Pentesting Wifi
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!
Hacking Insights ハッキングのスリルと課題に深く掘り下げたコンテンツに参加してください
Real-Time Hack News リアルタイムのニュースと洞察を通じて、急速に進化するハッキングの世界を把握してください
Latest Announcements 新しいバグバウンティの開始や重要なプラットフォームの更新について最新情報を入手してください
Join us on Discord and start collaborating with top hackers today!
Dockerでairgeddonを実行する
From: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux
Evil Twin、KARMA、既知ビーコン攻撃を実行し、フィッシングテンプレートを使用してネットワークの本当のパスワードを取得したり、ソーシャルネットワークの認証情報をキャプチャしたりすることができます。
このツールはWPS/WEP/WPA-PSK攻撃を自動化します。自動的に以下を行います:
インターフェースをモニターモードに設定
可能なネットワークをスキャン - 被害者を選択できます
WEPの場合 - WEP攻撃を開始
WPA-PSKの場合
WPSの場合:Pixie dust攻撃とブルートフォース攻撃(ブルートフォース攻撃は時間がかかる可能性があるため注意)。ヌルPINやデータベース/生成されたPINを試みないことに注意してください。
APからPMKIDをキャプチャしてクラックを試みる
APのクライアントを非認証にしてハンドシェイクをキャプチャする
PMKIDまたはハンドシェイクがあれば、上位5000のパスワードを使用してブルートフォースを試みる。
DoS
非認証/非関連付け -- すべての人を切断(または特定のESSID/クライアント)
ランダムな偽AP -- ネットを隠す、スキャナーをクラッシュさせる可能性
APを過負荷 -- APを殺そうとする(通常あまり役に立たない)
WIDS -- IDSで遊ぶ
TKIP, EAPOL -- 一部のAPに対する特定のDoS攻撃
クラック
WEPをクラック(いくつかのツールと方法)
WPA-PSK
WPS PIN "ブルートフォース"
WPA PMKID ブルートフォース
[DoS +] WPAハンドシェイクキャプチャ + クラック
WPA-MGT
ユーザー名キャプチャ
ブルートフォース 認証情報
イービルツイン(DoSの有無にかかわらず)
オープン イービルツイン [+ DoS] -- キャプティブポータルの認証情報をキャプチャしたり、LAN攻撃を行うのに便利
WPA-PSK イービルツイン -- パスワードを知っていればネットワーク攻撃に便利
WPA-MGT -- 会社の認証情報をキャプチャするのに便利
KARMA, MANA, Loud MANA, Known beacon
+ オープン -- キャプティブポータルの認証情報をキャプチャしたり、LAN攻撃を行うのに便利
+ WPA -- WPAハンドシェイクをキャプチャするのに便利
説明は こちらから:.
非認証攻撃は、Wi-Fiハッキングで一般的な手法であり、「管理」フレームを偽造してデバイスをネットワークから強制的に切断します。これらの暗号化されていないパケットは、クライアントに正当なネットワークからのものであると信じ込ませ、攻撃者がクラック目的でWPAハンドシェイクを収集したり、ネットワーク接続を持続的に妨害したりすることを可能にします。この戦術は、その単純さにおいて驚くべきものであり、広く使用されており、ネットワークセキュリティに重大な影響を与えます。
Aireplay-ngを使用した非認証
-0は非認証を意味します
1は送信する非認証の数です(必要に応じて複数送信できます);0は継続的に送信することを意味します
-a 00:14:6C:7E:40:80はアクセスポイントのMACアドレスです
-c 00:0F:B5:34:30:30は非認証するクライアントのMACアドレスです;これが省略されると、ブロードキャスト非認証が送信されます(常に機能するわけではありません)
ath0はインターフェース名です
切断パケットは、非認証パケットと同様に、Wi-Fiネットワークで使用される管理フレームの一種です。これらのパケットは、デバイス(ラップトップやスマートフォンなど)とアクセスポイント(AP)との接続を切断するために使用されます。切断と非認証の主な違いは、その使用シナリオにあります。APがネットワークから不正なデバイスを明示的に削除するために非認証パケットを発信する一方で、切断パケットは通常、APがシャットダウン、再起動、または移動している際に送信され、すべての接続ノードの切断が必要となります。
この攻撃はmdk4(モード"d")によって実行できます:
ここに あります.
攻撃モード b: ビーコ flood
クライアントに偽のAPを表示するためにビーコフレームを送信します。これにより、ネットワークスキャナーやドライバーがクラッシュすることがあります!
