Pentesting Wifi
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!
Hacking Insights Залучайте контент, який занурюється в захоплення та виклики хакінгу
Real-Time Hack News Слідкуйте за швидкоплинним світом хакінгу через новини та інсайти в реальному часі
Latest Announcements Будьте в курсі нових програм винагород за вразливості та важливих оновлень платформ
Join us on Discord and start collaborating with top hackers today!
Запустіть airgeddon з docker
Він може виконувати атаки Evil Twin, KARMA та Known Beacons, а потім використовувати шаблон фішингу, щоб отримати справжній пароль мережі або захопити облікові дані соціальних мереж.
Цей інструмент автоматизує WPS/WEP/WPA-PSK атаки. Він автоматично:
Встановлює інтерфейс в режим монітора
Сканує можливі мережі - І дозволяє вам вибрати жертву(и)
Якщо WEP - Запускає WEP атаки
Якщо WPA-PSK
Якщо WPS: атака Pixie dust та атака грубої сили (будьте обережні, атака грубої сили може зайняти багато часу). Зверніть увагу, що він не намагається використовувати нульовий PIN або PIN-коди з бази даних/згенеровані PIN-коди.
Спробує захопити PMKID з AP для його зламу
Спробує деаутентифікувати клієнтів AP для захоплення хендшейка
Якщо PMKID або Хендшейк, спробує зламати за допомогою топ-5000 паролів.
DoS
Деаутентифікація/дезасоціація -- Відключити всіх (або конкретний ESSID/Клієнт)
Випадкові фейкові AP -- Сховати мережі, можливий крах сканерів
Перевантажити AP -- Спробувати вбити AP (зазвичай не дуже корисно)
WIDS -- Грати з IDS
TKIP, EAPOL -- Деякі специфічні атаки для DoS деяких AP
Злам
Зламати WEP (декілька інструментів і методів)
WPA-PSK
WPS PIN "Груба сила"
WPA PMKID груба сила
[DoS +] Захоплення WPA хендшейка + Злам
WPA-MGT
Захоплення імені користувача
Груба сила облікових даних
Злий близнюк (з DoS або без)
Відкритий Злий близнюк [+ DoS] -- Корисно для захоплення облікових даних порталу та/або виконання атак в LAN
WPA-PSK Злий близнюк -- Корисно для атак на мережу, якщо ви знаєте пароль
WPA-MGT -- Корисно для захоплення корпоративних облікових даних
KARMA, MANA, Гучний MANA, Відомий маяк
+ Відкритий -- Корисно для захоплення облікових даних порталу та/або виконання атак в LAN
+ WPA -- Корисно для захоплення WPA хендшейків
Опис з тут:.
Деаутентифікаційні атаки, поширений метод у Wi-Fi хакінгу, включають підробку "управлінських" кадрів для примусового відключення пристроїв від мережі. Ці незашифровані пакети обманюють клієнтів, змушуючи їх вірити, що вони з легітимної мережі, що дозволяє зловмисникам збирати WPA хендшейки для цілей зламу або постійно порушувати мережеві з'єднання. Ця тактика, тривожна у своїй простоті, широко використовується і має значні наслідки для безпеки мережі.
Деаутентифікація за допомогою Aireplay-ng
-0 означає деаутентифікацію
1 - це кількість деаутентифікацій, які потрібно надіслати (ви можете надіслати кілька, якщо бажаєте); 0 означає надсилати їх безперервно
-a 00:14:6C:7E:40:80 - це MAC-адреса точки доступу
-c 00:0F:B5:34:30:30 - це MAC-адреса клієнта, якого потрібно деаутентифікувати; якщо це пропустити, то надсилається широкомовна деаутентифікація (не завжди працює)
ath0 - це назва інтерфейсу
Пакети від'єднання, подібно до пакетів деаутентифікації, є типом управлінського кадру, що використовується в Wi-Fi мережах. Ці пакети служать для розриву з'єднання між пристроєм (таким як ноутбук або смартфон) і точкою доступу (AP). Основна відмінність між від'єднанням і деаутентифікацією полягає в їхніх сценаріях використання. У той час як AP випускає пакети деаутентифікації, щоб явно видалити зловмисні пристрої з мережі, пакети від'єднання зазвичай надсилаються, коли AP проходить через вимкнення, перезавантаження або переміщення, що вимагає роз'єднання всіх підключених вузлів.
Цей напад можна виконати за допомогою mdk4(режим "d"):
В тут.
