Evil Twin EAP-TLS

Reading time: 4 minutes

tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

En alg煤n momento necesitaba usar la soluci贸n propuesta en la publicaci贸n a continuaci贸n, pero los pasos en https://github.com/OpenSecurityResearch/hostapd-wpe ya no funcionaban en Kali moderno (2019v3).
De todos modos, es f谩cil hacer que funcionen.
Solo necesitas descargar el hostapd-2.6 desde aqu铆: https://w1.fi/releases/ y antes de compilar nuevamente hostapd-wpe instala: apt-get install libssl1.0-dev

Analyzing and Exploiting EAP-TLS in Wireless Networks

Background: EAP-TLS in Wireless Networks

EAP-TLS es un protocolo de seguridad que proporciona autenticaci贸n mutua entre el cliente y el servidor utilizando certificados. La conexi贸n solo se establece si tanto el cliente como el servidor autentican los certificados del otro.

Challenge Encountered

Durante una evaluaci贸n, se encontr贸 un error interesante al usar la herramienta hostapd-wpe. La herramienta rechaz贸 la conexi贸n del cliente debido a que el certificado del cliente estaba firmado por una Autoridad de Certificaci贸n (CA) desconocida. Esto indicaba que el cliente confiaba en el certificado del servidor falso, lo que apuntaba a configuraciones de seguridad laxas en el lado del cliente.

Objective: Setting Up a Man-in-the-Middle (MiTM) Attack

El objetivo era modificar la herramienta para aceptar cualquier certificado de cliente. Esto permitir铆a establecer una conexi贸n con la red inal谩mbrica maliciosa y habilitar un ataque MiTM, capturando potencialmente credenciales en texto plano u otros datos sensibles.

Solution: Modifying hostapd-wpe

El an谩lisis del c贸digo fuente de hostapd-wpe revel贸 que la validaci贸n del certificado del cliente estaba controlada por un par谩metro (verify_peer) en la funci贸n OpenSSL SSL_set_verify. Al cambiar el valor de este par谩metro de 1 (validar) a 0 (no validar), se hizo que la herramienta aceptara cualquier certificado de cliente.

Execution of the Attack

  1. Environment Check: Usa airodump-ng para monitorear redes inal谩mbricas e identificar objetivos.
  2. Set Up Fake AP: Ejecuta el hostapd-wpe modificado para crear un Punto de Acceso (AP) falso que imite la red objetivo.
  3. Captive Portal Customization: Personaliza la p谩gina de inicio de sesi贸n del portal cautivo para que parezca leg铆tima y familiar para el usuario objetivo.
  4. De-authentication Attack: Opcionalmente, realiza un ataque de desautenticaci贸n para desconectar al cliente de la red leg铆tima y conectarlo al AP falso.
  5. Capturing Credentials: Una vez que el cliente se conecta al AP falso e interact煤a con el portal cautivo, se capturan sus credenciales.

Observations from the Attack

  • En m谩quinas con Windows, el sistema puede conectarse autom谩ticamente al AP falso, presentando el portal cautivo cuando se intenta navegar por la web.
  • En un iPhone, se puede solicitar al usuario que acepte un nuevo certificado y luego se le presenta el portal cautivo.

Conclusion

Si bien EAP-TLS se considera seguro, su efectividad depende en gran medida de la configuraci贸n correcta y del comportamiento cauteloso de los usuarios finales. Dispositivos mal configurados o usuarios desprevenidos que aceptan certificados no confiables pueden socavar la seguridad de una red protegida por EAP-TLS.

For further details check https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/

References

tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks