Pentesting Wifi
경험 많은 해커 및 버그 바운티 헌터와 소통하려면 HackenProof Discord 서버에 가입하세요!
해킹 통찰 해킹의 스릴과 도전에 대해 파헤치는 콘텐츠와 상호 작용
실시간 해킹 뉴스 빠르게 변화하는 해킹 세계의 최신 소식과 통찰력을 유지하세요
최신 공지 출시되는 최신 버그 바운티 및 중요한 플랫폼 업데이트에 대해 정보를 유지하세요
Discord에 참여하여 최고의 해커들과 협업을 시작하세요!
도구
EAPHammer
Airgeddon
에어게돈
도커를 사용하여 airgeddon 실행하기
wifiphisher
Evil Twin, KARMA 및 Known Beacons 공격을 수행한 다음 피싱 템플릿을 사용하여 네트워크 실제 암호를 획들하거나 소셜 네트워크 자격 증명을 캡처할 수 있습니다.
이 도구는 WPS/WEP/WPA-PSK 공격을 자동화합니다. 자동으로 다음을 수행합니다:
인터페이스를 모니터 모드로 설정합니다
가능한 네트워크를 스캔하고 피해자를 선택할 수 있게 합니다
WEP인 경우 - WEP 공격을 시작합니다
WPA-PSK인 경우
WPS인 경우: Pixie 더스트 공격 및 브루트포스 공격 (브루트포스 공격은 오랜 시간이 걸릴 수 있으니 주의하세요). 널 PIN 또는 데이터베이스/생성된 PIN을 시도하지 않음에 유의하세요.
AP로부터 PMKID를 캡처하여 크랙을 시도합니다
AP의 클라이언트를 비인증하려고하여 핸드셰이크를 캡처합니다
PMKID 또는 핸드셰이크가 있으면 상위 5000개의 암호를 사용하여 브루트포스를 시도합니다.
공격 요약
DoS
비인증/연결 해제 -- 모든 사람(또는 특정 ESSID/클라이언트)를 연결 해제합니다
랜덤 가짜 AP -- 네트워크 숨기기, 스캐너 충돌 가능성
AP 과부하 -- AP를 중단시키려고 시도합니다 (일반적으로 그다지 유용하지 않음)
WIDS -- IDS와 상호작용
TKIP, EAPOL -- 일부 특정 AP에 대한 DoS 공격
크랙
WEP 크랙 (여러 도구 및 방법)
WPA-PSK
WPS 핀 "브루트포스"
WPA PMKID 브루트포스
[DoS +] WPA 핸드셰이크 캡처 + 크랙
WPA-MGT
사용자 캡처
브루트포스 자격 증명
악의적인 쌍둥이 (DoS 여부에 관계없이)
열린 악의적인 쌍둥이 [+ DoS] -- 포털 자격 증명을 캡처하거나 LAN 공격을 수행하는 데 유용합니다
WPA-PSK 악의적인 쌍둥이 -- 암호를 알고 있다면 네트워크 공격에 유용합니다
WPA-MGT -- 회사 자격 증명을 캡처하는 데 유용합니다
KARMA, MANA, Loud MANA, 알려진 비콘
+ 열린 -- 포털 자격 증명을 캡처하거나 LAN 공격을 수행하는 데 유용합니다
+ WPA -- WPA 핸드셰이크를 캡처하는 데 유용합니다
DOS
비인증 패킷
여기서 설명한 내용: 여기:.
비인증 공격은 Wi-Fi 해킹에서 흔히 사용되는 방법으로, "관리" 프레임을 위조하여 장치를 네트워크에서 강제로 분리합니다. 이러한 암호화되지 않은 패킷은 클라이언트를 속여 정당한 네트워크에서 온 것으로 믿게 하여 공격자가 WPA 핸드셰이크를 수집하거나 네트워크 연결을 지속적으로 방해할 수 있게 합니다. 이 간단한 전술은 네트워크 보안에 중대한 영향을 미치며 널리 사용됩니다.
-0은 인증 해제를 의미합니다.
1은 보낼 인증 해제의 수입니다 (원하는 경우 여러 개를 보낼 수 있음); 0은 계속해서 보내는 것을 의미합니다.
-a 00:14:6C:7E:40:80은 액세스 포인트의 MAC 주소입니다.
-c 00:0F:B5:34:30:30은 인증 해제할 클라이언트의 MAC 주소입니다; 이 부분을 생략하면 브로드캐스트 인증 해제가 전송됩니다 (항상 작동하지는 않음).
ath0은 인터페이스 이름입니다.
연결 해제 패킷
연결 해제 패킷은 Wi-Fi 네트워크에서 사용되는 관리 프레임 유형인 인증 해제 패킷과 유사합니다. 이러한 패킷은 장치(예: 노트북 또는 스마트폰)와 액세스 포인트(AP) 간의 연결을 끊는 데 사용됩니다. 인증 해제와 연결 해제의 주요 차이점은 사용 시나리오에 있습니다. AP는 네트워크에서 명시적으로 로그인된 장치를 제거하기 위해 인증 해제 패킷을 발신하는 반면, 연결 해제 패킷은 일반적으로 AP가 종료되거나 다시 시작되거나 이동 중일 때 모든 연결된 노드의 연결을 끊어야 하는 경우에 전송됩니다.
이 공격은 mdk4(모드 "d")를 통해 수행할 수 있습니다:
mdk4에 의한 더 많은 DOS 공격
여기에서.
공격 모드 b: 비콘 홍수
가짜 AP를 클라이언트에 표시하기 위해 비콘 프레임을 보냅니다. 이는 때때로 네트워크 스캐너를 충돌시키거나 드라이버까지 다운시킬 수 있습니다!
공격 모드 a: 인증 거부 서비스
범위 내의 모든 접근 가능한 액세스 포인트(AP)로 인증 프레임을 전송하면 특히 많은 클라이언트가 관련된 경우 이러한 AP를 과부하시킬 수 있습니다. 이 강렬한 트래픽은 시스템 불안정으로 이어질 수 있으며, 일부 AP가 멈추거나 재설정되도록 할 수 있습니다.
공격 모드 p: SSID 프로빙 및 브루트포싱
액세스 포인트(APs) 프로빙은 SSID가 올바르게 노출되었는지 확인하고 AP의 범위를 확인합니다. 이 기술은 단어 목록을 사용하여 숨겨진 SSID를 브루트포싱 함으로써 숨겨진 네트워크를 식별하고 액세스하는 데 도움이 됩니다.
공격 모드 m: Michael 대책 악용
랜덤하거나 중복된 패킷을 다른 QoS 대기열로 보내면 TKIP APs에서 Michael 대책을 유발하여 1분간 AP가 종료됩니다. 이 방법은 효율적인 DoS(서비스 거부) 공격 전술입니다.
공격 모드 e: EAPOL 시작 및 로그오프 패킷 주입
EAPOL 시작 프레임을 사용하여 AP를 침수시켜 가짜 세션을 생성하면 AP를 압도하고 합법적인 클라이언트의 연결을 차단할 수 있습니다. 또는 가짜 EAPOL 로그오프 메시지를 주입하여 클라이언트를 강제로 연결 해제할 수 있으며, 이 두 가지 방법 모두 효과적으로 네트워크 서비스를 방해합니다.
공격 모드 s: IEEE 802.11s 메시 네트워크를 위한 공격
메시 네트워크에서 링크 관리 및 라우팅에 대한 다양한 공격.
공격 모드 w: WIDS 혼란
다중 WDS 노드 또는 가짜 로그 AP에 클라이언트를 교차 연결하여 침입 탐지 및 방지 시스템을 조작하여 혼란과 잠재적 시스템 남용을 유발할 수 있습니다.
공격 모드 f: 패킷 퍼저
패킷 퍼저는 다양한 패킷 소스와 패킷 조작을 위한 포괄적인 수정자 세트를 제공합니다.
Airggedon
_Airgeddon_은 이전 댓글에서 제안된 대부분의 공격을 제공합니다:
WPS
WPS (Wi-Fi Protected Setup)는 WPA 또는 WPA2 Personal로 암호화된 네트워크의 설정 속도와 편의성을 향상시키는 데 도움이 되는 라우터에 장치를 연결하는 프로세스를 간소화합니다. WEP 보안은 쉽게 침해당할 수 있기 때문에 효과가 없습니다. WPS는 8자리 PIN을 사용하며, 이는 두 부분으로 유효성을 검사하여 한정된 조합 수(11,000가지 가능성)로 인해 브루트 포스 공격에 취약합니다.
WPS 브루트포스
이 작업을 수행하는 데 사용되는 주요 도구는 Reaver와 Bully가 있습니다.
Reaver는 WPS에 대한 강력하고 실용적인 공격을 위해 설계되었으며 다양한 액세스 포인트 및 WPS 구현에 대해 테스트되었습니다.
Bully는 C로 작성된 새로운 WPS 브루트 포스 공격 구현입니다. 원래 reaver 코드보다 더 적은 종속성, 향상된 메모리 및 CPU 성능, endian 처리의 올바른 처리, 더 견고한 옵션 세트를 갖고 있습니다.
이 공격은 WPS PIN의 취약점을 이용하며, 특히 처음 네 자리의 노출과 마지막 자리의 체크섬 역할로 인해 브루트 포스 공격이 용이해집니다. 그러나 공격적인 공격자의 MAC 주소 차단과 같은 브루트 포스 공격에 대한 방어책은 MAC 주소 회전을 요구하여 공격을 계속해야 합니다.
Bully 또는 Reaver와 같은 도구로 WPS PIN을 획득한 후 공격자는 WPA/WPA2 PSK를 추론하여 지속적인 네트워크 액세스를 보장할 수 있습니다.
스마트 브루트 포스
이 정교한 접근 방식은 알려진 취약점을 활용하여 WPS PIN을 대상으로 합니다:
미리 발견된 PIN: 특정 제조업체가 균일한 WPS PIN을 사용하는 것으로 알려진 알려진 PIN 데이터베이스를 활용합니다. 이 데이터베이스는 MAC 주소의 처음 세 옥텟을 이 제조업체의 가능한 PIN과 연결합니다.
PIN 생성 알고리즘: ComputePIN 및 EasyBox와 같은 알고리즘을 활용하여 AP의 MAC 주소를 기반으로 WPS PIN을 계산합니다. Arcadyan 알고리즘은 추가로 장치 ID가 필요하여 PIN 생성 프로세스에 층을 더합니다.
