Pentesting Wifi
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hacking İçgörüleri Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun
Gerçek Zamanlı Hack Haberleri Gerçek zamanlı haberler ve içgörülerle hızlı tempolu hacking dünyasında güncel kalın
Son Duyurular Yeni başlayan bug bounty'ler ve önemli platform güncellemeleri hakkında bilgi sahibi olun
Bugün en iyi hackerlarla işbirliği yapmak için Discord'a katılın!
Docker ile airgeddon'u çalıştır
Evil Twin, KARMA ve Known Beacons saldırılarını gerçekleştirebilir ve ardından ağın gerçek şifresini elde etmek veya sosyal ağ kimlik bilgilerini yakalamak için bir phishing şablonu kullanabilir.
Bu araç WPS/WEP/WPA-PSK saldırılarını otomatikleştirir. Otomatik olarak:
Arayüzü izleme moduna ayarlar
Olası ağları tarar - Ve kurban(ları) seçmenize izin verir
Eğer WEP ise - WEP saldırılarını başlatır
Eğer WPA-PSK ise
Eğer WPS ise: Pixie dust saldırısı ve brute-force saldırısı (brute-force saldırısının uzun sürebileceğine dikkat edin). Null PIN veya veritabanı/üretim PIN'lerini denemediğini unutmayın.
Kırmak için AP'den PMKID yakalamaya çalışır
Bir el sıkışma yakalamak için AP'nin istemcilerini deauthentik etmeye çalışır
PMKID veya El Sıkışma varsa, en iyi 5000 şifreyi kullanarak brute-force denemesi yapar.
DoS
Deauthentication/disassociation -- Herkesi (veya belirli bir ESSID/Müşteri) bağlantıdan ayır
Rastgele sahte AP'ler -- Ağları gizle, olası tarayıcıları çökert
AP'yi aşırı yükle -- AP'yi öldürmeye çalış (genellikle çok faydalı değildir)
WIDS -- IDS ile oyna
TKIP, EAPOL -- Bazı AP'lere DoS yapmak için belirli saldırılar
Kırma
WEP kırma (birçok araç ve yöntem)
WPA-PSK
WPS pin "Brute-Force"
WPA PMKID brute-force
[DoS +] WPA el sıkışması yakalama + Kırma
WPA-MGT
Kullanıcı adı yakalama
Bruteforce Kimlik Bilgileri
Evil Twin (DoS ile veya olmadan)
Açık Evil Twin [+ DoS] -- Captive portal kimlik bilgilerini yakalamak ve/veya LAN saldırıları gerçekleştirmek için faydalıdır
WPA-PSK Evil Twin -- Şifreyi biliyorsanız ağ saldırıları için faydalıdır
WPA-MGT -- Şirket kimlik bilgilerini yakalamak için faydalıdır
KARMA, MANA, Loud MANA, Bilinen işaret
+ Açık -- Captive portal kimlik bilgilerini yakalamak ve/veya LAN saldırıları gerçekleştirmek için faydalıdır
+ WPA -- WPA el sıkışmalarını yakalamak için faydalıdır
Açıklama buradan:.
Deauthentication saldırıları, Wi-Fi hacking'de yaygın bir yöntemdir ve "yönetim" çerçevelerini sahteleyerek cihazları bir ağdan zorla ayırmayı içerir. Bu şifrelenmemiş paketler, istemcileri meşru ağdan geldiklerine inandırarak, saldırganların kırma amaçları için WPA el sıkışmalarını toplamasına veya ağ bağlantılarını sürekli olarak kesintiye uğratmasına olanak tanır. Bu basitlikteki taktik, yaygın olarak kullanılmakta ve ağ güvenliği için önemli sonuçlar doğurmaktadır.
Aireplay-ng kullanarak Deauthentication
-0, deauthentikasyonu ifade eder
1, gönderilecek deauth sayısını belirtir (isterseniz birden fazla gönderebilirsiniz); 0, sürekli göndermek anlamına gelir
-a 00:14:6C:7E:40:80, erişim noktasının MAC adresidir
-c 00:0F:B5:34:30:30, deauthentike edilecek istemcinin MAC adresidir; bu belirtilmezse, yayın deauthentikasyonu gönderilir (her zaman çalışmaz)
ath0, arayüz adıdır
Ayrılma paketleri, deauthentikasyon paketlerine benzer şekilde, Wi-Fi ağlarında kullanılan bir yönetim çerçevesi türüdür. Bu paketler, bir cihaz (örneğin, bir dizüstü bilgisayar veya akıllı telefon) ile bir erişim noktası (AP) arasındaki bağlantıyı kesmek için kullanılır. Ayrılma ve deauthentikasyon arasındaki temel fark, kullanım senaryolarındadır. Bir AP, ağdan kötü niyetli cihazları açıkça kaldırmak için deauthentikasyon paketleri yayarken, ayrılma paketleri genellikle AP kapatıldığında, yeniden başlatıldığında veya yer değiştirirken gönderilir; bu da bağlı tüm düğümlerin bağlantısının kesilmesini gerektirir.
Bu saldırı mdk4 (mod "d") ile gerçekleştirilebilir:
Burada bulabilirsiniz.
SALDIRI MODU b: Beacon Flooding
Müşterilerde sahte AP'leri göstermek için beacon çerçeveleri gönderir. Bu bazen ağ tarayıcılarını ve hatta sürücüleri çökertir!