РЕЖИМ АТАКИ b: Затоплення маяками
Відправляє кадри маяків, щоб показати фальшиві AP на клієнтах. Це іноді може призвести до збою мережевих сканерів і навіть драйверів!
ATTACK MODE a: Відмова в обслуговуванні аутентифікації
Відправка аутентифікаційних кадрів до всіх доступних точок доступу (AP) в межах досяжності може перевантажити ці AP, особливо коли залучено багато клієнтів. Цей інтенсивний трафік може призвести до нестабільності системи, викликаючи зависання або навіть перезавантаження деяких AP.
ATTACK MODE p: SSID Probing and Bruteforcing
Пр probing Access Points (APs) перевіряє, чи SSID правильно розкритий, і підтверджує діапазон AP. Ця техніка, в поєднанні з bruteforcing hidden SSIDs з або без словника, допомагає в ідентифікації та доступі до прихованих мереж.
ATTACK MODE m: Michael Countermeasures Exploitation
Відправка випадкових або дублікатних пакетів до різних QoS черг може активувати Michael Countermeasures на TKIP APs, що призводить до однієї хвилини вимкнення AP. Цей метод є ефективною тактикою DoS (Denial of Service) атаки.
ATTACK MODE e: Впорскування пакетів EAPOL Start та Logoff
Затоплення AP пакетами EAPOL Start створює фальшиві сесії, перевантажуючи AP і блокуючи законних клієнтів. Альтернативно, впорскування фальшивих повідомлень EAPOL Logoff примусово відключає клієнтів, обидва методи ефективно порушують мережевий сервіс.
ATTACK MODE s: Атаки для мереж IEEE 802.11s
Різні атаки на управління посиланнями та маршрутизацію в мережах з сітковою топологією.
ATTACK MODE w: Плутанина WIDS
Перехресне з'єднання клієнтів з кількома вузлами WDS або фальшивими зловмисними AP може маніпулювати системами виявлення та запобігання вторгненням, створюючи плутанину та потенційне зловживання системою.
ATTACK MODE f: Packet Fuzzer
Пакетний фузер з різноманітними джерелами пакетів та комплексним набором модифікаторів для маніпуляції пакетами.
Airgeddon пропонує більшість атак, запропонованих у попередніх коментарях:
WPS (Wi-Fi Protected Setup) спрощує процес підключення пристроїв до маршрутизатора, підвищуючи швидкість налаштування та зручність для мереж, зашифрованих за допомогою WPA або WPA2 Personal. Він неефективний для легко скомпрометованої безпеки WEP. WPS використовує 8-значний PIN-код, який перевіряється в двох частинах, що робить його вразливим до атак методом перебору через обмежену кількість комбінацій (11,000 можливостей).
Існує 2 основні інструменти для виконання цієї дії: Reaver та Bully.
Reaver був розроблений як надійна та практична атака проти WPS і був протестований на різноманітних точках доступу та реалізаціях WPS.
Bully є новою реалізацією атаки методом перебору WPS, написаною на C. Він має кілька переваг над оригінальним кодом reaver: менше залежностей, покращена пам'ять та продуктивність процесора, правильне оброблення порядку байтів та більш надійний набір опцій.
Атака експлуатує вразливість WPS PIN, зокрема його відкритість перших чотирьох цифр та роль останньої цифри як контрольної суми, що полегшує атаку методом перебору. Однак захист від атак методом перебору, такі як блокування MAC-адрес агресивних атакуючих, вимагає ротації MAC-адрес для продовження атаки.
Отримавши WPS PIN за допомогою інструментів, таких як Bully або Reaver, атакуючий може вивести WPA/WPA2 PSK, забезпечуючи постійний доступ до мережі.
Смарт Брут Форс
Цей вдосконалений підхід націлений на WPS PIN, використовуючи відомі вразливості:
Попередньо виявлені PIN-коди: Використовуйте базу даних відомих PIN-кодів, пов'язаних з конкретними виробниками, які відомі використанням однакових WPS PIN-кодів. Ця база даних корелює перші три октети MAC-адрес з ймовірними PIN-кодами для цих виробників.
Алгоритми генерації PIN-кодів: Використовуйте алгоритми, такі як ComputePIN та EasyBox, які обчислюють WPS PIN-коди на основі MAC-адреси AP. Алгоритм Arcadyan додатково вимагає ідентифікатор пристрою, що додає рівень до процесу генерації PIN-коду.
