
Exécutez airgeddon avec docker
Il peut effectuer des attaques Evil Twin, KARMA et Known Beacons, puis utiliser un modèle de phishing pour parvenir à obtenir le vrai mot de passe du réseau ou capturer les identifiants des réseaux sociaux.
Cet outil automatise les attaques WPS/WEP/WPA-PSK. Il effectuera automatiquement :
Mettre l'interface en mode monitor
Scanner les réseaux possibles - Et vous permet de sélectionner la victime(s)
Si WEP - Lancer des attaques WEP
Si WPA-PSK
Si WPS : Attaque Pixie dust et attaque par force brute (soyez prudent, l'attaque par force brute pourrait prendre beaucoup de temps). Notez qu'il n'essaie pas les PIN nuls ou les PIN générés par base de données.
Essayer de capturer le PMKID de l'AP pour le craquer
Essayer de déauthentifier les clients de l'AP pour capturer un handshake
Si PMKID ou Handshake, essayer de faire une attaque par force brute en utilisant les 5000 meilleurs mots de passe.
DoS
Paquets de déauthentification/désassociation -- Déconnecter tout le monde (ou un ESSID/Client spécifique)
Faux AP aléatoires -- Cacher les réseaux, possible de crasher les scanners
Surcharge de l'AP -- Essayer de tuer l'AP (généralement pas très utile)
WIDS -- Jouer avec l'IDS
TKIP, EAPOL -- Quelques attaques spécifiques pour DoS certains APs
Cracking
Cracker WEP (plusieurs outils et méthodes)
WPA-PSK
WPS pin "Brute-Force"
WPA PMKID bruteforce
[DoS +] Capture de WPA handshake + Cracking
WPA-MGT
Capture de Nom d'utilisateur
Bruteforce des identifiants
Jumeau maléfique (avec ou sans DoS)
Jumeau maléfique Ouvert [+ DoS] -- Utile pour capturer les identifiants du portail captif et/ou effectuer des attaques LAN
Jumeau maléfique WPA-PSK -- Utile pour les attaques réseau si vous connaissez le mot de passe
WPA-MGT -- Utile pour capturer les identifiants de l'entreprise
KARMA, MANA, MANA bruyant, Balise connue
+ Ouvert -- Utile pour capturer les identifiants du portail captif et/ou effectuer des attaques LAN
+ WPA -- Utile pour capturer les handshakes WPA
Description de ici:.
Les attaques de déauthentification, une méthode courante dans le piratage Wi-Fi, consistent à forger des trames "de gestion" pour déconnecter de force les appareils d'un réseau. Ces paquets non chiffrés trompent les clients en leur faisant croire qu'ils proviennent du réseau légitime, permettant aux attaquants de collecter des handshakes WPA à des fins de craquage ou de perturber de manière persistante les connexions réseau. Cette tactique, alarmante par sa simplicité, est largement utilisée et a des implications significatives pour la sécurité des réseaux.
Déauthentification en utilisant Aireplay-ng
-0 signifie déauthentification
1 est le nombre de déauthentifications à envoyer (vous pouvez en envoyer plusieurs si vous le souhaitez); 0 signifie les envoyer en continu
-a 00:14:6C:7E:40:80 est l'adresse MAC du point d'accès
-c 00:0F:B5:34:30:30 est l'adresse MAC du client à déauthentifier; si cela est omis, une déauthentification de diffusion est envoyée (ne fonctionne pas toujours)
ath0 est le nom de l'interface
Les paquets de désassociation, similaires aux paquets de déauthentification, sont un type de trame de gestion utilisée dans les réseaux Wi-Fi. Ces paquets servent à rompre la connexion entre un appareil (tel qu'un ordinateur portable ou un smartphone) et un point d'accès (AP). La principale distinction entre la désassociation et la déauthentification réside dans leurs scénarios d'utilisation. Alors qu'un AP émet des **paquets de déauthentification pour retirer explicitement les appareils indésirables du réseau, les paquets de désassociation sont généralement envoyés lorsque l'AP est en cours d'arrêt, de redémarrage ou de déplacement, nécessitant ainsi la déconnexion de tous les nœuds connectés.
Cette attaque peut être effectuée par mdk4 (mode "d"):
Dans ce lien.
MODE D'ATTAQUE b : Inondation de balises
Envoie des trames de balises pour afficher de faux AP aux clients. Cela peut parfois faire planter les scanners réseau et même les pilotes !
MODE D'ATTAQUE a: Déni de service d'authentification
L'envoi de trames d'authentification à tous les Points d'Accès (APs) accessibles dans la portée peut surcharger ces APs, surtout lorsque de nombreux clients sont impliqués. Ce trafic intense peut entraîner une instabilité du système, provoquant le gel ou même la réinitialisation de certains APs.