ATTACK MODE a: Kimlik Doğrulama Hizmet Reddi
Erişim alanındaki tüm erişim noktalarına (AP) kimlik doğrulama çerçeveleri göndermek, özellikle birçok istemci söz konusu olduğunda bu AP'leri aşırı yükleyebilir. Bu yoğun trafik, sistem kararsızlığına yol açabilir ve bazı AP'lerin donmasına veya hatta sıfırlanmasına neden olabilir.
ATTACK MODE p: SSID Probing and Bruteforcing
Erişim Noktalarını (AP) sorgulamak, bir SSID'nin düzgün bir şekilde ifşa edilip edilmediğini kontrol eder ve AP'nin menzilini doğrular. Bu teknik, gizli SSID'leri bir kelime listesi ile veya kelime listesi olmadan bruteforcing ile birleştirildiğinde, gizli ağları tanımlamaya ve erişmeye yardımcı olur.
ATTACK MODE m: Michael Countermeasures Exploitation
Farklı QoS kuyruklarına rastgele veya kopya paketler göndermek, TKIP AP'lerinde Michael Karşı Önlemlerini tetikleyebilir ve bir dakikalık AP kapatılmasına yol açabilir. Bu yöntem, etkili bir DoS (Hizmet Reddi) saldırı taktiğidir.
ATTACK MODE e: EAPOL Başlangıç ve Logoff Paket Enjeksiyonu
Bir AP'yi EAPOL Başlangıç çerçeveleri ile doldurmak sahte oturumlar oluşturur, AP'yi aşırı yükler ve meşru istemcileri engeller. Alternatif olarak, sahte EAPOL Logoff mesajları enjekte etmek istemcileri zorla bağlantıdan ayırır, her iki yöntem de ağ hizmetini etkili bir şekilde kesintiye uğratır.
ATTACK MODE s: IEEE 802.11s ağları için saldırılar
Ağlarda bağlantı yönetimi ve yönlendirme üzerine çeşitli saldırılar.
ATTACK MODE w: WIDS Karışıklığı
Müşterileri birden fazla WDS düğümüne veya sahte kötü niyetli AP'lere çapraz bağlamak, Saldırı Tespit ve Önleme Sistemlerini manipüle edebilir, karışıklık yaratabilir ve potansiyel sistem kötüye kullanımı oluşturabilir.
ATTACK MODE f: Paket Fuzzer
Farklı paket kaynakları ve paket manipülasyonu için kapsamlı bir değiştirici seti sunan bir paket fuzzer.
Airgeddon önceki yorumlarda önerilen saldırıların çoğunu sunmaktadır:
WPS (Wi-Fi Korumalı Kurulum), cihazların bir yönlendiriciye bağlanma sürecini basitleştirir, WPA veya WPA2 Kişisel ile şifrelenmiş ağlar için kurulum hızını ve kolaylığını artırır. Kolayca tehlikeye atılabilen WEP güvenliği için etkisizdir. WPS, iki yarıda doğrulanan 8 haneli bir PIN kullanır ve sınırlı kombinasyon sayısı (11,000 olasılık) nedeniyle brute-force saldırılarına karşı savunmasızdır.
Bu eylemi gerçekleştirmek için 2 ana araç vardır: Reaver ve Bully.
Reaver, WPS'ye karşı sağlam ve pratik bir saldırı olarak tasarlanmıştır ve çeşitli erişim noktaları ve WPS uygulamaları üzerinde test edilmiştir.
Bully, C dilinde yazılmış yeni bir uygulama olan WPS brute force saldırısıdır. Orijinal reaver koduna göre birkaç avantajı vardır: daha az bağımlılık, geliştirilmiş bellek ve CPU performansı, endianlık yönetiminde doğru işlem ve daha sağlam bir seçenek seti.
Saldırı, WPS PIN'in zayıflığını istismar eder, özellikle ilk dört hanenin ifşası ve son hanenin bir kontrol toplamı olarak rolü, brute-force saldırısını kolaylaştırır. Ancak, saldırganların MAC adreslerini engelleme gibi brute-force saldırılarına karşı savunmalar, saldırıya devam etmek için MAC adresi döngüsü gerektirir.
Bully veya Reaver gibi araçlarla WPS PIN elde edildikten sonra, saldırgan WPA/WPA2 PSK'sını çıkarabilir ve kalıcı ağ erişimi sağlayabilir.
Akıllı Kaba Güç
Bu rafine yaklaşım, bilinen güvenlik açıklarını kullanarak WPS PIN'lerini hedef alır:
Önceden keşfedilmiş PIN'ler: Belirli üreticilere bağlı, uniform WPS PIN'leri kullandığı bilinen PIN'lerin bir veritabanını kullanın. Bu veritabanı, MAC adreslerinin ilk üç oktetini bu üreticilere ait olası PIN'lerle ilişkilendirir.
PIN Üretim Algoritmaları: AP'nin MAC adresine dayalı olarak WPS PIN'lerini hesaplayan ComputePIN ve EasyBox gibi algoritmaları kullanın. Arcadyan algoritması ayrıca bir cihaz kimliği gerektirir ve PIN üretim sürecine bir katman ekler.
Dominique Bongard, bazı Erişim Noktaları (AP'ler) ile ilgili gizli kodların oluşturulmasında bir hata keşfetti; bu kodlara nonce denir (E-S1 ve E-S2). Bu nonceler çözülebilirse, AP'nin WPS PIN'ini kırmak kolaylaşır. AP, meşru olduğunu ve sahte (rogue) bir AP olmadığını kanıtlamak için PIN'i özel bir kod (hash) içinde açığa çıkarır. Bu nonceler, WPS PIN'ini saklayan "kasa"yı açmanın "anahtarları" gibidir. Bununla ilgili daha fazla bilgi burada bulunabilir.