Домінік Бонгард виявив недолік у деяких Точках Доступу (AP) щодо створення секретних кодів, відомих як nonce (E-S1 та E-S2). Якщо ці nonce можна вгадати, зламати WPS PIN AP стає легко. AP розкриває PIN у спеціальному коді (хеш), щоб довести, що він легітимний, а не підроблений (незаконний) AP. Ці nonce по суті є "ключами" для розблокування "сейфу", що містить WPS PIN. Більше про це можна знайти тут.
Простими словами, проблема в тому, що деякі AP не використовували достатньо випадкові ключі для шифрування PIN-коду під час процесу підключення. Це робить PIN вразливим до вгадування ззовні мережі (офлайн брутфорс атака).
Якщо ви не хочете перевести пристрій в моніторний режим, або reaver
і bully
мають якісь проблеми, ви можете спробувати OneShot-C. Цей інструмент може виконувати атаку Pixie Dust без необхідності переходити в моніторний режим.
Деякі погано спроектовані системи навіть дозволяють Null PIN (порожній або неіснуючий PIN) надавати доступ, що є досить незвичним. Інструмент Reaver здатний перевіряти цю вразливість, на відміну від Bully.
Всі запропоновані атаки WPS можна легко виконати за допомогою airgeddon.
5 і 6 дозволяють спробувати ваш власний PIN (якщо у вас є)
7 і 8 виконують атаку Pixie Dust
13 дозволяє протестувати NULL PIN
11 і 12 збирають PIN-коди, пов'язані з вибраним AP з доступних баз даних і генерують можливі PIN-коди за допомогою: ComputePIN, EasyBox і, за бажанням, Arcadyan (рекомендується, чому б і ні?)
9 і 10 протестують кожен можливий PIN
Так зламаний і не використовується в наші дні. Просто знайте, що airgeddon має опцію WEP під назвою "All-in-One" для атаки на цей вид захисту. Багато інструментів пропонують подібні опції.
Приєднуйтесь до HackenProof Discord сервера, щоб спілкуватися з досвідченими хакерами та шукачами вразливостей!
Hacking Insights Залучайтеся до контенту, який занурюється в захоплення та виклики хакерства
Real-Time Hack News Слідкуйте за швидкоплинним світом хакерства через новини та інсайти в реальному часі
Latest Announcements Будьте в курсі нових програм винагород за вразливості та важливих оновлень платформ
Приєднуйтесь до нас на Discord і почніть співпрацювати з провідними хакерами вже сьогодні!
У 2018 році hashcat виявив новий метод атаки, унікальний тим, що йому потрібен лише один пакет і не вимагає, щоб клієнти були підключені до цільового AP—лише взаємодія між атакуючим і AP.
Багато сучасних маршрутизаторів додають додаткове поле до першого EAPOL кадру під час асоціації, відоме як Robust Security Network
. Це включає PMKID
.
Як пояснює оригінальний пост, PMKID створюється за допомогою відомих даних:
Даючи те, що "PMK Name" є постійним, ми знаємо BSSID точки доступу та станції, а PMK
ідентичний тому, що з повного 4-стороннього рукостискання, hashcat може використати цю інформацію для злому PSK та відновлення пароля!
Щоб зібрати цю інформацію та брутфорсити локально пароль, ви можете зробити:
Захоплені PMKIDs будуть показані в консолі та також збережені в _ /tmp/attack.pcap_ Тепер перетворіть захоплення в формат hashcat/john та зламайте його:
Будь ласка, зверніть увагу, що формат правильного хешу містить 4 частини, як: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838
. Якщо ваш лише містить 3 частини, то це недійсно (захоплення PMKID не було дійсним).
Зверніть увагу, що hcxdumptool
також захоплює рукопожаття (щось подібне з'явиться: MP:M1M2 RC:63258 EAPOLTIME:17091
). Ви можете перетворити рукопожаття у формат hashcat/john за допомогою cap2hccapx
.
Я помітив, що деякі захоплені хендшейки за допомогою цього інструменту не могли бути зламані, навіть знаючи правильний пароль. Я рекомендую захоплювати хендшейки також традиційним способом, якщо це можливо, або захоплювати кілька з них за допомогою цього інструменту.
Атака на WPA/WPA2 мережі може бути виконана шляхом захоплення хендшейка та спроби зламати пароль офлайн. Цей процес включає моніторинг зв'язку конкретної мережі та BSSID на певному каналі. Ось спрощена інструкція:
Визначте BSSID, канал та підключеного клієнта цільової мережі.