MODE D'ATTAQUE p: Exploration et Bruteforcing des SSID
L'exploration des Points d'Accès (AP) vérifie si un SSID est correctement révélé et confirme la portée de l'AP. Cette technique, associée au bruteforcing des SSID cachés avec ou sans liste de mots, aide à identifier et accéder aux réseaux dissimulés.
MODE D'ATTAQUE m: Exploitation des Contremesures de Michael
L'envoi de paquets aléatoires ou dupliqués à différentes files QoS peut déclencher les Contremesures de Michael sur les AP TKIP, entraînant un arrêt d'une minute de l'AP. Cette méthode est une tactique d'attaque DoS (Déni de Service) efficace.
MODE D'ATTAQUE e: Injection de paquets EAPOL Start et Logoff
Inonder un point d'accès avec des trames de démarrage EAPOL crée des sessions fictives, submergeant le point d'accès et bloquant les clients légitimes. Alternativement, injecter des faux messages de déconnexion EAPOL déconnecte de force les clients, ces deux méthodes perturbent efficacement le service réseau.
MODE D'ATTAQUE s : Attaques pour les réseaux maillés IEEE 802.11s
Diverses attaques sur la gestion des liens et le routage dans les réseaux maillés.
MODE D'ATTAQUE w : Confusion WIDS
La connexion croisée des clients à plusieurs nœuds WDS ou à de faux AP malveillants peut manipuler les systèmes de détection et de prévention des intrusions, créant de la confusion et un potentiel d'abus du système.
MODE D'ATTAQUE f: Packet Fuzzer
Un packet fuzzer proposant diverses sources de paquets et un ensemble complet de modificateurs pour la manipulation de paquets.
Airgeddon propose la plupart des attaques proposées dans les commentaires précédents :
WPS (Wi-Fi Protected Setup) simplifie le processus de connexion des appareils à un routeur, améliorant la vitesse et la facilité de configuration pour les réseaux cryptés avec WPA ou WPA2 Personnel. Il est inefficace pour la sécurité WEP facilement compromise. WPS utilise un PIN à 8 chiffres, validé en deux moitiés, le rendant susceptible aux attaques par force brute en raison de son nombre limité de combinaisons (11 000 possibilités).
Il existe 2 principaux outils pour effectuer cette action : Reaver et Bully.
Reaver a été conçu pour être une attaque robuste et pratique contre WPS, et a été testé contre une grande variété de points d'accès et d'implémentations WPS.
Bully est une nouvelle implémentation de l'attaque par force brute WPS, écrite en C. Il présente plusieurs avantages par rapport au code reaver original : moins de dépendances, amélioration des performances mémoire et CPU, gestion correcte de l'endianness et un ensemble d'options plus robuste.
L'attaque exploite la vulnérabilité du PIN WPS, en particulier son exposition des quatre premiers chiffres et le rôle du dernier chiffre en tant que checksum, facilitant l'attaque par force brute. Cependant, les défenses contre les attaques par force brute, comme le blocage des adresses MAC des attaquants agressifs, exigent une rotation des adresses MAC pour poursuivre l'attaque.
Après avoir obtenu le PIN WPS avec des outils comme Bully ou Reaver, l'attaquant peut déduire le PSK WPA/WPA2, assurant un accès réseau persistant.
Brute Force Intelligent
Cette approche affinée cible les PIN WPS en utilisant des vulnérabilités connues :
PINs pré-découverts : Utilisez une base de données de PINs connus liés à des fabricants spécifiques connus pour utiliser des PINs WPS uniformes. Cette base de données corrèle les trois premiers octets des adresses MAC avec des PINs probables pour ces fabricants.
Algorithmes de génération de PIN : Exploitez des algorithmes comme ComputePIN et EasyBox, qui calculent des PINs WPS basés sur l'adresse MAC de l'AP. L'algorithme Arcadyan nécessite en outre un ID de périphérique, ajoutant une couche au processus de génération de PIN.
Dominique Bongard a découvert une faille dans certains Points d'Accès (AP) concernant la création de codes secrets, appelés nonces (E-S1 et E-S2). Si ces nonces peuvent être découverts, le craquage du PIN WPS de l'AP devient facile. L'AP révèle le PIN dans un code spécial (hash) pour prouver qu'il est légitime et non un AP faux (rogue). Ces nonces sont essentiellement les "clés" pour déverrouiller le "coffre-fort" qui contient le PIN WPS. Plus d'informations à ce sujet peuvent être trouvées ici.