Basitçe ifade etmek gerekirse, sorun bazı AP'lerin bağlantı sürecinde PIN'i şifrelemek için yeterince rastgele anahtarlar kullanmamasıdır. Bu, PIN'in ağın dışından tahmin edilmesine (offline kaba güç saldırısı) karşı savunmasız hale getirir.
Eğer cihazı izleme moduna geçirmek istemiyorsanız veya reaver ve bully ile ilgili bir sorun varsa, OneShot-C denemeyi düşünebilirsiniz. Bu araç, izleme moduna geçmeden Pixie Dust saldırısını gerçekleştirebilir.
Bazı kötü tasarlanmış sistemler, Null PIN (boş veya var olmayan PIN) ile erişim sağlamaya bile izin verir, bu oldukça alışılmadık bir durumdur. Reaver aracı, bu zafiyeti test etme yeteneğine sahiptir, Bully'nin aksine.
Tüm önerilen WPS saldırıları airgeddon kullanılarak kolayca gerçekleştirilebilir.
5 ve 6 özel PIN'inizi denemenize olanak tanır (eğer varsa)
7 ve 8 Pixie Dust saldırısını gerçekleştirir
13 NULL PIN'i test etmenizi sağlar
11 ve 12, seçilen AP ile ilgili PIN'leri mevcut veritabanlarından toplar ve şu yöntemlerle olası PIN'ler oluşturur: ComputePIN, EasyBox ve isteğe bağlı olarak Arcadyan (tavsiye edilir, neden olmasın?)
9 ve 10 her olası PIN'i test eder
Artık çok kırık ve kullanılmıyor. Sadece airgeddon'un bu tür bir korumayı hedeflemek için "All-in-One" adlı bir WEP seçeneği sunduğunu bilin. Daha fazla araç benzer seçenekler sunar.
Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hacking Insights Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun
Real-Time Hack News Hızla değişen hacking dünyasında güncel kalmak için gerçek zamanlı haberler ve bilgilerle takip edin
Latest Announcements Yeni başlayan bug bounty'ler ve önemli platform güncellemeleri hakkında bilgi sahibi olun
Bugün en iyi hackerlarla işbirliği yapmak için Discord 'a katılın!
2018'de, hashcat yeni bir saldırı yöntemini açıkladı; bu yöntem, yalnızca bir tek paket gerektirdiği ve hedef AP'ye bağlı herhangi bir istemci gerektirmediği için benzersizdir—sadece saldırgan ile AP arasında etkileşim gerektirir.
Birçok modern yönlendirici, ilişkilendirme sırasında ilk EAPOL çerçevesine Robust Security Network olarak bilinen isteğe bağlı bir alan ekler. Bu, PMKID'yi içerir.
Orijinal gönderide açıklandığı gibi, PMKID bilinen veriler kullanılarak oluşturulur:
Verilen "PMK Adı" sabit olduğundan, AP'nin ve istasyonun BSSID'sini bildiğimizde, PMK tam bir 4-yol el sıkışmasından gelenle aynı olduğundan, hashcat bu bilgileri kullanarak PSK'yı kırabilir ve şifreyi geri alabilir!
Bu bilgileri toplamak ve şifreyi yerel olarak bruteforce etmek için şunları yapabilirsiniz:
Yakalanan PMKID'ler konsolda gösterilecek ve ayrıca /tmp/attack.pcap içinde kaydedilecektir. Şimdi, yakalamayı hashcat/john formatına dönüştürün ve kırın:
Lütfen doğru bir hash formatının 4 parça içerdiğini unutmayın, örneğin: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 Eğer sizin sadece 3 parça içeriyorsa, o zaman bu geçersizdir (PMKID yakalama geçerli değildi).
hcxdumptool aynı zamanda el sıkışmaları da yakalar (şu şekilde bir şey görünecektir: MP:M1M2 RC:63258 EAPOLTIME:17091). El sıkışmalarını cap2hccapx kullanarak hashcat/john formatına dönüştürebilirsiniz.
Bu aracı kullanarak yakalanan bazı el sıkışmalarının doğru şifre bilinse bile kırılmadığını fark ettim. Mümkünse el sıkışmaları geleneksel yöntemle de yakalamayı veya bu aracı kullanarak birkaç tane yakalamayı öneririm.
WPA/WPA2 ağlarına yönelik bir saldırı, bir el sıkışması yakalanarak ve şifreyi çözmeye çalışarak gerçekleştirilebilir. Bu süreç, belirli bir ağın ve belirli bir kanalda BSSID'nin iletişimini izlemeyi içerir. İşte basit bir kılavuz:
Hedef ağın BSSID'sini, kanalını ve bir bağlı istemciyi belirleyin.
Belirtilen kanal ve BSSID üzerinde ağ trafiğini izlemek için airodump-ng kullanın, bir el sıkışması yakalamayı umarak. Komut şöyle görünecek:
Bir el sıkışmasını yakalama şansını artırmak için, istemciyi ağdan geçici olarak ayırarak yeniden kimlik doğrulama yapmaya zorlayın. Bu, istemciye dekimlik doğrulama paketleri gönderen aireplay-ng komutu kullanılarak yapılabilir:
Not edin ki, istemci deauthentikasyon edildiğinde farklı bir AP'ye veya diğer durumlarda farklı bir ağa bağlanmaya çalışabilir.
airodump-ng içinde bazı el sıkışma bilgileri göründüğünde, bu el sıkışmanın yakalandığı anlamına gelir ve dinlemeyi durdurabilirsiniz:
El sıkışması yakalandıktan sonra, bunu aircrack-ng ile çözebilirsiniz:
aircrack
tshark
Eğer bu araç, tamamlanmış bir el sıkışmadan önce bir ESSID'nin tamamlanmamış el sıkışmasını bulursa, geçerli olanı tespit edemeyecektir.
pyrit
Kurumsal WiFi kurulumlarında, çeşitli kimlik doğrulama yöntemleriyle karşılaşacaksınız, her biri farklı güvenlik seviyeleri ve yönetim özellikleri sunar. airodump-ng gibi araçları kullanarak ağ trafiğini incelediğinizde, bu kimlik doğrulama türleri için tanımlayıcılar fark edebilirsiniz. Bazı yaygın yöntemler şunlardır:
EAP-GTC (Generic Token Card):
Bu yöntem, EAP-PEAP içinde donanım token'ları ve tek kullanımlık şifreleri destekler. MSCHAPv2'nin aksine, bir eş zorlama kullanmaz ve şifreleri erişim noktasına düz metin olarak gönderir, bu da gerileme saldırıları için bir risk oluşturur.
EAP-MD5 (Message Digest 5):
İstemciden şifrenin MD5 hash'ini göndermeyi içerir. Sözlük saldırılarına karşı savunmasız olması, sunucu kimlik doğrulaması eksikliği ve oturum bazlı WEP anahtarları oluşturma yeteneğinin olmaması nedeniyle tavsiye edilmez.
EAP-TLS (Transport Layer Security):
Kimlik doğrulama için hem istemci tarafı hem de sunucu tarafı sertifikalarını kullanır ve iletişimleri güvence altına almak için kullanıcı bazlı ve oturum bazlı WEP anahtarları dinamik olarak oluşturabilir.
EAP-TTLS (Tunneled Transport Layer Security):
Şifreli bir tünel aracılığıyla karşılıklı kimlik doğrulama sağlar ve dinamik, kullanıcı bazlı, oturum bazlı WEP anahtarlarını türetmek için bir yöntem sunar. Sadece sunucu tarafı sertifikaları gerektirir, istemciler kimlik bilgilerini kullanır.
PEAP (Protected Extensible Authentication Protocol):
Korunan iletişim için bir TLS tüneli oluşturarak EAP ile benzer şekilde çalışır. Tünelin sağladığı koruma nedeniyle EAP'nin üstünde daha zayıf kimlik doğrulama protokollerinin kullanılmasına izin verir.
PEAP-MSCHAPv2: Genellikle PEAP olarak adlandırılır, savunmasız MSCHAPv2 zorlama/yanıt mekanizmasını koruyucu bir TLS tüneli ile birleştirir.
PEAP-EAP-TLS (veya PEAP-TLS): EAP-TLS'ye benzer, ancak sertifikaları değiştirmeden önce bir TLS tüneli başlatır ve ek bir güvenlik katmanı sunar.
Bu kimlik doğrulama yöntemleri hakkında daha fazla bilgi bulabilirsiniz burada ve burada.
https://tools.ietf.org/html/rfc3748#page-27 adresinde okuduğuma göre, EAP kullanıyorsanız "Kimlik" mesajlarının desteklenmesi gerekir ve kullanıcı adı, "Yanıt Kimliği" mesajlarında düz olarak gönderilecektir.
En güvenli kimlik doğrulama yöntemlerinden biri olan PEAP-EAP-TLS kullanılsa bile, EAP protokolünde gönderilen kullanıcı adını yakalamak mümkündür. Bunu yapmak için, bir kimlik doğrulama iletişimini yakalayın (bir kanalda airodump-ng başlatın ve aynı arayüzde wireshark kullanın) ve paketleri eapol ile filtreleyin.
"Yanıt, Kimlik" paketinin içinde, istemcinin kullanıcı adı görünecektir.
Kimlik gizleme, hem EAP-PEAP hem de EAP-TTLS tarafından desteklenmektedir. Bir WiFi ağı bağlamında, EAP-Kimlik isteği genellikle erişim noktası (AP) tarafından ilişkilendirme sürecinde başlatılır. Kullanıcı anonimliğinin korunmasını sağlamak için, kullanıcının cihazındaki EAP istemcisinin yanıtı, ilk RADIUS sunucusunun isteği işlemek için gerekli olan temel bilgileri içerir. Bu kavram aşağıdaki senaryolarla açıklanmaktadır:
EAP-Kimlik = anonim
Bu senaryoda, tüm kullanıcılar kullanıcı tanımlayıcıları olarak takma ad "anonim" kullanır. İlk RADIUS sunucusu, PEAP veya TTLS protokolünün sunucu tarafını yöneten bir EAP-PEAP veya EAP-TTLS sunucusu olarak işlev görür. İç (korunan) kimlik doğrulama yöntemi ya yerel olarak ya da uzaktaki (ev) RADIUS sunucusuna devredilir.
EAP-Kimlik = anonim@realm_x
Bu durumda, farklı alanlardan gelen kullanıcılar kimliklerini gizlerken kendi alanlarını belirtirler. Bu, ilk RADIUS sunucusunun EAP-PEAP veya EAP-TTLS isteklerini kendi ev alanlarındaki RADIUS sunucularına proxy olarak iletmesine olanak tanır; bu sunucular PEAP veya TTLS sunucusu olarak işlev görür. İlk RADIUS sunucusu yalnızca bir RADIUS iletim düğümü olarak çalışır.