Використовуйте airodump-ng
для моніторингу мережевого трафіку на вказаному каналі та BSSID, сподіваючись захопити хендшейк. Команда виглядатиме так:
Щоб збільшити шанси на захоплення хендшейка, тимчасово відключіть клієнта від мережі, щоб примусити його до повторної аутентифікації. Це можна зробити за допомогою команди aireplay-ng
, яка надсилає пакети деаутентифікації клієнту:
Зверніть увагу, що оскільки клієнт був деавторизований, він міг спробувати підключитися до іншої AP або, в інших випадках, до іншої мережі.
Якщо в airodump-ng
з'являється деяка інформація про хендшейк, це означає, що хендшейк був захоплений, і ви можете припинити прослуховування:
Після захоплення хендшейку ви можете зламати його за допомогою aircrack-ng
:
aircrack
tshark
Якщо цей інструмент знайде незавершений хендшейк ESSID перед завершеним, він не виявить дійсний.
pyrit
У підприємницьких налаштуваннях WiFi ви зіткнетеся з різними методами аутентифікації, кожен з яких забезпечує різні рівні безпеки та функції управління. Коли ви використовуєте інструменти, такі як airodump-ng
, щоб перевірити мережевий трафік, ви можете помітити ідентифікатори для цих типів аутентифікації. Деякі поширені методи включають:
EAP-GTC (Generic Token Card):
Цей метод підтримує апаратні токени та одноразові паролі в рамках EAP-PEAP. На відміну від MSCHAPv2, він не використовує виклик від партнера і надсилає паролі у відкритому вигляді до точки доступу, що створює ризик атак на зниження безпеки.
EAP-MD5 (Message Digest 5):
Включає надсилання MD5 хешу пароля з клієнта. Це не рекомендується через вразливість до атак словником, відсутність автентифікації сервера та неможливість генерувати специфічні для сесії WEP ключі.
EAP-TLS (Transport Layer Security):
Використовує як клієнтські, так і серверні сертифікати для автентифікації та може динамічно генерувати WEP ключі на основі користувача та сесії для захисту комунікацій.
EAP-TTLS (Tunneled Transport Layer Security):
Забезпечує взаємну автентифікацію через зашифрований тунель, а також метод для отримання динамічних WEP ключів для кожного користувача та сесії. Він вимагає лише серверних сертифікатів, а клієнти використовують облікові дані.
PEAP (Protected Extensible Authentication Protocol):
Функціонує подібно до EAP, створюючи TLS тунель для захищеної комунікації. Він дозволяє використовувати слабші протоколи автентифікації поверх EAP завдяки захисту, який надає тунель.
PEAP-MSCHAPv2: Часто називається PEAP, він поєднує вразливий механізм виклику/відповіді MSCHAPv2 з захисним TLS тунелем.
PEAP-EAP-TLS (або PEAP-TLS): Подібно до EAP-TLS, але ініціює TLS тунель перед обміном сертифікатами, пропонуючи додатковий рівень безпеки.
Ви можете знайти більше інформації про ці методи автентифікації тут та тут.
Читаючи https://tools.ietf.org/html/rfc3748#page-27, виглядає так, що якщо ви використовуєте EAP, то "Ідентифікаційні" повідомлення повинні бути підтримувані, і ім'я користувача буде надіслано у відкритому вигляді в "Відповіді на ідентифікацію".
Навіть використовуючи один з найбільш безпечних методів автентифікації: PEAP-EAP-TLS, можливо захопити ім'я користувача, надіслане в протоколі EAP. Для цього захопіть автентифікаційне спілкування (запустіть airodump-ng
всередині каналу та wireshark
на тому ж інтерфейсі) і відфільтруйте пакети за eapol
.
У пакеті "Відповідь, Ідентифікація" з'явиться ім'я користувача клієнта.
Приховування ідентичності підтримується як EAP-PEAP, так і EAP-TTLS. У контексті WiFi мережі запит EAP-Ідентичності зазвичай ініціюється точкою доступу (AP) під час процесу асоціації. Щоб забезпечити захист анонімності користувача, відповідь від EAP клієнта на пристрої користувача містить лише основну інформацію, необхідну для початкового RADIUS сервера для обробки запиту. Ця концепція ілюструється через наступні сценарії:
EAP-Ідентичність = анонім
У цьому сценарії всі користувачі використовують псевдонім "анонім" як свій ідентифікатор користувача. Початковий RADIUS сервер функціонує як EAP-PEAP або EAP-TTLS сервер, відповідальний за управління серверною стороною протоколу PEAP або TTLS. Внутрішній (захищений) метод автентифікації потім обробляється локально або делегується віддаленому (домашньому) RADIUS серверу.