ATTACK MODE a: 認証サービス拒否
範囲内のすべてのアクセス・ポイント(AP)に認証フレームを送信することで、これらのAPが過負荷になる可能性があります。特に多数のクライアントが関与している場合、この激しいトラフィックはシステムの不安定性を引き起こし、一部のAPがフリーズしたり、リセットされたりすることがあります。
ATTACK MODE p: SSID Probing and Bruteforcing
アクセスポイント(AP)のプロービングは、SSIDが適切に公開されているかを確認し、APの範囲を確認します。この技術は、隠されたSSIDのブルートフォースを単語リストの有無にかかわらず組み合わせることで、隠されたネットワークを特定しアクセスするのに役立ちます。
ATTACK MODE m: Michael Countermeasures Exploitation
異なるQoSキューにランダムまたは重複したパケットを送信すると、TKIP APsでMichael Countermeasuresがトリガーされ、APが1分間シャットダウンします。この方法は、効率的なDoS(サービス拒否)攻撃戦術です。
ATTACK MODE e: EAPOL Start and Logoff Packet Injection
APにEAPOL Startフレームを洪水させることで偽のセッションが作成され、APが圧倒され、正当なクライアントがブロックされます。あるいは、偽のEAPOL Logoffメッセージを注入することでクライアントを強制的に切断し、どちらの方法もネットワークサービスを効果的に妨害します。
ATTACK MODE s: IEEE 802.11s メッシュネットワークに対する攻撃
メッシュネットワークにおけるリンク管理とルーティングに対するさまざまな攻撃。
ATTACK MODE w: WIDS 混乱
クライアントを複数の WDS ノードや偽のロゲ AP にクロス接続することで、侵入検知および防止システムを操作し、混乱と潜在的なシステムの悪用を引き起こすことができます。
ATTACK MODE f: Packet Fuzzer
パケット操作のための多様なパケットソースと包括的な修飾子を備えたパケットファズァ。
Airgeddon は、前のコメントで提案されたほとんどの攻撃を提供します:
WPS (Wi-Fi Protected Setup) は、デバイスをルーターに接続するプロセスを簡素化し、WPA または WPA2 パーソナルで暗号化されたネットワークのセットアップ速度と容易さを向上させます。容易に侵害されるWEPセキュリティには効果がありません。WPSは8桁のPINを使用し、2つの半分で検証されるため、組み合わせの数が限られている(11,000の可能性)ため、ブルートフォース攻撃に対して脆弱です。
このアクションを実行するための主なツールは2つあります:ReaverとBully。
Reaver は、WPSに対する堅牢で実用的な攻撃として設計されており、さまざまなアクセスポイントやWPS実装に対してテストされています。
Bully は、Cで書かれたWPSブルートフォース攻撃の新しい実装です。元のReaverコードに対していくつかの利点があります:依存関係が少ない、メモリとCPUのパフォーマンスが向上、エンディアンの正しい処理、より堅牢なオプションセット。
この攻撃は、WPS PINの脆弱性を利用し、特に最初の4桁の露出と最後の桁のチェックサムとしての役割がブルートフォース攻撃を容易にします。しかし、攻撃者の攻撃的なMACアドレスをブロックするなどのブルートフォース攻撃に対する防御は、攻撃を続けるためにMACアドレスのローテーションを要求します。
BullyやReaverのようなツールでWPS PINを取得すると、攻撃者はWPA/WPA2 PSKを推測でき、持続的なネットワークアクセスを確保します。
スマートブルートフォース
この洗練されたアプローチは、既知の脆弱性を利用してWPS PINをターゲットにします:
事前に発見されたPIN:特定のメーカーに関連する既知のPINのデータベースを利用します。これらのメーカーは均一なWPS PINを使用することで知られています。このデータベースは、MACアドレスの最初の3オクテットをこれらのメーカーの可能性のあるPINと関連付けます。
PIN生成アルゴリズム:APのMACアドレスに基づいてWPS PINを計算するComputePINやEasyBoxのようなアルゴリズムを活用します。Arcadyanアルゴリズムは、デバイスIDも必要とし、PIN生成プロセスに層を追加します。
ドミニク・ボンガールは、秘密コードの作成に関するいくつかのアクセスポイント(AP)の欠陥を発見しました。これらはノンス(E-S1およびE-S2)として知られています。これらのノンスが特定できれば、APのWPS PINを解読するのが容易になります。APは、正当であり偽の(ロゲ)APではないことを証明するために、特別なコード(ハッシュ)内にPINを公開します。これらのノンスは、WPS PINを保持する「金庫」を解錠するための「鍵」として機能します。詳細はこちらで確認できます。