En termes simples, le problème est que certains AP n'utilisaient pas des clés assez aléatoires pour chiffrer le PIN lors du processus de connexion. Cela rend le PIN vulnérable à être deviné depuis l'extérieur du réseau (attaque de force brute hors ligne).
Si vous ne voulez pas passer l'appareil en mode monitor, ou si reaver
et bully
posent problème, vous pouvez essayer OneShot-C. Cet outil peut effectuer une attaque Pixie Dust sans avoir à passer en mode monitor.
Certains systèmes mal conçus permettent même à un code PIN nul (un code PIN vide ou inexistant) d'accorder l'accès, ce qui est assez inhabituel. L'outil Reaver est capable de tester cette vulnérabilité, contrairement à Bully.
Toutes les attaques WPS proposées peuvent être facilement effectuées en utilisant airgeddon.
5 et 6 vous permettent d'essayer votre PIN personnalisé (si vous en avez un)
7 et 8 effectuent l'attaque Pixie Dust
13 vous permet de tester le PIN NULL
11 et 12 vont récupérer les PINs liés à l'AP sélectionné à partir des bases de données disponibles et générer des PINs possibles en utilisant : ComputePIN, EasyBox et éventuellement Arcadyan (recommandé, pourquoi pas ?)
9 et 10 vont tester chaque PIN possible
Tellement obsolète et inutilisé de nos jours. Sachez simplement que airgeddon a une option WEP appelée "All-in-One" pour attaquer ce type de protection. Plusieurs outils offrent des options similaires.
Rejoignez le serveur HackenProof Discord pour communiquer avec des hackers expérimentés et des chasseurs de bugs !
Perspectives sur le Hacking Engagez-vous avec du contenu qui explore le frisson et les défis du hacking
Actualités de Hacking en Temps Réel Restez à jour avec le monde du hacking en évolution rapide grâce aux actualités et aux informations en temps réel
Dernières Annonces Restez informé des dernières primes de bugs lancées et des mises à jour cruciales de la plateforme
Rejoignez-nous sur Discord et commencez à collaborer avec les meilleurs hackers dès aujourd'hui !
En 2018, hashcat a révélé une nouvelle méthode d'attaque, unique car elle ne nécessite qu'un seul paquet et ne nécessite pas que des clients soient connectés à l'AP cible, juste une interaction entre l'attaquant et l'AP.
De nombreux routeurs modernes ajoutent un champ optionnel au premier cadre EAPOL lors de l'association, connu sous le nom de Robust Security Network
. Cela inclut le PMKID
.
Comme l'article original l'explique, le PMKID est créé en utilisant des données connues :
Étant donné que le "Nom PMK" est constant, nous connaissons le BSSID de l'AP et de la station, et le PMK
est identique à celui d'une poignée de main complète en 4 étapes, hashcat peut utiliser ces informations pour craquer le PSK et récupérer la phrase secrète!
Pour collecter ces informations et effectuer une attaque par force brute localement sur le mot de passe, vous pouvez faire :
Les PMKIDs capturés seront affichés dans la console et également enregistrés dans _/tmp/attack.pcap_ Maintenant, convertissez la capture au format hashcat/john et crackez-la:
Veuillez noter que le format correct d'un hachage contient 4 parties, comme ceci : 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838
Si le vôtre ne contient que 3 parties, alors il est invalide (la capture PMKID n'était pas valide).
Notez que hcxdumptool
capture également les poignées de main (quelque chose comme ceci apparaîtra : MP:M1M2 RC:63258 EAPOLTIME:17091
). Vous pouvez transformer les poignées de main au format hashcat/john en utilisant cap2hccapx
J'ai remarqué que certaines poignées de main capturées avec cet outil ne pouvaient pas être craquées même en connaissant le mot de passe correct. Je recommanderais de capturer les poignées de main également de manière traditionnelle si possible, ou d'en capturer plusieurs en utilisant cet outil.
Une attaque sur les réseaux WPA/WPA2 peut être exécutée en capturant une poignée de main et en tentant de craquer le mot de passe hors ligne. Ce processus implique de surveiller la communication d'un réseau spécifique et du BSSID sur un canal particulier. Voici un guide simplifié :
Identifier le BSSID, le canal et un client connecté du réseau cible.
Utiliser airodump-ng
pour surveiller le trafic réseau sur le canal et le BSSID spécifiés, en espérant capturer une poignée de main. La commande ressemblera à ceci :
Pour augmenter les chances de capturer une poignée de main, déconnectez momentanément le client du réseau pour forcer une nouvelle authentification. Cela peut être fait en utilisant la commande aireplay-ng
, qui envoie des paquets de déauthentification au client :
Notez que lorsque le client a été désauthentifié, il pourrait essayer de se connecter à un autre AP ou, dans d'autres cas, à un réseau différent.