EAP-Ідентичність = анонім@realm_x
У цій ситуації користувачі з різних доменів приховують свої ідентичності, вказуючи свої відповідні домени. Це дозволяє початковому RADIUS серверу проксувати запити EAP-PEAP або EAP-TTLS до RADIUS серверів у їхніх домашніх доменах, які діють як сервер PEAP або TTLS. Початковий RADIUS сервер працює виключно як RADIUS релейний вузол.
Альтернативно, початковий RADIUS сервер може функціонувати як EAP-PEAP або EAP-TTLS сервер і або обробляти захищений метод автентифікації, або пересилати його на інший сервер. Цей варіант полегшує налаштування різних політик для різних доменів.
У EAP-PEAP, як тільки TLS тунель встановлено між сервером PEAP і клієнтом PEAP, сервер PEAP ініціює запит EAP-Ідентичності та передає його через TLS тунель. Клієнт відповідає на цей другий запит EAP-Ідентичності, надсилаючи відповідь EAP-Ідентичності, що містить справжню ідентичність користувача через зашифрований тунель. Цей підхід ефективно запобігає розкриттю справжньої ідентичності користувача будь-кому, хто підслуховує трафік 802.11.
EAP-TTLS слідує трохи іншій процедурі. З EAP-TTLS клієнт зазвичай автентифікується за допомогою PAP або CHAP, захищених TLS тунелем. У цьому випадку клієнт включає атрибут User-Name та або атрибут Password, або атрибут CHAP-Password у початкове TLS повідомлення, надіслане після встановлення тунелю.
Незалежно від вибраного протоколу, сервер PEAP/TTLS отримує знання про справжню ідентичність користувача після встановлення TLS тунелю. Справжня ідентичність може бути представлена як user@realm або просто user. Якщо сервер PEAP/TTLS також відповідає за автентифікацію користувача, він тепер має ідентичність користувача і продовжує з методом автентифікації, захищеним TLS тунелем. Альтернативно, сервер PEAP/TTLS може переслати новий RADIUS запит на домашній RADIUS сервер користувача. Цей новий RADIUS запит не містить шару протоколу PEAP або TTLS. У випадках, коли захищений метод автентифікації є EAP, внутрішні EAP повідомлення передаються на домашній RADIUS сервер без обгортки EAP-PEAP або EAP-TTLS. Атрибут User-Name вихідного RADIUS повідомлення містить справжню ідентичність користувача, замінюючи анонімне ім'я користувача з вхідного RADIUS запиту. Коли захищений метод автентифікації є PAP або CHAP (підтримується лише TTLS), атрибут User-Name та інші атрибути автентифікації, витягнуті з TLS корисного навантаження, замінюються у вихідному RADIUS повідомленні, витісняючи анонімне ім'я користувача та атрибути TTLS EAP-Message, знайдені у вхідному RADIUS запиті.
Для отримання додаткової інформації перегляньте https://www.interlinknetworks.com/app_notes/eap-peap.htm
Якщо очікується, що клієнт використовуватиме ім'я користувача та пароль (зверніть увагу, що EAP-TLS не буде дійсним у цьому випадку), тоді ви можете спробувати отримати список імен користувачів (див. наступну частину) та паролів і спробувати брутфорсити доступ, використовуючи air-hammer.
Ви також можете виконати цю атаку, використовуючи eaphammer
:
Протокол 802.11 визначає, як станція приєднується до Розширеного Сервісного Набору (ESS), але не вказує критерії для вибору ESS або точки доступу (AP) в його межах.
Станції можуть переміщатися між AP, які ділять один і той же ESSID, підтримуючи з'єднання в межах будівлі або території.
Протокол вимагає аутентифікації станції до ESS, але не зобов'язує аутентифікацію AP до станції.
Станції зберігають ESSID кожної бездротової мережі, до якої вони підключаються, у своєму Списку Уподобаних Мереж (PNL), разом із специфічними для мережі конфігураційними деталями.
PNL використовується для автоматичного підключення до відомих мереж, покращуючи досвід користувача шляхом спрощення процесу підключення.
AP періодично транслюють маякові кадри, оголошуючи про свою присутність та особливості, включаючи ESSID AP, якщо трансляція не вимкнена.
Під час пасивного сканування станції слухають маякові кадри. Якщо ESSID маяка збігається з записом у PNL станції, станція може автоматично підключитися до цього AP.
