Pentesting Wifi
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Junte-se ao HackenProof Discord servidor para se comunicar com hackers experientes e caçadores de bugs!
Insights de Hacking Engaje-se com conteúdo que explora a emoção e os desafios do hacking
Notícias de Hacking em Tempo Real Mantenha-se atualizado com o mundo acelerado do hacking através de notícias e insights em tempo real
Últimos Anúncios Fique informado sobre as novas recompensas de bugs lançadas e atualizações cruciais da plataforma
Junte-se a nós no Discord e comece a colaborar com os melhores hackers hoje!
Execute airgeddon com docker
Ele pode realizar ataques Evil Twin, KARMA e Known Beacons e, em seguida, usar um modelo de phishing para conseguir obter a senha real da rede ou capturar credenciais de redes sociais.
Esta ferramenta automatiza ataques WPS/WEP/WPA-PSK. Ela irá automaticamente:
Definir a interface em modo monitor
Escanear redes possíveis - E permitir que você selecione a(s) vítima(s)
Se WEP - Lançar ataques WEP
Se WPA-PSK
Se WPS: ataque Pixie dust e o ataque de força bruta (cuidado, o ataque de força bruta pode demorar muito). Observe que não tenta PIN nulo ou PINs gerados/banco de dados.
Tentar capturar o PMKID do AP para quebrá-lo
Tentar desautenticar clientes do AP para capturar um handshake
Se PMKID ou Handshake, tentar força bruta usando as 5000 senhas mais comuns.
DoS
Desautenticação/desassociação -- Desconectar todos (ou um ESSID/Cliente específico)
APs falsos aleatórios -- Ocultar redes, possível travamento de scanners
Sobrecarga do AP -- Tentar derrubar o AP (geralmente não muito útil)
WIDS -- Brincar com o IDS
TKIP, EAPOL -- Alguns ataques específicos para DoS em alguns APs
Quebra
Quebrar WEP (várias ferramentas e métodos)
WPA-PSK
WPS pin "Força Bruta"
WPA PMKID força bruta
[DoS +] Captura de handshake WPA + Quebra
WPA-MGT
Captura de Nome de Usuário
Força Bruta Credenciais
Evil Twin (com ou sem DoS)
Open Evil Twin [+ DoS] -- Útil para capturar credenciais de portal cativo e/ou realizar ataques LAN
WPA-PSK Evil Twin -- Útil para ataques de rede se você souber a senha
WPA-MGT -- Útil para capturar credenciais de empresa
KARMA, MANA, Loud MANA, Beacon conhecido
+ Open -- Útil para capturar credenciais de portal cativo e/ou realizar ataques LAN
+ WPA -- Útil para capturar handshakes WPA
Descrição de aqui:.
Ataques de desautenticação, um método prevalente em hacking Wi-Fi, envolvem forjar quadros de "gerenciamento" para desconectar forçosamente dispositivos de uma rede. Esses pacotes não criptografados enganam os clientes, fazendo-os acreditar que são da rede legítima, permitindo que os atacantes coletem handshakes WPA para fins de quebra ou para interromper persistentemente as conexões de rede. Essa tática, alarmante em sua simplicidade, é amplamente utilizada e tem implicações significativas para a segurança da rede.
Desautenticação usando Aireplay-ng
-0 significa desautenticação
1 é o número de desautenticações a serem enviadas (você pode enviar várias se desejar); 0 significa enviá-las continuamente
-a 00:14:6C:7E:40:80 é o endereço MAC do ponto de acesso
-c 00:0F:B5:34:30:30 é o endereço MAC do cliente a ser desautenticado; se isso for omitido, então a desautenticação em broadcast é enviada (nem sempre funciona)
ath0 é o nome da interface
Pacotes de desassociação, semelhantes aos pacotes de desautenticação, são um tipo de quadro de gerenciamento usado em redes Wi-Fi. Esses pacotes servem para romper a conexão entre um dispositivo (como um laptop ou smartphone) e um ponto de acesso (AP). A principal distinção entre desassociação e desautenticação reside em seus cenários de uso. Enquanto um AP emite pacotes de desautenticação para remover explicitamente dispositivos indesejados da rede, pacotes de desassociação são tipicamente enviados quando o AP está passando por um desligamento, reinicialização ou relocação, necessitando assim a desconexão de todos os nós conectados.
Este ataque pode ser realizado pelo mdk4(modo "d"):
Em aqui.