Une fois que les informations de poignée de main apparaissent dans airodump-ng
, cela signifie que la poignée de main a été capturée et vous pouvez arrêter d'écouter :
Une fois la poignée de main capturée, vous pouvez la cracker avec aircrack-ng
:
aircrack
tshark
Si cet outil trouve une poignée de main incomplète d'un ESSID avant la complète, il ne détectera pas la valide.
pyrit
Dans les configurations WiFi d'entreprise, vous rencontrerez diverses méthodes d'authentification, offrant chacune différents niveaux de sécurité et fonctionnalités de gestion. Lorsque vous utilisez des outils tels que airodump-ng
pour inspecter le trafic réseau, vous pouvez remarquer des identifiants pour ces types d'authentification. Certaines méthodes courantes incluent :
EAP-GTC (Generic Token Card):
Cette méthode prend en charge les jetons matériels et les mots de passe à usage unique dans EAP-PEAP. Contrairement à MSCHAPv2, elle n'utilise pas de défi pair et envoie les mots de passe en texte clair à l'accès point, ce qui pose un risque d'attaques de rétrogradation.
EAP-MD5 (Message Digest 5):
Implique l'envoi du hachage MD5 du mot de passe depuis le client. Il n'est pas recommandé en raison de la vulnérabilité aux attaques par dictionnaire, du manque d'authentification du serveur et de l'incapacité à générer des clés WEP spécifiques à la session.
EAP-TLS (Transport Layer Security):
Utilise à la fois des certificats côté client et côté serveur pour l'authentification et peut générer dynamiquement des clés WEP basées sur l'utilisateur et la session pour sécuriser les communications.
EAP-TTLS (Tunneled Transport Layer Security):
Fournit une authentification mutuelle via un tunnel chiffré, ainsi qu'une méthode pour dériver des clés WEP dynamiques, par utilisateur et par session. Il ne nécessite que des certificats côté serveur, les clients utilisant des identifiants.
PEAP (Protected Extensible Authentication Protocol):
Fonctionne de manière similaire à EAP en créant un tunnel TLS pour une communication protégée. Il permet l'utilisation de protocoles d'authentification plus faibles sur EAP en raison de la protection offerte par le tunnel.
PEAP-MSCHAPv2: Souvent appelé PEAP, il combine le mécanisme de défi/réponse MSCHAPv2 vulnérable avec un tunnel TLS protecteur.
PEAP-EAP-TLS (ou PEAP-TLS): Similaire à EAP-TLS mais initie un tunnel TLS avant l'échange de certificats, offrant une couche de sécurité supplémentaire.
Vous pouvez trouver plus d'informations sur ces méthodes d'authentification ici et ici.
En lisant https://tools.ietf.org/html/rfc3748#page-27, il semble que si vous utilisez EAP, les messages "Identité" doivent être pris en charge, et le nom d'utilisateur sera envoyé en clair dans les messages "Réponse Identité".
Même en utilisant l'une des méthodes d'authentification les plus sécurisées : PEAP-EAP-TLS, il est possible de capturer le nom d'utilisateur envoyé dans le protocole EAP. Pour ce faire, capturez une communication d'authentification (démarrez airodump-ng
sur un canal et wireshark
sur la même interface) et filtrez les paquets par eapol
.
Dans le paquet "Réponse, Identité", le nom d'utilisateur du client apparaîtra.
La dissimulation de l'identité est prise en charge à la fois par EAP-PEAP et EAP-TTLS. Dans le contexte d'un réseau WiFi, une demande d'identité EAP est généralement initiée par le point d'accès (AP) lors du processus d'association. Pour garantir la protection de l'anonymat de l'utilisateur, la réponse du client EAP sur l'appareil de l'utilisateur ne contient que les informations essentielles nécessaires pour que le serveur RADIUS initial traite la demande. Ce concept est illustré à travers les scénarios suivants :
EAP-Identité = anonyme
Dans ce scénario, tous les utilisateurs utilisent le pseudonyme "anonyme" comme identifiant utilisateur. Le serveur RADIUS initial fonctionne soit comme un serveur EAP-PEAP ou EAP-TTLS, responsable de la gestion du côté serveur du protocole PEAP ou TTLS. La méthode d'authentification interne (protégée) est ensuite soit gérée localement, soit déléguée à un serveur RADIUS distant (domicile).
