Pentesting Wifi
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Dołącz do HackenProof Discord, aby komunikować się z doświadczonymi hackerami i łowcami bugów!
Wgląd w hacking Zaangażuj się w treści, które zagłębiają się w emocje i wyzwania związane z hackingiem
Aktualności o hackingu w czasie rzeczywistym Bądź na bieżąco z dynamicznym światem hackingu dzięki aktualnym wiadomościom i wglądom
Najnowsze ogłoszenia Bądź informowany o najnowszych programach bug bounty oraz istotnych aktualizacjach platform
Dołącz do nas na Discord i zacznij współpracować z najlepszymi hackerami już dziś!
Uruchom airgeddon za pomocą dockera
From: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux
Może przeprowadzać ataki Evil Twin, KARMA i Known Beacons, a następnie używać szablonu phishingowego, aby uzyskać prawdziwe hasło do sieci lub przechwycić dane logowania do sieci społecznościowych.
To narzędzie automatyzuje ataki WPS/WEP/WPA-PSK. Automatycznie:
Ustawia interfejs w trybie monitorowania
Skanuje możliwe sieci - I pozwala wybrać ofiarę/y
Jeśli WEP - Uruchamia ataki WEP
Jeśli WPA-PSK
Jeśli WPS: atak Pixie dust i atak brute-force (uważaj, atak brute-force może zająć dużo czasu). Zauważ, że nie próbuje pustego PIN-u ani PIN-ów z bazy danych/wygenerowanych.
Próbuje przechwycić PMKID z AP, aby go złamać
Próbuje deautoryzować klientów AP, aby przechwycić handshake
Jeśli PMKID lub Handshake, próbuje złamać hasło używając 5000 najpopularniejszych haseł.
DoS
Deautoryzacja/disasocjacja -- Rozłącz wszystkich (lub konkretny ESSID/Klient)
Losowe fałszywe AP -- Ukryj sieci, możliwe awarie skanerów
Przeciążenie AP -- Spróbuj zabić AP (zwykle mało użyteczne)
WIDS -- Baw się IDS
TKIP, EAPOL -- Niektóre specyficzne ataki DoS na niektóre AP
Cracking
Złam WEP (kilka narzędzi i metod)
WPA-PSK
WPS pin "Brute-Force"
WPA PMKID brute-force
[DoS +] WPA handshake przechwytywanie + Złamanie
WPA-MGT
Przechwytywanie nazwy użytkownika
Bruteforce poświadczenia
Evil Twin (z lub bez DoS)
Open Evil Twin [+ DoS] -- Użyteczne do przechwytywania poświadczeń portalu przechwytywania i/lub przeprowadzania ataków LAN
WPA-PSK Evil Twin -- Użyteczne do ataków sieciowych, jeśli znasz hasło
WPA-MGT -- Użyteczne do przechwytywania poświadczeń firmowych
KARMA, MANA, Loud MANA, Znany beacon
+ Open -- Użyteczne do przechwytywania poświadczeń portalu przechwytywania i/lub przeprowadzania ataków LAN
+ WPA -- Użyteczne do przechwytywania handshake'ów WPA
Opis z tutaj:.
Ataki deautoryzacji, powszechnie stosowana metoda w hackingu Wi-Fi, polegają na fałszowaniu ramek "zarządzających", aby siłą rozłączyć urządzenia z sieci. Te niezaszyfrowane pakiety oszukują klientów, sprawiając, że wierzą, iż pochodzą z legalnej sieci, co umożliwia atakującym zbieranie handshake'ów WPA do celów łamania lub trwałe zakłócanie połączeń sieciowych. Ta taktyka, niepokojąca w swojej prostocie, jest szeroko stosowana i ma znaczące implikacje dla bezpieczeństwa sieci.
Deautoryzacja przy użyciu Aireplay-ng
-0 oznacza deautoryzację
1 to liczba deautoryzacji do wysłania (możesz wysłać wiele, jeśli chcesz); 0 oznacza wysyłanie ich ciągle
-a 00:14:6C:7E:40:80 to adres MAC punktu dostępowego
-c 00:0F:B5:34:30:30 to adres MAC klienta do deautoryzacji; jeśli to zostanie pominięte, wysyłana jest deautoryzacja rozgłoszeniowa (nie zawsze działa)
ath0 to nazwa interfejsu
Pakiety dezaktywacji, podobnie jak pakiety deautoryzacji, są rodzajem ramki zarządzającej używanej w sieciach Wi-Fi. Pakiety te służą do zerwania połączenia między urządzeniem (takim jak laptop lub smartfon) a punktem dostępowym (AP). Główna różnica między dezaktywacją a deautoryzacją leży w ich scenariuszach użycia. Podczas gdy AP emituje pakiety deautoryzacji, aby usunąć nieautoryzowane urządzenia z sieci, pakiety dezaktywacji są zazwyczaj wysyłane, gdy AP przechodzi w tryb wyłączenia, ponownego uruchamiania lub przenoszenia, co wymaga rozłączenia wszystkich podłączonych węzłów.