Знання PNL пристрою дозволяє потенційно експлуатувати його, імітуючи ESSID відомої мережі, обманюючи пристрій, щоб підключитися до зловмисного AP.
Активне опитування передбачає, що станції надсилають запити на опитування для виявлення найближчих AP та їх характеристик.
Цілеспрямовані запити на опитування націлені на конкретний ESSID, допомагаючи виявити, чи є певна мережа в межах досяжності, навіть якщо це прихована мережа.
Запити на опитування з трансляцією мають порожнє поле SSID і надсилаються всім найближчим AP, дозволяючи станції перевірити наявність будь-якої уподобаної мережі без розкриття вмісту свого PNL.
Перед тим, як пояснити, як виконати більш складні атаки, буде пояснено як просто створити AP і перенаправити його трафік на інтерфейс, підключений до Інтернету.
Використовуючи ifconfig -a
, перевірте, що wlan інтерфейс для створення AP та інтерфейс, підключений до Інтернету, присутні.
Створіть файл конфігурації /etc/dnsmasq.conf
:
Тоді встановіть IP-адреси та маршрути:
А потім запустіть dnsmasq:
Створіть файл конфігурації hostapd.conf
:
Зупиніть набридливі процеси, встановіть моніторний режим та запустіть hostapd:
Атака "злий близнюк" використовує спосіб, яким клієнти WiFi розпізнають мережі, в основному покладаючись на ім'я мережі (ESSID) без вимоги до базової станції (точки доступу) автентифікувати себе для клієнта. Ключові моменти включають:
Складність у розрізненні: Пристрої мають труднощі у відрізненні легітимних і зловмисних точок доступу, коли вони мають однаковий ESSID і тип шифрування. Реальні мережі часто використовують кілька точок доступу з однаковим ESSID для безшовного розширення покриття.
Роумінг клієнтів і маніпуляція з'єднанням: Протокол 802.11 дозволяє пристроям переміщатися між точками доступу в межах одного ESS. Зловмисники можуть скористатися цим, заманюючи пристрій відключитися від його поточної базової станції та підключитися до зловмисної. Це можна досягти, запропонувавши сильніший сигнал або порушивши з'єднання з легітимною точкою доступу за допомогою методів, таких як пакети деавтентифікації або джемінг.
Виклики в реалізації: Успішне виконання атаки "злий близнюк" в умовах з кількома, добре розташованими точками доступу може бути складним. Деавтентифікація однієї легітимної точки доступу часто призводить до того, що пристрій підключається до іншої легітимної точки доступу, якщо зловмисник не може деавтентифікувати всі сусідні точки доступу або стратегічно розмістити зловмисну точку доступу.
Ви можете створити дуже базовий Open Evil Twin (без можливостей маршрутизації трафіку в Інтернет) роблячи:
Ви також можете створити Evil Twin, використовуючи eaphammer (зверніть увагу, що для створення evil twins за допомогою eaphammer інтерфейс не повинен бути в монітор режимі):
Або використовуючи Airgeddon: Options: 5,6,7,8,9 (в меню атаки Evil Twin).
Зверніть увагу, що за замовчуванням, якщо ESSID у PNL збережено як захищений WPA, пристрій не підключиться автоматично до відкритого evil Twin. Ви можете спробувати DoS реальний AP і сподіватися, що користувач підключиться вручну до вашого відкритого evil twin, або ви можете DoS реальний AP і використовувати WPA Evil Twin для захоплення хендшейка (використовуючи цей метод, ви не зможете дозволити жертві підключитися до вас, оскільки не знаєте PSK, але ви можете захопити хендшейк і спробувати його зламати).
Деякі ОС та AV попередять користувача, що підключення до відкритої мережі є небезпечним...
Ви можете створити Evil Twin, використовуючи WPA/2, і якщо пристрої налаштовані на підключення до цього SSID з WPA/2, вони спробують підключитися. У будь-якому випадку, щоб завершити 4-way-handshake, вам також потрібно знати пароль, який клієнт збирається використовувати. Якщо ви не знаєте його, підключення не буде завершено.
Щоб зрозуміти ці атаки, я рекомендую спочатку прочитати короткий WPA Enterprise пояснення.
Використання hostapd-wpe
hostapd-wpe
потребує конфігураційний файл для роботи. Щоб автоматизувати генерацію цих конфігурацій, ви можете використовувати https://github.com/WJDigby/apd_launchpad (завантажте python файл всередині /etc/hostapd-wpe/).
У файлі конфігурації ви можете вибрати багато різних параметрів, таких як ssid, канал, файли користувачів, cret/key, dh параметри, wpa версія та auth...
Використання hostapd-wpe з EAP-TLS для дозволу будь-якого сертифіката для входу.
Використання EAPHammer
За замовчуванням, EAPHammer пропонує ці методи аутентифікації (зверніть увагу, що GTC є першим, який намагається отримати паролі у відкритому вигляді, а потім використовуються більш надійні методи аутентифікації):
Це стандартна методологія для уникнення тривалих часів підключення. Однак ви також можете вказати серверу методи аутентифікації від найслабшого до найсильнішого:
Або ви також можете використовувати:
--negotiate gtc-downgrade
для використання високоефективної реалізації GTC з пониженням (паролі у відкритому вигляді)
--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP
для ручного зазначення запропонованих методів (пропонуючи ті ж методи автентифікації в тому ж порядку, що й організація, атака буде набагато важче виявити).
Використання Airgeddon
Airgeddon
може використовувати раніше згенеровані сертифікати для пропозиції EAP автентифікації для мереж WPA/WPA2-Enterprise. Фальшива мережа знизить протокол з'єднання до EAP-MD5, щоб мати можливість захопити користувача та MD5 пароля. Пізніше зловмисник може спробувати зламати пароль.
Airgeddon
пропонує вам можливість безперервної атаки Evil Twin (гучної) або лише створити Evil Attack, поки хтось не підключиться (плавно).
Цей метод був протестований у з'єднанні PEAP, але оскільки я розшифровую довільний TLS тунель, це також повинно працювати з EAP-TTLS
У конфігурації hostapd-wpe закоментуйте рядок, що містить dh_file (з dh_file=/etc/hostapd-wpe/certs/dh
на #dh_file=/etc/hostapd-wpe/certs/dh
)
Це змусить hostapd-wpe
обмінюватися ключами за допомогою RSA замість DH, тому ви зможете розшифрувати трафік пізніше, знаючи приватний ключ сервера.
Тепер запустіть Evil Twin, використовуючи hostapd-wpe
з цією модифікованою конфігурацією, як зазвичай. Також запустіть wireshark
в інтерфейсі, який виконує атаку Evil Twin.
Тепер або пізніше (коли ви вже захопили деякі спроби автентифікації) ви можете додати приватний RSA ключ до wireshark у: Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...
Додайте новий запис і заповніть форму цими значеннями: IP адреса = будь-яка -- Порт = 0 -- Протокол = data -- Файл ключа (виберіть ваш файл ключа, щоб уникнути проблем, виберіть файл ключа без захисту паролем).
І подивіться на нову вкладку "Decrypted TLS":
Різні типи списків фільтрації доступу до медіа (MFACLs) та їх відповідні режими та ефекти на поведінку зловмисної точки доступу (AP):
Список білих MAC-адрес:
Зловмисна AP відповідатиме лише на запити проби від пристроїв, зазначених у білому списку, залишаючись невидимою для всіх інших, хто не зазначений.
Список чорних MAC-адрес:
Зловмисна AP ігноруватиме запити проби від пристроїв у чорному списку, ефективно роблячи зловмисну AP невидимою для цих конкретних пристроїв.
Список білих SSID:
Зловмисна AP відповідатиме на запити проби лише для конкретних ESSID, зазначених у списку, роблячи її невидимою для пристроїв, чиї списки переважних мереж (PNL) не містять цих ESSID.
Список чорних SSID:
Зловмисна AP не відповідатиме на запити проби для конкретних ESSID у чорному списку, роблячи її невидимою для пристроїв, які шукають ці конкретні мережі.
Цей метод дозволяє зловмиснику створити шкідливу точку доступу (AP), яка відповідає на всі запити на пробу від пристроїв, що намагаються підключитися до мереж. Ця техніка обманює пристрої, змушуючи їх підключатися до AP зловмисника, імітуючи мережі, які пристрої шукають. Коли пристрій надсилає запит на підключення до цієї підробленої AP, воно завершує підключення, що призводить до помилкового підключення пристрою до мережі зловмисника.
Потім пристрої почали ігнорувати непрохані мережеві відповіді, зменшуючи ефективність початкової атаки karma. Однак новий метод, відомий як атака MANA, був представлений Іаном де Віллієрсом і Домініком Уайтом. Цей метод передбачає, що підроблена AP захоплює Списки Бажаних Мереж (PNL) з пристроїв, відповідаючи на їхні широкомовні запити на пробу з іменами мереж (SSID), які раніше запитувалися пристроями. Ця складна атака обминає захисти проти початкової атаки karma, експлуатуючи спосіб, яким пристрої запам'ятовують і пріоритизують відомі мережі.