WPS Pixie Dust 공격
Dominique Bongard는 일부 액세스 포인트(AP)에서 비밀 코드인 논스(E-S1 및 E-S2)를 생성하는 데 관한 결함을 발견했습니다. 이러한 논스를 알아낼 수 있다면 AP의 WPS PIN을 해독하는 것이 쉬워집니다. AP는 특별한 코드(해시) 내에서 PIN을 공개하여 해당 PIN이 정품이며 가짜(로그) AP가 아님을 증명합니다. 이러한 논스는 본질적으로 WPS PIN을 보관하는 "금고"를 열 수 있는 "열쇠"입니다. 이에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
간단히 말해, 문제는 일부 AP가 연결 프로세스 중에 PIN을 암호화하는 데 충분히 무작위하지 않은 키를 사용하지 않았다는 것입니다. 이로 인해 PIN이 네트워크 외부에서 추측될 수 있는 취약성이 발생합니다(오프라인 브루트 포스 공격).
만약 당신이 장치를 모니터 모드로 전환하고 싶지 않거나 reaver와 bully에 문제가 있다면, OneShot-C를 시도해 볼 수 있습니다. 이 도구는 모니터 모드로 전환하지 않고 Pixie Dust 공격을 수행할 수 있습니다.
널 핀 공격
일부 설계가 잘못된 시스템은 심지어 널 핀 (빈 또는 존재하지 않는 핀)으로 액세스를 허용할 수 있으며, 이는 매우 이례적입니다. Reaver 도구는 이 취약점을 테스트할 수 있지만 Bully는 그렇지 않습니다.
Airgeddon
제안된 모든 WPS 공격은 _airgeddon_을 사용하여 쉽게 수행할 수 있습니다.
5 및 6은 사용자 정의 PIN을 시도할 수 있게 합니다 (있는 경우)
7 및 8은 Pixie Dust 공격을 수행합니다
13은 NULL PIN을 테스트할 수 있게 합니다
11 및 12는 선택한 AP와 관련된 PIN을 사용 가능한 데이터베이스에서 다시 수집하고 ComputePIN, EasyBox 및 선택적으로 Arcadyan(권장, 왜냐하면?)을 사용하여 가능한 PIN을 생성합니다
9 및 10은 모든 가능한 PIN을 테스트합니다
WEP
지금은 쉽게 깨지고 사용되지 않습니다. _airgeddon_이라는 WEP 옵션이 있는데 이를 통해 이러한 종류의 보호를 공격할 수 있습니다. 더 많은 도구들이 유사한 옵션을 제공합니다.
HackenProof Discord 서버에 가입하여 경험 많은 해커 및 버그 바운티 헌터들과 소통하세요!
해킹 통찰 해킹의 즐거움과 도전에 대해 탐구하는 콘텐츠와 상호 작용하세요
실시간 해킹 뉴스 실시간 뉴스와 통찰을 통해 빠른 속도의 해킹 세계를 따라가세요
최신 공지 최신 버그 바운티 출시 및 중요한 플랫폼 업데이트에 대해 알아두세요
**Discord에서 함께 하여 최고의 해커들과 협업을 시작하세요!
WPA/WPA2 PSK
PMKID
2018년에 hashcat이 밝힌 새로운 공격 방법은 한 번의 패킷만 필요하며 대상 AP에 연결된 클라이언트가 필요하지 않고 공격자와 AP 간의 상호 작용만 필요한 독특한 방법입니다.
현대의 많은 라우터는 협회 중에 첫 번째 EAPOL 프레임에 선택적 필드를 추가하는데, 이를 Robust Security Network라고 합니다. 이것은 PMKID를 포함합니다.
원본 게시물에서 설명한 대로 PMKID는 알려진 데이터를 사용하여 생성됩니다:
주어진 "PMK Name"이 일정하다고 가정하면, 우리는 AP와 스테이션의 BSSID를 알고 있으며, PMK가 완전한 4-way 핸드셰이크로부터 동일하다면, hashcat은 이 정보를 사용하여 PSK를 해독하고 암호를 복구할 수 있습니다!
이 정보를 수집하고 로컬에서 암호를 브루트포스하기 위해 다음을 수행할 수 있습니다:
캡처된 PMKIDs는 콘솔에 표시되며 또한 /tmp/attack.pcap에 저장됩니다. 이제 캡처를 hashcat/john 형식으로 변환하여 해독하세요:
올바른 해시 형식은 4 부분으로 구성되어야 합니다. 예시: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 만약 3 부분으로만 이루어진 해시라면, 이는 유효하지 않습니다 (PMKID 캡처가 유효하지 않음).
hcxdumptool은 또한 핸드셰이크를 캡처합니다 (다음과 같은 내용이 표시됩니다: MP:M1M2 RC:63258 EAPOLTIME:17091). cap2hccapx를 사용하여 핸드셰이크를 hashcat/john 형식으로 변환할 수 있습니다.
이 도구로 캡처된 일부 핸드셰이크는 올바른 암호를 알고 있더라도 해독할 수 없는 것을 발견했습니다. 가능하다면 전통적인 방법으로도 핸드셰이크를 캡처하거나 이 도구를 사용하여 여러 개를 캡처하는 것을 권장합니다.