簡単に言うと、問題は、いくつかのAPが接続プロセス中にPINを暗号化するために十分にランダムな鍵を使用しなかったことです。これにより、PINがネットワーク外から推測される脆弱性が生じます(オフラインブルートフォース攻撃)。
デバイスをモニターモードに切り替えたくない場合や、reaver
やbully
に問題がある場合は、OneShot-Cを試すことができます。このツールは、モニターモードに切り替えることなくPixie Dust攻撃を実行できます。
一部の設計が不十分なシステムでは、Null PIN(空のまたは存在しないPIN)がアクセスを許可することさえあります。これは非常に異常です。この脆弱性をテストすることができるツールはReaverであり、Bullyではありません。
提案されたすべてのWPS攻撃は、_airgeddon._を使用して簡単に実行できます。
5と6はあなたのカスタムPINを試すことができます(もしあれば)
7と8はPixie Dust攻撃を実行します
13はNULL PINをテストすることができます
11と12は選択したAPに関連するPINを利用可能なデータベースから再収集し、ComputePIN、EasyBox、オプションでArcadyan(推奨、なぜなら?)を使用して可能なPINを生成します
9と10はすべての可能なPINをテストします
今では壊れていて使用されていません。_airgeddon_には、この種の保護を攻撃するための「All-in-One」と呼ばれるWEPオプションがあることを知っておいてください。他のツールも同様のオプションを提供しています。
経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取るために、HackenProof Discordサーバーに参加してください!
ハッキングの洞察 ハッキングのスリルと課題に深く掘り下げたコンテンツに参加しましょう
リアルタイムハックニュース リアルタイムのニュースと洞察を通じて、急速に進化するハッキングの世界に遅れずについていきましょう
最新のお知らせ 新しいバグバウンティの開始や重要なプラットフォームの更新について最新情報を入手してください
今日、Discordで私たちに参加し、トップハッカーとコラボレーションを始めましょう!
2018年、hashcatは新しい攻撃方法を明らかにしました。この方法は、1つのパケットだけを必要とし、ターゲットAPに接続されているクライアントを必要としないため、ユニークです—攻撃者とAPの間の相互作用だけが必要です。
多くの現代のルーターは、関連付け中に最初のEAPOLフレームにRobust Security Network
として知られるオプションフィールドを追加します。これにはPMKID
が含まれます。
元の投稿が説明しているように、PMKIDは既知のデータを使用して作成されます:
与えられた「PMK名」が一定であるため、APとステーションのBSSIDがわかり、PMK
が完全な4-wayハンドシェイクのものと同じである場合、hashcatはこの情報を使用してPSKをクラッキングし、パスフレーズを回復できます!
この情報を収集し、パスワードをローカルでブルートフォースするには、次のようにします:
キャプチャされた PMKIDs は コンソール に表示され、また /tmp/attack.pcap に 保存 されます。 次に、キャプチャを hashcat/john 形式に変換してクラックします:
正しいハッシュの形式は4つの部分を含むことに注意してください。例: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838
あなたのハッシュが3つの部分しか含まれていない場合、それは無効です(PMKIDキャプチャが無効でした)。
hcxdumptool
はハンドシェイクもキャプチャします(このようなものが表示されます: MP:M1M2 RC:63258 EAPOLTIME:17091
)。あなたはcap2hccapx
を使用してハンドシェイクをhashcat/john形式に変換することができます。
I have noticed that some handshakes captured with this tool couldn't be cracked even knowing the correct password. I would recommend to capture handshakes also via traditional way if possible, or capture several of them using this tool.