MODO DE ATAQUE b: Inundação de Beacon
Envia quadros de beacon para mostrar APs falsos aos clientes. Isso pode, às vezes, travar scanners de rede e até mesmo drivers!
MODO DE ATAQUE a: Negação de Serviço de Autenticação
Enviar quadros de autenticação para todos os Pontos de Acesso (APs) acessíveis dentro do alcance pode sobrecarregar esses APs, especialmente quando numerosos clientes estão envolvidos. Esse tráfego intenso pode levar à instabilidade do sistema, fazendo com que alguns APs congelem ou até mesmo reiniciem.
MODO DE ATAQUE p: Probing de SSID e Bruteforcing
Probing de Pontos de Acesso (APs) verifica se um SSID está devidamente revelado e confirma o alcance do AP. Esta técnica, combinada com bruteforcing de SSIDs ocultos com ou sem uma lista de palavras, ajuda a identificar e acessar redes ocultas.
MODO DE ATAQUE m: Exploração de Contramedidas Michael
Enviar pacotes aleatórios ou duplicados para diferentes filas de QoS pode acionar as Contramedidas Michael em APs TKIP, levando a um desligamento do AP por um minuto. Este método é uma tática eficiente de ataque DoS (Negação de Serviço).
MODO DE ATAQUE e: Injeção de Pacotes EAPOL Start e Logoff
Inundar um AP com frames EAPOL Start cria sessões falsas, sobrecarregando o AP e bloqueando clientes legítimos. Alternativamente, injetar mensagens EAPOL Logoff falsas desconecta forçadamente os clientes, ambos os métodos interrompem efetivamente o serviço de rede.
MODO DE ATAQUE s: Ataques para redes mesh IEEE 802.11s
Vários ataques à gestão de links e roteamento em redes mesh.
MODO DE ATAQUE w: Confusão WIDS
Conectar clientes a múltiplos nós WDS ou APs falsos pode manipular Sistemas de Detecção e Prevenção de Intrusões, criando confusão e potencial abuso do sistema.
MODO DE ATAQUE f: Packet Fuzzer
Um packet fuzzer com diversas fontes de pacotes e um conjunto abrangente de modificadores para manipulação de pacotes.
Airgeddon oferece a maioria dos ataques propostos nos comentários anteriores:
WPS (Wi-Fi Protected Setup) simplifica o processo de conectar dispositivos a um roteador, aumentando a velocidade e a facilidade de configuração para redes criptografadas com WPA ou WPA2 Pessoal. É ineficaz para a segurança WEP, que é facilmente comprometida. O WPS utiliza um PIN de 8 dígitos, validado em duas partes, tornando-o suscetível a ataques de força bruta devido ao seu número limitado de combinações (11.000 possibilidades).
Existem 2 ferramentas principais para realizar essa ação: Reaver e Bully.
Reaver foi projetado para ser um ataque robusto e prático contra o WPS, e foi testado contra uma ampla variedade de pontos de acesso e implementações de WPS.
Bully é uma nova implementação do ataque de força bruta WPS, escrita em C. Tem várias vantagens sobre o código original do reaver: menos dependências, melhor desempenho de memória e CPU, tratamento correto de endianness e um conjunto de opções mais robusto.
O ataque explora a vulnerabilidade do PIN WPS, particularmente sua exposição dos primeiros quatro dígitos e o papel do último dígito como um checksum, facilitando o ataque de força bruta. No entanto, defesas contra ataques de força bruta, como bloquear endereços MAC de atacantes agressivos, exigem rotação de endereços MAC para continuar o ataque.
Após obter o PIN WPS com ferramentas como Bully ou Reaver, o atacante pode deduzir o WPA/WPA2 PSK, garantindo acesso persistente à rede.
Força Bruta Inteligente
Esta abordagem refinada visa os PINs WPS usando vulnerabilidades conhecidas:
PINs pré-descobertos: Utilize um banco de dados de PINs conhecidos vinculados a fabricantes específicos que usam PINs WPS uniformes. Este banco de dados correlaciona os três primeiros octetos dos endereços MAC com os PINs prováveis para esses fabricantes.
Algoritmos de Geração de PIN: Aproveite algoritmos como ComputePIN e EasyBox, que calculam PINs WPS com base no endereço MAC do AP. O algoritmo Arcadyan também requer um ID de dispositivo, adicionando uma camada ao processo de geração de PIN.