Ten atak można przeprowadzić za pomocą mdk4 (tryb "d"):
W tutaj.
TRYB ATAKU b: Flooding Beaconów
Wysyła ramki beaconów, aby pokazać fałszywe AP na klientach. Może to czasami spowodować awarię skanerów sieciowych, a nawet sterowników!
TRYB ATAKU a: Denial-Of-Service uwierzytelnienia
Wysyłanie ramek uwierzytelniających do wszystkich dostępnych Punktów Dostępu (AP) w zasięgu może przeciążyć te AP, szczególnie gdy zaangażowanych jest wielu klientów. Ten intensywny ruch może prowadzić do niestabilności systemu, powodując, że niektóre AP mogą się zawiesić lub nawet zresetować.
TRYB ATAKU p: Probing SSID i Bruteforcing
Probing Access Points (APs) sprawdza, czy SSID jest odpowiednio ujawniony i potwierdza zasięg AP. Ta technika, w połączeniu z bruteforcing ukrytych SSID z lub bez listy słów, pomaga w identyfikacji i uzyskiwaniu dostępu do ukrytych sieci.
TRYB ATAKU m: Wykorzystanie Środków Przeciwdziałających Michaelowi
Wysyłanie losowych lub duplikowanych pakietów do różnych kolejek QoS może wywołać Środki Przeciwdziałające Michaelowi na TKIP APs, prowadząc do jednominutowego wyłączenia AP. Ta metoda jest skuteczną taktyką ataku DoS (Denial of Service).
TRYB ATAKU e: Wstrzykiwanie pakietów EAPOL Start i Logoff
Zalewanie AP ramkami EAPOL Start tworzy fałszywe sesje, przytłaczając AP i blokując legalnych klientów. Alternatywnie, wstrzykiwanie fałszywych wiadomości EAPOL Logoff wymusza rozłączenie klientów, obie metody skutecznie zakłócają usługi sieciowe.
TRYB ATAKU s: Ataki na sieci mesh IEEE 802.11s
Różne ataki na zarządzanie łączami i routowanie w sieciach mesh.
TRYB ATAKU w: Mylenie WIDS
Krzyżowe łączenie klientów z wieloma węzłami WDS lub fałszywymi AP może manipulować systemami wykrywania i zapobiegania włamaniom, tworząc zamieszanie i potencjalne nadużycie systemu.
TRYB ATAKU f: Fuzzer Pakietów
Fuzzer pakietów z różnorodnymi źródłami pakietów i kompleksowym zestawem modyfikatorów do manipulacji pakietami.
Airgeddon oferuje większość ataków zaproponowanych w poprzednich komentarzach:
WPS (Wi-Fi Protected Setup) upraszcza proces łączenia urządzeń z routerem, zwiększając szybkość i łatwość konfiguracji dla sieci szyfrowanych za pomocą WPA lub WPA2 Personal. Jest nieskuteczny w przypadku łatwo kompromitowanego zabezpieczenia WEP. WPS wykorzystuje 8-cyfrowy PIN, weryfikowany w dwóch częściach, co czyni go podatnym na ataki brute-force z powodu ograniczonej liczby kombinacji (11 000 możliwości).
Istnieją 2 główne narzędzia do przeprowadzenia tej akcji: Reaver i Bully.
Reaver został zaprojektowany jako solidny i praktyczny atak przeciwko WPS i był testowany na szerokiej gamie punktów dostępowych i implementacji WPS.
Bully to nowa implementacja ataku brute force WPS, napisana w C. Ma kilka zalet w porównaniu do oryginalnego kodu reaver: mniej zależności, poprawiona wydajność pamięci i CPU, prawidłowe obsługiwanie endianness oraz bardziej rozbudowany zestaw opcji.
Atak wykorzystuje wrażliwość PIN-u WPS, szczególnie jego ujawnienie pierwszych czterech cyfr oraz rolę ostatniej cyfry jako sumy kontrolnej, co ułatwia atak brute-force. Jednak obrony przed atakami brute-force, takie jak blokowanie adresów MAC agresywnych atakujących, wymagają rotacji adresów MAC, aby kontynuować atak.
Po uzyskaniu PIN-u WPS za pomocą narzędzi takich jak Bully lub Reaver, atakujący może wydedukować WPA/WPA2 PSK, zapewniając stały dostęp do sieci.
Smart Brute Force
To podejście celuje w PIN-y WPS, wykorzystując znane luki:
Wcześniej odkryte PIN-y: Wykorzystaj bazę danych znanych PIN-ów powiązanych z konkretnymi producentami, którzy używają jednolitych PIN-ów WPS. Ta baza danych koreluje pierwsze trzy oktety adresów MAC z prawdopodobnymi PIN-ami dla tych producentów.
Algorytmy generowania PIN-ów: Wykorzystaj algorytmy takie jak ComputePIN i EasyBox, które obliczają PIN-y WPS na podstawie adresu MAC AP. Algorytm Arcadyan dodatkowo wymaga identyfikatora urządzenia, co dodaje warstwę do procesu generowania PIN-u.
Dominique Bongard odkrył błąd w niektórych punktach dostępowych (AP) dotyczący tworzenia tajnych kodów, znanych jako nonces (E-S1 i E-S2). Jeśli te nonces można odgadnąć, złamanie PIN-u WPS AP staje się łatwe. AP ujawnia PIN w specjalnym kodzie (hash), aby udowodnić, że jest legitny, a nie fałszywy (rogue) AP. Te nonces są zasadniczo "kluczami" do odblokowania "sejfu", który przechowuje PIN WPS. Więcej na ten temat można znaleźć tutaj.
Mówiąc prosto, problem polega na tym, że niektóre AP nie używały wystarczająco losowych kluczy do szyfrowania PIN-u podczas procesu łączenia. To sprawia, że PIN jest podatny na odgadnięcie z zewnątrz sieci (offline brute force attack).
Jeśli nie chcesz przełączać urządzenia w tryb monitorowania, lub reaver
i bully
mają jakiś problem, możesz spróbować OneShot-C. To narzędzie może przeprowadzić atak Pixie Dust bez konieczności przełączania w tryb monitorowania.
Niektóre źle zaprojektowane systemy pozwalają nawet na dostęp za pomocą Null PIN (pusty lub nieistniejący PIN), co jest dość nietypowe. Narzędzie Reaver jest w stanie testować tę podatność, w przeciwieństwie do Bully.
Wszystkie proponowane ataki WPS można łatwo przeprowadzić za pomocą airgeddon.
5 i 6 pozwalają na wypróbowanie twojego własnego PIN-u (jeśli go masz)
7 i 8 wykonują atak Pixie Dust
13 pozwala na przetestowanie NULL PIN
11 i 12 zbiorą PIN-y związane z wybranym AP z dostępnych baz danych i wygenerują możliwe PIN-y za pomocą: ComputePIN, EasyBox i opcjonalnie Arcadyan (zalecane, czemu nie?)
9 i 10 przetestują każdy możliwy PIN
Tak zniszczony i nieużywany w dzisiejszych czasach. Po prostu wiedz, że airgeddon ma opcję WEP nazwaną "All-in-One", aby zaatakować ten rodzaj ochrony. Wiele narzędzi oferuje podobne opcje.
Dołącz do HackenProof Discord, aby komunikować się z doświadczonymi hackerami i łowcami błędów!
Hacking Insights Zaangażuj się w treści, które zagłębiają się w emocje i wyzwania związane z hackingiem
Real-Time Hack News Bądź na bieżąco z dynamicznym światem hackingu dzięki wiadomościom i spostrzeżeniom w czasie rzeczywistym
Latest Announcements Bądź informowany o najnowszych nagrodach za błędy oraz istotnych aktualizacjach platformy
Dołącz do nas na Discord i zacznij współpracować z najlepszymi hackerami już dziś!
W 2018 roku hashcat ujawnił nową metodę ataku, unikalną, ponieważ potrzebuje tylko jednego pakietu i nie wymaga, aby jakiekolwiek urządzenia były podłączone do docelowego AP—wystarczy interakcja między atakującym a AP.
Wiele nowoczesnych routerów dodaje opcjonalne pole do pierwszej ramki EAPOL podczas asocjacji, znane jako Robust Security Network
. To zawiera PMKID
.
Jak wyjaśnia oryginalny post, PMKID jest tworzony przy użyciu znanych danych:
Biorąc pod uwagę, że "Nazwa PMK" jest stała, znamy BSSID AP i stacji, a PMK
jest identyczny z tym z pełnego 4-etapowego uścisku dłoni, hashcat może wykorzystać te informacje do złamania PSK i odzyskania hasła!
Aby zgromadzić te informacje i bruteforce'ować lokalnie hasło, możesz zrobić:
Złapane PMKIDy będą wyświetlane w konsoli i również zapisane w _ /tmp/attack.pcap_ Teraz przekształć zrzut do formatu hashcat/john i złam go:
Proszę zauważyć, że format poprawnego hasha zawiera 4 części, jak: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838
Jeśli Twój zawiera tylko 3 części, to jest nieprawidłowy (przechwycenie PMKID nie było ważne).
Zauważ, że hcxdumptool
również przechwytuje handshake'i (coś takiego się pojawi: MP:M1M2 RC:63258 EAPOLTIME:17091
). Możesz przekształcić handshake'i do formatu hashcat/john używając cap2hccapx
Zauważyłem, że niektóre przechwycone handshake za pomocą tego narzędzia nie mogły być złamane, nawet znając poprawne hasło. Zalecałbym przechwytywanie handshake również w tradycyjny sposób, jeśli to możliwe, lub przechwytywanie ich kilku za pomocą tego narzędzia.
Atak na sieci WPA/WPA2 można przeprowadzić poprzez przechwycenie handshake i próbę złamania hasła offline. Proces ten polega na monitorowaniu komunikacji konkretnej sieci i BSSID na określonym kanale. Oto uproszczony przewodnik:
Zidentyfikuj BSSID, kanał i połączonego klienta docelowej sieci.