En EAP-PEAP, une fois que le tunnel TLS est établi entre le serveur PEAP et le client PEAP, le serveur PEAP initie une demande d'identité EAP et la transmet à travers le tunnel TLS. Le client répond à cette deuxième demande d'identité EAP en envoyant une réponse d'identité EAP contenant la véritable identité de l'utilisateur à travers le tunnel chiffré. Cette approche empêche efficacement la révélation de l'identité réelle de l'utilisateur à toute personne qui écoute le trafic 802.11.
EAP-TTLS suit une procédure légèrement différente. Avec EAP-TTLS, le client s'authentifie généralement en utilisant PAP ou CHAP, sécurisé par le tunnel TLS. Dans ce cas, le client inclut un attribut Nom d'utilisateur et soit un attribut Mot de passe, soit un attribut CHAP-Mot de passe dans le message TLS initial envoyé après l'établissement du tunnel.
Peu importe le protocole choisi, le serveur PEAP/TTLS obtient connaissance de la véritable identité de l'utilisateur une fois que le tunnel TLS a été établi. La véritable identité peut être représentée sous la forme utilisateur@domaine ou simplement utilisateur. Si le serveur PEAP/TTLS est également responsable de l'authentification de l'utilisateur, il possède désormais l'identité de l'utilisateur et procède à la méthode d'authentification protégée par le tunnel TLS. Alternativement, le serveur PEAP/TTLS peut transmettre une nouvelle demande RADIUS au serveur RADIUS d'origine de l'utilisateur. Cette nouvelle demande RADIUS exclut la couche de protocole PEAP ou TTLS. Dans les cas où la méthode d'authentification protégée est EAP, les messages EAP internes sont transmis au serveur RADIUS d'origine sans l'enveloppe EAP-PEAP ou EAP-TTLS. L'attribut Nom d'utilisateur du message RADIUS sortant contient la véritable identité de l'utilisateur, remplaçant le Nom d'utilisateur anonyme du message RADIUS entrant. Lorsque la méthode d'authentification protégée est PAP ou CHAP (prise en charge uniquement par TTLS), les attributs Nom d'utilisateur et autres attributs d'authentification extraits de la charge utile TLS sont substitués dans le message RADIUS sortant, remplaçant le Nom d'utilisateur anonyme et les attributs EAP-Message TTLS trouvés dans la demande RADIUS entrante.
Pour plus d'informations, consultez https://www.interlinknetworks.com/app_notes/eap-peap.htm
Si le client est censé utiliser un nom d'utilisateur et un mot de passe (notez que EAP-TLS ne sera pas valide dans ce cas), vous pourriez essayer d'obtenir une liste de noms d'utilisateur (voir la prochaine partie) et de mots de passe et essayer de forcer l'accès en utilisant air-hammer.
Vous pourriez également effectuer cette attaque en utilisant eaphammer
:
Le protocole 802.11 définit comment une station rejoint un ensemble de services étendu (ESS) mais ne spécifie pas les critères de sélection d'un ESS ou d'un point d'accès (AP) à l'intérieur.
Les stations peuvent passer d'un AP à un autre partageant le même ESSID, maintenant la connectivité à travers un bâtiment ou une zone.
Le protocole exige une authentification de la station à l'ESS mais ne mandate pas l'authentification de l'AP à la station.
Les stations stockent l'ESSID de chaque réseau sans fil auquel elles se connectent dans leur liste de réseaux préférés (PNL), ainsi que les détails de configuration spécifiques au réseau.
La PNL est utilisée pour se connecter automatiquement aux réseaux connus, améliorant l'expérience de l'utilisateur en simplifiant le processus de connexion.
Les AP diffusent périodiquement des trames de balise, annonçant leur présence et leurs caractéristiques, y compris l'ESSID de l'AP à moins que la diffusion ne soit désactivée.
Pendant le balayage passif, les stations écoutent les trames de balise. Si l'ESSID d'une balise correspond à une entrée dans la PNL de la station, la station peut se connecter automatiquement à cet AP.
La connaissance de la PNL d'un appareil permet une exploitation potentielle en imitant l'ESSID d'un réseau connu, trompant l'appareil pour se connecter à un AP frauduleux.
L'exploration active implique que les stations envoient des demandes de sondage pour découvrir les AP à proximité et leurs caractéristiques.
Les demandes de sondage dirigées ciblent un ESSID spécifique, aidant à détecter si un réseau particulier est à portée, même s'il s'agit d'un réseau masqué.
Les demandes de sondage de diffusion ont un champ SSID nul et sont envoyées à tous les AP à proximité, permettant à la station de vérifier tout réseau préféré sans divulguer le contenu de sa PNL.