WPA/WPA2ネットワークに対する攻撃は、handshakeをキャプチャし、パスワードをofflineでcrackしようとすることで実行できます。このプロセスは、特定のネットワークと特定のchannel上のBSSIDの通信を監視することを含みます。以下は簡潔なガイドです:
ターゲットネットワークのBSSID、channel、およびconnected clientを特定します。
指定されたchannelとBSSIDでネットワークトラフィックを監視するためにairodump-ng
を使用し、handshakeをキャプチャすることを期待します。コマンドは次のようになります:
ハンドシェイクをキャプチャするチャンスを増やすために、クライアントをネットワークから一時的に切断して再認証を強制します。これは、クライアントに対して非認証パケットを送信する aireplay-ng
コマンドを使用して行うことができます:
Note that as the client was deauthenticated it could try to connect to a different AP or, in other cases, to a different network.
airodump-ng
にいくつかのハンドシェイク情報が表示されると、これはハンドシェイクがキャプチャされたことを意味し、リスニングを停止できます:
ハンドシェイクがキャプチャされたら、aircrack-ng
でクラックできます:
aircrack
tshark
このツールがESSIDの未完了ハンドシェイクを完了したものの前に見つけた場合、有効なものを検出しません。
pyrit
エンタープライズWiFi設定では、さまざまな認証方法に出会います。 各方法は異なるセキュリティレベルと管理機能を提供します。airodump-ng
のようなツールを使用してネットワークトラフィックを検査すると、これらの認証タイプの識別子に気付くかもしれません。一般的な方法には次のようなものがあります:
EAP-GTC (Generic Token Card):
この方法は、EAP-PEAP内でハードウェアトークンとワンタイムパスワードをサポートします。MSCHAPv2とは異なり、ピアチャレンジを使用せず、パスワードを平文でアクセスポイントに送信するため、ダウングレード攻撃のリスクがあります。
EAP-MD5 (Message Digest 5):
クライアントからパスワードのMD5ハッシュを送信することを含みます。辞書攻撃に対する脆弱性、サーバー認証の欠如、セッション固有のWEPキーを生成できないため、推奨されません。
EAP-TLS (Transport Layer Security):
認証のためにクライアント側とサーバー側の証明書の両方を利用し、通信を保護するためにユーザー基盤およびセッション基盤のWEPキーを動的に生成できます。
EAP-TTLS (Tunneled Transport Layer Security):
暗号化されたトンネルを通じて相互認証を提供し、動的なユーザーごとのセッションごとのWEPキーを導出する方法を提供します。サーバー側の証明書のみが必要で、クライアントは資格情報を使用します。
PEAP (Protected Extensible Authentication Protocol):
EAPと同様に、保護された通信のためにTLSトンネルを作成します。トンネルによって提供される保護のため、EAPの上に弱い認証プロトコルを使用することができます。
PEAP-MSCHAPv2: 一般にPEAPと呼ばれ、脆弱なMSCHAPv2チャレンジ/レスポンスメカニズムと保護的なTLSトンネルを組み合わせています。
PEAP-EAP-TLS (またはPEAP-TLS): EAP-TLSに似ていますが、証明書を交換する前にTLSトンネルを開始し、追加のセキュリティ層を提供します。
これらの認証方法についての詳細はこちらとこちらで確認できます。
https://tools.ietf.org/html/rfc3748#page-27を読むと、EAPを使用している場合、「アイデンティティ」 メッセージはサポートされている必要があり、ユーザー名は**「レスポンスアイデンティティ」メッセージでクリア**で送信されることがわかります。
最も安全な認証方法の1つであるPEAP-EAP-TLSを使用しても、EAPプロトコルで送信されたユーザー名をキャプチャすることが可能です。これを行うには、認証通信をキャプチャします(チャンネル内でairodump-ng
を開始し、同じインターフェースでwireshark
を使用)し、パケットをeapol
でフィルタリングします。
「レスポンス、アイデンティティ」パケット内に、クライアントのユーザー名が表示されます。