핸드셰이크 캡처
WPA/WPA2 네트워크에 대한 공격은 핸드셰이크를 캡처하고 암호를 오프라인으로 해독 시도함으로써 실행될 수 있습니다. 이 과정은 특정 네트워크와 BSSID의 특정 채널에서의 통신을 모니터링하는 것을 포함합니다. 다음은 간소화된 가이드입니다:
대상 네트워크의 BSSID, 채널, 및 연결된 클라이언트를 식별합니다.
airodump-ng를 사용하여 지정된 채널과 BSSID에서 네트워크 트래픽을 모니터링하여 핸드셰이크를 캡처합니다. 명령은 다음과 같이 보일 것입니다:
핸드셰이크를 캡처할 확률을 높이려면 클라이언트를 일시적으로 네트워크에서 분리하여 다시 인증하도록 강제합니다. 이 작업은
aireplay-ng명령을 사용하여 수행할 수 있습니다. 이 명령은 클라이언트로 인증 해제 패킷을 보냅니다:
클라이언트가 인증 해제되었기 때문에 다른 AP에 연결을 시도할 수도 있습니다. 또는 다른 경우에는 다른 네트워크에 연결할 수도 있습니다.
airodump-ng에서 핸드셰이크 정보가 나타나면 핸드셰이크가 캡처되었음을 의미하며, 듣기를 중지할 수 있습니다:
핸드셰이크가 캡처되면 aircrack-ng를 사용하여 해독할 수 있습니다:
파일에서 핸드셰이크 확인
aircrack
tshark
만약 이 도구가 완료되지 않은 ESSID의 핸드셰이크를 완료된 것보다 먼저 찾는다면, 유효한 것을 감지하지 못할 것입니다.
pyrit
WPA Enterprise (MGT)
기업용 WiFi 설정에서는 다양한 인증 방법을 만나게 됩니다, 각각 다른 보안 수준과 관리 기능을 제공합니다. airodump-ng와 같은 도구를 사용하여 네트워크 트래픽을 검사할 때, 이러한 인증 유형에 대한 식별자를 알 수 있습니다. 일반적인 방법 중 일부는 다음과 같습니다:
EAP-GTC (Generic Token Card):
이 방법은 하드웨어 토큰과 일회용 비밀번호를 지원하며 EAP-PEAP 내에서 사용됩니다. MSCHAPv2와 달리 피어 챌린지를 사용하지 않고 액세스 포인트로 암호를 평문으로 전송하여 다운그레이드 공격에 취약합니다.
EAP-MD5 (Message Digest 5):
클라이언트로부터 비밀번호의 MD5 해시를 전송하는 방식입니다. 사전 공격에 취약하며 서버 인증 부재와 세션별 WEP 키 생성 불가능으로 권장되지 않습니다.
EAP-TLS (Transport Layer Security):
인증을 위해 클라이언트 측 및 서버 측 인증서를 활용하며 통신 보안을 위해 사용자 기반 및 세션 기반 WEP 키를 동적으로 생성할 수 있습니다.
EAP-TTLS (Tunneled Transport Layer Security):
암호화된 터널을 통해 상호 인증을 제공하며 동적, 사용자별, 세션별 WEP 키를 파생하는 방법을 제공합니다. 클라이언트는 자격 증명을 사용하고 서버 측에서만 인증서가 필요합니다.
PEAP (Protected Extensible Authentication Protocol):
보호된 통신을 위해 TLS 터널을 생성하여 EAP와 유사하게 작동합니다. EAP 위에 약한 인증 프로토콜 사용을 허용하며 터널에 의해 제공되는 보호로 인해 가능합니다.
PEAP-MSCHAPv2: PEAP로 자주 불리며 취약한 MSCHAPv2 챌린지/응답 메커니즘을 보호하는 TLS 터널과 결합됩니다.
PEAP-EAP-TLS (또는 PEAP-TLS): EAP-TLS와 유사하지만 인증서 교환 전에 TLS 터널을 시작하여 추가적인 보안 계층을 제공합니다.
이러한 인증 방법에 대한 자세한 정보는 여기 및 여기에서 확인할 수 있습니다.
사용자 이름 캡처
https://tools.ietf.org/html/rfc3748#page-27를 읽으면 EAP을 사용하는 경우 "Identity" 메시지를 지원해야 하며 사용자 이름은 "Response Identity" 메시지에서 평문으로 전송됩니다.
가장 안전한 인증 방법 중 하나인 PEAP-EAP-TLS를 사용하더라도 EAP 프로토콜에서 전송된 사용자 이름을 캡처할 수 있습니다. 이를 위해 인증 통신을 캡처하고 (airodump-ng를 채널 내에서 시작하고 동일한 인터페이스에서 wireshark를 시작) 패킷을 eapol로 필터링하세요.
"Response, Identity" 패킷 내에서 클라이언트의 사용자 이름이 나타납니다.
익명 신원
EAP-PEAP 및 EAP-TTLS에서는 신원 숨김이 지원됩니다. WiFi 네트워크의 맥락에서 EAP-Identity 요청은 일반적으로 연결 프로세스 중에 액세스 포인트(AP)에 의해 시작됩니다. 사용자 익명성 보호를 보장하기 위해 사용자 장치의 EAP 클라이언트로부터의 응답은 요청을 처리하기 위해 초기 RADIUS 서버에 필요한 필수 정보만 포함합니다. 이 개념은 다음 시나리오를 통해 설명됩니다:
EAP-Identity = anonymous
이 시나리오에서 모든 사용자는 익명의 "anonymous"를 사용자 식별자로 사용합니다. 초기 RADIUS 서버는 EAP-PEAP 또는 EAP-TTLS 서버로 작동하여 PEAP 또는 TTLS 프로토콜의 서버 측을 관리합니다. 그런 다음 내부(보호된) 인증 방법은 로컬에서 처리되거나 원격(홈) RADIUS 서버로 위임됩니다.