Dominique Bongard descobriu uma falha em alguns Pontos de Acesso (APs) relacionada à criação de códigos secretos, conhecidos como nonces (E-S1 e E-S2). Se esses nonces puderem ser descobertos, quebrar o PIN WPS do AP se torna fácil. O AP revela o PIN dentro de um código especial (hash) para provar que é legítimo e não um AP falso (rogue). Esses nonces são essencialmente as "chaves" para desbloquear o "cofre" que contém o PIN WPS. Mais sobre isso pode ser encontrado aqui.
Em termos simples, o problema é que alguns APs não usaram chaves suficientemente aleatórias para criptografar o PIN durante o processo de conexão. Isso torna o PIN vulnerável a ser adivinhado de fora da rede (ataque de força bruta offline).
Se você não quiser mudar o dispositivo para o modo monitor, ou se reaver
e bully
tiverem algum problema, você pode tentar OneShot-C. Esta ferramenta pode realizar o ataque Pixie Dust sem precisar mudar para o modo monitor.
Alguns sistemas mal projetados permitem até um Null PIN (um PIN vazio ou inexistente) conceder acesso, o que é bastante incomum. A ferramenta Reaver é capaz de testar essa vulnerabilidade, ao contrário do Bully.
Todos os ataques WPS propostos podem ser facilmente realizados usando airgeddon.
5 e 6 permitem que você tente seu PIN personalizado (se você tiver algum)
7 e 8 realizam o ataque Pixie Dust
13 permite que você teste o PIN NULO
11 e 12 irão recolher os PINs relacionados ao AP selecionado de bancos de dados disponíveis e gerar possíveis PINs usando: ComputePIN, EasyBox e opcionalmente Arcadyan (recomendado, por que não?)
9 e 10 irão testar todos os PINs possíveis
Tão quebrado e não utilizado atualmente. Apenas saiba que airgeddon tem uma opção WEP chamada "All-in-One" para atacar esse tipo de proteção. Mais ferramentas oferecem opções semelhantes.
Junte-se ao servidor HackenProof Discord para se comunicar com hackers experientes e caçadores de bugs!
Insights de Hacking Engaje-se com conteúdo que mergulha na emoção e nos desafios do hacking
Notícias de Hack em Tempo Real Mantenha-se atualizado com o mundo do hacking em ritmo acelerado através de notícias e insights em tempo real
Últimos Anúncios Fique informado sobre os novos programas de recompensas por bugs lançados e atualizações cruciais da plataforma
Junte-se a nós no Discord e comece a colaborar com os melhores hackers hoje!
Em 2018, hashcat revelou um novo método de ataque, único porque precisa apenas de um único pacote e não requer que nenhum cliente esteja conectado ao AP alvo—apenas interação entre o atacante e o AP.
Muitos roteadores modernos adicionam um campo opcional ao primeiro quadro EAPOL durante a associação, conhecido como Robust Security Network
. Isso inclui o PMKID
.
Como explica a postagem original, o PMKID é criado usando dados conhecidos:
Dado que o "Nome PMK" é constante, sabemos o BSSID do AP e da estação, e o PMK
é idêntico ao de um handshake completo de 4 vias, hashcat pode usar essas informações para quebrar o PSK e recuperar a frase secreta!
Para coletar essas informações e bruteforçar localmente a senha, você pode fazer:
Os PMKIDs capturados serão mostrados no console e também salvos dentro de _ /tmp/attack.pcap_ Agora, converta a captura para o formato hashcat/john e quebre-a:
Por favor, note que o formato de um hash correto contém 4 partes, como: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838
Se o seu somente contém 3 partes, então, é inválido (a captura do PMKID não era válida).
Note que hcxdumptool
também captura handshakes (algo como isso aparecerá: MP:M1M2 RC:63258 EAPOLTIME:17091
). Você pode transformar os handshakes para o formato hashcat/john usando cap2hccapx
Eu notei que alguns handshakes capturados com esta ferramenta não puderam ser quebrados mesmo sabendo a senha correta. Eu recomendaria capturar handshakes também de forma tradicional, se possível, ou capturar vários deles usando esta ferramenta.
Um ataque a redes WPA/WPA2 pode ser executado capturando um handshake e tentando crackear a senha offline. Este processo envolve monitorar a comunicação de uma rede específica e BSSID em um canal particular. Aqui está um guia simplificado:
Identifique o BSSID, canal e um cliente conectado da rede alvo.
Use airodump-ng
para monitorar o tráfego da rede no canal e BSSID especificados, esperando capturar um handshake. O comando ficará assim:
Para aumentar a chance de capturar um handshake, desconecte momentaneamente o cliente da rede para forçar uma reautenticação. Isso pode ser feito usando o comando aireplay-ng
, que envia pacotes de desautenticação para o cliente:
Note que, como o cliente foi desautenticado, ele pode tentar se conectar a um AP diferente ou, em outros casos, a uma rede diferente.
Uma vez que no airodump-ng
aparece alguma informação de handshake, isso significa que o handshake foi capturado e você pode parar de escutar:
Uma vez que o handshake é capturado, você pode crack com aircrack-ng
:
aircrack
tshark
Se esta ferramenta encontrar um handshake incompleto de um ESSID antes do completo, ela não detectará o válido.
pyrit
Em configurações de WiFi empresarial, você encontrará vários métodos de autenticação, cada um oferecendo diferentes níveis de segurança e recursos de gerenciamento. Quando você usa ferramentas como airodump-ng
para inspecionar o tráfego da rede, pode notar identificadores para esses tipos de autenticação. Alguns métodos comuns incluem:
EAP-GTC (Generic Token Card):
Este método suporta tokens de hardware e senhas de uso único dentro do EAP-PEAP. Ao contrário do MSCHAPv2, não utiliza um desafio de par e envia senhas em texto claro para o ponto de acesso, apresentando um risco para ataques de downgrade.
EAP-MD5 (Message Digest 5):
Envolve o envio do hash MD5 da senha do cliente. Não é recomendado devido à vulnerabilidade a ataques de dicionário, falta de autenticação do servidor e incapacidade de gerar chaves WEP específicas para a sessão.
EAP-TLS (Transport Layer Security):
Utiliza certificados tanto do lado do cliente quanto do lado do servidor para autenticação e pode gerar dinamicamente chaves WEP baseadas em usuário e sessão para proteger as comunicações.
EAP-TTLS (Tunneled Transport Layer Security):
Fornece autenticação mútua através de um túnel criptografado, juntamente com um método para derivar chaves WEP dinâmicas, por usuário e por sessão. Requer apenas certificados do lado do servidor, com os clientes usando credenciais.
PEAP (Protected Extensible Authentication Protocol):
Funciona de maneira semelhante ao EAP, criando um túnel TLS para comunicação protegida. Permite o uso de protocolos de autenticação mais fracos em cima do EAP devido à proteção oferecida pelo túnel.
PEAP-MSCHAPv2: Frequentemente referido como PEAP, combina o vulnerável mecanismo de desafio/resposta MSCHAPv2 com um túnel TLS protetor.
PEAP-EAP-TLS (ou PEAP-TLS): Semelhante ao EAP-TLS, mas inicia um túnel TLS antes de trocar certificados, oferecendo uma camada adicional de segurança.
Você pode encontrar mais informações sobre esses métodos de autenticação aqui e aqui.
Lendo https://tools.ietf.org/html/rfc3748#page-27, parece que se você estiver usando EAP, as mensagens "Identidade" devem ser suportadas, e o nome de usuário será enviado em claro nas mensagens de "Resposta de Identidade".
Mesmo usando um dos métodos de autenticação mais seguros: PEAP-EAP-TLS, é possível capturar o nome de usuário enviado no protocolo EAP. Para fazer isso, capture uma comunicação de autenticação (inicie airodump-ng
dentro de um canal e wireshark
na mesma interface) e filtre os pacotes por eapol
.
Dentro do pacote "Resposta, Identidade", o nome de usuário do cliente aparecerá.
A ocultação de identidade é suportada tanto pelo EAP-PEAP quanto pelo EAP-TTLS. No contexto de uma rede WiFi, uma solicitação de EAP-Identidade é tipicamente iniciada pelo ponto de acesso (AP) durante o processo de associação. Para garantir a proteção da anonimidade do usuário, a resposta do cliente EAP no dispositivo do usuário contém apenas as informações essenciais necessárias para que o servidor RADIUS inicial processe a solicitação. Este conceito é ilustrado através dos seguintes cenários:
EAP-Identidade = anônimo
Neste cenário, todos os usuários utilizam o pseudônimo "anônimo" como seu identificador de usuário. O servidor RADIUS inicial funciona como um servidor EAP-PEAP ou EAP-TTLS, responsável por gerenciar o lado do servidor do protocolo PEAP ou TTLS. O método de autenticação interno (protegido) é então tratado localmente ou delegado a um servidor RADIUS remoto (doméstico).
