HackTricksEvil Twin EAP-TLS
Reading time: 3 minutes
tip
Ucz się i ćwicz AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Wsparcie HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.
W pewnym momencie musiałem skorzystać z proponowanego rozwiązania z poniższego posta, ale kroki w https://github.com/OpenSecurityResearch/hostapd-wpe nie działały już w nowoczesnym kali (2019v3).
W każdym razie, łatwo jest je uruchomić.
Musisz tylko pobrać hostapd-2.6 stąd: https://w1.fi/releases/ i przed ponownym kompilowaniem hostapd-wpe zainstalować: apt-get install libssl1.0-dev
Analyzing and Exploiting EAP-TLS in Wireless Networks
Background: EAP-TLS in Wireless Networks
EAP-TLS to protokół bezpieczeństwa zapewniający wzajemną autoryzację między klientem a serwerem za pomocą certyfikatów. Połączenie jest nawiązywane tylko wtedy, gdy zarówno klient, jak i serwer uwierzytelniają certyfikaty drugiej strony.
Challenge Encountered
Podczas oceny napotkano interesujący błąd przy użyciu narzędzia hostapd-wpe. Narzędzie odrzuciło połączenie klienta z powodu certyfikatu klienta podpisanego przez nieznaną jednostkę certyfikującą (CA). Wskazywało to, że klient ufał certyfikatowi fałszywego serwera, co sugerowało luźne konfiguracje zabezpieczeń po stronie klienta.
Objective: Setting Up a Man-in-the-Middle (MiTM) Attack
Celem było zmodyfikowanie narzędzia, aby akceptowało dowolny certyfikat klienta. Umożliwiłoby to nawiązanie połączenia z złośliwą siecią bezprzewodową i przeprowadzenie ataku MiTM, potencjalnie przechwytując dane uwierzytelniające w postaci czystego tekstu lub inne wrażliwe dane.
Solution: Modifying hostapd-wpe
Analiza kodu źródłowego hostapd-wpe ujawniła, że walidacja certyfikatu klienta była kontrolowana przez parametr (verify_peer) w funkcji OpenSSL SSL_set_verify. Zmieniając wartość tego parametru z 1 (waliduj) na 0 (nie waliduj), narzędzie zaczęło akceptować dowolny certyfikat klienta.
Execution of the Attack
- Environment Check: Użyj
airodump-ng, aby monitorować sieci bezprzewodowe i zidentyfikować cele. - Set Up Fake AP: Uruchom zmodyfikowane
hostapd-wpe, aby stworzyć fałszywy punkt dostępu (AP) naśladujący docelową sieć. - Captive Portal Customization: Dostosuj stronę logowania portalu przechwytującego, aby wyglądała na wiarygodną i znajomą dla docelowego użytkownika.
- De-authentication Attack: Opcjonalnie przeprowadź atak deautoryzacji, aby rozłączyć klienta z legalnej sieci i połączyć go z fałszywym AP.
- Capturing Credentials: Gdy klient połączy się z fałszywym AP i wejdzie w interakcję z portalem przechwytującym, jego dane uwierzytelniające zostaną przechwycone.
Observations from the Attack
- Na komputerach z systemem Windows system może automatycznie połączyć się z fałszywym AP, prezentując portal przechwytujący, gdy próbuje się przeglądać sieć.
- Na iPhonie użytkownik może być poproszony o zaakceptowanie nowego certyfikatu, a następnie zaprezentowany z portalem przechwytującym.
Conclusion
Chociaż EAP-TLS jest uważany za bezpieczny, jego skuteczność w dużej mierze zależy od prawidłowej konfiguracji i ostrożnego zachowania użytkowników końcowych. Źle skonfigurowane urządzenia lub nieświadomi użytkownicy akceptujący nieznane certyfikaty mogą podważyć bezpieczeństwo sieci chronionej EAP-TLS.
For further details check https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/
References
tip
Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wsparcie HackTricks
- Sprawdź plany subskrypcyjne!
- Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.