Атака MANA працює, моніторячи як спрямовані, так і широкомовні запити на пробу з пристроїв. Для спрямованих запитів вона записує MAC-адресу пристрою та запитуване ім'я мережі, додаючи цю інформацію до списку. Коли отримується широкомовний запит, AP відповідає інформацією, що відповідає будь-якій з мереж у списку пристрою, спонукаючи пристрій підключитися до підробленої AP.
А Loud MANA атака є просунутою стратегією для випадків, коли пристрої не використовують спрямоване опитування або коли їхні списки уподобаних мереж (PNL) невідомі атакуючому. Вона працює на принципі, що пристрої в одній і тій же області, ймовірно, ділять деякі імена мереж у своїх PNL. Замість того, щоб відповідати вибірково, ця атака транслює відповіді на опитування для кожного імені мережі (ESSID), знайденого в об'єднаних PNL усіх спостережуваних пристроїв. Цей широкий підхід збільшує шанси на те, що пристрій розпізнає знайому мережу і спробує підключитися до підробленої точки доступу (AP).
Коли Loud MANA attack може бути недостатнім, Known Beacon attack пропонує інший підхід. Цей метод брутфорсить процес підключення, імітуючи AP, який відповідає на будь-яку назву мережі, перебираючи список потенційних ESSID, отриманих з словника. Це імітує наявність численних мереж, сподіваючись знайти ESSID у PNL жертви, що спонукає до спроби підключення до сфабрикованого AP. Атаку можна посилити, поєднавши її з опцією --loud
для більш агресивної спроби захоплення пристроїв.
Eaphammer реалізував цю атаку як MANA attack, де всі ESSID у списку активуються (ви також можете поєднати це з --loud
, щоб створити Loud MANA + Known beacons attack):
Відома атака Beacon Burst
Атака Відома атака Beacon Burst передбачає швидке транслювання кадрів маяків для кожного ESSID, зазначеного у файлі. Це створює щільне середовище фальшивих мереж, значно підвищуючи ймовірність підключення пристроїв до зловмисної AP, особливо в поєднанні з атакою MANA. Ця техніка використовує швидкість і обсяг, щоб перевантажити механізми вибору мережі пристроїв.
Wi-Fi Direct - це протокол, який дозволяє пристроям з'єднуватися безпосередньо один з одним за допомогою Wi-Fi без необхідності в традиційній бездротовій точці доступу. Ця можливість інтегрована в різні пристрої Інтернету речей (IoT), такі як принтери та телевізори, що полегшує безпосередню комунікацію між пристроями. Помітною особливістю Wi-Fi Direct є те, що один пристрій виконує роль точки доступу, відомої як власник групи, для управління з'єднанням.
Безпека для з'єднань Wi-Fi Direct забезпечується через Wi-Fi Protected Setup (WPS), який підтримує кілька методів для безпечного спарювання, включаючи:
Push-Button Configuration (PBC)
Введення PIN-коду
Near-Field Communication (NFC)
Ці методи, особливо введення PIN-коду, піддаються тим самим вразливостям, що й WPS у традиційних Wi-Fi мережах, що робить їх цілями для подібних векторів атак.
EvilDirect Hijacking - це атака, специфічна для Wi-Fi Direct. Вона відображає концепцію атаки Evil Twin, але націлюється на з'єднання Wi-Fi Direct. У цьому сценарії зловмисник видає себе за законного власника групи з метою обманути пристрої, щоб вони підключилися до шкідливого об'єкта. Цей метод можна виконати за допомогою інструментів, таких як airbase-ng
, вказавши канал, ESSID та MAC-адресу підробленого пристрою:
TODO: Ознайомтеся з https://github.com/wifiphisher/wifiphisher (вхід через facebook та імітація WPA в захоплених порталах)
Приєднуйтесь до HackenProof Discord сервера, щоб спілкуватися з досвідченими хакерами та шукачами багів!
Hacking Insights Залучайтеся до контенту, який занурюється в захоплення та виклики хакерства
Real-Time Hack News Слідкуйте за швидкоплинним світом хакерства через новини та інсайти в реальному часі
Latest Announcements Будьте в курсі нових програм винагород за баги та важливих оновлень платформ
Приєднуйтесь до нас на Discord і почніть співпрацювати з провідними хакерами вже сьогодні!
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)