アイデンティティの隠蔽は、EAP-PEAPとEAP-TTLSの両方でサポートされています。WiFiネットワークの文脈では、EAP-アイデンティティリクエストは通常、関連付けプロセス中にアクセスポイント(AP)によって開始されます。ユーザーの匿名性を保護するために、ユーザーのデバイス上のEAPクライアントからの応答には、初期RADIUSサーバーがリクエストを処理するために必要な基本情報のみが含まれます。この概念は、以下のシナリオを通じて示されています:
EAP-アイデンティティ = anonymous
このシナリオでは、すべてのユーザーが擬似的な「anonymous」をユーザー識別子として使用します。初期RADIUSサーバーは、EAP-PEAPまたはEAP-TTLSサーバーとして機能し、PEAPまたはTTLSプロトコルのサーバー側を管理します。内部(保護された)認証方法は、ローカルで処理されるか、リモート(ホーム)RADIUSサーバーに委任されます。
EAP-アイデンティティ = anonymous@realm_x
この状況では、異なるレルムのユーザーがそれぞれのレルムを示しながらアイデンティティを隠します。これにより、初期RADIUSサーバーはEAP-PEAPまたはEAP-TTLSリクエストをそれぞれのホームレルムのRADIUSサーバーにプロキシすることができ、これがPEAPまたはTTLSサーバーとして機能します。初期RADIUSサーバーは、RADIUSリレーノードとしてのみ機能します。
あるいは、初期RADIUSサーバーがEAP-PEAPまたはEAP-TTLSサーバーとして機能し、保護された認証方法を処理するか、別のサーバーに転送することもできます。このオプションは、さまざまなレルムに対して異なるポリシーを構成するのを容易にします。
EAP-PEAPでは、PEAPサーバーとPEAPクライアントの間にTLSトンネルが確立されると、PEAPサーバーはEAP-アイデンティティリクエストを開始し、それをTLSトンネルを通じて送信します。クライアントは、この2回目のEAP-アイデンティティリクエストに対して、暗号化されたトンネルを通じてユーザーの真のアイデンティティを含むEAP-アイデンティティレスポンスを送信します。このアプローチは、802.11トラフィックを傍受している誰にもユーザーの実際のアイデンティティが明らかになるのを効果的に防ぎます。
EAP-TTLSは、やや異なる手順に従います。EAP-TTLSでは、クライアントは通常、TLSトンネルによって保護されたPAPまたはCHAPを使用して認証します。この場合、クライアントはトンネル確立後に送信される最初のTLSメッセージにUser-Name属性とPasswordまたはCHAP-Password属性を含めます。
選択されたプロトコルに関係なく、PEAP/TTLSサーバーはTLSトンネルが確立された後にユーザーの真のアイデンティティを知ることになります。真のアイデンティティはuser@realmまたは単にuserとして表現できます。PEAP/TTLSサーバーがユーザーの認証も担当している場合、ユーザーのアイデンティティを持ち、TLSトンネルによって保護された認証方法を進めます。あるいは、PEAP/TTLSサーバーはユーザーのホームRADIUSサーバーに新しいRADIUSリクエストを転送することがあります。この新しいRADIUSリクエストはPEAPまたはTTLSプロトコル層を省略します。保護された認証方法がEAPである場合、内部EAPメッセージはEAP-PEAPまたはEAP-TTLSラッパーなしでホームRADIUSサーバーに送信されます。送信されるRADIUSメッセージのUser-Name属性には、受信したRADIUSリクエストからの匿名のUser-Nameが置き換えられ、ユーザーの真のアイデンティティが含まれます。保護された認証方法がPAPまたはCHAP(TTLSのみサポート)である場合、TLSペイロードから抽出されたUser-Nameおよび他の認証属性が送信されるRADIUSメッセージに置き換えられ、受信したRADIUSリクエストに見られる匿名のUser-NameおよびTTLS EAP-Message属性が置き換えられます。
詳細についてはhttps://www.interlinknetworks.com/app_notes/eap-peap.htmを確認してください。
クライアントがユーザー名とパスワードを使用することが期待される場合(この場合、EAP-TLSは無効になります)、ユーザー名のリスト(次の部分を参照)とパスワードを取得し、air-hammerを使用してアクセスをブルートフォースすることができます。
この攻撃は eaphammer
を使用しても行うことができます:
802.11プロトコルは、ステーションが拡張サービスセット(ESS)に参加する方法を定義していますが、ESSまたはその中のアクセスポイント(AP)を選択する基準は指定していません。
ステーションは、同じESSIDを共有するAP間をローミングし、建物やエリア全体で接続を維持できます。
