Evil Twin EAP-TLS

Impara e pratica l'hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)

Sostieni HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud repos di Github.

Suggerimento per bug bounty: iscriviti a Intigriti, una piattaforma premium per bug bounty creata da hacker, per hacker! Unisciti a noi su https://go.intigriti.com/hacktricks oggi e inizia a guadagnare ricompense fino a $100,000!

A un certo punto ho avuto bisogno di utilizzare la soluzione proposta nel post sottostante, ma i passaggi in https://github.com/OpenSecurityResearch/hostapd-wpe non funzionavano più in Kali moderno (2019v3). Comunque, è facile farli funzionare. È sufficiente scaricare l'hostapd-2.6 da qui: https://w1.fi/releases/ e prima di ricompilare hostapd-wpe installare: apt-get install libssl1.0-dev

Analisi ed Sfruttamento di EAP-TLS nelle Reti Wireless

Contesto: EAP-TLS nelle Reti Wireless

EAP-TLS è un protocollo di sicurezza che fornisce autenticazione reciproca tra client e server utilizzando certificati. La connessione viene stabilita solo se sia il client che il server autenticano i rispettivi certificati.

Sfida Riscontrata

Durante una valutazione, è stato riscontrato un errore interessante nell'utilizzo dello strumento hostapd-wpe. Lo strumento ha rifiutato la connessione del client a causa del certificato del client firmato da un'autorità di certificazione (CA) sconosciuta. Ciò indicava che il client non fidava del certificato del server falso, evidenziando configurazioni di sicurezza poco rigorose sul lato del client.

Obiettivo: Configurare un Attacco Man-in-the-Middle (MiTM)

L'obiettivo era modificare lo strumento per accettare qualsiasi certificato del client. Ciò avrebbe permesso di stabilire una connessione con la rete wireless malevola e consentire un attacco MiTM, potenzialmente catturando credenziali in chiaro o altri dati sensibili.

Soluzione: Modifica di `hostapd-wpe`

L'analisi del codice sorgente di hostapd-wpe ha rivelato che la validazione del certificato del client era controllata da un parametro (verify_peer) nella funzione OpenSSL SSL_set_verify. Cambiando il valore di questo parametro da 1 (valida) a 0 (non valida), lo strumento è stato reso in grado di accettare qualsiasi certificato del client.

Esecuzione dell'Attacco

Controllo dell'Ambiente: Utilizzare airodump-ng per monitorare le reti wireless e identificare i target.
Creare un Falso AP: Eseguire il hostapd-wpe modificato per creare un falso Punto di Accesso (AP) imitando la rete target.
Personalizzazione del Captive Portal: Personalizzare la pagina di accesso del captive portal per apparire legittima e familiare all'utente target.
Attacco di De-autenticazione: Opzionalmente, eseguire un attacco di de-autenticazione per disconnettere il client dalla rete legittima e connetterlo al falso AP.
Cattura delle Credenziali: Una volta che il client si connette al falso AP e interagisce con il captive portal, le loro credenziali vengono catturate.

Osservazioni dall'Attacco

Su macchine Windows, il sistema potrebbe connettersi automaticamente al falso AP, presentando il captive portal quando viene tentata la navigazione web.
Su un iPhone, all'utente potrebbe essere chiesto di accettare un nuovo certificato e quindi presentato con il captive portal.

Conclusione

Sebbene EAP-TLS sia considerato sicuro, la sua efficacia dipende fortemente dalla corretta configurazione e dal comportamento cauto degli utenti finali. Dispositivi mal configurati o utenti inconsapevoli che accettano certificati falsi possono compromettere la sicurezza di una rete protetta da EAP-TLS.

Per ulteriori dettagli consulta https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/

Riferimenti

https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/