EAP-Identidade = anônimo@realm_x
Nesta situação, usuários de diferentes domínios ocultam suas identidades enquanto indicam seus respectivos domínios. Isso permite que o servidor RADIUS inicial faça proxy das solicitações EAP-PEAP ou EAP-TTLS para servidores RADIUS em seus domínios domésticos, que atuam como o servidor PEAP ou TTLS. O servidor RADIUS inicial opera apenas como um nó de retransmissão RADIUS.
Alternativamente, o servidor RADIUS inicial pode funcionar como o servidor EAP-PEAP ou EAP-TTLS e tratar o método de autenticação protegido ou encaminhá-lo para outro servidor. Esta opção facilita a configuração de políticas distintas para vários domínios.
No EAP-PEAP, uma vez que o túnel TLS é estabelecido entre o servidor PEAP e o cliente PEAP, o servidor PEAP inicia uma solicitação de EAP-Identidade e a transmite através do túnel TLS. O cliente responde a esta segunda solicitação de EAP-Identidade enviando uma resposta de EAP-Identidade contendo a verdadeira identidade do usuário através do túnel criptografado. Esta abordagem efetivamente impede a revelação da verdadeira identidade do usuário para qualquer um que esteja espionando o tráfego 802.11.
O EAP-TTLS segue um procedimento ligeiramente diferente. Com o EAP-TTLS, o cliente normalmente se autentica usando PAP ou CHAP, protegido pelo túnel TLS. Neste caso, o cliente inclui um atributo User-Name e um atributo Password ou CHAP-Password na mensagem TLS inicial enviada após o estabelecimento do túnel.
Independentemente do protocolo escolhido, o servidor PEAP/TTLS obtém conhecimento da verdadeira identidade do usuário após o túnel TLS ter sido estabelecido. A verdadeira identidade pode ser representada como user@realm ou simplesmente user. Se o servidor PEAP/TTLS também for responsável pela autenticação do usuário, agora possui a identidade do usuário e prossegue com o método de autenticação protegido pelo túnel TLS. Alternativamente, o servidor PEAP/TTLS pode encaminhar uma nova solicitação RADIUS para o servidor RADIUS doméstico do usuário. Esta nova solicitação RADIUS omite a camada do protocolo PEAP ou TTLS. Nos casos em que o método de autenticação protegido é EAP, as mensagens EAP internas são transmitidas para o servidor RADIUS doméstico sem a embalagem EAP-PEAP ou EAP-TTLS. O atributo User-Name da mensagem RADIUS de saída contém a verdadeira identidade do usuário, substituindo o User-Name anônimo da solicitação RADIUS de entrada. Quando o método de autenticação protegido é PAP ou CHAP (suportado apenas pelo TTLS), o User-Name e outros atributos de autenticação extraídos da carga útil TLS são substituídos na mensagem RADIUS de saída, deslocando os atributos User-Name anônimo e TTLS EAP-Message encontrados na solicitação RADIUS de entrada.
Para mais informações, consulte https://www.interlinknetworks.com/app_notes/eap-peap.htm
Se espera-se que o cliente use um nome de usuário e senha (note que EAP-TLS não será válido neste caso), então você pode tentar obter uma lista de nomes de usuário (veja a próxima parte) e senhas e tentar bruteforçar o acesso usando air-hammer.
Você também pode realizar este ataque usando eaphammer
:
O protocolo 802.11 define como uma estação se junta a um Conjunto de Serviço Estendido (ESS), mas não especifica os critérios para selecionar um ESS ou um ponto de acesso (AP) dentro dele.
As estações podem fazer roaming entre APs que compartilham o mesmo ESSID, mantendo a conectividade em um edifício ou área.
O protocolo requer autenticação da estação ao ESS, mas não exige autenticação do AP à estação.
As estações armazenam o ESSID de cada rede sem fio à qual se conectam em sua Lista de Redes Preferidas (PNL), juntamente com detalhes de configuração específicos da rede.
A PNL é usada para conectar automaticamente a redes conhecidas, melhorando a experiência do usuário ao simplificar o processo de conexão.
Os APs periodicamente transmitem quadros de beacon, anunciando sua presença e características, incluindo o ESSID do AP, a menos que a transmissão esteja desativada.
Durante o escaneamento passivo, as estações escutam os quadros de beacon. Se o ESSID de um beacon corresponder a uma entrada na PNL da estação, a estação pode se conectar automaticamente a esse AP.
O conhecimento da PNL de um dispositivo permite uma possível exploração ao imitar o ESSID de uma rede conhecida, enganando o dispositivo para se conectar a um AP malicioso.