Avant d'expliquer comment effectuer des attaques plus complexes, il va être expliqué comment simplement créer un AP et rediriger son trafic vers une interface connectée à Internet.
En utilisant ifconfig -a
, vérifiez que l'interface wlan pour créer l'AP et l'interface connectée à Internet sont présentes.
Créez le fichier de configuration /etc/dnsmasq.conf
:
Ensuite, définissez les adresses IP et les routes :
Et ensuite démarrer dnsmasq :
Créez un fichier de configuration hostapd.conf
:
Arrêtez les processus gênants, activez le mode monitor, et démarrez hostapd :
Une attaque de jumeau maléfique exploite la façon dont les clients WiFi reconnaissent les réseaux, en se basant principalement sur le nom du réseau (ESSID) sans exiger que la station de base (point d'accès) s'authentifie auprès du client. Les points clés incluent :
Difficulté de Différenciation : Les appareils ont du mal à distinguer entre les points d'accès légitimes et les points d'accès frauduleux lorsqu'ils partagent le même ESSID et le même type de chiffrement. Les réseaux du monde réel utilisent souvent plusieurs points d'accès avec le même ESSID pour étendre la couverture de manière transparente.
Roaming Client et Manipulation de la Connexion : Le protocole 802.11 permet aux appareils de passer d'un point d'accès à un autre au sein du même ESS. Les attaquants peuvent exploiter cela en incitant un appareil à se déconnecter de sa station de base actuelle et à se connecter à un point d'accès frauduleux. Cela peut être réalisé en offrant un signal plus fort ou en perturbant la connexion au point d'accès légitime à travers des méthodes telles que l'envoi de paquets de déauthentification ou le brouillage.
Défis dans l'Exécution : Exécuter avec succès une attaque de jumeau maléfique dans des environnements avec de multiples points d'accès bien placés peut être difficile. Déauthentifier un seul point d'accès légitime conduit souvent l'appareil à se connecter à un autre point d'accès légitime à moins que l'attaquant puisse déauthentifier tous les points d'accès à proximité ou placer stratégiquement le point d'accès frauduleux.
Vous pouvez également créer un Twin Maléfique en utilisant eaphammer (remarquez que pour créer des twins maléfiques avec eaphammer, l'interface NE DOIT PAS être en mode monitor):
Ou en utilisant Airgeddon : Options : 5,6,7,8,9 (à l'intérieur du menu d'attaque Evil Twin).
Veuillez noter qu'en cas de protection WPA par défaut d'un ESSID dans la PNL, le périphérique ne se connectera pas automatiquement à un faux point d'accès ouvert. Vous pouvez essayer de faire une attaque de déni de service sur le vrai AP et espérer que l'utilisateur se connectera manuellement à votre faux point d'accès ouvert, ou vous pourriez faire une attaque de déni de service sur le vrai AP et utiliser un faux point d'accès WPA pour capturer le handshake (en utilisant cette méthode, vous ne pourrez pas laisser la victime se connecter à vous car vous ne connaissez pas la PSK, mais vous pouvez capturer le handshake et essayer de le craquer).
Certains systèmes d'exploitation et antivirus avertiront l'utilisateur que se connecter à un réseau ouvert est dangereux...
Vous pouvez créer un Faux point d'accès en utilisant WPA/2 et si les appareils sont configurés pour se connecter à cet SSID avec WPA/2, ils vont essayer de se connecter. Cependant, pour compléter le handshake en 4 étapes, vous devez également connaître le mot de passe que le client va utiliser. Si vous ne le connaissez pas, la connexion ne sera pas complétée.
Pour comprendre ces attaques, je recommanderais de lire d'abord la brève explication sur WPA Enterprise.
Utilisation de hostapd-wpe
hostapd-wpe
a besoin d'un fichier de configuration pour fonctionner. Pour automatiser la génération de ces configurations, vous pourriez utiliser https://github.com/WJDigby/apd_launchpad (téléchargez le fichier python à l'intérieur de /etc/hostapd-wpe/).
Dans le fichier de configuration, vous pouvez sélectionner différentes choses telles que ssid, canal, fichiers utilisateur, cret/clé, paramètres dh, version wpa et auth...
Utilisation de hostapd-wpe avec EAP-TLS pour permettre à n'importe quel certificat de se connecter.