Alternatif olarak, ilk RADIUS sunucusu EAP-PEAP veya EAP-TTLS sunucusu olarak işlev görebilir ve ya korunan kimlik doğrulama yöntemini yönetebilir ya da başka bir sunucuya iletebilir. Bu seçenek, farklı alanlar için ayrı politikaların yapılandırılmasını kolaylaştırır.
EAP-PEAP'te, PEAP sunucusu ile PEAP istemcisi arasında TLS tüneli kurulduktan sonra, PEAP sunucusu bir EAP-Kimlik isteği başlatır ve bunu TLS tüneli aracılığıyla iletir. İstemci, bu ikinci EAP-Kimlik isteğine, kullanıcının gerçek kimliğini içeren bir EAP-Kimlik yanıtı göndererek yanıt verir. Bu yaklaşım, 802.11 trafiğini dinleyen herhangi birine kullanıcının gerçek kimliğinin ifşa edilmesini etkili bir şekilde engeller.
EAP-TTLS, biraz farklı bir prosedür izler. EAP-TTLS ile istemci genellikle PAP veya CHAP kullanarak kimlik doğrulaması yapar, bu da TLS tüneli ile güvence altına alınır. Bu durumda, istemci, tünel kurulduktan sonra gönderilen ilk TLS mesajında bir Kullanıcı Adı niteliği ve ya bir Şifre ya da CHAP-Şifre niteliği içerir.
Seçilen protokolden bağımsız olarak, PEAP/TTLS sunucusu TLS tüneli kurulduktan sonra kullanıcının gerçek kimliğini öğrenir. Gerçek kimlik, user@realm veya basitçe user olarak temsil edilebilir. Eğer PEAP/TTLS sunucusu aynı zamanda kullanıcıyı kimlik doğrulamakla da sorumluysa, artık kullanıcının kimliğine sahiptir ve TLS tüneli ile korunan kimlik doğrulama yöntemine devam eder. Alternatif olarak, PEAP/TTLS sunucusu kullanıcının ev RADIUS sunucusuna yeni bir RADIUS isteği iletebilir. Bu yeni RADIUS isteği, PEAP veya TTLS protokol katmanını atlar. Korunan kimlik doğrulama yöntemi EAP olduğunda, iç EAP mesajları, EAP-PEAP veya EAP-TTLS sarmalayıcısı olmadan ev RADIUS sunucusuna iletilir. Çıkan RADIUS mesajının Kullanıcı Adı niteliği, gelen RADIUS isteğinden alınan anonim Kullanıcı Adı yerine kullanıcının gerçek kimliğini içerir. Korunan kimlik doğrulama yöntemi PAP veya CHAP (yalnızca TTLS tarafından desteklenir) olduğunda, TLS yükünden çıkarılan Kullanıcı Adı ve diğer kimlik doğrulama nitelikleri, gelen RADIUS isteğindeki anonim Kullanıcı Adı ve TTLS EAP-Mesajı niteliklerinin yerini alacak şekilde çıkan RADIUS mesajında değiştirilir.
Daha fazla bilgi için https://www.interlinknetworks.com/app_notes/eap-peap.htm adresine bakın.
Eğer istemcinin bir kullanıcı adı ve şifre kullanması bekleniyorsa (bu durumda EAP-TLS geçerli olmayacaktır), o zaman bir kullanıcı adı (bir sonraki bölüme bakın) ve şifreler listesi almayı deneyebilir ve erişimi bruteforce etmek için air-hammer'ı kullanabilirsiniz.
Bu saldırıyı eaphammer kullanarak da gerçekleştirebilirsiniz:
802.11 protokolü, bir istasyonun Genişletilmiş Hizmet Seti'ne (ESS) nasıl katılacağını tanımlar, ancak bir ESS veya içindeki bir erişim noktasını (AP) seçme kriterlerini belirtmez.
İstasyonlar, aynı ESSID'yi paylaşan AP'ler arasında gezinebilir, bir bina veya alan boyunca bağlantıyı sürdürebilir.
Protokol, istasyonun ESS'e kimlik doğrulamasını gerektirir, ancak AP'nin istasyona kimlik doğrulamasını zorunlu kılmaz.
İstasyonlar, bağlandıkları her kablosuz ağın ESSID'sini, ağ spesifik yapılandırma detaylarıyla birlikte Tercih Edilen Ağ Listesi'nde (PNL) saklar.
PNL, bilinen ağlara otomatik olarak bağlanmak için kullanılır, bağlantı sürecini kolaylaştırarak kullanıcının deneyimini iyileştirir.
AP'ler, varlıklarını ve özelliklerini duyuran sinyal çerçevelerini periyodik olarak yayınlar, AP'nin ESSID'sini de içerir, yayın kapatılmadığı sürece.
Pasif tarama sırasında, istasyonlar sinyal çerçevelerini dinler. Eğer bir sinyalin ESSID'si istasyonun PNL'sindeki bir girişle eşleşirse, istasyon otomatik olarak o AP'ye bağlanabilir.
Bir cihazın PNL'sinin bilgisi, bilinen bir ağın ESSID'sini taklit ederek potansiyel istismar için olanak tanır ve cihazı sahte bir AP'ye bağlanmaya kandırır.
Aktif sorgulama, istasyonların yakınlardaki AP'leri ve özelliklerini keşfetmek için sorgu talepleri göndermesini içerir.