Użyj airodump-ng
, aby monitorować ruch sieciowy na określonym kanale i BSSID, mając nadzieję na przechwycenie handshake. Komenda będzie wyglądać następująco:
Aby zwiększyć szansę na przechwycenie handshake, chwilowo odłącz klienta od sieci, aby wymusić ponowną autoryzację. Można to zrobić za pomocą polecenia aireplay-ng
, które wysyła pakiety deautoryzacji do klienta:
Note, że gdy klient został zdezautoryzowany, mógł spróbować połączyć się z innym AP lub, w innych przypadkach, z inną siecią.
Gdy w airodump-ng
pojawią się informacje o handshake, oznacza to, że handshake został przechwycony i możesz przestać nasłuchiwać:
Gdy handshake zostanie przechwycony, możesz go złamać za pomocą aircrack-ng
:
aircrack
tshark
Jeśli to narzędzie znajdzie niekompletny handshake ESSID przed ukończonym, nie wykryje ważnego.
pyrit
W ustawieniach WiFi dla przedsiębiorstw napotkasz różne metody uwierzytelniania, z których każda oferuje różne poziomy bezpieczeństwa i funkcje zarządzania. Gdy używasz narzędzi takich jak airodump-ng
, aby sprawdzić ruch sieciowy, możesz zauważyć identyfikatory dla tych typów uwierzytelniania. Niektóre powszechne metody to:
EAP-GTC (Generic Token Card):
Ta metoda obsługuje tokeny sprzętowe i jednorazowe hasła w ramach EAP-PEAP. W przeciwieństwie do MSCHAPv2, nie używa wyzwania od partnera i wysyła hasła w postaci niezaszyfrowanej do punktu dostępowego, co stwarza ryzyko ataków typu downgrade.
EAP-MD5 (Message Digest 5):
Polega na wysyłaniu hasha MD5 hasła z klienta. Nie jest zalecane z powodu podatności na ataki słownikowe, braku uwierzytelnienia serwera oraz niemożności generowania kluczy WEP specyficznych dla sesji.
EAP-TLS (Transport Layer Security):
Wykorzystuje zarówno certyfikaty po stronie klienta, jak i serwera do uwierzytelniania i może dynamicznie generować klucze WEP oparte na użytkownikach i sesjach w celu zabezpieczenia komunikacji.
EAP-TTLS (Tunneled Transport Layer Security):
Zapewnia wzajemne uwierzytelnianie przez zaszyfrowany tunel, a także metodę do wyprowadzania dynamicznych kluczy WEP dla każdego użytkownika i sesji. Wymaga tylko certyfikatów po stronie serwera, a klienci używają poświadczeń.
PEAP (Protected Extensible Authentication Protocol):
Działa podobnie do EAP, tworząc tunel TLS dla chronionej komunikacji. Umożliwia użycie słabszych protokołów uwierzytelniania na szczycie EAP dzięki ochronie oferowanej przez tunel.
PEAP-MSCHAPv2: Często określane jako PEAP, łączy podatny mechanizm wyzwania/odpowiedzi MSCHAPv2 z ochronnym tunelem TLS.
PEAP-EAP-TLS (lub PEAP-TLS): Podobne do EAP-TLS, ale inicjuje tunel TLS przed wymianą certyfikatów, oferując dodatkową warstwę bezpieczeństwa.
Możesz znaleźć więcej informacji na temat tych metod uwierzytelniania tutaj i tutaj.
Czytając https://tools.ietf.org/html/rfc3748#page-27, wygląda na to, że jeśli używasz EAP, to "Identity" messages muszą być obsługiwane, a nazwa użytkownika będzie wysyłana w czystym w "Response Identity" messages.
Nawet używając jednej z najbezpieczniejszych metod uwierzytelniania: PEAP-EAP-TLS, możliwe jest przechwycenie nazwy użytkownika wysłanej w protokole EAP. Aby to zrobić, przechwyć komunikację uwierzytelniającą (uruchom airodump-ng
w kanale i wireshark
na tym samym interfejsie) i filtruj pakiety według eapol
.
W pakiecie "Response, Identity" pojawi się nazwa użytkownika klienta.
Ukrywanie tożsamości jest obsługiwane zarówno przez EAP-PEAP, jak i EAP-TTLS. W kontekście sieci WiFi, żądanie EAP-Identity jest zazwyczaj inicjowane przez punkt dostępowy (AP) podczas procesu asocjacji. Aby zapewnić ochronę anonimowości użytkownika, odpowiedź z klienta EAP na urządzeniu użytkownika zawiera tylko niezbędne informacje wymagane do przetworzenia żądania przez początkowy serwer RADIUS. Koncepcja ta jest ilustrowana przez następujące scenariusze:
EAP-Identity = anonimowy
W tym scenariuszu wszyscy użytkownicy używają pseudonimowego "anonimowy" jako swojego identyfikatora użytkownika. Początkowy serwer RADIUS działa jako serwer EAP-PEAP lub EAP-TTLS, odpowiedzialny za zarządzanie stroną serwera protokołu PEAP lub TTLS. Wewnętrzna (chroniona) metoda uwierzytelniania jest następnie obsługiwana lokalnie lub delegowana do zdalnego (domowego) serwera RADIUS.