Utilisation d'EAPHammer
Par défaut, EAPHammer propose ces méthodes d'authentification (remarquez que GTC est le premier à essayer d'obtenir des mots de passe en clair, suivi de l'utilisation de méthodes d'authentification plus robustes) :
Ceci est la méthodologie par défaut pour éviter les longs temps de connexion. Cependant, vous pouvez également spécifier au serveur les méthodes d'authentification de la plus faible à la plus forte:
Ou vous pourriez également utiliser :
--negotiate gtc-downgrade
pour utiliser une implémentation de rétrogradation GTC hautement efficace (mots de passe en clair)
--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP
pour spécifier manuellement les méthodes offertes (en offrant les mêmes méthodes d'authentification dans le même ordre que l'organisation, l'attaque sera beaucoup plus difficile à détecter).
Utilisation d'Airgeddon
Airgeddon
peut utiliser des certificats générés précédemment pour offrir une authentification EAP aux réseaux WPA/WPA2-Entreprise. Le faux réseau rétrogradera le protocole de connexion en EAP-MD5 afin de capturer l'utilisateur et le MD5 du mot de passe. Ensuite, l'attaquant peut essayer de craquer le mot de passe.
Airggedon
vous offre la possibilité d'une attaque Evil Twin continue (bruyante) ou de créer uniquement l'attaque Evil jusqu'à ce que quelqu'un se connecte (discrète).
Cette méthode a été testée dans une connexion PEAP mais comme je déchiffre un tunnel TLS arbitraire, cela devrait également fonctionner avec EAP-TTLS
À l'intérieur de la configuration de hostapd-wpe, commentez la ligne contenant dh_file (de dh_file=/etc/hostapd-wpe/certs/dh
à #dh_file=/etc/hostapd-wpe/certs/dh
)
Cela fera en sorte que hostapd-wpe
échange les clés en utilisant RSA au lieu de DH, vous pourrez donc déchiffrer le trafic ultérieurement en connaissant la clé privée du serveur.
Maintenant, démarrez l'Evil Twin en utilisant hostapd-wpe
avec cette configuration modifiée comme d'habitude. Démarrez également wireshark
sur l'interface qui effectue l'attaque Evil Twin.
Maintenant ou plus tard (lorsque vous avez déjà capturé quelques tentatives d'authentification), vous pouvez ajouter la clé privée RSA à wireshark dans : Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...
Ajoutez une nouvelle entrée et remplissez le formulaire avec ces valeurs : Adresse IP = any -- Port = 0 -- Protocole = data -- Fichier clé (sélectionnez votre fichier clé, pour éviter les problèmes, sélectionnez un fichier clé non protégé par mot de passe).
Et regardez l'onglet "TLS déchiffré" :
Différents types de listes de filtres de contrôle d'accès aux médias (MFACLs) et leurs modes correspondants et leurs effets sur le comportement d'un Point d'Accès (AP) malveillant :
Liste blanche basée sur MAC :
Le rogue AP répondra uniquement aux demandes de sondage des appareils spécifiés dans la liste blanche, restant invisible pour tous les autres non répertoriés.
Liste noire basée sur MAC :
Le rogue AP ignorera les demandes de sondage des appareils figurant sur la liste noire, rendant effectivement le rogue AP invisible pour ces appareils spécifiques.
Liste blanche basée sur SSID :
Le rogue AP répondra uniquement aux demandes de sondage pour des ESSIDs spécifiques répertoriés, le rendant invisible pour les appareils dont les listes de réseaux préférés (PNLs) ne contiennent pas ces ESSIDs.
Liste noire basée sur SSID :
Le rogue AP ne répondra pas aux demandes de sondage pour les ESSIDs spécifiques sur la liste noire, le rendant invisible pour les appareils recherchant ces réseaux particuliers.
Cette méthode permet à un attaquant de créer un point d'accès malveillant (AP) qui répond à toutes les demandes de sondes des appareils cherchant à se connecter à des réseaux. Cette technique trompe les appareils en les incitant à se connecter à l'AP de l'attaquant en imitant les réseaux recherchés par les appareils. Une fois qu'un appareil envoie une demande de connexion à cet AP frauduleux, la connexion est établie, amenant l'appareil à se connecter par erreur au réseau de l'attaquant.
Ensuite, les appareils ont commencé à ignorer les réponses de réseau non sollicitées, réduisant l'efficacité de l'attaque karma originale. Cependant, une nouvelle méthode, connue sous le nom d'attaque MANA, a été introduite par Ian de Villiers et Dominic White. Cette méthode implique que le rogue AP capture les listes de réseaux préférés (PNL) des appareils en répondant à leurs demandes de sondes de diffusion avec les noms de réseaux (SSIDs) précédemment sollicités par les appareils. Cette attaque sophistiquée contourne les protections contre l'attaque karma originale en exploitant la manière dont les appareils se souviennent et priorisent les réseaux connus.