O probing ativo envolve estações enviando solicitações de probe para descobrir APs próximos e suas características.
Solicitações de probe direcionadas visam um ESSID específico, ajudando a detectar se uma rede particular está ao alcance, mesmo que seja uma rede oculta.
Solicitações de probe de broadcast têm um campo SSID nulo e são enviadas a todos os APs próximos, permitindo que a estação verifique qualquer rede preferida sem divulgar o conteúdo de sua PNL.
Antes de explicar como realizar ataques mais complexos, será explicado como apenas criar um AP e redirecionar seu tráfego para uma interface conectada à Internet.
Usando ifconfig -a
, verifique se a interface wlan para criar o AP e a interface conectada à Internet estão presentes.
Crie o arquivo de configuração /etc/dnsmasq.conf
:
Então defina IPs e rotas:
E então inicie o dnsmasq:
Crie um arquivo de configuração hostapd.conf
:
Pare processos irritantes, configure modo monitor e inicie o hostapd:
Um ataque de evil twin explora a maneira como os clientes WiFi reconhecem redes, dependendo principalmente do nome da rede (ESSID) sem exigir que a estação base (ponto de acesso) se autentique ao cliente. Os pontos principais incluem:
Dificuldade em Diferenciação: Dispositivos têm dificuldade em distinguir entre pontos de acesso legítimos e maliciosos quando compartilham o mesmo ESSID e tipo de criptografia. Redes do mundo real frequentemente usam múltiplos pontos de acesso com o mesmo ESSID para estender a cobertura de forma contínua.
Roaming de Cliente e Manipulação de Conexão: O protocolo 802.11 permite que dispositivos se movam entre pontos de acesso dentro do mesmo ESS. Ataques podem explorar isso atraindo um dispositivo a desconectar de sua estação base atual e conectar-se a uma maliciosa. Isso pode ser alcançado oferecendo um sinal mais forte ou interrompendo a conexão com o ponto de acesso legítimo através de métodos como pacotes de desautenticação ou jamming.
Desafios na Execução: Executar com sucesso um ataque de evil twin em ambientes com múltiplos pontos de acesso bem posicionados pode ser desafiador. Desautenticar um único ponto de acesso legítimo frequentemente resulta no dispositivo se conectando a outro ponto de acesso legítimo, a menos que o atacante consiga desautenticar todos os pontos de acesso próximos ou posicionar estrategicamente o ponto de acesso malicioso.
Você pode criar um Open Evil Twin muito básico (sem capacidades de rotear tráfego para a Internet) fazendo:
Você também pode criar um Evil Twin usando eaphammer (note que para criar evil twins com eaphammer a interface NÃO DEVE estar em modo monitor):
Ou usando o Airgeddon: Options: 5,6,7,8,9 (dentro do menu de ataque Evil Twin).
Por favor, note que por padrão, se um ESSID no PNL estiver salvo como protegido por WPA, o dispositivo não se conectará automaticamente a um Evil Twin aberto. Você pode tentar DoS no AP real e esperar que o usuário se conecte manualmente ao seu Evil Twin aberto, ou você pode DoS no AP real e usar um WPA Evil Twin para capturar o handshake (usando este método, você não poderá fazer a vítima se conectar a você, pois não conhece o PSK, mas pode capturar o handshake e tentar quebrá-lo).
Alguns sistemas operacionais e antivírus avisarão o usuário que se conectar a uma rede aberta é perigoso...
Você pode criar um Evil Twin usando WPA/2 e se os dispositivos estiverem configurados para se conectar a esse SSID com WPA/2, eles tentarão se conectar. De qualquer forma, para completar o 4-way-handshake, você também precisa saber a senha que o cliente vai usar. Se você não souber, a conexão não será completada.
Para entender esses ataques, eu recomendaria ler antes a breve explicação do WPA Enterprise.
Usando hostapd-wpe
hostapd-wpe
precisa de um arquivo de configuração para funcionar. Para automatizar a geração dessas configurações, você pode usar https://github.com/WJDigby/apd_launchpad (baixe o arquivo python dentro de /etc/hostapd-wpe/).
No arquivo de configuração, você pode selecionar muitas coisas diferentes, como ssid, canal, arquivos de usuário, cret/key, parâmetros dh, versão wpa e auth...
Usando hostapd-wpe com EAP-TLS para permitir que qualquer certificado faça login.