プロトコルはESSへのステーション認証を要求しますが、ステーションへのAP認証を義務付けていません。
ステーションは、接続したすべてのワイヤレスネットワークのESSIDを優先ネットワークリスト(PNL)に保存し、ネットワーク固有の設定詳細も含まれます。
PNLは、既知のネットワークに自動的に接続するために使用され、接続プロセスを簡素化することでユーザーの体験を向上させます。
APは定期的にビーコーフレームをブロードキャストし、その存在と機能を通知します。これにはAPのESSIDが含まれますが、ブロードキャストが無効になっている場合は除きます。
パッシブスキャン中、ステーションはビーコーフレームをリッスンします。ビーコンのESSIDがステーションのPNLのエントリと一致する場合、ステーションはそのAPに自動的に接続することがあります。
デバイスのPNLの知識は、既知のネットワークのESSIDを模倣することで潜在的な悪用を可能にし、デバイスをロゲAPに接続させることができます。
アクティブプロービングは、ステーションが近くのAPとその特性を発見するためにプローブリクエストを送信することを含みます。
指向プローブリクエストは特定のESSIDをターゲットにし、特定のネットワークが範囲内にあるかどうかを検出するのに役立ちます。たとえそれが隠れたネットワークであってもです。
ブロードキャストプローブリクエストはSSIDフィールドが空であり、すべての近くのAPに送信され、ステーションはPNLの内容を開示することなく、任意の優先ネットワークをチェックできます。
より複雑な攻撃を実行する方法を説明する前に、APを作成し、そのトラフィックをインターネットに接続されたインターフェースにリダイレクトする方法を説明します。
ifconfig -a
を使用して、APを作成するためのwlanインターフェースとインターネットに接続されたインターフェースが存在することを確認します。
/etc/dnsmasq.conf
という設定ファイルを作成します:
次にIPとルートを設定します:
そしてstart dnsmasq:
hostapd.conf
という設定ファイルを作成します:
煩わしいプロセスを停止し、モニターモードを設定し、hostapdを開始します:
Evil Twin攻撃は、WiFiクライアントがネットワークを認識する方法を利用し、主にネットワーク名(ESSID)に依存し、ベースステーション(アクセスポイント)がクライアントに対して認証を行う必要がありません。主なポイントは以下の通りです:
区別の難しさ: デバイスは、同じESSIDと暗号化タイプを共有する正当なアクセスポイントと悪意のあるアクセスポイントを区別するのに苦労します。実際のネットワークでは、カバレッジをシームレスに拡張するために、同じESSIDを持つ複数のアクセスポイントを使用することがよくあります。
クライアントのローミングと接続操作: 802.11プロトコルは、デバイスが同じESS内のアクセスポイント間をローミングすることを可能にします。攻撃者は、デバイスを現在のベースステーションから切断させ、悪意のあるアクセスポイントに接続させることでこれを利用できます。これは、より強い信号を提供したり、非認証パケットやジャミングなどの方法で正当なアクセスポイントへの接続を妨害することで達成できます。
実行の課題: 複数の適切に配置されたアクセスポイントがある環境でEvil Twin攻撃を成功させることは難しい場合があります。単一の正当なアクセスポイントを非認証にすると、攻撃者が近くのすべてのアクセスポイントを非認証にするか、悪意のあるアクセスポイントを戦略的に配置しない限り、デバイスは別の正当なアクセスポイントに接続することがよくあります。
非常に基本的なOpen Evil Twin(インターネットへのトラフィックをルーティングする機能はなし)を作成するには、次のようにします:
あなたはeaphammerを使用してEvil Twinを作成することもできます(Evil Twinをeaphammerで作成するには、インターフェースはモニターモードであってはなりません)。
Or using Airgeddon: Options: 5,6,7,8,9 (inside Evil Twin attack menu).
デフォルトでは、PNLに保存されたESSIDがWPA保護されている場合、デバイスは自動的にオープンなEvil Twinに接続しません。実際のAPにDoS攻撃を試み、ユーザーが手動でオープンなEvil Twinに接続することを期待するか、実際のAPにDoS攻撃を行い、WPA Evil Twinを使用してハンドシェイクをキャプチャすることができます(この方法では、PSKがわからないため、被害者を接続させることはできませんが、ハンドシェイクをキャプチャしてクラックを試みることができます)。
一部のOSやAVは、オープンネットワークに接続することが危険であるとユーザーに警告します...