EAP-Identity = anonymous@realm_x
이 상황에서 서로 다른 영역의 사용자는 자신들의 신원을 숨기고 각자의 영역을 나타냅니다. 이를 통해 초기 RADIUS 서버는 사용자의 홈 영역의 RADIUS 서버로 EAP-PEAP 또는 EAP-TTLS 요청을 프록시할 수 있으며 해당 서버는 PEAP 또는 TTLS 서버로 작동합니다. 초기 RADIUS 서버는 단순히 RADIUS 릴레이 노드로만 작동합니다.
또한 초기 RADIUS 서버는 EAP-PEAP 또는 EAP-TTLS 서버로 작동하고 보호된 인증 방법을 처리하거나 다른 서버로 전달할 수 있습니다. 이 옵션은 다양한 영역에 대한 구성을 용이하게 합니다.
EAP-PEAP에서 PEAP 서버와 PEAP 클라이언트 간에 TLS 터널이 설정되면 PEAP 서버가 EAP-Identity 요청을 시작하고 TLS 터널을 통해 전송합니다. 클라이언트는 이 두 번째 EAP-Identity 요청에 응답하여 암호화된 터널을 통해 사용자의 실제 신원을 포함한 EAP-Identity 응답을 보냅니다. 이 접근 방식은 802.11 트래픽을 도청하는 사람에게 사용자의 실제 신원을 노출시키지 않습니다.
EAP-TTLS는 약간 다른 절차를 따릅니다. EAP-TTLS에서 클라이언트는 일반적으로 PAP 또는 CHAP를 사용하여 TLS 터널로 보호된 상태에서 인증합니다. 이 경우 클라이언트는 터널 설정 후 초기 TLS 메시지에서 User-Name 속성과 Password 또는 CHAP-Password 속성을 포함합니다.
선택한 프로토콜에 관계없이 PEAP/TTLS 서버는 TLS 터널이 설정된 후 사용자의 실제 신원을 획득합니다. 실제 신원은 사용자@영역 또는 단순히 사용자로 나타낼 수 있습니다. PEAP/TTLS 서버가 사용자를 인증하는 책임이 있는 경우 TLS 터널로 보호된 인증 방법을 진행합니다. 그렇지 않은 경우 PEAP/TTLS 서버는 사용자의 홈 RADIUS 서버로 새로운 RADIUS 요청을 전달합니다. 이 새로운 RADIUS 요청은 PEAP 또는 TTLS 프로토콜 계층을 생략합니다. 보호된 인증 방법이 EAP인 경우 내부 EAP 메시지는 EAP-PEAP 또는 EAP-TTLS 래퍼 없이 사용자의 홈 RADIUS 서버로 전송됩니다. 발신 RADIUS 메시지의 User-Name 속성에는 수신된 RADIUS 요청에서 발견된 익명 User-Name을 대체하는 사용자의 실제 신원이 포함됩니다. 보호된 인증 방법이 PAP 또는 CHAP인 경우(오직 TTLS에서 지원), TLS 페이로드에서 추출된 User-Name 및 기타 인증 속성이 수신된 RADIUS 요청에서 발견된 익명 User-Name 및 TTLS EAP-Message 속성을 대체하여 발신 RADIUS 메시지에 포함됩니다.
자세한 정보는 https://www.interlinknetworks.com/app_notes/eap-peap.htm에서 확인하세요.
EAP-Bruteforce (password spray)
클라이언트가 사용자 이름과 비밀번호를 사용하는 것으로 예상되면 (EAP-TLS는 이 경우 유효하지 않음에 유의), 사용자 이름 목록 및 비밀번호를 얻어서 air-hammer를 사용하여 액세스를 bruteforce할 수 있습니다.
당신은 eaphammer를 사용하여 이 공격을 수행할 수도 있습니다:
클라이언트 공격 이론
네트워크 선택 및 로밍
802.11 프로토콜은 스테이션이 확장된 서비스 세트(ESS)에 가입하는 방법을 정의하지만 ESS 또는 그 내의 액세스 포인트(AP)를 선택하는 기준을 명시하지는 않습니다.
스테이션은 동일한 ESSID를 공유하는 AP 간에 로밍할 수 있으며 건물이나 지역 전체에서 연결을 유지할 수 있습니다.
프로토콜은 스테이션이 ESS에 대해 인증을 요구하지만 AP가 스테이션에 대해 인증을 요구하지는 않습니다.
선호 네트워크 목록 (PNLs)
스테이션은 연결된 모든 무선 네트워크의 ESSID를 선호 네트워크 목록(PNL)에 저장하며 네트워크별 구성 세부 정보도 포함됩니다.
PNL은 알려진 네트워크에 자동으로 연결하기 위해 사용되며 연결 프로세스를 간소화하여 사용자 경험을 향상시킵니다.
수동 스캐닝
AP는 주기적으로 비콘 프레임을 브로드캐스트하여 존재 및 기능을 알리며 AP의 ESSID를 포함합니다(브로드캐스팅이 비활성화되지 않은 경우).
수동 스캐닝 중에 스테이션은 비콘 프레임을 수신합니다. 비콘의 ESSID가 스테이션의 PNL 항목과 일치하는 경우 스테이션은 해당 AP에 자동으로 연결할 수 있습니다.