Usando EAPHammer
Por padrão, o EAPHammer propõe esses métodos de autenticação (note que GTC é o primeiro a ser tentado para obter senhas em texto simples e, em seguida, o uso de métodos de autenticação mais robustos):
Esta é a metodologia padrão para evitar longos tempos de conexão. No entanto, você também pode especificar ao servidor os métodos de autenticação do mais fraco ao mais forte:
Ou você também pode usar:
--negotiate gtc-downgrade
para usar uma implementação de downgrade GTC altamente eficiente (senhas em texto claro)
--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP
para especificar manualmente os métodos oferecidos (oferecer os mesmos métodos de autenticação na mesma ordem que a organização tornará o ataque muito mais difícil de detectar).
Usando Airgeddon
Airgeddon
pode usar certificados gerados anteriormente para oferecer autenticação EAP em redes WPA/WPA2-Enterprise. A rede falsa irá rebaixar o protocolo de conexão para EAP-MD5, de modo que será capaz de capturar o usuário e o MD5 da senha. Mais tarde, o atacante pode tentar quebrar a senha.
Airgeddon
oferece a possibilidade de um ataque Evil Twin contínuo (barulhento) ou apenas criar o ataque Evil até que alguém se conecte (suave).
Este método foi testado em uma conexão PEAP, mas como estou descriptografando um túnel TLS arbitrário, isso também deve funcionar com EAP-TTLS
Dentro da configuração do hostapd-wpe, comente a linha que contém dh_file (de dh_file=/etc/hostapd-wpe/certs/dh
para #dh_file=/etc/hostapd-wpe/certs/dh
)
Isso fará com que hostapd-wpe
troque chaves usando RSA em vez de DH, para que você possa descriptografar o tráfego mais tarde sabendo a chave privada do servidor.
Agora inicie o Evil Twin usando hostapd-wpe
com essa configuração modificada como de costume. Além disso, inicie wireshark
na interface que está realizando o ataque Evil Twin.
Agora ou mais tarde (quando você já tiver capturado algumas tentativas de autenticação) você pode adicionar a chave RSA privada ao wireshark em: Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...
Adicione uma nova entrada e preencha o formulário com estes valores: Endereço IP = qualquer -- Porta = 0 -- Protocolo = data -- Arquivo de Chave (selecione seu arquivo de chave, para evitar problemas, selecione um arquivo de chave sem proteção por senha).
E olhe na nova aba "Decrypted TLS":
Diferentes tipos de Listas de Filtro de Controle de Acesso à Mídia (MFACLs) e seus modos correspondentes e efeitos no comportamento de um Ponto de Acesso (AP) malicioso:
Lista Branca Baseada em MAC:
O AP malicioso responderá apenas a solicitações de sondagem de dispositivos especificados na lista branca, permanecendo invisível a todos os outros não listados.
Lista Negra Baseada em MAC:
O AP malicioso ignorará solicitações de sondagem de dispositivos na lista negra, tornando efetivamente o AP malicioso invisível para esses dispositivos específicos.
Lista Branca Baseada em SSID:
O AP malicioso responderá a solicitações de sondagem apenas para ESSIDs específicos listados, tornando-o invisível para dispositivos cujas Listas de Redes Preferidas (PNLs) não contêm esses ESSIDs.
Lista Negra Baseada em SSID:
O AP malicioso não responderá a solicitações de sondagem para os ESSIDs específicos na lista negra, tornando-o invisível para dispositivos que buscam essas redes particulares.
Este método permite que um atacante crie um ponto de acesso (AP) malicioso que responde a todas as solicitações de sondagem de dispositivos que buscam se conectar a redes. Esta técnica enganha os dispositivos para se conectarem ao AP do atacante ao imitar as redes que os dispositivos estão procurando. Uma vez que um dispositivo envia uma solicitação de conexão a este AP falso, ele completa a conexão, levando o dispositivo a se conectar erroneamente à rede do atacante.
Então, os dispositivos começaram a ignorar respostas de rede não solicitadas, reduzindo a eficácia do ataque karma original. No entanto, um novo método, conhecido como ataque MANA, foi introduzido por Ian de Villiers e Dominic White. Este método envolve o AP falso capturando as Listas de Redes Preferidas (PNL) dos dispositivos ao responder às suas solicitações de sondagem de broadcast com nomes de redes (SSIDs) previamente solicitados pelos dispositivos. Este ataque sofisticado contorna as proteções contra o ataque karma original explorando a maneira como os dispositivos lembram e priorizam redes conhecidas.