WPA/2を使用してEvil Twinを作成することができ、デバイスがそのSSIDにWPA/2で接続するように設定されている場合、接続を試みます。いずれにせよ、4-way-handshakeを完了するためには、クライアントが使用するパスワードを知っている必要があります。知らない場合、接続は完了しません。
この攻撃を理解するために、まずWPAエンタープライズの説明を読むことをお勧めします。
hostapd-wpeの使用
hostapd-wpe
は動作するために設定ファイルが必要です。これらの設定の生成を自動化するには、https://github.com/WJDigby/apd_launchpadを使用できます(_ /etc/hostapd-wpe/_内のPythonファイルをダウンロードしてください)。
設定ファイルでは、ssid、チャネル、ユーザーファイル、cret/key、dhパラメータ、wpaバージョン、認証など、さまざまな項目を選択できます。
EAP-TLSを使用して任意の証明書でログインを許可するhostapd-wpeの使用。
EAPHammerの使用
デフォルトでは、EAPHammerはこの認証方法を目的としています(最初に平文パスワードを取得しようとするGTCに注意し、その後により堅牢な認証方法を使用します):
これは長い接続時間を避けるためのデフォルトの方法論です。ただし、認証方法を最も弱いものから最も強いものへ指定することもできます:
Or you could also use:
--negotiate gtc-downgrade
を使用して、高効率のGTCダウングレード実装(平文パスワード)を利用する
--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP
を使用して、提供されるメソッドを手動で指定する(攻撃を行う組織と同じ順序で同じ認証メソッドを提供することで、攻撃が発見されるのがはるかに難しくなる)。
Using Airgeddon
Airgeddon
は、以前に生成された証明書を使用してWPA/WPA2-EnterpriseネットワークにEAP認証を提供できます。偽のネットワークは接続プロトコルをEAP-MD5にダウングレードし、ユーザーとパスワードのMD5をキャプチャできるようにします。その後、攻撃者はパスワードをクラックしようとすることができます。
Airgeddon
は、**継続的なEvil Twin攻撃(ノイジー)または誰かが接続するまでEvil Attackを作成するだけ(スムーズ)**の可能性を提供します。
この方法はPEAP接続でテストされましたが、任意のTLSトンネルを復号化しているため、EAP-TTLSでも機能するはずです
hostapd-wpeの設定内で、_dh_file_を含む行をコメントアウトします(dh_file=/etc/hostapd-wpe/certs/dh
から#dh_file=/etc/hostapd-wpe/certs/dh
へ)
これにより、hostapd-wpe
はDHの代わりにRSAを使用してキーを交換するため、サーバーの秘密鍵を知っていることで後でトラフィックを復号化できるようになります。
次に、通常通りその修正された設定で**hostapd-wpe
を使用してEvil Twinを開始します。また、Evil Twin攻撃を実行しているインターフェースでwireshark
**を開始します。
今すぐまたは後で(認証の試行をいくつかキャプチャした後)、プライベートRSAキーをwiresharkに追加できます:Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...
新しいエントリを追加し、次の値でフォームを埋めます:IPアドレス = any -- ポート = 0 -- プロトコル = data -- キー ファイル(キー ファイルを選択、問題を避けるためにパスワード保護されていないキー ファイルを選択)。
新しい**"Decrypted TLS"タブ**を確認してください:
異なるタイプのメディアアクセス制御フィルターリスト(MFACL)と、それに対応するモードおよび不正アクセスポイント(AP)の動作への影響:
MACベースのホワイトリスト:
不正APは、ホワイトリストに指定されたデバイスからのプローブリクエストにのみ応答し、リストにない他のすべてのデバイスには見えなくなります。
MACベースのブラックリスト:
不正APは、ブラックリストにあるデバイスからのプローブリクエストを無視し、特定のデバイスに対して不正APを見えなくします。
SSIDベースのホワイトリスト:
不正APは、リストにある特定のESSIDに対してのみプローブリクエストに応答し、Preferred Network Lists(PNL)にそのESSIDが含まれていないデバイスには見えなくなります。
SSIDベースのブラックリスト:
不正APは、ブラックリストにある特定のESSIDに対するプローブリクエストには応答せず、特定のネットワークを探しているデバイスには見えなくなります。
この方法は、攻撃者がネットワークに接続しようとするデバイスからのすべてのプローブリクエストに応答する悪意のあるアクセスポイント(AP)を作成することを可能にします。この技術は、デバイスが探しているネットワークを模倣することによって、デバイスを攻撃者のAPに接続させることができます。デバイスがこの不正なAPに接続リクエストを送信すると、接続が完了し、デバイスは誤って攻撃者のネットワークに接続してしまいます。