EAP-Identity = anonimowy@realm_x
W tej sytuacji użytkownicy z różnych królestw ukrywają swoje tożsamości, jednocześnie wskazując swoje odpowiednie królestwa. Umożliwia to początkowemu serwerowi RADIUS proxy żądania EAP-PEAP lub EAP-TTLS do serwerów RADIUS w ich domowych królestwach, które działają jako serwer PEAP lub TTLS. Początkowy serwer RADIUS działa wyłącznie jako węzeł przekaźnikowy RADIUS.
Alternatywnie, początkowy serwer RADIUS może działać jako serwer EAP-PEAP lub EAP-TTLS i albo obsługiwać chronioną metodę uwierzytelniania, albo przekazywać ją do innego serwera. Ta opcja ułatwia konfigurację odmiennych polityk dla różnych królestw.
W EAP-PEAP, po nawiązaniu tunelu TLS między serwerem PEAP a klientem PEAP, serwer PEAP inicjuje żądanie EAP-Identity i przesyła je przez tunel TLS. Klient odpowiada na to drugie żądanie EAP-Identity, wysyłając odpowiedź EAP-Identity zawierającą prawdziwą tożsamość użytkownika przez zaszyfrowany tunel. To podejście skutecznie zapobiega ujawnieniu rzeczywistej tożsamości użytkownika komukolwiek podsłuchującemu ruch 802.11.
EAP-TTLS postępuje nieco inaczej. W przypadku EAP-TTLS klient zazwyczaj uwierzytelnia się za pomocą PAP lub CHAP, zabezpieczonych przez tunel TLS. W tym przypadku klient dołącza atrybut User-Name oraz atrybut Password lub CHAP-Password w początkowej wiadomości TLS wysyłanej po nawiązaniu tunelu.
Bez względu na wybrany protokół, serwer PEAP/TTLS uzyskuje wiedzę o prawdziwej tożsamości użytkownika po nawiązaniu tunelu TLS. Prawdziwa tożsamość może być reprezentowana jako user@realm lub po prostu user. Jeśli serwer PEAP/TTLS jest również odpowiedzialny za uwierzytelnienie użytkownika, teraz posiada tożsamość użytkownika i kontynuuje metodę uwierzytelniania chronioną przez tunel TLS. Alternatywnie, serwer PEAP/TTLS może przekazać nowe żądanie RADIUS do domowego serwera RADIUS użytkownika. To nowe żądanie RADIUS pomija warstwę protokołu PEAP lub TTLS. W przypadkach, gdy chroniona metoda uwierzytelniania to EAP, wewnętrzne wiadomości EAP są przesyłane do domowego serwera RADIUS bez opakowania EAP-PEAP lub EAP-TTLS. Atrybut User-Name wiadomości RADIUS wychodzącej zawiera prawdziwą tożsamość użytkownika, zastępując anonimową nazwę użytkownika z przychodzącego żądania RADIUS. Gdy chroniona metoda uwierzytelniania to PAP lub CHAP (obsługiwane tylko przez TTLS), atrybut User-Name i inne atrybuty uwierzytelniania wyodrębnione z ładunku TLS są zastępowane w wychodzącej wiadomości RADIUS, zastępując anonimową nazwę użytkownika i atrybuty TTLS EAP-Message znajdujące się w przychodzącym żądaniu RADIUS.
Aby uzyskać więcej informacji, sprawdź https://www.interlinknetworks.com/app_notes/eap-peap.htm
Jeśli oczekuje się, że klient użyje nazwa użytkownika i hasło (zauważ, że EAP-TLS nie będzie ważne w tym przypadku), możesz spróbować uzyskać listę nazw użytkowników (zobacz następna część) i haseł i spróbować bruteforce dostępu za pomocą air-hammer.
Możesz również przeprowadzić ten atak za pomocą eaphammer
:
Protokół 802.11 definiuje, jak stacja dołącza do Rozszerzonego Zestawu Usług (ESS), ale nie określa kryteriów wyboru ESS lub punktu dostępowego (AP) w jego obrębie.
Stacje mogą przemieszczać się między AP, które dzielą ten sam ESSID, utrzymując łączność w budynku lub obszarze.
Protokół wymaga uwierzytelnienia stacji do ESS, ale nie nakłada obowiązku uwierzytelnienia AP do stacji.
Stacje przechowują ESSID każdej sieci bezprzewodowej, do której się łączą, w swojej Liście Preferowanych Sieci (PNL), wraz z szczegółami konfiguracji specyficznymi dla sieci.
PNL jest używana do automatycznego łączenia się z znanymi sieciami, poprawiając doświadczenie użytkownika poprzez uproszczenie procesu łączenia.
AP okresowo nadają ramki beacon, ogłaszając swoją obecność i cechy, w tym ESSID AP, chyba że nadawanie jest wyłączone.
Podczas skanowania pasywnego stacje nasłuchują ramek beacon. Jeśli ESSID beacona pasuje do wpisu w PNL stacji, stacja może automatycznie połączyć się z tym AP.