장치의 PNL을 알면 알려진 네트워크의 ESSID를 모방하여 장치가 악의적인 AP에 연결되도록 속일 수 있습니다.
활성 프로빙
활성 프로빙은 스테이션이 근처 AP를 발견하기 위해 프로브 요청을 보내는 것을 포함합니다.
지정된 프로브 요청은 특정 ESSID를 대상으로 하여 특정 네트워크가 범위 내에 있는지 여부를 감지하는 데 도움이 됩니다(숨겨진 네트워크인 경우도 해당).
브로드캐스트 프로브 요청은 널 SSID 필드를 가지며 근처 모든 AP에 전송되어 스테이션이 PNL 내용을 공개하지 않고 선호하는 네트워크를 확인할 수 있게 합니다.
인터넷으로 리디렉션되는 간단한 AP
더 복잡한 공격을 수행하는 방법을 설명하기 전에 어떻게 간단히 AP를 생성하고 그 트래픽을 인터넷에 연결된 인터페이스로 리디렉션하는지에 대해 설명될 것입니다.
ifconfig -a를 사용하여 AP를 생성하고 인터넷에 연결된 인터페이스를 확인합니다.
DHCP & DNS
다음과 같이 /etc/dnsmasq.conf 구성 파일을 생성하십시오:
그런 다음 IP 주소와 경로를 설정하십시오:
그런 다음 dnsmasq를 시작하십시오:
hostapd
다음은 hostapd.conf라는 구성 파일을 만드는 방법입니다:
귀찮은 프로세스를 중지하고 모니터 모드를 설정한 다음 hostapd를 시작하세요:
전달 및 리다이렉션
이블 트윈
이블 트윈 공격은 WiFi 클라이언트가 네트워크를 인식하는 방식을 악용하며, 주로 클라이언트가 기본 스테이션(액세스 포인트)이 자신을 인증할 필요 없이 네트워크 이름(ESSID)에 의존합니다. 주요 포인트는 다음과 같습니다:
구별의 어려움: 장치들은 동일한 ESSID 및 암호화 유형을 공유할 때 합법적인 액세스 포인트와 악의적인 액세스 포인트를 구별하는 데 어려움을 겪습니다. 현실 세계의 네트워크는 종종 동일한 ESSID를 사용하여 범위를 원활하게 확장하는 여러 액세스 포인트를 사용합니다.
클라이언트 로밍 및 연결 조작: 802.11 프로토콜을 통해 장치들은 동일한 ESS 내에서 액세스 포인트 간에 로밍할 수 있습니다. 공격자는 이를 악용하여 장치를 현재 기본 스테이션에서 분리시키고 악의적인 액세스 포인트에 연결하도록 유도할 수 있습니다. 이는 더 강한 신호를 제공하거나 디인증 패킷이나 재밍과 같은 방법을 사용하여 합법적인 액세스 포인트와의 연결을 방해함으로써 달성할 수 있습니다.
실행의 어려움: 다수의 잘 배치된 액세스 포인트가 있는 환경에서 이블 트윈 공격을 성공적으로 실행하는 것은 어려울 수 있습니다. 단일 합법적인 액세스 포인트를 디인증하는 것은 공격자가 모든 인근 액세스 포인트를 디인증하거나 악의적인 액세스 포인트를 전략적으로 배치하지 않는 한 장치가 다른 합법적인 액세스 포인트에 연결되는 경우가 많습니다.
당신은 eaphammer를 사용하여 Evil Twin을 만들 수도 있습니다 (eaphammer를 사용하여 악의적인 쌍둥이를 만들기 위해서는 인터페이스가 모니터 모드가 아니어야 합니다):
또는 Airgeddon을 사용하여 옵션: 5,6,7,8,9 (Evil Twin 공격 메뉴 내부).
기본적으로 PNL에 저장된 ESSID가 WPA로 보호되어 있으면 기기가 자동으로 오픈 악의적인 트윈에 연결되지 않습니다. 실제 AP를 DoS(서비스 거부)하여 사용자가 수동으로 오픈 악의적인 트윈에 연결하도록 희망할 수 있습니다. 또는 실제 AP를 DoS하고 WPA Evil Twin을 사용하여 핸드셰이크를 캡처할 수 있습니다 (이 방법을 사용하면 피해자가 PSK를 모르기 때문에 연결할 수 없지만 핸드셰이크를 캡처하고 크랙을 시도할 수 있습니다).
일부 OS 및 AV는 오픈 네트워크에 연결하는 것이 위험하다는 경고를 사용자에게 표시할 수 있습니다...
WPA/WPA2 Evil Twin
WPA/2를 사용하여 악의적인 트윈을 생성할 수 있으며, 장치가 WPA/2로 해당 SSID에 연결하도록 구성된 경우 연결을 시도할 것입니다. 그러나 4-way-handshake를 완료하려면 클라이언트가 사용할 암호를 알아야 합니다. 알지 못한다면 연결이 완료되지 않습니다.