Yönlendirilmiş sorgu talepleri, belirli bir ESSID'yi hedef alır ve belirli bir ağın menzil içinde olup olmadığını tespit etmeye yardımcı olur, hatta gizli bir ağ olsa bile.
Yayın sorgu talepleri, boş bir SSID alanına sahiptir ve tüm yakınlardaki AP'lere gönderilir, istasyonun PNL içeriğini açıklamadan herhangi bir tercih edilen ağı kontrol etmesine olanak tanır.
Daha karmaşık saldırıları nasıl gerçekleştireceğini açıklamadan önce, sadece bir AP oluşturmanın ve trafik yönlendirmesinin nasıl yapılacağı açıklanacaktır İnternete bağlı bir arayüze.
ifconfig -a kullanarak, AP'yi oluşturmak için wlan arayüzünün ve İnternete bağlı arayüzün mevcut olup olmadığını kontrol edin.
/etc/dnsmasq.conf dosyasını oluşturun:
Sonra IP'leri ve yolları ayarlayın:
Ve sonra dnsmasq'ı başlatın:
Bir yapılandırma dosyası oluşturun hostapd.conf:
Rahatsız edici süreçleri durdurun, izleme modunu ayarlayın ve hostapd'yi başlatın:
Evil twin saldırısı, WiFi istemcilerinin ağları tanıma şekillerini istismar eder, esasen ağ adını (ESSID) kullanarak, erişim noktasının istemciye kendini doğrulamasını gerektirmeden. Anahtar noktalar şunlardır:
Ayrım Zorluğu: Cihazlar, aynı ESSID ve şifreleme türünü paylaştıklarında meşru ve sahte erişim noktalarını ayırt etmekte zorlanır. Gerçek dünya ağları genellikle kapsama alanını kesintisiz uzatmak için aynı ESSID'ye sahip birden fazla erişim noktası kullanır.
İstemci Geçişi ve Bağlantı Manipülasyonu: 802.11 protokolü, cihazların aynı ESS içindeki erişim noktaları arasında geçiş yapmasına olanak tanır. Saldırganlar, bir cihazı mevcut baz istasyonundan ayırıp sahte birine bağlanmaya ikna ederek bunu istismar edebilir. Bu, daha güçlü bir sinyal sunarak veya meşru erişim noktasına olan bağlantıyı deauthentikasyon paketleri veya sinyal karıştırma gibi yöntemlerle keserek gerçekleştirilebilir.
Uygulama Zorlukları: Birden fazla, iyi yerleştirilmiş erişim noktasının bulunduğu ortamlarda evil twin saldırısını başarıyla gerçekleştirmek zor olabilir. Tek bir meşru erişim noktasını deauthentikasyon yapmak, genellikle cihazın başka bir meşru erişim noktasına bağlanmasına neden olur, saldırgan tüm yakın erişim noktalarını deauthentikasyon yapmadıkça veya sahte erişim noktasını stratejik olarak yerleştirmedikçe.
Çok temel bir Open Evil Twin (İnternete trafik yönlendirme yeteneği olmayan) oluşturabilirsiniz:
Evil Twin oluşturmak için eaphammer kullanabilirsiniz (evil twin'ler oluşturmak için eaphammer ile arayüzün monitor modunda olmaması gerektiğini unutmayın):
Or using Airgeddon: Options: 5,6,7,8,9 (inside Evil Twin attack menu).
Lütfen, varsayılan olarak PNL'deki bir ESSID WPA korumalı olarak kaydedilmişse, cihazın otomatik olarak Açık bir evil Twin'e bağlanmayacağını unutmayın. Gerçek AP'yi DoS yapmayı deneyebilir ve kullanıcının manuel olarak Açık evil twin'inize bağlanmasını umabilirsiniz, ya da gerçek AP'yi DoS yapabilir ve el sıkışmayı yakalamak için bir WPA Evil Twin kullanabilirsiniz (bu yöntemi kullanarak kurbanın size bağlanmasını sağlayamazsınız çünkü PSK'yı bilmiyorsunuz, ancak el sıkışmayı yakalayabilir ve kırmaya çalışabilirsiniz).
Bazı işletim sistemleri ve antivirüs yazılımları, Açık bir ağa bağlanmanın tehlikeli olduğunu kullanıcıya bildirecektir...
WPA/2 kullanarak bir Evil Twin oluşturabilirsiniz ve eğer cihazlar o SSID'ye WPA/2 ile bağlanacak şekilde yapılandırılmışsa, bağlanmaya çalışacaklardır. Her durumda, 4-yol el sıkışmasını tamamlamak için ayrıca müşterinin kullanacağı şifreyi de bilmeniz gerekiyor. Eğer bilmiyorsanız, bağlantı tamamlanmayacaktır.
Bu saldırıları anlamak için öncelikle WPA Enterprise açıklaması okunmasını öneririm.
hostapd-wpe Kullanımı
hostapd-wpe çalışmak için bir konfigürasyon dosyasına ihtiyaç duyar. Bu konfigürasyonların oluşturulmasını otomatikleştirmek için https://github.com/WJDigby/apd_launchpad kullanılabilir (//etc/hostapd-wpe/ içindeki python dosyasını indirin).
Yapılandırma dosyasında ssid, kanal, kullanıcı dosyaları, cret/key, dh parametreleri, wpa versiyonu ve kimlik doğrulama gibi birçok farklı şeyi seçebilirsiniz...