Znajomość PNL urządzenia umożliwia potencjalne wykorzystanie poprzez naśladowanie ESSID znanej sieci, oszukując urządzenie, aby połączyło się z nieautoryzowanym AP.
Aktywne sondowanie polega na wysyłaniu przez stacje żądań sondowania w celu odkrycia pobliskich AP i ich cech.
Ukierunkowane żądania sondowania celują w konkretny ESSID, pomagając wykryć, czy dana sieć jest w zasięgu, nawet jeśli jest ukryta.
Żądania sondowania rozgłoszeniowego mają pustą sekcję SSID i są wysyłane do wszystkich pobliskich AP, pozwalając stacji sprawdzić, czy istnieje jakaś preferowana sieć bez ujawniania zawartości swojej PNL.
Zanim wyjaśnione zostanie, jak przeprowadzać bardziej złożone ataki, zostanie wyjaśnione jak po prostu utworzyć AP i przekierować jego ruch do interfejsu podłączonego do Internetu.
Używając ifconfig -a
, sprawdź, czy interfejs wlan do utworzenia AP oraz interfejs podłączony do Internetu są obecne.
Utwórz plik konfiguracyjny /etc/dnsmasq.conf
:
Następnie ustaw IP i trasy:
A następnie uruchom dnsmasq:
Utwórz plik konfiguracyjny hostapd.conf
:
Zatrzymaj irytujące procesy, ustaw tryb monitorowania i uruchom hostapd:
Atak evil twin wykorzystuje sposób, w jaki klienci WiFi rozpoznają sieci, polegając głównie na nazwie sieci (ESSID) bez konieczności uwierzytelniania stacji bazowej (punktu dostępowego) przez klienta. Kluczowe punkty to:
Trudności w rozróżnieniu: Urządzenia mają trudności z odróżnieniem legalnych punktów dostępowych od nieautoryzowanych, gdy dzielą tę samą ESSID i typ szyfrowania. W rzeczywistych sieciach często używa się wielu punktów dostępowych z tą samą ESSID, aby płynnie rozszerzyć zasięg.
Roaming klientów i manipulacja połączeniem: Protokół 802.11 pozwala urządzeniom na roaming między punktami dostępowymi w tej samej ESS. Atakujący mogą to wykorzystać, kusząc urządzenie do rozłączenia się z aktualną stacją bazową i połączenia z nieautoryzowaną. Można to osiągnąć, oferując silniejszy sygnał lub zakłócając połączenie z legalnym punktem dostępowym za pomocą metod takich jak pakiety deautoryzacji lub zakłócanie.
Wyzwania w realizacji: Skuteczne przeprowadzenie ataku evil twin w środowiskach z wieloma, dobrze umiejscowionymi punktami dostępowymi może być trudne. Deautoryzacja jednego legalnego punktu dostępowego często skutkuje połączeniem urządzenia z innym legalnym punktem dostępowym, chyba że atakujący może deautoryzować wszystkie pobliskie punkty dostępowe lub strategicznie umieścić nieautoryzowany punkt dostępowy.
Możesz stworzyć bardzo podstawowy Open Evil Twin (bez możliwości routowania ruchu do Internetu) wykonując:
Możesz również stworzyć Evil Twin za pomocą eaphammer (zauważ, że aby stworzyć evil twins za pomocą eaphammer, interfejs NIE powinien być w trybie monitor):
Or using Airgeddon: Options: 5,6,7,8,9 (inside Evil Twin attack menu).
Proszę zauważyć, że domyślnie, jeśli ESSID w PNL jest zapisany jako chroniony WPA, urządzenie nie połączy się automatycznie z otwartym evil Twin. Możesz spróbować DoS prawdziwego AP i mieć nadzieję, że użytkownik połączy się ręcznie z twoim otwartym evil twin, lub możesz DoS prawdziwego AP i użyć WPA Evil Twin, aby przechwycić handshake (używając tej metody nie będziesz w stanie pozwolić ofierze połączyć się z tobą, ponieważ nie znasz PSK, ale możesz przechwycić handshake i spróbować go złamać).
Niektóre systemy operacyjne i oprogramowanie antywirusowe ostrzegą użytkownika, że połączenie z otwartą siecią jest niebezpieczne...
Możesz stworzyć Evil Twin używając WPA/2 i jeśli urządzenia są skonfigurowane do łączenia się z tym SSID za pomocą WPA/2, będą próbować się połączyć. Tak czy inaczej, aby zakończyć 4-way-handshake musisz również znać hasło, które klient zamierza użyć. Jeśli nie znasz go, połączenie nie zostanie zakończone.
Aby zrozumieć te ataki, zalecałbym przeczytanie wcześniej krótkiego wyjaśnienia WPA Enterprise.
Używając hostapd-wpe
hostapd-wpe
potrzebuje pliku konfiguracyjnego, aby działać. Aby zautomatyzować generowanie tych konfiguracji, możesz użyć https://github.com/WJDigby/apd_launchpad (pobierz plik python w /etc/hostapd-wpe/).