기업용 이블 트윈
이 공격을 이해하기 위해서는 먼저 간단한 WPA Enterprise 설명을 읽는 것을 권장합니다.
hostapd-wpe 사용
hostapd-wpe는 작동하기 위해 구성 파일이 필요합니다. 이러한 구성을 자동화하기 위해 https://github.com/WJDigby/apd_launchpad을 사용할 수 있습니다 ( /etc/hostapd-wpe/ 내의 파이썬 파일 다운로드)
기본적으로, EAPHammer는 이러한 인증 방법을 사용합니다 (평문 암호를 얻기 위해 첫 번째로 GTC를 시도하고 그런 다음 더 견고한 인증 방법을 사용합니다):
이는 연결 시간이 길어지는 것을 피하기 위한 기본 방법론입니다. 그러나 또한 서버에게 인증 방법을 가장 약한 것부터 가장 강한 것으로 지정할 수도 있습니다:
또는 다음을 사용할 수도 있습니다:
--negotiate gtc-downgrade를 사용하여 매우 효율적인 GTC 다운그레이드 구현(평문 암호) 사용--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP를 사용하여 수동으로 제공되는 방법을 지정(공격 대상 조직과 동일한 인증 방법을 동일한 순서로 제공하면 감지가 훨씬 어려워집니다).
Airgeddon 사용
Airgeddon은 이전에 생성된 인증서를 사용하여 WPA/WPA2-Enterprise 네트워크에 EAP 인증을 제공할 수 있습니다. 가짜 네트워크는 연결 프로토콜을 EAP-MD5로 다운그레이드하여 사용자와 암호의 MD5를 캡처할 수 있습니다. 나중에 공격자는 암호를 크랙해 볼 수 있습니다.
Airggedon은 연속적인 이블 트윈 공격(소음이 많음) 또는 누군가 연결할 때까지 이블 공격을 만드는 옵션을 제공합니다.
이블 트윈 공격에서 PEAP 및 EAP-TTLS TLS 터널 디버깅
이 방법은 PEAP 연결에서 테스트되었지만 임의의 TLS 터널을 해독하고 있기 때문에 EAP-TTLS에서도 작동해야 합니다.
hostapd-wpe 구성 내부에서 _dh_file_을 포함하는 줄을 주석 처리합니다(dh_file=/etc/hostapd-wpe/certs/dh에서 #dh_file=/etc/hostapd-wpe/certs/dh로 변경)
이렇게 하면 hostapd-wpe가 DH 대신 RSA를 사용하여 키를 교환하도록 만들어져 나중에 서버의 개인 키를 알고 있으면 트래픽을 해독할 수 있습니다.
이제 수정된 구성을 사용하여 **hostapd-wpe**를 시작하여 이블 트윈을 시작하십시오. 또한, 이블 트윈 공격을 수행하는 인터페이스에서 **wireshark**를 시작하십시오.
지금이나 나중에(인증 의도를 이미 캡처한 경우) RSA 키를 wireshark에 추가할 수 있습니다: 편집 --> 환경 설정 --> 프로토콜 --> TLS --> (RSA 키 목록) 편집...
새 항목을 추가하고 다음 값을 입력하십시오: IP 주소 = any -- 포트 = 0 -- 프로토콜 = 데이터 -- 키 파일 (키 파일을 선택하고 문제를 피하려면 암호로 보호되지 않은 키 파일을 선택하십시오).
그리고 새로운 "해독된 TLS" 탭을 확인하십시오:
KARMA, MANA, Loud MANA 및 알려진 비콘 공격
ESSID 및 MAC 블랙/화이트리스트
다양한 유형의 미디어 액세스 제어 필터 목록(MFACL) 및 해당 모드 및 효과에 대한 로그 액세스 포인트(AP)의 동작에 미치는 영향:
MAC 기반 화이트리스트:
로그 AP는 화이트리스트에 지정된 장치의 프로브 요청에만 응답하여 목록에 없는 모든 다른 장치에게는 보이지 않습니다.
MAC 기반 블랙리스트:
로그 AP는 블랙리스트에 있는 장치의 프로브 요청을 무시하여 해당 특정 장치에 대해 로그 AP를 보이지 않게 만듭니다.
ESSID 기반 화이트리스트:
로그 AP는 목록에 포함되지 않은 ESSID를 가진 장치에 대한 프로브 요청에만 응답하여 해당 ESSID가 포함되지 않은 장치에게는 보이지 않게 합니다.
ESSID 기반 블랙리스트:
로그 AP는 블랙리스트에 있는 특정 ESSID에 대한 프로브 요청에 응답하지 않으므로 해당 특정 네트워크를 찾는 장치에게 보이지 않게 만듭니다.
KARMA
이 방법을 사용하면 공격자가 악의적인 접속 지점 (AP)을 생성하여 네트워크에 연결하려는 장치들의 모든 프로브 요청에 응답할 수 있습니다. 이 기술은 장치들이 찾고 있는 네트워크를 모방하여 장치들을 공격자의 AP에 연결하도록 속입니다. 한 번 장치가 이 장난스러운 AP에 연결 요청을 보내면 연결이 완료되어 장치가 실수로 공격자의 네트워크에 연결하게 됩니다.
MANA
그 후, 장치들은 요청하지 않은 네트워크 응답을 무시하기 시작하여 원래의 karma 공격의 효과를 줄였습니다. 그러나 Ian de Villiers와 Dominic White가 소개한 MANA 공격이라고 알려진 새로운 방법이 등장했습니다. 이 방법은 악의적인 AP가 장치들의 브로드캐스트 프로브 요청에 응답하여 장치들이 이전에 요청한 네트워크 이름 (SSID)으로 우선 네트워크 목록 (PNL)을 캡처하는 것을 포함합니다. 이 정교한 공격은 장치들이 알고 있는 네트워크를 기억하고 우선 순위를 정하는 방식을 악용하여 원래의 karma 공격에 대한 보호장치를 우회합니다.