その後、デバイスは無効なネットワーク応答を無視し始め、元のkarma攻撃の効果が減少しました。しかし、MANA攻撃として知られる新しい方法がイアン・デ・ヴィリアーズとドミニク・ホワイトによって導入されました。この方法は、不正なAPがデバイスのブロードキャストプローブリクエストに応答して、デバイスが以前に要求したネットワーク名(SSID)を使用して、Preferred Network Lists(PNL)をキャプチャすることを含みます。この高度な攻撃は、デバイスが既知のネットワークを記憶し、優先順位を付ける方法を利用することで、元のkarma攻撃に対する保護を回避します。
MANA攻撃は、デバイスからの指向およびブロードキャストプローブリクエストの両方を監視することによって機能します。指向リクエストの場合、デバイスのMACアドレスと要求されたネットワーク名を記録し、この情報をリストに追加します。ブロードキャストリクエストが受信されると、APはデバイスのリストにあるネットワークに一致する情報で応答し、デバイスを不正なAPに接続させるよう誘引します。
Loud MANA攻撃は、デバイスが指向プロービングを使用しない場合や、攻撃者にとっての優先ネットワークリスト(PNL)が不明な場合に使用される高度な戦略です。この攻撃は、同じエリアにいるデバイスはPNLにいくつかのネットワーク名を共有する可能性が高いという原則に基づいています。選択的に応答するのではなく、この攻撃は観察されたすべてのデバイスの結合PNLに見つかったすべてのネットワーク名(ESSID)に対してプローブ応答をブロードキャストします。この広範なアプローチは、デバイスが馴染みのあるネットワークを認識し、悪意のあるアクセスポイント(AP)に接続しようとする可能性を高めます。
Loud MANA攻撃が不十分な場合、Known Beacon攻撃は別のアプローチを提供します。この方法は、単語リストから派生した潜在的なESSIDのリストを循環させながら、任意のネットワーク名に応答するAPをシミュレートすることによって接続プロセスをブルートフォースします。これは、多数のネットワークの存在をシミュレートし、被害者のPNL内のESSIDと一致することを期待し、作成されたAPへの接続試行を促します。この攻撃は、デバイスを捕らえるためのより攻撃的な試みとして--loud
オプションと組み合わせることで増幅できます。
Eaphammerは、この攻撃をMANA攻撃として実装し、リスト内のすべてのESSIDが充電されます(これを--loud
と組み合わせてLoud MANA + Known beacons攻撃を作成することもできます):
Known Beacon Burst attack
Known Beacon Burst attackは、ファイルにリストされた各ESSIDのためにビーコンフレームを迅速に放送することを含みます。これにより、偽のネットワークの密集した環境が作成され、特にMANA攻撃と組み合わせることで、デバイスが悪意のあるAPに接続する可能性が大幅に高まります。この技術は、デバイスのネットワーク選択メカニズムを圧倒するために、速度とボリュームを活用します。
Wi-Fi Directは、従来の無線アクセスポイントを必要とせずに、デバイスがWi-Fiを使用して直接接続できるプロトコルです。この機能は、プリンターやテレビなどのさまざまなIoTデバイスに統合されており、デバイス間の直接通信を容易にします。Wi-Fi Directの注目すべき特徴は、1つのデバイスが接続を管理するグループオーナーとしての役割を果たすことです。
Wi-Fi Direct接続のセキュリティは、**Wi-Fi Protected Setup (WPS)**を通じて確立されており、以下のような安全なペアリングのためのいくつかの方法をサポートしています:
プッシュボタン設定 (PBC)
PIN入力
近距離無線通信 (NFC)
これらの方法、特にPIN入力は、従来のWi-FiネットワークにおけるWPSと同様の脆弱性にさらされており、同様の攻撃ベクターの標的となります。
EvilDirect Hijackingは、Wi-Fi Directに特有の攻撃です。これは、Evil Twin攻撃の概念を反映していますが、Wi-Fi Direct接続をターゲットにしています。このシナリオでは、攻撃者が正当なグループオーナーを偽装し、デバイスを悪意のあるエンティティに接続させることを目的としています。この方法は、airbase-ng
のようなツールを使用して、偽装されたデバイスのチャネル、ESSID、およびMACアドレスを指定することで実行できます。
TODO: https://github.com/wifiphisher/wifiphisherを確認してください(Facebookでログインし、キャプティブポータルでWPAを模倣)
経験豊富なハッカーやバグバウンティハンターとコミュニケーションを取るために、HackenProof Discordサーバーに参加してください!
Hacking Insights ハッキングのスリルと課題に深く掘り下げたコンテンツに参加してください
Real-Time Hack News リアルタイムのニュースと洞察を通じて、急速に進化するハッキングの世界を把握してください
Latest Announcements 新しいバグバウンティの開始や重要なプラットフォームの更新について最新情報を入手してください
Join us on Discordに参加し、今日からトップハッカーとコラボレーションを始めましょう!
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)