W pliku konfiguracyjnym możesz wybrać wiele różnych rzeczy, takich jak ssid, kanał, pliki użytkowników, cret/klucz, parametry dh, wersja wpa i autoryzacja...
Używanie hostapd-wpe z EAP-TLS, aby umożliwić logowanie za pomocą dowolnego certyfikatu.
Używanie EAPHammer
Domyślnie EAPHammer proponuje te metody uwierzytelniania (zauważ GTC jako pierwszą do próby uzyskania haseł w postaci czystego tekstu, a następnie użycie bardziej solidnych metod uwierzytelniania):
To jest domyślna metodologia, aby uniknąć długich czasów połączenia. Możesz jednak również określić serwerowi metody uwierzytelniania od najsłabszej do najsilniejszej:
Or you could also use:
--negotiate gtc-downgrade
aby użyć wysoce wydajnej implementacji GTC downgrade (hasła w postaci czystego tekstu)
--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP
aby ręcznie określić oferowane metody (oferowanie tych samych metod autoryzacji w tej samej kolejności, co organizacja, znacznie utrudni wykrycie ataku).
Using Airgeddon
Airgeddon
może używać wcześniej wygenerowanych certyfikatów do oferowania autoryzacji EAP w sieciach WPA/WPA2-Enterprise. Fałszywa sieć obniży protokół połączenia do EAP-MD5, aby móc przechwycić użytkownika i MD5 hasła. Później atakujący może spróbować złamać hasło.
Airgeddon
oferuje możliwość ciągłego ataku Evil Twin (hałaśliwego) lub tylko stworzenia ataku Evil do momentu, gdy ktoś się połączy (cichego).
Ta metoda została przetestowana w połączeniu PEAP, ale ponieważ odszyfrowuję dowolny tunel TLS, powinna również działać z EAP-TTLS
W konfiguracji hostapd-wpe zakomentuj linię, która zawiera dh_file (z dh_file=/etc/hostapd-wpe/certs/dh
na #dh_file=/etc/hostapd-wpe/certs/dh
)
To spowoduje, że hostapd-wpe
wymieni klucze używając RSA zamiast DH, więc będziesz mógł odszyfrować ruch później znając prywatny klucz serwera.
Teraz uruchom Evil Twin używając hostapd-wpe
z tą zmodyfikowaną konfiguracją jak zwykle. Uruchom również wireshark
w interfejsie, który wykonuje atak Evil Twin.
Teraz lub później (gdy już przechwyciłeś kilka prób autoryzacji) możesz dodać prywatny klucz RSA do wireshark w: Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...
Dodaj nowy wpis i wypełnij formularz tymi wartościami: Adres IP = dowolny -- Port = 0 -- Protokół = data -- Plik klucza (wybierz swój plik klucza, aby uniknąć problemów, wybierz plik klucza bez ochrony hasłem).
I spójrz na nową zakładkę "Decrypted TLS":
Różne typy list filtrów dostępu do mediów (MFACL) oraz ich odpowiadające tryby i efekty na zachowanie fałszywego punktu dostępu (AP):
Biała lista oparta na MAC:
Fałszywy AP będzie odpowiadał tylko na zapytania probe od urządzeń określonych na białej liście, pozostając niewidoczny dla wszystkich innych, które nie są wymienione.
Czarna lista oparta na MAC:
Fałszywy AP zignoruje zapytania probe od urządzeń na czarnej liście, skutecznie czyniąc fałszywego AP niewidocznym dla tych konkretnych urządzeń.
Biała lista oparta na SSID:
Fałszywy AP będzie odpowiadał na zapytania probe tylko dla określonych ESSID-ów wymienionych na liście, czyniąc go niewidocznym dla urządzeń, których preferencyjne listy sieci (PNL) nie zawierają tych ESSID-ów.
Czarna lista oparta na SSID:
Fałszywy AP nie będzie odpowiadał na zapytania probe dla konkretnych ESSID-ów na czarnej liście, czyniąc go niewidocznym dla urządzeń poszukujących tych konkretnych sieci.
Ta metoda pozwala atakującemu na stworzenie złośliwego punktu dostępowego (AP), który odpowiada na wszystkie zapytania probe od urządzeń próbujących połączyć się z sieciami. Ta technika oszukuje urządzenia, zmuszając je do połączenia się z AP atakującego poprzez naśladowanie sieci, których urządzenia szukają. Gdy urządzenie wysyła żądanie połączenia do tego fałszywego AP, nawiązuje połączenie, co prowadzi do błędnego połączenia urządzenia z siecią atakującego.
Następnie urządzenia zaczęły ignorować niezamówione odpowiedzi sieciowe, co zmniejszyło skuteczność pierwotnego ataku karma. Jednak nowa metoda, znana jako atak MANA, została wprowadzona przez Iana de Villiersa i Dominica White'a. Metoda ta polega na tym, że fałszywy AP przechwytuje listy preferowanych sieci (PNL) z urządzeń, odpowiadając na ich rozgłoszone zapytania probe nazwami sieci (SSID), które wcześniej były żądane przez urządzenia. Ten zaawansowany atak omija zabezpieczenia przed pierwotnym atakiem karma, wykorzystując sposób, w jaki urządzenia zapamiętują i priorytetyzują znane sieci.