Herhangi bir sertifikanın giriş yapmasına izin vermek için EAP-TLS ile hostapd-wpe kullanma.
EAPHammer Kullanımı
Varsayılan olarak, EAPHammer bu kimlik doğrulama yöntemlerini amaçlar (ilk olarak düz metin şifrelerini elde etmeye çalışmak için GTC'yi ve ardından daha sağlam kimlik doğrulama yöntemlerinin kullanılmasını dikkate alarak):
Bu, uzun bağlantı sürelerini önlemek için varsayılan metodolojidir. Ancak, sunucuya kimlik doğrulama yöntemlerini en zayıftan en güçlüsüne doğru belirtmek de mümkündür:
Or you could also use:
--negotiate gtc-downgrade ile yüksek verimli GTC düşürme uygulamasını (düz metin şifreleri) kullanmak için
--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP ile sunulan yöntemleri manuel olarak belirtmek için (saldırının gerçekleştirileceği organizasyonla aynı sırada aynı kimlik doğrulama yöntemlerini sunmak, tespiti çok daha zor hale getirecektir).
Airgeddon Kullanımı
Airgeddon, daha önce oluşturulmuş sertifikaları kullanarak WPA/WPA2-Enterprise ağlarına EAP kimlik doğrulaması sunabilir. Sahte ağ, bağlantı protokolünü EAP-MD5'e düşürecektir, böylece kullanıcıyı ve şifrenin MD5'ini yakalayabilecektir. Daha sonra, saldırgan şifreyi kırmaya çalışabilir.
Airgeddon, size sürekli Kötü İkiz saldırısı (gürültülü) veya birisi bağlanana kadar yalnızca Kötü Saldırı oluşturma (sakin) olanağını sunar.
Bu yöntem bir PEAP bağlantısında test edildi, ancak ben keyfi bir TLS tünelini şifrelediğim için bu EAP-TTLS ile de çalışmalıdır.
hostapd-wpe'nin konfigürasyonu içinde, dh_file içeren satırı yorumlayın ( dh_file=/etc/hostapd-wpe/certs/dh'den #dh_file=/etc/hostapd-wpe/certs/dh'ye)
Bu, hostapd-wpe'nin RSA kullanarak anahtarları değiştirmesini sağlayacak, böylece daha sonra sunucunun özel anahtarını bilerek trafiği şifreleyebilirsiniz.
Şimdi, her zamanki gibi o değiştirilmiş konfigürasyonla hostapd-wpe kullanarak Kötü İkiz'i başlatın. Ayrıca, Kötü İkiz saldırısını gerçekleştiren arayüzde wireshark'ı başlatın.
Şimdi veya daha sonra (zaten bazı kimlik doğrulama girişimlerini yakaladığınızda) özel RSA anahtarını wireshark'a ekleyebilirsiniz: Düzenle --> Tercihler --> Protokoller --> TLS --> (RSA anahtarları listesi) Düzenle...
Yeni bir giriş ekleyin ve bu değerlerle formu doldurun: IP adresi = herhangi -- Port = 0 -- Protokol = veri -- Anahtar Dosyası (anahtar dosyanızı seçin, sorun yaşamamak için şifre korumalı olmayan bir anahtar dosyası seçin).
Ve yeni "Şifrelenmiş TLS" sekmesine bakın:
Farklı türdeki Medya Erişim Kontrol Filtre Listeleri (MFACL'ler) ve bunların sahte Erişim Noktası (AP) üzerindeki davranışları üzerindeki etkileri:
MAC tabanlı Beyaz Liste:
Sahte AP, yalnızca beyaz listede belirtilen cihazlardan gelen sorgu isteklerine yanıt verecek, listede olmayan diğer tüm cihazlara görünmez kalacaktır.
MAC tabanlı Kara Liste:
Sahte AP, kara listedeki cihazlardan gelen sorgu isteklerini görmezden gelecek, böylece sahte AP bu belirli cihazlara görünmez hale gelecektir.
SSID tabanlı Beyaz Liste:
Sahte AP, yalnızca belirli ESSID'ler için sorgu isteklerine yanıt verecek, bu ESSID'leri içermeyen cihazlara görünmez olacaktır.
SSID tabanlı Kara Liste:
Sahte AP, kara listedeki belirli ESSID'ler için sorgu isteklerine yanıt vermeyecek, bu belirli ağları arayan cihazlara görünmez hale gelecektir.
Bu yöntem, bir saldırganın, ağlara bağlanmaya çalışan cihazlardan gelen tüm probe isteklerine yanıt veren kötü niyetli bir erişim noktası (AP) oluşturmasına olanak tanır. Bu teknik, cihazları, aradıkları ağları taklit ederek saldırganın AP'sine bağlanmaya kandırır. Bir cihaz bu sahte AP'ye bir bağlantı isteği gönderdiğinde, bağlantıyı tamamlar ve cihazın yanlışlıkla saldırganın ağına bağlanmasına neden olur.
Daha sonra, cihazlar istenmeyen ağ yanıtlarını görmezden gelmeye başladı, bu da orijinal karma saldırısının etkinliğini azalttı. Ancak, Ian de Villiers ve Dominic White tarafından tanıtılan MANA saldırısı olarak bilinen yeni bir yöntem ortaya çıktı. Bu yöntem, sahte AP'nin cihazların yayınladığı probe isteklerine yanıt vererek Tercih Edilen Ağ Listelerini (PNL) yakalamasını içerir; bu yanıtlar, cihazlar tarafından daha önce talep edilen ağ adları (SSID'ler) ile yapılır. Bu sofistike saldırı, cihazların bildikleri ağları hatırlama ve önceliklendirme şekillerini istismar ederek orijinal karma saldırısına karşı korumaları aşar.