MANA 공격은 장치들로부터의 지시된 및 브로드캐스트 프로브 요청을 모니터링하여 작동합니다. 지시된 요청의 경우, 장치의 MAC 주소와 요청된 네트워크 이름을 기록하여 이 정보를 목록에 추가합니다. 브로드캐스트 요청을 받으면, AP는 장치 목록에 있는 네트워크 중 어느 것과 일치하는 정보로 응답하여 장치가 악의적인 AP에 연결하도록 유인합니다.
러우드 MANA
러우드 MANA 공격은 기기가 지정된 프로빙을 사용하지 않거나 그들의 우선 네트워크 목록(PNL)이 공격자에게 알려지지 않은 경우에 대한 고급 전략입니다. 이 공격은 동일 지역에 있는 기기들은 PNL에서 일부 네트워크 이름을 공유할 가능성이 높다는 원칙에 기반합니다. 이 공격은 선택적으로 응답하는 대신, 모든 관찰된 기기의 결합된 PNL에 있는 모든 네트워크 이름(ESSID)에 대한 프로브 응답을 브로드캐스트합니다. 이 넓은 접근 방식은 기기가 익숙한 네트워크를 인식하고 로그 액세스 포인트(AP)에 연결을 시도하는 가능성을 높입니다.
알려진 비콘 공격
Loud MANA 공격이 충분하지 않을 때, 알려진 비콘 공격은 다른 접근 방식을 제시합니다. 이 방법은 단어 목록에서 파생된 잠재적인 ESSID 목록을 순환하면서 어떤 네트워크 이름에도 응답하는 AP를 시뮬레이션하여 연결 프로세스를 무차별 대입합니다. 이는 다수의 네트워크가 존재하는 것처럼 시뮬레이션하며, 피해자의 PNL 내에서 ESSID를 일치시키고, 조작된 AP로의 연결 시도를 유도합니다. 이 공격은 장치를 유인하기 위해 더 공격적인 시도를 위해 --loud 옵션과 결합하여 증폭될 수 있습니다.
Eaphammer는 이 공격을 MANA 공격으로 구현하였으며, 목록 내의 모든 ESSID가 공격 대상이 됩니다 (--loud와 결합하여 Loud MANA + 알려진 비콘 공격을 만들 수도 있습니다):
알려진 비콘 버스트 공격
알려진 비콘 버스트 공격은 파일에 나열된 각 ESSID에 대해 비콘 프레임을 빠르게 연이어 방송하는 것을 포함합니다. 이는 가짜 네트워크의 밀도가 높아져 기기가 로그 AP에 연결할 가능성을 크게 높이며, 특히 MANA 공격과 결합될 때 효과적입니다. 이 기술은 속도와 양을 활용하여 기기의 네트워크 선택 메커니즘을 압도합니다.
Wi-Fi Direct
Wi-Fi Direct는 전통적인 무선 액세스 포인트가 필요하지 않고 Wi-Fi를 사용하여 기기들이 직접 연결할 수 있게 하는 프로토콜입니다. 이 기능은 프린터 및 텔레비전과 같은 다양한 사물 인터넷(IoT) 기기에 통합되어 있으며, 기기 간 직접 통신을 용이하게 합니다. Wi-Fi Direct의 주목할만한 기능 중 하나는 한 기기가 연결을 관리하기 위해 액세스 포인트 역할을 맡는다는 것입니다. 이를 그룹 소유자라고 합니다.
Wi-Fi Direct 연결의 보안은 **Wi-Fi Protected Setup (WPS)**를 통해 설정되며, 이는 안전한 페어링을 위해 여러 방법을 지원합니다. 이 방법에는 다음이 포함됩니다:
Push-Button Configuration (PBC)
PIN 입력
근거리 통신 (NFC)
특히 PIN 입력과 같은 이러한 방법은 전통적인 Wi-Fi 네트워크의 WPS와 동일한 취약점에 취약하며, 이로 인해 유사한 공격 벡터의 대상이 됩니다.
EvilDirect Hijacking
EvilDirect Hijacking은 Wi-Fi Direct에 특화된 공격입니다. 이는 Evil Twin 공격의 개념을 반영하지만 Wi-Fi Direct 연결을 대상으로 합니다. 이 시나리오에서 공격자는 악의적인 엔터티에 연결하도록 기기들을 속이기 위해 합법적인 그룹 소유자를 흉내냅니다. 이 방법은 airbase-ng와 같은 도구를 사용하여 실행할 수 있으며, 이때는 채널, ESSID 및 흉내낸 기기의 MAC 주소를 지정해야 합니다.
References
TODO: https://github.com/wifiphisher/wifiphisher를 확인해보세요 (페이스북 로그인 및 포털 캡티브에서 WPA 모방)
HackenProof Discord 서버에 가입하여 경험 많은 해커 및 버그 바운티 헌터들과 소통하세요!
해킹 통찰 해킹의 즐거움과 도전에 대해 탐구하는 콘텐츠와 상호 작용하세요
실시간 해킹 뉴스 실시간 뉴스와 통찰을 통해 빠르게 변화하는 해킹 세계를 따라가세요
최신 공지 출시되는 최신 버그 바운티 및 중요한 플랫폼 업데이트에 대해 알아두세요
Discord에 참여하여 최고의 해커들과 협업을 시작하세요!
Last updated