Atak MANA działa, monitorując zarówno skierowane, jak i rozgłoszone zapytania probe z urządzeń. W przypadku skierowanych zapytań rejestruje adres MAC urządzenia oraz żądaną nazwę sieci, dodając te informacje do listy. Gdy otrzymane zostanie zapytanie rozgłoszone, AP odpowiada informacjami odpowiadającymi którejkolwiek z sieci na liście urządzenia, zachęcając urządzenie do połączenia się z fałszywym AP.
Atak Loud MANA to zaawansowana strategia, gdy urządzenia nie używają kierunkowego przeszukiwania lub gdy ich Lista Preferowanych Sieci (PNL) jest nieznana atakującemu. Działa na zasadzie, że urządzenia w tym samym obszarze prawdopodobnie dzielą niektóre nazwy sieci w swoich PNL. Zamiast odpowiadać selektywnie, ten atak nadaje odpowiedzi na zapytania dla każdej nazwy sieci (ESSID) znalezionej w połączonych PNL wszystkich obserwowanych urządzeń. To szerokie podejście zwiększa szansę, że urządzenie rozpozna znajomą sieć i spróbuje połączyć się z fałszywym punktem dostępowym (AP).
Gdy Loud MANA attack może nie wystarczyć, Known Beacon attack przedstawia inne podejście. Ta metoda brute-forces proces połączenia, symulując AP, który odpowiada na dowolną nazwę sieci, przechodząc przez listę potencjalnych ESSID-ów pochodzących z listy słów. To symuluje obecność licznych sieci, mając nadzieję na dopasowanie ESSID w PNL ofiary, co skłania do próby połączenia z fałszywym AP. Atak można wzmocnić, łącząc go z opcją --loud
w celu bardziej agresywnej próby przechwycenia urządzeń.
Eaphammer zaimplementował ten atak jako atak MANA, w którym wszystkie ESSID-y z listy są ładowane (możesz również połączyć to z --loud
, aby stworzyć atak Loud MANA + Known beacons):
Atak znanego wybuchu sygnału
Atak znanego wybuchu sygnału polega na szybkiej transmisji ramek sygnałowych dla każdego ESSID wymienionego w pliku. Tworzy to gęste środowisko fałszywych sieci, znacznie zwiększając prawdopodobieństwo, że urządzenia połączą się z nieautoryzowanym punktem dostępowym, szczególnie w połączeniu z atakiem MANA. Technika ta wykorzystuje szybkość i objętość, aby przytłoczyć mechanizmy wyboru sieci urządzeń.
Wi-Fi Direct to protokół umożliwiający urządzeniom bezpośrednie łączenie się ze sobą za pomocą Wi-Fi, bez potrzeby tradycyjnego punktu dostępowego. Ta funkcjonalność jest zintegrowana w różnych urządzeniach Internetu Rzeczy (IoT), takich jak drukarki i telewizory, ułatwiając bezpośrednią komunikację między urządzeniami. Ciekawą cechą Wi-Fi Direct jest to, że jedno urządzenie pełni rolę punktu dostępowego, znanego jako właściciel grupy, aby zarządzać połączeniem.
Bezpieczeństwo połączeń Wi-Fi Direct jest ustanawiane za pomocą Wi-Fi Protected Setup (WPS), które wspiera kilka metod bezpiecznego parowania, w tym:
Konfiguracja przyciskiem (PBC)
Wprowadzenie PIN-u
Komunikacja w bliskim zasięgu (NFC)
Metody te, szczególnie wprowadzenie PIN-u, są podatne na te same luki jak WPS w tradycyjnych sieciach Wi-Fi, co czyni je celem dla podobnych wektorów ataku.
EvilDirect Hijacking to atak specyficzny dla Wi-Fi Direct. Odbija koncepcję ataku Evil Twin, ale celuje w połączenia Wi-Fi Direct. W tym scenariuszu atakujący podszywa się pod legalnego właściciela grupy, mając na celu oszukanie urządzeń, aby połączyły się z złośliwym podmiotem. Metoda ta może być realizowana za pomocą narzędzi takich jak airbase-ng
, określając kanał, ESSID i adres MAC podszywanego urządzenia:
TODO: Sprawdź https://github.com/wifiphisher/wifiphisher (logowanie przez Facebooka i imitacja WPA w portalach przechwytujących)
Dołącz do serwera HackenProof Discord, aby komunikować się z doświadczonymi hakerami i łowcami bugów!
Hacking Insights Zaangażuj się w treści, które zagłębiają się w emocje i wyzwania związane z hackingiem
Real-Time Hack News Bądź na bieżąco z dynamicznym światem hackingu dzięki wiadomościom i spostrzeżeniom w czasie rzeczywistym
Latest Announcements Bądź na bieżąco z najnowszymi nagrodami za błędy oraz istotnymi aktualizacjami platformy
Dołącz do nas na Discord i zacznij współpracować z najlepszymi hakerami już dziś!
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)