L'attaque MANA fonctionne en surveillant à la fois les demandes de sondes dirigées et de diffusion des appareils. Pour les demandes dirigées, elle enregistre l'adresse MAC de l'appareil et le nom du réseau demandé, ajoutant ces informations à une liste. Lorsqu'une demande de diffusion est reçue, l'AP répond avec des informations correspondant à l'un des réseaux de la liste de l'appareil, incitant l'appareil à se connecter au rogue AP.
Une attaque Loud MANA est une stratégie avancée pour les cas où les appareils n'utilisent pas de sondage dirigé ou lorsque leurs listes de réseaux préférés (PNL) sont inconnues de l'attaquant. Elle repose sur le principe que les appareils dans la même zone ont probablement des noms de réseau en commun dans leurs PNL. Au lieu de répondre de manière sélective, cette attaque diffuse des réponses de sondes pour chaque nom de réseau (ESSID) trouvé dans les PNL combinées de tous les appareils observés. Cette approche large augmente la chance qu'un appareil reconnaisse un réseau familier et tente de se connecter au point d'accès (AP) frauduleux.
Lorsque l'attaque Loud MANA ne suffit pas, l'attaque de balise connue présente une autre approche. Cette méthode force la connexion en simulant un point d'accès qui répond à tout nom de réseau, en parcourant une liste d'ESSIDs potentiels dérivés d'une liste de mots. Cela simule la présence de nombreux réseaux, espérant correspondre à un ESSID dans la liste des réseaux préférés de la victime, incitant une tentative de connexion à l'AP fabriqué. L'attaque peut être amplifiée en la combinant avec l'option --loud
pour une tentative plus agressive d'attirer les appareils.
Eaphammer a implémenté cette attaque en tant qu'attaque MANA où tous les ESSIDs dans une liste sont chargés (vous pouvez également combiner cela avec --loud
pour créer une attaque Loud MANA + balises connues) :
Attaque de rafale de balises connue
L'attaque de rafale de balises connue implique la diffusion rapide de trames de balises pour chaque ESSID répertorié dans un fichier. Cela crée un environnement dense de réseaux factices, augmentant considérablement la probabilité que les appareils se connectent au point d'accès frauduleux, surtout lorsqu'elle est combinée à une attaque MANA. Cette technique exploite la vitesse et le volume pour submerger les mécanismes de sélection de réseau des appareils.
Wi-Fi Direct est un protocole permettant aux appareils de se connecter directement les uns aux autres en utilisant le Wi-Fi sans avoir besoin d'un point d'accès sans fil traditionnel. Cette capacité est intégrée à divers appareils de l'Internet des objets (IdO), tels que les imprimantes et les télévisions, facilitant la communication directe entre les appareils. Une caractéristique notable de Wi-Fi Direct est qu'un appareil prend le rôle d'un point d'accès, appelé le propriétaire du groupe, pour gérer la connexion.
La sécurité des connexions Wi-Fi Direct est établie grâce à Wi-Fi Protected Setup (WPS), qui prend en charge plusieurs méthodes d'appariement sécurisé, notamment :
Configuration par bouton-poussoir (PBC)
Saisie du code PIN
Communication en champ proche (NFC)
Ces méthodes, en particulier la saisie du code PIN, sont susceptibles aux mêmes vulnérabilités que le WPS dans les réseaux Wi-Fi traditionnels, ce qui en fait des cibles pour des vecteurs d'attaque similaires.
Le détournement EvilDirect est une attaque spécifique au Wi-Fi Direct. Il reflète le concept d'une attaque Evil Twin mais cible les connexions Wi-Fi Direct. Dans ce scénario, un attaquant se fait passer pour un propriétaire de groupe légitime dans le but de tromper les appareils pour qu'ils se connectent à une entité malveillante. Cette méthode peut être exécutée en utilisant des outils comme airbase-ng
en spécifiant le canal, l'ESSID et l'adresse MAC de l'appareil usurpé :
TODO: Jetez un œil à https://github.com/wifiphisher/wifiphisher (connexion avec Facebook et imitation de WPA dans les portails captifs)
Rejoignez le serveur HackenProof Discord pour communiquer avec des hackers expérimentés et des chasseurs de primes en bugs !
Perspectives sur le piratage Engagez-vous avec du contenu qui explore le frisson et les défis du piratage
Actualités sur le piratage en temps réel Restez informé du monde du piratage à rythme rapide grâce à des actualités et des informations en temps réel
Dernières annonces Restez informé des dernières primes au bug lancées et des mises à jour cruciales de la plateforme
Rejoignez-nous sur Discord et commencez à collaborer avec les meilleurs hackers dès aujourd'hui !