O ataque MANA opera monitorando tanto solicitações de sondagem direcionadas quanto de broadcast dos dispositivos. Para solicitações direcionadas, ele registra o endereço MAC do dispositivo e o nome da rede solicitada, adicionando essas informações a uma lista. Quando uma solicitação de broadcast é recebida, o AP responde com informações que correspondem a qualquer uma das redes na lista do dispositivo, atraindo o dispositivo a se conectar ao AP falso.
Um ataque Loud MANA é uma estratégia avançada para quando os dispositivos não usam sondagem direcionada ou quando suas Listas de Redes Preferidas (PNL) são desconhecidas para o atacante. Ele opera sob o princípio de que dispositivos na mesma área provavelmente compartilham alguns nomes de rede em suas PNLs. Em vez de responder de forma seletiva, este ataque transmite respostas de sondagem para cada nome de rede (ESSID) encontrado nas PNLs combinadas de todos os dispositivos observados. Essa abordagem ampla aumenta a chance de um dispositivo reconhecer uma rede familiar e tentar se conectar ao Ponto de Acesso (AP) malicioso.
Quando o Loud MANA attack pode não ser suficiente, o Known Beacon attack apresenta outra abordagem. Este método força o processo de conexão simulando um AP que responde a qualquer nome de rede, passando por uma lista de ESSIDs potenciais derivada de uma lista de palavras. Isso simula a presença de inúmeras redes, na esperança de corresponder a um ESSID dentro da PNL da vítima, levando a uma tentativa de conexão ao AP fabricado. O ataque pode ser amplificado combinando-o com a opção --loud
para uma tentativa mais agressiva de capturar dispositivos.
O Eaphammer implementou este ataque como um ataque MANA onde todos os ESSIDs dentro de uma lista são carregados (você também pode combinar isso com --loud
para criar um ataque Loud MANA + Known beacons):
Ataque de Beacon Burst Conhecido
O ataque de Beacon Burst Conhecido envolve a transmissão rápida de quadros de beacon para cada ESSID listado em um arquivo. Isso cria um ambiente denso de redes falsas, aumentando significativamente a probabilidade de dispositivos se conectarem ao AP malicioso, especialmente quando combinado com um ataque MANA. Essa técnica aproveita a velocidade e o volume para sobrecarregar os mecanismos de seleção de rede dos dispositivos.
Wi-Fi Direct é um protocolo que permite que dispositivos se conectem diretamente entre si usando Wi-Fi, sem a necessidade de um ponto de acesso sem fio tradicional. Essa capacidade está integrada em vários dispositivos da Internet das Coisas (IoT), como impressoras e televisores, facilitando a comunicação direta entre dispositivos. Uma característica notável do Wi-Fi Direct é que um dispositivo assume o papel de ponto de acesso, conhecido como proprietário do grupo, para gerenciar a conexão.
A segurança para conexões Wi-Fi Direct é estabelecida através do Wi-Fi Protected Setup (WPS), que suporta vários métodos para emparelhamento seguro, incluindo:
Push-Button Configuration (PBC)
Entrada de PIN
Comunicação de Campo Próximo (NFC)
Esses métodos, particularmente a entrada de PIN, são suscetíveis às mesmas vulnerabilidades que o WPS em redes Wi-Fi tradicionais, tornando-os alvos para vetores de ataque semelhantes.
EvilDirect Hijacking é um ataque específico ao Wi-Fi Direct. Ele espelha o conceito de um ataque Evil Twin, mas visa conexões Wi-Fi Direct. Nesse cenário, um atacante se faz passar por um proprietário de grupo legítimo com o objetivo de enganar dispositivos para se conectarem a uma entidade maliciosa. Esse método pode ser executado usando ferramentas como airbase-ng
, especificando o canal, ESSID e endereço MAC do dispositivo impersonado:
TODO: Dê uma olhada em https://github.com/wifiphisher/wifiphisher (login com facebook e imitação de WPA em portals cativos)
Junte-se ao servidor HackenProof Discord para se comunicar com hackers experientes e caçadores de bugs!
Hacking Insights Engaje-se com conteúdo que explora a emoção e os desafios do hacking
Real-Time Hack News Mantenha-se atualizado com o mundo do hacking em ritmo acelerado através de notícias e insights em tempo real
Latest Announcements Fique informado sobre as novas recompensas de bugs lançadas e atualizações cruciais da plataforma
Junte-se a nós no Discord e comece a colaborar com os melhores hackers hoje!
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)