MANA saldırısı, cihazlardan gelen hem yönlendirilmiş hem de yayınlanmış probe isteklerini izleyerek çalışır. Yönlendirilmiş istekler için, cihazın MAC adresini ve talep edilen ağ adını kaydeder, bu bilgiyi bir listeye ekler. Bir yayın isteği alındığında, AP, cihazın listesindeki ağlardan herhangi biriyle eşleşen bilgilerle yanıt verir ve cihazı sahte AP'ye bağlanmaya teşvik eder.
Bir Loud MANA saldırısı, cihazların yönlendirilmiş sorgulama kullanmadığı veya Tercih Edilen Ağ Listeleri (PNL) saldırgana bilinmediği durumlar için gelişmiş bir stratejidir. Bu, aynı alandaki cihazların PNL'lerinde bazı ağ adlarını paylaşma olasılığının yüksek olduğu ilkesine dayanır. Seçici bir şekilde yanıt vermek yerine, bu saldırı gözlemlenen tüm cihazların birleştirilmiş PNL'lerinde bulunan her ağ adı (ESSID) için sorgu yanıtlarını yayınlar. Bu geniş yaklaşım, bir cihazın tanıdık bir ağı tanıma ve sahte Erişim Noktasına (AP) bağlanma girişiminde bulunma olasılığını artırır.
Loud MANA attack yeterli olmadığında, Known Beacon attack başka bir yaklaşım sunar. Bu yöntem, bir ağ adıyla yanıt veren bir AP'yi simüle ederek bağlantı sürecini brute-force ile zorlar, potansiyel ESSID'lerin bir listesini döngüye alarak bir kelime listesinden türetilmiştir. Bu, birçok ağın varlığını simüle eder, umarak kurbanın PNL'sindeki bir ESSID ile eşleşir ve uydurma AP'ye bir bağlantı denemesi yapar. Saldırı, cihazları yakalamak için daha agresif bir deneme yapmak amacıyla --loud seçeneği ile birleştirilerek artırılabilir.
Eaphammer bu saldırıyı, listedeki tüm ESSID'lerin yüklendiği bir MANA saldırısı olarak uyguladı (bunu --loud ile birleştirerek Loud MANA + Known beacons attack oluşturabilirsiniz):
Bilinen Beacon Burst saldırısı
Bilinen Beacon Burst saldırısı, bir dosyada listelenen her ESSID için hızlı bir şekilde beacon çerçevelerinin yayınlanmasını içerir. Bu, sahte ağların yoğun bir ortamını yaratır ve cihazların kötü niyetli AP'ye bağlanma olasılığını büyük ölçüde artırır, özellikle de bir MANA saldırısıyla birleştirildiğinde. Bu teknik, cihazların ağ seçim mekanizmalarını aşmak için hız ve hacimden yararlanır.
Wi-Fi Direct, cihazların geleneksel bir kablosuz erişim noktası olmadan Wi-Fi kullanarak doğrudan birbirleriyle bağlantı kurmalarını sağlayan bir protokoldür. Bu yetenek, yazıcılar ve televizyonlar gibi çeşitli Nesnelerin İnterneti (IoT) cihazlarına entegre edilmiştir ve doğrudan cihazdan cihaza iletişimi kolaylaştırır. Wi-Fi Direct'in dikkat çekici bir özelliği, bir cihazın bağlantıyı yönetmek için grup sahibi olarak bilinen bir erişim noktası rolünü üstlenmesidir.
Wi-Fi Direct bağlantıları için güvenlik, birkaç güvenli eşleştirme yöntemini destekleyen Wi-Fi Protected Setup (WPS) aracılığıyla sağlanır:
Push-Button Configuration (PBC)
PIN girişi
Near-Field Communication (NFC)
Bu yöntemler, özellikle PIN girişi, geleneksel Wi-Fi ağlarındaki WPS ile aynı güvenlik açıklarına maruz kalmaktadır ve benzer saldırı vektörlerinin hedefi haline gelmektedir.
EvilDirect Hijacking, Wi-Fi Direct'e özgü bir saldırıdır. Evil Twin saldırısının konseptini yansıtır, ancak Wi-Fi Direct bağlantılarını hedef alır. Bu senaryoda, bir saldırgan meşru bir grup sahibini taklit ederek cihazları kötü niyetli bir varlığa bağlanmaya ikna etmeyi amaçlar. Bu yöntem, taklit edilen cihazın kanalını, ESSID'sini ve MAC adresini belirterek airbase-ng gibi araçlar kullanılarak gerçekleştirilebilir.
TODO: https://github.com/wifiphisher/wifiphisher adresine göz atın (facebook ile giriş ve captive portallarda WPA taklidi)
Deneyimli hackerlar ve bug bounty avcıları ile iletişim kurmak için HackenProof Discord sunucusuna katılın!
Hacking Insights Hacking'in heyecanı ve zorluklarına dalan içeriklerle etkileşimde bulunun
Real-Time Hack News Hızla değişen hacking dünyasında güncel kalmak için gerçek zamanlı haberler ve bilgiler edinin
Latest Announcements Yeni başlayan bug bounty'ler ve önemli platform güncellemeleri hakkında bilgi sahibi olun
Bize katılın Discord ve bugün en iyi hackerlarla işbirliği yapmaya başlayın!
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
